信息安全风险评估方法论文.doc

信息安全风险评估方法论文 信息安全风险评估方法论文【1】 【摘要】随着信息化的逐步深化、扩展信息系统的安全性和可用性显得愈来愈重要本文基于电网企业开展的信息安全风险评估工作对信息安全风险评估的评估实施流程、评估实施方法及其在信息系统生命周期不同阶段的实施要点进行浅要分析 【关键词】信息系统;信息安全;风险评估;评估方法 一、信息安全风险评估的评估实施流程 信息安全风险评估包括：资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议在风险评估之后就是要进行安全整改 网省公司信息系统风险评估的主要内容包括：资产评估、威胁评估、脆弱性评估和现有安全措施评估一般采用全面风险评估的方法以安全顾问访谈、管理问卷调查、安全文档分析等方式并结合了漏洞扫描、人工安全检查等手段对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估经过充分的分析后得到了信息系统的安全现状 二、信息安全风险评估实施方法 2.1资产评估 网省公司资产识别主要针对提供特定业务服务能力的应用系统展开通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分这四个部分在信息系统的实例中都显现为独立的资产实体例如：典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体 综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值资产赋值是资产评估由定性化判断到定量化赋值的关键环节 2.2威胁评估 威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程在实施过程中根据各单位业务系统的具体系统情况结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述： 2.3脆弱性评估 脆弱性评估内容包括管理、运维和技术三方面的内容具体实施可参照公司相应的技术或管理标准以及评估发起方的要求根据评估选择的策略和评估目的的不同进行调整下表是一套脆弱性识别对象的参考： 管理脆弱性：安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理 运维脆弱性：信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全 技术脆弱性：网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施 管理、运维、技术三方面脆弱性是相互关联的管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生运维脆弱性也可能导致技术脆弱性的产生技术的脆弱性识别主要采用工具扫描和人工审计的方式进行运维和管理的脆弱性主要通过访谈和调查问卷来发现此外对以往的安全事件的统计和分析也是确定脆弱性的主要方法 三、现有安全措施评估 通过现有安全措施指评估安全措施的部署、使用和管理情况确定这些措施所保护的资产范围以及对系统面临风险的消除程度 3.1安全技术措施评估 通过对各单位安全设备、防病毒系统的部署、使用和管理情况对特征库的更新方式、以及最近更新时间设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析并确定级别 3.2安全管理措施评估 访谈被评估单位是否成立了信息安全领导小组并以文件的形式明确了信息安全领导小组成员和相关职责是否结合实际提出符合自身发展的信息化建设策略其中包括是否制定了信息安全工作的总体方针和安全策略建立健全了各类安全管理制度对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等 3.3物理与环境安全 查看被访谈单位信息机房是否有完善的物理环境保障措施是否有健全的漏水监测系统灭火系统是否安全可用有无温湿度监测及越限报警功能是否配备精密空调严格调节控制机房内温度及湿度保障机房设备的良好运行环境 3.4应急响应与恢复管理 为正确、有效和快速处理网络信息系统突发事件最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制应对网络信息系统突发事件的组织指挥能力和应急处置能力是否及时修订本单位的网络信息系统突发事件应急预案并进行严格的评审、发布 3.5安全整改 被评估单位根据信息安全风险评估结果对本单位存在的安全风险进行整改消除从安全技术及安全管理两方面落实信息安全风险控制及管理确保信息系统安全稳定运行 四、结语 公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施各单位结合风险评估实践情况以技术促安全、以管理保安全确保公司信息系统稳定运行为公司发展提供有力信息支撑 参考文献 1中国国家标准化管理委员会信息安全技术一信息安全风险评估规范年 2国务院信息办信息安全风险评估课题组R信息安全风险评估研究报告 信息安全风险评估论文【2】 【摘要】本文介绍了信息安全风险评估的基本概述信息安全风险评估基本要素及通用的信息安全风险评估过程提出在实际工作中结合实际情况进行剪裁完成自己的风险评估实践 【关键词】信息安全;风险评估 1企业信息安全风险评估概述 信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量是针对威胁、脆弱点以及它可能导致的风险大小而评估的 对信息安全进行风险分析和评估的目的就是：企业能知道信息系统中是否有安全隐患的存在并估测这些风险将会造成的安全威胁与可能造成的损失经过这些判断来决定修复或者对于安全信息系统的建立 信息系统风险分析和评估能够有效的保护企业信息但同时它也是一个较为复杂的过程建立一个完善的信息安全风险评估需要具备相应的标准体系、技术体系、组织架构、业务体系同时也要遵循相关的法律法规 2企业信息安全风险评估的作用 信息安全风险评估是信息安全工作的基本保障措施之一风险评估工作是预防为主方针的充分体现它能够把信息化工作的安全控制关口前移超前防范 针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估这样能够在第一时间发现各种所存在的安全隐患然后再运用科学的方法对风险进行分析从而解决信息化过程中不同层次和阶段的安全问题 在信息系统的规划设计阶段信息安全风险评估工作的实行可以使企业在充分考虑经营管理目标的条件下对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求有效的避免事后的安全事故 这种信息安全风险评估是必不可