信息风险管理

风险投资与风险管理论文风险投资与风险管理论文 姓名 姓名 周周卫卫星星 学号 学号 2008550726 班班级级 08 级级通信工程通信工程 2 班班 学院 学院 信息工程学院信息工程学院 日期 日期 2010 年年 10 月月 29 日日 引言引言 随着国家大力推动软件外包行业和 IT 行业的发展 软件企业发展呈现良好 态势 在自身业务发展壮大的同时 软件企业信息安全重要性日益凸显 互联 网和 IT 技术的普及 使得应用信息突破了时间和空间上的障碍 信息的价值在 不断提高 但与此同时 网页篡改 计算机病毒 系统非法入侵 数据泄密 网站欺骗 服务瘫痪 漏洞非法利用等信息安全事件时有发生 据公安部公共 信息网络安全监察局的调查结果显示 2007 年 5 月 2008 年 5 月间 有 62 7 的被调查单位发生过信息网络安全事件 其中 感染计算机病毒 蠕虫 和木马程序的安全事件为 85 5 遭到端口扫描或网络攻击的占 31 4 垃 圾邮件占 25 4 信息安全风险管理概述信息安全风险管理概述 为了解决信息安全问题 保护企业信息的安全 建立实施信息安全管理体 系是非常有效的途径 无论是自身发展需求还是国际国内客户的要求 越来越 多的软件企业希望或已经建立实施信息安全管理体系 如何提高组织的信息安 全 通过建设信息安全管理体系中降低组织存在的信息安全风险的方法 来提 高组织信息的安全性 由此可见信息安全风险管理 是我们建立信息安全管理 体系的一个重要环节 也是信息安全管理体系建立的基础 我们将标识 控制和消除可能影响信息系统资源的不确定事件或使这些事 件降至最少的全部过程称之为风险管理 风险管理被认为是良好管理的一个组 成部分 在建立信息安全管理体系之初 根据业务 组织 位置 资产和技术 等方面的特性 我们确定了组织 ISMS 的范围 那么风险管理的范围应该和我 们确定的 ISMS 的范围相一致 在软件企业中 我们要将企业的业务流程 组 织架构 覆盖地址 信息系统 相关资产等都纳入到风险管理的范围当中 风险识别风险识别 信息是软件企业的重要资源 是非常重要的 无形财富 分析当前的信息 安全问题 有如下典型的信息安全问题急需解决 1 网络共享与恶意代码防控 网络共享与恶意代码防控 网络共享方便了不同用户 不同部门 不同单位等之间的信息交换 但是 恶意代码利用信息共享 网络环境扩散等漏洞 影响越来越大 如果对恶意信 息交换不加限制 将导致网络的 QoS 下降 甚至系统瘫痪不可用 2 信息化建设超速与安全规范不协调 信息化建设超速与安全规范不协调 网络安全建设缺乏规范操作 常常采取 亡羊补牢 之策 导致信息安全共 享难度递增 也留下安全隐患 3 信息产品国外引进与安全自主控制 信息产品国外引进与安全自主控制 国内信息化技术严重依赖国外 从硬件到软件都不同程度地受制于人 目 前 国外厂商的操作系统 数据库 中间件 办公文字处理软件 浏览器等基 础性软件都大量地部署在国内的关键信息系统中 但是这些软件或多或少存在 一些安全漏洞 使得恶意攻击者有机可乘 目前 我们国家的大型网络信息系 统许多关键信息产品长期依赖于国外 一旦出现特殊情况 后果就不堪设想 4 IT 产品单一性和大规模攻击问题 产品单一性和大规模攻击问题 信息系统中软硬件产品单一性 如同一版本的操作系统 同一版本的数据 库软件等 这样一来攻击者可以通过软件编程 实现攻击过程的自动化 从而 常导致大规模网络安全事件的发生 例如网络蠕虫 计算机病毒 零日 攻击 等安全事件 5 IT 产品类型繁多和安全管理滞后矛盾 产品类型繁多和安全管理滞后矛盾 目前 信息系统部署了众多的 IT 产品 包括操作系统 数据库平台 应用 系统 但是 不同类型的信息产品之间缺乏协同 特别是不同厂商的产品 不 仅产品之问安全管理数据缺乏共享 而且各种安全机制缺乏协同 各产品缺乏 统一的服务接口 从而造成信息安全工程建设困难 系统中安全功能重复开发 安全产品难以管理 也给信息系统管理留下安全隐患 6 IT 系统复杂性和漏洞管理 系统复杂性和漏洞管理 多协议 多系统 多应用 多用户组成的网络环境 复杂性高 存在难以 避免的安全漏洞 由于管理 软件工程难度等问题 新的漏洞不断地引入到网 络环境中 所有这些漏洞都将可能成为攻击切入点 攻击者可以利用这些漏洞 入侵系统 窃取信息 为了解决来自漏洞的攻击 一般通过打补丁的方式来增 强系统安全 但是 由于系统运行不可间断性及漏洞修补风险不可确定性 即 使发现网络系统存在安全漏洞 系统管理员也不敢轻易地安装补丁 特别是大 型的信息系统 漏洞修补是一件极为困难的事 因为漏洞既要做到修补 又要 能够保证在线系统正常运行 7 攻击突发性和防范响应滞后 攻击突发性和防范响应滞后 网络攻击者常常掌握主动权 而防守者被动应付 攻击者处于暗处 而攻 击目标则处于明处 以漏洞的传播及利用为例 攻击者往往先发现系统中存在 的漏洞 然后开发出漏洞攻击工具 最后才是防守者提出漏洞安全对策 8 口令安全设置和口令易记性难题 口令安全设置和口令易记性难题 在一个网络系统中 每个网络服务或系统都要求不同的认证方式 用户需 要记忆多个口令 据估算 用户平均至少需要四个口令 特别是系统管理员 需要记住的口令就更多 例如开机口令 系统进入口令 数据库口令 邮件口 令 telnet 口令 FTP 口令 路由器口令 交换机口令等 按照安全原则 口令 设置既要求复杂 而且口令长度要足够长 但是口令复杂则记不住 因此 用 户选择口令只好用简单的 重复使用的口令 以便于保管 这样一来攻击者只 要猜测到某个用户的口令 就极有可能引发系列口令泄露事件 9 远程移动办公和内网安全 远程移动办公和内网安全 随着网络普及 移动办公人员在大量时间内需要从互联网上远程访问内部 网络 由于互联网是公共网络 安全程度难以得到保证 如果内部网络直接允 许远程访问 则必然带来许多安全问题 而且移动办公人员计算机又存在失窃 或被非法使用的可能性 既要使工作人员能方便地远程访问内部网 又要保证 内部网络的安全 就成了一个许多单位都面临的问题 10 内外网络隔离安全和数据交换方便性 内外网络隔离安全和数据交换方便性 由于网络攻击技术不断增强 恶意入侵内部网络的风险性也相应急剧提高 网络入侵者可以涉透到内部网络系统 窃取数据或恶意破坏数据 同时 内部 网的用户因为安全意识薄弱 可能有意或无意地将敏感数据泄漏出去 为了实 现更高级别的网络安全 有的安全专家建议 内外网及上网计算机实现物理隔 离 以求减少来自外网的威胁 但是 从目前网络应用来说 许多企业或机构 都需要从外网采集数据 同时内网的数据也需要发布到外网上 因此 要想完 全隔离开内外网并不太现实 网络安全必须既要解决内外网数据交换需求 又 要能防止安全事件出现 11 业务快速发展与安全建设滞后 业务快速发展与安全建设滞后 在信息化建设过程中 由于业务急需要开通 做法常常是 业务优先 安全 滞后 使得安全建设缺乏规划和整体设计 留下安全隐患 安全建设只能是亡 羊补牢 出了安全事件后才去做 这种情况 在企业中表现得更为突出 市场 环境的动态变化 使得业务需要不断地更新 业务变化超过了现有安全保障能 力 12 网络资源健康应用与管理手段提升 网络资源健康应用与管理手段提升 复杂的网络世界 充斥着各种不良信息内容 常见的就是垃圾邮件 在一 些企业单位中 网络的带宽资源被员工用来在线聊天 浏览新闻娱乐 股票行 情 色情网站 这些网络活动严重消耗了带宽资源 导致正常业务得不到应有 的资源保障 但是 传统管理手段难以适应虚拟世界 网络资源管理手段必须 改进 要求能做到 可信 可靠 可视 可控 13 信息系统用户安全意识差和安全整体提高困难 信息系统用户安全意识差和安全整体提高困难 目前 普遍存在 重产品 轻服务 重技术 轻管理 重业务 轻安全 的 思想 安全就是安装防火墙 安全就是安装杀毒软件 人员整体信息安全意 识不平衡 导致一些安全制度或安全流程流于形式 典型的事例如下 用户选 取弱口令 使得攻击者可以从远程直接控制主机 用户开放过多网络服务 例 如 网络边界没有过滤掉恶意数据包或切断网络连接 允许外部网络的主机直 接 ping 内部网主机 允许建立空连接 用户随意安装有漏洞的软件包 用户 直接利用厂家缺省配置 用户泄漏网络安全敏感信息 如 DNS 服务配置信息 14 安全岗位设置和安全管理策略实施难题 安全岗位设置和安全管理策略实施难题 根据安全原则 一个系统应该设置多个人员来共同负责管理 但是受成本 技术等限制 一个管理员既要负责系统的配置 又要负责安全管理 安全设置 和安全审计都是 一肩挑 这种情况使得安全权限过于集中 一旦管理员的权 限被人控制 极易导致安全失控 15 信息安全成本投入和信息安全成本投入和经济经济效益回报可见性 效益回报可见性 由于网络攻击手段不断变化 原有的防范机制需要随着网络系统环境和攻 击适时而变 因而需要不断地进行信息安全建设资金投入 但是 一些信息安 全事件又不同于物理安全事件 信息安全事件所产生的经济效益往往是间接的 不容易让人清楚明白 从而造成企业领导人的误判 进而造成信息安全建设资 金投入困难 这样一来 信息安全建设投入往往是 事后 进行 即当安全事件 产生影响后 企业领导人才会意识安全的重要性 这种做法造成信息安全建设 缺乏总体规划 基本上是 头痛医头 脚痛医脚 信息网络工作人员整天疲于 奔命 成了 救火队员 风险分析风险分析 风险分析是标识安全风险 确定其大小和标识需要保护措施地区域的过程 其目的是分离可接受的小风险和不能接受的大风险 为风险评价和风险处置提 供数据 风险分析主要有定性分析方法和定量分析方法两种 定性分析方法是 最广泛使用的风险分析方法 主要采用文字形式或叙述性的数值范围来描述潜 在后果的大小程度及这些后果发生的可能性 相对于威胁发生的可能性 该方 法通常更关注威胁事件带来的损失 定性分析方法在后果和可能性分析中采用 数值 不是定性分析中所使用的叙述性数值范围 并采用从不同来源中得到的 数据进行分析 其主要步骤集中在现场调查阶段 针对系统关键资产进行定量 的调查 分析 为后续评估工作提供参考数据 在软件企业进行风险分析时 因为定量分析方法中的数值 数据不易获取 我们通常采用定性分析方法 风 险分析又包括以下 4 个方面 针对定性分析方法 具体过程如下 1 识别评估资产 识别评估资产 在 ISMS 中所识别评估的资产有别于常见的固定资产 这里的资产主要指 信息 信息处理设施和信息使用者 在识别资产时 我们需要选择适合的分类 原则和识别粒度 在软件企业中 通常把资产划分为硬件 软件等方面 还需 要对这些方面进行细分 也就是进行二级分类 在评估资产时 我们要从信息的三个属性即保密性 完整性和可用性来评 估资产的重要度等级 资产的重要度等级是我们进行风险评价的依据之一 资 产重要度等级可以按如下定义和赋值 资产属于 高 等级重要度 赋值为 3 该类信息资产若发生泄露 损坏 丢失或无法使用 会给公司造成严重或无法挽回的经济损失 资产属于 中 等级重要度 赋值为 2 该类信息资产若发生泄露 损坏 丢失或无法使用 会给公司造成一定的经济损失 资产属于 低 等级重要度 赋值为 1 该类信息资产若发生泄露 损坏 丢失或无法使用 会给公司造成轻微的经济损失 2 识别评估威胁 识别评估威胁 我们应该清楚威胁一定是与资产相对应的 某一资产可能面临多个威胁 在识别威胁时 我们主要从威胁源来识别出相对应的资产所面临的威胁 识别 出威胁后 综合考虑威胁源的动机 能力和行为 对威胁进行评估 例如软件 企业中计算机面临病毒 木马攻击的威胁 这种威胁动机 能力较强 3 识别评估脆弱性 识别评估脆弱性 脆弱性可以理解为资产可以被某种威胁所利用的属性 一种威胁可能利用 一种或多种脆弱性而产生风险 我们从管理和技术两个方面来识别脆弱性 通 常采用文档审核 人员访谈 现场检查等方法 针对 识别评估威胁 中所举例 的威胁 软件企业计算机可能存在未安装杀毒软件 防火墙或使用人员未及时 升级病毒库等脆弱性 4 识别评估控制措施 识别评估控制措施 在我们识别出威胁和脆弱性之后 我们要针对威胁利用脆弱性产生的风险 来识别组织自身是否已经采取控制措施 并采取叙述性数值的方式来描述已采 取控制措施的有效性 评估的标准由组织进行制定 例如控制措施有效性可以 定义进行如下定义和赋值 控制措施影响程度为 好 赋值为 1 该类控制措施已经对信息资产威胁 和脆弱性起到良好的控制效果 能够满足公司的信息安全管理要求 控制措施影响程度为 中 赋值为 2 该类控制措施已经对信息资产威胁 和脆弱性起到一定的控制效果 需要增加辅助的控制措施满足公司信息安全管 理要求 控制措施影响程度为 低 赋值为 3 该类控制措施已经对信息资产威胁 和脆弱性未起到控制效果 需要重新制定新的控制措施满足公司信息安全管理 要求 控制措施的有效性是我们风险评价的依据之一 风险评价风险评价 风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程 其结果是具有不同等级的风险列表 目的是判断特定的风险是否可接受或者是 否需采取其他措施处置 风险评价主要包括以下几个过程 1 分析评估可能性和影响 分析评估可能性和影响 可能性 指威胁利用脆弱性的可能性 影响 指威胁利用脆弱性后 对组 织资产造成的影响 在分析可能性时 我们主要考虑威胁源的动机 能力和脆 弱性的性质 在评估可能性时 依据组织制定的评估准则 对可能性进行描述 例如将可能性进行如下定义和赋值 可能性级别 高 赋值为 1 威胁源具有强烈动机和足够的能力 防止脆 弱性被利用的防护措施是无效的 可能性级别 中 赋值为 0 5 威胁源具有一定的动机和能力 但是已经 部署的安全防护措施可以阻止对脆弱性的成功利用 可能性级别 低 赋值为 0 威胁源缺少动机和能力 或者已经部署的安 全防护措施能够防止 至少能大大地阻止对脆弱性的利用 在分析影响时 我们主要考虑威胁源的能力 脆弱性的性质以及威胁利用 脆弱性对组织资产保密性 可用性 完整性造成的损失 在评估影响时 同样 依据组织制定的评估准则 对影响进行描述 例如将影响进行如下定义和赋值 影响级别 高 赋值为 l00 该级别影响对脆弱性的利用 a 可能导致有 形资产或资源的高成本损失 b 可能严重违犯 危害或阻碍单位的使命 声誉或 利益 c 可能导致人员死亡或者严重伤害 影响级别 中 赋值为 50 该级别影响对脆弱性的利用 a 可能导致有形 资产或资源的损失 b 可能违犯 危害或阻碍单位使命 声誉或利益 c 可能导致 人员伤害 影响级别 低 赋值为 10 该级别影响对脆弱性的利用 a 可能导致某些 有形资产或资源的损失 b 可能导致单位的使命 声誉或利益造成值得注意的影 响 参考 风险分析 中的例子 病毒 木马攻击的动机 能力很强 员工很容 易忽略对杀毒软件病毒库的升级 病毒 木马攻击很可能导致公司重要数据的 丢失或损坏 那么这种威胁利用脆弱性的可能性就比较高 影响也比较高 均 属于 高 等级 可能性和影响都是我们进行风险评价的依据 2 评价风险 评价风险 在评价风险时 我们需要考虑资产的重要度等级 已采取控制措施的有效 性 可能性和影响 通常可以采取叙述性赋值后依据组织制定的评价方法进行 计算的方式 计算出风险值 并根据组织制定的准则 将风险进行分级 例如 将风险进行如下分级 高 等级风险 如果被评估为高风险 那么便强烈要求有纠正措施 一个现 有系统可能要继续运行 但是必须尽快部署针对性计划 中 等级风险 如果被评估为中风险 那么便要求有纠正行动 必须在一个 合理的时间段内制定有关计划来实施这些行动 低 等级