具有可实施性的信息安全风险管理体系

1、具有可实施性的信息安全风险管理体系迈克菲 (中国 )公司常颢 摘要 随着企业网络的不断发展，信息系统已经成为大多数企业、 政府正常工作的一部分，而传统的信息安全建设往往就是安全产品的堆砌，对于安全风险的控制和管理依然停留在理论阶段。 本文着重提出了由经典安全风险管理理论进一步发展而来的动态风险管理体系，并简述其在传统IT 环境中具备的应用优势。 关键词 安全风险管理风险弱点评估管理信息安全概述随着企业网络的不断扩大，越来越多的安全威胁在影响着企业的安全状况，近两年熊猫烧香、confitcer 蠕虫都给企业带来了大量的安全损失，然而，解决企业的信息安全问题，不能单独从某一个方面人手，最好的解决方

2、案应该是从整体上降低信息安全风险。国际上传统的风险管理流程较为概略，在中国特有的网络环境中也比较缺乏可实施性，本文将会针对中国IT 环境的建设过程， 遵循一定信息安全系统建设规律，考虑到各个信息安全产品之间的整合和联动，形成一个完善的动态信息安全风险管理体系，让国际标准在中国的IT 环境中得以实现。1 IT 系统信息安全建设的现状传统的信息安全建设网局限于防御系统的建设，企业不断的在投入资金，购买各种各样的硬件设备和软件系统，主要的功能集中在抵御各类安全威胁，其中包括：终端防病毒系统、终端安全管理系统、防火墙、入侵防御设备、web防护类设备，入侵检测等等。采用这样的信息安全产品能够取得一些效果

3、，但是往往造成信息安全系统比较被动，不能够主动的发现安全风险，及时的降低安全风险。(1) 经常采用的信息安全产品我们在信息安全建设的初级阶段，经常采购的信息安全产品包括：防病毒：在终端部署的企业防病毒产品，检测和查杀各类病毒；防火墙 (Firewall) ：访问控制设备，帮助建立基本的企业网络安全边界webcache设备：部署在外部网络，实现对网络访问的缓存, 提升访问速度；负载均衡：对网络访问性能进行调控，保证网络负载均衡;邮件安全网关：实时检测和过滤各类病毒邮件及垃圾邮件；入侵检测和防御系统：检测网络数据，对网络内部的各类 攻击行为进行报警；部署的安全设备能够起到一定的安全防护功能，但是随

4、着 安全威胁的不断变化和发展，现有的安全机制已经难以满足目前 的信息安全需求，我们需要主动地控制安全风险，才能够在不断 复杂的安全环境中确保企业网络的安全。（2）普遍意义上的安全风险管理信息安全风险管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效评估、 分析、控制和管理。在ISO标准当中，已经给出了一个非常经典 的安全风险模型，如下：安全风险=也就是说，只有企业具有了信息化的核心资产（比如有很重要的数据保存在服务器上），这些资产存在弱点和漏洞（比如微 软操作系统的漏洞），又存在被损害的可能（比如病毒、黑客攻击 等等），才可能给企业造成损失。因此，企业的安

5、全风险和这三 个方面相关，企业也只有同时管理好这三个方面， 才可能真正的 确保网络安全。而传统的安全产品（如前所述），只是去抵御安全威胁，却 忽视了资产的重要性和对漏洞的管理。更加不可能实现多安全风 险的准确评估和动态管理。（3）风险管理流程既然要降低安全风险，我们就需要一个成熟的流程来对信 息安全风险进行管理和控制，一般的安全风险管理流程如图1。识别风险：准确识别网络中存在的安全风险；分析风险：通过定性或者定量的方法确定现存的安全风险是否需要消除；消除风险：通过有效的手段降低安全风险；监控风险：监控安全风险的变化，做到对风险的动态管理。(4) 安全风险管理的问题传 统 的 安 全 产 品 ，

6、 如IDS( IDS 是 英 文 “ IntrusionDetection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、 系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性)、防病毒系统等只是在被动的抵御或检测安全威胁，缺乏主动的防护措施和手段；而要实现主动的信息安全管理，则需要对企业整体的安全风险进行监控和管理，但在执行过程中，存在如下问题：没有技术手段实现对安全风险的全面的监控；消除信息安全风险的手段不明确；缺乏详细的可实施的信息安全风险管理流程，能够结合所有的信息安全产品，从而实

7、现全面的安全风险管理。2动态安全风险管理体系基于国际信息安全标准，结合中国IT 环境的特点，我们应该首先明确安全风险的三个重要方面及控制手段，有计划有步骤的加强整个信息安全体系的建设，才有可能最终实现完善的风险管理系统。(1) 可实施的安全风险管理理论根据安全风险的特点和三个关键要素，我们可以针对信息安全风险形成更具可实施性的安全风险管理方法论，其核心思路是根据企业的基础环境，全面准确的评估安全风险，并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御安全威胁，最终主动的降低整体安全风险。要实现对安全风险的管理和控制，需要实现完整的风险管理流程：发现安全风险：通过有效的手段，确定存在安

8、全风险的资产和区域，定位安全风险存在的区域；评估安全风险：准确高效的评估安全风险，了解安全风险的大小和实质；强制措施降低风险：通过管理或强制等安全手段，主动地降低安全风险：安全防御：通过各类系统、网络安全设备，防御各类安全 威胁；修补：主动修补存在的各类漏洞，全面降低安全风险。综上所述，通过完整的安全风险管理流程，对整个网络的 安全风险实现全面的管理和控制，5个步骤缺一不可，同时，风 险管理流程根据企业的具体情况， 可以有不同的实现方式，最终 实现：始终遵守确定的安全政策；基于风险管理，整合网内现有的安全防护产品；通过全面的实时防护产品更好的检测并阻止安全威胁。(2)实现安全风险管理的详细步骤

9、确立安全标准和方针；统计信息资产；整合并确认资产的商业价值；检测资产存在的安全漏洞；了解存在的潜在威胁；分析存在的安全风险；通过安全防御产品实时阻断安全威胁;强制安全策略并应用补救措施；评估安全效果和影响；针对已有策略进行比对。评怙控 制效果策略宜合性酬补漏洞全面防御 评估及腌由防御或胁定义资产重要性漏洞安全风险图2综上所述，传统的安全产品(防病毒、防火墙等)，只是去 抵御安全威胁，却忽视了对整体安全风险的考虑，而整合的安全 风险管理体系考虑到了可能影响企业安全风险的三个关键要素，并且可以结合现有的安全产品，通过完善安全风险管理流程帮助企业实时的控制整体安全风险，真正的解决安全问题。(3) 安全风险管理体系的建设步骤要实现完善的安全风险管理，我们需要有计划有步骤的完善自身的安全风险管理体系，并且制定相应的安全策略，做到有的放矢。 企业在构建安全风险管理体系的时候，有一个基本次序：首先，构建完善的终端安全体系，因为终端安全是基础，任何安全威胁最终影响到的都是终端系统，同时， 终端面对的病毒等威胁数量