時間:2022-05-20 11:23:22
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全風險評估,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
我國的信息安全標準化制定工作比歐美國家起步晚。全國信息化標準制定委員會及其下屬的信息安全技術委員會開展了我國信息安全標準方面工作,完成了許多安全技術標準的制定,如GB/T18336、GB17859等。在信息系統(tǒng)的安全管理方面,我國目前在BS7799和ISO17799及CC標準基礎上完成了相關的標準修訂,我國信息安全標準體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇,信息系統(tǒng)的安全問題越來越受到人們的普遍關注,如今國內(nèi)高校已經(jīng)加強關于信息安全管理方面的研究與實踐。
2高校信息安全風險評估模型
2.1信息安全風險評估流程
[2]在實施信息安全風險評估時,河南牧業(yè)經(jīng)濟學院成立了信息安全風險評估小組,由主抓信息安全的副校長擔任組長,各個相關單位和部門的代表為成員,各自負責與本系部相關的風險評估事務。評估小組及相關人員在風險評估前接受培訓,熟悉運作的流程、理解信息安全管理基本知識,掌握風險評估的方法和技巧。學院的風險評估活動包括以下6方面:建立風險評估準則。建立評估小組,前期調(diào)研了解安全需求,確定適用的表格和調(diào)查問卷等,制定項目計劃,組織人員培訓,依據(jù)國家標準確定各項安全評估指標,建立風險評估準則。資產(chǎn)識別。學院一卡通管理系統(tǒng)、教務管理系統(tǒng)等關鍵信息資產(chǎn)的標識。威脅識別。識別網(wǎng)絡入侵、網(wǎng)絡病毒、人為錯誤等各種信息威脅,衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產(chǎn)、各控制流程與管理中的弱點。風險識別。進行風險場景描述,依據(jù)國家標準劃分風險等級評價風險,編寫河南牧業(yè)經(jīng)濟學院信息安全風險評估報告。風險控制。推薦、評估并確定控制目標和控制,編制風險處理計劃。學院信息安全風險評估流程圖如圖1所示:
2.2基于PDCA循環(huán)的信息安全風險評估模型
PDCA(策劃—實施—檢查—措施)經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”,是由休哈特(WalterShewhart)在19世紀30年代構想,隨后被戴明(EdwardsDeming)采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入,該循環(huán)在各類管理領域得到廣泛使用,取得良好效果。PDCA循環(huán)將一個過程定義為策劃、實施、檢查、措施四個階段,每個階段都有階段任務和目標,如圖2所示,四個階段為一個循環(huán),一個持續(xù)的循環(huán)使過程的目標業(yè)績持續(xù)改進,如圖3所示。
3基于PDCA循環(huán)模型的信息安全風險評估的實現(xiàn)
[3-5]河南牧業(yè)經(jīng)濟學院信息系統(tǒng)安全風險評估的研究經(jīng)驗積累不足,本著邊實踐邊改進,逐步優(yōu)化的原則,學院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風險評估模型為信息安全風險評估奠定了理論依據(jù),是有效進行信息安全風險評估的前提。學院擁有3個校區(qū),正在逐步推進數(shù)字化校園的建設。校園網(wǎng)一卡通、教務、資產(chǎn)、檔案等管理系統(tǒng)是學院網(wǎng)絡核心業(yè)務系統(tǒng),同時各院系有自己的各類教學系統(tǒng)平臺,由于網(wǎng)絡環(huán)境的復雜性,經(jīng)常會監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡攻擊,信息安全防范問題已經(jīng)很突出。信息安全風險評估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學院各類信息系統(tǒng)進行全面的風險評估(圖4),以便下一步對存在的風險進行有效的管理,根據(jù)信息系統(tǒng)安全風險評估報告,提出相應的系統(tǒng)安全方案建議,對全院信息系統(tǒng)當前突出的安全問題進行實際解決。
3.1建立信息安全管理體系環(huán)境風險評估(P策劃)
風險規(guī)劃是高校開展風險評估管理活動的首要步驟。學院分析內(nèi)外環(huán)境及管理現(xiàn)狀,制定包括準確的目標定位、具體的應對實施計劃、合理的經(jīng)費預算、科學的技術手段等風險評估管理規(guī)劃。風險規(guī)劃內(nèi)容包括確定范圍和方針、定義風險評估的系統(tǒng)性方法、識別風險、評估風險、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領導批準,評估小組開始實施和運作信息安全管理體系。
3.2實施并運行信息安全管理體系(D實施)
該階段的任務是管理運作適當?shù)膬?yōu)先權,執(zhí)行選擇控制,以管理識別的信息安全風險。學院通過自行研發(fā)的信息安全風險管理工具,將常見的風險評估方法集成到軟件之中,包括有信息資產(chǎn)和應用系統(tǒng)識別、風險識別與評估、風險處置措施及監(jiān)測、風險匯總與報告生成等功能。通過使用信息安全風險管理工具,安全風險評估工作都得到了簡化,減輕人員的工作量,幫助信息安全管理人員完成復雜的風險評估工作,從而提高學院的信息安全管理水平。
3.3監(jiān)視并評審信息安全管理體系(C檢查)
檢查階段是尋求改進機會的階段,是PDCA循環(huán)的關鍵階段。信息安全管理體系分析運行效果,檢查到不合理、不充分的控制措施,采取不同的糾正措施。學院在系統(tǒng)實施過程中,規(guī)劃各院系的信息安全風險評估由本系專門人員上傳數(shù)據(jù),但在具體項目實施中,發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰,嚴重影響學院整體信息系統(tǒng)安全評估的可靠性,為了強化人員責任意識,除了加強風險評估的培訓外,還制定相應的懲罰獎勵制度,實時進行監(jiān)督檢查,盡最大可能保證風險評估數(shù)據(jù)的準確性[6]。
3.4改進信息安全管理體系(A措施)
經(jīng)過以上3個步驟之后,評估小組報告該階段所策劃的方案,確定該循環(huán)給管理體系是否帶來明顯的效果,是繼續(xù)執(zhí)行,還是升級改進、放棄重新進行新的策劃。學院在項目具體實施后,信息安全狀況有了明顯的改善,信息管理人員安全責任意識明顯提升,遭受到的內(nèi)外網(wǎng)絡攻擊、網(wǎng)絡病毒等風險因素能及時發(fā)現(xiàn)處理。評估小組考慮將成果具體擴大到學院其他的部門或領域,開始了新一輪的PDCA循環(huán)持續(xù)改進信息安全風險評估。
4結語
關鍵詞:信息安全;風險評估;脆弱性;威脅
1. 引言
隨著信息技術的飛速發(fā)展,關系國計民生的關鍵信息資源的規(guī)模越來越大,信息系統(tǒng)的復雜程度越來越高,保障信息資源、信息系統(tǒng)的安全是國民經(jīng)濟發(fā)展和信息化建設的需要。信息安全的目標主要體現(xiàn)在機密性、完整性、可用性等方面。風險評估是安全建設的出發(fā)點,它的重要意義在于改變傳統(tǒng)的以技術驅(qū)動為導向的安全體系結構設計及詳細安全方案的制定,以成本一效益平衡的原則,通過評估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性,并結合資產(chǎn)的重要程度來識別信息系統(tǒng)的安全風險。信息安全風險評估就是從風險管理角度,運用科學的分析方法和手段,系統(tǒng)地分析信息化業(yè)務和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險,或者將殘余風險控制在可接受的水平,從而最大限度地保障網(wǎng)絡與信息安全。
2.網(wǎng)絡信息安全的內(nèi)容和主要因素分析
“網(wǎng)絡信息的安全”從狹義的字面上來講就是網(wǎng)絡上各種信息的安全,而從廣義的角度考慮,還包括整個網(wǎng)絡系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲、傳輸?shù)仁褂眠^程的安全。
網(wǎng)絡信息安全具有如下6個特征:(1) 保密性。即信息不泄露給非授權的個人或?qū)嶓w。(2)完整性。即信息未經(jīng)授權不能被修改、破壞。(3)可用性。即能保證合法的用戶正常訪問相關的信息。(4)可控性。即信息的內(nèi)容及傳播過程能夠被有效地合法控制。(5)可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網(wǎng)絡信息安全的研究內(nèi)容非常廣泛,根據(jù)不同的分類方法可以有多種不同的分類。研究內(nèi)容的廣泛性決定了實現(xiàn)網(wǎng)絡信息安全問題的復雜性。
而通過有效的網(wǎng)絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點,能夠?qū)碗s的問題量化,同時,也為能通過其他方法如人工智能網(wǎng)絡方法解決問題提供依據(jù)和基礎。
網(wǎng)絡信息安全的風險因素主要有以下6大類:(1)自然界因素,如地震、火災、風災、水災、雷電等;(2)社會因素,主要是人類社會的各種活動,如暴力、戰(zhàn)爭、盜竊等;(3)網(wǎng)絡硬件的因素,如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響;(4)軟件的因素,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統(tǒng)、各種服務器的數(shù)據(jù)庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等;(5)人為的因素,主要包括網(wǎng)絡信息使用者和參與者的各種行為帶來的影響因素,如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等;(6)其他因素,包括政府職能部門的監(jiān)管因素、有關部門對相關法律法規(guī)立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內(nèi)容的宣傳因素等。這些因素對于網(wǎng)絡信息安全均會產(chǎn)生直接或者間接的影響。
3.安全風險評估方法
3.1 定制個性化的評估方法
雖然已經(jīng)有許多標準評估方法和流程,但在實踐過程中,不應只是這些方法的套用和拷貝,而是以他們作為參考,根據(jù)企業(yè)的特點及安全風險評估的能力,進行“基因”重組,定制個性化的評估方法,使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網(wǎng)絡結構評估、脆弱性掃描、策略評估、應用風險評估等。
3.2 安全整體框架的設計
風險評估的目的,不僅在于明確風險,更重要的是為管理風險提供基礎和依據(jù)。作為評估直接輸出,用于進行風險管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應用較少。但是,企業(yè)至少應該完成近期 1~2 年內(nèi)框架,這樣才能做到有律可依。
3.3 多用戶決策評估
不同層面的用戶能看到不同的問題,要全面了解風險,必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程,對于了解風險、理解風險、管理風險、落實行動,具有極大的意義。事實證明,多用戶參與的效果非常明顯。多用戶“決策”評估,也需要一個具體的流程和方法。
3.4 敏感性分析
由于企業(yè)的系統(tǒng)越發(fā)復雜且互相關聯(lián),使得風險越來越隱蔽。要提高評估效果,必須進行深入關聯(lián)分析,比如對一個老漏洞,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關的其他技術和管理漏洞,找出病“根”,開出有效的“處方”。這需要強大的評估經(jīng)驗知識庫支撐,同時要求評估者具有敏銳的分析能力。
3.5 集中化決策管理
安全風險評估需要具有多種知識和能力的人參與,對這些能力和知識的管理,有助于提高評估的效果。集中化決策管理,是評估項目成功的保障條件之一,它不僅是項目管理問題,而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人,去執(zhí)行相應的關鍵任務。如控制臺審計和滲透性測試,由不具備攻防經(jīng)驗和知識的人執(zhí)行,就達不到任何效果。
3.6 評估結果管理
安全風險評估的輸出,不應是文檔的堆砌,而是一套能夠進行記錄、管理的系統(tǒng)。它可能不是一個完整的風險管理系統(tǒng),但至少是一個非常重要的可管理的風險表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng),使用它來指導評估過程,管理評估結果,以便在管理層面提高評估效果。
4.風險評估的過程
4.1 前期準備階段
主要任務是明確評估目標,確定評估所涉及的業(yè)務范圍,簽署相關合同及協(xié)議,接收被評估對象已存在的相關資料。展開對被評估對象的調(diào)查研究工作。
4.2 中期現(xiàn)場階段
編寫測評方案,準備現(xiàn)場測試表、管理問卷,展開現(xiàn)場階段的測試和調(diào)查研究階段。
4.3 后期評估階段
撰寫系統(tǒng)測試報告。進行補充調(diào)查研究,評估組依據(jù)系統(tǒng)測試報告和補充調(diào)研結果形成最終的系統(tǒng)風險評估報告。
5.風險評估的錯誤理解
(1) 不能把最終的系統(tǒng)風險評估報告認為是結果唯一。
(2)不能認為風險評估可以發(fā)現(xiàn)所有的安全問題。
(3) 不能認為風險評估可以一勞永逸的解決安全問題。
(4)不能認為風險評估就是漏洞掃描。
(5)不能認為風險評估就是 IT部門的工作,與其它部門無關。
(6) 不能認為風險評估是對所有信息資產(chǎn)都進行評估。
6.結語
總之,風險評估可以明確信息系統(tǒng)的安全狀況和主要安全風險。風險評估是信息系統(tǒng)安全技術體系與管理體系建設的基礎。通過風險評估及早發(fā)現(xiàn)安全隱患并采取相應的加固方案是信息系統(tǒng)安全工程的重要組成部分,是建立信息系統(tǒng)安全體系的基礎和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求,但是,信息安全評估工作的實施也存在一定的難題,涉及信息安全評估的行業(yè)或系統(tǒng)各不相同,并不是所有的評估方法都適用于任何一個行業(yè),要選擇合適的評估方法,或開發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評估方法,是當前很現(xiàn)實的問題,也會成為下一步研究的重點。
參考文獻:
[1] 剛 , 吳昌倫. 信息安全風險評估的策劃[J]. 信息技術與標準化 , 2004,(09)
[2] 賈穎禾. 信息安全風險評估[J]. 中國計算機用戶 , 2004,(24)
[3] 楊潔. 層次化的企業(yè)信息系統(tǒng)風險分析方法研究[J]. 軟件導刊 , 2007,(03)
[4] 楊晨. 建立健全信息安全風險評估工作機制勢在必行——信息安全專家趙戰(zhàn)生訪談[J]. 當代通信 , 2004,(22)
關鍵詞:網(wǎng)絡審計 歷史財務報表審計 信息安全管理 風險評估
一、引言
從審計的角度,風險評估是現(xiàn)代風險導向?qū)徲嫷暮诵睦砟睢o論是在歷史財務報表審計還是在網(wǎng)絡審計中,現(xiàn)代風險導向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應以風險評估為中心,通過對被審計單位及其環(huán)境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度,企業(yè)風險管理將風險評估作為其基本的要素之一進行規(guī)范,要求企業(yè)在識別和評估風險可能對企業(yè)產(chǎn)生影響的基礎上,采取積極的措施來控制風險,降低風險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業(yè)風險管理的一部分,是企業(yè)信息安全管理的基礎和關鍵環(huán)節(jié)。盡管如此,風險評估在網(wǎng)絡審計、歷史財務報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風險和網(wǎng)絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開,將網(wǎng)絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網(wǎng)絡審計風險評估的理解。
二、網(wǎng)絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內(nèi)部控制政策或程序的情況下,其財務報表某項認定產(chǎn)生重大錯報的可能性;控制風險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發(fā)現(xiàn)被審計單位財務報表上存在重大錯報或漏報的可能性。在網(wǎng)絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內(nèi)容直接受計算機網(wǎng)絡環(huán)境下信息系統(tǒng)特定風險的影響。計算機及網(wǎng)絡技術的應用能提高企業(yè)經(jīng)營活動的效率,為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性,但同時也為企業(yè)帶來了一些新的風險。這些新的風險主要表現(xiàn)為:(1)數(shù)據(jù)與職責過于集中化。由于手工系統(tǒng)中的職責分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了,這些集中的數(shù)據(jù)庫技術無疑會增加數(shù)據(jù)縱和破壞的風險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術要求,非專業(yè)人員難以察覺計算機舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計工作。(5)網(wǎng)絡系統(tǒng)在技術和商業(yè)上的風險,如計算機信息系統(tǒng)所依賴的硬件設備可能出現(xiàn)一些不可預料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應地,網(wǎng)絡審計的固有風險主要是指系統(tǒng)環(huán)境風險,即財務電算化系統(tǒng)本身所處的環(huán)境引起的風險,它可分為硬件環(huán)境風險和軟件環(huán)境風險。控制風險包括系統(tǒng)控制風險和財務數(shù)據(jù)風險,其中,系統(tǒng)控制風險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴密造成的風險,財務數(shù)據(jù)風險是指電磁性財務數(shù)據(jù)被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統(tǒng)的操作人員、技術人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風險。
(二)風險評估目的無論在網(wǎng)絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網(wǎng)絡審計的審計對象包括被審計單位基于網(wǎng)絡的財務信息和網(wǎng)絡財務信息系統(tǒng)兩類,因此審計人員關注的風險應是被審計單位經(jīng)營過程中與該兩類審計對象相關的風險。(1)對于與企業(yè)網(wǎng)絡財務信息系統(tǒng)相關的風險,審計人員應該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發(fā)模型中還是在更為復雜的螺旋式等模型中,一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同,企業(yè)在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統(tǒng)運行所必備的機房、設備、辦公場所、系統(tǒng)線路及相關環(huán)境;網(wǎng)絡層,即信息系統(tǒng)所需的網(wǎng)絡架構的安全情況、網(wǎng)絡設備的漏洞情況、網(wǎng)絡設備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應用層,即信息系統(tǒng)所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網(wǎng)絡的相關財務信息存在重大錯報的可能性,它是針對企業(yè)借助于網(wǎng)絡信息系統(tǒng)或網(wǎng)絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網(wǎng)絡審計中關注的重大錯報風險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務業(yè)績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。
(三)風險評估內(nèi)容 廣泛意義的風險評估是指考慮潛在事件對目標實現(xiàn)的影響程度。由于網(wǎng)絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內(nèi)容上也是存在區(qū)別的。總的來說,網(wǎng)絡審計的風險評估內(nèi)容比歷史財務報表審計的風險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風
險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風險,審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰(zhàn)略以及相關經(jīng)營風險、被審計單位財務業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環(huán)境外,還應該關注其他相關的潛在事件及其影響,尤其是企業(yè)的財務信息系統(tǒng)及基于網(wǎng)絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統(tǒng)及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡的財務信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡財務信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網(wǎng)絡、系統(tǒng)的弱點來成功地引起破壞。因此,我們認為網(wǎng)絡審計申風險評估的內(nèi)容應包括以下幾方面:(1)識別被審計單位財務信息系統(tǒng)及其基于網(wǎng)絡的財務信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識別被審計單位財務信息系統(tǒng)及其基于網(wǎng)絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度,判斷風險發(fā)生的可能性;(4)根據(jù)風險發(fā)生的可能性,評價風險對財務信息系統(tǒng)和基于網(wǎng)絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網(wǎng)絡審計中的風險評估。但在具體運用時網(wǎng)絡審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡的財務信息可大致分為管理人員、系統(tǒng)開發(fā)和維護人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數(shù)據(jù)及與財務信息相關的非財務數(shù)據(jù)可能的異常趨勢外,審計人員應格外關注對信息系統(tǒng)及網(wǎng)絡的特性情況,被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時,除執(zhí)行常規(guī)程序外,審計人員應注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對特定系統(tǒng)或網(wǎng)絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調(diào)查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法;工具掃描是指通過評估工具軟件或?qū)S冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息,包括主機掃描、網(wǎng)絡掃描、數(shù)據(jù)庫掃描等,用于分析系統(tǒng)、應用、網(wǎng)絡設備存在的常見漏洞。風險問卷調(diào)查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業(yè)所設定的風險管理和應對策略的有效性進行分析,進而評價企業(yè)相關風險發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡的財務信息在網(wǎng)絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業(yè)務性質(zhì)選擇合適的程序。
三、網(wǎng)絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據(jù)國家有關信息安全技術標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風險管理的角度,在系統(tǒng)分析和評估風險發(fā)生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業(yè)面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡審計是由獨立審計人員向企業(yè)提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡的財務信息的合法性、公允性以及網(wǎng)絡財務信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響,它要求評估人員關注與企業(yè)整個信息系統(tǒng)和所有的信息相關的風險,包括實體安全風險、數(shù)據(jù)安全風險、軟件安全風險、運行安全風險等。網(wǎng)絡審計中,審計人員是對被審計單位的網(wǎng)絡財務信息系統(tǒng)和基于網(wǎng)絡的財務信息發(fā)表意見,因此,風險評估時審計人員主要關注的是與企業(yè)財務信息系統(tǒng)和基于網(wǎng)絡的財務信息相關的風險,而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關的風險。根據(jù)評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風險評估活動;他評估通常是由組織的上級主管機關或業(yè)務主管機關發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執(zhí)行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業(yè)務,與網(wǎng)絡審計嚴格區(qū)分開來。
(二)風險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內(nèi)容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風險和安全措施;相關屬性包括業(yè)務戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產(chǎn)進行識別,并對資產(chǎn)賦值;(2)對威脅進行分析,并對威
脅發(fā)生的可能性賦值;(3)識別信息資產(chǎn)的脆弱性,并對弱點的嚴重程度賦值;(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織的影響,即風險值。結合上文網(wǎng)絡審計風險評估五個方面的內(nèi)容可以看出,網(wǎng)絡審計和信息安全風險評估在內(nèi)容上有相近之處,即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業(yè)的一項內(nèi)部管理,其風險評估工作需要從兩個層次展開:一是評估風險發(fā)生的可能性及其影響;二是提出防護或整改措施以控制風險。第一個層次的工作實質(zhì)上是為第二層次工作服務的,其重點在第二層次。《信息安全風險評估指南》(征求意見稿)提出,企業(yè)在確定出風險水平后,應對不可接受的風險選擇適當?shù)奶幚矸绞郊翱刂拼胧⑿纬娠L險處理計劃。其中,風險處理的方式包括回避風險、降低風險、轉(zhuǎn)移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關注成本與風險的平衡。網(wǎng)絡審計的風險評估工作主要集中在第一個層次,即審計人員通過風險評估,為進一步審計中做出合理的職業(yè)判斷、有效地實施網(wǎng)絡審計程序和實現(xiàn)網(wǎng)絡審計目標提供重要基礎。因此,兩者的評估內(nèi)容是存在區(qū)別的。
檔案信息安全保障體系的建設取得了一定的成績,但同時存在許多問題,我們必須及時加以糾正和改進。檔案信息安全保障體系的建設不是一蹴而就的,是一個復雜的社會工程。首先要納入國家信息安全保障體系和電子政務信息安全保障體系的總體格局中,其次學習國內(nèi)外保障體系建設的經(jīng)驗,結合檔案信息資源的自身特點,將檔案信息安全保障體系建設落到實處。檔案信息安全保障存在的問題
1.對檔案信息安全保護和保障概念混淆
信息安全是一個發(fā)展的概念,從通信保密、信息保護發(fā)展到信息保障,或者說是從保密、保護發(fā)展到保障。每個階段的安全屬性也是不斷擴展的,保密階段為保密性:保護階段為保密性、完整性和可用性;保障階段為保密性、完整性、可用性、真實性和不可否認性,甚至在國際標準《信息安全管理體系規(guī)范》ISO/IEC17799:2005中,又增加了可追溯性和可控性。信息安全屬性也是信息安全的目標。保障階段應采取相應的措施達到“七性”。
信息安全保障的提出最早源自美國。1996年美國國防部(DoD)在國防部令S-3600,1對信息安全保障作了如下定義:“保護和防御信息及信息系統(tǒng),確保其可用性、完整性、保密性、可認證性、不可否認性等特性。這包括在信息系統(tǒng)中融入保護、檢測、反應功能,并提供信息系統(tǒng)的恢復功能。”除安全屬性不斷豐富外,安全保障與安全保護主要區(qū)別是主動防御和動態(tài)保護。而與之對應的信息保護是靜態(tài)保護(安全措施基本不變)和被動保護(發(fā)生安全事故后再采取防護措施)。
然而,目前大部分檔案信息安全保障仍只達到安全保護水平。將安全保護和安全保障概念混淆,造成保障階段的能力也停留在保護水平,不能從主動防御和動態(tài)保護來保障檔案信息安全。在具體操作上。仍以身份認證、數(shù)據(jù)備份、安裝防火墻、殺毒軟件和入侵檢測等被動保護措施為主。在日益復雜的檔案信息系統(tǒng)和網(wǎng)絡環(huán)境下,檔案信息得不到應有的保障。
2.偏重技術,忽視管理
在美國國防部對安全保障的定義中,“保護、檢測、反應和恢復”不僅體現(xiàn)動態(tài)保護,還體現(xiàn)安全管理,安全保障也是一個管理過程。
然而長期以來,人們對檔案信息安全偏重于依靠技術。但事實上僅僅依靠技術和產(chǎn)品保障信息安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的,尤其是對內(nèi)網(wǎng)用戶的管理。“三分技術,七分管理”這個在其他領域總結出來的實踐經(jīng)驗和原則。在檔案信息安全領域也同樣適用。據(jù)有關部門統(tǒng)計。在所有的信息安全事件中,屬于管理方面的原因比重高達70%以上,而這些安全問題是可以通過科學的信息安全管理來避免的。因此,安全管理已成為保障檔案信息安全的重要措施。
目前,國際上實現(xiàn)信息安全管理的有效手段是在信息安全等級保護制度下,進行信息安全風險評估。“早在20世紀70年代初期美國政府就提出了風險評估的要求。2002年頒布的《2002聯(lián)邦信息安全管理法》對政務信息安全風險評估提出了更加具體的要求。”歐洲等其他信息化發(fā)達國家也非常重視開展信息安全風險評估工作,將開展信息安全風險評估工作作為提高信息安全保障水平的重要手段。國外風險評估標準主要有:BS7799、ISO/1EC 17799、OCTAVE、NIST SP800―30、AS/NZ54360、SSE―CMM等。
3.缺失安全評估體系
目前,我國檔案信息安全保障體系的建設處于各自為政狀態(tài),沒有將基于等級保護制度下的檔案信息安全風險評估提到議事日程上來。由此造成檔案信息系統(tǒng)建立并采取安全措施后,仍不能明確自己的網(wǎng)絡和應用系統(tǒng)是否達到安全要求?還有哪些安全漏洞?可能造成多大危害?應該怎樣解決?系統(tǒng)升級或調(diào)整后又存在哪些安全風險?如何規(guī)劃檔案信息安全保障體系建設?作為檔案信息系統(tǒng)的擁有者、檔案信息系統(tǒng)安全構建者和檔案信息系統(tǒng)安全的監(jiān)管者,必須有統(tǒng)一的風險評估標準,才可以做到檔案信息安全與否誰也不能說了算,而應該按照統(tǒng)一的風險評估標準來評價是否安全。應采取什么措施。
檔案信息安全保障狀況需進行風險評估
2006年3月7日,醞釀已久的《國家網(wǎng)絡與信息安全協(xié)調(diào)小組關于開展信息安全風險評估工作的意見》(簡稱《意見》)正式對外公布。《意見》要求。各信息化和信息安全主管部門要從抓試點開始,逐步探索組織實施和管理的經(jīng)驗,用三年左右的時間在我國基礎信息網(wǎng)絡和重要信息系統(tǒng)普遍推行信息安全風險評估工作,全面提升網(wǎng)絡和信息系統(tǒng)安全保障能力。
2005年9月,國務院信息化工作辦公室專門組織成立了“電子政務信息安全工作組”,并已編制了《電子政務信息安全等級保護實施指南(試行)》,其中提出將風險評估貫穿等級保護工作的整個流程。所以,作為電子政務系統(tǒng)中保存和管理信息的檔案信息系統(tǒng),與電子政務一脈相承,進行風險評估是遲早的事。對檔案信息安全保障進行風險評估主要有如下優(yōu)勢。
1.將檔案信息安全保障體系納入國家信息保障體系
國家已制定了風險評估標準GB/T 20948―2007《信息安全風險評估規(guī)范》,并將于2007年11月1日正式實施。作為我國信息資源重要組成部分的檔案信息,必須積極響應國家信息安全政策和納入國家信息安全保障體系的總體格局。檔案信息安全風險評估可在此標準的基礎上,結合檔案信息自身特點,先開始在綜合檔案館和電信、銀行、稅務、電力等大型檔案信息管理系統(tǒng)中試驗,在此基礎上再逐步推廣,達到國家要求“2006年后三年內(nèi)在我國基礎信息網(wǎng)絡和重要信息系統(tǒng)普遍推行信息安全風險評估工作”基本目標。
2.規(guī)范檔案信息安全保障體系建設
在檔案信息化過程中。我們已經(jīng)制定了GB/T17678.1―1999《CA D電子文件光盤存儲、歸檔與檔案管理要求。第一部分:電子文件歸檔與檔案管理》、GB/T18894―2002《電子文件歸檔與管理規(guī)范》、GB/T20163―2006《中國檔案機讀目錄格式》、DA/T 22―2000《歸檔文件整理規(guī)則》和DMT 3l一2005《紙質(zhì)檔案數(shù)字化技術規(guī)范》等國家標準和行業(yè)標準,然而與檔案信息安全相關的標準尚未出臺,造成目前檔案信息安全保障體系的建設處于各自為政狀態(tài)。檔案信息風險評估的開展。雖然可以參照國際和國家標準,但最終還必須有針對性強的行業(yè)標準。為了改變目前的現(xiàn)狀,檔案行政管理部門應重視針對檔案信息安全保障政策和標準的建設,抓住國家推廣信息安全風險評估的機會。從風險評估作為切入點,制定檔案信息風險評估和其他安全相關標準,規(guī)范檔案信息安全保障的建設。由于對檔案信息風險評估是以信息安全保障要求為前提的,所以只要進行風險評估就可以糾正信息保護和保障的混淆,并確認是否達到相應的保障要求。
3.貫徹安全技術和管理并重,保障檔案信息安全
等級保護和風險評估是信息安全管理的核心內(nèi)容,是信息安全管理的具體體現(xiàn)。國家提倡在等級保護制度下進行風險評估,就是在對信息系統(tǒng)劃分等級后,采用風險評估測評系統(tǒng)是否達到相應等級的安全要求,這樣可以改變以往只建設不測評的現(xiàn)狀。同時,風險評估還要求貫穿信息系統(tǒng)的整個生命周期,即在信息系統(tǒng)的分析、設計、實現(xiàn)和運行維護的整個生命周期內(nèi),都將進行定期或不定期的風險評估,也體現(xiàn)信息安全保障的動態(tài)安全和主動防御。以往在我們檔案信息安全保障的建設中也強調(diào)信息安全管理機制的構建,而風險評估就是很好的體現(xiàn)。風險評估的進行過程中。有相應的安全策略,按照“誰主管誰負責、誰運行誰負責”的要求,對在崗的每一位員工也有相應的安全職責,這樣也提高了員工的安全意識。
4.完善檔案信息安奎保障體系
對于已建、在建或?qū)⒔ǖ臋n案信息系統(tǒng),以往沒有進行風險評估的,應積極開展這項工作,在沒有正式出臺專門檔案信息風險評估標準前,可參照國內(nèi)國際標準進行,或者參與到電子政務信息的等級保護和風險評估中去。當然風險評估并不是信息安全保障的唯一手段(還包括等級保護、應急響應和災難恢復等),但它是檔案信息安全保障不可或缺的一個重要環(huán)節(jié)。通過風險評估,可完善目前還沒有達到保障要求的檔案信息系統(tǒng)安全保障。另外,對于新建設的檔案信息系統(tǒng)在設計階段就要融入風險評估,這樣可以防患于未然。
5.監(jiān)督和檢查檔案信息安全保障建設
關鍵詞:風險評估;FMEA;資產(chǎn)價值;威脅;脆弱性;失效影響;風險值
中圖分類號:C93 文獻標識碼:A
原標題:FMEA信息安全風險評估模型在檢驗檢疫系統(tǒng)內(nèi)的應用
收錄日期:2014年8月26日
一、背景
1998年3月,成立了中華人民共和國出入境檢驗檢疫局(國家進出口商品檢驗局、原農(nóng)業(yè)部動植物檢疫局和原衛(wèi)生部檢疫局合并組建)。出入境檢驗檢疫機構全面推行“一次報驗、一次取樣、一次檢驗檢疫、一次衛(wèi)生除害處理、一次收費、一次簽證放行”六個一的管理模式,對外簡化辦事手續(xù),避免政出多門、提高工作效率、方便外貿(mào)進出口、降低收費、減輕企業(yè)負擔、強化依法把關力度、促進外貿(mào)經(jīng)濟健康發(fā)展具有十分重要的意義。
信息化工作是檢驗檢疫業(yè)務中一項重要的基礎性工作,信息技術的應用提高了檢驗檢疫把關服務能力,為全面履行檢驗檢疫職能提供了強有力的技術支撐和科技保障。在實際工作中,我們看到大量信息技術被應用在檢驗檢疫業(yè)務中,如 “預警信息管理系統(tǒng)助力醫(yī)學媒介生物監(jiān)測鑒定”、“體溫篩查系統(tǒng)助力旅客通關”、“視頻監(jiān)控系統(tǒng)助力口岸防控”、“射頻RAID技術助力進出口貨物檢驗檢疫跟蹤”成為推動檢驗檢疫服務水平與業(yè)務高效、創(chuàng)新的重要手段。而在檢驗檢疫系統(tǒng)的內(nèi)部管理中,“CIQ2000系統(tǒng)數(shù)據(jù)大集中”、“視頻會議系統(tǒng)全覆蓋”、“業(yè)務無紙化流轉(zhuǎn)”、“政務網(wǎng)站大整合”等,成為提升檢驗檢疫工作質(zhì)量和工作效率強有力的助推器。
隨著檢驗檢疫業(yè)務(以下簡稱“CIQ”業(yè)務)對信息系統(tǒng)依賴程度的日益增強,信息安全問題受到普遍關注。運用風險評估去識別安全風險,解決信息安全問題得到了廣泛的認識和應用。
信息安全風險評估就是從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施;為防范和化解信息安全風險,將風險控制在可接受的水平,從而最大限度地保障信息安全提供科學依據(jù)。
信息安全風險評估作為信息安全保障工作的基礎性工作和重要環(huán)節(jié),要貫穿于信息系統(tǒng)的規(guī)劃、設計、實施、運行維護以及廢棄各個階段,是信息安全管理體系與信息安全等級保護制度建設的重要科學方法之一。
二、風險評估介紹
目前最普遍使用的信息安全風險評估方法就是風險評估的國際標準ISO13335:2005,該標準已被等同轉(zhuǎn)化為中國國家標準《GB/T 20984:2007 信息安全技術 信息安全風險評估規(guī)范》(簡稱《國標GB/T 20984》)。其中,關于風險大小的決定性因素的描述如下:1、業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性,依賴程度越高,要求其風險越小;2、資產(chǎn)是有價值的,組織的業(yè)務戰(zhàn)略對資產(chǎn)的依賴程度越高,資產(chǎn)價值就越大;3、風險是由威脅引發(fā)的,資產(chǎn)面臨的威脅越多則風險越大;4、資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值,資產(chǎn)具有的脆弱性越多則風險越大;5、脆弱性是未被滿足的安全需求,威脅利用脆弱性危害資產(chǎn)。
對以上內(nèi)容進行歸納,總結出風險分析的原理如圖1所示。(圖1)即,風險的大小是由風險的可能性和嚴重性決定的,威脅頻率和脆弱性決定風險的可能性(L),資產(chǎn)價值和脆弱性決定了風險的嚴重性(F),通過識別資產(chǎn)價值(A)、威脅(T)和資產(chǎn)脆弱性(V)就可以計算出該資產(chǎn)的風險值。
因此,風險分析的主要內(nèi)容就是:1、對資產(chǎn)進行識別,并對資產(chǎn)的價值進行賦值;2、對威脅進行識別,描述威脅的屬性,并對威脅出現(xiàn)的頻率賦值;3、對脆弱性進行識別,并對具體資產(chǎn)的脆弱性的嚴重程度賦值;4、根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性;5、根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失;6、根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織的影響,即風險值。
風險值=R(V,P,W)=R(O(P,W),S (V,W))。(為了與后文統(tǒng)一,在公式中用V、P、W、O、S替換了《GB/T 20984》561章節(jié)原文中的對應字母符號)
其中,R表示安全風險計算函數(shù);V表示資產(chǎn)價值;P表示威脅頻率;W表示脆弱性;O表示威脅利用資產(chǎn)的脆弱性導致安全事件的可能性;S表示安全事件發(fā)生后造成的損失。有以下三個關鍵計算環(huán)節(jié):
(一)計算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況,計算威脅利用脆弱性導致安全事件發(fā)生的可能性,即:安全事件的可能性=L(威脅出現(xiàn)頻率,脆弱性)=O (P,W)。
在具體評估中,應綜合攻擊者技術能力(專業(yè)技術程度、攻擊設備等)、脆弱性被利用的難易程度(可訪問時間、設計和操作知識公開程度等)、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。
(二)計算安全事件發(fā)生后造成的損失。根據(jù)資產(chǎn)價值及脆弱性嚴重程度,計算安全事件一旦發(fā)生后所造成的損失,即:安全事件造成的損失=F(資產(chǎn)價值,脆弱性嚴重程度)=S (V,W)。
部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身,還可能影響業(yè)務的連續(xù)性;不同安全事件的發(fā)生對組織的影響也是不一樣的。在計算某個安全事件的損失時,應將對組織的影響也考慮在內(nèi)。
部分安全事件造成的損失的判斷還應參照安全事件發(fā)生可能性的結果,對發(fā)生可能性極小的安全事件,如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等,可以不計算其損失。
(三)計算風險值。根據(jù)計算出的安全事件的可能性以及安全事件造成的損失,計算風險值,即:風險值=R(安全事件的可能性,安全事件造成的損失)=R(O (P,W),S (V,W))。
評估者可根據(jù)自身情況選擇相應的風險計算方法計算風險值,如矩陣法或相乘法。矩陣法通過構造一個二維矩陣,形成安全事件的可能性與安全事件造成的損失之間的二維關系;相乘法通過構造經(jīng)驗函數(shù),將安全事件的可能性與安全事件造成的損失進行運算得到風險值。
三、什么是FMEA風險評估方法
(一)FMEA的起源和背景。國際標準化組織(ISO)于2002年3月公布了一項行業(yè)性的質(zhì)量體系要求,它的全名是“質(zhì)量管理體系―汽車行業(yè)生產(chǎn)件與相關服務件的組織實施ISO9001:2000的特殊要求”,英文為ISO/TS16949。標準中提供了實施必需的五大工具以保障體系的有效落地,它們分別是:產(chǎn)品質(zhì)量先期策劃(APQP)、測量系統(tǒng)分析(MSA)、統(tǒng)計過程控制(SPC)、生產(chǎn)件批準(PPAP)和潛在失效模式與后果分析(FMEA)。
潛在失效模式與后果分析(FMEA),又稱為失效模式與影響后果分析、失效模式與效應分析、故障模式與后果分析或故障模式與效應分析等,是一種操作規(guī)程,旨在對系統(tǒng)范圍內(nèi)潛在的失效模式加以分析,以便按照嚴重程度加以分類,或者確定失效對于該系統(tǒng)的影響。FMEA廣泛應用于制造行業(yè)產(chǎn)品生命周期、質(zhì)量控制、風險分析等的各個階段;而且FMEA在服務行業(yè)的應用也在日益增多。失效原因是指業(yè)務服務、產(chǎn)品加工處理、設計過程中或項目/物品/信息資產(chǎn)項、本身存在的任何錯誤或缺陷,尤其是那些將會對業(yè)務保障(或具體消費者)造成影響的錯誤或缺陷;失效原因可分為潛在的和實際的。影響分析指的是對于這些失效之處的調(diào)查研究。
FMEA是一種過程評價工具,于1950年起源于美國軍方和宇航局,它是通過逐一分析過程中的各種組成因素,找出潛在的失效模式,分析可能產(chǎn)生的后果,并評估其風險,從而提前采取措施,以減少失效后的損失,降低發(fā)生的幾率,所以在本文中引入FMEA的分析方法來解決傳統(tǒng)風險評估方法中存在的一些缺陷。
(二)FMEA風險評估的原理。雖然ISO13335是目前全球使用最廣泛的信息安全風險評估方法論,但是由于這份標準是2005年制定的,至今已有十余個年頭。而這十年是信息技術蓬勃發(fā)展的十年,大量新的技術手段涌現(xiàn)并被人們使用。大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等等這些新技術在帶來技術革新和應用便利的同時,也帶來了新的安全隱患。我們需要關注的風險除了資產(chǎn)本身的風險之外,還需要關注資產(chǎn)失效后的影響衍生出的風險,而傳統(tǒng)方法在這一領域又難以有效地準確評價出風險的大小,因此我們需要一種能夠更準確反映風險大小的評估方法。
對于風險值大小,我們還是遵循原有的規(guī)律,即嚴重性越高的風險越高;可能性越大的風險越高,即風險與嚴重性和可能性成正比。如圖2所示。(圖2)
在測量風險的嚴重性和可能性方面,相對于ISO13335:2005,我們多引入了一個參數(shù),失效模式的影響(E),這個參數(shù)可能會影響到風險的嚴重性。因此,F(xiàn)MEA的風險評估方法論可以總結為:1、所有資產(chǎn)自身都有一定的脆弱性;2、威脅利用了資產(chǎn)的脆弱性導致了資產(chǎn)的失效;3、由于資產(chǎn)的失效而產(chǎn)生了風險;4、不同失效的程度導致風險的嚴重程度不同;5、資產(chǎn)價值和資產(chǎn)失效程度影響風險的嚴重性;6、威脅的頻率和弱點被利用的難易程度影響風險的可能性;7、嚴重性和可能性決定了最終的風險值。
對已上內(nèi)容進行歸納,總結出風險分析的原理如圖3所示。(圖3)
四、FMEA風險評估在CIQ的應用
FMEA風險評估方法自2008年首次被開發(fā)在信息安全管理體系中應用并于2009年通過國際第三方權威審核機構的ISO27001認證,經(jīng)過多年的修訂和持續(xù)研發(fā),目前在中國檢驗檢疫系統(tǒng)內(nèi)已經(jīng)有常州出入境檢驗檢疫局、蘇州出入境檢驗檢疫局、江陰出入境檢驗檢疫局等分支局在使用,跟檢驗檢疫業(yè)務有關聯(lián)性的海關、口岸等相關單位也有部分落地的案例。
(一)失效影響的賦值。FMEA風險評估方法的核心是引入了“失效模式的影響(E)”這一評估參數(shù)使得得到的風險值更加準確。如何對“失效模式的影響(E)”進行賦值,就是FMEA風險評估方法用于實際風險值計算的關鍵。
在《國標GB/T 20984》中將風險評估的所有參數(shù)(資產(chǎn)保密性、資產(chǎn)完整性、資產(chǎn)可用性、資產(chǎn)等級、威脅頻率、脆弱性)均分為5個級別進行賦值,1級最低,5級最高。因為在計算風險值時也需要用到以上參數(shù),為了保持與《國標GB/T 20984》的兼容性,我們將“失效模式的影響(E)”也同樣分為5個級別,如表1所示。(表1)
為了方便應用,我們將這五個級別分別對應為下列五種失效程度,如表2所示。(表2)
(二)FMEA風險計算的原理。FMEA風險計算是通過資產(chǎn)價值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)四個參數(shù)通過數(shù)學方法計算得到風險值(RPN)。
1、建立FMEA風險計算的數(shù)學模型首先要滿足參數(shù)對風險值影響的方向:
(1)因為資產(chǎn)價值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)對最終的風險值(RPN)為正向影響,所以V、E、P、W的數(shù)值與RPN數(shù)值成正比。
(2)V、E、P、W四個參數(shù)都大的風險值必然大,即:若V1>V2;E1>E2;P1>P2;W1>W2,則RPN(V1、E1、P1、W1)>RPN(V2、E2、P2、W2)。
(3)若任意三個參數(shù)相同,第四個參數(shù)大的風險值大,即:若V1>V2,則RPN(V1、E1、P1、W1)>RPN(V2、E1、P1、W1);若E1>E2,則RPN(V1、E1、P1、W1)>RPN(V1、E2、P1、W1);若P1>P2,則RPN(V1、E1、P1、W1)>RPN(V1、E1、P2、W1);若W1>W2,則RPN(V1、E1、P1、W1)>RPN(V1、E1、P1、W2)。
2、為了準確評價數(shù)學模型的有效性,應將模型計算值的影響因素減至最少,提供一個不受權重等因素影響的純凈模型,以便于及時調(diào)整。
(1)風險計算的四個參數(shù),資產(chǎn)價值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)對最終的風險值(RPN)的影響應該是相同的,即:RPN(V、E、P、W)=RPN(2、3、3、2)=RPN(2、2、3、3)=RPN(3、2、2、3)=RPN(3、3、2、2)。
(2)風險計算的四個參數(shù),資產(chǎn)價值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)的增幅對最終的風險值(RPN)的影響應該是相同的,即:RPN(V1、E1、P1、W1)-RPN(V2、E2、P2、W2)=RPN(5、5、5、5)-RPN(4、4、4、4)=RPN(4、4、4、4)-RPN(3、3、3、3)=RPN(3、3、3、3)-RPN(2、2、2、2)=RPN(2、2、2、2)-RPN(1、1、1、1)。
(3)在純凈風險模型計算結果的基礎上,通過對比風險計算結果和實際風險差距,對風險分析的各個維度權重進行調(diào)整。
(三)FMEA風險計算公式。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量,而是由資產(chǎn)在保密性、完整性、可用性這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性,以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。
風險計算方法:1、保密性、完整性和可用性決定資產(chǎn)價值:(1)保密性越高,資產(chǎn)價值越大;(2)完整性越高,資產(chǎn)價值越大;(3)可用性越高,資產(chǎn)價值越大。2、資產(chǎn)價值、資產(chǎn)失效程度決定風險嚴重性。3、威脅頻率和資產(chǎn)脆弱性決定風險可能性。4、風險嚴重性與風險可能性決定風險值:(1)資產(chǎn)價值越高,資產(chǎn)失效后風險越大;(2)資產(chǎn)失效越嚴重則風險越大;(3)風險是由威脅引發(fā)的,資產(chǎn)面臨的威脅越多則風險越大;(4)資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值,資產(chǎn)具有的脆弱性越多則風險越大。
風險計算公式:
資產(chǎn)價值V=
嚴重性S=
可能性O=
風險值RPN=
RPN=
其中,C、I、A、E、P、W是風險值RPN的計算參數(shù),x、y、z、m、n、i、j、α、β是以上計算參數(shù)的權重。
假設權重系數(shù)全部為1的情況下,風險計算公式為:
RPN=
若在風險分析中,我們更側(cè)重于某項參數(shù)對風險值的影響,則可以調(diào)整該參數(shù)的權重值,如我們將權重參數(shù)設置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1,則表示失效影響(E)對風險值的影響更大,我們優(yōu)先降低失效影響,可以更高效控制風險。
(四)FMEA風險評估在CIQ的應用成果。2012年末,常州出入境檢驗檢疫局順利通過中國信息安全認證中心(簡稱ISCCC)的ISO27001信息安全管理體系現(xiàn)場審核,成為國內(nèi)首家實施信息安全管理體系并通過ISO27001認證的政府機構。2012年中國合格評定國家認可委員會(簡稱CNAS)信息安全認證專業(yè)委員會年會上,該項目被選為推薦案例,并受邀出席會議現(xiàn)場介紹體系建設、推廣的成功經(jīng)驗,其中FMEA風險評估法作為該項目的重要創(chuàng)新點,受到與會專家的特別關注,并受到與會專家的一致好評。通過對FMEA風險評估方法論的原理和分析模型的詳細介紹,經(jīng)與會專家論證,均認可該方法的先進性已經(jīng)超越了ISO13335:2005(國標GB/T 20984:2007),在全球信息安全風險評估方法論的理論研究和實踐中處于領先水平。
五、結束語
隨著中國加入世貿(mào)組織,對外貿(mào)易和活動日益頻繁,出入境檢驗檢疫業(yè)務量激增,對信息系統(tǒng)的依賴程度也越來越大,因此對信息安全的要求也逐年提高,風險評估是信息安全管理的基礎,其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風險管理領域的研究成果及在檢驗檢疫系統(tǒng)內(nèi)單位的實施經(jīng)驗,對檢驗檢疫系統(tǒng)內(nèi)其他單位在信息安全風險評估方面工作具有很好的參考性。
本文在研究的深度上還有待進一步挖掘。特別是對于如何得到“失效模式的影響(E)”這一參數(shù)的精確值,作者設想可以從對“失效時間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復能力”等方面進行分析,通過一個數(shù)學模型計算得到以上失效因素對最終“失效模式的影響(E)”變化的影響,以便于分析結果更精準。
主要參考文獻:
[1]嵇國光,王大禹,嚴慶峰ISO\TS16949五大核心工具應用手冊中國標準出版社,2010111
[2]孫遠志,吳文忠檢驗檢疫風險管理研究中國計量出版社,201411
[3]GB7826-87系統(tǒng)可靠性分析技術,失效模式和效應分析(FMEA)程序
[4]GB/T 20984-2007信息安全技術、信息安全風險評估規(guī)范中國標準出版社,200781
經(jīng)過二年多的努力,我國信息安全風險評估國家標準《信息安全風險評估指南》已完成標準文稿編制工作,并由國務院信息辦組織, 2005年在北京、上海、黑龍江、云南、人民銀行、國家稅務總局、國家信息中心與國家電力總公司開展了驗證《信息安全風險評估指南》的可行性與可用性的試點工作,如今,《指南》正上報國家標準管理部門批準。
《指南》規(guī)定了信息安全風險評估的工作流程、評估內(nèi)容、評估方法和風險判斷準則,適用于信息系統(tǒng)的使用單位進行自我風險評估,以及風險評估機構對信息系統(tǒng)進行獨立的風險評估。《信息安全風險評估指南》分為兩個部分:第一部分:主體部分。主要介紹風險評估的定義、風險評估的模型以及風險評估的實施過程。第二部分:附錄部分。包括信息安全風險評估的方法、工具介紹和實施案例。目的是使用戶了解到風險評估方法的多樣性和靈活性。
2005年12月16日,國家網(wǎng)絡與信息安全協(xié)調(diào)小組正式通過了《關于開展信息安全風險評估的若干意見》,標志著我國將開始在全國范圍內(nèi)推進信息安全風險評估工作。今年3月,國家計劃在重要基礎信息網(wǎng)絡和重要信息系統(tǒng)開始推行信息安全風險評估工作。
《指南》實施后,開展信息安全風險評估有了依據(jù)。另外,可隨時掌握系統(tǒng)的安全狀態(tài),為及時采取有針對性的應對措施提供依據(jù)。《指南》對被評估系統(tǒng)的資產(chǎn)、威脅和脆弱性給出了具體的定級依據(jù),。
最后,可提高信息安全管理工作水平。幫助系統(tǒng)管理者認清信息安全環(huán)境、信息安全狀況,有助于達成共識,明確責任,采取或完善安全保障措施,使其更加經(jīng)濟有效,并使信息安全策略保持一致性和持續(xù)性。
當前,國家關鍵基礎設施對信息系統(tǒng)的依賴性,以及信息系統(tǒng)間的互依賴性越來越強,信息資源越來越復雜,因此,許多重要信息網(wǎng)絡和重要信息系統(tǒng)單位對進行信息安全風險評估的需求越來越迫切,一些大的應用行業(yè)在考慮信息系統(tǒng)建設的布局時,已經(jīng)在信息安全評估、咨詢和規(guī)劃方面投入了實質(zhì)性的資金支持。全國范圍內(nèi)的大規(guī)模推廣將使市場需求大幅提升。
在信息安全風險評估過程中,要評估的部門會委托一些具有一定資質(zhì)的信息安全風險評估公司來做除最核心部分以外的信息安全風險評估工作。在這方面專業(yè)的信息安全公司都會擔當信息安全風險評估的重要角色。
中國軟件市場走向和諧
賽迪顧問統(tǒng)計結果顯示,2005年,中國軟件市場呈現(xiàn)理性發(fā)展態(tài)勢,全年銷售額564.65億元,同比增長17.9%。
2005年的中國軟件市場呈現(xiàn)的主要特征有:本地Linux廠商加快整合以應對國際廠商競爭;存儲管理需求成為系統(tǒng)管理領域的亮點;中間件平臺之爭漸入佳境等。
關鍵詞:信息安全;風險評估;風險分析
中圖分類號:TP311 文獻標識碼:A 文章編號:1007-9599 (2011) 22-0000-01
Research and Design of Power Information Network Risk Assessment Auxiliary System
Yang Dawei1,2,Liu Yu2
(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)
Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.
Keywords:Information Security;Risk Assessment;Risk Analysis
一、前言
電力系統(tǒng)越來越依賴電力信息網(wǎng)絡來保障其安全、可靠、高效的運行,該數(shù)據(jù)信息網(wǎng)絡出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行,因此電力信息網(wǎng)絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點,以威脅為觸發(fā),以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經(jīng)完成了調(diào)查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內(nèi)容包括:
(一)風險要素關系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業(yè)務戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等;脆弱性的屬性是資產(chǎn)弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網(wǎng)風險評估輔助系統(tǒng)設計與實現(xiàn)
本文設計的信息安全風險評估輔助系統(tǒng)是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統(tǒng)采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統(tǒng)評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統(tǒng)各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統(tǒng)評估端的評估結果。具體表現(xiàn)在:開啟評估任務;分配風險評估專家;對準備階段、資產(chǎn)識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數(shù)據(jù)進行綜合,得到綜合評估結果。
(二)系統(tǒng)評估端。系統(tǒng)評估端由多個專家操作,同時開展評估。系統(tǒng)評估端要經(jīng)歷如下階段:a.準備階段:評估系統(tǒng)中CIA的相對重要性;b.資產(chǎn)識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果―風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產(chǎn)管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產(chǎn)大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統(tǒng)CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產(chǎn)屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統(tǒng)主要部分的功能描述。測試結果表明系統(tǒng)能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據(jù)。
參考文獻:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66
關鍵詞 電子政務 信息安全 風險評估
中圖分類號:C931 文獻標識碼:A
1 課題的研究背景與意義
風險管理是信息系統(tǒng)安全運行的必要保證,是運行維護體系中最重要的環(huán)節(jié),而風險評估則是風險管理的基礎。首先,風險評估是電子政務系統(tǒng)的安全需求。信息安全風險評估是電子政務系統(tǒng)安全保障體系建立過程中的重要評價和決策依據(jù)。信息系統(tǒng)安全是相對的,沒有絕對的安全系統(tǒng)。因此,為了實現(xiàn)電子政務系統(tǒng)的安全、穩(wěn)定運行這一目標,就必須采取一系列的安全制度和技術保障方法,對電子政務系統(tǒng)風險進行事先防患、事中控制、事后監(jiān)督及糾正,以化解因電子政務系統(tǒng)的脆弱性所造成的風險。其次,電子政務系統(tǒng)的脆弱性需要風險評估。電子政務系統(tǒng)軟硬件本身存在著很大的脆弱性,一方面表現(xiàn)在設備的自然損耗、制造缺陷和不可預測的自然環(huán)境因素,如火災、水災、地震、戰(zhàn)爭等不可抗拒的自然災難;另一方面表現(xiàn)在由于技術發(fā)展的局限和人類的能力限制,在設計龐大的操作系統(tǒng)、復雜的應用程序之初人們不能認識所有的問題,失誤和考慮不周在所難免。再次,安全技術保障手段的欠缺需要風險評估。當前我國電子政務系統(tǒng)信息安全建設,在整體安全系統(tǒng)、內(nèi)部網(wǎng)絡安全監(jiān)控與防范、智能與主動性安全防范體系、全面集中安全管理策略平臺定制等方面,都有很多不足之處,迫切需要進行信息系統(tǒng)風險評估來發(fā)現(xiàn)弱點彌補不足。
2 電子政務系統(tǒng)風險評估要素的提取原則和方法
電子政務系統(tǒng)安全的風險評估是一個復雜的過程,它涉及系統(tǒng)中物理環(huán)境、管理體系、主機安全、網(wǎng)絡安全和應急體系等方面。要在這么廣泛的范圍內(nèi)對一個復雜的系統(tǒng)進行全面的風險評估,就需要對系統(tǒng)有一個非常全面的了解,對系統(tǒng)構架和運行模式有一個清醒的認識。可見,要做到這一點就需要進行廣泛的調(diào)研和實踐調(diào)查,深入系統(tǒng)內(nèi)部,運用多種科學手段來獲得信息。
2.1評估要素的提取原則
評估要素提取是指通過各種方式獲取風險評估所需要的信息。評估要素提取是保證風險評估得以正常運行的基礎和前提。評估要素提取成功與否,直接關系到整個風險評估工作和安全信息管理工作的質(zhì)量。為了保證所獲取信息的質(zhì)量,應堅持以下原則:
一是準確性原則。該原則要求所收集到的信息要真實、可靠,這是信息收集工作的最基本要求;二是全面性原則。該原則要求所搜集到的信息要廣泛、全面完整;三是時效性原則。信息的利用價值取決于該信息是否能及時地提供,即具備時性。
2.2 評估要素提取的方法
信息系統(tǒng)風險評估中涉及到的多種因素包括資產(chǎn)、威脅、漏洞和安全措施。信息系統(tǒng)的資產(chǎn)包括數(shù)據(jù)資產(chǎn)、軟件、人員、硬件和服務資產(chǎn)等。資產(chǎn)的價值由固有價值、它所受傷害的近期影響和長期結果所組成。目前使用的風險評估方法大多需要對多種形式資產(chǎn)進行綜合評估,所獲取的信息范圍應包含全部的上述內(nèi)容,只有這樣,其結果才是有效全面的。同時,評估時還要考慮:考慮業(yè)務中的關鍵部分,將其重點考慮起來。第二,哪些關于資產(chǎn)的重要決定取決于信息的準確度、完整性或可用性,以及要對那些資產(chǎn)信息加以重點保護。第三必須要考慮安全時間會對業(yè)務或者組織的資產(chǎn)產(chǎn)生哪些影響,如信息資產(chǎn)的購買價值,信息資產(chǎn)的損毀對政府形象的負面影響程度,信息資產(chǎn)的損毀程度對政府長期規(guī)劃和遠景發(fā)展的影響等等。
2.3 電子政務系統(tǒng)安全風險評估的流程及實施
2.3.1電子政務系統(tǒng)安全的評估流程
電子政務系統(tǒng)安全的風險評估是組織機構確定信息安全需求的過程,包括環(huán)境特性評估、資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風險認定等在內(nèi)的一系列活動。
2.3.2 電子政務系統(tǒng)安全風險評估的實施
電子政務系統(tǒng)安全的風險評估是一項復雜的工程,除了應遵循一定的流程外,選擇合理的方法也很重要。為了使風險評估全面、準確、真實地反映系統(tǒng)的安全狀態(tài),在實施風險評估過程中需要采用多種方法。評估流程實施過程如信息網(wǎng)絡安全技術測評是電子政務系統(tǒng)安全測評的重要手段,許多安全控制項都必須借助于技術手段來實現(xiàn),但是單獨依靠技術測評還不能全面系統(tǒng)的分析電子政務系統(tǒng)的安全。實踐經(jīng)驗證明,僅有安全技術防范,而無嚴格的安全管理體系是難以保障系統(tǒng)的安全的。因此在測評中我們必須對被測評方制訂的一系列安全管理制度進行測評。信息安全管理的測評可以單獨進行也可以穿插到技術測評當中。隨著信息技術的發(fā)展,信息安全測評工程師面臨越來越多的挑戰(zhàn),為提高測評能力和效率,應充分的發(fā)揮主觀能動性,利用各種現(xiàn)有的各種安全測試工具,開發(fā)安全測試工具、報告生成工具等。信息安全測評機構以及電子政務系統(tǒng)的運行、維護方必須共同努力,為我國的信息化發(fā)展保駕護航。
第一,參與系統(tǒng)實踐。系統(tǒng)實踐是獲得信息系統(tǒng)真實可靠信息的最重要手段。系統(tǒng)實踐是指深入信息系統(tǒng)內(nèi)部,親自參與系統(tǒng)的運行,并運用觀察、操作等方法直接從信息系統(tǒng)中了解情況,收集資料和數(shù)據(jù)的活動。第二,問卷調(diào)查。問卷調(diào)查表是通過問題表的形式,事先將需要了解的問題列舉出來,通過讓信息系統(tǒng)相關人員回答相關問題而獲取信息的一種有效方式。現(xiàn)在的信息獲取經(jīng)常利用這種方式,它具有實施方便,操作方便,所需費用少,分析簡潔、明快等特點,所以得到了廣泛的應用。但是它的靈活性較少,得到的信息有時不太清楚,具有一定的模糊性,信息深度不夠等;還需要其他的方式來配合和補充。第三,輔助工具的使用,在信息系統(tǒng)中,網(wǎng)絡安全狀況、主機安全狀況等難以用眼睛觀察出來,需要借助優(yōu)秀的網(wǎng)絡和系統(tǒng)檢測工具來監(jiān)測。輔助工具能夠發(fā)現(xiàn)系統(tǒng)的某些內(nèi)在的弱點,以及在配置上可能存在的威脅系統(tǒng)安全的錯誤,這些因素很可能就是破壞目標主機安全性的關鍵性因素。輔助工具能幫助發(fā)現(xiàn)系統(tǒng)中的安全隱患,但并不能完全代替人做所有的工作,而且掃描的結果往往是不全面的。
參考文獻
[1] 閆強,陳鐘,段云所,等.信息安全評估標準、技術及其進展[J].計算機工程,2003
傳統(tǒng)信息安全風險主要包括3個要素:①資產(chǎn),它是信息系統(tǒng)內(nèi)部需要保護的重要資源或信息;②威脅,它是來自攻擊者的惡意攻擊,可能造成信息資產(chǎn)重大損失或外流的潛在因素;③脆弱性,它是信息系統(tǒng)內(nèi)部容易被攻擊的薄弱環(huán)節(jié)。實際的信息安全風險評估建立的模型對這3個要素有所深化和發(fā)展,并應用于信息安全的標準化制定中。
(1)國際標準ISO15408。
該標準強調(diào)人為因素的作用,將信息系統(tǒng)的“屬主”從籠統(tǒng)的“資產(chǎn)”要素中分離出來,將“攻擊者”從籠統(tǒng)的“威脅”要素中分離出來。該標準除了上述3個要素以外,還考慮漏洞、風險和措施這3個要素。
(2)國際標準ISO13335。
該標準細化了風險評估指標體系。它除了考慮“資產(chǎn)”要素以外,還考慮“資產(chǎn)價值”要素;除了考慮“防護措施”要素以外,還考慮“防護需求”要素,進一步強調(diào)了系統(tǒng)中要素的屬性。此外,該標準還考慮到威脅、脆弱性、風險等3個一級指標,7個要素。
(3)國務院信息化工作辦公室制定的《信息安全風險評估指南》。
它引入了“使命”要素,從源頭上強調(diào)了信息風險管理工作的驅(qū)動力;引入了“殘余風險”要素,強調(diào)了安全防范不可能一蹴而就,需要不斷改進;同時引入了“事件”要素,強調(diào)了對突發(fā)事件的預判,比ISO13335擴展了3個要素,建立了適合中國國情的10個要素的信息安全風險評估標準。開展信息安全風險的評估一般分為5個步驟。①評估準備階段,主要是明確風險評估的目的和意義,制定評估方案,確定評估模型等。②要素識別階段,主要是按照上級制定的標準,結合被評估對象的實際情況,識別信息安全風險評估的各個要素,同時根據(jù)權威標準的一級指標體系合理擴展為可以測度的二級指標體系。③測度匯總階段,主要是使用二級指標體系進行測度,給出評估分值,并使用合適的數(shù)學模型進行匯總評分。④風險分析階段,主要是根據(jù)二級指標體系的評分結果和數(shù)學模型計算分析結果,綜合進行風險判斷,分析外部威脅和內(nèi)部漏洞的危險程度,計算各指標蘊含的安全風險。⑤落實整改階段,主要是通過評估工作的匯報驗收,找到風險根源,落實整改措施,不斷調(diào)整完善,提高系統(tǒng)抗風險的能力。
2兩類信息安全風險綜合評估指標體系
安全風險評估和預警工作中,指標體系的建立既很重要,也有很強的科學性。構建信息安全風險評估指標體系需要掌握以下7項原則:①目的性原則。建立評估指標體系的根本目的是有效防范信息安全風險。②科學性原則。指標體系必須科學有效地反映信息安全風險的所有特點。③系統(tǒng)性原則。建立的評價指標體系必須協(xié)調(diào)統(tǒng)一,層次合理,最大限度地反映信息安全風險的基本特點。④重要性原則。抓住反映信息安全風險本質(zhì)特點的主要因素來設計指標,該指標體系必須能突出主要風險因素,建立重點突出,簡明實用的指標體系。⑤互斥性原則。要求指標間相互獨立,避免太多的涵蓋等出現(xiàn)而導致指標內(nèi)涵的重復。同時指標相互間又有密切聯(lián)系,需要一些不同角度指標的設置來互相檢驗、彌補。⑥層次性原則。對評估的目標進行層次分解,使結構清晰,容易分析,邏輯性和科學性強,提高評估結論的可信度。⑦操作性原則。指標體系的各指標必須是可以采集的和可以量化的,數(shù)據(jù)應通過可靠來源直接或間接的獲取,評估指標應盡量避免難以獲得的參數(shù)。根據(jù)上述信息安全風險評估標準和評估原則,結合被評估對象的實際情況,將兩類安全風險綜合起來,建立綜合評估的指標體系。技術風險按照資產(chǎn)/業(yè)務、技術脆弱性、威脅3個方面組織指標設計。在一般計算機系統(tǒng)中,其脆弱性方面也可以進行展開。之所以列出兩個表格,旨在指出這方面的指標系統(tǒng)設計不是唯一的,可以根據(jù)上述原則,結合具體環(huán)境和條件進行設計。非傳統(tǒng)的信息安全風險的評估,主要是指利用人的弱點產(chǎn)生的風險,一般體現(xiàn)在內(nèi)部管理上的疏忽與過失,以及外部的蓄意攻擊和陰謀策劃。一般計算機系統(tǒng)可以進行展開。建立兩類信息安全評估二級指標體系是一個方面,運用數(shù)學模型進行安全風險分析是更重要的一個方面。李成耀很早就研究了多層協(xié)議和多層結構的網(wǎng)絡信息安全分層模型;羅帆等運用N-K模型分析了安全耦合風險;楊亞東等使用一般層次分析法(AHP)為安全監(jiān)管系統(tǒng)建立了風險評價指標體系和綜合評估模型。結構方程模型在這些模型中獨樹一幟,它既可以進行指標體系的匯總與路徑影響分析,還可以深入分析某些因素之間的中介效應、調(diào)和效應和交互效應。筆者采用結構方程模型(SEM)進行兩類信息安全風險綜合評估,其數(shù)學表達和計算可以參見文獻[13]。其提出了一種新的確定性算法,克服了傳統(tǒng)的偏最小二乘算法與協(xié)方差擬合算法需要反復迭代的弱點,并且可以使用DASC軟件實現(xiàn)計算。結構方程模型是針對一般信息系統(tǒng)的非傳統(tǒng)信息安全風險評估而設立的,它很容易改寫為適應其他二級指標體系的模型,使用DASC軟件很容易實現(xiàn)數(shù)學計算。
3兩類信息安全風險的綜合防范
信息安全風險評估的目的在于防范,不同的信息系統(tǒng)在不同的環(huán)境下,風險防范措施很不一樣。最近制定的信息系統(tǒng)安全風險評估的國內(nèi)標準(GB/T9387-2)以及國際標準(ISO7498-2)都明確規(guī)定,信息安全實現(xiàn)主要以構筑防火墻、建立入侵檢測系統(tǒng)、災難備份和應急響應系統(tǒng)、物理隔離系統(tǒng)、殺毒軟件包等方式實現(xiàn)。物理隔離系統(tǒng)是絕對的隔離,效果比較理想。防火墻以及網(wǎng)關主要應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)節(jié),技術復雜并在不斷改進更新。入侵檢測系統(tǒng)把系統(tǒng)的安全管理能力擴展到新的范圍,引入了模式匹配、實時檢測與響應等技術,使得信息系統(tǒng)建設得越來越復雜和龐大。非傳統(tǒng)信息安全風險的防范,從宏觀管理的角度主要考慮如下幾個方面:①健全法規(guī)標準,加強高層對于信息安全的統(tǒng)一協(xié)調(diào),加快安全標準制定。②建立信任機制,建立服務商之間、服務商與用戶之間的信任關系,將是解決信息系統(tǒng)外部交流安全問題的根本。③發(fā)展關鍵技術,建立保證信息安全的技術體系,包括數(shù)據(jù)安全、可信計算和隱私保護技術等關鍵技術。④加強監(jiān)督管理,著眼長效監(jiān)管,完善應急機制,強化日志審計管理,提高溯源審查能力。非傳統(tǒng)信息安全風險的防范,從個體心理的角度主要考慮如下幾個方面:①加強心理防范,主要克服攻擊者往往利用人的好奇心和虛榮心等弱點。②定期安全培訓,讓全體員工熟悉了解新的攻擊者利用社會工程學的伎倆,學會防范非傳統(tǒng)信息安全風險。③區(qū)分友誼責任,明確友誼必須有一定的信任基礎。④提高安全意識,管理部門要制定更為嚴格的安全方案,同時落實到每一個員工。⑤實時事故響應,一旦發(fā)生信息安全事故,立即啟動應急方案,除了檢查技術漏洞和損失以外,特別要對利用社會工程學的攻擊做出實時反應。
4結論
【 關鍵詞 】 風險評估;風險分析;項目管理
Implementation of Government Information Systems Risk Assessment
Yu Ying-tao 1 Li Xin 1 Xue Jun 2
(1.North China Institute of Computing Technology Beijing 100083;
2. Solid Waste Management Center,Department of Environmental Protection Beijing 100029)
【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.
【 Keywords 】 risk assessment; risk analysis; project management
0 引言
政務信息系統(tǒng)關系到國計民生,因此保障電子政務系統(tǒng)的信息安全是我國經(jīng)濟與社會信息化的先決條件之一,是國家信息化建設的重要內(nèi)容。如何保證政務信息系統(tǒng)的安全性,風險評估是一項很基礎的工作。通過對政務信息系統(tǒng)進行風險評估,可以了解信息與網(wǎng)絡系統(tǒng)目前與未來的風險所在,充分評估這些風險可能帶來的威脅與影響的程度,依據(jù)系統(tǒng)的風險和威脅,進行針對性的防范,做到“對癥下藥”,可以有效解決政務信息系統(tǒng)的安全問題。
1 政務系統(tǒng)風險評估概述
1.1 風險評估的概念
政務系統(tǒng)的信息安全關心的是保護政務信息資產(chǎn)免受威脅。風險評估是有效保證信息安全的前提條件,也是建立在網(wǎng)絡入侵防護系統(tǒng)、實施風險管理程序所開展的一項基礎性工作。其工作原理是對系統(tǒng)所采用的安全策略和管理制度進行評審,發(fā)現(xiàn)不合理的地方,采用模擬化攻擊的方式對系統(tǒng)可能存在的安全漏洞進行逐項檢查,確定存在的安全問題與風險級別。并根據(jù)檢查結果向系統(tǒng)管理員提供周密可靠的安全性分析報告,為提高網(wǎng)絡安全整體水平提供重要依據(jù)。
風險評估的目的是全面、準確地了解政務信息系統(tǒng)的安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害,為后期進一步安全防護技術的實施提供了嚴謹?shù)陌踩碚撘罁?jù),為決策者制定網(wǎng)絡安全策略、構架安全體系以及確定有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護層次提供了一套完整、規(guī)范的指導模型。
1.2 風險評估的范圍
政務信息系統(tǒng)風險評估的內(nèi)容與范圍需要涵蓋整個系統(tǒng),包括系統(tǒng)安全管理的狀況、網(wǎng)絡及安全防護技術架構、通信鏈路、系統(tǒng)數(shù)據(jù)及業(yè)務系統(tǒng)加密情況、系統(tǒng)訪問控制狀況等。在政務信息系統(tǒng)的安全防護工作中,“人”是關鍵要素,無論系統(tǒng)所采用的安全技術、安全策略和安全手段多么現(xiàn)代化與智能化,都需要“人”去操作、運行和管理。如果信息系統(tǒng)的安全管理水平落后,人員素質(zhì)不高,那么政務信息系統(tǒng)的安全性就會減弱,安全漏洞就會增加。
1.3 風險評估的原則和依據(jù)
1.3.1指導原則
由于政務信息系統(tǒng)風險評估涉及的內(nèi)容較多,因此在進行評估時就需要本著多角度、多層面的原則,從軟件到硬件,從理論到實際,從技術到管理,從設備到人員,來具體制定詳細的評估計劃和分析步驟,避免遺漏。在評估時一般需遵循的如下幾個原則:標準性、可靠性、可控性、保密性、技術先進和成熟性、全面性、高效性、持續(xù)性。
1.3.2相關法規(guī)和政策
《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院令147號);
《商用密碼管理條例》(國務院令 273號);
《計算機信息系統(tǒng)安全保護等級劃分準則》;
《計算機機房場地安全要求》(GB9361-88);
《信息安全技術-信息安全風險評估規(guī)范》( GB/T 20984—2007)。
2 政務信息風險評估工作流程
2.1 系統(tǒng)調(diào)查
開展政務信息系統(tǒng)風險評估的第一步就是進行系統(tǒng)調(diào)查。通過調(diào)查政務信息系統(tǒng)上運行的所有應用,了解系統(tǒng)主要業(yè)務的流程,清楚的掌握支持業(yè)務運行的硬件基礎設施的結構及安全系統(tǒng)現(xiàn)狀,收集風險評估所需的系統(tǒng)全部信息。在進行系統(tǒng)調(diào)查的同時,還需對系統(tǒng)風險評估的評估范圍進行分析、界定。對系統(tǒng)邊界進行明確定義,有助于防止不必要的工作,并對改進風險評估的質(zhì)量都是很重要的。
(一)采用系統(tǒng)的思想
網(wǎng)絡安全的建設是一個系統(tǒng)工程,它需要對影響信息系統(tǒng)安全的各種因素進行綜合考慮,同時需要對信息系統(tǒng)運行的全過程進行綜合分析,實現(xiàn)預警、防護、恢復等網(wǎng)絡安全的全過程環(huán)節(jié)的無縫銜接;另一方面要充分考慮技術、管理、人員等影響網(wǎng)絡安全的主要因素,實現(xiàn)技術、管理、人員的協(xié)同作戰(zhàn)。
(二)強調(diào)風險管理
基于風險管理,體現(xiàn)預防控制為主的思想,強調(diào)全過程和動態(tài)控制,確保信息的保密性、完整性和可用性,保持系統(tǒng)運作的持續(xù)性。
(三)動態(tài)的安全管理
公安信息網(wǎng)絡安全模型中的“動態(tài)”網(wǎng)絡安全有兩個含義:一是整個網(wǎng)絡的安全目標是動態(tài)的,而不再是傳統(tǒng)的、一旦部署完畢就固定不變的,從而支持部分或者全網(wǎng)范圍內(nèi)安全級別的動態(tài)調(diào)整;二是達到安全目標的手段、途徑必須能夠根據(jù)周邊/內(nèi)部環(huán)境的變化進行動態(tài)調(diào)整。
二、基于策略的動態(tài)安全管理模型的定義
基于上述指導思想,建立基于策略的動態(tài)安全管理模型,主要包括四類要素:人員、管理、策略、流程(技術產(chǎn)品)。安全策略確定后,需要根據(jù)組織切實的安全需要,以上述定義的安全策略為基礎,將安全周期內(nèi)各個階段的、反映不同安全需求的防護手段和實施方法以一種利于連動的、協(xié)同的方式組織起來,提高系統(tǒng)的安全性。總的指導原則是:第一,防護是基礎,是基本條件,它包含了對系統(tǒng)的靜態(tài)保護措施,是保護信息系統(tǒng)必須實現(xiàn)的部分。第二,檢測和預測是手段,是擴展條件,提供對系統(tǒng)的動態(tài)監(jiān)測措施,是保護信息系統(tǒng)須擴展實現(xiàn)的部分。第三,響應是目標,是進行安全控制和緩解入侵威脅的期望結果,反應了系統(tǒng)的安全控制力度,是保護信息系統(tǒng)須優(yōu)先實現(xiàn)的部分。這些不同的安全技術和產(chǎn)品按照統(tǒng)一的策略集成在一起,保持防護、監(jiān)測、預警、恢復的動態(tài)過程的無縫銜接,并隨著環(huán)境的變化而進行適當?shù)恼{(diào)整,這樣就能夠針對系統(tǒng)的薄弱環(huán)節(jié)有的放矢,有效防范,從而完善信息安全防護系統(tǒng)。
三、基于策略的動態(tài)安全管理模型的實施過程
在公安信息安全管理體系的建立、實施和改進的過程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執(zhí)行、安全管理和再評估四個子過程。組織通過持續(xù)的執(zhí)行這些過程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過程如下:
(一)計劃(Plan)
計劃就是根據(jù)組織的業(yè)務目標與安全要求,在風險評估的基礎上,建立信息安全框架。包括下面三項主要工作:
1.明確安全目標,制定安全方針根據(jù)公安專用網(wǎng)絡信息安全需求及有關法律法規(guī)要求,制定信息安全方針、策略,通過風險評估建立控制目標與控制方式,包括公安系統(tǒng)工程必要的過程與持續(xù)性計劃。
2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點確定信息安全管理的領域,公安信息安全管理部門需要根據(jù)公安系統(tǒng)工程的實際情況,在整個金盾工程規(guī)劃中或者各業(yè)務部門構架信息安全管理框架。
3.明確管理職責成立相應的安全管理職能部門,明確管理職責,同時要對所有相關人員進行信息安全策略的培訓,對信息安全負有特殊責任的人員要進行特殊的培訓,以使信息安全方針真正植根于所有公安干警的腦海并落實到實際工作中。
(二)實施(Do)
實施過程就是按照所選定的控制目標與方式進行信息安全控制,即安全管理職能部門按照公安信息安全管理策略、程序、規(guī)章等規(guī)定的要求進行信息安全管理實施。在實施過程中,以公安信息安全管理策略為核心,監(jiān)測、安全保護措施、風險評估、補救組成一個循環(huán)鏈,其中信息安全管理策略是保證整個安全系統(tǒng)能夠動態(tài)、自適應運行的核心。
1.選擇安全策略根據(jù)公安業(yè)務目標、公安信息安全管理目標、公安信息安全管理指導方針選擇或制定信息安全策略。
2.部署安全策略對于高層策略,在此階段,首先應將各種全局的高層策略規(guī)范編譯成低級(基本)策略。根據(jù)底層的服務或是應用的要求將策略編譯成執(zhí)行組件可以理解的形式,針對特定類型的策略實施封裝具體實施策略所需的行為,封裝執(zhí)行策略所必需的實現(xiàn)代碼,這些代碼與底層實現(xiàn)有關。將策略分發(fā)并載入到相應的策略實施中,繼而可以對策略對象執(zhí)行啟用、禁用、卸載等策略操作。
3.執(zhí)行安全策略(1)監(jiān)測。對公安信息系統(tǒng)進行安全保護以后并不能完全消除信息安全風險,所以要定期地監(jiān)控整個信息系統(tǒng)以發(fā)現(xiàn)不正常的活動。(2)進行信息安全風險評估。風險評估主要對公安信息安全管理范圍內(nèi)的數(shù)據(jù)信息進行鑒定和估價,然后對數(shù)據(jù)信息面對的各種威脅進行評估,同時對已存在的或規(guī)劃的安全管理措施進行鑒定。(3)公安信息安全風險處置。根據(jù)風險評估的結果進行相應的風險處置,公安信息安全風險處置措施主要包括降低風險、避免風險、轉(zhuǎn)嫁風險、接受風險等,使得公安業(yè)務可以正常進行,并重新進行風險分析與評估,增加或更改原有的信息安全保護措施。在公安信息系統(tǒng)正常運行時,要定期地對系統(tǒng)進行備份。(4)根據(jù)公安信息安全策略調(diào)整控制安全措施。由于信息安全是一個動態(tài)的系統(tǒng)工程,安全管理職能部門應實時對選擇的管理目標和管理措施加以校驗和調(diào)整,以適應變化了的情況,使公安系統(tǒng)數(shù)據(jù)資源得到有效、經(jīng)濟、合理的保護。
(三)檢查(Check)
檢查就是根據(jù)安全目標、安全標準,審查變化中環(huán)境的風險水平,執(zhí)行內(nèi)部信息安全管理體系審計,報告安全管理的有效性,在實踐中檢查制定的安全目標是否合適、安全策略和控制手段是否能夠保證安全目標的實現(xiàn),系統(tǒng)還有哪些漏洞。
(四)改進(Action)
改進就是對信息安全管理體系實行改進,以適應環(huán)境的變化。改進內(nèi)容包括三部分:一是系統(tǒng)的安全目標、安全指導思想、安全管理制度、安全策略。二是安全技術手段的改進。隨著安全技術和安全產(chǎn)品的改進,系統(tǒng)的安全技術手段也要不定期地更換。但更換后的安全技術手段仍然要遵循相應的信息安全策略。三是對人員的改進。安全管理措施和手段改進后,要對民警要進行安全教育與培訓,并根據(jù)民警的不同角色為其制定不同的安全職責和年度信息安全計劃,并按照計劃進行工作,年底時要對安全計劃的執(zhí)行情況進行檢查。
四、結束語
建立完善管控體系
隨著信息化的發(fā)展,管理者的職能也在不斷變化。對于如何加快信息化的進程來說,傳統(tǒng)工業(yè)時代下的管理控制模式已經(jīng)不能適應發(fā)展的需求,因此,需要建立更加有效的信息化管理體制,確保信息化建設有序推進,最終實現(xiàn)組織信息化發(fā)展的戰(zhàn)略目標。
在信息化時代下,完善的體制架構被劃分為機構協(xié)調(diào)、職能分工和運作規(guī)則等幾個部分。就機構協(xié)調(diào)而言,不再是傳統(tǒng)的金字塔模式,即信息自下而上層層傳遞,決策由上而下層層布置;而是采用更加扁平的組織流模式,管理趨向于文化,而不在是制度,組織的信息化水平越高,即信息傳遞速度越快,內(nèi)容描述得越精準,管理就變得越簡單,國家或企業(yè)的安全就更加可控。
實施科學風險評估
風險評估作為保障信息安全的重要措施之一,其在信息化發(fā)展方面起著至關重要的作用。隨著信息化的不斷發(fā)展,各種社會組織都越來越多地依賴于信息技術和信息系統(tǒng)來處理其信息和管理業(yè)務,從而提高自身競爭力,風險管理也隨之在信息化的推進和管理中扮演越來越重要的角色。信息化作為兩化融合的重要組成部分,所涉及的眾多信息都具有保密性,即使安全功能再強大的網(wǎng)絡系統(tǒng),也有被非法攻擊的可能性,因此,對基于兩化融合思路的信息安全風險評估服務也顯得更為重要。尋求完善有效的基于兩化融合思路信息安全風險評估模式,是保障信息安全的有效措施,也已成為世界各國兩化融合工作的新方向。
信息安全風險管理是一個包括識別風險、評估風險以及采取措施降低風險至可以接受的程度在內(nèi)的全過程,其目標是要保護重要的信息系統(tǒng)和信息安全,幫助管理層更好地做出與管理風險相關的各種決策,幫助管理層更好地審批和建設信息系統(tǒng),掌握其可能面臨的風險。它從風險管理角度,運用科學的方法和手段,系統(tǒng)分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,為防范和化解信息安全風險,將風險控制在可接受的水平。這樣綜合評估的結果可以幫助風險管理進行決策,即需要采取什么樣的風險管理措施,優(yōu)先次序是什么,以及如何落實這些風險控制措施。
進行整體安全防范
對信息網(wǎng)絡的整體安全防范應該在風險評估的基礎上進行相應的信息安全等級保護和重要信息安全保護。信息安全等級保護是指國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設健康發(fā)展的一項基本制度。實行信息安全等級保護制度,能夠充分調(diào)動國家、法人和其他組織及公民的積極性,發(fā)揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理,對促進我國信息安全的發(fā)展將起到重要推動作用,進而保障兩化融合的順利實施。
分析關鍵管理過程
