引言:易發表網憑借豐富的文秘實踐���,為您精心挑選了九篇信息安全風險評估范例。如需獲取更多原創內容����,可隨時聯系我們的客服老師。
第1篇
信息產業的迅猛發展,使得信息化技術成為社會發展的必要組成部分,信息化技術為國民經濟的發展注入了新鮮的活力��,更加速了國名經濟的發展和人民生活水平的提高��。當然����,人們在享受信息技術帶來的巨大便利時�����,也面臨著各種信息安全問題帶來的威脅�����。這種信息安全事件帶來的影響是惡劣的,它將造成巨大的財產損失和信息系統的損害。因此��,信息系統的安全問題不得不引起社會和民眾的關注�,完善信息系統的安全性,加強信息安全的風險評估成為亟待解決的問題。
1 信息安全風險評估概述及必要性
1.1 信息安全風險評估概述
首先����,信息安全風險�,主要是指人為或自然的利用信息系統脆弱性操作威脅信息系統�,以導致信息系統發生安全事件或造成一定消極影響的可能。而信息安全風險評估簡單的理解,就是以減少信息安全風險為目的通過科學處理信息系統的方法對信息系統的保密性、完整性進行評估����。信息安全風險評估工作是一項保證信息系統相對安全的重要工作���,必須科學的對信息系統的生命周期進行評估��,最大限度的保障網絡和信息的安全���。
1.2 信息安全風險評估的必要性
信息安全評估是為了更好的保障信息系統的安全�,以確保對信息化技術的正常使用。信息安全風險評估是信息系統安全管理的必要和關鍵的環節�,因為信息系統的安全管理必須建立在科學的風險評估基礎上�,科學的風險評估有利于正確判斷信息系統的安全風險問題���,提供風險問題的及時解決方案�。
2 信息安全風險評估過程及方法
信息安全風險的評估過程極其復雜和規范。為了加強我國信息安全風險評估工作的開展���,這里有必要對風險評估的過程和方法給予提示和借鑒。風險評估的過程要求完整而準確��。具體有如下步驟:
1)風險評估的準備工作��,即要確定信息系統資產����,包含范圍����、價值、評估團隊�、評估依據和方法等方面�����。要明確好這些資產信息,做好識別�����。2)對資產的脆弱性及威脅的識別工作���,這是由于信息系統存在脆弱性的特點�,所以要周密分析信息系統的脆弱點,統計分析信息系統發生威脅事件的可能性以及可能造成的損失��。3)安全風險分析����,這是較為重要的環節。主要是采用方法與工具確定威脅利用信息系統脆弱性導致安全事件發生的可能性����,便于決策的提出�。4)制定安全控制措施�����,主要有針對性的制定出控制威脅發生的措施����,并確認措施的有效性�����,最大限度的降低安全風險�,確保信息系統的安全�����。5)措施實施的階段��,主要是在有效監督下實施安全措施,并及時發現問題和改正���。
對于信息安全風險評估的方法,國內外進行了很多不同的方法嘗試����。方法一般都遵循風險評估的流程,只是在手段和計算方法上有差異�����,但是分別都有一定的評估效果��。主要采用:定性評估�����、定量評估、以及定性與定量相結合的評估��,最后的方法是一個互補的評估方式�,能達到評估的最佳效果。
3 我國信息安全風險評估發展現狀
較美國等西方國家關于信息安全系統風險評估的發展歷史和技術研究,我國起步比較晚且落后于發達國家�。但近年來�����,隨著社會各界對信息系統安全的重視,我國開始在信息系統安全管理工作上加大力度,并把信息系統的安全評估工作放在重要的位置�,不斷創新研究�,取得了高效成果�����。但是����,就我國目前的信息安全風險評估工作看來���,還存在諸多問題�。
1)我國部分企業、組織和部門對于信息系統安全風險評估沒有引起絕對的重視����,沒有大力普及風險評估工作。由于領導者及員工的信息安全防范意識不強以及自身素質水平的影響,導致對風險評估的流程及必要性都不了解,就不太重視對企業信息系統的安全風險評估工作����。
2)我國缺乏信息系統安全風險評估的規范化標準�����。我國目前的信息系統安全風險評估工作的開展��,大部分依靠參考國際標準提供服務,只注重效仿,而缺乏對我國信息系統安全風險的實際狀況的研究,沒有針對性���,得不到應有的效果。
3)我國缺乏行之有效的理論和技術,也缺乏實踐的經驗�����。由于科技水平的相對落后�,對于信息系統的安全風險評估缺乏合適的理論、方法、技術等����。我國僅依靠深化研究IT技術共性風險�����,而沒有針對性的行業信息個性風險評估,這是沒有聯系實際的舉措��,是不能真正將信息系統的安全風險評估落實到位的�。
4)在對信息系統安全風險的額評估中角色的責任不明確。這應該歸咎于領導的和員工的不符責任及素質水平的落后。對風險評估理論缺乏,那么就會導致參與評估工作領導和員工角色不明確�,領導對評估工作的指導角色以及責任不明確�,員工則對評估工作流程方法不理解��,都大大降低了風險評估的工作效率�����。
以上種種關于信息系統安全風險評估的現狀問題反映出我國在對信息系統安全風險評估的工作還缺乏很多理論和實踐的指導�。我國的信息系統安全風險評估工作的開展力度還遠不夠,那些在信息系統安全風險評估工作的成果還遠遠達不到評估工作的標準���。
4 強化信息安全風險評估的對策
4.1 加強對信息安全風險評估的重視
信息化技術對于每一個企事業單位都是至關重要的,企業在對工作任務的執行和管理中都必須用到信息化技術��,因此�,保證信息系統的安全性對于企業的發展至關重要。企業���、組織和部門要加強對信息安全風險評估的重視,強化風險意識��,將信息安全風險評估作為一項長期的工作來開展�����。
4.2 完善我國信息系統安全風險評估的規范化標準
上文中指出我國目前的信息系統安全風險評估工作大部分依靠國際標準在進行����,國內沒有一個統一的評估標準�。因此,我國應該根據企業各種標準的側重點�,自主創新研究��,創造出自己的標準技術體系,而不再一味的去效仿他國�����。只有這樣���,我國的信息系統安全風險評估才能得到迅猛的提高與發展��,才能保證國家信息化的安全。
4.3 加強對評估專業人才的培養
信息化技術是一項非常專業的技術���,只有擁有專業知識和技能的高科技人才才能控制和把握。信息安全風險的評估工作上則更需要擁有專業技能和業務水平的人才��,他們必須對信息化技術相當了解和精通����,對風險評估的方法、手段���、模型、流程必須熟練。因此�,企事業單位要加強對專業人才的培養����,定期進行業務技能培訓,鼓勵人才的自主學習����,不斷提高自身的能力�����,為確保企業信息安全評估工作的高效發展及信息安全貢獻力量。
4.4 加強科技創新�����,增強評估的可操作性
我國的科技水平較西方國家有很大的差距��,因此在對信息安全風險的評估工作中��,也存在理論和技術上的差距。我國應該不斷的加強科研力度�,在理論和技術上加以完善����,在評估工具上改進����,以確保評估工作的高效開展���。信息系統風險評估是一個過程體系�����,必須抓好每一環節的技術性�����,在依據實際狀況下進行風險評估。
4.5 明確評估工作的職責劃分
信息安全風險評估工作是復雜的,每一個流程都需要投入一定的人力、物力和財力���。針對人力這一方面,企業單位應該明確劃分評估工作人員的職責范圍��,管理者要發揮好領導監督作用����,有效指導評估工作的開展,員工則有效發揮自身的作用和能力��。進而在每一環節工作人員共同協作下��,完成評估工作的各項流程���,并達到預期的成效��。
5 結束語
隨著我國信息技術水平不斷的進步和提高,信息安全工作成為一項必須引起高度重視的工作之一。在當前我國信息安全風險評估還不夠全面和科學的情況下����,我國應該加強科技創新,依靠科學有效的管理以及綜合規范的保障手段����,在借鑒西方國家先進理論和技術的同時結合我國企業單位信息安全風險評估的實際現狀�,有針對性的實施有效方法�,確保信息系統的安全性,進而保證我國信息化的安全發展���。
第2篇
實際上,由于檔案信息有嚴格的安全保密要求��,相當一部分檔案信息是需要控制使用的����,所以傳統介質檔案一旦都數字化了,必將帶來新的安全管理問題。信息安全的威脅可能來自內部破壞����、外部攻擊�����、內外勾結進行的破壞以及信息系統本身所產生的意外事故��。而要解決安全問題,首先就是要發現它,而信息安全風險評估就是發現數字化檔案�����、數字化檔案館潛在問題的最佳工具����。
信息安全風險評估
在實踐中可以發現,凡是和信息有關的人、事����、物都有可能成為風險源,因此評估針對的對象也就包含了和信息相關的各種要素�����,也可以視為廣義上的信息系統�。信息安全風險評估,則是指依據國家有關信息安全技術標準�����,對信息系統及由其處理�、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程���,它要評估信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響���,并根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險。
風險評估各要素關系
現實世界中影響風險評估的各種要素相互影響�����、相互作用��。關系錯綜復雜����?���!缎畔踩L險評估指南》用圖來描述其關系。
圖中這些要素之間存在著以下關系:業務戰略依賴于資產去完成-資產擁有價值��,單位的業務戰略越重要��,對資產的依賴度越高�,資產的價值則就越大���;資產的價值越大則風險越大�����;風險是由威脅發起的,威脅越大則風險越大,并可能演變成安全事件��,威脅都要利用脆弱性�����,脆弱性越大則風險越大���,脆弱性使資產暴露�,是未被滿足的安全需求����,威脅要通過利用脆弱性來危害資產,從而形成風險?資產的重要性和對風險的意識會導出安全需求��,安全需求要通過安全措施來得以滿足����,且是有成本的;安全措施可以抗擊威脅,降低風險�����,減弱安全事件的影響。風險不可能也沒有必要降為零��,在實施了安全措施后還會有殘留下來的風險一部分殘余風險來自于安全措施可能不當或無效�����,在以后需要繼續控制這部分風險,另一部分殘余風險則是在綜合考慮了安全的成本與資產價值后,有意未去控制的風險����,這部分風險是可以被接受的��;殘余風險應受到密切監視,因為它可能會在將來誘發新的安全事件����。
數字檔案館信息安全風險評估流程
數字檔案館風險評估過程就是在評估標準的指導下���,綜合利用相關評估技術�����,評估方法、評估工具,針對數字檔案館展開全方位的評估工作的完整過程���。對數字檔案館進行風險評估,首先應確保風險分析的內容與范圍應該覆蓋數字檔案館的整個體系。應包括:數字檔案館基本情況分析、基本安全狀況調查、安全組織����、政策情況分析��、弱點漏洞分析等。風險評估具體評估過程如下:
1 確定資產。資產是數字檔案館實現組織目標的物質基礎�,威脅都是針對于資產存在的��,確定資產是我們分析威脅、存在脆弱性的必要條件,如果這個問題沒有解決好�����,必然影響分析評估的后續工作。這一步首先要明確信息資產有哪些,并在此基礎上確定資產價值,這里研究的價值是強調對數字檔案館完成目標的重要程度��,越重要價值越高����。資產的范圍很廣����,一切需要加以保護的東西都算作資產,包括:信息資產����、紙質文件���、軟件資產����、物理資產��、人員�����、形象和聲譽、服務等�。資產的評估應當從關鍵業務開始�,最終覆蓋所有關鍵資產�����。
2 識別威脅和脆弱性����。資產面臨的風險是由于資產存在脆弱性�,而客觀上又存在著利用這些脆弱性阻礙數字檔案館目標實現的威脅造成的�����。所以要分析風險就要辨別清楚有什么可供利用的弱點�����,什么樣的人或事會利用這些弱點�。明確了以上問題��,進行評估才能有的放矢����。能對資產造成威脅的因素包括人����、事���、物����,而脆弱性則可以從管理、技術等方面來檢視��。
3 識別當前控制措施。當我們建立了數字檔案館之后���,或多或少會有一些相應的規章制度或技術手段來維護信息本身���。已經采取的措施對于我們評估風險也是必要的���,首先需要了解已經采取何種措施��,并要進一步分析這些措施是否完備�、是否合理�����、是否得到了充分執行�����。已采取的措施合理、有力,就可以降低資產面臨的風險�����,如果沒有措施或雖有措施卻形同虛設則使得資產完全暴露在威脅之前���,沒有任何屏障���。自然風險很高��。
4 確定發生安全事件的可能性和損失�。存在脆弱性和威脅并不等于就一定會有風險��,因為脆弱性是明確的而威脅卻是潛在的����。潛在的威脅可以轉變成為現實安全事件��,也可以消亡����。損失只有在威脅轉變成為安全事件之后才會出現���,為此必須以當前的控制措施作為前提分析安全事件發生的可能性�,可能性判斷的準確與否直接影響著對風險程度大小的判斷。
5 確定風險大小。在前面工作的基礎上����,確定風險就是較為簡單的工作了����。根據安全事件發生會造成的損失和發生的概率�����,就可以知道我們面臨的風險���。
6 決策��。明確了風險大小之后管理者需要做出決定,目前的風險水平是否可以接受?如果不能接受,則要仔細分析為了減小風險需要做的投入。加強各種安全防范措施是需要成本的�����,要在成本和風險程度之間做好權衡�����。面對前面工作的成果,管理者需要決定下一步采取何種措施��。在分析和決策過程中���,要盡可能多地讓更多的人參與進來����,從管理層的代表到業務部門的主管,從技術人員到非技術人員�����。
7 執行���。最后的步驟是安全措施的實施�����。實施過程要始終在監督下進行���,以確保決策能夠貫穿于工作之中��。在實施的同時,要密切注意和分析新的威脅并對控制措施進行必要的修改���。在信息系統的運行過程中,絕對安全的措施是不存在的:攻擊者不斷有新的方法繞過或擾亂系統中的安全措施��;系統的變化會帶來新的脆弱點���;實施的安全措施會隨著時間而過時等等���,所有這些表明����,信息系統的風險評估過程是一個動態循環的過程�����,應周期性地對信息系統安全進行重新評估�����。
數字檔案館信息安全風險評估要素識別
風險分析中要涉及資產���、威脅�����、脆弱性三個基本要素。識別出三個要素是進行評估的基本條件����。
1 資產識別
資產是以信息為核心與信息利用有關的一切形式的要素集合��。通常信息資產的保密性、完整性和可用性是公認的能夠反映資產安全特性的三個要素���。信息資產安全特性的不同也決定了其信息價值的不同,以及存在的弱點��、面臨的威脅���、需要進行的保護和安全控制都各不相同���。數字檔案館中的信息資產可以簡要分為以下幾類:數據�、軟件�����、硬件����、服務�����、文檔����、設備��,人員及其他��,其中檔案,尤其是某些重要檔案是資產中的核心����。
2 脆弱性識別
脆弱性是資產本身存在的不足����,它一旦被利用就會導致損失����。值得注意的是,脆弱性雖然客觀存在,但它本身不會造成損失���,它只有被威脅利用之后,才會帶來損害。所以對那些沒有安全威脅的弱點可以不需要實施安全保護措施�,但他們必須記錄下來以確保當環境�、條件有所變化時能隨之加以改變����。需要注意的是不正確的�����、起不到應有作用的或沒有正確實施的安全保護措施本身就可能是一個安全薄弱環節�����。
對于數字檔案館來說,存在的脆弱性主要是以下幾點:缺乏足夠的信息安全技術人才,信息工作管理不規范,相關管理者缺乏進行信息安全風險評估的意識�;具體工作人員信息技能不高���。
3 威脅識別
第3篇
關鍵詞:信息安全�����;風險評估�����;脆弱性;威脅
一、前言
隨著信息技術的飛速發展,信息系統依賴程度日益增強���,采用風險管理的理念去識別安全風險,解決信息安全問題得到了廣泛的認識和應用。信息系統主要分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性�,評估安全事件一旦發生可能造成的危害程度����,提出有針對性的抵御威脅的防護對策和整改措施�,以防范和化解風險。
二、網絡信息安全的內容和主要因素分析
“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全�����,而從廣義的角度考慮����,還包括整個網絡系統的硬件���、軟件��、數據以及數據處理��、存儲、傳輸等使用過程的安全�。網絡信息安全具有如下5個特征:
1��、保密性:即信息不泄露給非授權的個人或實體。
2�����、完整性:即信息未經授權不能被修改�����、破壞�����。
3、可用性:即能保證合法的用戶正常訪問相關的信息�。
4�、可控性:即信息的內容及傳播過程能夠被有效地合法控制��。
5�����、可審查性:即信息的使用過程都有相關的記錄可供事后查詢核對�。
網絡信息安全的研究內容非常廣泛,根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性���。而通過有效的網絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點����,能夠將復雜的問題量化�,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎�����,網絡信息安全的風險因素主要有以下6大類:
1�、自然界因素,如地震���、火災、風災�����、水災、雷電等���;
2、社會因素�,主要是人類社會的各種活動�,如暴力�、戰爭、盜竊等�;
3���、網絡硬件的因素��,如機房包括交換機����、路由器�、服務器等受電力�����、溫度、濕度、灰塵�����、電磁干擾等影響�����;
4��、軟件的因素�,包括機房設備的管理軟件�����、機房服務器與用戶計算機的操作系統�����、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻���、工具軟件等���;
5����、人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素��,如操作失誤�����、數據泄露����、惡意代碼����、拒絕服務、騙取口令�、木馬攻擊等�;
6�、其他因素,包括政府職能部門的監管因素����、有關部門對相關法律法規立法因素�����、教育部門對相關知識的培訓因素����、宣傳部門對相關安全內容的宣傳因素等��。這些因素對于網絡信息安全均會產生直接或者間接的影響。
三���、目前網絡信息安全風險評估工作中急需解決的問題
信息系統涉及社會經濟方方面面,在政務和商務領域發揮了重要作用��,信息安全問題不單是一個局部性和技術性問題�,而是一個跨領域、跨行業���、跨部門的綜合性安全問題。據統計�����,某省會城市各大機關�、企事業單位中,有10%的單位出現過信息系統不穩定運行情況�;有30%的單位出現過來自網絡��、非法入侵等方面的攻擊;出現過信息安全問題的單位比例高達86%���!缺少信息安全建設專項資金,信息安全專業人才缺乏���,應急響應體系和信息安全測評機構尚未組建,存在著“重建設��、輕管理�,重應用、輕安全”的現象����,已成為亟待解決的問題�����。
各部門對信息系統風險評估的重視程度與其信息化水平呈現正比,即信息化水平越高����,對風險評估越重視。然而�����,由于地區差異和行業發展不平衡�����,各部門重視風險評估的一個重要原因是“安全事件驅動”����,即“不出事不重視”��,真正做到“未雨綢繆”的少之又少���。目前我國信息安全體系還未健全和完善��,真正意義上的信息系統風險評估尚待成熟。有的部門對信息系統風險評估還停留在傳達一下文件、出具一個報告�、安排一場測試����,由于評估單位在評估資質�、評估標準、評估方法等方面還不夠規范和統一���,甚至出現對同一個信息系統,不同評估單位得出不同評估結論的案例�����。
四、信息系統風險評估解決措施
1��、確診風險�����,對癥下藥
信息系統風險是客觀存在的,也是可以被感知和認識從而進行科學管理的。信息系統面臨的風險是什么����、有多大���,應該采取什么樣的措施去減少��、化解和規避風險?就像人的軀體有健康和疾病,設備狀況有正常和故障����,糧食質量有營養和變質��,如何確認信息系統的狀態和發現信息系統存在的風險和面臨的威脅,就需要進行風險評估。
2、夯實安全根基�,鞏固信息大廈
信息系統建設之初就存在安全問題���,好比高樓大廈建在流沙之上�����,地基不固,樓建的越高倒塌的風險就越大。風險評估是信息系統這座高樓大廈的安全根基�,它可以幫助信息系統管理者了解潛在威脅���,合理利用現有資源開展規劃建設���,讓信息系統安全“贏在起跑線上”���。風險評估還可以為信息系統建設者節省信息系統建設總體投資,達到“以最小成本獲得最大安全保障”的效果��。
3����、尋求適度安全和建設成本的最佳平衡點
安全是相對的,成本是有限的���。在市場經濟高度發達的今天,信息系統建設要達到預期經濟效益和社會效益���,就不能脫離實際地追求“零風險”和絕對安全。風險評估為管理者算了一筆經濟賬����,讓我們認清信息系統面臨的威脅和風險��,在此基礎上決定哪些風險必須規避,哪些風險可以容忍�����,以便在潛在風險損失與建設管理成本之間尋求一個最佳平衡點�����,力求達到預期效益的最大化��。
4、既要借鑒先進經驗�����,又要重視預警防范
沒有網絡安全就沒有國家安全���,沒有信息化就沒有現代化���。建設網絡強國��,要有自己的技術,有過硬的技術。風險評估是信息化發達國家的重要經驗����。目前我們的信息化在某些關鍵技術����、關鍵設備上還受制于人?!八街笨蔀槲宜?���,亦須知其鋒芒與瑕疵�����,加強預警防范與借鑒先進技術同樣重要��。
五、結束語
綜上所述�,本文主要對信息安全風險評估進行了分析和探究���,在今天高速的信息化環境中�,信息的安全性越發顯示出其重要性���,風險評估可以明確信息系統的安全狀況和主要安全風險基礎�����,通過風險評估及早發現安全隱患并采取相應的加固方案��。所以要加強信息安全風險評估工作�����。
參考文獻:
[1]中國國家標準化管理委員會�,信息安全技術一信息安全風險評估規范��,2007年
第4篇
1信息安全風險評估的方法
1.1定性分析方法
這是評估方法具有的一個明顯特點就是它的主觀性較強�����,在風險評估人員主觀上對資產風險因素所面臨的威脅以及漏洞等作出評估判斷的過程。它的結構構成包括故障樹分析法�����、事件樹分析法以及原因———后果法等�。(1)故障樹分析法。這種分析方法的適用于對風險事件的發生源之間關系以及它的深層次原因進行探究的���,它的主要目的是在發現信息故障后對信息安全所進行的定性分析。從它的運行原理來看,它是把信息系統中發生的結果來作為首要解決的問題��,分析總結出不愿發生事件的形成因素����,從而確定出各個因素之間的邏輯關系。(2)事件樹分析方法。這種方法是在原有的信息系統風險基礎上����,來對這些信息安全風險事件發生可能產生的風險結果進行詳細的分析探究�,它的分析工作開展的一個顯著特點就是需要對序列組中可能發生的危險事故的結果進行合理的列舉���,需要注意的是這并代表是最后的結果�����,只是其中的一個環節,但是它的缺點就是不適于進行大范圍的普適���。(3)原因———后果分析方法。這種分析方法從運行原理的實質上來看�����,它是對前兩種分析方法的一種融合��,它是前兩種分析方法所具有顯著特點的結合�����,但是���,這種方法也有應用的缺點��,就是它在大型的、復雜的信息系統中應用并起不到應有的效果。
1.2定量分析方法
這種分析方法是對定性方法的一種改進���,削弱了定性方法的主觀性,但是在一些大型復雜的信息系統中,就很可能造成一些定量數據難以獲得��,需要浪費較多的時間成本�,基于此,它的應用最為廣泛的是定量的故障樹分析法和風險評審技術兩種。
1.3定性分析和定量分析相結合的方法
這種兩相結合的方法在現代應用領域中是最為常見的,也是最適合的形式��,這兩種方法相結合的主要目的是為了有效的彌補定性分析法和定量分析法之間的缺陷���,因此�����,它的綜合性就會相對強一些�����。這種分析模式��,適用范圍最為廣泛的并且最為主流的是層次分析法����。
2在業務流程基礎上的信息安全風險評估方法
2.1信息資產的辨別
信息安全風險評估主要是針對于信息和信息處理設備所受到的威脅�����、影響以及威脅事件發生后所帶來的損失而進行的評估預測����,那么所進行評估的內容主要涉及到四個要素�,即資產、威脅���、漏洞以及原有的安全措施。對于這四個要素之間的關系論述�����,它們是屬于相互關系�����、相互作用的因素���,各自對系統風險的影響各不相同���,共同構成復雜的風險評估系統工程。我們在實際的風險評估工作中,主要是對已經存在的風險提出一系列有效的安全防范措施,并依據風險措施實行采取合理的控制措施�,從而使風險控制到最合理的范圍內�����,那么這么講就可以把它的具體實施流程劃分為兩大部分,即對風險的分析和對風險的控制�。
2.2業務流程的風險模型分析
在業務開展的基本流程中����,對于位置變動資產的識別可以在它的開始階段就進行����,這是對位置變動來說的,而對于位置固定的資產識別�����,就需要對每一個具體業務的節點進行逐一開展。對于位置固定資產的識別來說���,因為其自身需要有大量的人工操作,因此它的風險一般是集中于業務節點環節上��,并且各個節點上的風險類別�����、發生方式����、起源以及造成的后果影響都是不相同的�����。此外,由于這些風險的產生是因為位置固定資產而引起的�����,因此��,在業務流程的過程中一般只需要對位置固定資產的風險采取相應的控制措施就可以了��,這樣也就確保了位置別動不會對資產的保密性、完整性以及可用性造成威脅。
3總結
第5篇
關鍵詞:電子商務����;信息安全��;風險評估;對策
基金項目:鄭州科技學院大學生創新創業訓練計劃項目:電子商務信息安全風險評估關鍵技術及應用(編號:DCY2019007)
1.引言
電子商務是以互聯網為基礎,以商城消費者產品物流為構成要素進行的電子商務活動�。當電子商務相關部門或人員在進行項目開發時���,擁有一套信息安全風險評估系統可以幫助其采用科學合理的方法對潛在威脅進行分析并保證經濟系統的安全�����。所以將信息安全技術與現代化新興技術結合,將為我們打造一個更加優質的網絡環境。
2.電子商務系統中存在的信息安全問題及現狀
一般來說,電子商務的信息安全是指在電子商務交易的過程中雙方使用各種技術和法律手段等確保交易不會因為意外,惡意或者披露這些不利要求而受到損害的信息安全��。在21世紀初葉��,我國金融系統中的計算機犯罪率一直在不斷地增加�,我國金融網絡信息安全形勢非常嚴峻��,需要加強改善�����。下面就電子商務網絡中的信息安全問題做一個簡要介紹,主要涉及以下幾個方面:
(1)由于編寫的電子商務系統軟件可以使用不同的形式,因此在實際應用過程中難以避免的會留下安全漏洞�����。例如���,網絡操作系統本身會存在一些安全問題���,例如非法訪問I/0�,這些不完全的調解和混亂的訪問控制會造成數據庫安全漏洞�,而這些漏洞嚴重影響了電子商務系統的信息安全性.特別是在設開始設計之前就沒有考慮TCP/IP通信協議的安全性,這一切都表明當前的電子商務系統網絡軟件中有一些可以避免或不可避免的安全漏洞����。此外信息共享處理帶來也存在風險��。在信息的傳遞過程中,需要不斷地對信息源進行加工和重現��,截取有用信息����,不可避免會出現信息轉化方面的風險。尤其是在當下“社交+商務”的模式下���,一條消息可能瞬間在社交網站上轉載數萬次或者更多,一旦在信息轉載中出現誤差����,影響非常大����,風險應當給予重視。
(2)隨著網絡技術的廣泛應用,計算機病毒帶來的問題越來越廣泛��,壓縮文件����,電子郵件已經成為計算機病毒傳播的主要途徑,因為這些病毒的種類非常多樣化,破壞性極強,使得計算機病毒的傳播速度大大加快了���。近年來�����,新病毒種類的數量迅速增加����,互聯網為這些病毒的傳播提供了良好的媒介����。這些病毒可以通過網絡大量傳播任何粗心大意都會造成無法彌補的經濟損失。此外還有信息傳遞過程所帶來的風險���。信息是一種重要的資源,良好的流動性能實現信息價值的最大化�����,但是在信息的傳遞過程中需要經過許多路徑�,而在這過程中往往存在一些不安全因素,給信息安全帶來一定的風險�����。
(3)當前的黑客攻擊���,除了計算機病毒的傳播外�����,黑容的惡意行為也越來越猖狂����。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性�����,使得計算機記錄的登錄信息被特洛伊木馬程序惡意篡改,導致很多重要信息、文件��,甚至是金錢被盜��。
(4)由人為因素造成的電子商務公司的安全問題�����,大部分保密工作是通過員工的操作來進行的,這就需要員工具有很好的保密性,責任心和責任感等道德素質。如果員工的責任心不強���,態度不正確,就容易被別人利用,讓無關人員隨意進出房間或向他人泄露機密信息�,可以讓罪犯廢除重要信息���。如果工作人員缺乏良好的職業道德���,可能會非法超出授權范圍更改或刪除他人的信息���,而且還可以利用所學專業知識和工作位置來竊取用戶密碼和標識符�,進行非法出售��。
3.電子商務信息安全風險評估存在的問題
經過大量的數據收集與分析不難發現對信息安全風險評估是當前科研工作中噬待解決的問題�。目前����,國內也有一些關于信息安全風險評估的研究和應用�����,但是這些研究都只是簡單的分析�����,包括常用的具有風險的風險評估工具��。評估矩陣,問卷,風險評估矩陣與問卷方法�,專家系統相結合��。對于更深層次的探究還需進一步努力。此外,網絡信息安全風險評估方法常用定量因子分析方法����,時間序列模型�,決策樹方法和回歸模型進行�����。風險評估方法��,定性分析主要包括邏輯分析,Delphi方法,因子分析方法���,歷史比較方法等。其中,定量和定性評估方法相結合,是由模糊層次分析法��,基于D-S證據理論等的評估方法組成��。同時網絡信息安全風險評估還存在一定問題��,例如隨著網絡的發展,我國從開始的2G邁向4G現在又率先進入5G時代。其中也出現了各種問題����,網民數量的增加需要迫切提高他們對信息安全的警惕意識�����。
3.1欠缺對電子商務信息安全風險評估的認識
當前����,許多相關人員對電子商務信息系統面臨著巨大的挑戰的現狀并未有足夠的意識,缺少信息安全風險評估經驗���。因此他們沒有重視信息安全風險評估的重要性,其原因如下��。第一�����,公司或單位的風險評估尚未通過標準檢驗����,培訓標準�,信息安全風險評估工作的研究尚未得到系統的相關理論,方法和技術工具�,這是由于一些信息安全評估工作相關領導層和工作人員對信息評估風險評估的重要性的認識不足����,因此自然而然不將此類風險評估工作包括在當前的信息安全系統框架中�����。第二�,盡管有許多部門將信息安全工作置于地位重要,但受到人力��、物力��,財力等方面的限制�,社會制度的制約�,政策法規的欠缺使得信息安全系統的信息安全風險評估工作無法得到應有的重視�����。
3.2缺乏信息安全風險評估方面的專業技術人才
首先,信息安全風險評估的技術內容要求非常高,它要求員工具有很高的技術水平,現在很多公司都將通用信息用作風險評估技術人員����。其次����,信息安全風險評估是一項集綜合性��,專業性于一體的工作�����,不僅涉及公司的所有業務信息��,也涉及人力�����,物力和財力的方方面面�,因此需要各部門之間相互配合,現在大多數公司僅依靠信息部門��,獨立的參與信息安全風險評估毫無爭議他們要想完成信息安全風險評估工作是非常艱難的���。綜上所述,培養信息安全風險評估專業技術人員是今后信息技術方面發展的方向�����。
3.3風險評估工具相對缺乏
當前�����,除專家系統外�,其他分析工具相對來說都比較簡易����,除此之外還缺乏實用的理論基礎���。此外�,這種信息風險評估工具在應用中的發展呈現的現狀���。表明國內和外部失衡���,在中國相對落后����?��?梢娊鉀Q信息安全問題的關鍵在于有成熟的風險評估工具���。
4.防范電子商務信息安全及風險的建議
4.1增強電子商務信息安全和風險評估的意識
大多數信息的傳輸和處理���,與人是密不可分的。特別是掌握人員的重要信息和核心業務,人員的個人因素�,管理因素和環境存在風險�。主要包括人員的技術能力��,監控管理�,安全性�。特別需要做好監督審計公司的工作����,確保信息安全風險管理融入實踐,充分發揮內部監督作用�����,促進社會責任認可和實施信息安全風險管理工作。電子商務公司必須對工人進行必要的信息安全知識教育培訓,了解與之相關的法律法規�,做好對客戶關鍵信息的隱秘保護�。不隨意查看和泄露客戶購買信息。
企業應該加大力度保障網絡通信操作時信息的機密性和完整性,加強密鑰管理��,提高應對網絡攻擊能力�����,采取措施避免越權或濫用,消除用戶在交易中的風險����。在信息安全風險控制中必須由內到外地保護內部系統環境���、網絡邊界���、骨干網安全�����。為網絡信息系統建立完善的管理系統,并提供全面的安全保障�����。運用端到端策略�����。對于移動電子商務中用戶終端設備種類繁多�,安全環境復雜難以控制的問題����,必須做好數據傳輸中的重要環節中的身份鑒定。通過人臉識別�����、指紋識別等技術有效提高用戶訪問身份鑒別能力,極大地提高賬戶的安全性���,確保數據傳輸的安全性�����,確保交易的真實有效��。
4.2提供專業的技術培訓,提高專業人員的技能
認真選擇第三方合作伙伴����,增強信息管理水平���,加強績效監督管理����。樹立合理的企業內部組織結構和有效資金保障���,培養員工信息安全意識��,創造良好信息安全工作氛圍�����,加強信息安全專業技術人員對信息安全風險評估的意識和能力,通過大量的實驗發現可以通過下列方法培訓相關人員:第一��,定期開展信息安全風險評估工作��,將公司員工集合共同學習相關資料以提升他們對信息安全的意識彌補存在的缺陷���。第二�,對信息安全部門的員工進行專門的技術培訓和指導�,可通過模擬分析來提升技術;第三���,公司應增加對技術資源的投入�����,聘請經驗豐富的專家學者組成第三方評估機構�,引進風險評估設備��。以備不時之需����;第四�����,公司應對技術人員進行標準化認證培訓�,執行職業資格準入制度����,提高技術人員的門檻,納入信息安全風險評估,技術人員的全面質量保證評估��。以上這些方法只是單純就培訓方式對于具體的實施以及可能遇到的問題依然需要研究��。
4.3提升對信息安全防范技術的研究和應用
為移動數據庫存儲的數據進行加密以防止泄漏�,采用不同的加密方法來保護數據安全���,進行身份認證�,數據恢復,數據加密存儲,物理隔離��,防火墻���,網絡��,網絡設備,網絡入侵檢測�����,網絡漏洞掃描,網絡設備備份,網絡管理�,專線����,實現網絡管理等一系列技術手段���,從而提高數據庫的安全性�����。同時提高認識到物理設施的重要性���,定期維護物理設施��。為了監測信息安全和實施評估系統,我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中,國內外統一組織重要的信息安全技術研究���,建立創新的電子商務信息安全與評估體系。
第6篇
關鍵詞 信息安全風險評估;關鍵技術;研究
中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708(2017)181-0025-02
信息安全風險評估就是建設更加完善的信息安全系統的保障��,因此本文分析信息安全風險評估關鍵技術具有很強烈的現實意義�。
1 信息安全風險評估概念及流程
1.1 風險評估概念
信息安全風險評估主要指的是對網絡環境和信息系統中所面臨的威脅以及信息系統資產和系統的脆弱性采取針對性的安全控制措施,對風險的判斷需要從信息系統的管理和技術兩個層面入手�����。
1.2 風險評估流程
風險評估需要經v一個完整的過程:1)準備階段����,此階段需要確定風險評估的范圍�、目標以及方法等;2)實施階段��,分別對資產�、威脅和脆弱性等展開一系列的評估;3)分析階段��,包含量化分析和對風險的計算��。在整個過程中可以看出風險評估的實施階段和對風險的分析階段所起的作用比較重要���,其中包含了幾項比較關鍵的技術�����。
2 信息安全風險評估的關鍵技術
風險評估和控制軟件主要包含6個方面的主要內容,而安全風險評估流程則是分為4個主要的模塊�����,漏洞管理�����、風險分析和評估�����、威脅分析、漏洞管理和檢測等���。在信息安全風險評估的過程中包含以下幾方面的關鍵技術。
2.1 資產管理技術分析
資產評估主要是對具有價值的資源和信息開展的評估�����,這些資產包含有形的文檔��、硬件等也包含悟性的形象和服務等。風險評估中的第一項任務就是進行資產評估�。評估過程中應該確保資產的完整性和保密性�����,兼顧威脅。具體評估方法為:1)對資產進行分類��,資產往往來源于不同的網絡和業務管理系統����。所以需要對資產按照形態和具體的用途進行相應的分類���;2)對資產進行賦值�����,對所有的資產進行分類之后,需要為每一項資產進行賦值���,將資產的權重分為5個不同的級別,從1到5分別代表不同的資產等級��。資產評估并不是需要根據賬面的價格進行衡量而是以相對價值作為衡量的標準��,需要考慮到資產的成本價值����,更應該明確資產評估對組織業務發展的重要性����。在實際的資產評估過程中,商業利益���、信譽影響�、系統安全、系統破壞等都會對資產賦值產生影響。
2.2 威脅分析技術分析
威脅是客觀存在的,可能會對組織或者資產構成潛在的破壞�����,它可以通過途徑����、動機、資源和主體等多種途徑來實現,威脅可以分為環境因素和人為因素����。環境因素分為不可抗因素和物理因素�,人為因素可以分為非惡意和惡意因素�����。威脅評估步驟如下:1)威脅識別過程��,需要根據資產所處的實際環境,按照自身的實際經驗評估資產可能會面對的威脅,威脅的類型十分多樣化�����,包含篡改����、泄密、物理攻擊、網絡攻擊��、惡意代碼��、管理問題等����。2)威脅評估,在威脅識別完成之后就需要對威脅發生的可能性進行評估����。威脅評估句式需要根據威脅的種類和來源形成一個類別����,在列表中對威脅發生的可能性進行定義,現將威脅的等級分為五級����,威脅等級越高��,發生的可能性越大。表1為威脅賦值表格����。
2.3 脆弱性識別技術分析
脆弱性識別包含管理和技術兩個層面��,涉及到各個層面中的安全問題��,而漏洞掃描則是對主機和網絡設備等開展掃描檢查。針對需要保護的資產進行脆弱性識別,找出所有威脅可以利用的脆弱性��,再根據脆弱性的程度��,及可能會被威脅利用的機會展開相應的評估��。對于漏洞掃描大都需要依賴掃描軟件,當前市場上也出現了不少強大的掃描工具,可以掃描出絕大多數當前已經公開的絕大多數系統漏洞��?��?梢允褂肗essus客戶端對系統的漏洞情況進行掃描�,此種掃描工具包含了比較強大的安全漏洞數據庫,可以對系統漏洞進行高效、可靠安全的檢測,在結束掃描之后���,Nessus將會對收集到的信息和數據進行分析,輸出信息。輸出的信息包含存在的漏洞情況��,漏洞的詳細信息和處理漏洞的建立等��。
2.4 風險分析和評估技術分析
信息安全風險評估的過程中除了進行資產評估、危險評估和脆弱性識別之后需要對風險進行相應的計算�����。采用科學可行的工具和方法評估威脅發生的可能性����,并根據資產的重要性評估安全事件發生之后所產生的影響,即安全風險���。風險值的計算需要考慮到資產因素、脆弱性因素和威脅因素等�,在進行了定量和定性分析之后再計算最終的風險值�。
風險值的計算公式為R=F(A.T.V)=F=(Ia���,G(T�����,Va))��,公式中風險值為R,安全風險計算函數為F�,資產為A�,脆弱性為V�����,威脅為T����,資產的重要程度為Ia���,資產的脆弱性程度為Va���,脆弱性被威脅利用導致安全事故發生的可能性為L�����。將公式中的各項指標進行模型化轉換,可以得到圖1。
2.4.1 評估要素量化方法
本文論述兩種量化評估要素的方法:1)權重法��,根據評估要素中重要程度的不同設置不同的權限值�����,在經過加權治療后得出最終的量化值����。2)最高法����,評估要素的量化值就是評估要素的最高等級值,公式為S=Max(Sj)
2.4.2 計算風險值的方法
根據計算風險值的模型,采用矩陣算法來計算風險值�����。分別計算風險事件的發生值、影響值和最終的風險值�����。風險事件發生值=L(資產的脆弱性�����,威脅值)=L(V,T),風險事件影響值I=(Ia����,Va)��。
2.4.3 風險評估結果
在綜合分析完成之后的評估結果就是風險評估結果,這項結果將會成為風險評估機構開展風險管理的主要依據,風險評估結果包含:風險計算和風險分析。風險計算是對資產的重要程度及風險事件發生值等進行判定;進而得出判定結果;風險分析是總結系統的風險評估過程�����,進而得出殘余風險和系統的風險狀況���。
3 結論
隨著互聯網技術的普及應用����,信息化管理已經成功應用到絕大部分企業管理中。但是隨之而來的是一系列的信息安全問題,如果出現安全問題將會給企業帶來嚴重的經濟損失。信息安全風險評估技術是對信息安全風險程度進行分析計算的基礎上展開評估���,為提高企業信息安全性奠定基礎,提高企業信息安全管理水平。
第7篇
關鍵詞:信息安全���;風險評估;脆弱性;威脅
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007—9599 (2012) 14—0000—02
一�����、引言
隨著信息技術的飛速發展�,關系國計民生的關鍵信息資源的規模越來越大,信息系統的復雜程度越來越高,保障信息資源�����、信息系統的安全是國民經濟發展和信息化建設的需要��。信息安全的目標主要體現在機密性���、完整性、可用性等方面���。風險評估是安全建設的出發點,它的重要意義在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案的制定���,以成本一效益平衡的原則,通過評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性���,并結合資產的重要程度來識別信息系統的安全風險。信息安全風險評估就是從風險管理角度����,運用科學的分析方法和手段�����,系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度���,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險����,或者將殘余風險控制在可接受的水平�����,從而最大限度地保障網絡與信息安全。
二����、網絡信息安全的內容和主要因素分析
“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全����,而從廣義的角度考慮,還包括整個網絡系統的硬件�����、軟件��、數據以及數據處理、存儲�����、傳輸等使用過程的安全��。
網絡信息安全具有如下5個特征:1.保密性����。即信息不泄露給非授權的個人或實體��。2.完整性�。即信息未經授權不能被修改����、破壞。3.可用性����。即能保證合法的用戶正常訪問相關的信息��。4.可控性。即信息的內容及傳播過程能夠被有效地合法控制����。5.可審查性��。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛�,根據不同的分類方法可以有多種不同的分類���。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。
而通過有效的網絡信息安全風險因素分析����,就能夠為此復雜問題的解決找到一個考慮問題的立足點�,能夠將復雜的問題量化�,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。
網絡信息安全的風險因素主要有以下6大類:1.自然界因素��,如地震�、火災、風災、水災、雷電等��;2.社會因素�����,主要是人類社會的各種活動�����,如暴力、戰爭、盜竊等;3.網絡硬件的因素,如機房包括交換機����、路由器�、服務器等受電力����、溫度、濕度、灰塵�、電磁干擾等影響�;4.軟件的因素�,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件�����、防火墻����、工具軟件等;5.人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素��,如操作失誤����、數據泄露、惡意代碼、拒絕服務、騙取口令�、木馬攻擊等���;6.其他因素��,包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素�����、宣傳部門對相關安全內容的宣傳因素等�。這些因素對于網絡信息安全均會產生直接或者間接的影響。
三、安全風險評估方法
(一)定制個性化的評估方法
雖然已經有許多標準評估方法和流程,但在實踐過程中����,不應只是這些方法的套用和拷貝�����,而是以他們作為參考,根據企業的特點及安全風險評估的能力�,進行“基因”重組���,定制個性化的評估方法��,使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試�����、邊界評估���、網絡結構評估��、脆弱性掃描、策略評估�����、應用風險評估等���。
(二)安全整體框架的設計
風險評估的目的�����,不僅在于明確風險��,更重要的是為管理風險提供基礎和依據。作為評估直接輸出�����,用于進行風險管理的安全整體框架���。但是由于不同企業環境差異�、需求差異,加上在操作層面可參考的模板很少��,使得整體框架應用較少�����。但是����,企業至少應該完成近期1~2年內框架�����,這樣才能做到有律可依���。
(三)多用戶決策評估
不同層面的用戶能看到不同的問題���,要全面了解風險��,必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程�����,對于了解風險��、理解風險��、管理風險、落實行動��,具有極大的意義��。事實證明���,多用戶參與的效果非常明顯����。多用戶“決策”評估��,也需要一個具體的流程和方法�。
(四)敏感性分析
由于企業的系統越發復雜且互相關聯�����,使得風險越來越隱蔽。要提高評估效果,必須進行深入關聯分析����,比如對一個老漏洞�����,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關的其他技術和管理漏洞,找出病“根”,開出有效的“處方”。這需要強大的評估經驗知識庫支撐���,同時要求評估者具有敏銳的分析能力。
(五)集中化決策管理
安全風險評估需要具有多種知識和能力的人參與,對這些能力和知識的管理��,有助于提高評估的效果��。集中化決策管理�����,是評估項目成功的保障條件之一,它不僅是項目管理問題,而且是知識�����、能力等“基因”的組合運用����。必須選用具有特殊技能的人,去執行相應的關鍵任務。如控制臺審計和滲透性測試�,由不具備攻防經驗和知識的人執行�����,就達不到任何效果�。
(六)評估結果管理
安全風險評估的輸出,不應是文檔的堆砌���,而是一套能夠進行記錄、管理的系統�。它可能不是一個完整的風險管理系統�����,但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統����,使用它來指導評估過程��,管理評估結果��,以便在管理層面提高評估效果。
四、風險評估的過程
(一)前期準備階段
主要任務是明確評估目標��,確定評估所涉及的業務范圍���,簽署相關合同及協議�����,接收被評估對象已存在的相關資料�����。展開對被評估對象的調查研究工作。
(二)中期現場階段
編寫測評方案,準備現場測試表���、管理問卷,展開現場階段的測試和調查研究階段。
(三)后期評估階段
撰寫系統測試報告�����。進行補充調查研究��,評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。
五��、風險評估的錯誤理解
1.不能把最終的系統風險評估報告認為是結果唯一���。
2.不能認為風險評估可以發現所有的安全問題���。
3.不能認為風險評估可以一勞永逸的解決安全問題���。
4.不能認為風險評估就是漏洞掃描����。
5.不能認為風險評估就是 IT部門的工作,與其它部門無關����。
6.不能認為風險評估是對所有信息資產都進行評估��。
六、結語
總之���,風險評估可以明確信息系統的安全狀況和主要安全風險。風險評估是信息系統安全技術體系與管理體系建設的基礎����。通過風險評估及早發現安全隱患并采取相應的加固方案是信息系統安全工程的重要組成部分�,是建立信息系統安全體系的基礎和前提�。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求,但是��,信息安全評估工作的實施也存在一定的難題����,涉及信息安全評估的行業或系統各不相同�,并不是所有的評估方法都適用于任何一個行業,要選擇合適的評估方法,或開發適合于某一特定行業或系統的特定評估方法����,是當前很現實的問題���,也會成為下一步研究的重點���。
參考文獻:
[1]剛�����,吳昌倫.信息安全風險評估的策劃[J].信息技術與標準化,2004,09
[2]賈穎禾.信息安全風險評估[J].中國計算機用戶,2004�����,24
[3]楊潔.層次化的企業信息系統風險分析方法研究[J].軟件導刊,2007�����,03
第8篇
關鍵詞:網絡審計 歷史財務報表審計 信息安全管理 風險評估
一�����、引言
從審計的角度����,風險評估是現代風險導向審計的核心理念�����。無論是在歷史財務報表審計還是在網絡審計中,現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心,通過對被審計單位及其環境的了解���,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點���,進一步決定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和提高審計效果及審計效率�����。從企業管理的角度���,企業風險管理將風險評估作為其基本的要素之一進行規范�,要求企業在識別和評估風險可能對企業產生影響的基礎上,采取積極的措施來控制風險,降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分�����,是企業信息安全管理的基礎和關鍵環節�����。盡管如此����,風險評估在網絡審計���、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同��,本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上���,從風險評估中應關注的風險范圍、風險評估的目的�、內容�����、程序及實施流程等內容展開,將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析�,以期深化對網絡審計風險評估的理解����。
二�����、網絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型��,審計風險又由固有風險、控制風險和檢查風險構成��。其中����,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性����;控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性��;檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性�。在網絡審計中����,審計風險仍然包括固有風險、控制風險和檢查風險要素����,但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率�,為企業的經營管理帶來很大的優越性�����,但同時也為企業帶來了一些新的風險。這些新的風險主要表現為:(1)數據與職責過于集中化�����。由于手工系統中的職責分工�、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了,這些集中的數據庫技術無疑會增加數據縱和破壞的風險��。(2)系統程序易于被非法調用甚至遭到篡改����。由于計算機系統有較高的技術要求,非專業人員難以察覺計算機舞弊的線索�����,這加大了數據被非法使用的可能性����。如經過批準的系統使用人員濫用系統,或者說���,企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險���,例如程序中的差錯反復和差錯級聯、數據處理不合邏輯����、甚至是程序本身存在錯誤等���。(4)信息系統缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據���,從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險,如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障,或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等�。相對應地����,網絡審計的固有風險主要是指系統環境風險���,即財務電算化系統本身所處的環境引起的風險���,它可分為硬件環境風險和軟件環境風險�����?�?刂骑L險包括系統控制風險和財務數據風險,其中,系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險����,財務數據風險是指電磁性財務數據被篡改的可能性����。檢查風險包括審計軟件風險和人員操作風險���,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統的操作人員����、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險�����。
(二)風險評估目的無論在網絡審計還是歷史財務報表審計中��,風險評估只是審計的一項重要程序����,貫穿于審計的整個過程���。與其他審計程序緊密聯系而不是一項獨立的活動���。盡管如此�,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類,因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險��,審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估�����。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動����,無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中,一個信息系統的生命周期大都包括規劃和啟動�、設計開發或采購��、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同�����,企業在不同階段的控制目標和控制行為也會有所不同���,因此���,審計人員的風險評估應該貫穿于信息系統的整個生命周期�����。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等��,信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺�。具體可將其分為五個層面:物理層,即信息系統運行所必備的機房���、設備、辦公場所��、系統線路及相關環境��;網絡層���,即信息系統所需的網絡架構的安全情況��、網絡設備的漏洞情況、網絡設備配置的缺陷情況等����;系統層�����,即信息系統本身的漏洞情況、配置的缺陷情況����;應用層����,即信息系統所使用的應用軟件的漏洞情況���、安全功能缺陷情況���;管理層���,即被審計單位在該信息系統的運行使用過程中的組織���、策略���、技術管理等方面的情況��。(2)對于與企業基于網絡的財務信息相關的風險�,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險�。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性,它是針對企業借助于網絡信息系統或網絡技術對有關賬戶���、交易或事項進行確認、計量或披露而言����。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的�����,審計人員在審計時應當考慮被審計單位的行業狀況、經營性質���、法律及監管環境、會計政策和會計方法的選用��、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響�。信息安全風險涉及信息的保密性、完整性�����、可用性及敏感性等方面可能存在的風險��,主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言�。在審計過程中�,審eta員應當主要關注相關財務信息被盜用���、非法攻擊或篡改及非法使用的可能性�。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮��。
(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度�。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內容上也是存在區別的。總的來說����,網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入���。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風
險》��,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險�,審計人員了解的具體內容包括被審計單位所在行業狀況�����、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用�、被審計單位的目標�����、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險�,審計人員除了從以上方面了解被審計單位及其環境外�����,還應該關注其他相關的潛在事件及其影響��,尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點�����。其中�,威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件�����,它可能是一些如工作人員缺乏責任心���、專業技能不足或惡意篡改等人為因素���,也可能是一些如灰塵�、火災或通訊線路故障等環境因素����。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節,它是系統或網絡財務信息本身固有的,包括物理環境����、組織��、過程、人員、管理�、配置���、硬軟件及信息等各方面的弱點����。一般來說��,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網絡��、系統的弱點來成功地引起破壞��。因此����,我們認為網絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅���,并分析威脅發生的可能性����;(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度�;(3)根據威脅發生的可能性和脆弱點發生的嚴重程度�����,判斷風險發生的可能性;(4)根據風險發生的可能性����,評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響�����;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性���。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求,審計人員應當實施詢問�、分析程序����、觀察和檢查等程序����,以獲取被審計單位的信息���,進而評估被審計單位的重大錯報風險���。這些程序同樣適用于網絡審計中的風險評估����。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項���。在實施詢問程序時�����,審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)�����、系統使用人員(或信息的內部使用人員)����、系統或網絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點�。在實施分析程序時�,除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外���,審計人員應格外關注對信息系統及網絡的特性情況�����,被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時,除執行常規程序外���,審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外,針對特定系統或網絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析���、滲透測試、工具掃描、安全策略分析等��;管理方面如風險問卷調查����、風險顧問訪談、風險策略分析、文檔審核等���。其中,IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析����;滲透測試是指在獲取用戶授權后����,通過真實模擬黑客使用的工具��、方法來進行實際漏洞發現和利用的安全測試方法��;工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描���、網絡掃描、數據庫掃描等����,用于分析系統����、應用��、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況�,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析���,進而評價企業相關風險發生的概率以及可能帶來的損失��;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分����,主要包括需求文檔測試和設計文檔測試����。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價����,審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序��。
三、網絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準����,對信息系統及由其處理���、傳輸和存儲的信息的保密性���、完整性和可用性等安全屬性進行科學評價的過程����。作為信息安全保障體系建立過程中的重要的評價方法和決策機制����,信息安全風險評估是企業管理的組成部分�,它具有規劃、組織�、協調和控制等管理的基本特征����,其主要目的在于從企業內部風險管理的角度�,在系統分析和評估風險發生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施�,將企業面臨或遭遇的風險控制在可接受水平��,最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務�,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性����、公允性以及網絡財務信息系統的合規性���、可靠性和有效性的影響程度��,從而指導進一步審計程序�。因此��,兩者風險評估的目的是不一樣�����。從評估所應關注的風險范圍來看,兩者具有一致性���,即都需要考慮與信息系統和信息相關的風險。但是��,具體的關注邊界則是不一樣的����。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性���,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響�����,它要求評估人員關注與企業整個信息系統和所有的信息相關的風險�,包括實體安全風險���、數據安全風險��、軟件安全風險��、運行安全風險等。網絡審計中,審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見���,因此,風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險,而不是與企業的整個信息系統和所有的信息相關的風險�����。根據評估實施者的不同�,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動���;他評估通常是由組織的上級主管機關或業務主管機關發起的��,旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢�、服務����、培訓以及風險評估有關工具的提供�����。因此。對審計人員而言,受托執行的信息安全風險評估應當歸屬于管理咨詢類�����,即屬于非鑒證業務�����,與網絡審計嚴格區分開來���。
(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中��,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開�,并充分考慮與這些基本要素相關的其他屬性�。其中���,風險評估的基本要素包括資產���、脆弱性�����、威脅���、風險和安全措施�;相關屬性包括業務戰略�����、資產價值、安全需求���、安全事件、殘余風險等��。在此基礎上的風險計算過程是:(1)對信息資產進行識別�����,并對資產賦值���;(2)對威脅進行分析���,并對威
脅發生的可能性賦值�����;(3)識別信息資產的脆弱性,并對弱點的嚴重程度賦值���;(4)根據威脅和脆弱性計算安全事件發生的可能性;(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失�����;(6)根據安全事件發生的可能性以及安全事件出現后的損失�,計算安全事件一旦發生對組織的影響,即風險值���。結合上文網絡審計風險評估五個方面的內容可以看出,網絡審計和信息安全風險評估在內容上有相近之處����,即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別�����。但是,信息安全管理作為企業的一項內部管理�����,其風險評估工作需要從兩個層次展開:一是評估風險發生的可能性及其影響����;二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的����,其重點在第二層次�����。《信息安全風險評估指南》(征求意見稿)提出�����,企業在確定出風險水平后��,應對不可接受的風險選擇適當的處理方式及控制措施�,并形成風險處理計劃����。其中,風險處理的方式包括回避風險�����、降低風險�����、轉移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業發展戰略、企業文化�����、人員素質�����,并特別關注成本與風險的平衡����。網絡審計的風險評估工作主要集中在第一個層次�����,即審計人員通過風險評估�,為進一步審計中做出合理的職業判斷�����、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎���。因此�����,兩者的評估內容是存在區別的。
第9篇
隨著油田信息化高速發展,大批業務系統集中部署在數據中心���,信息資產呈現高度集中趨勢����,給企業信息安全保障工作提出了新的要求�����。信息安全態勢日益嚴峻,黑客攻擊手段不斷翻新�,利用“火焰”病毒��、“紅色十月”病毒等實施的高級可持續攻擊活動頻現,對國家和企業的數據安全造成嚴重威脅。因此����,及時掌握信息系統保護狀況���,持續完善系統安全防護體系���,對于保證信息資產的安全性和油田業務系統的連續性具有重要的現實意義��。在信息安全領域中,安全評估是及時掌握信息系統安全狀況的有效手段。而其中的信息安全風險評估是是一種通用方法�,是風險管理和控制的核心組成部分��,是建立信息系統安全體系的基礎和前提,也是信息系統等級測評的有效補充和完善。因此,研究建立具有油田公司特色的信息安全風險評估模型和方法��,可以為企業科學高效地開展信息安全風險評估工作提供方法指導與技術保障�,從而提高油田勘探開發、油氣生產和經營管理等數據資產的安全性�,為油田公司信息業務支撐平臺的正常平穩運行保駕護航�����。
1風險評估研究現狀
從當前的研究現狀來看,安全風險評估領域的相關研究成果主要集中在標準制定上�����。不同的安全評估標準包含不同的評估方法�����。迄今為止,業界比較認可的風險評估相關標準主要有國際標準ISO/IECTR13335IT安全管理��、美國NIST標準SP800-30IT系統風險管理指南(2012年做了最新修訂)�、澳大利亞-新西蘭標準風險管理AS/NZS4360等。我國也根據國際上這些標準制定了我國的風險評估標準GB/T20984-2007信息安全技術風險評估規范以及GB/Z24364-2009信息安全技術信息安全風險管理指南�。
1.1IT安全管理ISO/IECTR13335
IT安全管理ISO/IECTR13335系列標準是最早的清晰描述安全風險評估理論及方法的國際標準����,其主要目的是給出如何有效地實施IT安全管理的建議和指導�,是當前安全風險評估與風險管理方面最權威的標準之一。ISO/IECTR13335(以下簡稱為IS013335)包括了五個部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型���。IS013335介紹了IT安全管理中的安全要素,重點描述了:資產�、威脅�、脆弱性�、影響、風險����、防護措施����、殘留風險等與安全風險評估相關的要素��。它強調風險分析和風險管理是IT安全管理過程的一部分��,也是必不可少的一個關鍵過程。圖1表示資產怎樣潛在經受若干威脅��。[2]如圖1所示�,某些安全防護措施在降低與多種威脅和/或多種脆弱性有關的風險方面可以是有效的。有時�,需要幾種安全防護措施使殘留風險降低到可接受的級別���。某些情況中,當認為風險是可接受時,即使存在威脅也不實施安全防護措施���。在其他一些情況下,要是沒有已知的威脅利用脆弱性�����,可以存在這種脆弱性�。圖2表示與風險管理有關的安全要素之間的關系�。為清晰起見��,僅表示了主要的關系�。任何二個方塊之間箭頭上的標記描述了這些方塊之間的關系�。第二部分管理和規劃IT安全(1997)主要提出了與IT安全管理和規劃有關的各種活動,以及組織中有關的角色和職責���。[2]第三部分IT安全管理技術(1998)本部分介紹并推薦用于成功實施IT安全管理的技術,重點介紹了風險分析的四種方法:基線方法��、非正式方法����、詳細風險分析和綜合方法。[2]第四部分安全防護措施的選擇(2000)為在考慮商業需求和安全要素的情況下選擇安全防護措施的指南�����。它描述了根據安全風險和要素及部門的典型環境�,選擇安全防護措施的過程,并表明如何獲得合適的保護�����,如何能被最基礎的安全應用支持�。[2]第五部分網絡的安全防護措施(2001)為關于網絡和通信方面的IT安全管理指南,這一指南提供了根據建立網絡安全需求來考慮的通信相關因素的識別和分析。[2]
1.2風險評估實施指南
SP800-30SP800-30(風險評估實施指南����,2012年9月)是由NIST制定的與風險評估相關的標準之一,它對安全風險評估的流程及方法進行了詳細的描述,提供了一套與三層風險管理框架結合的風險評估辦法��,用于幫助企業更好地評價�����、管理與IT相關的業務面臨的風險����。它包括對IT系統中風險評估模型的定義和實踐指南�����,提供用于選擇合適安全控制措施的信息��。SP800-30:2012中的風險要素包括威脅、脆弱性、影響、可能性和先決條件����。(1)威脅分析威脅源從利用脆弱性的動機和方法����、意外利用脆弱性的位置和方法等方面進行分析����。(2)脆弱性和先決條件考慮脆弱性時應注意脆弱性不僅僅存在于信息系統中,也可能存在于組織管理架構����,可能存在于外部關系�����、任務/業務過程���、企業/信息安全體系架構中�����。在分析影響或后果時��,應描述威脅場景,即威脅源引起安全事件導致或帶來的損害����。先決條件是組織��、任務/業務過程���、企業體系架構����、信息系統或運行環境內存在的狀況����,威脅事件一旦發起,這種狀況會影響威脅事件導致負面影響的可能性�����。(3)可能性風險可能性是威脅事件發起可能性評價與威脅事件導致負面影響可能性評價的組合��。(4)影響分析應明確定義如何建立優先級和價值����,指導識別高價值資產和給單位利益相關者帶來的潛在負面影響��。(5)風險模型標準給出了風險評估各要素之間的關系的通用模型。[3]
1.3風險評估規范
GB/T20984-2007GB/T20984-2007是我國的第一個重要的風險評估標準�。該標準定義了風險評估要素關系模型��,并給出了風險分析過程,具體如圖3所示:風險分析中涉及資產�、威脅����、脆弱性三個基本要素����。首先識別出威脅、脆弱性和資產����,然后根據威脅出現的頻率和脆弱性的嚴重程度分析得到安全事件發生的可能性����,再根據脆弱性嚴重程度和資產價值分析得到安全事件造成的損失�,最后根據安全事件發生的可能性及造成的損失分析確定風險值。
2信息安全風險評估模型構建
結合某油田企業實際情況�,在參考上述標準及風險分析方法風險分析的主要內容為:a)識別資產并對資產的價值進行賦值;b)識別威脅��,并根據威脅出現的頻率給威脅賦值;c)識別脆弱性,并將具體資產的脆弱性賦為2個值�,一個是脆弱性嚴重程度���,一個是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導致的安全事件;e)分析確定出安全事件發生后帶來的影響不能被單位所接受的那些安全事件;可以接受的安全事件對應的風險等級確定為低;f)針對不可接受安全事件�,分析相應的威脅和脆弱性�,并根據威脅以及脆弱性暴露程度,以及相關安全預防措施的效果計算安全事件發生的可能性;g)針對不可接受安全事件���,根據相應脆弱性嚴重程度及資產的價值,以及相應預防措施的有效性計算安全事件造成的損失:的基礎上�,總結形成油田企業風險要素關系模型如圖4所示��,風險計算模型如圖5所示:h)根據不可接受安全事件發生的可能性以及安全事件發生后的損失�,計算安全事件發生會對企業造成的影響,即風險值,并確定風險等級�。
3模型創新點及優勢分析
信息安全風險評估方式和方法很多����,如何建立適合油田企業當前安全需求的風險評估模型�����、評估要素賦值方法以及風險計算方法是本文要解決的技術難點和創新點�。1)對于資產的賦值��,從資產所支撐的業務出發�����,結合信息系統安全保護等級及其構成情況,提出了根據業務數據重要性等級和業務服務重要性等級確定資產的重要性,使得風險評估與業務及等級保護結合更加緊密。2)對于脆弱性賦值���,將脆弱性細分為暴露程度及嚴重程度兩個權重。其中暴露程度與威脅賦值確定安全事件發生可能性,嚴重程度與資產價值確定安全事件造成的影響��。3)將現有安全措施進一步細化���,分解為預防措施和恢復措施,并研究得到預防措施有效性會影響到安全事件發生可能性�����,而恢復措施有效性會影響到安全事件造成的損失�。4)結合被評估單位的實際業務需求,提出了僅針對被評估單位的不可接受安全事件進行數值計算����,減少了計算工作量���,有助于提升風險評估工作效率。5)根據油田企業實際需求,將安全事件發生可能性和安全事件造成的損失賦予不同的權重��,從而使得風險計算結果中安全事件損失所占比重更大����,更重視后果;并通過實例驗證等方式歸納總結出二者權重比例分配。
險評估模型應用分析
4.1資產識別
資產識別主要通過現場訪談的方式了解風險評估范圍涉及到的數據、軟件、硬件���、服務、人員和其他六類資產相關的業務處理的數據及提供的服務和支撐業務處理的硬件設備和軟件情況。4.1.1資產重要性分析資產重要性分析以信息系統的業務為出發點�����,通過對業務處理的數據以及提供的服務重要性賦值的方法確定信息系統資產價值�����。業務處理的數據以及業務提供的服務的重要性分析及賦值方法具體如下���。4.1.1.1業務數據重要性分析業務數據資產的重要性主要根據業務數據的安全屬性(即三性:保密性����、完整性和可用性)被破壞對本單位造成的損失程度確定�。油田企業各業務系統所處理的數據信息根據數據安全屬性被破壞后可能對油田企業造成的損失嚴重程度進行賦值。一般賦值為1—5。4.1.1.2業務服務重要性分析服務資產的重要性根據其完整性和可用性被破壞對本單位造成的損失程度確定�����。通過與相關人員進行訪談����,調查了解每種業務提供的服務和支撐業務處理的硬件設備和軟件情況,根據服務安全屬性被破壞后可能對油田企業造成損失的嚴重程度,為各種業務服務重要性賦值�����。一般賦值為1—5��。4.1.2資產賦值通過分析可以看出,六類資產中數據資產和業務服務資產的重要性是決定其他資產重要性的關鍵要素����,因此�,六類資產的賦值原則如下:1)數據資產重要性根據業務數據重要性賦值結果確定�。2)服務資產重要性根據業務服務重要性賦值結果確定。3)軟件和硬件資產的重要性由其所處理的各類數據或所支撐的各種業務服務的重要性賦值結果中的較高者決定����。4)人員的重要性根據其在信息系統中所承擔角色的可信度�����、能力等被破壞對本單位造成的損失程度確定。5)其他資產重要性根據其對油田企業的影響程度確定�。
4.2威脅識別
4.2.1威脅分類對威脅進行分類的方式有多種���,針對環境因素和人為因素兩類威脅來源��,可以根據其表現形式將威脅進行分類[4]。本論文采用GB/Z24364-2009信息安全技術信息安全風險管理指南中基于表現形式的威脅分類方法�。4.2.2威脅賦值根據威脅出現的頻率確定威脅賦值����,威脅賦值一般為1~5����。對威脅出現頻率的判斷根據風險評估常規做法獲得���,比如安全事件報告����、IDS�����、IPS報告以及其他機構的威脅頻率報告等。
4.3脆弱性識別
4.2.1脆弱性分類脆弱性識別所采用的方法主要有:問卷調查���、配置核查、文檔查閱�、漏洞掃描���、滲透性測試等�����。油田企業脆弱性識別依據包括:GB/T22239信息安全技術信息系統安全等級保護基本要求的三級要求以及石油行業相關要求。4.2.2脆弱性賦值原則脆弱性賦值時分為脆弱性暴露程度和脆弱性嚴重程度����。暴露程度根據其被利用的技術實現難易程度��、流行程度進行賦值。對脆弱性的暴露程度給出如下5個等級的賦值原則:脆弱性的嚴重程度根據脆弱性被利用可能對資產造成的損害程度進行賦值����。脆弱性的嚴重程度分為5個等級��,賦值為1~5。
4.4現有安全措施識別
4.4.1現有安全措施識別方法信息系統環境中的現有安全措施根據其所起的安全作用分為預防措施和恢復措施����。預防措施用于預防安全事件的發生(例如入侵檢測����、網絡訪問控制����、網絡防病毒等)����,可以降低安全事件發生的概率。因此針對每一個安全事件���,分析現有預防措施是否能夠降低事件發生的概率,其降低發生概率的效果有多大。恢復措施可以在安全事件發生之后幫助盡快恢復系統正常運行��,可能降低安全事件的損失(例如應急計劃�、設備冗余、數據備份等),因此針對每一個安全事件���,分析現有恢復措施是否能夠降低事件損失,其降低事件損失的效果有多大。4.4.2現有安全預防措施有效性賦值原則通過識別信息系統現有安全措施及其有效性驗證����,針對每一個安全事件�,分析現有預防措施中可能降低事件發生概率的情況����,并對預防措施的有效性分別給出賦值結果。評估者通過分析安全預防措施的效果,對預防措施賦予有效性因子���,有效性因子可以賦值為0.1~1。4.4.3現有安全恢復措施有效性賦值原則通過識別信息系統現有安全措施及其有效性驗證,針對每一個安全事件���,分析現有恢復性安全措施中可能降低事件損失的情況。評估者通過分析安全恢復措施的有效性作用,對安全恢復措施賦予有效性因子�,有效性因子可以賦值為0.1~1��。
4.5安全事件分析
4.5.1安全事件關聯綜合識別出的脆弱性及現有安全措施識別出的缺陷,結合油田企業信息系統面臨的各種威脅,將各資產的脆弱性與威脅相對應形成安全事件。分析這些安全事件一旦發生會對國家�����、單位�����、部門及評估對象自身造成的影響�����,分析發生這些安全事件可能造成影響的嚴重程度,從中找出部門(或單位)對發生安全事件造成影響無法容忍的那些安全事件,即確定不可接受安全事件。4.5.2安全事件發生可能性分析(1)計算威脅利用脆弱性的可能性針對4.5.1中分析得出的不可接受安全事件���,綜合威脅賦值結果及脆弱性的暴露程度賦值結果,計算威脅利用脆弱性導致不可接受安全事件的可能性,采用乘積形式表明其關系���,即安全事件發生的可能性的初始結果計算公式如下:L1(T,V)1=T×V1其中,L1(T����,V1)代表不可接受事件發生的可能性的初始結果;T代表威脅賦值結果;V1代表脆弱性的暴露程度賦值結果��。(2)分析現有預防措施的效果通過對企業信息系統的現有安全措施的識別和有效性驗證,針對4.5.1分析得到的不可接受安全事件,分析描述現有預防措施中可能降低事件發生概率的情況,并給出有效性因子賦值結果。(3)計算安全事件發生的可能性考慮到現有安全措施可能降低安全事件發生的可能性��,因此安全事件發生的可能性的最終計算公式為:L2(T��,V)1=L1(T����,V1)×P1其中����,L2(T,V1)為最終安全事件發生的可能性結果;L1(T�����,V1)為安全事件發生的可能性初始結果;P1代表安全預防措施有效性賦值結果����。然后����,形成調節后的安全事件可能性列表。4.5.3安全事件影響分析(1)計算脆弱性導致資產的損失將各資產的脆弱性(管理類脆弱性除外��,管理類脆弱性采用定性方式進行主觀分析)與威脅相對應形成安全事件(4.5.1不可接受安全事件列表)�����,根據資產的重要性及脆弱性的嚴重程度���,計算脆弱性可能導致資產的損失�����,即:F1(A,V2)=A×V2其中����,F1(A�����,V2)代表安全事件可能導致資產的損失的初始計算結果;A代表資產價值,即資產賦值結果;V2代表脆弱性嚴重程度��,即脆弱性嚴重程度賦值結果����。(2)分析現有安全恢復措施的有效性通過對油田企業信息系統的現有安全措施的識別和有效性驗證,針對4.5.1分析得到的不可接受安全事件�����,分析描述現有恢復措施中可能降低事件發生的概率的情況����,并根據表9的賦值原則分別給出安全恢復措施的有效性賦值結果。(3)計算安全事件的損失考慮到恢復措施可能降低安全事件帶來的損失�,因此安全事件損失可以根據安全恢復措施的有效性予以調整�。采用乘積形式表明關系��,即:F2(A�����,V2)=F1(A,V2)×P2其中���,F2(A,V2)為安全事件可能造成的損失的最終計算結果;F1(A�����,V2)為安全事件可能造成損失的初始計算結果;P2代表安全恢復措施有效性賦值結果�����。然后���,形成調節后的安全事件損失計算結果列表����。
4.6綜合風險計算及分析
4.6.1計算風險值結合油田企業關注低可能性重性的安全事件的需求����,參照美國關鍵信息基礎設施風險評估計算方法��,采用安全事件發生的可能性以及安全事件可能帶來的損失的加權之和方式計算風險值���。這種方法更加重視安全事件帶來的損失�,使得損失在對風險值的貢獻中權重更大�。在使用油田企業以往測評結果試用的基礎上,將安全事件可能帶來的損失的權重定為80%。具體計算公式為:R(L2,F)2=L2(T�����,V)1×20%+F2(A�����,V)2×80%其中�,R(L2��,F2)代表風險值�,L2(T����,V1)為安全事件發生可能性的最終結果,F2(A��,V2)為安全事件可能造成的損失的最終計算結果��。4.6.2風險結果判斷計算出風險值后��,應對風險值進行分級處理,將風險級別劃分為五級。4.6.3綜合分析根據風險計算結果�����,從多個不同方面綜合匯總分析被評估信息系統存在的安全風險情況�����。例如可從以下幾方面匯總分析:1)風險較高的資產統計:匯總存在多個脆弱性可能導致多個中等以上風險等級安全事件發生的資產,從資產角度綜合分析被評估信息系統存在的安全風險情況;2)引起較高風險的脆弱性統計:匯總會給被評估信息系統帶來中等以上安全風險的脆弱性及其影響的資產及嚴重程度����,分析可能帶來的危害后果;3)出現頻率較高的脆弱性統計:匯總中等以上脆弱性在資產中的出現頻率�����,從而反映脆弱性在被評估系統中的普遍程度,出現頻率越高��,整改獲取的收益越好。4)按層面劃分的風險點分布情況匯總:匯總網絡����、主機���、應用�、數據�����、物理��、管理等各層面存在的脆弱性及其嚴重程度,對比分析風險在不同層面的分布情況。
5結語
