時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)
風險評估的核心不僅僅是理論,更是實踐。風險評估的實踐工作是很困難的,據(jù)國外的統(tǒng)計數(shù)字顯示,只有60%的風險評估是成功的。國內(nèi)的風險評估工作面臨的挑戰(zhàn)更多,需要一定時間的積累和沉淀,就像要成為一個好的中醫(yī),要有個學和練的過程一樣。
有人認為風險評估只是一個看病的過程,其實,看病就是在治病。因此,筆者就"看病治病"的風險評估過程的幾個方面簡單談談自己的心得與體會。
1. 定義——什么是完整意義的風險評估
何為完整意義的風險評估?須從各個角度去觀察,既要客觀,又要全面。古語云:"橫看成嶺側(cè)成峰,遠近高低各不同。不識廬山真面目,只緣身在此山中。"故所謂信息系統(tǒng)的安全風險,是指由于系統(tǒng)存在的脆弱性,人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。在風險評估中,最終要根據(jù)對安全事件發(fā)生的可能性和負面影響的評估來識別信息系統(tǒng)的安全風險。與信息系統(tǒng)的安全風險密切相關的因素包括:
(1)使命:即一個單位通過信息技術手段實現(xiàn)的工作任務。一個單位的使命對信息系統(tǒng)和信息的依賴程度越高,風險評估的任務就越重要。
(2)資產(chǎn):通過信息化建設積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務能力、人員能力和贏得的信譽等。
(3)資產(chǎn)價值:資產(chǎn)的敏感程度、重要程度和關鍵程度。
(4)威脅:一個單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫:威脅的主體(威脅源)、能力、資源、動機、途徑、可能性和后果。
(5)脆弱性:信息資產(chǎn)及其安全措施在安全方面的不足和弱點。脆弱性也常常被稱為漏洞。
(6)事件:如果威脅主體能夠產(chǎn)生威脅,利用資產(chǎn)及其安全措施的脆弱性,那么實際產(chǎn)生危害的情況稱之為事件。
(7)風險:由于系統(tǒng)存在的脆弱性,人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。
(8)殘余風險:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的風險。
(9)安全需求:為保證單位的使命能夠正常行使,在信息安全保障措施方面提出的要求。
(10)安全措施:對付威脅,減少脆弱性,保護資產(chǎn),限制意外事件的影響,檢測、響應意外事件,促進災難恢復和打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。
在這些要素中,尤其需要注意一個概念:殘余風險。之所以提出這個概念,原因在于:1)風險不可能完全消除。信息技術在發(fā)展,外部環(huán)境在變化,信息系統(tǒng)本身也要發(fā)生變化,信息安全的動態(tài)性致使不可能完全消除未來發(fā)生安全事件的風險。2)風險不必要完全消除。資產(chǎn)的價值以及信息安全的投入之間的比例關系決定了對有些安全風險,采取措施反而比不采取措施成本更高。由于上述原因,所謂安全的信息系統(tǒng),并不是指"萬無一失"的信息系統(tǒng),而是指殘余風險可以被接受的信息系統(tǒng)。
造成信息安全事件的源頭,可以歸為外因和內(nèi)因。外因為威脅,內(nèi)因則為脆弱性。蘇軾之《琴詩》曰:若言琴上有琴聲,放在匣中何不鳴?若言聲在指頭上,何不于君指上聽?這首詩所揭示是琴、指頭和琴聲三者之間的關系。如果把演奏者包括在內(nèi),那么,演奏者的思想感情和技能與琴、指之間的關系,又可以看作是事物的內(nèi)因和事物的外因之間的關系。前者是音樂產(chǎn)生的根據(jù),后者則是音樂產(chǎn)生的條件,兩者缺一不可。 因此,在風險評估中,要刻畫信息安全事件,就必須對威脅和脆弱性都有深入了解,這構成了風險評估工作的關鍵。
風險評估的工作由以下幾個步驟組成:
步驟1:描述系統(tǒng)特征
步驟2:識別威脅(威脅評估)
步驟3:識別脆弱性(脆弱性評估)
步驟4:分析安全控制
步驟5:確定可能性
步驟6:分析影響
步驟7:確定風險
步驟8:對安全控制提出建議
步驟9:記錄評估結(jié)果
2.作用——風險評估是分析確定風險的過程
任何系統(tǒng)的安全性都可以通過風險的大小來衡量??茖W分析系統(tǒng)的安全風險,綜合平衡風險和代價的過程就是風險評估。風險評估不是某個系統(tǒng)(包括信息系統(tǒng))所特有的。在日常生活和工作中,風險評估也是隨處可見,為了分析確定系統(tǒng)風險及風險大小,進而決定采取什么措施去減少、避免風險,把殘余風險控制在可以容忍的范圍內(nèi)。人們經(jīng)常會提出這樣一些問題:什么地方、什么時間可能出問題?出問題的可能性有多大?這些問題的后果是什么?應該采取什么樣的措施加以避免和彌補?并總是試圖找出最合理的答案。這一過程實際上就是風險評估。
3.戰(zhàn)略——信息安全風險評估是信息安全建設的起點和基礎
信息安全風險評估是風險評估理論和方法在信息系統(tǒng)中的運用,是科學分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風險,并在風險的預防、風險的控制、風險的轉(zhuǎn)移、風險的補償、風險的分散等之間作出抉擇的過程。所有信息安全建設都應該是基于信息安全風險評估,只有在正確地、全面地理解風險后,才能在控制風險、減少風險之間作出正確的判斷,決定調(diào)動多少資源、以什么樣的代價、采取什么樣的應對措施去化解、控制風險。
4.借鑒——重視風險評估是信息化比較發(fā)達國家的基本經(jīng)驗
《勸學》云:"吾嘗終日而思矣,不如須臾之所學也。吾嘗跂而望矣,不如登高之博見也。登高而招,臂非加長也,而見者遠。順風而呼,聲非加疾也,而聞者彰。假輿馬者,非利足也,而致千里。假舟輯者,非能水也,而絕江河。君子生非異也,善假于物也。"其核心思想即是借助外界力量發(fā)展提高壯大自己。由于信息技術的飛速發(fā)展,關系國計民生的關鍵信息基礎設施的規(guī)模越來越大,同時也極大地增加了復雜程度,發(fā)達國家越來越重視信息安全風險評估工作,提倡風險評估制度化。20 世紀70 年代,美國政府就發(fā)布了《自動化數(shù)據(jù)處理風險評估指南》。其后頒布的關于信息安全基本政策文件《聯(lián)邦信息資源安全》明確提出了信息安全風險評估的要求,要求聯(lián)邦政府部門依據(jù)信息和信息系統(tǒng)所面臨的風險,根據(jù)信息丟失、濫用、泄露、未授權訪問等造成損失的大小,制訂、實施信息安全計劃,以保證信息和信息系統(tǒng)應有的安全。有些國家和國際組織還十分重視階段性的再評估工作,以求得信息安全措施可以持續(xù)地適應信息安全形勢的變化和發(fā)展。因此我們應該充分借鑒國內(nèi)外就風險評估方面的經(jīng)驗,"站在巨人的肩膀上",完善并改進風險評估。
5.改進——當前開展信息安全風險評估要研究解決的幾個問題
經(jīng)過幾年的探索,我國有關方面已經(jīng)在信息安全風險評估方面做了大量工作,積累了一些寶貴的經(jīng)驗,然而由于起步晚,存在一些亟待解決的問題。一是對風險評估的認識不高,經(jīng)驗不足。二是風險評估的工作流程和技術標準有待完善。風險評估既是一個管理過程,也是一個技術性過程,需要制訂科學、實用、有效的工作流程和技術標準。特別是定性和定量的分析方法各自所起的作用,以及相互關系,有待進一步通過實踐摸索和理論研究的活動,加以豐富、完善。三是評估工具的發(fā)展相對滯后,很難適應技術發(fā)展需要。造成風險評估工具滯后的原因很多,技術、裝備上的落后是主要的。所以,要加強風險評估工具的研發(fā)和推廣。四是風險評估帶來的新風險的有效控制還沒有得到很好的解決。最后要強調(diào)的一點是要注重風險評估知識和經(jīng)驗的積累,提高安全能力——"半畝方塘一鑒開,天光云影共徘徊。問渠那得清如水?為有源頭活水來。" 只有不斷更新,不斷積累,企業(yè)的風險管理才不會成為一潭死水,毫無生氣。
關鍵詞標簽:企業(yè)安全,信息安全,風
相關閱讀
熱門文章 路由器地址大全-各品牌路由設置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設置地址 騰達路由器怎么設置?騰達路由器設置教程 ADSL雙線負載均衡設置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量