風(fēng)險(xiǎn)評估定量與定性的分析方法-

1、 風(fēng)險(xiǎn)評估定量與定性的分析方法姓名:武懷玉單位:上海三零衛(wèi)士信息安全有限公司摘要:本文簡要闡述了具體風(fēng)險(xiǎn)評估工作的運(yùn)營模式和管理模式,指出了風(fēng)險(xiǎn)評估的幾個(gè)階段以及如何對一個(gè)實(shí)施中的風(fēng)險(xiǎn)評估過程進(jìn)行有效科學(xué)的管理。關(guān)鍵字:信息系統(tǒng)安全關(guān)鍵資產(chǎn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評估運(yùn)營模式管理模式1 概述隨著信息化程度的日益提高,信息系統(tǒng)對于今天的大多數(shù)組織機(jī)構(gòu)來說已經(jīng)變得不可或缺。織機(jī)構(gòu)目標(biāo)的實(shí)現(xiàn)和完成也越來越依賴于信息的機(jī)密性、完整性以及可用性。盡管如此,許多單位或機(jī)構(gòu)仍然沒有建立有效的機(jī)制或方法來實(shí)現(xiàn)信息的上述“三性”,其一表現(xiàn)在根本不清楚應(yīng)該保護(hù)什么,也就是關(guān)鍵信息資產(chǎn)未能確定;其二表現(xiàn)在知道關(guān)鍵信息資產(chǎn)以后沒有切

2、實(shí)可行的保護(hù)機(jī)制和方法,而只是簡單的從設(shè)施的弱點(diǎn)著手制定相應(yīng)的信息系統(tǒng)保護(hù)策略。這樣就使得組織機(jī)構(gòu)的運(yùn)作需求和信息技術(shù)的需求之間產(chǎn)生鴻溝。另外,組織內(nèi)部的IT 人員往往并不是特別的關(guān)心組織機(jī)構(gòu)的目標(biāo)和商業(yè)需求,所以他們也就不清楚應(yīng)該充分保護(hù)哪些重要的信息資源,在這種情況下,組織機(jī)構(gòu)的運(yùn)營單位必須與IT部門或其他部門在外來力量或內(nèi)部力量的協(xié)助下進(jìn)行有效的溝通,從而使得如何確認(rèn)機(jī)構(gòu)的關(guān)鍵信息資產(chǎn)以及針對這些關(guān)鍵資產(chǎn)進(jìn)行何樣的有效保護(hù)策略。對信息系統(tǒng)而言,凡是能夠引起信息“三性”損失或損害的任何事件發(fā)生的可能性我們稱之為風(fēng)險(xiǎn)。由于風(fēng)險(xiǎn)是潛在的、可能發(fā)生的損失或損害,所以對風(fēng)險(xiǎn)的起因、數(shù)量、危害性等作

3、出評定,然后制定相應(yīng)的緩解措施是非常必要的。確定與組織機(jī)構(gòu)目標(biāo)及關(guān)鍵資產(chǎn)相關(guān)聯(lián)的風(fēng)險(xiǎn),并對風(fēng)險(xiǎn)的大小進(jìn)行識別的過程,我們成為風(fēng)險(xiǎn)評估。一套行之有效的風(fēng)險(xiǎn)評估可以幫助確定風(fēng)險(xiǎn)的數(shù)量并集合所有的緩解計(jì)劃以減少對組織機(jī)構(gòu)資產(chǎn)而言最具影響力的那些風(fēng)險(xiǎn)。2 風(fēng)險(xiǎn)評估的運(yùn)營模式很顯然,風(fēng)險(xiǎn)評估是個(gè)綜合的過程。由于該過程的切入點(diǎn)是機(jī)構(gòu)的經(jīng)營目標(biāo)和關(guān)鍵資產(chǎn),這就使得風(fēng)險(xiǎn)評估的內(nèi)容不僅僅涉及到信息系統(tǒng)本身,還要有機(jī)構(gòu)的組織系統(tǒng)、管理制度、人員基本素質(zhì)等等問題。同時(shí),風(fēng)險(xiǎn)評估工作又是一個(gè)十分個(gè)性化的工作,針對不同的客戶就有不同的客戶運(yùn)營目標(biāo)、運(yùn)作環(huán)境、組織機(jī)構(gòu)等,所以必須構(gòu)建一個(gè)通用的、全面的、系統(tǒng)的、受環(huán)境驅(qū)動(dòng)

4、的信息安全風(fēng)險(xiǎn)評估運(yùn)作模式。為了實(shí)現(xiàn)該目標(biāo),需要考慮如下問題:評估目標(biāo)、評估范圍、評估原則、評估實(shí)施過程以及安全加固實(shí)施建議。2.1 評估目標(biāo)對信息系統(tǒng)而言由于威脅是動(dòng)態(tài)的,風(fēng)險(xiǎn)、安全也是動(dòng)態(tài)的。所以需要明確的是,安全評估不是目的而是一個(gè)過程或?qū)嵤┦侄?它是信息系統(tǒng)安全工程的一個(gè)重要環(huán)節(jié)。通過安全評估識別出風(fēng)險(xiǎn)大小,在安全評估的基礎(chǔ)上制定信息安全策略,采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險(xiǎn)進(jìn)行管理,從而達(dá)到加強(qiáng)系統(tǒng)安全性,降低系統(tǒng)風(fēng)險(xiǎn)性的目的。在進(jìn)行任何一次安全評估時(shí)都要明確評估目標(biāo),在對現(xiàn)有系統(tǒng)做出準(zhǔn)確、客觀安全評價(jià)的同時(shí)量化現(xiàn)有系統(tǒng)的風(fēng)險(xiǎn)性,選擇適當(dāng)?shù)陌踩Ｗo(hù)措施以幫助組織機(jī)構(gòu)建立起一個(gè)完善的

5、、動(dòng)態(tài)的信息系統(tǒng)安全防護(hù)體系,管理與控制風(fēng)險(xiǎn),使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個(gè)可被接受的水平。2.2 評估范圍針對具體的組織機(jī)構(gòu)確定安全評估的范圍可以有效幫助評估目標(biāo)的實(shí)現(xiàn)。一般情況下應(yīng)該從下面三個(gè)方面進(jìn)行評估:組織層次、管理層次以及信息技術(shù)層次。具體如下:(1組織層次各組織機(jī)構(gòu)的安全重視情況;信息技術(shù)機(jī)構(gòu)的安全意識、關(guān)鍵資產(chǎn)理解情況;當(dāng)前組織策略和執(zhí)行的缺陷;組織脆弱點(diǎn)等。(2管理層次人員安全管理;安全環(huán)境管理;軟件安全管理運(yùn)行安全管理設(shè)備安全管理介質(zhì)安全管理文檔安全管理(3信息技術(shù)層次硬件設(shè)備:包括主機(jī)、網(wǎng)絡(luò)設(shè)備、線路、電源等;系統(tǒng)軟件:包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、備份系統(tǒng)等;網(wǎng)絡(luò)結(jié)構(gòu):包

6、括遠(yuǎn)程接入安全、網(wǎng)絡(luò)帶寬評估、網(wǎng)絡(luò)監(jiān)控措施等;數(shù)據(jù)備份/恢復(fù):包括主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序等的數(shù)據(jù)備份/恢復(fù)機(jī)制;2.3 評估原則標(biāo)準(zhǔn)性原則:風(fēng)險(xiǎn)評估理論模型的設(shè)計(jì)和具體實(shí)施應(yīng)該依據(jù)國內(nèi)外相關(guān)的標(biāo)準(zhǔn)進(jìn)行。規(guī)范性原則:風(fēng)險(xiǎn)評估的過程以及過程中涉及到的文檔應(yīng)該具有很好的規(guī)范性,以便于項(xiàng)目的跟蹤和控制。可控性原則:在風(fēng)險(xiǎn)評估項(xiàng)目實(shí)施過程中,應(yīng)該按照標(biāo)準(zhǔn)的項(xiàng)目管理方法對人員、組織、項(xiàng)目進(jìn)行風(fēng)險(xiǎn)控制管理,以保證風(fēng)險(xiǎn)評估在實(shí)施過程中的可控性。整體性原則:從管理(組織和技術(shù)兩個(gè)角度對系統(tǒng)進(jìn)行評估,保證評估的全面性。最小影響原則:評估工作應(yīng)盡可能小的影響組織機(jī)構(gòu)系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行。保密性原則:評估過程

7、應(yīng)該與組織機(jī)構(gòu)簽訂相關(guān)的保密協(xié)議,以承諾對組織機(jī)構(gòu)內(nèi)部信息的保密。2.4 評估實(shí)施過程風(fēng)險(xiǎn)評估共分4個(gè)實(shí)施階段(如下圖,分別是:(1前期準(zhǔn)備階段本階段的主要工作是明確風(fēng)險(xiǎn)評估的目標(biāo)、確定項(xiàng)目的范圍、具體的成果表現(xiàn)形式以及最終制定的項(xiàng)目計(jì)劃,同時(shí)明確個(gè)人職責(zé)與任務(wù)分工,以及進(jìn)行項(xiàng)目實(shí)施的相關(guān)工作。(2現(xiàn)場調(diào)查階段本階段主要進(jìn)行現(xiàn)場的調(diào)查工作,該工作由人員訪談?wù){(diào)查和技術(shù)調(diào)查兩部分組成,分別對組織機(jī)構(gòu)的信息系統(tǒng)、安全管理策略、關(guān)鍵資產(chǎn)的安全狀況進(jìn)行收集與整理,形成調(diào)查報(bào)告,為下一階段的工作打好基礎(chǔ)。(3風(fēng)險(xiǎn)分析階段本階段的主要工作是根據(jù)現(xiàn)場收集的資料,結(jié)合專業(yè)安全的知識,對被調(diào)查組織機(jī)構(gòu)的信息系統(tǒng)所

8、面臨的威脅、系統(tǒng)存在的脆弱性、威脅事件對信息系統(tǒng)以及組織的影響進(jìn)行系統(tǒng)的分析,以最終評估信息系統(tǒng)的風(fēng)險(xiǎn)。(4安全規(guī)劃階段本階段的主要工作是根據(jù)第三階段的成果選擇適當(dāng)?shù)陌踩呗?并結(jié)合組織機(jī)構(gòu)具體的應(yīng)用特點(diǎn)形成策略體系,為最終的決策提供參考。 3 風(fēng)險(xiǎn)評估的管理模式從上述安全風(fēng)險(xiǎn)評估的實(shí)施過程可以看出它是一個(gè)個(gè)性化很強(qiáng)的工作,這主要表現(xiàn)在:不同的組織機(jī)構(gòu)其業(yè)務(wù)目標(biāo)會(huì)不同,也就使得關(guān)鍵資產(chǎn)不同,那在作風(fēng)險(xiǎn)評估的時(shí)候真正分析的重點(diǎn)就由區(qū)別,同時(shí)不同的組織機(jī)構(gòu)其組織層次及其運(yùn)作方式也是由區(qū)別的,這也使得針對組織層次的評估分析具有差異性。所以,作為一個(gè)通用的風(fēng)險(xiǎn)評估的運(yùn)營模式,針對客體的這些差異性,必須

9、建立一套科學(xué)的項(xiàng)目管理模式,使對整個(gè)的評估過程具有可控性。我們采用項(xiàng)目小組的運(yùn)作和控制管理機(jī)制實(shí)施安全風(fēng)險(xiǎn)評估,項(xiàng)目小組有科學(xué)的組織結(jié)構(gòu),上有領(lǐng)導(dǎo)層、中有項(xiàng)目協(xié)調(diào)層、下有具體實(shí)施成員,如下圖: 版權(quán)所有©上海三零衛(wèi)士信息安全有限公司項(xiàng)目領(lǐng)導(dǎo)小組:由雙方最高層領(lǐng)導(dǎo)組成,負(fù)責(zé)對整體項(xiàng)目的領(lǐng)導(dǎo)、協(xié)調(diào)工作。專家小組:由各方面的高級專家組成,負(fù)責(zé)重要階段完成后匯總分析階段的咨詢、建議工作,以及對整體項(xiàng)目進(jìn)展的建議工作。項(xiàng)目監(jiān)理人:負(fù)責(zé)項(xiàng)目的質(zhì)量管理工作,可以由雙方協(xié)商組成人員,也可以外聘第三方監(jiān)理。項(xiàng)目經(jīng)理:負(fù)責(zé)具體項(xiàng)目的計(jì)劃、實(shí)施協(xié)調(diào)和控制工作。階段負(fù)責(zé)人:由相關(guān)的專業(yè)人員擔(dān)任,負(fù)責(zé)階段工作的實(shí)施與階段結(jié)束后的匯總分析工作,可以兼職。項(xiàng)目小組成員:由雙方人員構(gòu)成,負(fù)責(zé)項(xiàng)目的具體調(diào)查實(shí)施、文檔管理、統(tǒng)計(jì)分析工作。在項(xiàng)目啟動(dòng)后,項(xiàng)目小組成員與職責(zé)以正式文件的方式加以明確。4 小結(jié)在今天的商業(yè)環(huán)境中,網(wǎng)絡(luò)計(jì)算環(huán)境是如此的普遍以致所有的信息都被電子儲(chǔ)存,合法用戶對信息的訪問比以往任何時(shí)候都要多。但這也使得公司或組織的信息面臨著更多的新的風(fēng)險(xiǎn),從而嚴(yán)重影響著信息的機(jī)密性、完整性和可用性。組織或機(jī)構(gòu)急切需要安全風(fēng)險(xiǎn)評估來幫助他們理解的信息風(fēng)險(xiǎn)并針對這些風(fēng)險(xiǎn)創(chuàng)建信息的策略,而風(fēng)險(xiǎn)評