信息安全風(fēng)險(xiǎn)評估探討

    現(xiàn)代企業(yè)的成功發(fā)展主要以企業(yè)的各項(xiàng)經(jīng)營活動(dòng)健康運(yùn)作為基礎(chǔ)，健康的經(jīng)營運(yùn)作又以企業(yè)信息化高度發(fā)展作為保障基礎(chǔ)，其信息化的水平主要體現(xiàn)在企業(yè)的信息化系統(tǒng)是否能夠穩(wěn)定而有效地運(yùn)轉(zhuǎn)。信息化系統(tǒng)的有效運(yùn)行依賴于其運(yùn)行環(huán)境、硬件設(shè)備以及在其上流動(dòng)的信息數(shù)據(jù)及其安全，因此企業(yè)有必要將信息視為重要資產(chǎn)，并采取安全措施加以嚴(yán)格保護(hù)。

1 企業(yè)信息安全的需求

    企業(yè)往往會(huì)根據(jù)自身需求來確定所需要保護(hù)的信息資產(chǎn)的范圍和這類資料的受保護(hù)程度，而這些需求，一般來源于如下方面：

    1．1 企業(yè)自身的原則、目標(biāo)和規(guī)定方面

    企業(yè)從自身業(yè)務(wù)和經(jīng)營管理的需求出發(fā)，必然會(huì)在信息技術(shù)方面提出一些卓有遠(yuǎn)見的方針、目標(biāo)、原則和要求，以此明確自己的信息安全要求，確保企業(yè)支撐業(yè)務(wù)以及相關(guān)內(nèi)容運(yùn)作的信息處理活動(dòng)的安全性。

    1.2 企業(yè)在法律、法規(guī)方面

    法律法規(guī)通常包括國際法律、國家法律、各部委和地方的規(guī)范性文件或者規(guī)章。企業(yè)只需要關(guān)注與自身相關(guān)的法律或規(guī)范性文件，尤其應(yīng)重視與信息化和信息安全相關(guān)的部分，因?yàn)閲�家所�?guī)定的與企業(yè)信息安全相關(guān)的法律法規(guī)是企業(yè)必須遵循的強(qiáng)制性法規(guī)，企業(yè)應(yīng)將此部分轉(zhuǎn)化為企業(yè)的信息安全需求。此外，企業(yè)還要必須考慮到合作伙伴或者商業(yè)客戶對企業(yè)提出的具體的信息安全要求，這些需求通常體現(xiàn)在合同約定、招標(biāo)條件和安全承諾等內(nèi)容上。

    1．3 風(fēng)險(xiǎn)評估方面

    我們通常將信息安全的風(fēng)險(xiǎn)評估作為確定企業(yè)安全需求最主要的途徑之一，以風(fēng)險(xiǎn)評估內(nèi)容與結(jié)果，企業(yè)確定最終對信息資產(chǎn)的保護(hù)程度、保護(hù)措施、控制方式。企業(yè)根據(jù)每種資產(chǎn)所面臨的威脅、自身的弱點(diǎn)、以及潛在影響和發(fā)生的可能性等因素，可分析并確定具體的安全需求。

    企業(yè)信息的安全評估是一個(gè)較為復(fù)雜的工作，主要是因?yàn)樵u估的因素是動(dòng)態(tài)、不確定的，且往往是隨機(jī)的，如何將被動(dòng)、零散、無序地應(yīng)對信息資產(chǎn)安全風(fēng)險(xiǎn)方式轉(zhuǎn)變成主動(dòng)、系統(tǒng)、連續(xù)有效地管理風(fēng)險(xiǎn)是企業(yè)最終需要重視的問題。而合適、合理進(jìn)行風(fēng)險(xiǎn)評估與管理的設(shè)計(jì)與實(shí)施是一種十分有效的方式，因?yàn)轱L(fēng)險(xiǎn)評估是企業(yè)信息安全管理的基礎(chǔ)。風(fēng)險(xiǎn)管理是圍繞信息安全風(fēng)險(xiǎn)而展開的評估、處理和控制活動(dòng)，風(fēng)險(xiǎn)評估是建立信息安全管理體系的前提，可見信息安全實(shí)質(zhì)就是信息資產(chǎn)的風(fēng)險(xiǎn)管理的問題。基于風(fēng)險(xiǎn)評估結(jié)果，企業(yè)可以對當(dāng)前的信息安全狀況有一個(gè)系統(tǒng)且全面的掌握，并能從中找出潛在的安全風(fēng)險(xiǎn)問題，并對其進(jìn)行合理分析，判斷風(fēng)險(xiǎn)的嚴(yán)重性和影響程度，以此為基礎(chǔ)確定自身在信息安全建設(shè)方面的需求。而BS7799在當(dāng)前來講是一套很好的安全管理與控制體系，其圍繞風(fēng)險(xiǎn)評估從管理和技術(shù)兩方面建立了一套完整、可實(shí)現(xiàn)的信息安全評估體系，十分適于企業(yè)安全管理。

    BS7799是英國標(biāo)準(zhǔn)協(xié)會(huì)發(fā)布的一個(gè)關(guān)于信息安全管理的標(biāo)準(zhǔn)，由兩個(gè)部分組成：分別為ISO17799和ISO27001標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)明確了企業(yè)所有選擇控制目標(biāo)和控制的舉動(dòng)，都應(yīng)該根據(jù)由風(fēng)險(xiǎn)評估而導(dǎo)出的真實(shí)需求來實(shí)施。其中，ISO27001是建立信息安全管理系統(tǒng)(ISMs)的一套需求規(guī)范，規(guī)范包括信息安全、安全技術(shù)、信息安全管理、以及安全需求等，在此規(guī)范中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。而ISO27001：20o5則指導(dǎo)相關(guān)人員如何應(yīng)用ISO17799。

    信息安全管理體系(IsMs)是企業(yè)整體管理體系中的重要部分，它是企業(yè)在整體或特定范圍內(nèi)所應(yīng)建立的信息安全方針和目標(biāo)以及完成這些目標(biāo)所用方法的體系與結(jié)構(gòu)。ISMS要求企業(yè)在其整體商業(yè)活動(dòng)中，在風(fēng)險(xiǎn)環(huán)境下建立、實(shí)施、運(yùn)作、監(jiān)視、評審ISMS、維護(hù)和信息安全改進(jìn)等一系列管理以及與之對應(yīng)的活動(dòng)，并最終轉(zhuǎn)化為企業(yè)自身組織結(jié)構(gòu)、策略方針、目標(biāo)與原則、計(jì)劃活動(dòng)、過程與方法、人員與責(zé)任、資源應(yīng)用等具體環(huán)節(jié)與要素的集合。

    ISO27001建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)，它通過如下過程來建立ISMS框架：首先確定企業(yè)自身安全體系范圍；其次以安全范圍制定其信息安全策略，明確管理職責(zé)；最后通過風(fēng)險(xiǎn)評估確定控制目標(biāo)和控制方式，并確定與實(shí)現(xiàn)。企業(yè)的安全管理與防護(hù)是個(gè)動(dòng)態(tài)系統(tǒng)，安全體系一旦建立完成，企業(yè)仍需要不斷在實(shí)施、維護(hù)和持續(xù)改進(jìn)ISMS，以確保安全體系有效安全的運(yùn)作。在IS027001體系中信息安全文件化的管理與實(shí)現(xiàn)工作，是一個(gè)十分重要的部分，ISMS的文件體系通常包括企業(yè)安全策略、選擇與未選擇的控制目標(biāo)和控制措施、實(shí)施安全控制所需的文件、ISMS管理和操作規(guī)范與程序、企業(yè)圍繞ISMS開展的所有活動(dòng)的相關(guān)材料。與以往技術(shù)為主的安全體系不同，IS027001：2005提出的信息安全管理體系是一個(gè)系統(tǒng)化、文檔化和程式化(我們也可以稱之為流程化)的管理體系，技術(shù)措施將只是作為依據(jù)安全需求有選擇有側(cè)重地實(shí)現(xiàn)安全目標(biāo)的手段而非全部。ISO 27001：2005標(biāo)準(zhǔn)指出ISMS所包含的內(nèi)容：用于企業(yè)信息資產(chǎn)風(fēng)險(xiǎn)管理、確保企業(yè)信息安全的包括為制定、實(shí)施、評審和維護(hù)信息安全策略所需的企業(yè)機(jī)構(gòu)、目標(biāo)、職責(zé)、程序、過程和資源。IS027001：2005標(biāo)準(zhǔn)要求建立ISMS框架的過程：制定信息安全策略，確定體系范圍，明確管理職責(zé)，通過風(fēng)險(xiǎn)評估確定控制目標(biāo)和控制方式。體系一旦建立，企業(yè)應(yīng)該實(shí)施、維護(hù)和持續(xù)改進(jìn)ISMS，保持體系的有效性。

    如圖1所示，描述了企業(yè)信息安全中關(guān)于風(fēng)險(xiǎn)及相關(guān)要素之間的關(guān)系，這種關(guān)系將是企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)管理的理論基礎(chǔ)與評估出發(fā)點(diǎn)。

圖1 風(fēng)險(xiǎn)管理各要素之間的關(guān)系

2 風(fēng)險(xiǎn)評估流程

    企業(yè)在實(shí)施風(fēng)險(xiǎn)評估時(shí)，通常由能夠代表各個(gè)相關(guān)單位和部門的人員組建一個(gè)風(fēng)險(xiǎn)評估小組，以期各自負(fù)責(zé)與本部門相關(guān)的風(fēng)險(xiǎn)評估事務(wù)，并且能共同討論一些共性問題。風(fēng)險(xiǎn)評估小組將指定一個(gè)能控制全局的人擔(dān)任組長，負(fù)責(zé)風(fēng)險(xiǎn)評估事務(wù)以及各組員間的協(xié)調(diào)。在風(fēng)險(xiǎn)評估前，評估小組及相關(guān)人員應(yīng)接受必要的培訓(xùn)，以熟悉企業(yè)運(yùn)作的流程、安全需求，并且理解信息安全管理基本知識(shí)，掌握風(fēng)險(xiǎn)評估的方法和技巧。一個(gè)完整的風(fēng)險(xiǎn)評估活動(dòng)，通常包括：

    (1)前期溝通。前期調(diào)研，了解安全需求；

    (2)啟動(dòng)風(fēng)險(xiǎn)評估項(xiàng)目。明確安全評估的目標(biāo)和范圍；

    (3)項(xiàng)目計(jì)劃。對企業(yè)運(yùn)行的環(huán)境進(jìn)行描述，確定各項(xiàng)安全評估指標(biāo)，建立評估小組，人員培訓(xùn)，并提供必須的各類支持資源，確定適用的表格、問卷等，制定項(xiàng)目計(jì)劃；

    (4)資產(chǎn)評估。信息資產(chǎn)的標(biāo)識(shí)與關(guān)鍵信息資產(chǎn)評估；

    (5)威脅評估。識(shí)別威脅，衡量威脅的可發(fā)性與來源；

    (6)弱點(diǎn)評估。識(shí)別各類信息資產(chǎn)以及各控制流程與管理中的弱點(diǎn)，衡量弱點(diǎn)的嚴(yán)重度；

    (7)風(fēng)險(xiǎn)評估。進(jìn)行風(fēng)險(xiǎn)場景描述，劃分風(fēng)險(xiǎn)等級(jí)，評價(jià)風(fēng)險(xiǎn)，編寫風(fēng)險(xiǎn)評估報(bào)告；

    (8)風(fēng)險(xiǎn)處理。推薦、評估并確定控制目標(biāo)和控制，編制風(fēng)險(xiǎn)處理計(jì)劃。這些活動(dòng)具有緊密的前后關(guān)聯(lián)性，前一個(gè)節(jié)點(diǎn)的輸出是下一個(gè)節(jié)點(diǎn)的輸入，這種關(guān)系如圖2所示：

圖2 風(fēng)險(xiǎn)評估實(shí)施流程

    對企業(yè)來說，事先選擇適合的風(fēng)險(xiǎn)評估方法是非常重要的，這也是ISO27001標(biāo)準(zhǔn)所要求的(標(biāo)準(zhǔn)本身并沒有規(guī)定具體的風(fēng)險(xiǎn)評估方法)。傳統(tǒng)的風(fēng)險(xiǎn)評估方法主要是定量和定性兩種，對ISO27001認(rèn)證項(xiàng)目來說，選擇定性方法應(yīng)該是更簡便有效的。實(shí)施者因?yàn)樗�處行業(yè)的特點(diǎn)，通常會(huì)選擇一些帶有很強(qiáng)行業(yè)特色的風(fēng)險(xiǎn)評估方法，比如很多與汽車配件生產(chǎn)相關(guān)的半導(dǎo)體制造企業(yè)，因?yàn)樵趯?shí)施ISOflX3 16949以及QS 9000質(zhì)量管理體系時(shí)會(huì)采用FMEA (Failure Modes and EffectsAnalysis，失效模式和后果分析)方法，只需要將一些專業(yè)術(shù)語映射到信息安全領(lǐng)域，就很容易移植過來使用。

3 風(fēng)險(xiǎn)分析方法

    故障樹分析法是一種演繹的風(fēng)險(xiǎn)分析法，其將系統(tǒng)總的風(fēng)險(xiǎn)狀況作為樹頂。通過分析造成安全風(fēng)險(xiǎn)事件的各種可能原因，以及彼此間的關(guān)系，繪制出故障樹圖。企業(yè)或評估機(jī)構(gòu)將根據(jù)該邏輯關(guān)系圖，以期確定安全事件所發(fā)生的概率和原因。并以此為依據(jù)，分析安全風(fēng)險(xiǎn)事件發(fā)生結(jié)果，確定被分析系統(tǒng)的薄弱環(huán)節(jié)、關(guān)鍵部位、應(yīng)采取的措施、對安全性實(shí)驗(yàn)的要求等。

    故障樹分析法適用于BS7799標(biāo)準(zhǔn)的實(shí)例化操作，本文對BS7799標(biāo)準(zhǔn)層次結(jié)構(gòu)采用故障樹方法進(jìn)行了構(gòu)建，各層彼此之間的邏輯關(guān)系如圖3所示：

圖3 BS7799故障樹

4 結(jié)束語

    本文在分析BS7799標(biāo)準(zhǔn)的特點(diǎn)的基礎(chǔ)上，分析了其風(fēng)險(xiǎn)管理各要素間的關(guān)系，并定義了一種風(fēng)險(xiǎn)評估的基本流程，在此基礎(chǔ)上構(gòu)建了一種適于企業(yè)的風(fēng)險(xiǎn)分析法。本分析方法基于BS7799工作，豐富了國內(nèi)風(fēng)險(xiǎn)評估體系。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.hanmeixuan.com/

本文標(biāo)題：信息安全風(fēng)險(xiǎn)評估探討

本文網(wǎng)址：http://www.hanmeixuan.com/html/consultation/1083954208.html