信息安全風險與投資分析

2013-10-16 11:56:13 重慶涪陵電力公司　點擊量：評論 (0)

信息安全關系到所有類型的信息和存儲、處理或傳輸這些信息的硬件、軟件及固件。我國以積極防御，綜合防范，管理與技術并重的方針建立了信息安全保障體系，即在信息系統的整個生命周期中通過對信息系統的風險分析

信息安全關系到所有類型的信息和存儲、處理或傳輸這些信息的硬件、軟件及固件。我國以“積極防御，綜合防范，管理與技術并重”的方針建立了信息安全保障體系，即在信息系統的整個生命周期中通過對信息系統的風險分析，制定并執行相應的安全保障策略，從技術、管理、工程和人員等方面提高安全保障要求，確保信息的機密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統實現組織機構的使命。

信息安全總體策略

任何系統相關信息和支撐系統、程序等，不論它們以何種形式存在，均是該系統的關鍵資產。信息的機密性、完整性和可用性是信息安全的基本要素，關系到組織形象和義務的持續運行。因此，必須保護這些資產不受來自各個方面的威脅侵害，如網絡詐騙、偵探、病毒或黑客，自然災害等，確保信息在存儲、處理和傳輸過程中免受非授權的訪問、防止授權用戶的拒絕服務，以及包括那些檢測、記錄和對抗此類威脅的措施等。

信息安全策略必須以風險管理為基礎，在信息系統的安全生命周期內從技術、管理、工程實施、運行等方面進行安全保障。最適宜的信息安全策略就是最優的風險管理對策，防范不足會造成直接的損失，防范過多會造成間接浪費，所以，保障信息安全的核心問就是安全的效用問題。

信息安全的目標就是確保業務的連續性，并通過一系列預防措施將業務可能受到的損害降到最低，將安全事故產生的影響降到最小。信息安全管理應在確保信息系統資產受到保護的同時，也要讓所有信息工作人員能夠了解信息安全問題以及個人責任，并嚴格遵守執行，盡到促進信息安全策略的實施和普及的責任和義務。

建立安全組織的目標是管理信息系統內部的信息安全。組織必須建立專門的安全領導小組，指定專職的安全管理員，不得與其他系統管理員、應用系統管理員等管理人員角色重疊。必須建立信息安全管理體系，在系統內部開展和控制信息安全的管理和實踐。

根據需要建立外部信息安全專家咨詢小組，保持與系統外部安全專家的聯系，并與世界的趨勢、監控標準和評估方法同步。信息安全是所有信息系統工作人員必須共同承擔的責任，必須建立相應的安全領導小組并由最高的主管領導擔任組長。

領導小組應能夠提供清晰地指導方向，可見的管理支持，明確的信息安全職責授權；審查、批準信息安全策略和崗位職責；審查業務關鍵安全事件；批準增強信息安全保障能力的關鍵措施和機制；保證必要的資源分配，以實現數據有效性以及信息安全管理體系的持續發展。

相關信息安全管理部門必須為建立和維持信息安全管理體系，協調相關活動，并承擔以下職責：調整并制定所有必要的信息安全管理規程、制度以及實施指南；提議并配合執行信息安全相關的實施方法和程序，如風險評估、資產分級分類方法等；主動采取部門內的信息安全措施，如安全意識培養和教育；配合執行新系統或服務的特殊信息安全措施；審查對信息安全策略的遵循性；審查、監控、協調對信息安全相關事件的評估和響應；配合并參與安全評估事項；根據信息安全管理體系的要求，定期向上級主管領導和信息安全領導小組報告。

信息安全系統模型

P2DR 安全模型。模型核心所有的防護、檢測、響應都是依據安全策略實施的。策略包括訪問控制、加密通信、身份認證、備份恢復等。防護采用了ACL技術、Fire wall技術、信息加密技術、身份認證技術（一次性口令、-X.509）。檢測依靠實時監控、主動檢測、報警等。反應動作為關閉服務、跟蹤、反擊、消除影響等。

在策略實施過程中，系統的危險點與時間的對應關系至關重要，所以在防護上必須按照P2DR數學公式，即系統的防護、檢測和反應的時間關系進行處理。即Pt—防護時間，Dt—檢測時間，Rt—反應時間，Et—暴露時間。如果Pt>Dt+Rt ，則系統安全；如果Pt，那么Et=(Dt+Rt)-Pt ，則系統危險。

深度防御系統IATF是一種新型安全保障策略，在IATF中，首先提出深度防御戰略的三個主要層面，即：人、技術和運行維護。如圖2所示。

人在技術支持下進行運行維護。首先，人是第一要素，也最脆弱。但是，人的作用最大，如策略和流程、培訓和意識、物理安全、人員安全、系統安全管理以及設施和措施都是人來完成的。技術是對四個方面進行防護、檢測、響應和恢復。

運行維護（操作）是指風險評估、安全檢測、審計、入侵檢測、跟蹤和告警響應。認證涵蓋安全策略、密鑰管理、恢復和重構。

技術中對四個方面的安全保護。第一是本地計算環境保護，包括安全的操作系統和應用程序、入侵檢測、防病毒、主機脆弱性掃描、保護文件的完整性。第二是區域邊界保護，例如網絡設備之間加防火墻、入侵檢測、防病毒、邊界護衛、遠程訪問、惡意代碼。第三是網絡和基礎設施保護，如骨干網可用性、無線網絡安全框架、系統高度互聯虛擬專網。第四是支撐性基礎設施保護，主要有密鑰管理、優先權、證書管理、入侵檢測、審計、配置、信息調查和收集。

信息安全風險與投資分析

風險是指威脅利用資產或資產的脆弱性對組織機構造成傷害的潛在可能。信息系統安全的風險是具體的風險，風險主要源自信息系統自身存在的脆弱性和來自外部的威脅。安全策略與信息安全風險是相對應的，組織需要針對信息系統面臨的各種風險制定相應的策略來降低這些風險到可接受的水平，以保障組織的業務使命

風險管理主要從兩個方面進行：一是系統必須通過國家等級保護的評級，并嚴格執行相應等級保護的基本要求；二是對所有信息資產和信息技術過程都應通過風險評估活動來識別與它們相關的安全風險并執行適當的安全對策。風險評估工作必須按《信息安全風險評估規范》（GB/T20984-2007）中的標準進行。

整個風險管理工作主要步驟有：

第一分類。即環境（安全區域、設備安全）；操作（網絡、背景處理）；訪問控制；符合性（法律符合、組織策略）進行四個階段（建立背景；風險評估；風險處理；批準監督）；兩個貫穿（監控審查；溝通咨詢）的工作內容。

第二定性、定量地進行風險分析和資產（清單）的評估。

第三識別威脅和脆弱性、預測風險值——年預期損失。

第四積極開展應急響應和應急處置工作。從準備、確認、遏制、根除、恢復、跟蹤 6個階段完成。

第五突發事件應從準備、保護、提取、提交、分析5個步驟進行計算機取證。

第六數據備份與災難恢復應按等級進行劃分。

風險分析可以采取定性和定量分析.定性分析采用文字形式或描述性的數值范圍來描述潛在風險的大小程度,定量分析在影響或可能性等值的分析中采用數值,對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額。比如用年度損失預期值ALE分析：ALE=∑I(Oi)Fi。

可見ALE是將年度損失風險計算為多個潛在損失和發生頻率的乘積之和。(式中,{O1,…,On}表示一組有害的后果,I(Oi)表示后果i在金錢上造成的影響,Fi表示后果i發生的頻繁程度)，這就說明ALE風險分析是一種效益價格比分析，它將采取控制措施前后， ALE之差再減去控制措施開銷,得出控制措施價值,如果價值較大，則采取該控制措施，否則放棄。然而這種控制措施的開銷就是我們抵制風險的投資(Ar)。