信息安全風(fēng)險(xiǎn)與投資分析

2013-10-16 11:56:13 重慶涪陵電力公司　點(diǎn)擊量：評(píng)論 (0)

信息安全關(guān)系到所有類(lèi)型的信息和存儲(chǔ)、處理或傳輸這些信息的硬件、軟件及固件。我國(guó)以積極防御，綜合防范，管理與技術(shù)并重的方針建立了信息安全保障體系，即在信息系統(tǒng)的整個(gè)生命周期中通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析

信息安全關(guān)系到所有類(lèi)型的信息和存儲(chǔ)、處理或傳輸這些信息的硬件、軟件及固件。我國(guó)以“積極防御，綜合防范，管理與技術(shù)并重”的方針建立了信息安全保障體系，即在信息系統(tǒng)的整個(gè)生命周期中通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提高安全保障要求，確保信息的機(jī)密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。

信息安全總體策略

任何系統(tǒng)相關(guān)信息和支撐系統(tǒng)、程序等，不論它們以何種形式存在，均是該系統(tǒng)的關(guān)鍵資產(chǎn)。信息的機(jī)密性、完整性和可用性是信息安全的基本要素，關(guān)系到組織形象和義務(wù)的持續(xù)運(yùn)行。因此，必須保護(hù)這些資產(chǎn)不受來(lái)自各個(gè)方面的威脅侵害，如網(wǎng)絡(luò)詐騙、偵探、病毒或黑客，自然災(zāi)害等，確保信息在存儲(chǔ)、處理和傳輸過(guò)程中免受非授權(quán)的訪問(wèn)、防止授權(quán)用戶的拒絕服務(wù)，以及包括那些檢測(cè)、記錄和對(duì)抗此類(lèi)威脅的措施等。

信息安全策略必須以風(fēng)險(xiǎn)管理為基礎(chǔ)，在信息系統(tǒng)的安全生命周期內(nèi)從技術(shù)、管理、工程實(shí)施、運(yùn)行等方面進(jìn)行安全保障。最適宜的信息安全策略就是最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策，防范不足會(huì)造成直接的損失，防范過(guò)多會(huì)造成間接浪費(fèi)，所以，保障信息安全的核心問(wèn)就是安全的效用問(wèn)題。

信息安全的目標(biāo)就是確保業(yè)務(wù)的連續(xù)性，并通過(guò)一系列預(yù)防措施將業(yè)務(wù)可能受到的損害降到最低，將安全事故產(chǎn)生的影響降到最小。信息安全管理應(yīng)在確保信息系統(tǒng)資產(chǎn)受到保護(hù)的同時(shí)，也要讓所有信息工作人員能夠了解信息安全問(wèn)題以及個(gè)人責(zé)任，并嚴(yán)格遵守執(zhí)行，盡到促進(jìn)信息安全策略的實(shí)施和普及的責(zé)任和義務(wù)。

建立安全組織的目標(biāo)是管理信息系統(tǒng)內(nèi)部的信息安全。組織必須建立專(zhuān)門(mén)的安全領(lǐng)導(dǎo)小組，指定專(zhuān)職的安全管理員，不得與其他系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員等管理人員角色重疊。必須建立信息安全管理體系，在系統(tǒng)內(nèi)部開(kāi)展和控制信息安全的管理和實(shí)踐。

根據(jù)需要建立外部信息安全專(zhuān)家咨詢小組，保持與系統(tǒng)外部安全專(zhuān)家的聯(lián)系，并與世界的趨勢(shì)、監(jiān)控標(biāo)準(zhǔn)和評(píng)估方法同步。信息安全是所有信息系統(tǒng)工作人員必須共同承擔(dān)的責(zé)任，必須建立相應(yīng)的安全領(lǐng)導(dǎo)小組并由最高的主管領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)。

領(lǐng)導(dǎo)小組應(yīng)能夠提供清晰地指導(dǎo)方向，可見(jiàn)的管理支持，明確的信息安全職責(zé)授權(quán)；審查、批準(zhǔn)信息安全策略和崗位職責(zé)；審查業(yè)務(wù)關(guān)鍵安全事件；批準(zhǔn)增強(qiáng)信息安全保障能力的關(guān)鍵措施和機(jī)制；保證必要的資源分配，以實(shí)現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。

相關(guān)信息安全管理部門(mén)必須為建立和維持信息安全管理體系，協(xié)調(diào)相關(guān)活動(dòng)，并承擔(dān)以下職責(zé)：調(diào)整并制定所有必要的信息安全管理規(guī)程、制度以及實(shí)施指南；提議并配合執(zhí)行信息安全相關(guān)的實(shí)施方法和程序，如風(fēng)險(xiǎn)評(píng)估、資產(chǎn)分級(jí)分類(lèi)方法等；主動(dòng)采取部門(mén)內(nèi)的信息安全措施，如安全意識(shí)培養(yǎng)和教育；配合執(zhí)行新系統(tǒng)或服務(wù)的特殊信息安全措施；審查對(duì)信息安全策略的遵循性；審查、監(jiān)控、協(xié)調(diào)對(duì)信息安全相關(guān)事件的評(píng)估和響應(yīng)；配合并參與安全評(píng)估事項(xiàng)；根據(jù)信息安全管理體系的要求，定期向上級(jí)主管領(lǐng)導(dǎo)和信息安全領(lǐng)導(dǎo)小組報(bào)告。

信息安全系統(tǒng)模型

P2DR 安全模型。模型核心所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策略實(shí)施的。策略包括訪問(wèn)控制、加密通信、身份認(rèn)證、備份恢復(fù)等。防護(hù)采用了ACL技術(shù)、Fire wall技術(shù)、信息加密技術(shù)、身份認(rèn)證技術(shù)（一次性口令、-X.509）。檢測(cè)依靠實(shí)時(shí)監(jiān)控、主動(dòng)檢測(cè)、報(bào)警等。反應(yīng)動(dòng)作為關(guān)閉服務(wù)、跟蹤、反擊、消除影響等。

在策略實(shí)施過(guò)程中，系統(tǒng)的危險(xiǎn)點(diǎn)與時(shí)間的對(duì)應(yīng)關(guān)系至關(guān)重要，所以在防護(hù)上必須按照P2DR數(shù)學(xué)公式，即系統(tǒng)的防護(hù)、檢測(cè)和反應(yīng)的時(shí)間關(guān)系進(jìn)行處理。即Pt—防護(hù)時(shí)間，Dt—檢測(cè)時(shí)間，Rt—反應(yīng)時(shí)間，Et—暴露時(shí)間。如果Pt>Dt+Rt ，則系統(tǒng)安全；如果Pt，那么Et=(Dt+Rt)-Pt ，則系統(tǒng)危險(xiǎn)。

深度防御系統(tǒng)IATF是一種新型安全保障策略，在IATF中，首先提出深度防御戰(zhàn)略的三個(gè)主要層面，即：人、技術(shù)和運(yùn)行維護(hù)。如圖2所示。

人在技術(shù)支持下進(jìn)行運(yùn)行維護(hù)。首先，人是第一要素，也最脆弱。但是，人的作用最大，如策略和流程、培訓(xùn)和意識(shí)、物理安全、人員安全、系統(tǒng)安全管理以及設(shè)施和措施都是人來(lái)完成的。技術(shù)是對(duì)四個(gè)方面進(jìn)行防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。

運(yùn)行維護(hù)（操作）是指風(fēng)險(xiǎn)評(píng)估、安全檢測(cè)、審計(jì)、入侵檢測(cè)、跟蹤和告警響應(yīng)。認(rèn)證涵蓋安全策略、密鑰管理、恢復(fù)和重構(gòu)。

技術(shù)中對(duì)四個(gè)方面的安全保護(hù)。第一是本地計(jì)算環(huán)境保護(hù)，包括安全的操作系統(tǒng)和應(yīng)用程序、入侵檢測(cè)、防病毒、主機(jī)脆弱性掃描、保護(hù)文件的完整性。第二是區(qū)域邊界保護(hù)，例如網(wǎng)絡(luò)設(shè)備之間加防火墻、入侵檢測(cè)、防病毒、邊界護(hù)衛(wèi)、遠(yuǎn)程訪問(wèn)、惡意代碼。第三是網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護(hù)，如骨干網(wǎng)可用性、無(wú)線網(wǎng)絡(luò)安全框架、系統(tǒng)高度互聯(lián)虛擬專(zhuān)網(wǎng)。第四是支撐性基礎(chǔ)設(shè)施保護(hù)，主要有密鑰管理、優(yōu)先權(quán)、證書(shū)管理、入侵檢測(cè)、審計(jì)、配置、信息調(diào)查和收集。

信息安全風(fēng)險(xiǎn)與投資分析

風(fēng)險(xiǎn)是指威脅利用資產(chǎn)或資產(chǎn)的脆弱性對(duì)組織機(jī)構(gòu)造成傷害的潛在可能。信息系統(tǒng)安全的風(fēng)險(xiǎn)是具體的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)主要源自信息系統(tǒng)自身存在的脆弱性和來(lái)自外部的威脅。安全策略與信息安全風(fēng)險(xiǎn)是相對(duì)應(yīng)的，組織需要針對(duì)信息系統(tǒng)面臨的各種風(fēng)險(xiǎn)制定相應(yīng)的策略來(lái)降低這些風(fēng)險(xiǎn)到可接受的水平，以保障組織的業(yè)務(wù)使命

風(fēng)險(xiǎn)管理主要從兩個(gè)方面進(jìn)行：一是系統(tǒng)必須通過(guò)國(guó)家等級(jí)保護(hù)的評(píng)級(jí)，并嚴(yán)格執(zhí)行相應(yīng)等級(jí)保護(hù)的基本要求；二是對(duì)所有信息資產(chǎn)和信息技術(shù)過(guò)程都應(yīng)通過(guò)風(fēng)險(xiǎn)評(píng)估活動(dòng)來(lái)識(shí)別與它們相關(guān)的安全風(fēng)險(xiǎn)并執(zhí)行適當(dāng)?shù)陌踩珜?duì)策。風(fēng)險(xiǎn)評(píng)估工作必須按《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）中的標(biāo)準(zhǔn)進(jìn)行。

整個(gè)風(fēng)險(xiǎn)管理工作主要步驟有：

第一分類(lèi)。即環(huán)境（安全區(qū)域、設(shè)備安全）；操作（網(wǎng)絡(luò)、背景處理）；訪問(wèn)控制；符合性（法律符合、組織策略）進(jìn)行四個(gè)階段（建立背景；風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)處理；批準(zhǔn)監(jiān)督）；兩個(gè)貫穿（監(jiān)控審查；溝通咨詢）的工作內(nèi)容。

第二定性、定量地進(jìn)行風(fēng)險(xiǎn)分析和資產(chǎn)（清單）的評(píng)估。

第三識(shí)別威脅和脆弱性、預(yù)測(cè)風(fēng)險(xiǎn)值——年預(yù)期損失。

第四積極開(kāi)展應(yīng)急響應(yīng)和應(yīng)急處置工作。從準(zhǔn)備、確認(rèn)、遏制、根除、恢復(fù)、跟蹤 6個(gè)階段完成。

第五突發(fā)事件應(yīng)從準(zhǔn)備、保護(hù)、提取、提交、分析5個(gè)步驟進(jìn)行計(jì)算機(jī)取證。

第六數(shù)據(jù)備份與災(zāi)難恢復(fù)應(yīng)按等級(jí)進(jìn)行劃分。

風(fēng)險(xiǎn)分析可以采取定性和定量分析.定性分析采用文字形式或描述性的數(shù)值范圍來(lái)描述潛在風(fēng)險(xiǎn)的大小程度,定量分析在影響或可能性等值的分析中采用數(shù)值,對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額。比如用年度損失預(yù)期值A(chǔ)LE分析：ALE=∑I(Oi)Fi。

可見(jiàn)ALE是將年度損失風(fēng)險(xiǎn)計(jì)算為多個(gè)潛在損失和發(fā)生頻率的乘積之和。(式中,{O1,…,On}表示一組有害的后果,I(Oi)表示后果i在金錢(qián)上造成的影響,Fi表示后果i發(fā)生的頻繁程度)，這就說(shuō)明ALE風(fēng)險(xiǎn)分析是一種效益價(jià)格比分析，它將采取控制措施前后， ALE之差再減去控制措施開(kāi)銷(xiāo),得出控制措施價(jià)值,如果價(jià)值較大，則采取該控制措施，否則放棄。然而這種控制措施的開(kāi)銷(xiāo)就是我們抵制風(fēng)險(xiǎn)的投資(Ar)。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

信息安全