長期以來���,人們對保障信息安全的手段偏重于依靠技術���,從早期的加密技術�����、數據備份���、防病毒到近期網絡環境下的防火墻���、入侵檢測�����、身份認證等等���。廠商在安全技術和產品的研發上不遺余力���,新的技術和產品不斷涌現��;消費者也更加相信安全產品���,把僅有的預算也都投入到安全產品的采購上��。
但實際情況是�����,單純依靠技術和產品保障企業信息安全往往差強人意��。復雜多變的安全威脅和隱患靠產品難以消除��������!叭旨夹g�����,七分管理”這個在其他領域總結出來的實踐經驗和原則�����,在信息安全領域也同樣適用�����。
根據信息產業部披露的數字���,在所有的計算機安全事件中���,約有52%是人為因素造成的��,25%是由火災��、水災等自然災害引起的���。其技術錯誤占10%���,組織內部人員作案占10%���,僅有3%左右是由外部不法人員的攻擊造成�����。
不難看出��,屬于內部人員方面的原因超過70%���,而這些安全問題中的95%是可以通過科學的信息安全風險評估來避免���。
可見��,對于一個企業來說��,搞清楚信息系統現有以及潛在的風險��,充分評估這些風險可能帶來的威脅和影響�����,將是企業實施安全建設必須首先解決的問題���,也是制定安全策略的基礎與依據��。
目前���,國內眾多部門和行業都開始投入精力進行風險評估或者風險評估規范的制訂�����。據悉���,信息產業部�����、公安部等都推出了各自的風險評估規范�����,而電信���、金融等行業則已經開始進行風險評估工作��,將評估推向了實踐���。
專家指出�����,風險評估的意義在于對風險的認識�����,而風險的處理過程�����,可以在考慮了管理成本后���,選擇適合企業自身的控制方法�����,對同類的風險因素采用相同的基線控制�����,這樣有助于在保證效果的前提下降低風險評估的成本���。
標準決定過程
Gartner的風險評估報告指出�����,未來企業信息化的發展關鍵在于:關鍵資產數字化���、高速無線網絡網絡空間獲取���、生物訪問控制��、復雜應用系統���、分布系統網絡互聯���、全球化生產等方面�����。為此�����,Gartner建議企業的信息安全風險評估���,重點在于如何評估復雜的分布式系統和如何保障復雜應用系統的安全兩個方面�����。
從國內的實際情況看�����,復雜應用系統已經初步呈現���,許多企業的核心業務系統安全性較弱���,且網絡建設與安全建設不協調�����,已經給企業用戶帶來了極大的挑戰���。針對這些挑戰���,主流安全廠商提出了動態安全評估標準��。
此標準針對現有安全需求進行評估和分析���,定義安全策略���,建立安全框架���,實施安全方案���,得出合規性報告���,確定目前的安全基線���,并隨著業務的發展��,進行周期性的再評估��,保障信息系統的安全�����。
針對風險評估的工程實現��,SSE-CMM���、OCTAVE等標準和方法對評估過程給予了較好的指導��。常規的風險評估方法包括以下階段:項目準備階段��、項目執行階段���、項目維護階段�����。
為保障評估的規范性�����、一致性�����,降低人工成本���,目前國內外普遍開發了一系列的評估工具���。其中��,網絡評估工具主要有Nessus��、Retina��、天鏡���、ISS 等漏洞掃描工具���,依托這些網絡掃描工具�����,可以對網絡設備��、主機進行漏洞掃描���,給出技術層面存在的安全漏洞�����、等級和解決方案建議���。
管理評估工具主要有以BS7799-1(ISO/IEC 17799)為基礎的COBRA���、天清等���,借助管理評估工具���,結合問卷式調查訪談���,可以給出不同安全管理域在安全管理方面存在的脆弱性和各領域的安全等級��,給出基于標準的策略建議���。
六大評估方法
定制個性化的評估方法
雖然已經有許多標準評估方法和流程��,但在實踐過程中��,不應只是這些方法的套用和拷貝�����,而是以他們作為參考�����,根據企業的特點及安全風險評估的能力��,進行“基因”重組�����,定制個性化的評估方法�����,使得評估服務具有可裁剪性和靈活性���。評估種類一般有整體評估��、IT安全評估��、滲透測試��、邊界評估���、網絡結構評估���、脆弱性掃描�����、策略評估��、應用風險評估等��。
安全整體框架的設計
風險評估的目的���,不僅在于明確風險�����,更重要的是為管理風險提供基礎和依據��。作為評估直接輸出��,用于進行風險管理的安全整體框架���,至少應該明確��。但是由于不同企業環境差異��、需求差異���,加上在操作層面可參考的模板很少���,使得整體框架應用較少��。但是�����,企業至少應該完成近期1~2年內框架��,這樣才能做到有律可依��。
多用戶決策評估
不同層面的用戶能看到不同的問題��,要全面了解風險���,必須進行多用戶溝通評估��。將評估過程作為多用戶“決策”過程��,對于了解風險���、理解風險���、管理風險���、落實行動�����,具有極大的意義��。事實證明���,多用戶參與的效果非常明顯���。多用戶“決策”評估��,也需要一個具體的流程和方法��。
敏感性分析
由于企業的系統越發復雜且互相關聯��,使得風險越來越隱蔽��。要提高評估效果���,必須進行深入關聯分析���,比如對一個老漏洞���,不是簡單地分析它的影響和解決措施��,而是要推斷出可能相關的其他技術和管理漏洞���,找出病“根”�����,開出有效的“處方”���。這需要強大的評估經驗知識庫支撐��,同時要求評估者具有敏銳的分析能力���。
集中化決策管理
安全風險評估需要具有多種知識和能力的人參與��,對這些能力和知識的管理�����,有助于提高評估的效果�����。集中化決策管理���,是評估項目成功的保障條件之一�����,它不僅是項目管理問題�����,而且是知識��、能力等“基因”的組合運用�����。必須選用具有特殊技能的人��,去執行相應的關鍵任務��。如控制臺審計和滲透性測試���,由不具備攻防經驗和知識的人執行��,就達不到任何效果��。
評估結果管理
安全風險評估的輸出�����,不應是文檔的堆砌��,而是一套能夠進行記錄�����、管理的系統��。它可能不是一個完整的風險管理系統�����,但至少是一個非常重要的可管理的風險表述系統���。企業需要這樣的評估管理系統���,使用它來指導評估過程��,管理評估結果�����,以便在管理層面提高評估效果���。
|
