計世解讀企業(yè)安全風險評估

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 當前，無論是政府還是企業(yè)，對于自身的信息安全都非常關(guān)注。因此，企業(yè)信息安全風險評估再一次引起了業(yè)界的關(guān)注。那么，此類評估有什么標準？對企業(yè)的價值又體現(xiàn)在何處呢？   認識存在的風險 長期以來，人們對保障信息安全的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡環(huán)境下的防火墻、入侵檢測、身份認證等等。廠商在安全技術(shù)和產(chǎn)品的研發(fā)上不遺余力，新的技術(shù)和產(chǎn)品不斷涌現(xiàn)；消費者也更加相信安全產(chǎn)品，把僅有的預算也都投入到安全產(chǎn)品的采購上。 但實際情況是，單純依靠技術(shù)和產(chǎn)品保障企業(yè)信息安全往往差強人意。復雜多變的安全威脅和隱患靠產(chǎn)品難以消除。"三分技術(shù)，七分管理"這個在其他領域總結(jié)出來的實踐經(jīng)驗和原則，在信息安全領域也同樣適用。 根據(jù)信息產(chǎn)業(yè)部披露的數(shù)字，在所有的計算機安全事件中，約有52%是人為因素造成的，25%是由火災、水災等自然災害引起的。其技術(shù)錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。 不難看出，屬于內(nèi)部人員方面的原因超過70%，而這些安全問題中的95%是可以通過科學的信息安全風險評估來避免。 可見，對于一個企業(yè)來說，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風險，充分評估這些風險可能帶來的威脅和影響，將是企業(yè)實施安全建設必須首先解決的問題，也是制定安全策略的基礎與依據(jù)。 目前，國內(nèi)眾多部門和行業(yè)都開始投入精力進行風險評估或者風險評估規(guī)范的制訂。據(jù)悉，信息產(chǎn)業(yè)部、公安部等都推出了各自的風險評估規(guī)范，而電信、金融等行業(yè)則已經(jīng)開始進行風險評估工作，將評估推向了實踐。 專家指出，風險評估的意義在于對風險的認識，而風險的處理過程，可以在考慮了管理成本后，選擇適合企業(yè)自身的控制方法，對同類的風險因素采用相同的基線控制，這樣有助于在保證效果的前提下降低風險評估的成本。       標準決定過程 Gartner的風險評估報告指出，未來企業(yè)信息化的發(fā)展關(guān)鍵在于：關(guān)鍵資產(chǎn)數(shù)字化、高速無線網(wǎng)絡、網(wǎng)絡空間獲取、生物訪問控制、復雜應用系統(tǒng)、分布系統(tǒng)網(wǎng)絡互聯(lián)、全球化生產(chǎn)等方面。為此，Gartner建議企業(yè)的信息安全風險評估，重點在于如何評估復雜的分布式系統(tǒng)和如何保障復雜應用系統(tǒng)的安全兩個方面。 從國內(nèi)的實際情況看，復雜應用系統(tǒng)已經(jīng)初步呈現(xiàn)，許多企業(yè)的核心業(yè)務系統(tǒng)安全性較弱，且網(wǎng)絡建設與安全建設不協(xié)調(diào)，已經(jīng)給企業(yè)用戶帶來了極大的挑戰(zhàn)。針對這些挑戰(zhàn)，主流安全廠商提出了動態(tài)安全評估標準。 此標準針對現(xiàn)有安全需求進行評估和分析，定義安全策略，建立安全框架，實施安全方案，得出合規(guī)性報告，確定目前的安全基線，并隨著業(yè)務的發(fā)展，進行周期性的再評估，保障信息系統(tǒng)的安全。 針對風險評估的工程實現(xiàn)，SSE-CMM、OCTAVE等標準和方法對評估過程給予了較好的指導。常規(guī)的風險評估方法包括以下階段：項目準備階段、項目執(zhí)行階段、項目維護階段。 為保障評估的規(guī)范性、一致性，降低人工成本，目前國內(nèi)外普遍開發(fā)了一系列的評估工具。其中，網(wǎng)絡評估工具主要有Nessus、Retina、天鏡、ISS等漏洞掃描工具，依托這些網(wǎng)絡掃描工具，可以對網(wǎng)絡設備、主機進行漏洞掃描，給出技術(shù)層面存在的安全漏洞、等級和解決方案建議。 管理評估工具主要有以BS7799-1（ISO/IEC 17799）為基礎的COBRA、天清等，借助管理評估工具，結(jié)合問卷式調(diào)查訪談，可以給出不同安全管理域在安全管理方面存在的脆弱性和各領域的安全等級，給出基于標準的策略建議。   六大評估方法 定制個性化的評估方法 雖然已經(jīng)有許多標準評估方法和流程，但在實踐過程中，不應只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點及安全風險評估的能力，進行"基因"重組，定制個性化的評估方法，使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網(wǎng)絡結(jié)構(gòu)評估、脆弱性掃描、策略評估、應用風險評估等。   安全整體框架的設計 風險評估的目的，不僅在于明確風險，更重要的是為管理風險提供基礎和依據(jù)。作為評估直接輸出，用于進行風險管理的安全整體框架，至少應該明確。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應用較少。但是，企業(yè)至少應該完成近期1～2年內(nèi)框架，這樣才能做到有律可依。   多用戶決策評估 不同層面的用戶能看到不同的問題，要全面了解風險，必須進行多用戶溝通評估。將評估過程作為多用戶"決策"過程，對于了解風險、理解風險、管理風險、落實行動，具有極大的意義。事實證明，多用戶參與的效果非常明顯。多用戶"決策"評估，也需要一個具體的流程和方法。   敏感性分析 由于企業(yè)的系統(tǒng)越發(fā)復雜且互相關(guān)聯(lián)，使得風險越來越隱蔽。要提高評估效果，必須進行深入關(guān)聯(lián)分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病"根"，開出有效的"處方"。這需要強大的評估經(jīng)驗知識庫支撐，同時要求評估者具有敏銳的分析能力。   集中化決策管理 安全風險評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項目成功的保障條件之一，它不僅是項目管理問題，而且是知識、能力等"基因"的組合運用。必須選用具有特殊技能的人，去執(zhí)行相應的關(guān)鍵任務。如控制臺審計和滲透性測試，由不具備攻防經(jīng)驗和知識的人執(zhí)行，就達不到任何效果。   評估結(jié)果管理 安全風險評估的輸出，不應是文檔的堆砌，而是一套能夠進行記錄、管理的系統(tǒng)。它可能不是一個完整的風險管理系統(tǒng)，但至少是一個非常重要的可管理的風險表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng)，使用它來指導評估過程，管理評估結(jié)果，以便在管理層面提高評估效果。   關(guān)于風險評估理論標準，國際上較為認可的有ISO/IEC 13335IT安全管理指南、AS/NZS 4360風險管理標準、BS7799-1（ISO/IEC 17799）基于風險管理的信息安全管理體系等幾種，他們均對風險評估給予了明確的定義和指導。 與風險評估相關(guān)的標準還有NIST SP800，其中，NIST SP800-53/60描述了信息系統(tǒng)與安全目標及風險級別對應指南，NIST SP800-26/30分別描述了自評估指南和風險管理指南。 另外，COBIT、ITIL等逐漸引起人們的關(guān)注。目前業(yè)內(nèi)使用的評估方法，基本是由這幾類標準演化而來。   (CCW)