時(shí)間:2022-09-29 20:38:34
引言:易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐,為您精心挑選了九篇信息安全風(fēng)險(xiǎn)評(píng)估范例。如需獲取更多原創(chuàng)內(nèi)容,可隨時(shí)聯(lián)系我們的客服老師。
信息產(chǎn)業(yè)的迅猛發(fā)展,使得信息化技術(shù)成為社會(huì)發(fā)展的必要組成部分,信息化技術(shù)為國(guó)民經(jīng)濟(jì)的發(fā)展注入了新鮮的活力,更加速了國(guó)名經(jīng)濟(jì)的發(fā)展和人民生活水平的提高。當(dāng)然,人們?cè)谙硎苄畔⒓夹g(shù)帶來(lái)的巨大便利時(shí),也面臨著各種信息安全問(wèn)題帶來(lái)的威脅。這種信息安全事件帶來(lái)的影響是惡劣的,它將造成巨大的財(cái)產(chǎn)損失和信息系統(tǒng)的損害。因此,信息系統(tǒng)的安全問(wèn)題不得不引起社會(huì)和民眾的關(guān)注,完善信息系統(tǒng)的安全性,加強(qiáng)信息安全的風(fēng)險(xiǎn)評(píng)估成為亟待解決的問(wèn)題。
1 信息安全風(fēng)險(xiǎn)評(píng)估概述及必要性
1.1 信息安全風(fēng)險(xiǎn)評(píng)估概述
首先,信息安全風(fēng)險(xiǎn),主要是指人為或自然的利用信息系統(tǒng)脆弱性操作威脅信息系統(tǒng),以導(dǎo)致信息系統(tǒng)發(fā)生安全事件或造成一定消極影響的可能。而信息安全風(fēng)險(xiǎn)評(píng)估簡(jiǎn)單的理解,就是以減少信息安全風(fēng)險(xiǎn)為目的通過(guò)科學(xué)處理信息系統(tǒng)的方法對(duì)信息系統(tǒng)的保密性、完整性進(jìn)行評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估工作是一項(xiàng)保證信息系統(tǒng)相對(duì)安全的重要工作,必須科學(xué)的對(duì)信息系統(tǒng)的生命周期進(jìn)行評(píng)估,最大限度的保障網(wǎng)絡(luò)和信息的安全。
1.2 信息安全風(fēng)險(xiǎn)評(píng)估的必要性
信息安全評(píng)估是為了更好的保障信息系統(tǒng)的安全,以確保對(duì)信息化技術(shù)的正常使用。信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全管理的必要和關(guān)鍵的環(huán)節(jié),因?yàn)樾畔⑾到y(tǒng)的安全管理必須建立在科學(xué)的風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上,科學(xué)的風(fēng)險(xiǎn)評(píng)估有利于正確判斷信息系統(tǒng)的安全風(fēng)險(xiǎn)問(wèn)題,提供風(fēng)險(xiǎn)問(wèn)題的及時(shí)解決方案。
2 信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程及方法
信息安全風(fēng)險(xiǎn)的評(píng)估過(guò)程極其復(fù)雜和規(guī)范。為了加強(qiáng)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開展,這里有必要對(duì)風(fēng)險(xiǎn)評(píng)估的過(guò)程和方法給予提示和借鑒。風(fēng)險(xiǎn)評(píng)估的過(guò)程要求完整而準(zhǔn)確。具體有如下步驟:
1)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備工作,即要確定信息系統(tǒng)資產(chǎn),包含范圍、價(jià)值、評(píng)估團(tuán)隊(duì)、評(píng)估依據(jù)和方法等方面。要明確好這些資產(chǎn)信息,做好識(shí)別。2)對(duì)資產(chǎn)的脆弱性及威脅的識(shí)別工作,這是由于信息系統(tǒng)存在脆弱性的特點(diǎn),所以要周密分析信息系統(tǒng)的脆弱點(diǎn),統(tǒng)計(jì)分析信息系統(tǒng)發(fā)生威脅事件的可能性以及可能造成的損失。3)安全風(fēng)險(xiǎn)分析,這是較為重要的環(huán)節(jié)。主要是采用方法與工具確定威脅利用信息系統(tǒng)脆弱性導(dǎo)致安全事件發(fā)生的可能性,便于決策的提出。4)制定安全控制措施,主要有針對(duì)性的制定出控制威脅發(fā)生的措施,并確認(rèn)措施的有效性,最大限度的降低安全風(fēng)險(xiǎn),確保信息系統(tǒng)的安全。5)措施實(shí)施的階段,主要是在有效監(jiān)督下實(shí)施安全措施,并及時(shí)發(fā)現(xiàn)問(wèn)題和改正。
對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估的方法,國(guó)內(nèi)外進(jìn)行了很多不同的方法嘗試。方法一般都遵循風(fēng)險(xiǎn)評(píng)估的流程,只是在手段和計(jì)算方法上有差異,但是分別都有一定的評(píng)估效果。主要采用:定性評(píng)估、定量評(píng)估、以及定性與定量相結(jié)合的評(píng)估,最后的方法是一個(gè)互補(bǔ)的評(píng)估方式,能達(dá)到評(píng)估的最佳效果。
3 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展現(xiàn)狀
較美國(guó)等西方國(guó)家關(guān)于信息安全系統(tǒng)風(fēng)險(xiǎn)評(píng)估的發(fā)展歷史和技術(shù)研究,我國(guó)起步比較晚且落后于發(fā)達(dá)國(guó)家。但近年來(lái),隨著社會(huì)各界對(duì)信息系統(tǒng)安全的重視,我國(guó)開始在信息系統(tǒng)安全管理工作上加大力度,并把信息系統(tǒng)的安全評(píng)估工作放在重要的位置,不斷創(chuàng)新研究,取得了高效成果。但是,就我國(guó)目前的信息安全風(fēng)險(xiǎn)評(píng)估工作看來(lái),還存在諸多問(wèn)題。
1)我國(guó)部分企業(yè)、組織和部門對(duì)于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估沒(méi)有引起絕對(duì)的重視,沒(méi)有大力普及風(fēng)險(xiǎn)評(píng)估工作。由于領(lǐng)導(dǎo)者及員工的信息安全防范意識(shí)不強(qiáng)以及自身素質(zhì)水平的影響,導(dǎo)致對(duì)風(fēng)險(xiǎn)評(píng)估的流程及必要性都不了解,就不太重視對(duì)企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作。
2)我國(guó)缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的規(guī)范化標(biāo)準(zhǔn)。我國(guó)目前的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的開展,大部分依靠參考國(guó)際標(biāo)準(zhǔn)提供服務(wù),只注重效仿,而缺乏對(duì)我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)的實(shí)際狀況的研究,沒(méi)有針對(duì)性,得不到應(yīng)有的效果。
3)我國(guó)缺乏行之有效的理論和技術(shù),也缺乏實(shí)踐的經(jīng)驗(yàn)。由于科技水平的相對(duì)落后,對(duì)于信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估缺乏合適的理論、方法、技術(shù)等。我國(guó)僅依靠深化研究IT技術(shù)共性風(fēng)險(xiǎn),而沒(méi)有針對(duì)性的行業(yè)信息個(gè)性風(fēng)險(xiǎn)評(píng)估,這是沒(méi)有聯(lián)系實(shí)際的舉措,是不能真正將信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估落實(shí)到位的。
4)在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)的額評(píng)估中角色的責(zé)任不明確。這應(yīng)該歸咎于領(lǐng)導(dǎo)的和員工的不符責(zé)任及素質(zhì)水平的落后。對(duì)風(fēng)險(xiǎn)評(píng)估理論缺乏,那么就會(huì)導(dǎo)致參與評(píng)估工作領(lǐng)導(dǎo)和員工角色不明確,領(lǐng)導(dǎo)對(duì)評(píng)估工作的指導(dǎo)角色以及責(zé)任不明確,員工則對(duì)評(píng)估工作流程方法不理解,都大大降低了風(fēng)險(xiǎn)評(píng)估的工作效率。
以上種種關(guān)于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀問(wèn)題反映出我國(guó)在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作還缺乏很多理論和實(shí)踐的指導(dǎo)。我國(guó)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的開展力度還遠(yuǎn)不夠,那些在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的成果還遠(yuǎn)遠(yuǎn)達(dá)不到評(píng)估工作的標(biāo)準(zhǔn)。
4 強(qiáng)化信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策
4.1 加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的重視
信息化技術(shù)對(duì)于每一個(gè)企事業(yè)單位都是至關(guān)重要的,企業(yè)在對(duì)工作任務(wù)的執(zhí)行和管理中都必須用到信息化技術(shù),因此,保證信息系統(tǒng)的安全性對(duì)于企業(yè)的發(fā)展至關(guān)重要。企業(yè)、組織和部門要加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的重視,強(qiáng)化風(fēng)險(xiǎn)意識(shí),將信息安全風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)長(zhǎng)期的工作來(lái)開展。
4.2 完善我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的規(guī)范化標(biāo)準(zhǔn)
上文中指出我國(guó)目前的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作大部分依靠國(guó)際標(biāo)準(zhǔn)在進(jìn)行,國(guó)內(nèi)沒(méi)有一個(gè)統(tǒng)一的評(píng)估標(biāo)準(zhǔn)。因此,我國(guó)應(yīng)該根據(jù)企業(yè)各種標(biāo)準(zhǔn)的側(cè)重點(diǎn),自主創(chuàng)新研究,創(chuàng)造出自己的標(biāo)準(zhǔn)技術(shù)體系,而不再一味的去效仿他國(guó)。只有這樣,我國(guó)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估才能得到迅猛的提高與發(fā)展,才能保證國(guó)家信息化的安全。
4.3 加強(qiáng)對(duì)評(píng)估專業(yè)人才的培養(yǎng)
信息化技術(shù)是一項(xiàng)非常專業(yè)的技術(shù),只有擁有專業(yè)知識(shí)和技能的高科技人才才能控制和把握。信息安全風(fēng)險(xiǎn)的評(píng)估工作上則更需要擁有專業(yè)技能和業(yè)務(wù)水平的人才,他們必須對(duì)信息化技術(shù)相當(dāng)了解和精通,對(duì)風(fēng)險(xiǎn)評(píng)估的方法、手段、模型、流程必須熟練。因此,企事業(yè)單位要加強(qiáng)對(duì)專業(yè)人才的培養(yǎng),定期進(jìn)行業(yè)務(wù)技能培訓(xùn),鼓勵(lì)人才的自主學(xué)習(xí),不斷提高自身的能力,為確保企業(yè)信息安全評(píng)估工作的高效發(fā)展及信息安全貢獻(xiàn)力量。
4.4 加強(qiáng)科技創(chuàng)新,增強(qiáng)評(píng)估的可操作性
我國(guó)的科技水平較西方國(guó)家有很大的差距,因此在對(duì)信息安全風(fēng)險(xiǎn)的評(píng)估工作中,也存在理論和技術(shù)上的差距。我國(guó)應(yīng)該不斷的加強(qiáng)科研力度,在理論和技術(shù)上加以完善,在評(píng)估工具上改進(jìn),以確保評(píng)估工作的高效開展。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是一個(gè)過(guò)程體系,必須抓好每一環(huán)節(jié)的技術(shù)性,在依據(jù)實(shí)際狀況下進(jìn)行風(fēng)險(xiǎn)評(píng)估。
4.5 明確評(píng)估工作的職責(zé)劃分
信息安全風(fēng)險(xiǎn)評(píng)估工作是復(fù)雜的,每一個(gè)流程都需要投入一定的人力、物力和財(cái)力。針對(duì)人力這一方面,企業(yè)單位應(yīng)該明確劃分評(píng)估工作人員的職責(zé)范圍,管理者要發(fā)揮好領(lǐng)導(dǎo)監(jiān)督作用,有效指導(dǎo)評(píng)估工作的開展,員工則有效發(fā)揮自身的作用和能力。進(jìn)而在每一環(huán)節(jié)工作人員共同協(xié)作下,完成評(píng)估工作的各項(xiàng)流程,并達(dá)到預(yù)期的成效。
5 結(jié)束語(yǔ)
隨著我國(guó)信息技術(shù)水平不斷的進(jìn)步和提高,信息安全工作成為一項(xiàng)必須引起高度重視的工作之一。在當(dāng)前我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估還不夠全面和科學(xué)的情況下,我國(guó)應(yīng)該加強(qiáng)科技創(chuàng)新,依靠科學(xué)有效的管理以及綜合規(guī)范的保障手段,在借鑒西方國(guó)家先進(jìn)理論和技術(shù)的同時(shí)結(jié)合我國(guó)企業(yè)單位信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)際現(xiàn)狀,有針對(duì)性的實(shí)施有效方法,確保信息系統(tǒng)的安全性,進(jìn)而保證我國(guó)信息化的安全發(fā)展。
實(shí)際上,由于檔案信息有嚴(yán)格的安全保密要求,相當(dāng)一部分檔案信息是需要控制使用的,所以傳統(tǒng)介質(zhì)檔案一旦都數(shù)字化了,必將帶來(lái)新的安全管理問(wèn)題。信息安全的威脅可能來(lái)自內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及信息系統(tǒng)本身所產(chǎn)生的意外事故。而要解決安全問(wèn)題,首先就是要發(fā)現(xiàn)它,而信息安全風(fēng)險(xiǎn)評(píng)估就是發(fā)現(xiàn)數(shù)字化檔案、數(shù)字化檔案館潛在問(wèn)題的最佳工具。
信息安全風(fēng)險(xiǎn)評(píng)估
在實(shí)踐中可以發(fā)現(xiàn),凡是和信息有關(guān)的人、事、物都有可能成為風(fēng)險(xiǎn)源,因此評(píng)估針對(duì)的對(duì)象也就包含了和信息相關(guān)的各種要素,也可以視為廣義上的信息系統(tǒng)。信息安全風(fēng)險(xiǎn)評(píng)估,則是指依據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程,它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響,并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評(píng)估各要素關(guān)系
現(xiàn)實(shí)世界中影響風(fēng)險(xiǎn)評(píng)估的各種要素相互影響、相互作用。關(guān)系錯(cuò)綜復(fù)雜。《信息安全風(fēng)險(xiǎn)評(píng)估指南》用圖來(lái)描述其關(guān)系。
圖中這些要素之間存在著以下關(guān)系:業(yè)務(wù)戰(zhàn)略依賴于資產(chǎn)去完成-資產(chǎn)擁有價(jià)值,單位的業(yè)務(wù)戰(zhàn)略越重要,對(duì)資產(chǎn)的依賴度越高,資產(chǎn)的價(jià)值則就越大;資產(chǎn)的價(jià)值越大則風(fēng)險(xiǎn)越大;風(fēng)險(xiǎn)是由威脅發(fā)起的,威脅越大則風(fēng)險(xiǎn)越大,并可能演變成安全事件,威脅都要利用脆弱性,脆弱性越大則風(fēng)險(xiǎn)越大,脆弱性使資產(chǎn)暴露,是未被滿足的安全需求,威脅要通過(guò)利用脆弱性來(lái)危害資產(chǎn),從而形成風(fēng)險(xiǎn)?資產(chǎn)的重要性和對(duì)風(fēng)險(xiǎn)的意識(shí)會(huì)導(dǎo)出安全需求,安全需求要通過(guò)安全措施來(lái)得以滿足,且是有成本的;安全措施可以抗擊威脅,降低風(fēng)險(xiǎn),減弱安全事件的影響。風(fēng)險(xiǎn)不可能也沒(méi)有必要降為零,在實(shí)施了安全措施后還會(huì)有殘留下來(lái)的風(fēng)險(xiǎn)一部分殘余風(fēng)險(xiǎn)來(lái)自于安全措施可能不當(dāng)或無(wú)效,在以后需要繼續(xù)控制這部分風(fēng)險(xiǎn),另一部分殘余風(fēng)險(xiǎn)則是在綜合考慮了安全的成本與資產(chǎn)價(jià)值后,有意未去控制的風(fēng)險(xiǎn),這部分風(fēng)險(xiǎn)是可以被接受的;殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視,因?yàn)樗赡軙?huì)在將來(lái)誘發(fā)新的安全事件。
數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估流程
數(shù)字檔案館風(fēng)險(xiǎn)評(píng)估過(guò)程就是在評(píng)估標(biāo)準(zhǔn)的指導(dǎo)下,綜合利用相關(guān)評(píng)估技術(shù),評(píng)估方法、評(píng)估工具,針對(duì)數(shù)字檔案館展開全方位的評(píng)估工作的完整過(guò)程。對(duì)數(shù)字檔案館進(jìn)行風(fēng)險(xiǎn)評(píng)估,首先應(yīng)確保風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該覆蓋數(shù)字檔案館的整個(gè)體系。應(yīng)包括:數(shù)字檔案館基本情況分析、基本安全狀況調(diào)查、安全組織、政策情況分析、弱點(diǎn)漏洞分析等。風(fēng)險(xiǎn)評(píng)估具體評(píng)估過(guò)程如下:
1 確定資產(chǎn)。資產(chǎn)是數(shù)字檔案館實(shí)現(xiàn)組織目標(biāo)的物質(zhì)基礎(chǔ),威脅都是針對(duì)于資產(chǎn)存在的,確定資產(chǎn)是我們分析威脅、存在脆弱性的必要條件,如果這個(gè)問(wèn)題沒(méi)有解決好,必然影響分析評(píng)估的后續(xù)工作。這一步首先要明確信息資產(chǎn)有哪些,并在此基礎(chǔ)上確定資產(chǎn)價(jià)值,這里研究的價(jià)值是強(qiáng)調(diào)對(duì)數(shù)字檔案館完成目標(biāo)的重要程度,越重要價(jià)值越高。資產(chǎn)的范圍很廣,一切需要加以保護(hù)的東西都算作資產(chǎn),包括:信息資產(chǎn)、紙質(zhì)文件、軟件資產(chǎn)、物理資產(chǎn)、人員、形象和聲譽(yù)、服務(wù)等。資產(chǎn)的評(píng)估應(yīng)當(dāng)從關(guān)鍵業(yè)務(wù)開始,最終覆蓋所有關(guān)鍵資產(chǎn)。
2 識(shí)別威脅和脆弱性。資產(chǎn)面臨的風(fēng)險(xiǎn)是由于資產(chǎn)存在脆弱性,而客觀上又存在著利用這些脆弱性阻礙數(shù)字檔案館目標(biāo)實(shí)現(xiàn)的威脅造成的。所以要分析風(fēng)險(xiǎn)就要辨別清楚有什么可供利用的弱點(diǎn),什么樣的人或事會(huì)利用這些弱點(diǎn)。明確了以上問(wèn)題,進(jìn)行評(píng)估才能有的放矢。能對(duì)資產(chǎn)造成威脅的因素包括人、事、物,而脆弱性則可以從管理、技術(shù)等方面來(lái)檢視。
3 識(shí)別當(dāng)前控制措施。當(dāng)我們建立了數(shù)字檔案館之后,或多或少會(huì)有一些相應(yīng)的規(guī)章制度或技術(shù)手段來(lái)維護(hù)信息本身。已經(jīng)采取的措施對(duì)于我們?cè)u(píng)估風(fēng)險(xiǎn)也是必要的,首先需要了解已經(jīng)采取何種措施,并要進(jìn)一步分析這些措施是否完備、是否合理、是否得到了充分執(zhí)行。已采取的措施合理、有力,就可以降低資產(chǎn)面臨的風(fēng)險(xiǎn),如果沒(méi)有措施或雖有措施卻形同虛設(shè)則使得資產(chǎn)完全暴露在威脅之前,沒(méi)有任何屏障。自然風(fēng)險(xiǎn)很高。
4 確定發(fā)生安全事件的可能性和損失。存在脆弱性和威脅并不等于就一定會(huì)有風(fēng)險(xiǎn),因?yàn)榇嗳跣允敲鞔_的而威脅卻是潛在的。潛在的威脅可以轉(zhuǎn)變成為現(xiàn)實(shí)安全事件,也可以消亡。損失只有在威脅轉(zhuǎn)變成為安全事件之后才會(huì)出現(xiàn),為此必須以當(dāng)前的控制措施作為前提分析安全事件發(fā)生的可能性,可能性判斷的準(zhǔn)確與否直接影響著對(duì)風(fēng)險(xiǎn)程度大小的判斷。
5 確定風(fēng)險(xiǎn)大小。在前面工作的基礎(chǔ)上,確定風(fēng)險(xiǎn)就是較為簡(jiǎn)單的工作了。根據(jù)安全事件發(fā)生會(huì)造成的損失和發(fā)生的概率,就可以知道我們面臨的風(fēng)險(xiǎn)。
6 決策。明確了風(fēng)險(xiǎn)大小之后管理者需要做出決定,目前的風(fēng)險(xiǎn)水平是否可以接受?如果不能接受,則要仔細(xì)分析為了減小風(fēng)險(xiǎn)需要做的投入。加強(qiáng)各種安全防范措施是需要成本的,要在成本和風(fēng)險(xiǎn)程度之間做好權(quán)衡。面對(duì)前面工作的成果,管理者需要決定下一步采取何種措施。在分析和決策過(guò)程中,要盡可能多地讓更多的人參與進(jìn)來(lái),從管理層的代表到業(yè)務(wù)部門的主管,從技術(shù)人員到非技術(shù)人員。
7 執(zhí)行。最后的步驟是安全措施的實(shí)施。實(shí)施過(guò)程要始終在監(jiān)督下進(jìn)行,以確保決策能夠貫穿于工作之中。在實(shí)施的同時(shí),要密切注意和分析新的威脅并對(duì)控制措施進(jìn)行必要的修改。在信息系統(tǒng)的運(yùn)行過(guò)程中,絕對(duì)安全的措施是不存在的:攻擊者不斷有新的方法繞過(guò)或擾亂系統(tǒng)中的安全措施;系統(tǒng)的變化會(huì)帶來(lái)新的脆弱點(diǎn);實(shí)施的安全措施會(huì)隨著時(shí)間而過(guò)時(shí)等等,所有這些表明,信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程,應(yīng)周期性地對(duì)信息系統(tǒng)安全進(jìn)行重新評(píng)估。
數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估要素識(shí)別
風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。識(shí)別出三個(gè)要素是進(jìn)行評(píng)估的基本條件。
1 資產(chǎn)識(shí)別
資產(chǎn)是以信息為核心與信息利用有關(guān)的一切形式的要素集合。通常信息資產(chǎn)的保密性、完整性和可用性是公認(rèn)的能夠反映資產(chǎn)安全特性的三個(gè)要素。信息資產(chǎn)安全特性的不同也決定了其信息價(jià)值的不同,以及存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。數(shù)字檔案館中的信息資產(chǎn)可以簡(jiǎn)要分為以下幾類:數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)備,人員及其他,其中檔案,尤其是某些重要檔案是資產(chǎn)中的核心。
2 脆弱性識(shí)別
脆弱性是資產(chǎn)本身存在的不足,它一旦被利用就會(huì)導(dǎo)致?lián)p失。值得注意的是,脆弱性雖然客觀存在,但它本身不會(huì)造成損失,它只有被威脅利用之后,才會(huì)帶來(lái)?yè)p害。所以對(duì)那些沒(méi)有安全威脅的弱點(diǎn)可以不需要實(shí)施安全保護(hù)措施,但他們必須記錄下來(lái)以確保當(dāng)環(huán)境、條件有所變化時(shí)能隨之加以改變。需要注意的是不正確的、起不到應(yīng)有作用的或沒(méi)有正確實(shí)施的安全保護(hù)措施本身就可能是一個(gè)安全薄弱環(huán)節(jié)。
對(duì)于數(shù)字檔案館來(lái)說(shuō),存在的脆弱性主要是以下幾點(diǎn):缺乏足夠的信息安全技術(shù)人才,信息工作管理不規(guī)范,相關(guān)管理者缺乏進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí);具體工作人員信息技能不高。
3 威脅識(shí)別
關(guān)鍵詞:信息安全;風(fēng)險(xiǎn)評(píng)估;脆弱性;威脅
一、前言
隨著信息技術(shù)的飛速發(fā)展,信息系統(tǒng)依賴程度日益增強(qiáng),采用風(fēng)險(xiǎn)管理的理念去識(shí)別安全風(fēng)險(xiǎn),解決信息安全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。信息系統(tǒng)主要分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施,以防范和化解風(fēng)險(xiǎn)。
二、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析
“網(wǎng)絡(luò)信息的安全”從狹義的字面上來(lái)講就是網(wǎng)絡(luò)上各種信息的安全,而從廣義的角度考慮,還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^(guò)程的安全。網(wǎng)絡(luò)信息安全具有如下5個(gè)特征:
1、保密性:即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。
2、完整性:即信息未經(jīng)授權(quán)不能被修改、破壞。
3、可用性:即能保證合法的用戶正常訪問(wèn)相關(guān)的信息。
4、可控性:即信息的內(nèi)容及傳播過(guò)程能夠被有效地合法控制。
5、可審查性:即信息的使用過(guò)程都有相關(guān)的記錄可供事后查詢核對(duì)。
網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛,根據(jù)不同的分類方法可以有多種不同的分類。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題的復(fù)雜性。而通過(guò)有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析,就能夠?yàn)榇藦?fù)雜問(wèn)題的解決找到一個(gè)考慮問(wèn)題的立足點(diǎn),能夠?qū)?fù)雜的問(wèn)題量化,同時(shí),也為能通過(guò)其他方法如人工智能網(wǎng)絡(luò)方法解決問(wèn)題提供依據(jù)和基礎(chǔ),網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類:
1、自然界因素,如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等;
2、社會(huì)因素,主要是人類社會(huì)的各種活動(dòng),如暴力、戰(zhàn)爭(zhēng)、盜竊等;
3、網(wǎng)絡(luò)硬件的因素,如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響;
4、軟件的因素,包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等;
5、人為的因素,主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來(lái)的影響因素,如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等;
6、其他因素,包括政府職能部門的監(jiān)管因素、有關(guān)部門對(duì)相關(guān)法律法規(guī)立法因素、教育部門對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。
三、目前網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估工作中急需解決的問(wèn)題
信息系統(tǒng)涉及社會(huì)經(jīng)濟(jì)方方面面,在政務(wù)和商務(wù)領(lǐng)域發(fā)揮了重要作用,信息安全問(wèn)題不單是一個(gè)局部性和技術(shù)性問(wèn)題,而是一個(gè)跨領(lǐng)域、跨行業(yè)、跨部門的綜合性安全問(wèn)題。據(jù)統(tǒng)計(jì),某省會(huì)城市各大機(jī)關(guān)、企事業(yè)單位中,有10%的單位出現(xiàn)過(guò)信息系統(tǒng)不穩(wěn)定運(yùn)行情況;有30%的單位出現(xiàn)過(guò)來(lái)自網(wǎng)絡(luò)、非法入侵等方面的攻擊;出現(xiàn)過(guò)信息安全問(wèn)題的單位比例高達(dá)86%!缺少信息安全建設(shè)專項(xiàng)資金,信息安全專業(yè)人才缺乏,應(yīng)急響應(yīng)體系和信息安全測(cè)評(píng)機(jī)構(gòu)尚未組建,存在著“重建設(shè)、輕管理,重應(yīng)用、輕安全”的現(xiàn)象,已成為亟待解決的問(wèn)題。
各部門對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重視程度與其信息化水平呈現(xiàn)正比,即信息化水平越高,對(duì)風(fēng)險(xiǎn)評(píng)估越重視。然而,由于地區(qū)差異和行業(yè)發(fā)展不平衡,各部門重視風(fēng)險(xiǎn)評(píng)估的一個(gè)重要原因是“安全事件驅(qū)動(dòng)”,即“不出事不重視”,真正做到“未雨綢繆”的少之又少。目前我國(guó)信息安全體系還未健全和完善,真正意義上的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估尚待成熟。有的部門對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估還停留在傳達(dá)一下文件、出具一個(gè)報(bào)告、安排一場(chǎng)測(cè)試,由于評(píng)估單位在評(píng)估資質(zhì)、評(píng)估標(biāo)準(zhǔn)、評(píng)估方法等方面還不夠規(guī)范和統(tǒng)一,甚至出現(xiàn)對(duì)同一個(gè)信息系統(tǒng),不同評(píng)估單位得出不同評(píng)估結(jié)論的案例。
四、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估解決措施
1、確診風(fēng)險(xiǎn),對(duì)癥下藥
信息系統(tǒng)風(fēng)險(xiǎn)是客觀存在的,也是可以被感知和認(rèn)識(shí)從而進(jìn)行科學(xué)管理的。信息系統(tǒng)面臨的風(fēng)險(xiǎn)是什么、有多大,應(yīng)該采取什么樣的措施去減少、化解和規(guī)避風(fēng)險(xiǎn)?就像人的軀體有健康和疾病,設(shè)備狀況有正常和故障,糧食質(zhì)量有營(yíng)養(yǎng)和變質(zhì),如何確認(rèn)信息系統(tǒng)的狀態(tài)和發(fā)現(xiàn)信息系統(tǒng)存在的風(fēng)險(xiǎn)和面臨的威脅,就需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。
2、夯實(shí)安全根基,鞏固信息大廈
信息系統(tǒng)建設(shè)之初就存在安全問(wèn)題,好比高樓大廈建在流沙之上,地基不固,樓建的越高倒塌的風(fēng)險(xiǎn)就越大。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)這座高樓大廈的安全根基,它可以幫助信息系統(tǒng)管理者了解潛在威脅,合理利用現(xiàn)有資源開展規(guī)劃建設(shè),讓信息系統(tǒng)安全“贏在起跑線上”。風(fēng)險(xiǎn)評(píng)估還可以為信息系統(tǒng)建設(shè)者節(jié)省信息系統(tǒng)建設(shè)總體投資,達(dá)到“以最小成本獲得最大安全保障”的效果。
3、尋求適度安全和建設(shè)成本的最佳平衡點(diǎn)
安全是相對(duì)的,成本是有限的。在市場(chǎng)經(jīng)濟(jì)高度發(fā)達(dá)的今天,信息系統(tǒng)建設(shè)要達(dá)到預(yù)期經(jīng)濟(jì)效益和社會(huì)效益,就不能脫離實(shí)際地追求“零風(fēng)險(xiǎn)”和絕對(duì)安全。風(fēng)險(xiǎn)評(píng)估為管理者算了一筆經(jīng)濟(jì)賬,讓我們認(rèn)清信息系統(tǒng)面臨的威脅和風(fēng)險(xiǎn),在此基礎(chǔ)上決定哪些風(fēng)險(xiǎn)必須規(guī)避,哪些風(fēng)險(xiǎn)可以容忍,以便在潛在風(fēng)險(xiǎn)損失與建設(shè)管理成本之間尋求一個(gè)最佳平衡點(diǎn),力求達(dá)到預(yù)期效益的最大化。
4、既要借鑒先進(jìn)經(jīng)驗(yàn),又要重視預(yù)警防范
沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,沒(méi)有信息化就沒(méi)有現(xiàn)代化。建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó),要有自己的技術(shù),有過(guò)硬的技術(shù)。風(fēng)險(xiǎn)評(píng)估是信息化發(fā)達(dá)國(guó)家的重要經(jīng)驗(yàn)。目前我們的信息化在某些關(guān)鍵技術(shù)、關(guān)鍵設(shè)備上還受制于人。“他山之石”可為我所用,亦須知其鋒芒與瑕疵,加強(qiáng)預(yù)警防范與借鑒先進(jìn)技術(shù)同樣重要。
五、結(jié)束語(yǔ)
綜上所述,本文主要對(duì)信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了分析和探究,在今天高速的信息化環(huán)境中,信息的安全性越發(fā)顯示出其重要性,風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)基礎(chǔ),通過(guò)風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案。所以要加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。
參考文獻(xiàn):
[1]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì),信息安全技術(shù)一信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范,2007年
1信息安全風(fēng)險(xiǎn)評(píng)估的方法
1.1定性分析方法
這是評(píng)估方法具有的一個(gè)明顯特點(diǎn)就是它的主觀性較強(qiáng),在風(fēng)險(xiǎn)評(píng)估人員主觀上對(duì)資產(chǎn)風(fēng)險(xiǎn)因素所面臨的威脅以及漏洞等作出評(píng)估判斷的過(guò)程。它的結(jié)構(gòu)構(gòu)成包括故障樹分析法、事件樹分析法以及原因———后果法等。(1)故障樹分析法。這種分析方法的適用于對(duì)風(fēng)險(xiǎn)事件的發(fā)生源之間關(guān)系以及它的深層次原因進(jìn)行探究的,它的主要目的是在發(fā)現(xiàn)信息故障后對(duì)信息安全所進(jìn)行的定性分析。從它的運(yùn)行原理來(lái)看,它是把信息系統(tǒng)中發(fā)生的結(jié)果來(lái)作為首要解決的問(wèn)題,分析總結(jié)出不愿發(fā)生事件的形成因素,從而確定出各個(gè)因素之間的邏輯關(guān)系。(2)事件樹分析方法。這種方法是在原有的信息系統(tǒng)風(fēng)險(xiǎn)基礎(chǔ)上,來(lái)對(duì)這些信息安全風(fēng)險(xiǎn)事件發(fā)生可能產(chǎn)生的風(fēng)險(xiǎn)結(jié)果進(jìn)行詳細(xì)的分析探究,它的分析工作開展的一個(gè)顯著特點(diǎn)就是需要對(duì)序列組中可能發(fā)生的危險(xiǎn)事故的結(jié)果進(jìn)行合理的列舉,需要注意的是這并代表是最后的結(jié)果,只是其中的一個(gè)環(huán)節(jié),但是它的缺點(diǎn)就是不適于進(jìn)行大范圍的普適。(3)原因———后果分析方法。這種分析方法從運(yùn)行原理的實(shí)質(zhì)上來(lái)看,它是對(duì)前兩種分析方法的一種融合,它是前兩種分析方法所具有顯著特點(diǎn)的結(jié)合,但是,這種方法也有應(yīng)用的缺點(diǎn),就是它在大型的、復(fù)雜的信息系統(tǒng)中應(yīng)用并起不到應(yīng)有的效果。
1.2定量分析方法
這種分析方法是對(duì)定性方法的一種改進(jìn),削弱了定性方法的主觀性,但是在一些大型復(fù)雜的信息系統(tǒng)中,就很可能造成一些定量數(shù)據(jù)難以獲得,需要浪費(fèi)較多的時(shí)間成本,基于此,它的應(yīng)用最為廣泛的是定量的故障樹分析法和風(fēng)險(xiǎn)評(píng)審技術(shù)兩種。
1.3定性分析和定量分析相結(jié)合的方法
這種兩相結(jié)合的方法在現(xiàn)代應(yīng)用領(lǐng)域中是最為常見(jiàn)的,也是最適合的形式,這兩種方法相結(jié)合的主要目的是為了有效的彌補(bǔ)定性分析法和定量分析法之間的缺陷,因此,它的綜合性就會(huì)相對(duì)強(qiáng)一些。這種分析模式,適用范圍最為廣泛的并且最為主流的是層次分析法。
2在業(yè)務(wù)流程基礎(chǔ)上的信息安全風(fēng)險(xiǎn)評(píng)估方法
2.1信息資產(chǎn)的辨別
信息安全風(fēng)險(xiǎn)評(píng)估主要是針對(duì)于信息和信息處理設(shè)備所受到的威脅、影響以及威脅事件發(fā)生后所帶來(lái)的損失而進(jìn)行的評(píng)估預(yù)測(cè),那么所進(jìn)行評(píng)估的內(nèi)容主要涉及到四個(gè)要素,即資產(chǎn)、威脅、漏洞以及原有的安全措施。對(duì)于這四個(gè)要素之間的關(guān)系論述,它們是屬于相互關(guān)系、相互作用的因素,各自對(duì)系統(tǒng)風(fēng)險(xiǎn)的影響各不相同,共同構(gòu)成復(fù)雜的風(fēng)險(xiǎn)評(píng)估系統(tǒng)工程。我們?cè)趯?shí)際的風(fēng)險(xiǎn)評(píng)估工作中,主要是對(duì)已經(jīng)存在的風(fēng)險(xiǎn)提出一系列有效的安全防范措施,并依據(jù)風(fēng)險(xiǎn)措施實(shí)行采取合理的控制措施,從而使風(fēng)險(xiǎn)控制到最合理的范圍內(nèi),那么這么講就可以把它的具體實(shí)施流程劃分為兩大部分,即對(duì)風(fēng)險(xiǎn)的分析和對(duì)風(fēng)險(xiǎn)的控制。
2.2業(yè)務(wù)流程的風(fēng)險(xiǎn)模型分析
在業(yè)務(wù)開展的基本流程中,對(duì)于位置變動(dòng)資產(chǎn)的識(shí)別可以在它的開始階段就進(jìn)行,這是對(duì)位置變動(dòng)來(lái)說(shuō)的,而對(duì)于位置固定的資產(chǎn)識(shí)別,就需要對(duì)每一個(gè)具體業(yè)務(wù)的節(jié)點(diǎn)進(jìn)行逐一開展。對(duì)于位置固定資產(chǎn)的識(shí)別來(lái)說(shuō),因?yàn)槠渥陨硇枰写罅康娜斯げ僮鳎虼怂娘L(fēng)險(xiǎn)一般是集中于業(yè)務(wù)節(jié)點(diǎn)環(huán)節(jié)上,并且各個(gè)節(jié)點(diǎn)上的風(fēng)險(xiǎn)類別、發(fā)生方式、起源以及造成的后果影響都是不相同的。此外,由于這些風(fēng)險(xiǎn)的產(chǎn)生是因?yàn)槲恢霉潭ㄙY產(chǎn)而引起的,因此,在業(yè)務(wù)流程的過(guò)程中一般只需要對(duì)位置固定資產(chǎn)的風(fēng)險(xiǎn)采取相應(yīng)的控制措施就可以了,這樣也就確保了位置別動(dòng)不會(huì)對(duì)資產(chǎn)的保密性、完整性以及可用性造成威脅。
3總結(jié)
關(guān)鍵詞:電子商務(wù);信息安全;風(fēng)險(xiǎn)評(píng)估;對(duì)策
基金項(xiàng)目:鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目:電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)及應(yīng)用(編號(hào):DCY2019007)
1.引言
電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ),以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動(dòng)。當(dāng)電子商務(wù)相關(guān)部門或人員在進(jìn)行項(xiàng)目開發(fā)時(shí),擁有一套信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)可以幫助其采用科學(xué)合理的方法對(duì)潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合,將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。
2.電子商務(wù)系統(tǒng)中存在的信息安全問(wèn)題及現(xiàn)狀
一般來(lái)說(shuō),電子商務(wù)的信息安全是指在電子商務(wù)交易的過(guò)程中雙方使用各種技術(shù)和法律手段等確保交易不會(huì)因?yàn)橐馔猓瑦阂饣蛘吲哆@些不利要求而受到損害的信息安全。在21世紀(jì)初葉,我國(guó)金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加,我國(guó)金融網(wǎng)絡(luò)信息安全形勢(shì)非常嚴(yán)峻,需要加強(qiáng)改善。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問(wèn)題做一個(gè)簡(jiǎn)要介紹,主要涉及以下幾個(gè)方面:
(1)由于編寫的電子商務(wù)系統(tǒng)軟件可以使用不同的形式,因此在實(shí)際應(yīng)用過(guò)程中難以避免的會(huì)留下安全漏洞。例如,網(wǎng)絡(luò)操作系統(tǒng)本身會(huì)存在一些安全問(wèn)題,例如非法訪問(wèn)I/0,這些不完全的調(diào)解和混亂的訪問(wèn)控制會(huì)造成數(shù)據(jù)庫(kù)安全漏洞,而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開始設(shè)計(jì)之前就沒(méi)有考慮TCP/IP通信協(xié)議的安全性,這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來(lái)也存在風(fēng)險(xiǎn)。在信息的傳遞過(guò)程中,需要不斷地對(duì)信息源進(jìn)行加工和重現(xiàn),截取有用信息,不可避免會(huì)出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)。尤其是在當(dāng)下“社交+商務(wù)”的模式下,一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬(wàn)次或者更多,一旦在信息轉(zhuǎn)載中出現(xiàn)誤差,影響非常大,風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視。
(2)隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,計(jì)算機(jī)病毒帶來(lái)的問(wèn)題越來(lái)越廣泛,壓縮文件,電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑,因?yàn)檫@些病毒的種類非常多樣化,破壞性極強(qiáng),使得計(jì)算機(jī)病毒的傳播速度大大加快了。近年來(lái),新病毒種類的數(shù)量迅速增加,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介。這些病毒可以通過(guò)網(wǎng)絡(luò)大量傳播任何粗心大意都會(huì)造成無(wú)法彌補(bǔ)的經(jīng)濟(jì)損失。此外還有信息傳遞過(guò)程所帶來(lái)的風(fēng)險(xiǎn)。信息是一種重要的資源,良好的流動(dòng)性能實(shí)現(xiàn)信息價(jià)值的最大化,但是在信息的傳遞過(guò)程中需要經(jīng)過(guò)許多路徑,而在這過(guò)程中往往存在一些不安全因素,給信息安全帶來(lái)一定的風(fēng)險(xiǎn)。
(3)當(dāng)前的黑客攻擊,除了計(jì)算機(jī)病毒的傳播外,黑容的惡意行為也越來(lái)越猖狂。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性,使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序惡意篡改,導(dǎo)致很多重要信息、文件,甚至是金錢被盜。
(4)由人為因素造成的電子商務(wù)公司的安全問(wèn)題,大部分保密工作是通過(guò)員工的操作來(lái)進(jìn)行的,這就需要員工具有很好的保密性,責(zé)任心和責(zé)任感等道德素質(zhì)。如果員工的責(zé)任心不強(qiáng),態(tài)度不正確,就容易被別人利用,讓無(wú)關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德,可能會(huì)非法超出授權(quán)范圍更改或刪除他人的信息,而且還可以利用所學(xué)專業(yè)知識(shí)和工作位置來(lái)竊取用戶密碼和標(biāo)識(shí)符,進(jìn)行非法出售。
3.電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估存在的問(wèn)題
經(jīng)過(guò)大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估是當(dāng)前科研工作中噬待解決的問(wèn)題。目前,國(guó)內(nèi)也有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用,但是這些研究都只是簡(jiǎn)單的分析,包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估工具。評(píng)估矩陣,問(wèn)卷,風(fēng)險(xiǎn)評(píng)估矩陣與問(wèn)卷方法,專家系統(tǒng)相結(jié)合。對(duì)于更深層次的探究還需進(jìn)一步努力。此外,網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法,時(shí)間序列模型,決策樹方法和回歸模型進(jìn)行。風(fēng)險(xiǎn)評(píng)估方法,定性分析主要包括邏輯分析,Delphi方法,因子分析方法,歷史比較方法等。其中,定量和定性評(píng)估方法相結(jié)合,是由模糊層次分析法,基于D-S證據(jù)理論等的評(píng)估方法組成。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估還存在一定問(wèn)題,例如隨著網(wǎng)絡(luò)的發(fā)展,我國(guó)從開始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代。其中也出現(xiàn)了各種問(wèn)題,網(wǎng)民數(shù)量的增加需要迫切提高他們對(duì)信息安全的警惕意識(shí)。
3.1欠缺對(duì)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)
當(dāng)前,許多相關(guān)人員對(duì)電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識(shí),缺少信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)。因此他們沒(méi)有重視信息安全風(fēng)險(xiǎn)評(píng)估的重要性,其原因如下。第一,公司或單位的風(fēng)險(xiǎn)評(píng)估尚未通過(guò)標(biāo)準(zhǔn)檢驗(yàn),培訓(xùn)標(biāo)準(zhǔn),信息安全風(fēng)險(xiǎn)評(píng)估工作的研究尚未得到系統(tǒng)的相關(guān)理論,方法和技術(shù)工具,這是由于一些信息安全評(píng)估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對(duì)信息評(píng)估風(fēng)險(xiǎn)評(píng)估的重要性的認(rèn)識(shí)不足,因此自然而然不將此類風(fēng)險(xiǎn)評(píng)估工作包括在當(dāng)前的信息安全系統(tǒng)框架中。第二,盡管有許多部門將信息安全工作置于地位重要,但受到人力、物力,財(cái)力等方面的限制,社會(huì)制度的制約,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作無(wú)法得到應(yīng)有的重視。
3.2缺乏信息安全風(fēng)險(xiǎn)評(píng)估方面的專業(yè)技術(shù)人才
首先,信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求非常高,它要求員工具有很高的技術(shù)水平,現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評(píng)估技術(shù)人員。其次,信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性,專業(yè)性于一體的工作,不僅涉及公司的所有業(yè)務(wù)信息,也涉及人力,物力和財(cái)力的方方面面,因此需要各部門之間相互配合,現(xiàn)在大多數(shù)公司僅依靠信息部門,獨(dú)立的參與信息安全風(fēng)險(xiǎn)評(píng)估毫無(wú)爭(zhēng)議他們要想完成信息安全風(fēng)險(xiǎn)評(píng)估工作是非常艱難的。綜上所述,培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估專業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。
3.3風(fēng)險(xiǎn)評(píng)估工具相對(duì)缺乏
當(dāng)前,除專家系統(tǒng)外,其他分析工具相對(duì)來(lái)說(shuō)都比較簡(jiǎn)易,除此之外還缺乏實(shí)用的理論基礎(chǔ)。此外,這種信息風(fēng)險(xiǎn)評(píng)估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀。表明國(guó)內(nèi)和外部失衡,在中國(guó)相對(duì)落后。可見(jiàn)解決信息安全問(wèn)題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評(píng)估工具。
4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議
4.1增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評(píng)估的意識(shí)
大多數(shù)信息的傳輸和處理,與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務(wù),人員的個(gè)人因素,管理因素和環(huán)境存在風(fēng)險(xiǎn)。主要包括人員的技術(shù)能力,監(jiān)控管理,安全性。特別需要做好監(jiān)督審計(jì)公司的工作,確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐,充分發(fā)揮內(nèi)部監(jiān)督作用,促進(jìn)社會(huì)責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作。電子商務(wù)公司必須對(duì)工人進(jìn)行必要的信息安全知識(shí)教育培訓(xùn),了解與之相關(guān)的法律法規(guī),做好對(duì)客戶關(guān)鍵信息的隱秘保護(hù)。不隨意查看和泄露客戶購(gòu)買信息。
企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性,加強(qiáng)密鑰管理,提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力,采取措施避免越權(quán)或?yàn)E用,消除用戶在交易中的風(fēng)險(xiǎn)。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng),并提供全面的安全保障。運(yùn)用端到端策略。對(duì)于移動(dòng)電子商務(wù)中用戶終端設(shè)備種類繁多,安全環(huán)境復(fù)雜難以控制的問(wèn)題,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過(guò)人臉識(shí)別、指紋識(shí)別等技術(shù)有效提高用戶訪問(wèn)身份鑒別能力,極大地提高賬戶的安全性,確保數(shù)據(jù)傳輸?shù)陌踩裕_保交易的真實(shí)有效。
4.2提供專業(yè)的技術(shù)培訓(xùn),提高專業(yè)人員的技能
認(rèn)真選擇第三方合作伙伴,增強(qiáng)信息管理水平,加強(qiáng)績(jī)效監(jiān)督管理。樹立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障,培養(yǎng)員工信息安全意識(shí),創(chuàng)造良好信息安全工作氛圍,加強(qiáng)信息安全專業(yè)技術(shù)人員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)和能力,通過(guò)大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過(guò)下列方法培訓(xùn)相關(guān)人員:第一,定期開展信息安全風(fēng)險(xiǎn)評(píng)估工作,將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對(duì)信息安全的意識(shí)彌補(bǔ)存在的缺陷。第二,對(duì)信息安全部門的員工進(jìn)行專門的技術(shù)培訓(xùn)和指導(dǎo),可通過(guò)模擬分析來(lái)提升技術(shù);第三,公司應(yīng)增加對(duì)技術(shù)資源的投入,聘請(qǐng)經(jīng)驗(yàn)豐富的專家學(xué)者組成第三方評(píng)估機(jī)構(gòu),引進(jìn)風(fēng)險(xiǎn)評(píng)估設(shè)備。以備不時(shí)之需;第四,公司應(yīng)對(duì)技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn),執(zhí)行職業(yè)資格準(zhǔn)入制度,提高技術(shù)人員的門檻,納入信息安全風(fēng)險(xiǎn)評(píng)估,技術(shù)人員的全面質(zhì)量保證評(píng)估。以上這些方法只是單純就培訓(xùn)方式對(duì)于具體的實(shí)施以及可能遇到的問(wèn)題依然需要研究。
4.3提升對(duì)信息安全防范技術(shù)的研究和應(yīng)用
為移動(dòng)數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密以防止泄漏,采用不同的加密方法來(lái)保護(hù)數(shù)據(jù)安全,進(jìn)行身份認(rèn)證,數(shù)據(jù)恢復(fù),數(shù)據(jù)加密存儲(chǔ),物理隔離,防火墻,網(wǎng)絡(luò),網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)入侵檢測(cè),網(wǎng)絡(luò)漏洞掃描,網(wǎng)絡(luò)設(shè)備備份,網(wǎng)絡(luò)管理,專線,實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段,從而提高數(shù)據(jù)庫(kù)的安全性。同時(shí)提高認(rèn)識(shí)到物理設(shè)施的重要性,定期維護(hù)物理設(shè)施。為了監(jiān)測(cè)信息安全和實(shí)施評(píng)估系統(tǒng),我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評(píng)估體系中,國(guó)內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究,建立創(chuàng)新的電子商務(wù)信息安全與評(píng)估體系。
關(guān)鍵詞 信息安全風(fēng)險(xiǎn)評(píng)估;關(guān)鍵技術(shù);研究
中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708(2017)181-0025-02
信息安全風(fēng)險(xiǎn)評(píng)估就是建設(shè)更加完善的信息安全系統(tǒng)的保障,因此本文分析信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)具有很強(qiáng)烈的現(xiàn)實(shí)意義。
1 信息安全風(fēng)險(xiǎn)評(píng)估概念及流程
1.1 風(fēng)險(xiǎn)評(píng)估概念
信息安全風(fēng)險(xiǎn)評(píng)估主要指的是對(duì)網(wǎng)絡(luò)環(huán)境和信息系統(tǒng)中所面臨的威脅以及信息系統(tǒng)資產(chǎn)和系統(tǒng)的脆弱性采取針對(duì)性的安全控制措施,對(duì)風(fēng)險(xiǎn)的判斷需要從信息系統(tǒng)的管理和技術(shù)兩個(gè)層面入手。
1.2 風(fēng)險(xiǎn)評(píng)估流程
風(fēng)險(xiǎn)評(píng)估需要經(jīng)v一個(gè)完整的過(guò)程:1)準(zhǔn)備階段,此階段需要確定風(fēng)險(xiǎn)評(píng)估的范圍、目標(biāo)以及方法等;2)實(shí)施階段,分別對(duì)資產(chǎn)、威脅和脆弱性等展開一系列的評(píng)估;3)分析階段,包含量化分析和對(duì)風(fēng)險(xiǎn)的計(jì)算。在整個(gè)過(guò)程中可以看出風(fēng)險(xiǎn)評(píng)估的實(shí)施階段和對(duì)風(fēng)險(xiǎn)的分析階段所起的作用比較重要,其中包含了幾項(xiàng)比較關(guān)鍵的技術(shù)。
2 信息安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵技術(shù)
風(fēng)險(xiǎn)評(píng)估和控制軟件主要包含6個(gè)方面的主要內(nèi)容,而安全風(fēng)險(xiǎn)評(píng)估流程則是分為4個(gè)主要的模塊,漏洞管理、風(fēng)險(xiǎn)分析和評(píng)估、威脅分析、漏洞管理和檢測(cè)等。在信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中包含以下幾方面的關(guān)鍵技術(shù)。
2.1 資產(chǎn)管理技術(shù)分析
資產(chǎn)評(píng)估主要是對(duì)具有價(jià)值的資源和信息開展的評(píng)估,這些資產(chǎn)包含有形的文檔、硬件等也包含悟性的形象和服務(wù)等。風(fēng)險(xiǎn)評(píng)估中的第一項(xiàng)任務(wù)就是進(jìn)行資產(chǎn)評(píng)估。評(píng)估過(guò)程中應(yīng)該確保資產(chǎn)的完整性和保密性,兼顧威脅。具體評(píng)估方法為:1)對(duì)資產(chǎn)進(jìn)行分類,資產(chǎn)往往來(lái)源于不同的網(wǎng)絡(luò)和業(yè)務(wù)管理系統(tǒng)。所以需要對(duì)資產(chǎn)按照形態(tài)和具體的用途進(jìn)行相應(yīng)的分類;2)對(duì)資產(chǎn)進(jìn)行賦值,對(duì)所有的資產(chǎn)進(jìn)行分類之后,需要為每一項(xiàng)資產(chǎn)進(jìn)行賦值,將資產(chǎn)的權(quán)重分為5個(gè)不同的級(jí)別,從1到5分別代表不同的資產(chǎn)等級(jí)。資產(chǎn)評(píng)估并不是需要根據(jù)賬面的價(jià)格進(jìn)行衡量而是以相對(duì)價(jià)值作為衡量的標(biāo)準(zhǔn),需要考慮到資產(chǎn)的成本價(jià)值,更應(yīng)該明確資產(chǎn)評(píng)估對(duì)組織業(yè)務(wù)發(fā)展的重要性。在實(shí)際的資產(chǎn)評(píng)估過(guò)程中,商業(yè)利益、信譽(yù)影響、系統(tǒng)安全、系統(tǒng)破壞等都會(huì)對(duì)資產(chǎn)賦值產(chǎn)生影響。
2.2 威脅分析技術(shù)分析
威脅是客觀存在的,可能會(huì)對(duì)組織或者資產(chǎn)構(gòu)成潛在的破壞,它可以通過(guò)途徑、動(dòng)機(jī)、資源和主體等多種途徑來(lái)實(shí)現(xiàn),威脅可以分為環(huán)境因素和人為因素。環(huán)境因素分為不可抗因素和物理因素,人為因素可以分為非惡意和惡意因素。威脅評(píng)估步驟如下:1)威脅識(shí)別過(guò)程,需要根據(jù)資產(chǎn)所處的實(shí)際環(huán)境,按照自身的實(shí)際經(jīng)驗(yàn)評(píng)估資產(chǎn)可能會(huì)面對(duì)的威脅,威脅的類型十分多樣化,包含篡改、泄密、物理攻擊、網(wǎng)絡(luò)攻擊、惡意代碼、管理問(wèn)題等。2)威脅評(píng)估,在威脅識(shí)別完成之后就需要對(duì)威脅發(fā)生的可能性進(jìn)行評(píng)估。威脅評(píng)估句式需要根據(jù)威脅的種類和來(lái)源形成一個(gè)類別,在列表中對(duì)威脅發(fā)生的可能性進(jìn)行定義,現(xiàn)將威脅的等級(jí)分為五級(jí),威脅等級(jí)越高,發(fā)生的可能性越大。表1為威脅賦值表格。
2.3 脆弱性識(shí)別技術(shù)分析
脆弱性識(shí)別包含管理和技術(shù)兩個(gè)層面,涉及到各個(gè)層面中的安全問(wèn)題,而漏洞掃描則是對(duì)主機(jī)和網(wǎng)絡(luò)設(shè)備等開展掃描檢查。針對(duì)需要保護(hù)的資產(chǎn)進(jìn)行脆弱性識(shí)別,找出所有威脅可以利用的脆弱性,再根據(jù)脆弱性的程度,及可能會(huì)被威脅利用的機(jī)會(huì)展開相應(yīng)的評(píng)估。對(duì)于漏洞掃描大都需要依賴掃描軟件,當(dāng)前市場(chǎng)上也出現(xiàn)了不少?gòu)?qiáng)大的掃描工具,可以掃描出絕大多數(shù)當(dāng)前已經(jīng)公開的絕大多數(shù)系統(tǒng)漏洞。可以使用Nessus客戶端對(duì)系統(tǒng)的漏洞情況進(jìn)行掃描,此種掃描工具包含了比較強(qiáng)大的安全漏洞數(shù)據(jù)庫(kù),可以對(duì)系統(tǒng)漏洞進(jìn)行高效、可靠安全的檢測(cè),在結(jié)束掃描之后,Nessus將會(huì)對(duì)收集到的信息和數(shù)據(jù)進(jìn)行分析,輸出信息。輸出的信息包含存在的漏洞情況,漏洞的詳細(xì)信息和處理漏洞的建立等。
2.4 風(fēng)險(xiǎn)分析和評(píng)估技術(shù)分析
信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中除了進(jìn)行資產(chǎn)評(píng)估、危險(xiǎn)評(píng)估和脆弱性識(shí)別之后需要對(duì)風(fēng)險(xiǎn)進(jìn)行相應(yīng)的計(jì)算。采用科學(xué)可行的工具和方法評(píng)估威脅發(fā)生的可能性,并根據(jù)資產(chǎn)的重要性評(píng)估安全事件發(fā)生之后所產(chǎn)生的影響,即安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)值的計(jì)算需要考慮到資產(chǎn)因素、脆弱性因素和威脅因素等,在進(jìn)行了定量和定性分析之后再計(jì)算最終的風(fēng)險(xiǎn)值。
風(fēng)險(xiǎn)值的計(jì)算公式為R=F(A.T.V)=F=(Ia,G(T,Va)),公式中風(fēng)險(xiǎn)值為R,安全風(fēng)險(xiǎn)計(jì)算函數(shù)為F,資產(chǎn)為A,脆弱性為V,威脅為T,資產(chǎn)的重要程度為Ia,資產(chǎn)的脆弱性程度為Va,脆弱性被威脅利用導(dǎo)致安全事故發(fā)生的可能性為L(zhǎng)。將公式中的各項(xiàng)指標(biāo)進(jìn)行模型化轉(zhuǎn)換,可以得到圖1。
2.4.1 評(píng)估要素量化方法
本文論述兩種量化評(píng)估要素的方法:1)權(quán)重法,根據(jù)評(píng)估要素中重要程度的不同設(shè)置不同的權(quán)限值,在經(jīng)過(guò)加權(quán)治療后得出最終的量化值。2)最高法,評(píng)估要素的量化值就是評(píng)估要素的最高等級(jí)值,公式為S=Max(Sj)
2.4.2 計(jì)算風(fēng)險(xiǎn)值的方法
根據(jù)計(jì)算風(fēng)險(xiǎn)值的模型,采用矩陣算法來(lái)計(jì)算風(fēng)險(xiǎn)值。分別計(jì)算風(fēng)險(xiǎn)事件的發(fā)生值、影響值和最終的風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)事件發(fā)生值=L(資產(chǎn)的脆弱性,威脅值)=L(V,T),風(fēng)險(xiǎn)事件影響值I=(Ia,Va)。
2.4.3 風(fēng)險(xiǎn)評(píng)估結(jié)果
在綜合分析完成之后的評(píng)估結(jié)果就是風(fēng)險(xiǎn)評(píng)估結(jié)果,這項(xiàng)結(jié)果將會(huì)成為風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)開展風(fēng)險(xiǎn)管理的主要依據(jù),風(fēng)險(xiǎn)評(píng)估結(jié)果包含:風(fēng)險(xiǎn)計(jì)算和風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)計(jì)算是對(duì)資產(chǎn)的重要程度及風(fēng)險(xiǎn)事件發(fā)生值等進(jìn)行判定;進(jìn)而得出判定結(jié)果;風(fēng)險(xiǎn)分析是總結(jié)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程,進(jìn)而得出殘余風(fēng)險(xiǎn)和系統(tǒng)的風(fēng)險(xiǎn)狀況。
3 結(jié)論
隨著互聯(lián)網(wǎng)技術(shù)的普及應(yīng)用,信息化管理已經(jīng)成功應(yīng)用到絕大部分企業(yè)管理中。但是隨之而來(lái)的是一系列的信息安全問(wèn)題,如果出現(xiàn)安全問(wèn)題將會(huì)給企業(yè)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失。信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)是對(duì)信息安全風(fēng)險(xiǎn)程度進(jìn)行分析計(jì)算的基礎(chǔ)上展開評(píng)估,為提高企業(yè)信息安全性奠定基礎(chǔ),提高企業(yè)信息安全管理水平。
關(guān)鍵詞:信息安全;風(fēng)險(xiǎn)評(píng)估;脆弱性;威脅
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007—9599 (2012) 14—0000—02
一、引言
隨著信息技術(shù)的飛速發(fā)展,關(guān)系國(guó)計(jì)民生的關(guān)鍵信息資源的規(guī)模越來(lái)越大,信息系統(tǒng)的復(fù)雜程度越來(lái)越高,保障信息資源、信息系統(tǒng)的安全是國(guó)民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全的目標(biāo)主要體現(xiàn)在機(jī)密性、完整性、可用性等方面。風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn),它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案的制定,以成本一效益平衡的原則,通過(guò)評(píng)估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性,并結(jié)合資產(chǎn)的重要程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的分析方法和手段,系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施,以防范和化解風(fēng)險(xiǎn),或者將殘余風(fēng)險(xiǎn)控制在可接受的水平,從而最大限度地保障網(wǎng)絡(luò)與信息安全。
二、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析
“網(wǎng)絡(luò)信息的安全”從狹義的字面上來(lái)講就是網(wǎng)絡(luò)上各種信息的安全,而從廣義的角度考慮,還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^(guò)程的安全。
網(wǎng)絡(luò)信息安全具有如下5個(gè)特征:1.保密性。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。2.完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。3.可用性。即能保證合法的用戶正常訪問(wèn)相關(guān)的信息。4.可控性。即信息的內(nèi)容及傳播過(guò)程能夠被有效地合法控制。5.可審查性。即信息的使用過(guò)程都有相關(guān)的記錄可供事后查詢核對(duì)。網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛,根據(jù)不同的分類方法可以有多種不同的分類。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題的復(fù)雜性。
而通過(guò)有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析,就能夠?yàn)榇藦?fù)雜問(wèn)題的解決找到一個(gè)考慮問(wèn)題的立足點(diǎn),能夠?qū)?fù)雜的問(wèn)題量化,同時(shí),也為能通過(guò)其他方法如人工智能網(wǎng)絡(luò)方法解決問(wèn)題提供依據(jù)和基礎(chǔ)。
網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類:1.自然界因素,如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等;2.社會(huì)因素,主要是人類社會(huì)的各種活動(dòng),如暴力、戰(zhàn)爭(zhēng)、盜竊等;3.網(wǎng)絡(luò)硬件的因素,如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響;4.軟件的因素,包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等;5.人為的因素,主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來(lái)的影響因素,如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等;6.其他因素,包括政府職能部門的監(jiān)管因素、有關(guān)部門對(duì)相關(guān)法律法規(guī)立法因素、教育部門對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。
三、安全風(fēng)險(xiǎn)評(píng)估方法
(一)定制個(gè)性化的評(píng)估方法
雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程,但在實(shí)踐過(guò)程中,不應(yīng)只是這些方法的套用和拷貝,而是以他們作為參考,根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力,進(jìn)行“基因”重組,定制個(gè)性化的評(píng)估方法,使得評(píng)估服務(wù)具有可裁剪性和靈活性。評(píng)估種類一般有整體評(píng)估、IT安全評(píng)估、滲透測(cè)試、邊界評(píng)估、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、脆弱性掃描、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等。
(二)安全整體框架的設(shè)計(jì)
風(fēng)險(xiǎn)評(píng)估的目的,不僅在于明確風(fēng)險(xiǎn),更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評(píng)估直接輸出,用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應(yīng)用較少。但是,企業(yè)至少應(yīng)該完成近期1~2年內(nèi)框架,這樣才能做到有律可依。
(三)多用戶決策評(píng)估
不同層面的用戶能看到不同的問(wèn)題,要全面了解風(fēng)險(xiǎn),必須進(jìn)行多用戶溝通評(píng)估。將評(píng)估過(guò)程作為多用戶“決策”過(guò)程,對(duì)于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng),具有極大的意義。事實(shí)證明,多用戶參與的效果非常明顯。多用戶“決策”評(píng)估,也需要一個(gè)具體的流程和方法。
(四)敏感性分析
由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián),使得風(fēng)險(xiǎn)越來(lái)越隱蔽。要提高評(píng)估效果,必須進(jìn)行深入關(guān)聯(lián)分析,比如對(duì)一個(gè)老漏洞,不是簡(jiǎn)單地分析它的影響和解決措施,而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞,找出病“根”,開出有效的“處方”。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫(kù)支撐,同時(shí)要求評(píng)估者具有敏銳的分析能力。
(五)集中化決策管理
安全風(fēng)險(xiǎn)評(píng)估需要具有多種知識(shí)和能力的人參與,對(duì)這些能力和知識(shí)的管理,有助于提高評(píng)估的效果。集中化決策管理,是評(píng)估項(xiàng)目成功的保障條件之一,它不僅是項(xiàng)目管理問(wèn)題,而且是知識(shí)、能力等“基因”的組合運(yùn)用。必須選用具有特殊技能的人,去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺(tái)審計(jì)和滲透性測(cè)試,由不具備攻防經(jīng)驗(yàn)和知識(shí)的人執(zhí)行,就達(dá)不到任何效果。
(六)評(píng)估結(jié)果管理
安全風(fēng)險(xiǎn)評(píng)估的輸出,不應(yīng)是文檔的堆砌,而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng),但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng),使用它來(lái)指導(dǎo)評(píng)估過(guò)程,管理評(píng)估結(jié)果,以便在管理層面提高評(píng)估效果。
四、風(fēng)險(xiǎn)評(píng)估的過(guò)程
(一)前期準(zhǔn)備階段
主要任務(wù)是明確評(píng)估目標(biāo),確定評(píng)估所涉及的業(yè)務(wù)范圍,簽署相關(guān)合同及協(xié)議,接收被評(píng)估對(duì)象已存在的相關(guān)資料。展開對(duì)被評(píng)估對(duì)象的調(diào)查研究工作。
(二)中期現(xiàn)場(chǎng)階段
編寫測(cè)評(píng)方案,準(zhǔn)備現(xiàn)場(chǎng)測(cè)試表、管理問(wèn)卷,展開現(xiàn)場(chǎng)階段的測(cè)試和調(diào)查研究階段。
(三)后期評(píng)估階段
撰寫系統(tǒng)測(cè)試報(bào)告。進(jìn)行補(bǔ)充調(diào)查研究,評(píng)估組依據(jù)系統(tǒng)測(cè)試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告。
五、風(fēng)險(xiǎn)評(píng)估的錯(cuò)誤理解
1.不能把最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告認(rèn)為是結(jié)果唯一。
2.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)所有的安全問(wèn)題。
3.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以一勞永逸的解決安全問(wèn)題。
4.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是漏洞掃描。
5.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是 IT部門的工作,與其它部門無(wú)關(guān)。
6.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估是對(duì)所有信息資產(chǎn)都進(jìn)行評(píng)估。
六、結(jié)語(yǔ)
總之,風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過(guò)風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分,是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求,但是,信息安全評(píng)估工作的實(shí)施也存在一定的難題,涉及信息安全評(píng)估的行業(yè)或系統(tǒng)各不相同,并不是所有的評(píng)估方法都適用于任何一個(gè)行業(yè),要選擇合適的評(píng)估方法,或開發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評(píng)估方法,是當(dāng)前很現(xiàn)實(shí)的問(wèn)題,也會(huì)成為下一步研究的重點(diǎn)。
參考文獻(xiàn):
[1]剛,吳昌倫.信息安全風(fēng)險(xiǎn)評(píng)估的策劃[J].信息技術(shù)與標(biāo)準(zhǔn)化,2004,09
[2]賈穎禾.信息安全風(fēng)險(xiǎn)評(píng)估[J].中國(guó)計(jì)算機(jī)用戶,2004,24
[3]楊潔.層次化的企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)分析方法研究[J].軟件導(dǎo)刊,2007,03
關(guān)鍵詞:網(wǎng)絡(luò)審計(jì) 歷史財(cái)務(wù)報(bào)表審計(jì) 信息安全管理 風(fēng)險(xiǎn)評(píng)估
一、引言
從審計(jì)的角度,風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無(wú)論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中,現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過(guò)程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心,通過(guò)對(duì)被審計(jì)單位及其環(huán)境的了解,評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域,從而確定審計(jì)的范圍和重點(diǎn),進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度,企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范,要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來(lái)控制風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)為企業(yè)帶來(lái)?yè)p失的概率或縮小損失程度來(lái)達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同,本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上,從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開,將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析,以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。
二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較
(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的第47號(hào)審計(jì)標(biāo)準(zhǔn)說(shuō)明中的審計(jì)風(fēng)險(xiǎn)模型,審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中,固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性;控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性;檢查風(fēng)險(xiǎn)是審計(jì)人員通過(guò)預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中,審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素,但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率,為企業(yè)的經(jīng)營(yíng)管理帶來(lái)很大的優(yōu)越性,但同時(shí)也為企業(yè)帶來(lái)了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過(guò)于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過(guò)程中去了,這些集中的數(shù)據(jù)庫(kù)技術(shù)無(wú)疑會(huì)增加數(shù)據(jù)縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求,非專業(yè)人員難以察覺(jué)計(jì)算機(jī)舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過(guò)批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng),或者說(shuō),企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn),例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口,使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無(wú)法正常開展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn),如計(jì)算機(jī)信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來(lái)影響等。相對(duì)應(yīng)地,網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn),即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn),它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)。控制風(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn),其中,系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn),財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn),審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn),人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。
(二)風(fēng)險(xiǎn)評(píng)估目的無(wú)論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中,風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序,貫穿于審計(jì)的整個(gè)過(guò)程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此,兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)――財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類,因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過(guò)程中與該兩類審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng),無(wú)論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同,企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同,因此,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面:物理層,即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過(guò)程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性,它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn),主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來(lái)存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過(guò)程中,審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然,這兩類風(fēng)險(xiǎn)并非完全分離的,評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來(lái)考慮。
(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容 廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同,因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的。總的來(lái)說(shuō),網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)
險(xiǎn)》,在歷史財(cái)務(wù)報(bào)表審計(jì)中,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn),審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類風(fēng)險(xiǎn),審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中,威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的,包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來(lái)說(shuō),脆弱點(diǎn)本身不會(huì)帶來(lái)?yè)p失或信息錯(cuò)報(bào),威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來(lái)成功地引起破壞。因此,我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面:(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn),并分析脆弱點(diǎn)的嚴(yán)重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度,判斷風(fēng)險(xiǎn)發(fā)生的可能性;(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性,評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來(lái)的影響;(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施,審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。
(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求,審計(jì)人員應(yīng)當(dāng)實(shí)施詢問(wèn)、分析程序、觀察和檢查等程序,以獲取被審計(jì)單位的信息,進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢問(wèn)程序時(shí),審計(jì)人員的詢問(wèn)對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問(wèn)及其他外部相關(guān)人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí),除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外,審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí),除執(zhí)行常規(guī)程序外,審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估,審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等;管理方面如風(fēng)險(xiǎn)問(wèn)卷調(diào)查、風(fēng)險(xiǎn)顧問(wèn)訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中,IDS取樣分析是指通過(guò)在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為,并對(duì)通信流量進(jìn)行分析;滲透測(cè)試是指在獲取用戶授權(quán)后,通過(guò)真實(shí)模擬黑客使用的工具、方法來(lái)進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法;工具掃描是指通過(guò)評(píng)估工具軟件或?qū)S冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息,包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見(jiàn)漏洞。風(fēng)險(xiǎn)問(wèn)卷調(diào)查與風(fēng)險(xiǎn)顧問(wèn)訪談要求審計(jì)人員分別采用問(wèn)卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況,使用時(shí)關(guān)鍵是要明確問(wèn)卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析,進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來(lái)的損失;文檔審核是一種事前評(píng)價(jià)方法,屬于前置軟件測(cè)試的一部分,主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià),審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。
三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較
(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。作為信息安全保障體系建立過(guò)程中的重要的評(píng)價(jià)方法和決策機(jī)制,信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度,在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來(lái)的損失的基礎(chǔ)上,提出有針對(duì)性的防護(hù)和整改措施,將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù),其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進(jìn)一步審計(jì)程序。因此,兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來(lái)看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響,它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn),包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中,審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見(jiàn),因此,風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同,信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng);他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過(guò)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言,受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢類,即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開來(lái)。
(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)國(guó)家標(biāo)準(zhǔn)中,它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開,并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過(guò)程是:(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)賦值;(2)對(duì)威脅進(jìn)行分析,并對(duì)威
脅發(fā)生的可能性賦值;(3)識(shí)別信息資產(chǎn)的脆弱性,并對(duì)弱點(diǎn)的嚴(yán)重程度賦值;(4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對(duì)組織的影響,即風(fēng)險(xiǎn)值。結(jié)合上文網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估五個(gè)方面的內(nèi)容可以看出,網(wǎng)絡(luò)審計(jì)和信息安全風(fēng)險(xiǎn)評(píng)估在內(nèi)容上有相近之處,即都需要針對(duì)信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點(diǎn)進(jìn)行識(shí)別。但是,信息安全管理作為企業(yè)的一項(xiàng)內(nèi)部管理,其風(fēng)險(xiǎn)評(píng)估工作需要從兩個(gè)層次展開:一是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其影響;二是提出防護(hù)或整改措施以控制風(fēng)險(xiǎn)。第一個(gè)層次的工作實(shí)質(zhì)上是為第二層次工作服務(wù)的,其重點(diǎn)在第二層次。《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)提出,企業(yè)在確定出風(fēng)險(xiǎn)水平后,應(yīng)對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧⑿纬娠L(fēng)險(xiǎn)處理計(jì)劃。其中,風(fēng)險(xiǎn)處理的方式包括回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn),而控制措施的選擇應(yīng)兼顧管理和技術(shù),考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估工作主要集中在第一個(gè)層次,即審計(jì)人員通過(guò)風(fēng)險(xiǎn)評(píng)估,為進(jìn)一步審計(jì)中做出合理的職業(yè)判斷、有效地實(shí)施網(wǎng)絡(luò)審計(jì)程序和實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)目標(biāo)提供重要基礎(chǔ)。因此,兩者的評(píng)估內(nèi)容是存在區(qū)別的。
隨著油田信息化高速發(fā)展,大批業(yè)務(wù)系統(tǒng)集中部署在數(shù)據(jù)中心,信息資產(chǎn)呈現(xiàn)高度集中趨勢(shì),給企業(yè)信息安全保障工作提出了新的要求。信息安全態(tài)勢(shì)日益嚴(yán)峻,黑客攻擊手段不斷翻新,利用“火焰”病毒、“紅色十月”病毒等實(shí)施的高級(jí)可持續(xù)攻擊活動(dòng)頻現(xiàn),對(duì)國(guó)家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。因此,及時(shí)掌握信息系統(tǒng)保護(hù)狀況,持續(xù)完善系統(tǒng)安全防護(hù)體系,對(duì)于保證信息資產(chǎn)的安全性和油田業(yè)務(wù)系統(tǒng)的連續(xù)性具有重要的現(xiàn)實(shí)意義。在信息安全領(lǐng)域中,安全評(píng)估是及時(shí)掌握信息系統(tǒng)安全狀況的有效手段。而其中的信息安全風(fēng)險(xiǎn)評(píng)估是是一種通用方法,是風(fēng)險(xiǎn)管理和控制的核心組成部分,是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提,也是信息系統(tǒng)等級(jí)測(cè)評(píng)的有效補(bǔ)充和完善。因此,研究建立具有油田公司特色的信息安全風(fēng)險(xiǎn)評(píng)估模型和方法,可以為企業(yè)科學(xué)高效地開展信息安全風(fēng)險(xiǎn)評(píng)估工作提供方法指導(dǎo)與技術(shù)保障,從而提高油田勘探開發(fā)、油氣生產(chǎn)和經(jīng)營(yíng)管理等數(shù)據(jù)資產(chǎn)的安全性,為油田公司信息業(yè)務(wù)支撐平臺(tái)的正常平穩(wěn)運(yùn)行保駕護(hù)航。
1風(fēng)險(xiǎn)評(píng)估研究現(xiàn)狀
從當(dāng)前的研究現(xiàn)狀來(lái)看,安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的相關(guān)研究成果主要集中在標(biāo)準(zhǔn)制定上。不同的安全評(píng)估標(biāo)準(zhǔn)包含不同的評(píng)估方法。迄今為止,業(yè)界比較認(rèn)可的風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)主要有國(guó)際標(biāo)準(zhǔn)ISO/IECTR13335IT安全管理、美國(guó)NIST標(biāo)準(zhǔn)SP800-30IT系統(tǒng)風(fēng)險(xiǎn)管理指南(2012年做了最新修訂)、澳大利亞-新西蘭標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理AS/NZS4360等。我國(guó)也根據(jù)國(guó)際上這些標(biāo)準(zhǔn)制定了我國(guó)的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T20984-2007信息安全技術(shù)風(fēng)險(xiǎn)評(píng)估規(guī)范以及GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南。
1.1IT安全管理ISO/IECTR13335
IT安全管理ISO/IECTR13335系列標(biāo)準(zhǔn)是最早的清晰描述安全風(fēng)險(xiǎn)評(píng)估理論及方法的國(guó)際標(biāo)準(zhǔn),其主要目的是給出如何有效地實(shí)施IT安全管理的建議和指導(dǎo),是當(dāng)前安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理方面最權(quán)威的標(biāo)準(zhǔn)之一。ISO/IECTR13335(以下簡(jiǎn)稱為IS013335)包括了五個(gè)部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素,重點(diǎn)描述了:資產(chǎn)、威脅、脆弱性、影響、風(fēng)險(xiǎn)、防護(hù)措施、殘留風(fēng)險(xiǎn)等與安全風(fēng)險(xiǎn)評(píng)估相關(guān)的要素。它強(qiáng)調(diào)風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理是IT安全管理過(guò)程的一部分,也是必不可少的一個(gè)關(guān)鍵過(guò)程。圖1表示資產(chǎn)怎樣潛在經(jīng)受若干威脅。[2]如圖1所示,某些安全防護(hù)措施在降低與多種威脅和/或多種脆弱性有關(guān)的風(fēng)險(xiǎn)方面可以是有效的。有時(shí),需要幾種安全防護(hù)措施使殘留風(fēng)險(xiǎn)降低到可接受的級(jí)別。某些情況中,當(dāng)認(rèn)為風(fēng)險(xiǎn)是可接受時(shí),即使存在威脅也不實(shí)施安全防護(hù)措施。在其他一些情況下,要是沒(méi)有已知的威脅利用脆弱性,可以存在這種脆弱性。圖2表示與風(fēng)險(xiǎn)管理有關(guān)的安全要素之間的關(guān)系。為清晰起見(jiàn),僅表示了主要的關(guān)系。任何二個(gè)方塊之間箭頭上的標(biāo)記描述了這些方塊之間的關(guān)系。第二部分管理和規(guī)劃IT安全(1997)主要提出了與IT安全管理和規(guī)劃有關(guān)的各種活動(dòng),以及組織中有關(guān)的角色和職責(zé)。[2]第三部分IT安全管理技術(shù)(1998)本部分介紹并推薦用于成功實(shí)施IT安全管理的技術(shù),重點(diǎn)介紹了風(fēng)險(xiǎn)分析的四種方法:基線方法、非正式方法、詳細(xì)風(fēng)險(xiǎn)分析和綜合方法。[2]第四部分安全防護(hù)措施的選擇(2000)為在考慮商業(yè)需求和安全要素的情況下選擇安全防護(hù)措施的指南。它描述了根據(jù)安全風(fēng)險(xiǎn)和要素及部門的典型環(huán)境,選擇安全防護(hù)措施的過(guò)程,并表明如何獲得合適的保護(hù),如何能被最基礎(chǔ)的安全應(yīng)用支持。[2]第五部分網(wǎng)絡(luò)的安全防護(hù)措施(2001)為關(guān)于網(wǎng)絡(luò)和通信方面的IT安全管理指南,這一指南提供了根據(jù)建立網(wǎng)絡(luò)安全需求來(lái)考慮的通信相關(guān)因素的識(shí)別和分析。[2]
1.2風(fēng)險(xiǎn)評(píng)估實(shí)施指南
SP800-30SP800-30(風(fēng)險(xiǎn)評(píng)估實(shí)施指南,2012年9月)是由NIST制定的與風(fēng)險(xiǎn)評(píng)估相關(guān)的標(biāo)準(zhǔn)之一,它對(duì)安全風(fēng)險(xiǎn)評(píng)估的流程及方法進(jìn)行了詳細(xì)的描述,提供了一套與三層風(fēng)險(xiǎn)管理框架結(jié)合的風(fēng)險(xiǎn)評(píng)估辦法,用于幫助企業(yè)更好地評(píng)價(jià)、管理與IT相關(guān)的業(yè)務(wù)面臨的風(fēng)險(xiǎn)。它包括對(duì)IT系統(tǒng)中風(fēng)險(xiǎn)評(píng)估模型的定義和實(shí)踐指南,提供用于選擇合適安全控制措施的信息。SP800-30:2012中的風(fēng)險(xiǎn)要素包括威脅、脆弱性、影響、可能性和先決條件。(1)威脅分析威脅源從利用脆弱性的動(dòng)機(jī)和方法、意外利用脆弱性的位置和方法等方面進(jìn)行分析。(2)脆弱性和先決條件考慮脆弱性時(shí)應(yīng)注意脆弱性不僅僅存在于信息系統(tǒng)中,也可能存在于組織管理架構(gòu),可能存在于外部關(guān)系、任務(wù)/業(yè)務(wù)過(guò)程、企業(yè)/信息安全體系架構(gòu)中。在分析影響或后果時(shí),應(yīng)描述威脅場(chǎng)景,即威脅源引起安全事件導(dǎo)致或帶來(lái)的損害。先決條件是組織、任務(wù)/業(yè)務(wù)過(guò)程、企業(yè)體系架構(gòu)、信息系統(tǒng)或運(yùn)行環(huán)境內(nèi)存在的狀況,威脅事件一旦發(fā)起,這種狀況會(huì)影響威脅事件導(dǎo)致負(fù)面影響的可能性。(3)可能性風(fēng)險(xiǎn)可能性是威脅事件發(fā)起可能性評(píng)價(jià)與威脅事件導(dǎo)致負(fù)面影響可能性評(píng)價(jià)的組合。(4)影響分析應(yīng)明確定義如何建立優(yōu)先級(jí)和價(jià)值,指導(dǎo)識(shí)別高價(jià)值資產(chǎn)和給單位利益相關(guān)者帶來(lái)的潛在負(fù)面影響。(5)風(fēng)險(xiǎn)模型標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系的通用模型。[3]
1.3風(fēng)險(xiǎn)評(píng)估規(guī)范
GB/T20984-2007GB/T20984-2007是我國(guó)的第一個(gè)重要的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型,并給出了風(fēng)險(xiǎn)分析過(guò)程,具體如圖3所示:風(fēng)險(xiǎn)分析中涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。首先識(shí)別出威脅、脆弱性和資產(chǎn),然后根據(jù)威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度分析得到安全事件發(fā)生的可能性,再根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值分析得到安全事件造成的損失,最后根據(jù)安全事件發(fā)生的可能性及造成的損失分析確定風(fēng)險(xiǎn)值。
2信息安全風(fēng)險(xiǎn)評(píng)估模型構(gòu)建
結(jié)合某油田企業(yè)實(shí)際情況,在參考上述標(biāo)準(zhǔn)及風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析的主要內(nèi)容為:a)識(shí)別資產(chǎn)并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值;b)識(shí)別威脅,并根據(jù)威脅出現(xiàn)的頻率給威脅賦值;c)識(shí)別脆弱性,并將具體資產(chǎn)的脆弱性賦為2個(gè)值,一個(gè)是脆弱性嚴(yán)重程度,一個(gè)是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導(dǎo)致的安全事件;e)分析確定出安全事件發(fā)生后帶來(lái)的影響不能被單位所接受的那些安全事件;可以接受的安全事件對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)確定為低;f)針對(duì)不可接受安全事件,分析相應(yīng)的威脅和脆弱性,并根據(jù)威脅以及脆弱性暴露程度,以及相關(guān)安全預(yù)防措施的效果計(jì)算安全事件發(fā)生的可能性;g)針對(duì)不可接受安全事件,根據(jù)相應(yīng)脆弱性嚴(yán)重程度及資產(chǎn)的價(jià)值,以及相應(yīng)預(yù)防措施的有效性計(jì)算安全事件造成的損失:的基礎(chǔ)上,總結(jié)形成油田企業(yè)風(fēng)險(xiǎn)要素關(guān)系模型如圖4所示,風(fēng)險(xiǎn)計(jì)算模型如圖5所示:h)根據(jù)不可接受安全事件發(fā)生的可能性以及安全事件發(fā)生后的損失,計(jì)算安全事件發(fā)生會(huì)對(duì)企業(yè)造成的影響,即風(fēng)險(xiǎn)值,并確定風(fēng)險(xiǎn)等級(jí)。
3模型創(chuàng)新點(diǎn)及優(yōu)勢(shì)分析
信息安全風(fēng)險(xiǎn)評(píng)估方式和方法很多,如何建立適合油田企業(yè)當(dāng)前安全需求的風(fēng)險(xiǎn)評(píng)估模型、評(píng)估要素賦值方法以及風(fēng)險(xiǎn)計(jì)算方法是本文要解決的技術(shù)難點(diǎn)和創(chuàng)新點(diǎn)。1)對(duì)于資產(chǎn)的賦值,從資產(chǎn)所支撐的業(yè)務(wù)出發(fā),結(jié)合信息系統(tǒng)安全保護(hù)等級(jí)及其構(gòu)成情況,提出了根據(jù)業(yè)務(wù)數(shù)據(jù)重要性等級(jí)和業(yè)務(wù)服務(wù)重要性等級(jí)確定資產(chǎn)的重要性,使得風(fēng)險(xiǎn)評(píng)估與業(yè)務(wù)及等級(jí)保護(hù)結(jié)合更加緊密。2)對(duì)于脆弱性賦值,將脆弱性細(xì)分為暴露程度及嚴(yán)重程度兩個(gè)權(quán)重。其中暴露程度與威脅賦值確定安全事件發(fā)生可能性,嚴(yán)重程度與資產(chǎn)價(jià)值確定安全事件造成的影響。3)將現(xiàn)有安全措施進(jìn)一步細(xì)化,分解為預(yù)防措施和恢復(fù)措施,并研究得到預(yù)防措施有效性會(huì)影響到安全事件發(fā)生可能性,而恢復(fù)措施有效性會(huì)影響到安全事件造成的損失。4)結(jié)合被評(píng)估單位的實(shí)際業(yè)務(wù)需求,提出了僅針對(duì)被評(píng)估單位的不可接受安全事件進(jìn)行數(shù)值計(jì)算,減少了計(jì)算工作量,有助于提升風(fēng)險(xiǎn)評(píng)估工作效率。5)根據(jù)油田企業(yè)實(shí)際需求,將安全事件發(fā)生可能性和安全事件造成的損失賦予不同的權(quán)重,從而使得風(fēng)險(xiǎn)計(jì)算結(jié)果中安全事件損失所占比重更大,更重視后果;并通過(guò)實(shí)例驗(yàn)證等方式歸納總結(jié)出二者權(quán)重比例分配。
險(xiǎn)評(píng)估模型應(yīng)用分析
4.1資產(chǎn)識(shí)別
資產(chǎn)識(shí)別主要通過(guò)現(xiàn)場(chǎng)訪談的方式了解風(fēng)險(xiǎn)評(píng)估范圍涉及到的數(shù)據(jù)、軟件、硬件、服務(wù)、人員和其他六類資產(chǎn)相關(guān)的業(yè)務(wù)處理的數(shù)據(jù)及提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況。4.1.1資產(chǎn)重要性分析資產(chǎn)重要性分析以信息系統(tǒng)的業(yè)務(wù)為出發(fā)點(diǎn),通過(guò)對(duì)業(yè)務(wù)處理的數(shù)據(jù)以及提供的服務(wù)重要性賦值的方法確定信息系統(tǒng)資產(chǎn)價(jià)值。業(yè)務(wù)處理的數(shù)據(jù)以及業(yè)務(wù)提供的服務(wù)的重要性分析及賦值方法具體如下。4.1.1.1業(yè)務(wù)數(shù)據(jù)重要性分析業(yè)務(wù)數(shù)據(jù)資產(chǎn)的重要性主要根據(jù)業(yè)務(wù)數(shù)據(jù)的安全屬性(即三性:保密性、完整性和可用性)被破壞對(duì)本單位造成的損失程度確定。油田企業(yè)各業(yè)務(wù)系統(tǒng)所處理的數(shù)據(jù)信息根據(jù)數(shù)據(jù)安全屬性被破壞后可能對(duì)油田企業(yè)造成的損失嚴(yán)重程度進(jìn)行賦值。一般賦值為1—5。4.1.1.2業(yè)務(wù)服務(wù)重要性分析服務(wù)資產(chǎn)的重要性根據(jù)其完整性和可用性被破壞對(duì)本單位造成的損失程度確定。通過(guò)與相關(guān)人員進(jìn)行訪談,調(diào)查了解每種業(yè)務(wù)提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況,根據(jù)服務(wù)安全屬性被破壞后可能對(duì)油田企業(yè)造成損失的嚴(yán)重程度,為各種業(yè)務(wù)服務(wù)重要性賦值。一般賦值為1—5。4.1.2資產(chǎn)賦值通過(guò)分析可以看出,六類資產(chǎn)中數(shù)據(jù)資產(chǎn)和業(yè)務(wù)服務(wù)資產(chǎn)的重要性是決定其他資產(chǎn)重要性的關(guān)鍵要素,因此,六類資產(chǎn)的賦值原則如下:1)數(shù)據(jù)資產(chǎn)重要性根據(jù)業(yè)務(wù)數(shù)據(jù)重要性賦值結(jié)果確定。2)服務(wù)資產(chǎn)重要性根據(jù)業(yè)務(wù)服務(wù)重要性賦值結(jié)果確定。3)軟件和硬件資產(chǎn)的重要性由其所處理的各類數(shù)據(jù)或所支撐的各種業(yè)務(wù)服務(wù)的重要性賦值結(jié)果中的較高者決定。4)人員的重要性根據(jù)其在信息系統(tǒng)中所承擔(dān)角色的可信度、能力等被破壞對(duì)本單位造成的損失程度確定。5)其他資產(chǎn)重要性根據(jù)其對(duì)油田企業(yè)的影響程度確定。
4.2威脅識(shí)別
4.2.1威脅分類對(duì)威脅進(jìn)行分類的方式有多種,針對(duì)環(huán)境因素和人為因素兩類威脅來(lái)源,可以根據(jù)其表現(xiàn)形式將威脅進(jìn)行分類[4]。本論文采用GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南中基于表現(xiàn)形式的威脅分類方法。4.2.2威脅賦值根據(jù)威脅出現(xiàn)的頻率確定威脅賦值,威脅賦值一般為1~5。對(duì)威脅出現(xiàn)頻率的判斷根據(jù)風(fēng)險(xiǎn)評(píng)估常規(guī)做法獲得,比如安全事件報(bào)告、IDS、IPS報(bào)告以及其他機(jī)構(gòu)的威脅頻率報(bào)告等。
4.3脆弱性識(shí)別
4.2.1脆弱性分類脆弱性識(shí)別所采用的方法主要有:問(wèn)卷調(diào)查、配置核查、文檔查閱、漏洞掃描、滲透性測(cè)試等。油田企業(yè)脆弱性識(shí)別依據(jù)包括:GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的三級(jí)要求以及石油行業(yè)相關(guān)要求。4.2.2脆弱性賦值原則脆弱性賦值時(shí)分為脆弱性暴露程度和脆弱性嚴(yán)重程度。暴露程度根據(jù)其被利用的技術(shù)實(shí)現(xiàn)難易程度、流行程度進(jìn)行賦值。對(duì)脆弱性的暴露程度給出如下5個(gè)等級(jí)的賦值原則:脆弱性的嚴(yán)重程度根據(jù)脆弱性被利用可能對(duì)資產(chǎn)造成的損害程度進(jìn)行賦值。脆弱性的嚴(yán)重程度分為5個(gè)等級(jí),賦值為1~5。
4.4現(xiàn)有安全措施識(shí)別
4.4.1現(xiàn)有安全措施識(shí)別方法信息系統(tǒng)環(huán)境中的現(xiàn)有安全措施根據(jù)其所起的安全作用分為預(yù)防措施和恢復(fù)措施。預(yù)防措施用于預(yù)防安全事件的發(fā)生(例如入侵檢測(cè)、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)防病毒等),可以降低安全事件發(fā)生的概率。因此針對(duì)每一個(gè)安全事件,分析現(xiàn)有預(yù)防措施是否能夠降低事件發(fā)生的概率,其降低發(fā)生概率的效果有多大。恢復(fù)措施可以在安全事件發(fā)生之后幫助盡快恢復(fù)系統(tǒng)正常運(yùn)行,可能降低安全事件的損失(例如應(yīng)急計(jì)劃、設(shè)備冗余、數(shù)據(jù)備份等),因此針對(duì)每一個(gè)安全事件,分析現(xiàn)有恢復(fù)措施是否能夠降低事件損失,其降低事件損失的效果有多大。4.4.2現(xiàn)有安全預(yù)防措施有效性賦值原則通過(guò)識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證,針對(duì)每一個(gè)安全事件,分析現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況,并對(duì)預(yù)防措施的有效性分別給出賦值結(jié)果。評(píng)估者通過(guò)分析安全預(yù)防措施的效果,對(duì)預(yù)防措施賦予有效性因子,有效性因子可以賦值為0.1~1。4.4.3現(xiàn)有安全恢復(fù)措施有效性賦值原則通過(guò)識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證,針對(duì)每一個(gè)安全事件,分析現(xiàn)有恢復(fù)性安全措施中可能降低事件損失的情況。評(píng)估者通過(guò)分析安全恢復(fù)措施的有效性作用,對(duì)安全恢復(fù)措施賦予有效性因子,有效性因子可以賦值為0.1~1。
4.5安全事件分析
4.5.1安全事件關(guān)聯(lián)綜合識(shí)別出的脆弱性及現(xiàn)有安全措施識(shí)別出的缺陷,結(jié)合油田企業(yè)信息系統(tǒng)面臨的各種威脅,將各資產(chǎn)的脆弱性與威脅相對(duì)應(yīng)形成安全事件。分析這些安全事件一旦發(fā)生會(huì)對(duì)國(guó)家、單位、部門及評(píng)估對(duì)象自身造成的影響,分析發(fā)生這些安全事件可能造成影響的嚴(yán)重程度,從中找出部門(或單位)對(duì)發(fā)生安全事件造成影響無(wú)法容忍的那些安全事件,即確定不可接受安全事件。4.5.2安全事件發(fā)生可能性分析(1)計(jì)算威脅利用脆弱性的可能性針對(duì)4.5.1中分析得出的不可接受安全事件,綜合威脅賦值結(jié)果及脆弱性的暴露程度賦值結(jié)果,計(jì)算威脅利用脆弱性導(dǎo)致不可接受安全事件的可能性,采用乘積形式表明其關(guān)系,即安全事件發(fā)生的可能性的初始結(jié)果計(jì)算公式如下:L1(T,V)1=T×V1其中,L1(T,V1)代表不可接受事件發(fā)生的可能性的初始結(jié)果;T代表威脅賦值結(jié)果;V1代表脆弱性的暴露程度賦值結(jié)果。(2)分析現(xiàn)有預(yù)防措施的效果通過(guò)對(duì)企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證,針對(duì)4.5.1分析得到的不可接受安全事件,分析描述現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況,并給出有效性因子賦值結(jié)果。(3)計(jì)算安全事件發(fā)生的可能性考慮到現(xiàn)有安全措施可能降低安全事件發(fā)生的可能性,因此安全事件發(fā)生的可能性的最終計(jì)算公式為:L2(T,V)1=L1(T,V1)×P1其中,L2(T,V1)為最終安全事件發(fā)生的可能性結(jié)果;L1(T,V1)為安全事件發(fā)生的可能性初始結(jié)果;P1代表安全預(yù)防措施有效性賦值結(jié)果。然后,形成調(diào)節(jié)后的安全事件可能性列表。4.5.3安全事件影響分析(1)計(jì)算脆弱性導(dǎo)致資產(chǎn)的損失將各資產(chǎn)的脆弱性(管理類脆弱性除外,管理類脆弱性采用定性方式進(jìn)行主觀分析)與威脅相對(duì)應(yīng)形成安全事件(4.5.1不可接受安全事件列表),根據(jù)資產(chǎn)的重要性及脆弱性的嚴(yán)重程度,計(jì)算脆弱性可能導(dǎo)致資產(chǎn)的損失,即:F1(A,V2)=A×V2其中,F(xiàn)1(A,V2)代表安全事件可能導(dǎo)致資產(chǎn)的損失的初始計(jì)算結(jié)果;A代表資產(chǎn)價(jià)值,即資產(chǎn)賦值結(jié)果;V2代表脆弱性嚴(yán)重程度,即脆弱性嚴(yán)重程度賦值結(jié)果。(2)分析現(xiàn)有安全恢復(fù)措施的有效性通過(guò)對(duì)油田企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證,針對(duì)4.5.1分析得到的不可接受安全事件,分析描述現(xiàn)有恢復(fù)措施中可能降低事件發(fā)生的概率的情況,并根據(jù)表9的賦值原則分別給出安全恢復(fù)措施的有效性賦值結(jié)果。(3)計(jì)算安全事件的損失考慮到恢復(fù)措施可能降低安全事件帶來(lái)的損失,因此安全事件損失可以根據(jù)安全恢復(fù)措施的有效性予以調(diào)整。采用乘積形式表明關(guān)系,即:F2(A,V2)=F1(A,V2)×P2其中,F(xiàn)2(A,V2)為安全事件可能造成的損失的最終計(jì)算結(jié)果;F1(A,V2)為安全事件可能造成損失的初始計(jì)算結(jié)果;P2代表安全恢復(fù)措施有效性賦值結(jié)果。然后,形成調(diào)節(jié)后的安全事件損失計(jì)算結(jié)果列表。
4.6綜合風(fēng)險(xiǎn)計(jì)算及分析
4.6.1計(jì)算風(fēng)險(xiǎn)值結(jié)合油田企業(yè)關(guān)注低可能性重性的安全事件的需求,參照美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估計(jì)算方法,采用安全事件發(fā)生的可能性以及安全事件可能帶來(lái)的損失的加權(quán)之和方式計(jì)算風(fēng)險(xiǎn)值。這種方法更加重視安全事件帶來(lái)的損失,使得損失在對(duì)風(fēng)險(xiǎn)值的貢獻(xiàn)中權(quán)重更大。在使用油田企業(yè)以往測(cè)評(píng)結(jié)果試用的基礎(chǔ)上,將安全事件可能帶來(lái)的損失的權(quán)重定為80%。具體計(jì)算公式為:R(L2,F(xiàn))2=L2(T,V)1×20%+F2(A,V)2×80%其中,R(L2,F(xiàn)2)代表風(fēng)險(xiǎn)值,L2(T,V1)為安全事件發(fā)生可能性的最終結(jié)果,F(xiàn)2(A,V2)為安全事件可能造成的損失的最終計(jì)算結(jié)果。4.6.2風(fēng)險(xiǎn)結(jié)果判斷計(jì)算出風(fēng)險(xiǎn)值后,應(yīng)對(duì)風(fēng)險(xiǎn)值進(jìn)行分級(jí)處理,將風(fēng)險(xiǎn)級(jí)別劃分為五級(jí)。4.6.3綜合分析根據(jù)風(fēng)險(xiǎn)計(jì)算結(jié)果,從多個(gè)不同方面綜合匯總分析被評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況。例如可從以下幾方面匯總分析:1)風(fēng)險(xiǎn)較高的資產(chǎn)統(tǒng)計(jì):匯總存在多個(gè)脆弱性可能導(dǎo)致多個(gè)中等以上風(fēng)險(xiǎn)等級(jí)安全事件發(fā)生的資產(chǎn),從資產(chǎn)角度綜合分析被評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況;2)引起較高風(fēng)險(xiǎn)的脆弱性統(tǒng)計(jì):匯總會(huì)給被評(píng)估信息系統(tǒng)帶來(lái)中等以上安全風(fēng)險(xiǎn)的脆弱性及其影響的資產(chǎn)及嚴(yán)重程度,分析可能帶來(lái)的危害后果;3)出現(xiàn)頻率較高的脆弱性統(tǒng)計(jì):匯總中等以上脆弱性在資產(chǎn)中的出現(xiàn)頻率,從而反映脆弱性在被評(píng)估系統(tǒng)中的普遍程度,出現(xiàn)頻率越高,整改獲取的收益越好。4)按層面劃分的風(fēng)險(xiǎn)點(diǎn)分布情況匯總:匯總網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、物理、管理等各層面存在的脆弱性及其嚴(yán)重程度,對(duì)比分析風(fēng)險(xiǎn)在不同層面的分布情況。
5結(jié)語(yǔ)
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級(jí)期刊
國(guó)家發(fā)展和改革委員會(huì)稀土辦公室主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級(jí)期刊
自然資源部主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 省級(jí)期刊
江蘇省科學(xué)技術(shù)協(xié)會(huì)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 省級(jí)期刊
國(guó)防科技大學(xué)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級(jí)期刊
國(guó)家發(fā)展和改革委員會(huì)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 省級(jí)期刊
重慶西南信息有限公司主辦
