馮翀
摘 要
對于信息系統(tǒng)正常運行而言,信息安全風險評估是有效方式之一。本文在分析涉密信息系統(tǒng)風險評估基本內(nèi)容的基礎上,對于具體的風險評估過程進行闡述,希望可以確保涉密信息系統(tǒng)的信息安全。
【關鍵詞】涉密信息系統(tǒng) 信息安全 風險評估
針對涉密信息系統(tǒng)來說,安全風險評估必須得到足夠的重視。利用風險評估,就可以分析其現(xiàn)狀,這樣就可以明確系統(tǒng)安全的基本需求;也可以確定主要面臨的安全風險,從而幫助相應的機構制定處置措施,指導安全技術體系以及管理體系建設,這樣才可以制定相對應的安全策略與解決方法,確保信息系統(tǒng)安全技術體系得以建立。
1 涉密信息系統(tǒng)風險評估
針對涉密信息系統(tǒng)開展風險評估工作時,其內(nèi)容主要涉及三部分,即自我評估、檢查評估以及委托評估三個主要的方面。就一般性保密管理層來說,進行委托評估還無法滿足其最基本的要求。因此,在涉密信息系統(tǒng)風險的評估分析的過程中主要是按照國家標準,由能自主開展日常評估工作的涉密信息系統(tǒng)人員進行評估,但是信息系統(tǒng)本身的脆弱性、資產(chǎn)的鑒定以及對威脅的評估,都需要通過資產(chǎn)被威脅利用的實際受損度以及可能存在的安全事件來計算其風險等級。
2 涉密信息系統(tǒng)信息安全風險評估實踐
2.1 前期準備
針對涉密信息系統(tǒng)開展風險評估的前期準備工作能為評估的全過程提供安全性保障,具體包括風險評估目標以及范疇的制定,成立專業(yè)化的管理團隊,以及評估方式等。通過上述一系列的制定之后,還需要獲取最高級別人員的支持,最后簽訂相對應的保密協(xié)議。當目標階段以及評估范疇確定之后,相關的評估人員需要按照規(guī)范標準以及分級保護指南,同時和涉密信息系統(tǒng)的負責人進行彼此之間的溝通與協(xié)商,這樣才可以確定評估范圍。在風險范疇劃分之后,還需要針對評估系統(tǒng)對象的實際特點,將評估目標進一步落實。
2.2 實踐調(diào)研
在涉密信息系統(tǒng)信息安全風險評估的實踐調(diào)研環(huán)節(jié),評估風險主要是從涉密信息系統(tǒng)里獲取主要信息、組織及其脆弱性、安全管理等狀況,為接下來開展分析工作、制定管理規(guī)劃等打下堅實的基礎。在該環(huán)節(jié),最核心的工作室人員、資產(chǎn)以及安全威脅三個方面的調(diào)查,當然,也離不開安全技術和需求兩個方面的安全性分析。而通過搜集文檔、進行問卷調(diào)查、掃描并分析漏洞等手段就能識別關于涉密信息系統(tǒng)信息安全的關鍵數(shù)據(jù),并確定風險評估的綜合化目標。在資產(chǎn)的識別過程中,考慮到資產(chǎn)的信息和價值化資源,再加上其本身的保護性質(zhì),所以,利用不同形式資產(chǎn)的識別也可以將資產(chǎn)進一步的細化,如有形資產(chǎn)、無形資產(chǎn)、軟硬件、文檔、代碼和形象服務等。當然,資產(chǎn)的識別,不但要對成本價格問題加以分析,還應對業(yè)務的重要性、安全性進行合理的考量,然后按照可用性、完整性以及機密性來對資產(chǎn)價值加以識別。在識別安全的具體環(huán)節(jié)之中,還需要考慮到不同等級的可用性、完整性以及機密性要求,這樣就可以通過計算加權賦值的方式,將最終的資產(chǎn)價值結果識別出來。
在威脅識別階段,首先就應該明顯潛在威脅出現(xiàn)的起因,然后對具體的破壞因素做好科學的識別與處理,其中主要包含了人為因素、威脅因素、蓄意或者是偶發(fā)事件、直接或者是間接攻擊信息等因素的識別。在搜集威脅方面存在的因素時,就可以利用現(xiàn)場的調(diào)查、問卷分析以及訪談訪問等諸多形式進行。另外,與系統(tǒng)服務功能相互結合也可以進一步明確可能存在的不良威脅。其脆弱性主要是薄弱的、對資產(chǎn)可能產(chǎn)生威脅的可不靠環(huán)節(jié),所以,對于脆弱性的識別,也可以將其看成為弱點的識別。實際上,每一種資產(chǎn),其本身都存在弱點,只要沒有針對性的威脅出現(xiàn),其資產(chǎn)就不會受到威脅,但是如果擁有足夠強健的涉密信息系統(tǒng),那么無論威脅多種,都不可能出現(xiàn)不安全的事件,也不會引發(fā)不必要的威脅。所以,只有資產(chǎn)存在的弱點,才有可能將資產(chǎn)危害事件引導出現(xiàn)。當然,資產(chǎn)弱點實際上是相當隱蔽的,其脆弱性只會出現(xiàn)在固定的環(huán)境。如果針對涉密信息系統(tǒng)的信息實施了不正確的、不可靠的安全措施,安全措施就無法發(fā)揮出應有的功效,這本身就會演變成弱點,因而識別脆弱性的方法務必要科學、合理,需要認真的核查每一項資產(chǎn),這樣才能夠?qū)⒋嗳跣苑矫娴囊蛩卣页鰜?,同時也可以對其等級和嚴重性進行合理的評估。在具體的操作中,通過脆弱性數(shù)據(jù)的識別可以源自資產(chǎn)的所有者、涉密信息系統(tǒng)的專業(yè)軟件人員或業(yè)務專家等,然后利用人工的核查、問卷調(diào)查、滲透性的測試、工具檢測等方法就能夠有效識別脆弱性。
對于確認安全措施,需針對各類安全管理措施做好預防處理工作,以免發(fā)生重復實施的現(xiàn)象,從而及時剔除其中不足或者是不恰當?shù)拇胧?,然后利用更為高匹配度的措施來將其替代。安全措施涵蓋兩個部門,主要是保護和預防。保護要求的是通過安全事件幾率的降低,來確保信息的安全,不會受到任何不利因素的影響,比如說持續(xù)性的業(yè)務計劃等;而預防則是考慮到威脅與脆弱性等一系列的因素來降低發(fā)生安全事件的幾率,如入侵檢測。通過一定的安全措施,就可以控制好涉密信息系統(tǒng)本身的脆弱性,從而確認無需在每一項資產(chǎn)、組件的薄弱環(huán)節(jié)都實施安全措施。
2.3 風險的全面分析與處置
在分析涉密信息系統(tǒng)信息安全風險的環(huán)節(jié),其中對發(fā)生安全事件的可能程度進行分析是最關鍵的,以及在發(fā)生安全事件之后計算其帶來的損失、具體的風險值。在計算風險值時,可選用相乘法或矩陣法;在處理風險時,要明確實際的安全策略,其中也包含了風險的規(guī)避、接受以及降低等多個方面。此外,按照涉密信息系統(tǒng)的特征來對風險處置的內(nèi)容加以明確,并把它細分成兩個部分,即建議、實施。在實踐環(huán)節(jié),對兩個方面進行綜合的考慮,或者是針對實際要求,對于某一層面的處理進行單獨的分析與實施。
3 結語
涉密信息系統(tǒng)的安全是涉密信息系統(tǒng)效能得以發(fā)揮的重要前提。風險評估本身屬于一種系統(tǒng)化、有效的手段,可以對信息系統(tǒng)中現(xiàn)有的分及格線進行有效的識別,從而制定合理的處置手段。
參考文獻
[1]陳頌,王光偉,劉欣宇,杜娟.信息系統(tǒng)安全風險評估研究[J].通信技術,2012(01):128-130.
[2]朱信銘.信息安全風險評估風險分析方法淺談[J].信息安全與技術,2010(08):87-89.
作者單位
河南思軟電子科技有限公司 河南省鄭州市 450000