认识存在的风险
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。
但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。
根据信息产业部披露的数字,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的。其技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。
可见,对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。
目前,国内众多部门和行业都开始投入精力进行风险评估或者风险评估规范的制订。据悉,信息产业部、公安部等都推出了各自的风险评估规范,而电信、金融等行业则已经开始进行风险评估工作,将评估推向了实践。
专家指出,风险评估的意义在于对风险的认识,而风险的处理过程,可以在考虑了管理成本后,选择适合企业自身的控制方法,对同类的风险因素采用相同的基线控制,这样有助于在保证效果的前提下降低风险评估的成本。
标准决定过程
Gartner的风险评估报告指出,未来企业信息化的发展关键在于:关键资产数字化、高速无线网络、网络空间获取、生物访问控制、复杂应用系统、分布系统网络互联、全球化生产等方面。为此,Gartner建议企业的信息安全风险评估,重点在于如何评估复杂的分布式系统和如何保障复杂应用系统的安全两个方面。
从国内的实际情况看,复杂应用系统已经初步呈现,许多企业的核心业务系统安全性较弱,且网络建设与安全建设不协调,已经给企业用户带来了极大的挑战。针对这些挑战,主流安全厂商提出了动态安全评估标准。
此标准针对现有安全需求进行评估和分析,定义安全策略,建立安全框架,实施安全方案,得出合规性报告,确定目前的安全基线,并随着业务的发展,进行周期性的再评估,保障信息系统的安全。
针对风险评估的工程实现,SSE-CMM、OCTAVE等标准和方法对评估过程给予了较好的指导。常规的风险评估方法包括以下阶段:项目准备阶段、项目执行阶段、项目维护阶段。
为保障评估的规范性、一致性,降低人工成本,目前国内外普遍开发了一系列的评估工具。其中,网络评估工具主要有Nessus、Retina、天镜、ISS 等漏洞扫描工具,依托这些网络扫描工具,可以对网络设备、主机进行漏洞扫描,给出技术层面存在的安全漏洞、等级和解决方案建议。
管理评估工具主要有以BS7799-1(ISO/IEC 17799)为基础的COBRA、天清等,借助管理评估工具,结合问卷式调查访谈,可以给出不同安全管理域在安全管理方面存在的脆弱性和各领域的安全等级,给出基于标准的策略建议。
六大评估方法
定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架,至少应该明确。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
集中化决策管理
安全风险评估需要具有多种知识和能力的人参与,对这些能力和知识的管理,有助于提高评估的效果。集中化决策管理,是评估项目成功的保障条件之一,它不仅是项目管理问题,而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执行,就达不到任何效果。
评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
相关链接:国际主流风险评估标准
关于风险评估理论标准,国际上较为认可的有ISO/IEC 13335IT安全管理指南、AS/NZS 4360风险管理标准、BS7799-1(ISO/IEC 17799)基于风险管理的信息安全管理体系等几种,他们均对风险评估给予了明确的定义和指导。
与风险评估相关的标准还有NIST SP800,其中,NIST SP800-53/60描述了信息系统与安全目标及风险级别对应指南,NIST SP800-26/30分别描述了自评估指南和风险管理指南。
另外,COBIT、ITIL等逐渐引起人们的关注。目前业内使用的评估方法,基本是由这几类标准演化而来。