关键词:信息安全;风险评估;效用评估
对于保险企业来说,客户信息等同于“货币”。对于投保人而言,买保险本身就是为了规避风险,而如果因为保险公司信息不安全,造成投保人风险的扩大,势必会影响投保人的投保意愿,同时也将影响到保险公司的信誉和可靠度,这必将极大地制约保险公司的发展。因而研究保险行业信息安全风险管理有很强的理论意义和现实意义。
一、现状分析
目前保险行业信息安全风险管理主要存在以下问题:
(一)人员设备资金等投入不足
全行业特别是各保险公司的高层人员对新时期的保险信息安全的认识不充分,重视程度不高,很多保险公司缺乏完善的信息安全规划,对信息安全的投入严重不足,导致安全防护措施和应急灾难备份和恢复设施严重滞后于信息系统的开发建设,同时,人员投入不足,技术储备和信息安全事件研判能力十分有限。保险业信息安全的抗攻击、防渗透能力较弱,很难抵御有组织,有预谋的技术攻击。
(二)缺乏完善的系统机制
俗话说“三分技术,七分管理”,但目前很多管理者只重视风险控制的技术问题。通过最近几年安全事件的调查研究,发现很多企业大都采用“灭火式”的处理方式,只是就事论事的解决出现的风险事件,而没有从流程、技术、人员三个层次进行信息安全管理的协调重视,没有制定一套可操作性强的、有效的应急措施。
(三)监管制度不完善
信息安全等级保护是行业监管的基本指引。2007年底,保险行业信息系统定级工作基本完成,等级保护工作在保险行业持续展开。但是等级保护本身仍旧存在很多问题。
(1)等级保护没有关注企业能力差别。大多数保险机构都被定在第一二级,没有很好的区分强弱企业。
(2)等级保护的评估数据存在盲信息。比如,相关人员通过问卷调查来采集评估数据,被访谈人员在填写调查问卷时会出现“报喜不报忧”的情况,这就在评估数据中引入了“盲信息”。另外,由于评估专家自身经验、情绪、心情等因素的影响,等级划分和量化评估得分结果容易失去客观性,造成评估过程出现盲信息。
二、改进措施和意见
针对于保险行业信息安全现状的不足之处,可以从四个方面提出改进措施。①加强管理者信息安全教育,提高管理者风险管理意识,明晰信息安全建设对企业发展的重要意义。②完善专家信息库和知识库,培养有风险管理经验的高素质人才,建立信息安全风险评估系统。③加强保险行业间、保险业与IT行业跨行业合作,共同建立安全保障策略,④加强制度建设,完善信息安全监管,从根源上杜绝信息安全漏洞的产生。本文主要就以下两点做出详细说明。
(一)建立公司的风险管理体系
信息安全风险管理应该是一个具有自我反馈和自我调节的反馈控制系统,主要包括以下四个环节:风险评估、风险控制、运行监控、应急恢复。
1.风险评估
信息安全风险管理的重点和难点是进行合适恰当的风险评估。风险评估主要包括以下步骤:
(1)资产评估。明确信息资产评估范围,并对资产进行分类,定量资产价值评估。利用CIA公式进行计算:
,(α+β+γ=1)
其中,S表示资产安全价值,C表示保密性赋值,I表示完整性赋值,A表示可用性赋值。αβγ分别为保密性、完整性、可用性权重。
(2)威胁和脆弱性评估。列出详细的威胁因素和可能被利用的薄弱环节,以及二者可以导致的威胁、威胁会影响的资产或资产群、造成对资产和业务的损害以及对威胁发生的可能性进行的判定。
(3)识别现有措施。检查现有措施是否适用,是否能发挥应有的作用,同时,应该评估现有措施是否能够满足资产、威胁和脆弱性评估出的风险需求,以避免重复实施控制措施。
(4)利用VaR模型估计风险损失值。选择ClaytonCopula函数来描述威胁性与脆弱性变量之间的关系
,其中
参数 可通过Kendall秩相关系数得到:
假设A表示信息资产价值;x表示信息资产脆弱损失率;y表示信息资产威胁损失率。依据VaR理论和Copula模型,设定信息系统风险评价模型为:
其中, 分别代表脆弱性、威胁性的权重, 是置信水平 下的风险损失值。
2.风险策略和安全措施
根据风险评估阶段中得到的资产风险评价结果,确定风险管理策略是采用自留、规避、转移还是接受风险,并对不可接受的风险采取相应的安全措施。制定合乎公司目前发展状况的风险控制政策,确定详细的风险控制计划,完善风险控制审批制度,切实实施风险控制措施。
3.运行监控
此阶段主要关注的问题有:①建立覆盖全公司的运行监控系统,全面收集来自网络、系统、应用等的访问管理信息处理等安全日志。②建立风险事件知识库和专家信息知识库,对各种风险事件信息进行集中分析,加强信息安全高素质人员的培养和储备,最终提高全公司信息安全监控服务的水平。
4.应急恢复
此阶段应重点关注以下问题:明确相关部门的职责,建立应急响应机制,提高信息安全保障能力;制定应急预案及应急计划,最大限度地减少风险事件造成的损失;制定信息安全重大事故应急预案和措施,保证应急恢复措施的有效性和真实性;根据信息资产的分类和重要程度,制定不同的灾难备份恢复目标。
(二)量化确定专家评估效用
如上文所述,等级保护制度中专家评估阶段存在很多的主观因素,造成专家评估中存在许多盲信息,专家评估的效用也不明确。关于量化专家评分中的盲信息,可以由盲信息本身的可信度来衡量,这里不再赘述。本文主要研究专家评估效度的量化确定。
专家评估效度的量化确定,可以根据专家评分向量的相似度和差异性比较得到。一般来说,相似度越高,差异性越小,表明评估效度越高。具体方法如下:
1.相似度的确定
把n位专家给出的评分转换为n个行向量: , ,…, , ,…,λn;i,j=1,2,…,n。定义专家评价的相似度为:
其中
; ;
表示专家I与专家j评判向量相关系数的绝对值。 越大,则两个专家评判结果相似度越高,反之越低。
2.差异度的确定
专家评判差异度可以用专家评分向量的Euclidean距离确定。
定义专家间评判的差异度为
其中 表示两个评分向量间的欧式距离。
第i位专家与其他专家评判的总差异为:
将差异度进行归一化表示:
可用来反映第i位专家的评判与其他专家评判的差异度, 越大,差异度越大, 的可信度越低。
根据相似度与差异度的比较来量化处理等级评定中专家评判的效用,可降低专家主观评估带来的误差,为后续风险管理提供了依据。
参考文献:
[1]符伟.基于模糊影响图的信息安全风险评估研究[D].国防科技大学.2011.11
【 关键词 】 企业信息;信息安全;风险管理;框架探究
1 引言
人类社会在不断发展,信息化逐渐融入人们生活。信息资源对于现代企业来讲,是每时每刻都存在的运转载体,各种重要数据、企业的知识产权等这些都是企业的内部信息,除这些信息外,其他相关方面的数据也被企业所利用,例如合作伙伴、客户、员工等资料,尤其是一些服务性企业,比如网商、快递公司、金融公司、通信公司、航空公司等,这些企业更需要以信息系统作为支撑,信息资源成为企业不可或缺的重要组成部分。
2 新形势下我国信息安全面临的问题
2.1 风险意识在主观上的淡薄
在我国信息安全上面,思想认识面临高风险的形势,大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面,没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,规范安全风险和安全法律法规对员工的培训缺乏,很多信息安全事故的发生都是因为安全意识的薄弱造成的。
2.2 缺乏信息安全管理系统的思想
大部分企业仍是将传统的管理方法用在安全管理模式中,这种出现问题再去想弥补的方法是静态的管理,不能在提前进行信息安全风险评估上做更有效的信息系统管理。
2.3 信息安全不仅仅是技术部门的事
多数企业认为信息安全的责任和义务都是IT部门的,造成信息技术部门无法和企业内部其他部门互动,进而形成孤立的局面。但是,信息安全的实现需要各个部门的全员行动,特别是规范标准以及规章制度的贯彻落实,更牵涉到企业的每一名员工,全员行动的要求更是不能缺少。
2.4 存在重视安全技术而轻视安全管理的情况
现今为止,仍有很多企业仅仅依赖产品安全,认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统,但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作,不能单从技术方面着手。
2.5 现代管理手段与理论欠缺
日益庞大的现代化信息规模与越来越复杂的网络结构,让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足,企业应该结合实际情况和需要,把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导,以此达到信息安全的目的。
3 企业信息安全风险管理的框架探究
企业信息安全风险管理的框架包括两个部分,一是企业信息安全风险管理的过程,二是企业信息安全风险管理的实施。其中,实施是过程的保障,整合各种资源要通过实施才能达到;过程是实施的前提,对过程的清楚有利于建立企业信息安全风险管理的统一理解,以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。
信息安全风险管理是动态、持续性过程,信息安全通过潜在的风险识别、分析,同时进行计划、实施、监督、改善,然后再进入到下一个循环里,通过持续不断的循环活动进行有计划、持续的控制,不断改进。
参照戴明的PDCA质量管理模式,把安全项目实施划分为四个阶段,分别是准备和策划、执行和部署、监控和检查、评价和改进,实施阶段有几个工作步骤:(1)准备和策划工作阶段,首先调研信息安全风险管理现状,接着进行风险评估,然后编制信息安全风险管理方案;(2)执行和部署工作阶段,进行部署安排,按计划执行,接着进行安全培训;(3)监控和检查工作阶段,做好企业安全现状检查,预测未来的变化;(4)评价和改进工作阶段,制定改善措施,响应紧急事件。
4 企业信息安全风险管理的实施
在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素,企业的信息安全风险管理能力同时也受着这四个因素制约,所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。
企业在开始尝试安全风险管理实施之前,很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略,就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导,将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟,则可以采取试点的形式,把安全风险管理实施到单个业务单元中,直到通过试运行在框架中显示有效以后,再考虑将其他业务单元导入至整个企业框架中。
框架实践需要以最优实践的经验为基准,必须有利于企业确定安全现状,同时按照需要的安全方向进行改进,企业的安全风险管理能力通过不断的提高,就能逐渐努力向着安全的目标前进。
5 结束语
进入信息化时代,企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下,企业建立信息安全风险管理机制,利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程,在风险评估的前提下,要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督,这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里,但愿本文能引来更多这一领域探究,从而做出保障企业信息安全的贡献。
参考文献
[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究,2014,34(2):36-55.
[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012,08(11):81-85.
关键词:信息安全;风险管理;信息安全风险管理框架
中图分类号:G203 文献标识码:A 文章编号:1001-828X(2012)02-00-01
一、引言
20世纪90年代以来,计算机技术以及网络技术的发展把人类带入了信息时代,信息技术被广泛应用到各个领域,给人类社会的发展带来巨大的生产力,信息技术正逐步改变着人类的生产方式和生活方式,社会的发展对信息资源的依赖程序越来越高。然而由于环境的开放性以及信息系统自身的缺陷等因素,导致信息面临着巨大的安全隐患。如何保护信息安全逐步成为人们关注的焦点。
信息安全的解决不仅要要依靠技术,更应当加强安全方面的管理。只有建立有效的信息安全管理体系,对信息安全进行正确的分析评估,制定出相应的策略并实施控制,才能保证信息系统和信息资源的安全。
二、信息安全风险管理的一般过程概况
至目前为止,信息安全风险管理没有通用的管理方法、管理模式。不同的标准有着各自的风险评估方法和管理流程,下面文章分析了一些主要的标准的风险管理方法。
1.英国的BS7799,英国标准协会(BSI)颁布《信息安全管理实施细则》,形成了BS7799的基础。之后经过改版成为国际标准。BS7799提供了一个对组织有效进行信息安全风险管理的公共基础,体现了信息安全的“三分技术,七分管理”的原则。
2.AS/NZS4360:1999《风险管理指南》是澳大利亚和新西兰两个国家联合开发的风险管理标准,第一版于1995年,是在全世界内制定最早、影响最大、并且被国际标准组织(ISO)的国家性风险管理标准。
3.NIST SP800-30风险管理标准,是美国国家技术标准局(NIST)于2002年的信息技术风险管理指南,风险管理包括三个过程:风险评估、风险缓解、再评价及评估。
此外,有关风险管理和风险评估的理论和方法有许多,比如微软的The Security Risk Management Guide(《信息安全管理指南》),美国卡耐基・梅隆大学开发的风险评估方法OCTIVE,系统安全工程能力成熟度模型SSE-CMM(System Security Engineering Capability Maturity Model)等。还有许多企业或个人参考标准开发的一些风险评估工具等。
三、一种综合的风险管理框架
近年来,许多学者指出需要建立一种综合的信息安全风险管理的方法以减少传统的风险管理方法的一些不足。文章提出一个综合的信息安全风险管理的框架,如图1所示。
框架将风险管理分为四个方面,四个角度,涵盖了风险管理风险评估的所有的内容。
框架的第一部分是标准规范,这是进行风险评估的指导性文件。
第二部分是工具技术,包括数学的模型、统计学的方法、相关的工具以及开发的计算机软件,还有操作中的某些经验等。
第三部分是过程步骤,这是一个动态的角度来分析风险管理。将把信息安全风险管理分为风险规划、风险识别、风险评估、风险决策、风险实施、风险评价等六个阶段。
第四部分是风险管理的对象,企业组织中的人员、资产(主要指物理设备)和资产赖以存在的环境构成了实体层,企业的信息安全既要依靠技术,更要注重管理,管理则主要体现于策略中。而最终的目标都是保证企业的核心业务能正常运转,不会受到信息安全风险的影响。各层内部之间也存在着相互关系。在实体层如人力管理、人员培训,对资产的管理需要分类分级别进行、要落实到人,资产设备的安全则有赖于周围的环境,比如安全边界的划分,电力、温度湿度的保障等。而这些都含有策略因素。此外,环境包括硬环境和软环境,软环境的因素也部分影响着策略的选择,如相关的法律法规、相关的知识产权、个人隐私权等也会影响组织的策略,组织在制定策略时不能与之冲突。在管理层,策略与技术是相互补充的,一些策略的实现离不开技术,比如不同层次的人员具有不同的访问控制权限,信息安全的保障也需要信息技术本身。技术本身也需要一定的管理。在目标层,保持核心业务的连续性,不受干扰是组织的目标。因此需要不断地进行风险管理和风险评估。
四、总结
信息安全对组织的重要性是不言而喻的,对信息安全管理不仅是技术层面的问题,更是管理层面的事件。本文给出的信息安全风险管理综合框架涵盖了风险管理的各个方面,为企业的风险评估和风险管理提供一些有益的帮助。
参考文献:
[1]BS 7799-1,Information Security Management. Code of Practice for Information Security Management System, British Standards Institute,1999.
[2]Australian/New Zealand Standard AN/NZS 4360:Risk Management[S].1999.
[3]NIST SP800-30, Risk Management Guide for Information Technology Systems[S].2002.
[4] Microsoft. The Security Risk Management Guide[S].2004.
[5]ISO/IEC TR 13335-1 Management of Information and Communications technology Security- -part1:Concepts and models of IT Security[S].1997.1.
[6] uccato,A.,Holistic security management framework applied in electronic commerce. Computer&Security 26(1), p256-265.
关键词:信息安全;风险评估;系统设计
中图分类号:G647 文献标志码:A 文章编号:1674-9324(2016)23-0249-02
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念――PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调整风险控制工作计划,从而实现信息安全风险管理的工作目标。
参考文献
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
(3)组建适当的评估管理与实施团队
开放、互联的信息技术与信息安全就像一把双刃剑。一方面,企业需要借助信息技术或信息系统集中信息并开放共享;另一方面,企业的核心信息资产又在不断外泄,引发无数信息安全问题。一谈到信息安全,首先想到的是网络安全,比如防火墙、入侵检测、漏洞扫描、数据加密等传统意义上的网络底层安全防护。但从广义上来讲,随着信息化建设的不断深入,企业的信息资产对经营的贡献比重越来越大。尤其在信息访问越加便捷的前提下,根据市场竞争的需要,企业需要源源不断地将信息不同程度地开放给客户、供应商、员工等,企业的信息资产也越来越暴露在更多的威胁之中。信息的三个安全特性,即完整性、保密性和可用性。(1)信息完整性风险管理。一方面,要保证信息在收集、加工过程中不能被恶意篡改、不能丢失、被窃取、损坏等;另一方面,也常为人忽视的是加工过程本身的科学性,需要防范因不恰当的加工方式而导致的数据失效或结果错误。(2)信息保密性风险管理。主要是指要保障没有被授权的用户无法使用信息系统,访问相应的资源。防止该类用户访问、通过非法手段攻击破坏企业信息资产。(3)信息可用性风险管理。主要是指保障被授权用户可以顺利、快速访问信息资产,保障信息系统稳定性和可用性。以上三个特性,同时也是信息安全风险管理的主要内容,管理过程包括风险识别、风险评估和风险控制三个步骤。
2企业信息安全风险识别
由于涉及企业的核心信息资产,所以相应的信息安全风险点分布在企业管理的各个环节和层面。但是由于种种原因,目前国内企业对信息安全风险管理的认识仍不到位。总体来说,有以下主要问题,也是常见的信息安全风险管理的风险点。(1)信息安全组织和制度保障不足。没有有效的信息安全管理组织机构,就无法有效地制定、执行安全管理策略,更无法进行有效的信息安全协作。信息安全管理制度通常都有,但很少有单位能够严格执行,信息安全的政策制定也常常不符合标准,导致可操作性比较差或者达不到控制的目的。(2)信息安全相关人员意识不足。信息安全虽然已经被很多企业提到战略高度,但更多停留在口头上和管理层。大部分企业人员比较缺乏信息安全意识,安全事件报告不及时;对各自岗位相关的信息资产职责了解不清,对信息系统的错误操作导致信息泄密的事件屡有发生;部门单位还存在因人员流动导致的信息资产不连续等问题。(3)传输、存储信息资产的设备与网络存在安全隐患。部分企业存在网络有安全漏洞、存储设备老旧、数据资产缺乏备份机制等常见问题,一旦受到网络入侵、病毒攻击,或者发生硬件及性能问题,会导致信息资产大量泄漏或损坏。(4)访问控制及用户权限管理存在漏洞。在信息系统的实施阶段,为了便于用户测试或其他目的,部分用户权往往限过大。随着系统正式上线及应用,相应权限又由于种种原因没有调整,对信息安全也留下了比较大的隐患。(5)软件系统及业务持续性风险。因为国产化和自主开发的趋势逐渐确立,大量企业选择自行开发软件系统,由于软件开发技术而导致软件本身存在一定漏洞,相应的开发质量存在隐患,连带的如运维、业务持续性风险均应相应考虑。
3企业信息安全风险评估和控制
考虑到每个企业均有自身特点,面临的信息安全风险点也不同。按照通常的信息安全风险管理理论,在完成上节所述的风险识别之后,需要进行详细的风险评估和风险控制。信息安全风险评估是指确认风险大小程度的过程,主要是要借用适当的风险评估工具和模型,包括定量的或者定性的方法,对信息安全风险点造成的影响进行评估,以确定风险的大小和控制方式。其主要目的是为了确定风险的大小并量化,从而可以采取适当的控制目标和控制方式开展风险控制工作。信息安全风险控制的作用体现在对组织信息安全的保障上,其有效性体现在当企业面临信息安全风险时对风险控制的有效程度,换句话说,在信息安全风险评估的基础上,考验控制力度的有效性就是损失的程度,损失的越少越有效。反之,则控制无效。另一方面,信息安全风险控制也是需要成本的,控制力度大小与成本通常成正比关系,而且在达到一定程度之后,控制力度增长比例较小可能带来成本大幅增加。因此,信息安全风险控制的总体目标,是以最小的投入将信息安全面临的风险控制在组织可接受的范围内。
4结语
1 企业信息安全风险管理所存在的问题
1.1 缺乏信心安全意识
许多企业管理层对信息安全认识上缺乏重视,信息安全防护意识淡薄。究其根本则是大部分企业认为信息安全无法给企业带来直接的经济效益,而且要进行信息安全管理就和购买保险一样,不进行安全保护也没有出现什么损失。此外,进行企业信息安全管理需要投入相应的资源和时间,在业绩压力、资源限制的影响下,业务部门并不愿意将更多的精力用于保护信息安全上面。
1.2 缺乏相应的信息安全组织架构
许多IT企业都存在信息安全组织架构不明确的情况,仅设立了类似兼职的职位——信息安全主任,而且是设立在IT部门内部,这在很大程度上减小了信息安全组织的执行力和管理能力。发生信息安全事件后,企业通常都是临时从业务部门或者IT部门调配人手来建立项目小组,然后依照信息安全的新要求找出解决方案,问题解决后就会解散项目小组,所建立的流程也随之不会继续执行、跟进。信息安全没有进行定期的评审和审计,也就无法形成能够不断改进的信息安全机制,这就造成了在安全计划上做了许多重复性工作,增加了安全计划的成本,不利于效率的提高。
1.3 不完善的信息安全监管机制和内部控制
在企业文件的控制管理系统中,IT信息系统管理操作程序、管理指南都没有归入里面, 也就不在其监管范围内,这也就导致相关流程的执行情况和指南、版本控制无法形成实质监督,以至流程同实际不符,出现不严格执行所制定流程的情况。此外,相关企业在历史数据的管理、储存上比较缺乏,业务数据记录不全面,如若出现问题,就很难对业务数据进行调查和恢复[1]。
2 企业信息安全风险管理措施
2.1 策划和准备
此阶段主要包含三个步骤:第一步建立安全风险管理开端。取得业务部门、管理层的大力支持,明确当前企业信息安全风险管理具体完善情况,明确职责范围,制定明确的风险管理计划。第二步在风险评估范围上必须进行确定。企业需结合风险管理实际完善情况做出评定,以此来对风险评估和管理划分业务区域,便于执行。第三步制定风险行动方案。在制定保护策略上,必须对企业信息风险的保护方法和具体处理手段做出相关规定,可在安全技术和风险管理上制定相应的策略。
2.2 部署和执行
企业在实施安全控制计划过程中,所制定的合理步骤都必须切实执行,这就要求风险行动方案中的相关负责人对所计划的活动需认真安排和执行。此外相关负责人要多与员工进行沟通,行动计划的执行依据授权对员工进行分配,能有效减少员工在项目实施中的抵触情绪。让分配到行动计划任务的员工及其管理者明确了解此项工作的优先级为高,并通过实施安全培训使其重新确定工作的优先级,以合并他们的行动计划活动。另外,应该建立相关的保障机制,为行动计划的实施提供足够的资金、设备和其他必需的资源,确保行动计划的顺利进行。
2.3 检查和监控
企业在对风险进行管理的过程中,需要成立专业化的监督小组,该小组可以对信息安全风险管理进行检查以及监控。进行该项操作的目的有两个方面。第一方面就是可以通过监控措施和方法对企业的安全信息进行收集,另一个方面就是采集企业安全环境发生改变的信息,这样便于第一时间对新风险进行预测。该小组获取信息后,可快速将这些信息反馈到上一级,从而方便领导决策层了解最新的安全动态[2]。
3 对我国信息安全风险管理的未来展望
对于信息安全领域的专业人士来讲,信息安全风险管理可从下面几个方面进行突破。
3.1 采用创新方法处理关键技术问题
衡量风险的一条重要途径就是对风险进行量化。在风险管理中,非常关键和基础的是风险计量和数学模型。对于评估的对象和度量的标准需要妥善解决。在对信息系统进行安全风险评估的时候,第一步骤就是要构建风险评估对象模型,使模型能够适应各种系统。在这个过程中,有一些比较优秀的数学工具可以提供分析和模拟。当前,在对复杂系统进行建模时,需要有构成国家关键信息基础设施的重要信息的大规模系统的能力。
3.2 根据实际问题,挑选合适的选择标准
在风险评估中,测度体系非常重要,它是风险评估的关键环节。在这个过程中,需要解决好三大问题:首先是测量问题。其次是可用性问题,最后是可操作和解释。
3.3 根据实际,处理好评估方法和测试工具问题
在信息系统安全风险评估中,其主要研究对象是传统风险评估方法在信息安全评估中的应用、评估新技术研究、针对特定应用专题的风险评估方法和风险评估方法工程应用。在进行风险评估的过程中,评估工具是必备的。目前,在国内信息系统安全风险评估工作中,测试数据没有实用技术支撑,这已经成为对我国信息安全风险评估进一步发展的障碍[3]。
随着计算机网络的技术的迅猛发展以及移动互联的全球化,Internet已经和现今的各行各业相互契合,而组织业务相关的信息系统已经成为组织行业信息赖以生存的“朋友”。移动互联的信息安全问题逐渐走入人们眼中。信息系统的安全问题是的对于一个组织有着重要的战略意义。本文立足于当今信息安全现状,例数当今信息系统的安全问题,对信息系统的安全风险管理方法进行研究,并针对信息系统安全问题给出针对性建议。
关键词:
信息系统安全;信息系统管理;计算机尖端科技
目前,世界各国经济都在迅速发展,经济全球化的进程逐渐加快,伴随着经济的推进,尖端科技迅猛发展。因此,电脑逐渐走进了各家各户,移动互联正在改变人们的生活方式。计算机网络技术的优越性使得人们对计算机网络愈来愈“信赖”。然而随之产生的便是用户的网络信息泄露事件。计算机网络安全问题已经受到了更多人的重视。所以,对信息系统安全风险管理方法的研究有着鲜明的现实意义。
1信息系统安全风险管理方法研究
随着计算机网络技术的不突破何如普及,极大的方便着人们的生活和学习,而且正在慢慢的改变人们的生活方式。目前,计算机网络技术已经被应用到军事科技当中,中增强着我国国防力量。使得未来战争真正的实现“兵不血刃”。与此同时,信息系统的安全问题会“威胁”着国家的经济建设,和国防建设。所以这一切都表明了信息系统安全问题是一个国家安全建设的基础,是国家社会发展和建设的保障。而信息系统的安全成为了信息化革命的基本。甚至可以说,信息系统安全问题关系着国家安全,民族发展是全人民的的头等大事。信息系统安全计划建设是了一个国家和民族的战略性目标,已经是不争的事实。
2信息系统的信息安全现状
当今社会信息系统安全问题不容乐观,信息系统面临着严峻的安全风险。根据调查来看,每年的重大信息系统安全事件正在逐年增加。信息系统安全问题主要包含以下两大方面:一是由于现今科技技术的不完善性和局限性,使得信息系统在构建之初便存在着漏洞,导致信息系统“脆弱”。二是现实社会中的各种经济斗争和利益斗争,使得原本的信息系统漏洞被“开发利用”。计算机网络技术是一个复杂的大系统,它是由众多的代码、硬件、软件、协议所共同组成。在计算机网络技术的不完善和设计人员思想局限性的前提下,使得信息安全系统在构建的时候会出现不可避免的漏洞。例如,计算机网络中一个操作系统需要几千几万的代码组成,甚至更多。为满足用户的各种需要,设计的技术复杂性逐渐增多。据调查在繁琐的计算机网络设计时,很可能一千行代码中便会存在一个错误。因此,信息系统的漏洞越来越多,越来越严重。另一方面,“黑客”作为一种“文化现象”一直伴随着计算机网络技术的发展而发展。并且随着人们之间的利益冲突不断加剧,使得黑客的恶意攻击事件愈演愈劣。此外,根据调查显示,在攻击技术复杂的计算机网络时,黑客相对应需要的知识却越来越少[1]。
3信息系统风险管理的目的和作用
信息系统安全是目前全世界所面临的重大问题。虽然,信息安全问题具有着普遍性,但是同时因为它的特殊性,使得我们不得不重视。信息系统的安全管理已经不再是“0”和“1”之间的问题。我们不断的探索,为了找到一个更好的信息系统安全管理方法。我们希望新的信息系统安全管理方法可以改变现今网络安全的现状,并且让更多的人可以更好的享受计算机网络技术带来的方便。计算机网络在人们的生活和学习中有着重要的的作用,在国家建设上有着重要的地位,信息系统的安全管理的研究,我们旨在便利更多的人民群众,更好的建设国家,为祖国的建设作出贡献。我们要做到防患于未然,让国家和人民免于信息系统安全问题的威胁。由此我们可以得出这样的结论:风险管理是信息系统安全管理方法的新模式,而最佳的信息系统安全保障方法就是对信息系统进行风险管理。
4信息系统风险管理的趋势
纵观世界,信息系统安全风险管理的经历了技术,技术与管理相结合的阶段。当前,在信息安全保障意识的前提下,还在不断的深入完善。如何将传统的风险管理理论和实际相结合并更好的应用于信息安全管理领域,是全世界面临的一个尚未解决的问题。
5信息安全风险管理理论基础
信息安全风险管理研究的理论基础大的方面是国家规定的计算机网络技术管理法则,和现今的计算机网络技术。小的方面是现今信息系统所具有的保密性、完整性、可用性、脆弱性。以及网络信息系统面临的威胁[2]。
6网络信息系统风险管理的ISISRM管理方法
6.1ISISRM方法的基本思想
ISISRM方法体现的是“定制”思想,它具有较强的开放性,在识别风险因素并进行解决的同时,它不会拘泥于单一的解决方法。它可以使风险管理过程和用户使用目的紧密集合结合在一起,并且在风险评估时采用了“适度量化”的原则。在ISISRM方法的我研究中引用了经济管理学的知识,它将不再只解决信息安全问题,而是从用户的角度上来说变成了一种“投资”行为[3]。
6.2ISISRM方法的管理周期
按照ISISRM的设计逻辑,ISISRM的管理周期分为风险管理准备阶段、信息安全风险因素识别阶段、信息安全风险分析和评估阶段、信息系统安全保障分析阶段、信息系统安全决策阶段、信息安全风险动态监控阶段。
7结语
计算机网络技术迅速发展,加速了社会信息化的进程,使得人文建设与信息系统关系日益“亲密”,但是随之而来的信息安全问题值得引起我们的重视,并让我们花费人力和物力进行解决,它时刻的威胁着我们社会主义人文建设。所以我们应该运用ISISRM这样的风险安全方法进行信息系统安全的维护和改善。
作者:李响 王培凯 单位:安徽省蚌埠市固镇县公安局 安徽省蚌埠市五河县公安局
参考文献
[1]孙鹏鹏.信息安全风险评估系统的研究与开发[D].北京交通大学,2007.
购物车(0)
