網(wǎng)絡(luò)信息安全風險評估問題探討

1、網(wǎng)絡(luò)信息安全風險評估問題探討摘要：我國的信息化進程時間比較短，在網(wǎng)絡(luò)信息技術(shù)高速發(fā)展的過程中，其安全問題也不斷地暴露出來。信息安全風險評估是建立信息安全體系的基礎(chǔ)，是信息系統(tǒng)安全工程的一個關(guān)鍵組成部分。本文探討了目前網(wǎng)絡(luò)信息安全風險評估工作中急需解決的問題。關(guān)鍵詞：信息安全；風險評估；脆弱性；威脅1. 引言隨著信息技術(shù)的飛速發(fā)展，關(guān)系國計民生的關(guān)鍵信息資源的規(guī)模越來越大，信息系統(tǒng)的復雜程度越來越高，保障信息資源、信息系統(tǒng)的安全是國民經(jīng)濟發(fā)展和信息化建設(shè)的需要。信息安全的目標主要體現(xiàn)在機密性、完整性、可用性等方面。風險評估是安全建設(shè)的出發(fā)點，它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導向的安全體系結(jié)

2、構(gòu)設(shè)計及詳細安全方案的制定，以成本一效益平衡的原則，通過評估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要程度來識別信息系統(tǒng)的安全風險。信息安全風險評估就是從風險管理角度，運用科學的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，以防范和化解風險，或者將殘余風險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。2網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析“網(wǎng)絡(luò)信息的安全”從狹義的字面上來講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個

3、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲、傳輸?shù)仁褂眠^程的安全。網(wǎng)絡(luò)信息安全具有如下6個特征：（1）保密性。即信息不泄露給非授權(quán)的個人或?qū)嶓w。（2）完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。（3）可用性。即能保證合法的用戶正常訪問相關(guān)的信息。（4）可控性。即信息的內(nèi)容及傳播過程能夠被有效地合法控制。（5）可審查性。即信息的使用過程都有相關(guān)的記錄可供事后查詢核對。網(wǎng)絡(luò)信息安全的研究內(nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究內(nèi)容的廣泛性決定了實現(xiàn)網(wǎng)絡(luò)信息安全問題的復雜性。而通過有效的網(wǎng)絡(luò)信息安全風險因素分析，就能夠為此復雜問題的解決找到一個考慮問題的立足點，能夠?qū)碗s的問題量化，

4、同時，也為能通過其他方法如人工智能網(wǎng)絡(luò)方法解決問題提供依據(jù)和基礎(chǔ)。網(wǎng)絡(luò)信息安全的風險因素主要有以下6大類：（1）自然界因素，如地震、火災(zāi)、風災(zāi)、水災(zāi)、雷電等；（2）社會因素，主要是人類社會的各種活動，如暴力、戰(zhàn)爭、盜竊等；（3）網(wǎng)絡(luò)硬件的因素，如機房包括交換機、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；（4）軟件的因素，包括機房設(shè)備的管理軟件、機房服務(wù)器與用戶計算機的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；（5）人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口

5、令、木馬攻擊等；（6）其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對相關(guān)法律法規(guī)立法因素、教育部門對相關(guān)知識的培訓因素、宣傳部門對相關(guān)安全內(nèi)容的宣傳因素等。這些因素對于網(wǎng)絡(luò)信息安全均會產(chǎn)生直接或者間接的影響。3安全風險評估方法3.1定制個性化的評估方法雖然已經(jīng)有許多標準評估方法和流程，但在實踐過程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點及安全風險評估的能力，進行“基因”重組，定制個性化的評估方法，使得評估服務(wù)具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網(wǎng)絡(luò)結(jié)構(gòu)評估、脆弱性掃描、策略評估、應(yīng)用風險評估等。3.2安全整體框架的設(shè)計風

6、險評估的目的，不僅在于明確風險，更重要的是為管理風險提供基礎(chǔ)和依據(jù)。作為評估直接輸出，用于進行風險管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期12年內(nèi)框架，這樣才能做到有律可依。3.3多用戶決策評估不同層面的用戶能看到不同的問題，要全面了解風險，必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程，對于了解風險、理解風險、管理風險、落實行動，具有極大的意義。事實證明，多用戶參與的效果非常明顯。多用戶“決策”評估，也需要一個具體的流程和方法。3.4敏感性分析由于企業(yè)的系統(tǒng)越發(fā)復雜且互相關(guān)聯(lián)，使得風險越

7、來越隱蔽。要提高評估效果，必須進行深入關(guān)聯(lián)分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病“根”，開出有效的“處方”。這需要強大的評估經(jīng)驗知識庫支撐，同時要求評估者具有敏銳的分析能力。3.5集中化決策管理安全風險評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項目成功的保障條件之一，它不僅是項目管理問題，而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺審計和滲透性測試，由不具備攻防經(jīng)驗和知識的人執(zhí)行，就達不到任何效果。3.6評估結(jié)果管理

8、安全風險評估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進行記錄、管理的系統(tǒng)。它可能不是一個完整的風險管理系統(tǒng)，但至少是一個非常重要的可管理的風險表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng)，使用它來指導評估過程，管理評估結(jié)果，以便在管理層面提高評估效果。4風險評估的過程4.1前期準備階段主要任務(wù)是明確評估目標，確定評估所涉及的業(yè)務(wù)范圍，簽署相關(guān)合同及協(xié)議，接收被評估對象已存在的相關(guān)資料。展開對被評估對象的調(diào)查研究工作。4.2中期現(xiàn)場階段編寫測評方案，準備現(xiàn)場測試表、管理問卷，展開現(xiàn)場階段的測試和調(diào)查研究階段。4.3后期評估階段撰寫系統(tǒng)測試報告。進行補充調(diào)查研究，評估組依據(jù)系統(tǒng)測試報告和補充調(diào)研結(jié)果形成最終

9、的系統(tǒng)風險評估報告。5風險評估的錯誤理解（1）不能把最終的系統(tǒng)風險評估報告認為是結(jié)果唯一。（2）不能認為風險評估可以發(fā)現(xiàn)所有的安全問題。（3）不能認為風險評估可以一勞永逸的解決安全問題。（4）不能認為風險評估就是漏洞掃描。（5）不能認為風險評估就是IT部門的工作，與其它部門無關(guān)。（6）不能認為風險評估是對所有信息資產(chǎn)都進行評估。6結(jié)語總之，風險評估可以明確信息系統(tǒng)的安全狀況和主要安全風險。風險評估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過風險評估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求，但是，信息安全評估工作的實施也存在一定的難題，涉及信息安全評估的行業(yè)或系統(tǒng)各不相同，并不是所有的評估方法都適用于任何一個行業(yè)，要選擇合適的評估方法，或開發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評估方法，是當前很現(xiàn)實的問題，也會成為下一步研究的重點。參考文獻：【1】 王毅剛 , 吳昌倫. 信息安全風險評估的策劃. 信息技術(shù)與標準化 , 2004,(09) 【2】 賈穎禾. 信息安全風險評估. 中國計算機用戶 , 2004