信息系統(tǒng)安全風(fēng)險評估應(yīng)用評估過程

信息的安全防范工作一直是整個信息系統(tǒng)安全防范工作中的重點之一。在本文中就以信息安全風(fēng)險評估對象中的網(wǎng)絡(luò)操作痕跡信息檢查為評估項目，來說明一次安全風(fēng)險評估該如何具體地去做。一、安全風(fēng)險評估準(zhǔn)備階段在每次風(fēng)險評估開始之前，一個最好的保證評估過程順利完成，評估結(jié)果真實有效的方法，就得為此制定一個風(fēng)險評估策略。但如果只是對某個獨立的或者是臨時決定的小評估項目進(jìn)行風(fēng)險評估，而且你和你的評估團(tuán)隊以前經(jīng)常對些小評估項目進(jìn)行風(fēng)險評估，那么，只要為它做一些相應(yīng)的準(zhǔn)備工作就可以直接進(jìn)行評估了。風(fēng)險評估策略的具體內(nèi)容是根據(jù)實際的評估對象和評估項目來決定的，因此，不同的評估對象的風(fēng)險評估策略是不相同，就是同一評估對象，如果評估的具體項目不同，其風(fēng)險評估策略也不會相同。1、制定風(fēng)險評估策略一個好的風(fēng)險評估策略，應(yīng)當(dāng)包括下列所示的內(nèi)容：（1）、指定評估小組成員信息風(fēng)險評估小組擔(dān)負(fù)著機(jī)構(gòu)的風(fēng)險評估工作，其成員要能代表整個機(jī)構(gòu)。同時，成員必需在人員安全評估（確定某個人員可以信任風(fēng)險評估工作）通過后確定。具體的成員應(yīng)當(dāng)包括：IT部門主管、風(fēng)險評估負(fù)責(zé)人、系統(tǒng)或網(wǎng)絡(luò)管理員、信息安全技術(shù)人員，還可以包括安全產(chǎn)品供應(yīng)商代表及合作伙伴代表等。評估人員確定后，就要分配相應(yīng)的評估任務(wù)給具體的人員。確定每個評估人員各自的職責(zé)，所要承擔(dān)的法律責(zé)任，并做成文檔分發(fā)到每個評估人員手中。同時，要為評估任務(wù)指定一個總的負(fù)責(zé)人，來監(jiān)督整個評估過程，并協(xié)調(diào)處理評估過程中出現(xiàn)的臨時狀況。還要說明評估結(jié)果的填寫和上報方式，如說明每個評估人員完成自己的評測任務(wù)，填上評測結(jié)果后，當(dāng)上交給風(fēng)險評估負(fù)責(zé)人時，還應(yīng)當(dāng)與負(fù)責(zé)人一同簽名才能有效。（2）、確定風(fēng)險評估的范圍和目的確定風(fēng)險評估的范圍也就是指指定具體的評估對象和評估項目，風(fēng)險評估的目的就是指此次風(fēng)險評估要達(dá)到的期望值。風(fēng)險評估的目的和范圍是相輔相成的，只有指定了評估對象中評估項目的風(fēng)險評估目的，才知道需要什么樣的評估任務(wù)來達(dá)到這個目的，也就圈定了具體的評估范圍。也只有確定了風(fēng)險評估的范圍和目的，我們的風(fēng)險評估才能有的放矢地進(jìn)行。在本例中，我們的評估對象是信息安全風(fēng)險評估；評估項目是網(wǎng)絡(luò)操作痕跡信息檢查；評估的目的是檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密；具體的評估任務(wù)有：①、檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫和緩存中的內(nèi)容；②、檢查機(jī)構(gòu)內(nèi)部員工是否通過個人主頁、博客、論壇，以及發(fā)布網(wǎng)絡(luò)求職簡歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息；③、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息；④、了解機(jī)構(gòu)內(nèi)部員工的計算機(jī)技術(shù)水平，以及了解計算機(jī)技術(shù)水平較高的員工所處的部門及其操作權(quán)限；⑤、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時間使用即時通信工具，并在法律條件允許的條件下監(jiān)控即時通信的內(nèi)容；⑥、使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、論壇及博客中搜索；

⑦、檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容。（3）、確定本次評估任務(wù)的開始和結(jié)束的具體日期和時間，如有可能，還有決定具體的風(fēng)險評估時間，并在風(fēng)險評估文檔中留出相應(yīng)的位置用來標(biāo)明評估工作的開始和結(jié)束時間。（4）、考慮一些在風(fēng)險評估過程中可能發(fā)生的情況，以不影響正常的業(yè)務(wù)為基本條件。應(yīng)當(dāng)為此制定一個應(yīng)對有可能造成業(yè)務(wù)中斷，或造成真實安全事件發(fā)生事件時的應(yīng)急措施。2、根據(jù)評估項目和要完成的評估任務(wù)制作風(fēng)險評估表單

風(fēng)險評估表單就是在一張表單上將要評估的項目及評估任務(wù)一一列出，然后在進(jìn)行具體的風(fēng)險評估時，就可以按表單中的內(nèi)容來依次進(jìn)行。圖2.1就是網(wǎng)絡(luò)操作痕跡信息檢查評估項目的風(fēng)險評估表單。

圖2.1網(wǎng)絡(luò)操作痕跡信息檢查的風(fēng)險評估表單

信息安全風(fēng)險評估評估項目：網(wǎng)絡(luò)操作痕跡信息檢查評估的目的：檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密評估任務(wù)紅勾順序評估任務(wù)描述結(jié)果描述結(jié)束時間評估人備注1檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫和緩存中的內(nèi)容2檢查機(jī)構(gòu)內(nèi)部員工是否通過個人主頁、博客、論壇，以及發(fā)布網(wǎng)絡(luò)求職簡歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息3調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息4了解機(jī)構(gòu)內(nèi)部員工的計算機(jī)技術(shù)水平，以及了解計算機(jī)技術(shù)水平較高的員工所處的部門及其操作權(quán)限5調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時間使用即時通信工具，并在法律條件允許的條件下監(jiān)控即時通信的內(nèi)容6使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、論壇及博客中搜索7檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容備注：評估開始時間：年月日時分評估結(jié)束時間：年月日時分項目負(fù)責(zé)人：3、考慮完成評估任務(wù)時會用到的各種工具，并準(zhǔn)備妥當(dāng)。這些工具應(yīng)當(dāng)是切合本次風(fēng)險評估任務(wù)的，并且在已經(jīng)通過在某個實驗環(huán)境中測試已經(jīng)證明其有效。在本次風(fēng)險評估中，會對機(jī)構(gòu)內(nèi)部人員進(jìn)行網(wǎng)絡(luò)操作行為監(jiān)控，因此，得為它準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)操作行為分析設(shè)備，或者是安裝有網(wǎng)絡(luò)操作行為分析軟件的計算機(jī)，最好當(dāng)然是筆記本電腦。同時，還應(yīng)當(dāng)準(zhǔn)備好所將設(shè)備連接入目標(biāo)網(wǎng)絡(luò)的所需的線纜，以及其它與此次風(fēng)險評估相關(guān)的所有工具和文檔，并將它們統(tǒng)一管理。

一個風(fēng)險評估策略不僅可以包括上面已經(jīng)列出的這四個方面，還可以在其中添加與評估任務(wù)實際需求相關(guān)的內(nèi)容，例如加入說明此次評估任務(wù)的具體流程和細(xì)節(jié)，各種注意事項等等。并要求所有的評估人員，嚴(yán)格按照這個風(fēng)險評估策略中的內(nèi)容來進(jìn)行具體的評估工作。

一個風(fēng)險評估策略是一個需要技術(shù)和經(jīng)驗并重的工作，而且需要考慮的內(nèi)容很多，一個人不可能將風(fēng)險評估項目相關(guān)的所有方面考慮周到。因此，在制定風(fēng)險評估策略時，應(yīng)當(dāng)發(fā)動所有評估人員，以及評估對象的使用人員和設(shè)備供應(yīng)商代表等一起來分析制定。對于信息系統(tǒng)風(fēng)險評估來說，如果準(zhǔn)備工作越充分，后續(xù)的風(fēng)險評估過程就越有效率，評估過程中出現(xiàn)的錯誤就越少，評估的最終給果就越真實有效。如果在準(zhǔn)備過程中疏忽了某些內(nèi)容，特別是制定的安全風(fēng)險評估策略出現(xiàn)考慮不周的情況，要是沒能在執(zhí)行風(fēng)險評估前檢查出來，就會使最終的風(fēng)險評估結(jié)果偏離實際，這樣就會讓我們空擔(dān)心一場，或空歡喜一場。二、安全風(fēng)險檢測階段當(dāng)所有風(fēng)險評估工作的事前準(zhǔn)備工作全部妥善完成后，就可以按風(fēng)險評估策略中確定的日期和時間，開始對指定的評估對象的評估項目做相應(yīng)的安全風(fēng)險評估。安全風(fēng)險的評估過程就是使用具體的方法，來解答在準(zhǔn)備階段制定的評估項目表單中所有列出的評估任務(wù)的過程。要完成風(fēng)險評估表單列出的評估任務(wù)，需要使用一些針對某個評估任務(wù)的具體解決方法。解決評估任務(wù)的方法有很多種，包括問卷調(diào)查、訪談、模擬社會工程攻擊、使用風(fēng)險評估工具（包括軟硬件方式的工具）、審查各種日志、審查各種設(shè)備和安全設(shè)備的配置文檔，以及使用實際的模擬或真實的攻擊來檢驗等方法，都可以用來解答評估項目中所需要完成的評估任務(wù)。其中的某些方法只對某個評估任務(wù)有效，而一些工具可能一次自動完成多個項目。為了能減少使用工具產(chǎn)生的誤報和漏洞，可以使用二種以上的工具來檢測同一個評估任務(wù)，或者使用手工測試的方式來確認(rèn)檢測結(jié)果的真實性。同時，在進(jìn)行某些評估任務(wù)的評估工作時，例如系統(tǒng)弱點掃描，應(yīng)當(dāng)從由外向內(nèi)看和由內(nèi)向外看的兩個方式分別進(jìn)行。進(jìn)行由外向內(nèi)看的測試時，是試圖從組織網(wǎng)絡(luò)邊界的外部檢測系統(tǒng)，它能為我們提供一個從外部攻擊相同的方式來審視系統(tǒng)的安全性。而進(jìn)行由里向外看測試時，我們就應(yīng)該從內(nèi)部人員對系統(tǒng)使用權(quán)限的角度，去審查系統(tǒng)的安全性，此時，我們會得到比由外向內(nèi)看更多的安全信息。恰當(dāng)?shù)厥褂眠@兩種方式，能將目前大部分的安全威脅都考慮進(jìn)來。每個風(fēng)險評估項目中的所有評估任務(wù)，如沒有特殊要求，就必需按照風(fēng)險評估表單中排列的順序來進(jìn)行。這是因為在評估過程中，當(dāng)前的評估任務(wù)完成后產(chǎn)生的結(jié)果，可能會用來作為下一個任務(wù)的檢測條件。如果此時評估的順序相互置換，那么就會造成錯誤的最終評估結(jié)果。在本文中的網(wǎng)絡(luò)操作痕跡信息檢測評估項目中，所有的評估任務(wù)都是由內(nèi)向外看的方式來進(jìn)行的。這些評估任務(wù)可以通過機(jī)構(gòu)員工檔案審查，檢查員工使用的計算機(jī)中的瀏覽器COOKIE，檢查機(jī)構(gòu)WEB服務(wù)器緩存，審查機(jī)構(gòu)邊界位置網(wǎng)絡(luò)操作行為管理設(shè)備的各種日志，通過網(wǎng)絡(luò)搜索引擎，通過搜索一些獨特的位置（如新聞組、博客及論壇）來完成。同時，還可以通過模擬發(fā)送機(jī)密信息的方式，審查已有的網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能攔截它發(fā)送到互聯(lián)網(wǎng)中，是否能夠限制員工使用即時通信軟件和P2P軟件，員工是否可以突破封鎖等任務(wù)。并且檢驗網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能將違規(guī)行為記錄到相應(yīng)的日志當(dāng)中，能否提供有效的警報，收到警報能否產(chǎn)生有效的攔截等等。有時，會將所有的評估任務(wù)分配給幾個人來進(jìn)行，因此，當(dāng)某個評估人員完成屬于他（她）的評估任務(wù)后，就應(yīng)當(dāng)在評估任務(wù)答案后評估人一欄中簽上他的名字。當(dāng)所有評估任務(wù)完成后，將已經(jīng)填入評測答案和評估人簽名的風(fēng)險評估表單上報給評估負(fù)責(zé)人，經(jīng)評估負(fù)責(zé)人確認(rèn)并簽字后，這個風(fēng)險評估表單中的內(nèi)容才能算真正有效，并在風(fēng)險評估表單中填入評估結(jié)束時間。然后就可以進(jìn)入下一個風(fēng)險評估環(huán)節(jié)。三、信息系統(tǒng)安全風(fēng)險評估對象風(fēng)險檢測結(jié)果分析及給出評估報告階段當(dāng)評估項目的所有評估任務(wù)完成后，就應(yīng)當(dāng)組織整個評估人員，將風(fēng)險評估表單中每個評估任務(wù)的評測結(jié)果分析并匯總，給出一個具體安全和風(fēng)險等級。然后，通過分析目前可以使用的安全防范技術(shù)，從機(jī)構(gòu)可以接受的安全風(fēng)險防范投入成本出發(fā)，同時給出一個相應(yīng)的安全風(fēng)險解決方案，并在解決方案中說明方案實施后能解決的風(fēng)險，達(dá)到的具體安全等級，以及仍然存在的風(fēng)險狀況等內(nèi)容。所有的這些信息都可以一個報告文件的方式記錄下來。每個信息系統(tǒng)安全風(fēng)險評估報告都是針對某個具體的評估對象而言的。在本文的實例中，應(yīng)當(dāng)給出一個包括下列內(nèi)容的風(fēng)險評估報告，其它評估對象的風(fēng)險評估報告給出的內(nèi)容至少也應(yīng)當(dāng)包括下列所示的內(nèi)容：1、列出完成的評估任務(wù)清單；2、列出評估對象目前存在的威脅和弱點，給出具體的安全和風(fēng)險等級；3、列出防范這些檢測到的威脅和弱點的保障措施；4、說明這些安全建議是屬于物理、管理、還是技術(shù)控制；5、說明實施這些給出的安全建議后會帶來的效果；6、說明每一個具體的安全建議，能將風(fēng)險減少到什么程度；7、安全修補后，評估對象能達(dá)到什么樣的安全等級；8、安全修補后，還有什么風(fēng)險沒能完全控制，應(yīng)當(dāng)如何進(jìn)一步控制；9、說明實施這些安全修補措施具體應(yīng)當(dāng)花費的安全成本。有些時候，風(fēng)險評估報告中不一定要求給出具體的安全修補建議。但是，當(dāng)檢測到的弱點可能給機(jī)構(gòu)信息系統(tǒng)帶來中等或高等安全風(fēng)險時，就應(yīng)當(dāng)按要求給出針對性的安全解決方案安全風(fēng)險評估報告的內(nèi)容可以作為安全策略的一個強有力的補充，你甚至可以將它們的處理建議加入到已有的安全策略當(dāng)中，以保證安全策略的強壯性。安全風(fēng)險評估報告同時也可以作為上報給機(jī)構(gòu)領(lǐng)導(dǎo)或評估小組領(lǐng)導(dǎo)的書面報告，你可以在報告中標(biāo)出哪些方面是必需要修補的，以便能讓上級領(lǐng)導(dǎo)贊同你的建議。這樣，你要確保你的安全風(fēng)險評估報告的有效性和權(quán)威性。有效性說明這份報告是在真實檢測和分析的基礎(chǔ)上形成的，而且時間與報告的時間相吻合。權(quán)威性是指這份報告應(yīng)當(dāng)出自整個評估小組在檢測分析之上，并不是某個人憑空想象造出來的。并且有整個參與人員的所有手工簽名，以及標(biāo)出所有評估都是參照某個國家或國際標(biāo)準(zhǔn)來評定具體安全和風(fēng)險級別的。四、后期安全維護(hù)階段后期安全維護(hù)其實只是信息系統(tǒng)安全風(fēng)險評估過程中的一個附加階段。對于專門的風(fēng)險評估機(jī)構(gòu)或安全公司來說，當(dāng)給出具體的安全風(fēng)險評估報告后，就表明此次風(fēng)險評估任務(wù)全部結(jié)束。但是，對于評估對象所在的機(jī)構(gòu)來說，安全風(fēng)險評估工作的結(jié)束，只是表示另一個重要的任務(wù)，安全修補任務(wù)的開始。

后期安全維護(hù)就是按照風(fēng)險評估報告中給出的安全修補建議，決定實施額外的管理和安全防范措施，以便能修正現(xiàn)有的安全策略，降低目前存在的弱點可能被威脅利用后帶