監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

計世解讀企業(yè)安全風(fēng)險評估

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件 當(dāng)前,無論是政府還是企業(yè),對于自身的信息安全都非常關(guān)注。因此,企業(yè)信息安全風(fēng)險評估再一次引起了業(yè)界的關(guān)注。那么,此類評估有什么標(biāo)準(zhǔn)?對企業(yè)的價值又體現(xiàn)在何處呢?   認(rèn)識存在的風(fēng)險 長期以來,人們對保障信息安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認(rèn)證等等。廠商在安全技術(shù)和產(chǎn)品的研發(fā)上不遺余力,新的技術(shù)和產(chǎn)品不斷涌現(xiàn);消費者也更加相信安全產(chǎn)品,把僅有的預(yù)算也都投入到安全產(chǎn)品的采購上。 但實際情況是,單純依靠技術(shù)和產(chǎn)品保障企業(yè)信息安全往往差強人意。復(fù)雜多變的安全威脅和隱患靠產(chǎn)品難以消除。"三分技術(shù),七分管理"這個在其他領(lǐng)域總結(jié)出來的實踐經(jīng)驗和原則,在信息安全領(lǐng)域也同樣適用。 根據(jù)信息產(chǎn)業(yè)部披露的數(shù)字,在所有的計算機安全事件中,約有52%是人為因素造成的,25%是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的。其技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。 不難看出,屬于內(nèi)部人員方面的原因超過70%,而這些安全問題中的95%是可以通過科學(xué)的信息安全風(fēng)險評估來避免。 可見,對于一個企業(yè)來說,搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險,充分評估這些風(fēng)險可能帶來的威脅和影響,將是企業(yè)實施安全建設(shè)必須首先解決的問題,也是制定安全策略的基礎(chǔ)與依據(jù)。 目前,國內(nèi)眾多部門和行業(yè)都開始投入精力進(jìn)行風(fēng)險評估或者風(fēng)險評估規(guī)范的制訂。據(jù)悉,信息產(chǎn)業(yè)部、公安部等都推出了各自的風(fēng)險評估規(guī)范,而電信、金融等行業(yè)則已經(jīng)開始進(jìn)行風(fēng)險評估工作,將評估推向了實踐。 專家指出,風(fēng)險評估的意義在于對風(fēng)險的認(rèn)識,而風(fēng)險的處理過程,可以在考慮了管理成本后,選擇適合企業(yè)自身的控制方法,對同類的風(fēng)險因素采用相同的基線控制,這樣有助于在保證效果的前提下降低風(fēng)險評估的成本。       標(biāo)準(zhǔn)決定過程 Gartner的風(fēng)險評估報告指出,未來企業(yè)信息化的發(fā)展關(guān)鍵在于:關(guān)鍵資產(chǎn)數(shù)字化、高速無線網(wǎng)絡(luò)、網(wǎng)絡(luò)空間獲取、生物訪問控制、復(fù)雜應(yīng)用系統(tǒng)、分布系統(tǒng)網(wǎng)絡(luò)互聯(lián)、全球化生產(chǎn)等方面。為此,Gartner建議企業(yè)的信息安全風(fēng)險評估,重點在于如何評估復(fù)雜的分布式系統(tǒng)和如何保障復(fù)雜應(yīng)用系統(tǒng)的安全兩個方面。 從國內(nèi)的實際情況看,復(fù)雜應(yīng)用系統(tǒng)已經(jīng)初步呈現(xiàn),許多企業(yè)的核心業(yè)務(wù)系統(tǒng)安全性較弱,且網(wǎng)絡(luò)建設(shè)與安全建設(shè)不協(xié)調(diào),已經(jīng)給企業(yè)用戶帶來了極大的挑戰(zhàn)。針對這些挑戰(zhàn),主流安全廠商提出了動態(tài)安全評估標(biāo)準(zhǔn)。 此標(biāo)準(zhǔn)針對現(xiàn)有安全需求進(jìn)行評估和分析,定義安全策略,建立安全框架,實施安全方案,得出合規(guī)性報告,確定目前的安全基線,并隨著業(yè)務(wù)的發(fā)展,進(jìn)行周期性的再評估,保障信息系統(tǒng)的安全。 針對風(fēng)險評估的工程實現(xiàn),SSE-CMM、OCTAVE等標(biāo)準(zhǔn)和方法對評估過程給予了較好的指導(dǎo)。常規(guī)的風(fēng)險評估方法包括以下階段:項目準(zhǔn)備階段、項目執(zhí)行階段、項目維護(hù)階段。 為保障評估的規(guī)范性、一致性,降低人工成本,目前國內(nèi)外普遍開發(fā)了一系列的評估工具。其中,網(wǎng)絡(luò)評估工具主要有Nessus、Retina、天鏡、ISS等漏洞掃描工具,依托這些網(wǎng)絡(luò)掃描工具,可以對網(wǎng)絡(luò)設(shè)備、主機進(jìn)行漏洞掃描,給出技術(shù)層面存在的安全漏洞、等級和解決方案建議。 管理評估工具主要有以BS7799-1(ISO/IEC 17799)為基礎(chǔ)的COBRA、天清等,借助管理評估工具,結(jié)合問卷式調(diào)查訪談,可以給出不同安全管理域在安全管理方面存在的脆弱性和各領(lǐng)域的安全等級,給出基于標(biāo)準(zhǔn)的策略建議。   六大評估方法 定制個性化的評估方法 雖然已經(jīng)有許多標(biāo)準(zhǔn)評估方法和流程,但在實踐過程中,不應(yīng)只是這些方法的套用和拷貝,而是以他們作為參考,根據(jù)企業(yè)的特點及安全風(fēng)險評估的能力,進(jìn)行"基因"重組,定制個性化的評估方法,使得評估服務(wù)具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網(wǎng)絡(luò)結(jié)構(gòu)評估、脆弱性掃描、策略評估、應(yīng)用風(fēng)險評估等。   安全整體框架的設(shè)計 風(fēng)險評估的目的,不僅在于明確風(fēng)險,更重要的是為管理風(fēng)險提供基礎(chǔ)和依據(jù)。作為評估直接輸出,用于進(jìn)行風(fēng)險管理的安全整體框架,至少應(yīng)該明確。但是由于不同企業(yè)環(huán)境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應(yīng)用較少。但是,企業(yè)至少應(yīng)該完成近期1~2年內(nèi)框架,這樣才能做到有律可依。   多用戶決策評估 不同層面的用戶能看到不同的問題,要全面了解風(fēng)險,必須進(jìn)行多用戶溝通評估。將評估過程作為多用戶"決策"過程,對于了解風(fēng)險、理解風(fēng)險、管理風(fēng)險、落實行動,具有極大的意義。事實證明,多用戶參與的效果非常明顯。多用戶"決策"評估,也需要一個具體的流程和方法。   敏感性分析 由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián),使得風(fēng)險越來越隱蔽。要提高評估效果,必須進(jìn)行深入關(guān)聯(lián)分析,比如對一個老漏洞,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞,找出病"根",開出有效的"處方"。這需要強大的評估經(jīng)驗知識庫支撐,同時要求評估者具有敏銳的分析能力。   集中化決策管理 安全風(fēng)險評估需要具有多種知識和能力的人參與,對這些能力和知識的管理,有助于提高評估的效果。集中化決策管理,是評估項目成功的保障條件之一,它不僅是項目管理問題,而且是知識、能力等"基因"的組合運用。必須選用具有特殊技能的人,去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺審計和滲透性測試,由不具備攻防經(jīng)驗和知識的人執(zhí)行,就達(dá)不到任何效果。   評估結(jié)果管理 安全風(fēng)險評估的輸出,不應(yīng)是文檔的堆砌,而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個完整的風(fēng)險管理系統(tǒng),但至少是一個非常重要的可管理的風(fēng)險表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng),使用它來指導(dǎo)評估過程,管理評估結(jié)果,以便在管理層面提高評估效果。   關(guān)于風(fēng)險評估理論標(biāo)準(zhǔn),國際上較為認(rèn)可的有ISO/IEC 13335IT安全管理指南、AS/NZS 4360風(fēng)險管理標(biāo)準(zhǔn)、BS7799-1(ISO/IEC 17799)基于風(fēng)險管理的信息安全管理體系等幾種,他們均對風(fēng)險評估給予了明確的定義和指導(dǎo)。 與風(fēng)險評估相關(guān)的標(biāo)準(zhǔn)還有NIST SP800,其中,NIST SP800-53/60描述了信息系統(tǒng)與安全目標(biāo)及風(fēng)險級別對應(yīng)指南,NIST SP800-26/30分別描述了自評估指南和風(fēng)險管理指南。 另外,COBIT、ITIL等逐漸引起人們的關(guān)注。目前業(yè)內(nèi)使用的評估方法,基本是由這幾類標(biāo)準(zhǔn)演化而來。   (CCW)  
發(fā)布:2007-04-22 10:09    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
沈陽OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普沈陽OA快博其他應(yīng)用

沈陽OA軟件 沈陽OA新聞動態(tài) 沈陽OA信息化 沈陽OA快博 沈陽OA行業(yè)資訊 沈陽軟件開發(fā)公司 沈陽門禁系統(tǒng) 沈陽物業(yè)管理軟件 沈陽倉庫管理軟件 沈陽餐飲管理軟件 沈陽網(wǎng)站建設(shè)公司