来源:中国计算机用户 更新时间:2012-04-15
|
绿盟科技作为业界最具专业安全服务经验的专业公司之一,其相关产品和服务的知名度早已为客户所认可。日前,绿盟科技专业服务部总监王红阳,就目前信息安全风险评估以及风险管理的创新理念、前沿技术、创建适应企业发展的网络环境等问题,接受了本刊记者的采访。 记者:绿盟科技如何理解风险管理的概念?在这方面的研究有没有什么前沿性的课题? 王红阳:在COSO企业风险管理框架中,风险定义为任何可能影响某一组织实现其目标的事项。风险的范围可能是财务、合法性、符合性、运维、市场、战略、信息、技术、人员、声誉等方面。风险包括恶性事件带来的威胁、尚不能确定后果的事件、可转化为机会的事件。 风险管理是发现和了解组织中风险的各个方面, 并且付诸明智的行动帮助组织实现战略目标, 减少失败的可能并降低不确定的经营结果的整个过程。 信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。企业风险管理使管理当局能够有效的应对不确定性以及由此带来的风险和机会。 记者:信息资产风险管理的内容包括什么?通过怎样的策略和方案可以达到风险管理的目的? 王红阳:信息安全风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能存在的危害,以便为系统最终安全需求的提出提供依据。同时,也是为了分析网络信息系统的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。进而通过合理步骤,制定出适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。 信息安全风险评估是一个组织机构实现信息系统安全必要的、重要的步骤,可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。 通过信息安全风险评估,他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点;哪些威胁出现的可能性较大,造成的影响也较大,哪些威胁出现的可能性较小,造成的影响可以忽略不计;通过保护哪些资产,防止哪些威胁出现,如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的支持;更进一步,还会分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险。具体策略和方案为: ●需要建立信息安全管理体系(ISMS) 当前阶段,很多组织已经越来越意识到真正达到信息安全的目标仅仅通过安全产品是不能实现的,结合安全产品的信息安全管理体系(ISMS)的搭建才能实现信息系统的整体安全保障。因为目前,很多组织在安全管理方面还存在着如下一些问题:制度简单,内容不全;交叉重复,混乱无章;厚厚一本,无针对性;锁在柜中,无人知晓…… 信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。 建立信息安全管理体系(ISMS)可以强化员工的信息安全意识,规范组织信息安全行为;对组织的关键信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;使组织的商业伙伴和客户对组织充满信心;如果体系通过认证,表明体系符合标准,证明组织有能力保障重要信息,能提高组织的知名度与信任度;促使管理层坚持贯彻信息安全保障体系。 ●ISMS基本组成部分分析 ISMS的基本组成部分可以分为四层金字塔结构,最上层是总体方针,第二层是安全组织体系,第三层是涵盖物理、网络、系统、应用、数据等方面的统一安全策略,第四层是可操作的安全管理制度、操作规范和流程。
总体方针是整个组织信息安全体系的最高指导方针。它在充分遵循和参考国际国内信息安全管理标准、国家法律法规和行业规范的基础上,阐述了安全管理体系建设的目的、适用范围、安全定义、体系结构、安全原则、关键性成功因素和声明等内容,对组织技术和管理各方面的安全工作具有通用指导性。安全组织体系建立健全了组织信息系统的安全管理责任制。 它明确定义了组织内部的安全管理组织体系,以便在整个组织体系范围内执行信息安全的管理工作。安全策略体系分别从物理安全、网络安全、系统安全、应用安全、数据安全、病毒防护、安全教育、应急恢复、口令管理、安全审计、系统开发、第三方安全等方面提出了规范的安全策略要求。 安全管理制度、操作规范及流程主要是从应用角度对各业务系统、各种信息技术角色相关的安全管理制度、操作规范、流程等提出具体的要求,对安全管理工作具有实际的指导作用。 记者:风险高的企业,往往由于信息资产过多造成,如何对海量信息资产进行评估和分级? 王红阳:企业应当首先确定资产类别,如硬件、软件、数据、人员、文档以及消耗品。但是 ,仅仅确定资产是不够的,对资产进行分类也是非常重要的。对有形资产(包括设备、应用软件等)及人员(有形资产的用户或操作者、管理者)分别归类,同时关键是要在两者之间建立起对应关系。 有形资产可以通过资产的价值进行分类。如:机密级、内部访问级、共享级、未保密级。人员的分类,类似于有形资产的分类。 记者:针对企业信息资产的保护,整个的风险评估过程、实施过程、运行过程、管理过程分别是怎样的策略? 王红阳:重点是要调查并了解客户信息系统业务流程和运行环境,确定信息安全风险评估范围的边界以及范围内的所有信息系统,明确如下内容: * 评估的业务或应用。 * 信息资产(如硬件、软件、数据等)。 * 人员。 * 环境(如建筑、设备位置等)。 * 活动(如对资产进行的操作、相关的权限等)。 为创建更安全的业务环境,组织必须采取以下措施:评估企业的风险,并确定需要保护的资产;确定将风险降低到可接受级别的方法;制定一个缓解安全风险的计划;监视安全机制的效率;定期重新评估有效性和安全要求。 计算机用户:企业信息资产的风险管理如何分级?分级后应制订怎样的策略? 王红阳:我们将资产的权值分为0~4五个级别,由低到高代表资产的重要等级。原则就是根据影响的大小为资产进行相对赋值。 由于资产估价是一个主观的过程,考虑资产对于组织的商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。所以,必需对信息安全风险评估范围内的所有资产进行识别,并调查资产可用性、完整性和保密性破坏后分别可能造成的影响大小。 记者:针对组织中的信息资产,如何降低其运营风险,提高管理效率,提升生产效率? 王红阳:第一、是要从技术、管理、策略方面进行的脆弱程度检查,最终综合计算脆弱性值。在资产脆弱性调查中,首先进行管理脆弱性问卷的调查,发现整个系统在管理方面的弱点。然后对评估的所有主机和网络设备进行工具扫描和手动检查,对各资产的系统漏洞和安全策略缺陷进行调查。最后对收集到的各资产管理和技术脆弱性数据进行综合分析,根据每种脆弱性所应考虑的因素是否符合,确定每种资产可能被威胁利用的脆弱性的权值。 参照国际通行作法和专家经验,将资产存在的脆弱性分为5个等级,分别是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且从高到低分别赋值4~0。 第二、要对获得的数据进行信息安全风险值计算,以区分、确认高风险因素。 |