风险评估:信息安全赢在起点
来源:天极网 更新时间:2012-04-13

黄惟冰

  近年来,随着企事业单位信息化进程的飞速发展,对信息系统的依赖性日益增长,信息安全的风险也逐步加大,信息安全界多年的实践表明,风险评估是信息安全建设的起点,可以帮助信息系统用户摸清家底,顺利进行信息系统规划和建设,重视风险评估工作,将帮助用户信息安全赢在起点。

  从国家角度而言,2003年,国家信息化领导小组便颁发27号文件《关于加强信息安全保障工作的意见》,意见中对我国信息安全保障工作做出原则性战略性的规定,要求之一便是实行风险评估。

  作为国家基础信息网络,某移动公司也迫切需要提高信息系统的信息安全保障水平,为了更好地促进安全保障工作,某移动公司需要立即启动一个安全评估和体系规划项目,以了解当时的安全现状,并对今后的安全工作做出指导,该移动公司经过对多家信息安全厂商的甄选,最终选择了由联想网御帮助自己实施风险评估。

  作为国内信息安全领军企业,联想网御与国家信息中心成立了信息安全风险评估联合实验室,参与了国家《信息安全风险评估指南》、《信息安全风险管理指南》的编写,是国家风险评估的支撑单位,其信息安全风险评估服务综合国内外相关标准与业界最佳实践,能为用户清晰地展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,为用户下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。

  针对某移动公司信息系统的特点,联想网御综合典型服务流程,为公司的信息系统制订了个性化风险评估方案,即先实施全面深度安全评估,再进行半年定期周期性安全评估。

  一.全面深度安全评估

  为了更清晰地了解某移动公司信息系统的目前状况,联想网御首先为该移动公司进行了一次全面深度评估,包括信息资产调查和安全评估,并建立了资产管理和风险信息库。

  信息资产调查

  信息资产调查是以IT设备为基本单位,调查设备的基本属性,如IP地址、设备型号、、版号、所存储的信息、连接方式等,以得到信息资产列表及资产信息库。在项目实施中,联想网御首先对该移动公司的全部TCP/IP网络的网元进行摸底调查,调查和统计该移动公司全部TCP/IP网络所包含的信息资产(包含物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等),明确其现有状况、配置情况和管理情况,并对所有信息资产按照标准进行资产赋值。

  对基本情况摸清以后,联想网御对该移动公司进行了拓扑结构调查和现有安全系统调查,拓扑结构调查包括对所有TCP/IP网络的拓扑结构进行调查,并按统一标准绘制成图,通过信息资产库进行动态管理;现有安全系统调查则包括明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统等)的部署情况和使用情况;同时了解在建网络与信息安全建设项目,使之服从统一部署原则。

   安全评估

  根据该移动公司信息系统的特点,联想网御综合运用工具评估、人工评估、网络架构评估、渗透性测试、应用评估和管理评估手段对该移动公司的信息系统进行全面深度的评估,发现系统漏洞,找出系统面临的安全威胁和风险,并给出指导建议。根据该移动公司现有的安全标准规范和业务对安全的要求,联想网御具体分析面临的威胁,评估现有系统的技术和管理方面的弱点,明确所有TCP/IP网络面临的安全风险和隐患。在评估过程中,要求既包含外部威胁,例如黑客攻击和病毒等,也包含内部威胁,例如内部人员误操作、不作为、滥用、软件漏洞、泄密等导致的风险。

   资产管理和风险信息库

  在信息资产调查和安全评估完成后,联想网御帮助用户开发和设计一套包含信息资产管理和风险信息管理的数据库系统,能够将本项目所产生的资产信息和风险评估信息进行统一管理和储存,可以对该移动公司所有信息资产及其资产风险进行关联管理。并具有资产管理和风险管理功能,以便后续更新和持续使用。

  在3个月的时间内,联想网御协助该移动公司完成全网IP网络深度评估,获知了该移动公司在当年上半年段IP网络的安全现状,然后在全面评估和资产管理和风险信息库的基础上设计并建立了安全体系。

  二.周期性安全评估

  周期性安全评估除了为该移动公司进行全面深度安全评估,联想网御还为该移动公司进行了周期性安全评估。

  周期性安全评估工作是构建安全体系重要的组成部分,通过定期安全评估将公司安全置于可控的环境。对该移动公司而言,进行定期安全评估主要是为了实现以下几个目标:获知全面评估后半年公司安全状况;更新公司信息资产,存入公司信息资产库,获知信息资产的状态,将资产服务等各种信息置于可控环境;定期对主要业务系统进行渗透测试及应用安全分析,以深度分析公司各系统安全状况,发现安全风险;提出分系统的安全解决方案。

  周期性安全评估对该移动公司的运行维护中心、计费业务中心、业务发展中心、网络部网管中心及郊运公司等5个主要部门,近五十多个系统进行摸底调查和评估,主要工作内容包括信息资产调查、终端设备安全评估、主机设备人工评估、网络及安全设备人工评估、系统应用安全评估以及渗透测试,在安全评估完成后,联想网御根据安全体系和规划的要求,结合评估结果对用户进行了安全需求分析,设计了系列技术(需要有详细的技术参数)和管理解决方案,并包含相应的实施方案以及实施效果的检查方案。

  通过全面深度安全评估和定期周期性安全评估,联想网御替该客户总结了一套以安全策略为核心,以组织保障为基础,以技术措施为工具,以运行维护为支撑的等级化安全体系设计的方法论。凭借此方法论和联想网御的后续帮助,该移动公司完成了安全工作的总体规划和分布实施,成功建立和运行了前瞻性、规范性和整体性的信息安全保障体系,保证了后续信息系统建设工作的兼容性,达到了长期安全效果明显并节省总体投资的良好效果。