“没有网络安全就没有国家安全”
“国家关键信息基础设施面临较大的风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,党们当然也不例外。”
信息安全风险评估简称“风险评估”,是指依据有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。风险评估是风险管理的基础,是组织确定信息安全要求的途径之一,属于企业信息安全管理体系建设的过程。通过风险评估识别企业所面临的安全风险并确定风险控制的优先等级,从而对其实施有效控制,将风险控制在企业可以接受的范围之内。
“信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统的分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险、将风险控制在可接受的水平、最大限度的保障信息安全提供必要的科学依据。”
----国信办[2006]5号文件
风险评估包括风险识别、风险分析、风险评价的全过程,基本流程如下图所示:
01
确认评估范围
风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
02
资产识别与赋值
资产是一个完整信息系统的组成部分,风险评估对象。
信息系统的资产包括:
² 物理资产:包括服务器设、终端设备、网络设备及其它设备等。
² 软件资产:包括系统软件、业务应用软件、办公自动化软件及其它应用软件等。
² 数据资产:包括系统数据、业务数据、办公数据、技术文档数据及其它数据等。
² 其他资产:包括被评估机构的人力、声誉等。
资产识别:
信息安全风险评估的对象是部门中风险评估范围内的所有资产。这些资产容易受到安全威胁的侵害。因此正确的管理这些资产,对于一个部门来说是非常重要的,他也是所有级别安全管理的责任之所在。为了进行风险评估,就必须对评估范围内的相关资产进行识别鉴定,根据资产在业务和应用流程中的作用进行估价。
资产赋值:
在识别出所有信息资产后,接着是为每项资产进行赋予价值。资产估价是一个主观的过程,资产价值不是以资产的账面价格来衡量的,而是指相对价值。在对资产进行估价时,不仅要考虑资产的成本价格,更重要的是考虑资产对于组织的业务重要性,即根据资产损失所引发的潜在的业务影响来决定。组织应按照上述原则,建立一个资产价值尺度以明确如何对资产进行赋值。一般按资产CIA三性进行赋值。
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。下图提供了一种机密性赋值的参考:
根据最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。下图中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
03
威胁识别
威胁可以通过威胁源、能力、资源、动机、途径可能性、后果等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机、人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。威胁是客观存在的,不可能被消灭或改变。更确切地说某一特定资产必然面对某些特定的威胁。
04
脆弱性评估
脆弱性是指资产或资产组中可能被威胁利用的薄弱环节。这些薄弱环节可能位于包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以是以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从、网络、系统、应用、管理、管理等层次进行识别,然后与资产、威胁对应起来。
脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。下图提供了脆弱性严重程度的一种赋值方法。
05
已有安全措施识别
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全控制直接决定了安全事件发生的可能性高低及其不良影响的大小。因此,安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的,提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案,业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块,各版块相互独立又相辅相成,完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。
关注镌远科技,关注网络安全!
河北省邯郸市丛台区中华北大街193号慧谷大厦14层
总部地址:北京冠程科技有限公司
北京市昌平区科技园区东区产业基地企业墅上区一号楼九单元四层
实训基地:河北省石家庄市电子信息学校冠程科技研究与实训中心
欢迎扫描关注我们,及时了解更多关于网络安全相关知识