信息系統(tǒng)安全管理與風(fēng)險評估
信息時代既帶給我們無限商機(jī)與方便�����,也充斥著隱患與危險�����。越來越多的黑客通過網(wǎng)絡(luò)肆意侵入企業(yè)的計算機(jī)����,盜取重要資料�,或者破壞企業(yè)網(wǎng)絡(luò),使其陷入癱瘓���,造成巨大損失。因此,網(wǎng)絡(luò)安全越來越重要���。企業(yè)網(wǎng)絡(luò)安全的核心是企業(yè)信息的安全����。具體來說����,也就涉及到企業(yè)信息系統(tǒng)的安全問題。一套科學(xué)�、合理、完整�����、有效的網(wǎng)絡(luò)信息安全保障體系��,就成為網(wǎng)絡(luò)信息系統(tǒng)設(shè)計和建設(shè)者們追求的主要目標(biāo)����。信息安全是整個網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的最終目標(biāo),信息系統(tǒng)安全的建立必須以一系列網(wǎng)絡(luò)安全技術(shù)為摹礎(chǔ)��。但信息系統(tǒng)是一個綜合的�����、動態(tài)的、多層次之間相結(jié)合的復(fù)雜系統(tǒng)�,只從網(wǎng)絡(luò)安全技術(shù)的角度保證整個信息系統(tǒng)的安全是很網(wǎng)難的,網(wǎng)絡(luò)信息系統(tǒng)對安全的整體是任何一種單元安全技術(shù)都無法解決的���。岡此對信息系統(tǒng)的安全方案的設(shè)計必須以科學(xué)的安全體系結(jié)構(gòu)模型為依據(jù)�����,才能保障整個安全體系的完備性�����、合理性��。
??????? 制定安全目標(biāo)和安全策略對于建造一個安全的計算機(jī)系統(tǒng)是舉足輕重的��。網(wǎng)絡(luò)上可采用安全技術(shù)例如防火墻等實現(xiàn)網(wǎng)絡(luò)安全�����, 軟件開發(fā)上可選擇不同的安全粒度��, 如記錄級��,文件級 信息級等����。 在系統(tǒng)的各個層次中展開安全控制是非常有利的 �。在應(yīng)用軟件層上設(shè)置安全訪問控制是整個應(yīng)用系統(tǒng)安全性的重要步驟。 此外安全教育與管理也是系統(tǒng)安全的重要方面 ��。信息系統(tǒng)的安全管理就是以行政手段對系統(tǒng)的安全活動進(jìn)行綜合管理�����, 并與技術(shù)策略和措施相結(jié)合 ��,從而使信息系統(tǒng)達(dá)到整體上的安全水平�。 其實, 在系統(tǒng)的安全保護(hù)措施中����, 技術(shù)性安全措施所占的比例很小 ,而更多則是非技術(shù)性安全措施�。 兩者之間是互相補(bǔ)充, 彼此促進(jìn) ��,相輔相成的關(guān)系��。 信息系統(tǒng)的安全性并不僅僅是技術(shù)問題 ,而嚴(yán)格管理和法律制度才是保證系統(tǒng)安全和可靠的根本保障�。
??????? 信息系統(tǒng)安全是計算機(jī)信息系統(tǒng)運(yùn)行保障機(jī)制的重要內(nèi)容。他的不安全因素主要來自以下幾個方面:物理部分 主要有機(jī)房不達(dá)標(biāo)設(shè)備缺乏保護(hù)措施和存在管理漏洞等�����。軟件部分 ��,安全因素主要有操作系統(tǒng)安全和數(shù)據(jù)庫系統(tǒng)安全�。網(wǎng)絡(luò)部分 ,包括內(nèi)部網(wǎng)安全和內(nèi)h外部網(wǎng)連接安全兩方面���。信息部分�����, 安全的因素有信息傳輸線路不安全存儲保護(hù)技術(shù)有弱點(diǎn)及使用管理不嚴(yán)格等����。
??????? 信息系統(tǒng)安全風(fēng)險評估是一種對信息系統(tǒng)所面臨各類危及信息安全的影響岡素進(jìn)行的綜合評判和分析����。由于系統(tǒng)存在脆弱性、人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的影響��,使信息系統(tǒng)的安全存在風(fēng)險。信息安全風(fēng)險評估就是要依據(jù)同家有關(guān)的信息安全技術(shù)標(biāo)準(zhǔn)���,對信息系統(tǒng)及由其處理��、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價��,它要評估信息系統(tǒng)的脆弱性���、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后產(chǎn)生的實際負(fù)面影響����,并根據(jù)安全事件產(chǎn)生的可能性和負(fù)面影響的程度來標(biāo)識信息系統(tǒng)的安全風(fēng)險����。信息系統(tǒng)安全風(fēng)險評估也是對信息系統(tǒng)所面臨威脅的評估和信息系統(tǒng)脆弱性的評估。信息系統(tǒng)所面臨的威脅主要是指可能對信息系統(tǒng)造成不期望事件的主體����,這些威脅主要來自于:
??????? 1.通過網(wǎng)絡(luò)進(jìn)入信息系統(tǒng)的行為人。這種威脅是對信息系統(tǒng)基于網(wǎng)絡(luò)的威脅���,是行為人有意或無意的行為�����。
??????? 2.通過物理方式接近信息系統(tǒng)的行為人��。這種威脅是對信息系統(tǒng)的物理威脅����,是行為人有意或無意的行為。
??????? 3.系統(tǒng)缺陷造成的威脅�。包括硬件缺陷、軟件缺陷�、相關(guān)系統(tǒng)的不可用性,重要基建的不可用性造成的威脅���。
??????? 4.病毒和惡意代碼的威脅��。目前病毒和惡意代碼已經(jīng)成為影響信息系統(tǒng)安全運(yùn)行的重要因素��。
??????? 5.自然災(zāi)害的威脅�。如洪水����、地震或風(fēng)暴。
??????? 信息系統(tǒng)的脆弱性是指信息系統(tǒng)中存在著可以被威脅主體所利用的造成對系統(tǒng)不期望影響的缺陷或弱點(diǎn),主要有:
??????? 1.技術(shù)脆弱性:主要是指信息系統(tǒng)技術(shù)方面存在的弱點(diǎn)可以被威脅主體所利用并最終導(dǎo)致對系統(tǒng)產(chǎn)生不良影響��。如操作系統(tǒng)存在漏洞�,系統(tǒng)巾多個不受控外聯(lián)網(wǎng)絡(luò),沒有防病毒工具可能被病毒利用導(dǎo)致系統(tǒng)被病毒感染����。
??????? 2.組織脆弱性:由于信息系統(tǒng)管理組織的問題,導(dǎo)致信息系統(tǒng)被威脅網(wǎng)素所利用造成對系統(tǒng)的不良影響�。如沒有人負(fù)責(zé)防病毒代碼庫的更新,對系統(tǒng)中介質(zhì)的使剛沒有任何約束�,可能被病毒利用導(dǎo)致系統(tǒng)感染����。
??????? 信息系統(tǒng)安全風(fēng)險評估是信息系統(tǒng)安全保障體系建立過程中的重要評判方法和決策機(jī)制,主要有以下作用:
??????? 1.明確信息系統(tǒng)的安全現(xiàn)狀���。通過評估可以讓信息系統(tǒng)的管理組織準(zhǔn)確了解自身的網(wǎng)絡(luò)��、各種應(yīng)崩系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀����,從而明晰信息系統(tǒng)安全的需求����。
??????? 2.確定信息系統(tǒng)的主要安全風(fēng)險����。對信息系統(tǒng)進(jìn)行信息安全評估并對風(fēng)險分級��,讓信息系統(tǒng)的管理組織選擇處置措施��。
??????? 3.指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)�。信息系統(tǒng)安全風(fēng)險評估,有助于信息系統(tǒng)的安全策略及安全解決方案的制定�,并指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建沒。
??????? 通過評估��,可以明晰信息系統(tǒng)所面臨的安全風(fēng)險��,制定相應(yīng)的安全策略并組織實施��,使南信息系統(tǒng)所面臨的風(fēng)險引發(fā)的安全事件的可能性降低到最小�。它是信息系統(tǒng)安全工作的一個重要環(huán)節(jié),信息系統(tǒng)的安全策略的制定和實施包括:信息系統(tǒng)安全管理策略�����;信息系統(tǒng)安全運(yùn)行策略�。安全符理策略規(guī)定了針對信息系統(tǒng)的組織管理和技術(shù)管理的安全保護(hù)策略,包括:
??????? 1.信息系統(tǒng)組織策略。它包括人事安全管理制度��,操作安全管理制度�����,場地與設(shè)施管理制度����,設(shè)備安全管理制度,網(wǎng)絡(luò)維護(hù)安全管理制度�,操作系統(tǒng)、數(shù)據(jù)庫安全管理制度�,計算機(jī)網(wǎng)絡(luò)安全管理制度,應(yīng)用軟件安全管理制度���,技術(shù)文檔、資料安全管理制度�,口令安全管理制度,應(yīng)急管理制度��。
??????? 2.安全貫徹策略�。它主要指為整個信息系統(tǒng)制定統(tǒng)一的安全策略。包括安全策略宣傳貫徹體系���、安全策略評審與評估體系����,整個信息系統(tǒng)安全策略的一致性檢查等。
??????? 3.人員安全策略��。包括定義工作職責(zé)中的安全責(zé)任���,建立人員資質(zhì)審查策略����,與重要員工簽署保密協(xié)議�����,建立定期的信息安全教育和培訓(xùn)體系�����,建立安全事故報告制度��,建立安全弱點(diǎn)報告制度�,建立軟件故障報告制度,建立安全事件分析總結(jié)制度���,建立違規(guī)處罰制度���。
??????? 4.物理和環(huán)境安全策略��。包括建立基本的物理安全邊界��,在重要的信息處理設(shè)備進(jìn)出口處設(shè)置保安設(shè)施��,對所有信息設(shè)備采取物理保護(hù)措施�,保障電力��,保護(hù)傳輸電纜�����,設(shè)備定期維護(hù)�����,保障離開安全區(qū)域的設(shè)備安全���,建立設(shè)備報廢或再啟用安全流程。
??????? 信息系統(tǒng)訪問控制策略包括有:強(qiáng)口令設(shè)置管理���;? 身份認(rèn)證管理����;訪問外網(wǎng)控制;用戶身份及權(quán)限及時更新�����;網(wǎng)絡(luò)邊界安全策略����;網(wǎng)絡(luò)入侵檢測。網(wǎng)絡(luò)系統(tǒng)安全策略包括線路冗余���,網(wǎng)絡(luò)設(shè)備冗余����,服務(wù)器的高可用性��。
??????? 計算機(jī)系統(tǒng)平臺安全策略包括計算機(jī)防病毒體系的建立�����、信息系統(tǒng)的審計����、主機(jī)入侵檢測和系統(tǒng)加固���。除此之外,還有信息資源管理與安全監(jiān)控�。負(fù)責(zé)整個信息系統(tǒng)的日常運(yùn)行維護(hù)、資源管理����、設(shè)備報廢、設(shè)備登記�、軟硬件設(shè)備接入、網(wǎng)絡(luò)故障排除�����、網(wǎng)絡(luò)流量統(tǒng)計分析�����、安全設(shè)備及安全事件分析處理等����。對重要的服務(wù)器和重要的客戶機(jī)進(jìn)行安全加固��,對網(wǎng)絡(luò)設(shè)備及安全設(shè)備統(tǒng)一進(jìn)行安全配置。(1)定期安全評估�。(2)備份與恢復(fù)。(3)病毒����、漏洞管理。
??????? 任何信息安全系統(tǒng)都不可能保障信息系統(tǒng)的絕對安全�����,因此����,必須建立信息系統(tǒng)的應(yīng)急響應(yīng)系統(tǒng),以應(yīng)付突發(fā)事件的發(fā)生�����,使安全事件產(chǎn)生的影響最小化��。應(yīng)急響應(yīng)體系包括應(yīng)急組織機(jī)構(gòu)的建立����,突發(fā)事件的定位,風(fēng)險控制�,限制損害事故的后果��,應(yīng)急預(yù)案的確立并經(jīng)過演練后加以執(zhí)行�,以確保在所要求的時間期限內(nèi)恢復(fù)業(yè)務(wù)處理�����,減少事件的影響�,減低系統(tǒng)的風(fēng)險。信息系統(tǒng)的管理組織應(yīng)針對各自的信息系統(tǒng)的實際情況制定安全應(yīng)急處理預(yù)案��,明確應(yīng)急指揮機(jī)構(gòu)�,明確信息安全事件的嚴(yán)重程度和類別以及應(yīng)急處理流程等內(nèi)容,編制具體應(yīng)急方案�。應(yīng)急響應(yīng)系統(tǒng)應(yīng)能處理各種應(yīng)急事件,對應(yīng)對信息系統(tǒng)的管理人員進(jìn)行相關(guān)的培訓(xùn)����,使應(yīng)急響應(yīng)系統(tǒng)發(fā)揮應(yīng)有的作用。應(yīng)急響應(yīng)系統(tǒng)應(yīng)跟蹤同內(nèi)外安全事故的發(fā)展趨勢�����,使其能夠處理新型安全事件的發(fā)生����。應(yīng)急響應(yīng)系統(tǒng)也要制定相應(yīng)的方案�����,做到有備無患。
???????
