CSDN博客

img Nsun

十 风险评估

发表于2004/10/23 13:14:00  8095人阅读

2.10风险评估

2.10.1等级保护
    随着信息技术的发展,信息系统安全问题已经被提到关系国家安全和国家主权的战略
性高度,已引起党和国家领导同志和社会各界的关注。特别是随着"金"字工程、政府上网
、电子商务、电子军事等信息化建设和发展,作为现代信息社会重要基础设施的信息系统
,其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。

  1998年5月22日,美国颁布了关于保护基础设施的总统决策令,提出了在五年内建立起
保护基础设施免受蓄意攻击的能力,建立一个可靠、互联和安全的信息系统基础设施的保
护框架,从而实现保障国内安全和国际安全的双重目的。因此,加紧我国计算机信息系统
安全等级保护制度基础建设,尽快建立能适应和保障我国信息产业健康发展的国家信息系
统安全等级保护制度,全面提高国家信息系统安全保护水平,从根本上、基础上解决信息
化带来的国家基础设施脆弱性问题,已迫在眉睫。

2.10.2风险评估的含义和必要性
    信息安全是动态的安全,原因有二:
    首先,投入使用的信息系统是动态的系统,所要求的安全也是动态的安全。
    其次,信息系统的安全要求具有随机性,针对系统的攻击也具有随机性。软硬件和计
算能力不断发展,各种漏洞不断被发现,密码算法和数学研究也在取得进展,这一切使得
曾经相对安全的信息系统也会在短时间内变得不安全,必须重新设计。
    这一结论提示我们,应该将信息安全看作一个不断循环的过程。研究信息安全问题应
该从信息分级和风险评估的入手,站在更高的角度而不是就事论事。力争建立风险模型,
实现风险管理。风险评估的要素包括系统的资产,脆弱性,威胁,安全需求,风险,安全
使命等,相互之间的关系见下图:
http://bbs1.nju.edu.cn/file/Hacker/eval.jpg
    系统存在着脆弱性,就是通常所说技术上的漏洞,可以被利用的漏洞。再加上人为或
自然的威胁,导致一些信息安全事件的发生的可能性及其造成的影响,特别是负面影响。
也就是说脆弱性和威胁是原因,可能性和影响是结果,当然还有一些其他的要素。信息安
全风险评估是指对信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等安
全属性进行科学识别和评价的过程,利用适当的风险评估工具,包括定性和定量的方法,
确定信息资产的风险等级和优先风险控制顺序。
    人们的认识能力和实践能力,从阶段性的考虑来说总是有局限性的。 因此信息系统存
在的脆弱性是不可避免的。对于正在使用的一个庞大的、复杂的技术系统来说,在长时间
内是不可避免的。因此,在现实环境中,人们总是要面临着各种各样的威胁,或者说信息
安全风险是必然的。在这种情况下,通过适当的、足够的,有时候是综合的安全措施来控
制风险,最终目的是使残余下来的风险可以降低到最低程度。任何信息系统都会有安全风
险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出
风险控制后,仍然存在的残余风险可被接受的信息系统。采取安全措施的目的是控制风险
,将残余风险控制在能够接受的范围内。

2.10.3风险评估的意义和作用
    风险评估并不是一项可有可无的工作,而是必须引起重视的一个环节:
  风险评估是信息系统安全的基础性工作。
  风险评估是分级防护和突出重点的具体体现。等级保护的出发点就是要突出重
点,要突出重点要害部位,分级负责,分层实施。
    加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。风险评估对信息系统
生命周期予以支持支持,生命周期有几个阶段,有规划和启动阶段,设计开发或采购阶段
等等。信息系统在设计阶段的时候,就应该考虑风险评估。
    信息系统安全风险评估的总体目标是认清信息安全环境、信息安全状况,有助于达成
公式,明确责任,采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持
一致性和持续性。

2.10.4信息安全风险评估的基本要求
    探讨信息安全风险评估的基本要求,有助于思考一些问题。现在的信息系统可以是一
个组织乃至个人组织、乃至国家完成使命的一种手段,因此要从使命出发。由于信息化取
得了很多的成果,得到了很广泛的应用,所以他们就产生了资产,对于资产的问题,信息
安全专家和经济学家探讨的时候还有一些不同的看法,但是他们也有普遍的认识,安全专
家用信息资产这个概念来描述信息化的成果,或者在信息化过程中从中衡量。信息安全威
胁方面,当前信息化过程中有来自很多方面的威胁,既有人为的,也有自然的,都可能对
信息系统造成威胁。
    残余风险,风险不可能完全消除,由于信息化的发展,信息系统已经渗透到这个社会
生活的各个方面,已经逐渐成为一个谁也离不开的东西,因此信息化所带来得好处,会受
到方方面面的危险,因此它的风险也许在相当长的时间之内完全消除是不现实的,所以必
须承认即使采取了措施,即使加强了保护,即使投入了很多的资源,最终还是要面临风险
。因此,风险管理、风险意识,特别是现在的情况下,值得重视。
    对于安全措施,要考虑评估已有的安全措施是否还有效,是否有待加强。安全措施一
般分为保护、检测、响应,恢复,还有管理。通过安全措施对资产加以保护,对脆弱性加
以弥补,从而可降低风险。实施了安全措施后,威胁只能形成残余风险。而这个过程中往
往是很多措施共同起作用的过程, 27号文件(见下一节)就提出来,积极防御、综合防范
的策略原则。我们要考虑采取措施往往是综合的,特别是安全比较高的系统往往采取综合
性的措施加以防范。

2.10.5风险评估的现状和问题
    我国信息系统安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早
期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高。
    当前存在的问题有:信息系统安全风险评估的研究积累不足、缺乏信息系统安全风险
评估的规范化标准、缺乏人才、信息系统安全风险评估的角色和责任有待进一步明确。

    国内对风险评估的研究正方兴未艾,在此背景下,2003年7月召开的国家信息化领导小
组第三次会议上,讨论了《关于加强信息安全保障工作的意见》。2003年9月,中共中央办
公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(简
称27号文)。27号文在分析了我国当前信息安全保障工作的基本状况的基础上,为进一步
提高信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发
展,提出了加强信息安全保障工作的总体要求和主要原则并对下一步信息安全保障工作做
了全面部署。其中信息安全风险评估是信息安全保障的重要基础性工作之一。27号文的发
布,在社会各界引起了不同程度的反响,掀起了有关信息安全风险评估国家政策和标准规
范制定、信息安全风险评估理论和方法研究以及信息安全风险评估技术与工具开发的热潮

   我国在信息安全产品的测评认证方面开展了一些工作,积累了一些经验,但是对信息系
统的风险评估还处于起步阶段,有待规范提高,并需纳入等级保护的机制中,已经显现的
问题和可能发生的问题,也有待深入研究,提出解决方法。
    对于系统的资产,应根据其价值来划分安全等级,分析安全风险,确定应该采用的安
全措施。一个成功的安全系统是个矩阵,或者是多种手段、技术和子系统的结合,只要可
能,应使用多种安全规则和技术来保护每个资源。使用多种手段和技术可以弥补每个单独
技术的弱点,从而提高整体安全新。

Nsun 2004
阅读全文
0 0

相关文章推荐

img
取 消
img