企业公司风险评估分析与实践
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【经典资料,WORD文档,可编辑修改】【经典考试资料,答案附后,看后必过,WORD文档,可修改】风险评估分析与实践
[摘要] 风险评估的极端重要性已经越来越被用户认同。在四年多的风险评估实践中,在从覆盖政府,以及电信、金融等众多行业的逾百个大小用户的风险评估实践中,我们可以清晰地感受到用户安全意识的提高,以及安全需求的不断明确。
一、前言
风险评估的极端重要性已经越来越被用户认同。在四年多的风险评估实践中,在从覆盖政府,以及电信、金融等众多行业的逾百个大小用户的风险评估实践中,我们可以清晰地感受到用户安全意识的提高,以及安全需求的不断明确。在2000-2001年,大多数用户的安全评估需求主要集中于系统脆弱性评估和渗透性测试;在2001-2002年,多数用户的安全评估需求已经侧重于整个管理体系的评估和对特定应用系统的评估;从2002年开始,许多行业用户对全面风险评估和等级化评估提出了要求。
二、标准与理论
我们在风险评估实践中,主要参考了BS 7799(ISO/IEC 17799)、ISO/IEC 15408-1999(等同GB/T 18336-2001)、ISO/IEC 13335、SSE-CMM等标准。另
三、风险评估模型
资产由于自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。换句话说,风险分析的过程实际上就是对影响、威胁和脆弱性进行分析的过程,而且都紧紧围绕着资产。在风险评估中,资产的价值、资产被破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度都是风险评估的关键因素。
在ISO/IEC 13335中描述了非正式风险评估、基线风险评估、详细风险评估、综合风险评估等四种方法。国内目前推行的《信息系统安全等级保护评估指南》接近于基线评估方法。
基线风险评估是指通过对信息系统实施一些标准的安全防范措施使其达到一个最基本的安全级别。这种评估方法不考虑系统所面对的具体风险有多大,而是对安全风险模型中系统资产所面临的威胁、脆弱性及其受破坏后造成的影响直接进行问题分析,为客户信息系统建立系统安全基线或更高一级的安全要求。采用基线风险评估方法,因为涉及到安全基线或某一级别安全要求的建立,实施时通常需要参照相关标准、规范和政策。基线风险评估的优点是不需花费太多的人力、物力和财力,尤其是在安全需求相同时比较有效。基线风险评估的主要缺点是通用安全标准针对性不强。
详细风险评估是对一个信息系统中的所有资产都进行仔细的风险评估分析,包括资产识别和评估,对资产所面临的安全威胁的评估,以及对其脆弱性的评估。然后,在这些评估分析的基础上再进行最后综合的风险分析,针对高风险实施合适的安全防范措施,并制定出相应的风险控制策略。详细风险评估的优点是对所有的系统都进行了适当的安全防范鉴定,而且这种分析评估的结果也可以在处置安全状况改变中应用。详细风险评估的缺点是需要相当多的时间和精力、财力、物力以及专业能力去获得结果,有可能的情况是提出的安全需求大大滞后于时间要求,从实际项目的经验上看,不适用大规模的风险评估需求。
综合风险评估首先对所有的信息系统进行一次较高级别的安全分析,并在分析中关注它对整个业务的价值以及它所面临的风险严重程度,对那些被鉴定为对业务非常重要或面临严重风险的部分进行详细风险评估分析,而对于其它的信息系统则采取基本风险评估方法。综合风险评估的优点是能够快捷简便地得到可接受的安全风险评估分析程序,迅速地为一个机构组织建立一个安全程序的策略。缺点是在进行高层安全分析时可能遗漏某些重要的部分。
等级保护比较接近于基线评估,没有对安全威胁进行太多考虑,易于实施,而等级保障更强调多种风险因素和保障措施的综合考虑,对实施者的要求较高。
图2:传统风险评估流程图
在实践中,我们发现在进行大规模网络评估时,即使使用综合风险评估方法,在有人力和时间资源限制的情况时,由于很多行业不存在安全基线的概念,往往不能及时达到评估目标,只能采用不够准确的非正式评估或对非重要资产也进行详细分析。但是其结果要么不够准确和标准,要么使得评估周期加长,增加了评估成本。因此我们尝试在一些评估项目中更多融入了等级评估的过程和基于等级保障分析的思想,从而使评估成本和效果能够达到比较好的均衡。
如图3所示:首先,我们使用等级/保障保护思想进行高层业务分析和分级,然后,对重点/高级别业务使用全面风险评估方法,对一般业务使用等级(基线)评估方式。由于大多数行业和用户目前没有安全基线标准,一般情况下使用非正式方式进行。在报告输出分析阶段,同样也采用保障等级分析的思想进行分析和输出报告。通过采用这样的评估方法,可以为业务重要等级的划分提供统一的标准,不但提高了大规模评估的速度,而且方便了评估结果的输出和完整性。
图3:综合的风险评估流程
从上面的风险评估过程的设计实例,我们可以看到,经过多个项目的总结和实施后,整个风险评估的过程已经比较规范并能在不同的评估项目中进行复制。但是和传统风险评估过程不同的是,我们已经在整个评估过程中加入了“安全区域等级划分”、“等级评估”和“差异分析”两个部分。这两个过程的实施,能够比较好的区分评估业务重点,并规范相对非重要业务的评估内容和输出结果。
而在后续报告输出中,同样可以采用差异分析,并结合《信息系统安全保障通用评估准则》的要求,使最终的评估报告一方面能够融入等级保护/保护的要求并指导后续安全建设,同时也符合中办27号文中重视风险评估,进行信息安全保障建设的要求。