信息安全风险分析(推荐8篇)
2003-11-17 15:05
摘要
我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。要强化电子政务环境下公务员的信息安全意识,建立电子政务信息安全管理机构,完善信息安全基础设施和扶持国有信息安全产业的发展。
1电子政务信息安全的内涵
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。电子政务的建立将使政府成为一个更符合环保精神的政府,一个更开放透明的政府,一个更有效率的政府,一个更廉洁勤政的政府。然而,电子政务的职能与优势得以实现的一个根本前提是信息安全的有效保障。因为电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。如果电子政务信息安全得不到保障,电子政务的便利与效率便无从保证,对国家利益将带来严重威胁。电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题。
电子政务的信息安全可以理解为:
(1)从信息的层次看,包括信息的完整性(保证信息的来源、去向、内容真实无误)、保密性(保证信息不会被非法泄露扩散)、不可否认性(保证信息的发送和接收者无法否认自己所做过的操作行为)等。
(2)从网络层次看,包括可靠性(保证网络和信息系统随时可用,运行过程中不出现故障,遇意外事故能够尽量减少损失并尽早恢复正常)、可控性(保证营运者对网络和信息系统有足够的控制和管理能力)、互操作性(保证协议和系统能够互相联接)、可计算性(保证准确跟踪实体运行达到审计和识别的目的)等。
(3)从设备层次看,包括质量保证、设备备份、物理安全等。
(4)从管理层次看,包括人员可靠、规章制度完整等。
2电子政务信息安全风险分析
现阶段,我国电子政务信息安全系数比较低。公安部1998年8月在江苏、上海、广东等省(市)对169信息网进行检测,发现其设防能力十分脆弱,难以抵御任何方式的电子攻击。电子政务信息安全风险主要存在4个方面。
2.1观念方面
著名信息安全专家、中国工程院院士沈昌祥从国家安全利益出发,提出应把信息系统安全建设提高到研制“两弹一星”的高度去认识。1999年政府上网工程启动以来,政府部门越来越重视网络系统建设,看重网络带来的便利与高效,但是有些地方对信息安全工作未引起足够重视。据估计,我国在网络工程中网络安全的投入费用不到2%,同国外的10%相比有较大差距。现阶段,电子政务网络的开放程度不高,一些机密信息目前还没有上网,再加之公众对计算机犯罪的态度较为“宽容”,认为并没有造成直接的人员财产损失,这都使得公务员和普通大众对信息安全问题关注不够,信息安全意识淡薄。
2.2技术方面
(1)计算机系统本身的脆弱性,使得它无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。如:洪水、火灾、地震的破坏,系统所处环境的影响(温湿度、磁场、碰撞、污染等),硬件设备故障,突然断电或电压不稳定及各种误操作等。这些危害会损害操作系统设备,有时会丢失或破坏数据,甚至毁掉整个系统。
(2)网络本身存在缺陷。首先,软件本身缺乏安全性。操作系统的设计一般着重于提高信息处理的能力和效率,对于安全只是作为一项附带的条件加以考虑。因此,操作系统中的安全缺陷相当多。其次,通信与网络设备本身有弱点。绝大多数电子政务信息网络运行的是TCP/IP,NetBEUI,IPX/SPX等网络协议,而这些网络协议并非专为安全通讯而设计。利用这些网络进行服务,本身就可能存在多方面的威胁,加之使用者信息安全意识淡薄,管理者管理措施不力等原因,会造成一些常见的安全问题:对物理通路的干扰;网络链路传送的数据被窃听;非授权用户非法使用,信息被拦截或监听;操作系统存在的网络安全漏洞;应用平台的安全,如数据库服务器、电子邮件服务器等均存在大量的安全隐患,很容易受到病毒、黑客攻击;直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。再次,目前世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统,缺乏统一的信息安全标准、密码算法和协议,因而无法进行严格的安全确认。
(3)我国具有自主知识产权的信息设备、技术、产品较少,如计算机芯片、骨干路由器和微机主板等基本上从国外进口,且对引进技术和设备缺乏必要的技术改造,尤其是在系统安全和安全协议的研究和应用方面。而美欧等发达国家对我国限制和封锁信息安全高密度产品,出口到我国的信息产品中留有安全隐患。例如,美国出口我国的计算机系统的安全系统只有C2级,是美国国防部规定的8个安全级别之中的倒数第三;在操作系统、数据库管理系统或应用程序中预先安置从事情报收集、受控激发破坏的“特洛伊木马”程序,一旦发生重大情况,那些隐藏在软件中的“特洛伊木马”就能够在某种秘密指令下激活,造成我国电子政务关键软件系统的瘫痪。
2.3管理方面
对现有的网络攻击和入侵事件的一项统计报告显示:国外政府入侵的安全风险指数为21%,黑客入侵的安全风险指数为48%,竞争对手入侵的安全风险指数为72%,组织内部不满雇员入侵的安全风险指数为89%。这说明,电子政务信息安全不是单纯的技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施,再好的技术和设备都无法确保其信息安全。管理上的漏洞,例如,机房重地随意进出,微机或工作站管理人员在开机状态下擅离岗位,敏感信息临时存放在本地的磁盘上,这些信息处于未保护状态,都会为外部入侵,更为内部破坏埋下隐患。其中,来自内部的安全威胁可能会更大,因为内部人员了解内部的网络、主机和应用系统的结构;能够知道内部网络和系统管理员的工作规律,甚至自己就是管理员;拥有系统的一定的访问权限,可以轻易地绕过许多访问控制机制;在内部系统进行网络刺探、尝试登录、破解密码等都相对容易。如果内部人员为了报复或销毁某些记录而突然发难,在系统中植入病毒或改变某些程序设置,就有可能造成损失。内部人员的破坏活动也并不局限于破坏计算机系统,还包括越权处理公务、窃取国家机密数据等。
2.4法律方面
黑客攻击、病毒入侵等网络犯罪的日益增多与网络信息安全法制不健全和对网络犯罪的惩治不力密不可分。一方面,我国已经出台了一系列与网络信息安全有关的法律法规,例如:《计算机软件保护条例》(1992年)、《中华人民共和国计算机信息系统安全保护条例》(1994年)、《警察法》(1995年)、《公安部关于对国际联网的计算机信息系统进行备案工作的通知》(1996年)、《中华人民共和国信息网络国际联网管理暂行规定》(1997年)、《计算机信息网络国际联网安全保护管理办法》(1997年),《商用密码管理条例》(1999年)、《计算机信息系统国际联网保密管理规定》(2002年)等。此外,1997年3月颁布的新《刑法》第285条、第286条、第287条,对非法侵入计算机信息系统罪、破坏计算机信息系统罪,以及利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密等犯罪行为,作出了规定。尽管这些法律法规的出台和实施对于我国网络信息的安全起到相当积极的作用,但仍难以适应网络发展的需要,信息安全立法还存在相当多的盲区。
另一方面,已颁布实施的法律法规不仅规定了出入口制度和市场准入制度,确定了网络信息安全管理机构,阐明了安全责任,而且明确了法律责任,对于危害网络信息安全的个人和单位,规定了经济处罚、行政处罚和刑事处罚等三大类型。但是由于网络犯罪的隐蔽性和高科技性,给侦破和审理带来了极大困难,再加上其他原因,导致执法部门的打击力度有限,在法律的执行上还有不到位之处,一些违法情况及当事人还未得到及时处理和制裁。
3电子政务信息安全的防范策略
3.1强化电子政务环境下公务员的信息安全意识
所谓的信息安全意识,是指公务员对电子政务中信息安全问题主要表现与危害以及保证政府信息安全的意义的正确认识,发现电子政务中影响信息安全的现象和行为的敏锐性,维护电子政务信息安全的主动性。强化公务员的信息安全意识就是要让公务员认识到电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全甚至国家安全的重要前提,从而牢固树立信息安全第一的思想。我国各级政府部门要利用多种途径对公务员进行电子政务信息安全方面的教育。一是通过大众传播媒介,增强公务员信息安全意识,普及信息安全知识。二是积极组织各种专题讲座和培训班,培养信息安全人才,并确保防范手段和技术措施的先进性和主动性。三是要积极开展安全策略研究,明确安全责任,增强公务员的责任心。
3.2建立电子政务信息安全管理机构
首先,政府部门要严格按照《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》的规定,在国家安全部,国家保密局,国务院有关部门及各省、市、自治区公安厅(局),地(市)、县(市)公安局负责计算机网络信息系统安全保护的行政管理下,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏电子政务信息安全的事件进行调查和处理,确保网络信息的安全。
其次,要完善“网上警察”队伍建设,加大监视和打击网络犯罪活动的力度。我国于1983年成立了公安部计算机管理和监察局,1985年全国人大通过了《警察法》,其目的就是“监督计算机信息系统安全保护工作”。1998年又成立了公安部公共信息网络安全监察局,并逐步形成了一支“网上警察”。当前,公安部门的首要任务是吸纳高级信息安全人才充实到网上警察队伍,提高网上警察的快速反应能力、侦察与追踪水平等。
3.3完善我国信息安全基础设施
当前迫切需要建立的国家信息安全基础设施包括:国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、公钥基础设施与监管中心、信息战防御研究中心等。
3.4倾力扶持国有信息安全产业的发展
自主的信息产业或信息产品国产化是保证电子政务信息安全的根本。信息安全技术、产品受制于他国是对国家安全利益的极大威胁。国家应对国有信息安全产业的发展予以充分的政策和财政支持。当前,应在以下3种技术上求得突破:一是能逐步改善信息安全状况、带有普遍性的关键技术,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等;二是创新性强、可发挥杠杆作用的突破性技术,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术和TEMPEST技术等;三是能形成“撒手锏”的战略性技术,如操作系统、密码专用芯片和安全处理器等。还要狠抓技术及系统的综合集成,以确保电子政务信息系统的安全可靠。令人可喜的是,2002年8月19日由我国自主开发的高性能通用芯片“龙芯1”运行成功,这是我国信息安全产业发展史上具有里程碑意义的事件。
3.5健全法律,严格执法
法律是保障电子政务信息安全的最有力手段,发达国家已经在政府信息安全立法方面积累了成功经验,如美国的《情报自由法》和《阳光下的政府法》、英国的《官方信息保护法》、俄罗斯的《联邦信息、信息化和信息保护法》等。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布个人隐私保护法、数据库振兴法、信息网络安全性法规、预防和打击计算机犯罪法规、数字签名认证法、电子凭证(票据)法、网上知识产权法等,以完善我国的网络信息安全法律体系,使电子政务信息安全管理走上法制化轨道。另外,执法部门还要进一步严格执法,提高执法水平,确保各项法律法规落到实处。对于各种违法犯罪情况要严加追究,绝不姑息,对于各种隐患要及时加以预防和制止。
参考文献
黄志澄.电子政务的内涵及发展.中国信息导报,2002(4)
杨义先,林晓东,邢育森.信息安全综论.电信科学,1997(12)
3,5,7,冯杰,李会欣.我国电子政府安全运行分析.新视野,2002(5)
4,8
崔丽,沈昌祥.国家安全概念:对信息系统的安全应从“两弹一星”的高度去认识.中国青年报,1999-06-18
尹秀莲,于跃武.电子政务与网络信息安全.内蒙古科技与经济,2002(2)
9,10
汤志伟.电子政府的信息网络安全及防范对策.电子科技大学学报(社科版),2002(1)
娄策群.保障电子政府信息安全的政策选择.情报科学,2002(5)
杨海平.网络信息安全研究.情报科学,2000(10)
蒋坡.国际信息政策法律比较.北京:法律出版社,2001
作者:武汉大学信息管理学院2001级硕士研究生
随着信息技术的飞速发展, 关系国计民生的关键信息资源的规模越来越大, 信息系统的复杂程度越来越高, 保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点, 它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定, 以成本一效益平衡的原则, 通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性, 并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度, 运用科学的分析方法和手段, 系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性, 评估安全事件一旦发生可能造成的危害程度, 提出有针对性的抵御威胁的防护对策和整改措施, 以防范和化解风险, 或者将残余风险控制在可接受的水平, 从而最大限度地保障网络与信息安全。
2. 风险评估的工作过程
信息安全风险评估的一般工作过程。
(1) 资产识别资产是对组织具有价值的信息资源, 是安全策略保护的对象。可将资产分为数据、软件、硬件、文档、服务、人员等类。对资产的重要性可以赋予不同的等级, 并对资产的机密性、完整性、可用性进行赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析, 并在此基础上得出一个综合结果的过程。
(2) 威胁识别威胁是构成信息安全风险不可缺少的要素之一, 在信息资产及其相关资产存在脆弱性和相应的安全控制措施缺失或薄弱的条件下, 威胁总是通过某种具体的途径或方式, 作用到特定的信息资产之上, 并破坏该资产一个或多个安全属性, 从而产生信息安全风险。威胁识别主要是识别被评估组织关键资产直接或间接面临的威胁, 以及相应的分类和赋值等活动。威胁识别活动的主要目的是建立风险分析需要的威胁场景。
(3) 脆弱性识别脆弱性是对一个或多个资产弱点的总称。脆弱性的识别可以以资产为核心, 即根据每个资产分别识别其存在的弱点, 然后综合评价该资产的脆弱性;也可以分物理、网络、系统、应用等层次进行识别, 然后与资产、威胁结合起来。脆弱性的识别对象包括物理环境、服务器、网络结构、数据库、应用系统、技术管理、组织管理等。
(4) 已有安全措施的确认有效的安全控制措施可以降低安全事件发生的可能性, 也可以减轻安全事件造成的不良影响。因此, 在进行风险分析计算之前, 有必要识别被评估组是目前已有的安全控制措施, 并对措施的有效性进行分析, 为后续的风险分析提供参考依据。
(5) 风险分析在完成了资产识别、威胁识别、脆弱性识别, 以及对已有安全措施的识别和确认之后, 应该进行风险分析阶段。风险分析阶段的主要工作室完成风险的分析和计算。
3. 风险分析对象的获取手段
3.1 问卷调查表
问卷调查表是通过问题表的形式, 事先将需要了解的问题列举出来, 通过让相关人员回答有关问题而获取信息的一种有效方式。这种方式具有实施方便、操作简单、所需费用少、分析简捷等特点, 所以得到了广泛的应用。但是它的灵活性较小, 得到的信息有时不太清楚、具有一定的模糊性、信息深度不够等, 还需要其他的方法作为配合和补充。
3.2 实地收集
实地收集是获得信息系统的真实可靠信息的最重要手段。通过深入现场, 亲自参与系统的运行维护活动, 并运用观察、操作等方法直接从信息系统中收集资料和数据。通过这种方法调查收集到的信息能够反映实际情况, 因而比较真实、可靠。但是此方法的耗费较高、周期长, 而且有些信息因涉及技术机密或是由于其他安全的需要, 操作起来有一定的困难和复杂度。
3.3 使用辅助工具
在信息系统中, 网络安全状况、主机运行情况等难以用眼睛观察出来, 需要借助网络和系统检测、扫描、监控工具来辅助。辅助工具能够发现系统某些内在的弱点, 以及在配置上可能存在的威胁系统安全的错误, 并能帮助发现系统中的安全隐患, 但是工具不能完全代替人做所有的工作, 而且扫描的结果往往不是全面的。对扫描出来的结果, 需要分析和判断。利用辅助工具能够容易、自动地发现一些安全隐患, 但不能报告未被扫描工具包含的安全隐患和一些新的安全隐患, 过分依赖扫描工具无法全面保证系统的安全信息的全面性。
3.4 文档审查
文献和档案记录了关于信息系统的许多重要的参数和特性。例如, 一个单位的安全和管理策略、制度, 能在很大的程度上反映该单位的人员安全意识和管理机制。同时, 设备的说明和操作文档描述了系统硬件的安全参数, 系统运行日志则记录了系统的运行状况等。通过文档和资料的查阅, 可以获取较完整的系统信息和历史经验, 在风险评估过程中这也是一种十分重要的信息获取方式。
4. 风险分析方法
风险分析是对风险影响和后果进行评价和估量, 常见的方法有基于知识的评估方法、基于技术的评估方法、定量分析方法和定性分析方法。
(1) 基于知识的风险分析方法
这类方法主要是依靠经验进行, 通过采集相关信息, 识别组织的风险所在和当前的安全措施, 与特定的标准和惯例进行比较, 找出不适合的地方, 并按照标准或最佳惯例的推荐, 选择安全措施, 最终达到消减和控制风险的目的。此类方法多集中在管理方面, 对技术层面涉及较少, 组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。
(2) 基于技术的风险分析方法
这类方法是指对组织的技术基础结构和程序进行系统、及时的检查, 对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性估计。这类方法在技术上分析的比较多, 技术弱点把握精确, 但在管理上较弱, 管理分析存在不足。
(3) 定量分析方法
定量分析方法是通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法。这种方法的优点是能够提供量化的数据支持, 威胁对资产造成的损失直接用财物价值来衡量, 结果明确, 易于被管理层所理解和接受。缺点是对财产的影响程度已参与者的主观意见为基础, 计算过程复杂、好使, 对分析数据的搜集目前还没有统一的标准和统一的数据库。
(3) 定性分析方法
定性分析方法是根据企业本身历史事件的统计记录、社会上同类型企业或类似安全事件的统计和专家经验, 并通过与企业管理、业务和技术人员的讨论、访谈和问卷调查等方法来确定资产的价值权重, 再通过计算方法来确定某种资产所面临的风险的近似大小。
定性分析法能比较方便的对风险按照程度大小进行排序, 避免对资产价值、威胁发生的可能性等硬性赋值导致的结果差异性较大的问题, 便于企业管理、业务和技术人员更好的参与分析工作。缺点是缺乏客观数据支持, 无法进行客观的成本/效益分析。定性分析法是目前普遍采用的风险分析方法。下面本文将对几种常用的定性计算方法进行分析。
4.1 结构化的的风险计算方式
4.1.1 线性相乘法
算式中, R表示风险, A表示资产, T表示威胁, V表示脆弱性。首先要对资产、威胁和脆弱性赋值, 将三者产生的结果线性相乘得到风险值, 最后将风险值量化为风险等级。
这种方法的优点是计算简单、运算量较小, 缺点是参考的因素不全面、计算结果有时缺乏客观性。
4.1.2 风险矩阵测量
这种方法首先要确定资产、威胁和脆弱性的赋值, 在此基础上建立资产价值、威胁等级和脆弱性等级的对应关系, 并将风险等级预先确定。表1为资产价值威胁等级和脆弱性等级的一个对应矩阵。
例如, 如果资产值为3, 威胁等级为“高”, 脆弱性为“低”, 查表可知风险值为5;如果资产值为2, 威胁为“低”, 脆弱性为“高”, 则风险值为4。
由表1推知, 风险矩阵会随着资产值的增加、威胁等级的增加和脆弱性等级的增加而扩大。它的优点是参考的因素颗粒度细, 结果较为真实, 但缺点是运算量可能较大。
4.1.3 威胁分级法
这种方法是直接考虑威胁、威胁对资产产生的影响以及威胁发生的可能性来确定风险。首先确定威胁对资产的影响, 用等级来表示, 然后评价威胁发生的可能性。在确定威胁的影响值和威胁发生的可能性之后, 计算风险值。风险的计算方法, 可以是影响值与可能性之积, 也可以是之和, 具体算法由用户来定, 只要满足是增函数即可。下表为一个威胁分级法的计算表, 威胁的影响值确定为5个等级, 威胁发生的可能性也确定为5个等级。而风险的测量采用以上两值的乘积, 具体计算如表2。
可见, 经过计算后, 风险被分为25个等级。在具体评估中, 可以根据这种方法明确表示“资产——威胁——风险”的对应关系。
这种方法的优点也是参考的因素颗粒度细, 但缺点是对脆弱性的考虑不足, 结果的客观性不够。
4.2 非结构化的风险计算方式
4.2.1 威胁分析法
这种方法必须确定威胁对业务过程的哪些因素有何影响, 但不会为每种威胁赋值, 如表3。
M——影响可能性不大;P——可能有影响;D——绝对影响
4.2.2 调查问卷法
调查问卷方法可用来满足特殊需要或用来进行更广泛领域的风险评估。建立一个有效的风险分析问卷的关键是要明确回答问卷的对象情况。分析过程完成后, 评估人员需要确定在哪里配置适当的安全控制措施。如表4。
结构化的风险计算方式, 需要对风险所涉及的指标进行详细分析, 最终得出风险结果。这种方式通常需要专业的信息安全测评人员的参加, 风险结论详细, 方法较为科学, 结果也比较客观。非结构化的风险计算方式通常是建立在通用的威胁列表和脆弱性列表之上, 用户根据类表提供的线索对资产面临的威胁和威胁可利用的脆弱性进行选择, 自行确定风险。这种方法适用于企业内部进行的风险评估, 灵活性较强, 但结果的客观性和专业性不足。一般来说, 风险计算方式的选择通常要结合使用者主观经验, 只要适合组织的需求和实际情况, 能产生可信的结论, 就可以使用。
参考文献
[1]ISO/IEC TR13335:Information technology-Guidelines for the management of IT Security.
【关键词】外汇 信息安全 风险 保障措施
近年来,国家外汇管理局加大了信息化建设步伐,信息系统已基本替代了手工操作用于处理外汇管理日常工作,在外汇监管与服务的过程中发挥着越来越重要的作用,外汇业务信息系统的安全正常运行已成为外汇局开展业务开展的前提,任何一个环节的信息系安全管理缺失,都可能给外汇管理工作带来严重的后果。
一、外汇信息系统和数据所面临的风险
信息安全就是保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的保密性、完整性、可用性.可控性和平可否认性。
外汇管理信息系统和数据在采集、保存和使用等过程中存在诸多安全风险,例如硬盘损坏等物理环境风险,操作系统和网络协议漏洞导致外汇信息数据被非法访问、修改或恶意删除,最终导致外汇信息丧失上述安全特性,从而影响了外汇业务的正常开展。本节仅结合外汇信息系统和数据实际情况,简要介绍外汇信息常见的风险。
(一)电子设备存在软件和硬件故障风险
外汇信息系统在运行过程往往会面临硬件设备发生故障,软件系统出现运行错误的风险,例如服务器电源设备老化、硬盘出现坏道无法读写、软件崩溃、通讯网络故障等问题。上述问题是外汇信息系统实际运维过程中最为常见风险源。
(二)人为操作风险
因人为操作外汇信息系统产生的未授权的数据访问和数据修改、信息错误或虚假信息输入、授权的终端用户滥用、不完整处理等。产生该类风险的原因是用户安全意识淡薄,未授权访问数据造成外汇信息泄漏,数据手工处理导致的错误或虚假信息,未授权用户操作等行为都会造成信息系统安全性风险。实际外汇信息系统运行中,人为事件造成损失的概率远远大于其他威胁造成损失的。
(三)系统风险
一般所用的计算机操作系统以及大量的应用软件在组织业务交流的过程中使用,来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响,特别是在多个应用系统互联时,影响会涉及整个组织的多个系统。例如,部分系统具有维护困难、结构不完善、缺乏文档和设计有漏洞等多个隐患,有时就会在系统升级和安装补丁的时候引入较高的风险。
(四)物理环境风险
由于组织缺乏对组织场所的安全保卫,或者缺乏防水、防火、防雷等防护措施,在面临自然灾难时,可能会造成极大的损失。
二、外汇信息安全基本准则和特性
外汇信息系统是一个以保障外汇业务系统正常运行的专用的信息系统,近年来在不断加大信息科技方面投入、加快信息化建设的过程中得到了有效整合和完善。为有效应对外汇信息系统安全风险,科技部门应同步提升科技管理制度的完整性和执行力度、管理精细化程度。制定外汇信息系统安全的具体保障措施之前,首先需要我们认清信息安全的基本准则和一些特性:
(一)信息安全短板效应
对信息系统安全所涉及的领域进行安全保护即全面构筑外汇管理信息安全保障工作,重点加强对安全洼地、薄弱环节的安全防护。
(二)信息安全系统化
信息系统安全其实是一项系统工程,要从管理、技术、工程等层面总体考量,全面保障外汇管理局信息系统安全。
(三)信息安全动态化
信息安全保障措施所防范的对象是一个动态变化的过程,所以信息系统也应该随着内外部安全形势的变化不断改进。
(四)信息安全常态化
信息安全从时间角度看是一个长期存在的问题,只有在信息安全技术方面严格把握重点,综合信息安全体系的可持续构建,才能保障外汇管理局信息系统安全。
(五)系统操作权责明确
信息系统安全的前提是要严格内部授权,划分各岗位职责,如加大内控风险防范和控制。使各系统角色操作者权限形成相互制约的控制机制。
三、外汇信息安全保障应对措施
外汇信息安全工作应以信息系统所面临的安全威胁依据,遵循基本准则,以信息基础设施建设和安全管理制度为我切入点制定相应的防护措施。
(一)建立系统性的安全管理制度
安全管理制度要包括人员管理、资产管理、数据管理、网络管理、运维管理、应急管理、事后审查等方面内容
(二)建立良好的网络信息安全防护体系
从物理环境安全、网络边界安全、设备安全、应用系统安全以及数据安全等方面部署相关的安全防护设备和措施。
(三)定期进行信息安全教育培训
因信息技术行业快速发展,信息安全形势也在不断变化,外汇管理局科技部门可定期对辖内外汇信息系统维护和操作人员进行信息系统安全培训,更新安全知识。为了有效防范未知威胁和隐患,外汇管理局科技部门可对辖内定期开展信息系统安全检查,确保外汇信息系统安全有效运行,保障外汇信息的可控、可用和完整性。
(四)开展信息系统安全风险评估,进一步做好系统等保工作
首先对外汇信息系统安全进行风险评估,根据评估识别威胁外汇信息系统安全的风险,作为制定、实施安全策略、措施的基础,风险评估同时也是外汇信息系统安全等级保护的重要前提与依据。其次确定信息系统安全级别,根据级别的不同,实施对应的保护措施,启动对应级别的安全事件应急响应程序。
(五)运用入侵检测等技术,预防恶意攻击
随着技术发展,当前恶意攻击手段呈现越来越隐蔽的趋势,需要科技部门采用具有预警功能的技术手段来应对,如入侵检测、数据挖掘等技术,通过分析历史数据,发现当前安全措施的缺陷,及时纠正和预防内外部风险再次发生。
(六)完善监督管理,实施信息安全自查与检查相结合
查找现有信息化建设工作中的薄弱环节,井切实进行整改,建立良性的信息安全管理机制。开展信息安全检查与自查是完善信息安全监督管理工作的有效方式之一,其中信息安全检查方案的设计是安全检查的核心,科技部门需要根据外汇业务实际情况,将外汇管理局有关要求进行梳理完善,对相应风险点进行总结和归纳,科学设计了信息安全检查方案。
参考文献
[1]林国恩.信息系统安全[M].北京:电子工业出版社.2010
[2]《信息系统安全等级保护基本要求》GB/T 22239-2008
一、售前方案阶段
1.1、工作说明
技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用)1.2、输出文档
《XXX项目XXX解决方案》
输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。1.3、注意事项
销售需派发内部工单(售前技术支持) 输出文档均一式三份(下同)
二、派发项目工单
2.1、工作说明
销售谈下项目后向技术部派发项目工单,技术部成立项目小组,指定项目实施经理和实施人员。
三、项目启动会议
3.1、工作说明
销售和项目经理与甲方召开项目启动会议,确定各自接口负责人。
要求甲方按合同范围提供《资产表》,确定扫描评估范围、人工评估范围和渗透测试范围。
请甲方给所有资产赋值(双方确认资产赋值) 请甲方指定安全评估调查(访谈)人员 3.2、输出文档
《XXX项目启动会议记要》
客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 3.3、注意事项
资产数量正负不超过15%;给资产编排序号,以方便事后检查。
给人工评估资产做标记,以方便事后检查。 资产值是评估报告的重要数据。 销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以便项目小组分析制定项目计划使用。
四、项目前期准备
4.1、工作说明
准备项目实施PPT,人工评估原始文档(对象评估文档),扫描工具、渗透测试工具、保密协议和授权书
项目小组与销售根据项目内容和范围制定项目实施计划。4.2、输出文档
《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项
如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。
项目实施小组与客户约定进场时间。
保密协议和授权书均需双方负责人签字并加盖公章。 保密协议需项目双方参与人员签字
五、驻场实施会议
5.1、工作说明
项目小组进场与甲方召开项目实施会议(项目实施PPT),确定评估对象和范围(主机、设备、应用、管理等)、实施周期(工作进度安排),双方各自提出自身要求,项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书(漏洞扫描、人工评估、渗透测试等)。实施过程中需甲方人员陪同。
5.2、输出文档
《XXX项目驻场实施会议记要》 5.3、注意事项
如前期未准备资产表与拓扑图,在此阶段项目小组进行调查(视情况是否另收费)。
六、现场实施阶段
6.1、工作说明
按照工作计划和被评估对象安排实施进度。 主要工作内容 漏洞扫描(主机、应用、数据库等) 人工评估(主机、应用、数据库、设备等) 渗透测试(主机、应用等)
项目实施经理做好会议记要和日报,项目实施成员保留所有原始文档并妥善存档。
现场实施部分完成后,双方召开阶段性总结会议(如甲方有需求可对项目实施过程中发现的问题进行简要总结,输出简要总结报告)
6.2、输出文档
《XXX项目XXX人工评估过程文档》 《XXX项目XXX漏洞扫描过程文档》 《XXX项目XXX渗透测试过程文档》 《XXX项目工作日报》 《XXX项目会议记要》 6.3、注意事项
若遇到协调问题,双方负责人协调解决
实施过程中如出现计划外问题,以会议形式商讨解决 日报需项目双方负责人签字确认
七、静态评估阶段
7.1、工作说明
与甲方商定评估报告输出周期和报告内容
项目小组依据评估结果分工进行报告输出、整理汇总,准备项目总结PPT和整改建议(如客户要求则输出整体加固解决方案),完成后提交公司项目质量评审小组审核,审核通过后提交客户。经客户认可后输出纸质文档。
7.2、输出文档
《XXX项目XXX人工评估报告》 《XXX项目XXX漏洞扫描报告》 《XXX项目XXX渗透测试报告》 《XXX项目安全评估综合报告》
《XXX项目整改建议书(整体加固解决方案)》 《XXX项目总结》(PPT)7.3、注意事项
依据公司文档标准化体系输出文档(电子版输出PDF格式) 统计数据要求完整、准确无误; 解决方案与销售讨论后输出文档。
项目实施人员对每份输出文档签字,预留甲方接口人员签字位。
八、评估阶段验收
8.1、工作说明
项目实施经理和销售与甲方召开项目验收会议,讲解项目实施中发现的风险、隐患和威胁,与客户讨论解决方法(视项目情况而定),双方验收项目成果(输出的报告),对输出报告签字确认,并签订项目验收成果书。客户如有需求,则对评估中发现的风险、隐患进行加固实施。8.2、输出文档
《XXX项目验收成果书》 《XXX项目会议记要》
九、安全加固实施
9.1、工作说明
安全加固参考安全加固项目流程 9.2、输出文档
《XXX项目整体安全加固方案》 《XXX项目XXX安全加固方案》 《会议记要》 《工作日报》 9.3、注意事项
项目实施双方对加固过程文档(纸质)签字确认
十、安全加固验收
10.1、工作说明
针对已加固对象进行再次风险评估,输出评估结果报告。10.2、输出文档
《XXX项目安全加固验收报告》 10.3、注意事项
项目双方对验收成果签字确认
十一、项目总结会议
对本次风险评估、安全加固过程中遇到的问题进行总结,并对遗留问题进行建议。
XX公司信息安全风险预控措施
为了积极落实公司“安全年”安全生产工作相关要求,切实加强信息安全的建设与管理,确保公司不发生六级及以上信息安全事件,在全力推进公司信息化支撑与建设的同时,努力为公司的安全生产、经营管理、信息支持等方面提供有力的信息保障,特制定XX公司2012信息安全风险预控措施,并予以实施。
一、信息安全管控流程
发生信息安全事件上报至信息安全预控应急小组及相关部门判断是否为信息安全事件否进入其他事件处理程序是组织相关部门人员进行调查,并备份现场数据、资料采取相应安全处理措施记录事件处理措施及结果否是否处理完毕是对事件进行总结,对责任人进行相关处理向省公司、公司有关部门提交信息安全事件处理报告通报典型信息安全事件报告 1
XX公司信息安全风险预控措施
二、信息安全风险描述
1、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
2、公司网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。
3、公司内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
4、公司内外网终端混用,被国网公司信息管理部门查处,造成公司信息泄露、丢失事件。
三、信息安全风险预警
1、网络安全风险
1.1网络信息遭受黑客窃听、盗取、篡改等恶意攻击事件。1.2网络设备发生故障、断电、配置错误等问题。
1.3租用的电信运营商通道发生设备、通道故障,加密措施失效或遗失、遗漏重要业务信息。
1.4公司各单位VLAN失效或混乱,非授权用户可以侵入重要部门 VLAN区域。
1.5网络设备登录密码遭到窃取、篡改,或被植入网络病毒、木马等恶意程序。
XX公司信息安全风险预控措施
1.6网络系统重要数据丢失。
2、系统安全风险
2.1因服务器、系统自身漏洞,造成服务器或系统遭到恶意侵入或攻击。
2.2未按照国网公司统一规定安装桌面终端管理软件及正版防病毒软件,造成公司网络内部病毒、木马破坏及内外网混用。
2.3服务器、操作系统、应用系统由于密码设置问题,造成管理权限、业务数据遭到窃取、篡改、泄露、遗失。
2.4信息系统重要数据丢失。
3、机房环境风险
3.1机房内重要设备电源失电或当市电断电的情况下,UPS电源未能及时切换或UPS电源供电时间不足。
3.2机房空调故障,造成机房温度过高,导致设备停机。3.3机房发生火灾隐患时,未能及时报警并进行灭火措施。3.4因机房监管问题,造成机房重要设备或信息遗失、泄露。3.5因未对机房各类风险隐患进行定期巡视排查,造成机房安全事件的发生。
4、终端应用风险
4.1信息网络管理人员、信息系统应用信息安全意识或常识不足,造成设备或系统发生信息安全事件。
4.2信息安全相关管理机制未能执行,致使信息安全措施未能彻底落实。
XX公司信息安全风险预控措施
4.3当进行基础施工或发生信息网络故障时,未能提前或及时通知公司信息网络管理人员,造成信息网络故障或扩大信息网络事件范围。
四、信息安全风险控制
1、基本原则
1.1 坚持“安全第一,预防为主、综合治理”的原则。加强网络与信息系统安全管理,有效地预防和减少网络与信息系统安全事故的发生,保障网络与信息安全稳定运行。
1.2 坚持统一指挥,分级负责的原则。网络与信息系统安全六级以下事件在公司应急指挥机构的统一指挥和协调下,组织开展事故处理、事故抢险、应急救援等各项工作。
1.3 坚持保证重点,有效组织,及时响应的原则。对网络与信息系统要加大监控和应急工作力度,有效组织和发挥各应急队伍和应急资源的作用,确保信息及时准确传递,有效控制损失。做到保证重点系统、设备快速恢复运行,应对事故反应迅速。
1.4 发挥技术支撑、机制保障作用,不断完善预防与抢险相结合的原则。在充分利用公司现有资源、系统和设备的基础上,采用先进适用的预测、预防、预警和应急处置技术,改进和完善应急处理装备、设施和手段,提高应对信息系统设备故障造成突发事件的技术支撑能力。
2、组织机构及职责
2.1 信息安全预控应急处理小组
XX公司信息安全风险预控措施
成立信息安全预控应急处理工作小组,信息安全预控应急处理工作小组组长由公司主管领导担任,副组长由公司安监部、信息中心负责人担任,成员包括安监部相关专责、信息中心运维人员、各部门、各单位安全员、信息员。
2.2 信息安全预控应急处理小组职责
2.2.1 监督执行省公司、公司有关部门下达的信息安全预控应急指令、重大预控应急决策和部署。
2.2.2 组织制定信息安全预控应急工作相关制度、标准、规范和预案,定期组织评估和复核,并监督、检查贯彻执行情况。2.2.3 及时了解和掌握信息安全突发事件与应急处理工作情况,向省公司、公司有关部门报告应急处理过程中发现的重大问题,并协调解决。
2.2.4 按公司相关规定参与、配合信息安全事件调查、总结应急处理经验和教训等后期处置工作;根据省公司、公司有关部门的要求提交各类报告。
3、风险控制计划
3.1 加强对核心网络设备、汇聚设备和重要服务器的软、硬件升级改造和备份,确保公司骨干网络具有双机、双通道热备的能力。
3.2 加快对分公司、变电站、乡镇供电所网络设备的升级改造,对现有DDN、VPN网络通道进行升级和扩容,建成以公司光环网为主、电信租赁通道为辅的公司城域网,提升各基层单位、变电站、乡镇供电所的接入带宽。
XX公司信息安全风险预控措施
3.3 加强对公司所属各信息系统的管理,根据IRS及桌面终端系统监控数据,对亟待完善的信息安全问题进行有计划、有针对性的整改,不断完善公司整体信息安全防御水平。
3.4 加强对公司各机房、专用机柜的环境改造。确保重要设备的市电+UPS双电源接入、温度湿度调节及防火、防雷、防水、防小动物的安防措施。
3.5 加强信息安全防护的宣传教育及联动机制,不定期地对国网公司范围内的信息安全事件进行宣贯,加强公司员工自身信息安全防范意识及常识;建立省公司信息安全管理部门——公司信息安全管理部门——各单位信息安全管理员的三级联动机制及信息安全应急机制,对于信息安全事件确保在第一时间进行沟通、上报、处理,将事件影响范围减至最小。
五、信息安全防控措施及实施细则
1、防控措施
1.1 完善责权划分,加强信息安全监管。针对公司信息安全现状,信息安全工作首先要明确安全责任,并将其纳入公司安全生产考核范围,对于信息业务应用部门应实行“谁主管谁负责、谁使用谁负责”的管理要求,将责任落实到人。同时应强化信息管理的一把手建设,确保信息安全工作责权清晰,进一步完善信息安全监管。
1.2 进一步提升人员的信息安全素质。在职工信息安全素质培养方面,应按工作需要、所在部门性质有针对性地进行信息安全普及
XX公司信息安全风险预控措施
教育,在全面提高人员信息安全意识和技术水平的前提下,分层次、有重点的对职工进行信息安全技术培训。
1.3 健全信息安全工作的管理机制。在提高全员信息安全素质的前提下,应针对不同业务管理部门、不同等级的信息机密涉及人员,从信息安全技术领域采取不同管理方式,同其他办公计算机终端实现在不影响正常工作的前提下,通过安全领域的逻辑防护措施隔离,对于涉密较少的一般办公计算机应做好完善的安全防护基础措施。
1.4 加大网络监管软件的推广力度。继续加强桌面管理系统和安全防护系统的部署和应用,对于安全设置不符合规定的计算机实行禁止上网策略,同时通过桌面管理系统实时监控办公计算机U盘使用,软件安全、共享设置以及非法外联等情况。
1.5 实施多层防护,消除单点隐患。实施网络边界、网络设备、桌面终端等纵向多层防护,全方位部署安全策略,边界上基于最小权限、最小范围细化防火墙策略;设备上加装访问控制列表,并实施定点访问;桌面终端上实施网络准入、桌面管理,做到全可达、全可控、全可查。层层防护旨在实现非法破坏“进不来”,即使进来也“拿不走”,即使拿走也“读不懂”、即使有恶意行为也“跑不了”,提高信息及设备的健壮性,最终做到“搞不垮”。
2、实施细则
2.1 网络安全实施细则
2.1.1 定期对内外网物理防火墙、入侵检测系统设备进行检测,对防火墙防护策略及被防护设备状态进行检测,保障内外网络安全。
XX公司信息安全风险预控措施
2.1.2 定期对内外网核心、汇聚网络设备进行巡视,并有计划地对核心备用设备进行检测,实行反事故演练及应急预案演练。
2.1.3 定期对通过租用电信运营商通道互联的分公司、变电站及乡镇供电所网络设备进行安全性、保密性检测,确保其IPSec VPN通道的稳定性,可靠性。
2.1.4 对各单位内网网络根据部门编制进行合理性、扩展性的VLAN划分,限制其他VLAN用户的访问,充分保障信息的安全保密。
2.1.5 对所有内外网网络设备远程访问及登录密码进行高强度加密,在保证高效远程管理的同时,确保网络设备的安全性,杜绝恶意病毒、木马、黑客的攻击。
2.1.6 安排网络管理人员定期对网络系统配置进行备份。2.2 系统安全实施细则
2.2.1 定期用漏洞扫描软件扫描服务器、系统漏洞,安装相应安全补丁,关闭不必要的端口。
2.2.2 对所有接入公司内外网的服务器、计算机终端均要求安装内外网桌面终端管理软件及正版防病毒软件并定期升级,杜绝公司内部病毒、木马的破坏及内外网混用问题。
2.2.3 各服务器、操作系统、应用系统均按照公司统一规定实行不低于8位、包含数字、字母、特殊字符的用户密码加密,每3个月至少进行一次更换;计算机终端操作系统、应用系统账户由本人负责管理,不得随意告知他人或使用。
XX公司信息安全风险预控措施
2.2.4 安排信息系统管理人员定期对服务器、信息系统重要数据进行整理、备份。
2.3 机房环境实施细则
2.3.1 机房采用市电+UPS双路供电,UPS供电能力按照市电供电故障后4~8小时的供电能力进行建设;保证每台设备均接入双路电源并能够实现瞬时切换。
2.3.2 采用专用机房精密空调进行机房温控湿控,空气调节系统采用下送风,上回风方式精确控制机房空间的温度及湿度,新风系统高压输入洁净的新鲜空气,为机房设备提供最佳运行条件。
2.3.3 采用高灵敏度的早期烟雾探测报警系统,保证在第一时间发现火灾隐患,并利用环保型气体灭火系统在不停电的情况下实施灭火。
2.3.4 采用视频监控系统7x24小时进行全方位机房监控、录像。门禁系统严格验证来人身份,防止任何无关人员进入,保证机房的安全性、私密性。
2.3.5 安排信息运维人员每日对机房防火、防雷、防水、防小动物设施及环境进行巡视。
2.4 终端应用实施细则
2.4.1 定期进行信息网络管理人员及信息系统应用人员的信息安全知识宣教,提高各类人员信息安全防范意识。
XX公司信息安全风险预控措施
2.4.2 公司各单位设立专职或兼职信息管理员,定期对本单位计算机进行病毒查杀及清除,对系统安全漏洞要及时下载补丁或采取技术措施进行完善。
柳立强 刘 清 武瑞凯
信息化条件下,军事秘密面临的风险不断加大,无意识泄密、间接泄密、计算机网络泄密等现象时有发生,给部队信息安全保密工作带来了严重挑战。信息安全保密风险管理从风险识别出发,对军事秘密面临的风险进行客观地全面分析和评估,并对风险实施有效控制,变事后补救为事先防范,这是形势发展的需要,是确保军事秘密安全的需要,也是做好信息化条件下部队保密工作的必然要求。
一、系统识别,找出部队信息安全保密重要风险
信息安全保密风险识别是指运用有关知识、方法、系统、全面和连续地发现部队军事秘密面临的风险。风险识别是风险管理的首要步骤。部队保密工作面临的风险是错综复杂的,需要进行认识和辨别。只有全面、准确地发现和辨识风险,才能进行风险评估和选择风险控制的措施。风险识别的方法有很多,比如保密清单损失法、专家调差分析法、经典案例分析法、等级全息建模法等等,不管用哪种方法,都要系统的识别以下几个方面。
1.对保密资产的识别。保密资产就是要保护的秘密资产。主要包括涉密的电子文档、涉密的实体信息以及涉密的装备设施等。一个单位保密资产越多,秘密的级别越高,保密的风险就越大,需要采取的措施就要更严密。
2.对资产脆弱性的识别。要清楚这些保密资产它们的弱电在哪里,也就是说,这些保密资产哪些方面容易被敌对势力利用。一般情况下,可以将脆弱性分为技术脆弱性和管理脆弱性两类。技术脆弱性主要是保护资产所涉及到的所有设备,包括移动载体、计算机网络、通信设备等本身所存在的一些技术隐患,比如一些后门程序等。管理的脆弱性主要是规章制度、责任区分等问题,要识别出在这些方面部队有哪些弱点。
3.对威胁的识别。威胁是指可能对保密资产或组织造成损害的一种潜在的侵害。比如信息泄露、信息破坏等。这些侵害有些是非人为,可能是无意识的行为,有些是故意的,是敌方情报机关或者我方人员有意识的行为。以上关于保密资产、脆弱性以及威胁的识别,不仅要清楚它们单个因素的种类,同是还要结合部队已有的安全措施,找出威胁利用脆弱性的可能性,以及发生以后对保密资产可能造成的损失,这就是保密风险。这些风险因素有很多,要通过进一步的识别,找出一些发生可能性大并且发生以后对保密资产影响较大的风险,也就是重要风险,将其进行评估。
二、量化评估,确定部队信息安全保密风险等级
在对信息安全保密风险进行充分的认识和分析之后,就应该对风险进行量化评估,确定保密的风险等级。保密风险评估综合分析资产、威胁、脆弱性、安全措施,判断系统风险,为部队识别安全重点、选择合理使用是安全对策提供依据,是保密风险管理的基础。
1.建立合理的评估指标体系。指标体系的建立对于风险的定量化评级至关重要。建立的指标不合理、不科学,即使评估的方法再科学,也会偏离评估的方向。风险识别阶段已经将保密重要风险因素进行了筛选,可依据筛选的这些风险因素进行归类。对哪些风险应该属于什么类别,要做到心中有数,这样便于评估,同事也便于制定合理的措施。风险从组织领导、保密环境、涉密岗位人员、技术条件、制度建设等方面进行归纳,形成保密风险的一级指标,再将一级指标进行系统归类,细分出更多的指标。
2.选择合适的评估方法。目前在风险评估领域评估方法已经十分广泛。部队在保密风险评估工作中起步较晚,但是这些方法可以借鉴。模糊综合评判法可以很好的解决保密风险评估量化问题。将建立的底层保密风险评估指标让专家打分,根据打分的情况利用模糊数学的一些方法进行处理,再通过底层指标的风险计算一级指标值,最终得出部队的保密风险综合值。
3.对评估的结果进行认真分析。风险评估一般将单位的风险状况区分为很低、低、中、高、很高五个等级。要根据评估的结果分析是什么原因导致的,对这些原因进行分析,进而找出影响评估结果的关键因素,为实施风险控制提供思路。
三、综合控制,规避和降低部队信息安全保密风险
在部队信息安全保密风险进行定量化评估以后,就应该根据风险评估的结果,对重要风险进行规避或降低,将保密风险控制在可接受范围内。风险控制是一个系统工程,不仅要找出风险和控制措施间的有效对应关系,还要从单位的保密文化环境、防范体系、防范策略等多方面进行综合控制,这样才能做到有的放矢,提高保密控制的效果。
1.营造信息安全保密的文化环境。忽略了官兵的信息安全保密意识和安全保密技能的提高,安全措施就不可能有效的发挥作用。通过对部队发生的失泄密事故调查和分析,大部分原因都是由人的因素引起的,这其中包括保密意识的淡薄和保密技能的缺失。因此,要制定周密的计划,通过安全教育和技能培训,提高官兵的信息安全保密意识和应对保密风险控制的技能,使遵守各种保密制度成为官兵的一种习惯,从而形成良好的保密文化环境。
2.构建全维实时的信息安全保密风险防范体系。要从组织领导、技术条件、管理制度、保密法规等各个方面,综合运用各种手段,实时监督各类安全措施的执行,落实安全奖惩措施,不断削除信息安全保密风险管理中的弱点。
3.注意防范策略的灵活运用。防范策略主要包括规避风险、降低风险和接受风险。信息安全保密工作中有些风险属于高风险,对于这类风险情况,可采取规避的方法,减少部队的损失;有些风险情景是部队在训练、演习、学习等工作中必须面对的,这时主要采取相应的安全措施来降低风险,使其控制在部队能接受的范围;有些风险是无法消除的,这时部队要勇敢面对,但是要实时监控,使其不影响保密工作的总体成效。
进入到21世纪,国际格局发生了深刻的变革,在国防军事领域也在发生着了重大的革命。我军的战略规划,也转变为了打赢一场复杂电磁环境条件和信息化条件下的战争。这就对装备技术的信息化水平提出了更高的要求。与之相对应的是在信息战、情报战急剧发展的今天,对装备信息安全进行风险评估,提升装备信息的安全程度,已经成为了一件刻不容缓的事。
1.1 信息安全的风险评估及其应用的必要性
信息安全的风险评估是信息安全保障的重要环节。信息安全的风险评估将对安全环境的有效性和适应性进行验证,对于维持整个信息安全管理体系的正常运作有着重要作用。在新世纪环境下,美国率先建立了网络司令部,以完善其整个信息战、网络战、情报战的多维立体作战网络。现代武器装备信息化程度高,一旦装备信息安全无法保障,那么整个部队的战斗力就没有办法得到保障。而且信息系统本身就是一个十分复杂容易出现问题的系统,外部威胁的不断加大和内部系统的不确定性,使得我们有必要进行装备信息安全的风险评估。
1.2 国外信息安全的风险评估发展情况
美国一直以来是信息技术的主导者,自从上世纪70年代计算机运用于军队之后,美军就格外注重军队装备信息的安全保障工作,并且发展了信息安全风险评估,使之成为安全管理制度的重要组成。1979年,美国国家标准局颁布了第一个风险评估标准《自动数据处理系统风险分析标准》。之后美国的军事理论部门和专家学者们不断完善相关的风险评估理论。现在,从武器装备研发生产到装备的实际应用,美军都建立起了一套完整的装备信息安全风险评估体系。
2 信息安全风险评估理论与方法
信息安全风险评估工作是一项专业系和系统性很强的工作。在实际的操作中没有依据专门的方法和流程的话很有可能引入新的风险,导致整个风险评估工作陷入彻底的失败。
2.1 信息安全风险评估策略和原则
对敏感装备进行安全风险评估一定要十分小心谨慎,因为对其进行风险评估本身就是一个风险,因此,再进行信息安全风险评估的时候必须要遵守一定的原则和策略,保证信息安全风险评估工作顺利有效的完成。
2.1.1 标准性原则
对于装备的信息安全风险评估必须严格依据国内或者国外的相关标准。运用合理科学的数学模型进行风险计算,风险评估工作要有完善的体系和符合标准的评价指标。这是为了保证评估结果的有效性和科学性。
2.1.2 保密原则
在评估过程中和结束之后要进行严格保密,采取坚定保密协定和采取保密监视等方法保证信息安全风险评估中的保密性。要将信息安全风险评估纳入安全监管体系中去,防止在评估出现新的风险。
2.2 信息安全风险评估基本流程
信息安全风险评估的基本流程,如图1所示。
2.2.1 资产识别
资产即是有价值的信息资源,也就是我们所要评估的对象。资产识别就是对资产的使用情况和价值进行确定和整理。这是整个风险评估的基础。
2.2.2 危险识别
危险识别是对现有系统的弱点和系统可能遭受外来危险进行分析。可以借助风险评估工具。该环节包括两个层次;一个对于当前安全系统弱点的分析;另一个层次是对该资产所有可能遭受的威胁进行分析和整理,然后两者结合,得出该资产的脆弱性评价。
2.2.3 已有安全措施的确认
信息安全风险评估是验证在现有安全措施下,系统所遭遇的风险大小。通过对已有安全措施的确认可以对现有安全措施进行改进和增补,控制装备信息安全的所遭受的可能风险。
2.3 信息安全风险评估常用工具
对于装备信息要想进行准确科学的安全风险评估,就要借助信息安全风险评估工具。正确地使用评估工具将大大减轻风险评估的时间成本和人力成本,让最终的安全评估结果更为准确。安全风险评估工具根据应用方式的不同大致可分为三类。
2.3.1 主动型评估工具
主动型评估工具由人工操作指令编制而成,采取对于评估对象主动“询问”的方式来评估安全风险。使用主动型评估工具扫描防火墙,系统运行程序能够发现许多潜在的威胁。
2.3.2 被动型评估工具
被动型评估工具并不主动“询问”评估对象,而是采取守株待兔的方式把守数据关卡,检测所有流经的数据。在捕获了一些敏感数据之后,在对其进行分析。被动型评估工具的优势在于能够及时有效地监控系统安全情况,但是对于一些潜伏性的威胁程序,不及主动型评估工具更为精准。
2.3.3 管理型评估工具
是对整个风险评估过程进行管理的工具,管理型工具甚至可以结合主动型评估工具和被动型评估工具,可以运用风险管理模型管理整个安全系统。
3 信息安全风险的管理与控制
在舰船的装备信息安全风险评估中,可以将整个舰船系统分为三大指标体系:舰船装备信息的软件安全,舰船装备信息的硬件安全,舰船装备信息的安全管理机制。下面就将介绍舰船装备信息风险管理和控制的重点目标,同时这些也是进行信息安全风险评估的重要指标。
3.1 舰船装备信息的软件安全
3.1.1 信息管理系统
对信息管理系统进行安全管理和风险监测是十分重要的。信息管理系统是装备信息系统中的薄弱环节,黑客们善于利用信息系统的安全漏洞来窃取相关信息。诸如美国的情报网络就曾经被高中生攻破,导致机密信息泄露。信息管理系统的自主研发性是风险评估的一个重要依据,引进的管理系统容易被人利用已知的固有漏洞破解。对信息管理系统要重点评估防病毒程序的防火墙的安全系数。在实际的管理中可引入数字签名工具提升整个系统的安全性。
3.1.2 信息恢复措施
信息数据要做好信息备份工作,使信息数据在遭到破坏时或者系统遭到入侵自毁后能得到恢复。备份的保存应该和原数据分开保存,并且采取和原数据相同安全等级的保管措施。因为数据备份实质上就相当于一份原文件,所以对于备份数据的评估和安全控制也是整个安全管理体系的一个重要指标。
3.1.3 人员素质水平
风险评估在这里主要考察人员的专业素质水平和人员的安全意识,用以评估装备信息的安全风险。作为装备的使用者和装备信息的安全监管者,相关人员的管理一向是装备信息安全体系的弱点。且人员的活动具有更大的未知性和不确定性,更大大加深了安全控制和风险评估的难度。
3.2 舰船装备信息的硬件安全
3.2.1 环境安全
环境安全是安全管理系统最基本的一项指标。应该对整个舰桥安全和信息安全环境进行评估。舰桥是整艘舰船控制指令发出的地方,舰桥的安全不仅关系到整个装备信息的安全,更是整艘舰船的安全所在。要评估舰桥日常操作方式对于装备信息安全的影响。从舰桥我们还可以评估该舰船对于其装备信息安全的控制能力。
4 结束语
装备信息安全的风险评估是一项很系统很复杂的工作,在实际的操作中我们要实地分析,根据实际需要熟练运用各种风险评估方法和风险评估工具来评估各项指标,最终保证装备信息的安全。在未来信息化的作战环境下,谁掌握的信息的主导权,谁就掌握了战争的主导。切实加强装备信息风险评估在实际舰船安全管理的应用,能成为舰船战斗力的牢固保障。
摘要:在信息时代的大环境背景下,社会经济科技文化方面都有了飞速发展。但是接踵而来的却是信息安全方面的严峻挑战。据统计,仅仅在互联网领域,每年因信息安全问题造成的损失为数千亿美元。而涉及国防军事领域,信息泄露等信息安全问题所造成的损失更是难以简单用金钱来进行计算的。21世纪是蓝色海洋的时代,海军的发展已经成为军队建设的重中之重。舰船本身属于高度电子化和信息化的武器装备,其装备信息安全的研究是当前的迫切需要。本文将着重介绍舰船装备信息的安全风险评估及其应用。
关键词:信息安全,安全保障,风险隐患,风险评估
参考文献
而保护信息免受来自各方面的威胁,是一个企业经营管理的重要环节。
信息安全也不只是个技术问题,而更多地是管理的问题。
互联网的黑色星期天
2004年10月17日这个星期天的下午,许许多多正在使用腾讯公司QQ即时聊天软件的用户发现,QQ无法正常登录了!随即腾讯公司通过网络发布公告解释为通讯线路故障,表示该公司正在抢修。而一天过去了,问题并没有得到解决,各方开始众说纷纭,许多IT和反病毒论坛上开始流传这么一张帖子:“一国内黑客团体,利用腾讯QQ服务器的漏洞要挟腾讯支付100万美金作为‘修复’费用,腾讯不予理会后,该组织于17日早正式发动攻击……”
就在同一天,著名反病毒公司江民公司的主页被篡改了,署名为“河马史诗”的黑客留下这么一行字样:“NND,你们去论坛看看,一片怨声载道,你们干什么去了?!”
几个小时过后,国内最大的电子数码产品代理商神州数码的官方网站也惨遭黑客毒手,被篡改了网页。
这些攻击几乎都在同一日进行,受害对象全是国内知名网站和各界的领头羊,其中一些被黑网站还受到了黑客的巨额敲诈勒索,这是国内首起网络黑客勒索事件,且组织严密、技术高超、规模巨大。在黑色恐怖的弥漫下,国内互联网一时人心惶惶,风声鹤唳……
信息泄漏损失几何?
此前,惨痛的事例也并非没有,只是未能引起足够警觉和重视。比如,就在前不久,被称为中国戏曲三大网站之一的“中国秦腔网”遭黑客入侵,网站所有数据被全部删空,事发后,因为该网站平日没有对数据进行有效备份,巨大的损失根本无从挽回。网站几年的积累一夜之间化为乌有。如果这一事件发生在银行、保险、大型网站、敏感机关等网络内,损失更将是无法估量。
根据日本当地报纸的报道:2004年2月,日本软件银行(SoftBank)和雅虎日本在当地共同经营的宽带业务“Yahoo! BB” 成了一宗利用客户资料进行勒索的案件的受害者。据统计,共有4517039份软银的现订户和前订户的个人信息遭泄漏,信息的具体内容包括:住址、姓名、电话号码、申请时的电子邮箱、雅虎邮箱、雅虎日本ID、申请日期七项内容。所幸的是,用户的信用卡银行帐号和密码等重要信息不包括在内。后据调查,泄漏来源是公司内部员工所为。
在此后举行的一个新闻发布会上,软银主席孙正义对此做出正式道歉,宣布他自己以及公司其他管理层将在未来半年内自减薪水50%,还表示将免费为宽带订户提供6个月互联网接入安全服务。并拨出40亿日元(3730万美元)对受影响客户做出赔偿。
而腾讯公司QQ是一款用户数量庞大的即时通讯工具,可以判断,此次故障所波及的用户不是一个小的数目,损失自不必说。
江民公司,安全公司反倒被人家弄坏了家门,此事令业内人士瞠目结舌不说,公司形象损失更是巨大。
这一系列事件给全社会敲响了警钟,现今是网络的时代,网络和IT产品给我们带来了前所未有的机会,提供前所未有的方便,但同时我们也会发现我们已经过度的依赖它,并且这种依赖势必随着时代的发展日益加深,而这种依赖也必然蕴涵着巨大的风险。
信息安全,你重视了吗?
虽然信息风险与安全的概念早已提出,网络战、信息战等新战争形态的研究和规划也早已进入军事领域,但是一般企业对信息产品所蕴涵的风险仍然缺乏足够重视,对一旦发生网络泄密、IT产品失灵、通讯故障、病毒入侵、黑客破坏甚至恐怖袭击、自然灾害等事故后的应对准备不足、替代方案不够,在日常也缺少信息危机预警机制、信息备份机制和信息危机事件处置预案,可以断言,一旦发生严重的、大规模的信息危机事件,许多企业基本上只能坐视损失的发生而束手无策。
美国Ernst&Young近日公布的企业信息安全措施的调查结果显示:企业的首席执行官虽然认识到信息安全存在风险,但仍未采取足够的措施加以解决。
针对在公司内进行关于信息安全的培训和提高职员意识的工作,超过70%的企业没有将其列为“最优先处理的事务”。只有不到20%的企业将信息安全提高到首席执行官级的优先事项。
该调查是以51个国家的1233家企业为对象实施的。企业虽然重视病毒等来自外部的攻击,但对来自公司内部的威胁仍然视若无睹。
公安部近日公布的2004年全国信息网络安全状况调查结果显示:在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位中,发生网络安全事件的比例为58%。
造成网络安全事件的主要原因,是安全管理制度不落实和安全防范意识薄弱,其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时,调查表明:信息网络使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强,但是用户安全观念薄弱、安全管理人员缺乏培训,以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。
这些都充分显示了信息安全并未得到多数企业的重视。所以,企业乃至全社会,树立必要的信息风险意识、增强应对信息危机的能力已是当务之急。
是谁泄露了机密?
随着信息化的推进,很多企业把管理搬到了网络上,但是同时也存在着信息化环境下技术保密、管理保密问题。目前在国内,管理信息系统能够实现有效加密的很少。一个企业的运营数据很容易获得。比如:要获得某个企业的销售数据,只要联入数据库,什么信息应有尽有,而很多软件,会将联入数据库的参数暴露在配置文件中,甚至有的根本没有进行加密。
而说到保障企业的信息安全,很多人首先想到就是利用各种各样的技术手段,比如:利用防火墙和各类加密手段。但你有没有想到,道高一尺,则魔高一丈。比如:随着技术的发展,现在的个人电脑能够保存大量的客户数据。即使是PDA(便携信息终端)、手机、存储卡等记录媒体也能存储容量可观的数据。这样,犯罪手法也相应发生了变化。仔细想一想,这也是当然的事情。罪犯不会傻到特意往你耗时耗力专门搭建的防火墙上撞。比起这种方式,还是直接带走公司里的信息设备更加简单。
比如:忘在车里的个人电脑就是隐患之一。如果将这台电脑忘在某个地方,或者被人偷走的话,就会造成信息泄漏。这种情况下的信息泄漏不仅仅是指电脑里的数据。同时还存在第三者使用这台电脑访问公司内部网络的危险。
再比如:热衷工作的“您”,也许正是信息泄漏的危险人物。如果太热衷于工作会有什么危险呢?首先请您回答以下提问:您是否将工作带到家中?您是否即使外出也要在空隙时间利用网吧工作?是否共享笔记本电脑中的数据,在部门间进行协同作业?是否会在出差地为了了解电子邮件请同事代看?
请问您的回答有几个YES呢?如果您有上述情形之一就需要“注意”了。因为由于职员或相关人员随意的行动或由于不经意的失误导致信息泄漏或系统故障的事件越来越多。因为每位职员的日常行为中潜藏着有可能威胁到企业安全的因素。
以“将工作带到家中”的人士为例:日本三菱重工就曾经发生过将下一战斗机相关数据泄漏到公司外部的事件,当时该公司职员为了回家工作将上述数据附在电子邮件的附件中发送到了自己的邮箱。
很多企业允许通过互联网访问企业的软件或者公司的内部系统,如果有的职员“即使外出也要在空隙时间利用网吧工作”那就需要注意了。2004年3月6日,日本假冒他人通过互联网从银行非法取款1600万日元(约合人民币100万元)的嫌疑人被逮捕,他是用安装在网吧电脑中名为KeyLogger的监视软件,取得并记录键盘输入信息从而盗取了用户的ID和密码。由于直接取得的是键盘的敲击纪录因此即使对通信进行加密也没有用。由此推想,利用同样的方法盗取访问公司内部系统用的ID和密码也不出奇。
在信息泄漏事故中最可怕的是案犯来自内部,所以在出差地为了了解电子邮件请同事代看的做法实在是不明智的。
如何防止信息泄漏?
保障企业的信息安全应该从企业自身的管理抓起,建立和健全信息安全管理体制,利用各项制度防止任何管理上的漏洞。诚然,有些企业已经采取了安装防火墙、IDS(入侵检测系统)及杀毒软件,或者制定安全政策等各种措施。但上述措施只能在各自擅长的方面发挥作用。因此,必须将所有的安全对策综合起来考虑,即整体安全管理的方法。
第一,系统安全管理
其中包括:系统资源的管理和信息资源分级分类管理。比如:在很多大型系统中,很多人可能并不清楚,里面究竟有哪些软件、硬件设备?有没有人插进来一个设备或者是删除一个设备?究竟是哪个关键部件出了毛病?等等。此外,信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样,在系统中进入不同的设备、进入不同的操作也要进行区分。
第二,对用户的管理
加强对用户的管理,用管理手段弥补技术落后问题。在自己的系统上所注册的合法用户究竟有哪些?他们各自的权限在哪儿?这些问题必须搞清楚,因此,对密码的配置要进行管理。
要制定重要信息的使用方针。需要有一个规定:每个员工能访问什么信息以及什么样的信息可以保存在电脑里。不过,实际问题是无法逐一检查每个人使用的信息设备内所保存的内容。公司应该以所有设备上都保存有重要信息为前提,来考虑安全问题。需要强化对带出信息终端的监视,以及强化登录个人电脑时的密码认证措施。另外,还应该考虑数据的加密。
第三,对资产的管理
首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常,各公司认为表述资产的价值是很容易的,但具体到要按级别界定就不那么简单。对此,就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别,并为制定切实可行的安全管理策略打下基础。
第四,将安全策略运用于日常业务中
信息安全策略的制定一定是一个好的开始。但无论信息安全策略考虑得有多好,制定得有多详尽,但是如果人们不知道这些策略,仍然毫无用处。所以还应有一些好的手段,使安全策略得到推广,比如:
(1)对企业安全管理人员进行安全培训,以便维护和管理整个安全方案的实施和运行情况。
(2)利用幽默和简单的语言表述信息安全策略,分发给每个雇员。
(3)印刷日历,强调每个月不同的策略,将它们张贴在办公室中。
(4)将信息安全策略和标准发布在内部系统的网站上。
(5)向公司员工发送宣传信息安全策略的邮件。
(6)建立内部安全热线,回答雇员关于信息安全策略的问题。
【信息安全风险分析】推荐阅读:
定期分析安全信息制度11-09
重大安全风险分析11-23
电力信息化与信息安全06-08
备案安全风险分析报告11-08
信息安全团队06-05
信息安全试题06-27
0836信息安全07-24
信息安全技术09-27
食品安全风险分析报告11-29
信息安全策略集06-08