发布时间 : 星期一 文章涉密信息系统设计阶段风险评估的研究更新完毕开始阅读74f0db8583d049649b6658e4
计算机风险评估怎么写
悬赏分:30 - 解决时间:2009-7-19 16:15
1、涉密计算机和和信息系统安全保密审计报告? 2、涉密计算机和信息系统风险自评估? 希望给出例子,说明根据什么来写,谢谢!
提问者: liuxianming218 - 三
级
最佳答案
第一个问题。你系统肯定装绑定、防护之类的软件了吧。你把里面的U盘记录、打印记录等打出来就是审计报告。还有你的杀毒软件,全面扫描后的记录就是审计报告
第二个问题,根据审计报告进行风险评估,比如有病毒,怎么处理?有不明U盘插入,怎么处理?
这两个问题在新标准才要求的,只要你写了过的去检查人员不会为难你们的。
涉密信息系统设计阶段风险评估的研究
上海三零卫士信息安全有限公司 叶铭
上海市国家保密局 张若虹
摘要:分级保护系列标准的发布与实施,标志着我国在是涉密信息系统的信息安全理念进入了风险管理的时期。作为风险管理过程中的一个重要手段,风险评估的价值随之凸现。但由于对涉密信息系统的特殊性,涉密信息系统建设和使用单位比较关注方案的合规性,导致风险评估的工作被忽视。结合涉密信息系统的特点,本文通过对风险测度与控制的探讨,结合涉密信息系统的特点,阐述了风险评估对涉密信息系统建设在业务安全与安全保密管理方面的重要价值,最后结合实践提出了涉密信息系统在设计阶段进行风险评估的一种方法。
关键词:风险评估 涉密信息系统
一、引言
从2000年到2006年,涉密信息系统的信息安全保密的基本要求从最初的“按照最高密级防护”发展到了“分级分域防护”,标志着我国信息安全保密的防护理念已经从对信息相关系统与环境“严防死守”阶段转变为以信息为核心的“风险管理”阶段。在构建分级保护信息安全保密体系过程中,特别在涉密信息系统的安全措施选择与保护需求调整过程中,风险评估作为科学决策的依据扮演着重要的角色。 然而在涉密信息系统分级保护工作的实际落实过程中,一方面由于涉密信息系统的相关标准在技术以及管理方面提出了非常详细的要求,另一方面,在涉密信息系统分级保护工程建设完成后的测评阶段,主要针对系统建设所采取的各项信息安全保密管理与技术措施情况进行合规性的测试与评判,上述两个因素导致了涉密系统建设和使用单位关注点着重放在系统建设的合规性方面,在对系统定级工作完成后,主要是对照标准的要求进行设计与建设,忽略了风险评估在此期间的作用。
本文通过对信息安全风险的状态与控制能力两个测度探讨入手,从控制的角度分析了信息安全风险控制的效益性与层次性特点,阐述了涉密信息系统风险评估的目的与意义,在此基础上,根据涉密信息系统的特点,提出了涉密信息系统风险评估的方法与建议。
二、风险测度与风险控制
信息安全风险有两个基本测度:一是状态测度,反映的是在某一时间点,信息安全风险相关的缺陷、
威胁,资产的实际状态,反映的是风险要素之间的静态关系,如发现系统中存在的漏洞数量,日志中的报警数量等;二是风险控制的能力测度,表示是在一定的时间范围中将风险状态控制在可接受的范围内的能力,反映的是系统状态调整与环境变化之间动态作用的关系,如漏洞修补能力等。 从控制的角度来看,信息安全风险控制具有以下特点: 1.层次性
信息安全风险存在于信息系统在各个阶段,如下图所示,并且对信息系统建设和使用单位安全管理组织的各层面具有不同的意义。
图 风险层次关系示意
(注图中:1 阶段内的总体风险 2阶段风险累积曲线 3日风险损失) (1)决策层:在信息系统建设和使用单位的决策层,信息安全风险总体控制目标是一个期间总量的概念,是在一定的时间阶段内预期的总损失,以及单一事件的最大损失,作为决策层,首先希望能够将总体的风险预期损失能够控制在一定的范围内,并且不发生超出承受能力的信息安全事件(如超过XX小时业务中断等)。
(2)管理层:信息安全的风险是以信息安全事件的形式进行释放的,对于管理层来说,在风险的总量控制目标的基础上,还需要将风险能够以一个平稳、可控的方式进行释放,管理层着眼点是过程是趋势。 (3)控制层:对于控制层来说,其着眼点是对具体信息安全事件,需要考虑的是信息安全事件控制的及时性和有效性,需要能够降低信息安全事件发生频度,降低信息安全事件损失,提高控制的效率降低控制成本,其着眼点是具体的信息安全事件。
信息系统建设和使用单位通过上述三个层面的将信息安全风险管理目标从总体目标分解为过程目标,最终落实到具体的事件控制目标,涉密信息系统同样遵循相应的控制方式。
2.效益性
信息安全风险的是以预期的各类信息安全事件及其损失的方式进行衡量的,预期的各类信息安全事件的发生将造成信息失泄密、服务中断、信息被篡改等后果,继而使国家利益受到损失。各涉密信息系统建
设和使用单位通过实施各类信息安全风险控制措施对信息资产进行保护,具体的收益体现在两个方面,其一是通过控制措施可以降低信息安全事件发生的频度,如打补丁等预防措施,其二则是可以减少信息安全事件造成的影响,如应急响应以及备份与恢复措施等,通过上述的方式可以减少损失从而使各单位获益。各类控制措施的实现需要成本,如管理措施需要投入人员,技术方式则需要购置与维护设备、培训操作人员等。因此,各单位的信息安全风险控制是一个控制投入与预期风险损失减少,或者是控制投入与残余风险接受之间的投入产出关系,而其理性的追求应该是寻求风险控制投入与预期风险降低之间的平衡。 由于涉密信息泄漏事件的产生涉及的是国家利益,因此,在机密性相关的风险评估不能单纯从个体组织的角度进行损失去衡量投入与产出的关系,需要参考国家的强制规范要求进行控制,这些强制的技术与管理要求所表示的就是国家权威机构认可的风险控制与残余风险之间投入与产出的决策平衡点。而对于关系到信息的完整性与可用性价值的部分,则可以按照组织自主的要求,选择有效的措施控制风险(如备份与恢复,设备与链路冗余等)。
三、涉密信息系统风险评估的目的与作用
对于涉密信息系统来说风险评估的目的与作用如下: 1.获取风险的状态信息为解决方案的制定提供支持
通过风险评估的方式,可以全面掌握涉密信息系统中的信息资产情况、信息资产面临的威胁、存在的漏洞以及所采取的直接控制措施(包括技术措施与相应的管理措施),可以对系统的风险状态有一个相对客观的了解。风险状态信息的获取可以通过技术调查以及获取操作记录与日志等方式进行,力求客观。风险的状态信息可以为解决方案的制定提供支持。 对于涉密信息系统来说,典型的风险状态信息如下:
a)信息资产:包括各类的信息资源、应用系统、软硬件资源、网络平台等。
b)威胁信息:包括病毒信息(来自于防病毒系统日志)、入侵信息(来自于防火墙、入侵检测、服务器日志)、违规操作信息(来自于终端审计、网络审计、应用系统审计等)、物理环境等。 c)漏洞信息:通过扫描或配置检查方式获取的主机、终端、网络设备等存在的漏洞。 d)控制措施:实际安装部署的各类安全保密设备(软件)的安装、部署、配置信息等。
风险状态评估相对比较客观地反映了在某一个时间点,涉密信息系统面临的风险。根据风险状态的情况可以为方案设计提供基本依据,在信息的可用性与完整性分析方面与用户的具体业务结合紧密,比较适用于新建涉密信息系统。
2.获取风险控制的能力为控制措施的调整提供依据
风险控制的能力关注的则是一定的时间阶段内将涉密信息系统的风险状态控制在期望范围内的能力。风险控制能力相关信息的获取主要通过对日常维护、安全事件处置等活动的调查的方式进行。风险控制能力与各单位的信息安全保密管理体系直接相关,可以为各单位的控制措施决策提供依据。 对于涉密信息系统来说,典型的风险控制能力信息如下:
a)控制层:面对的是具体的信息资产与威胁,相应的实时性要求与专业性要求比较高,对于涉密信息系统来说,主要是“三员”的专业技能与相应的操作规范及其执行情况(如介质管理、系统审计、系统安全、事件处置等),关注要点是人员的专业技能情况、操作管理制度及操作执行的具体记录。 b)管理层:管理层的工作包括对风险信息的收集与分析,处理变更情况,以及对控制工作进行维护与调整优化。管理层对实时性要求不高,但需要有对控制操作执行的监督以及对变更及环境等因素综合分析的知识与协同工作机制,关注的要点是检查、纠正预防措施以及变更管理流程及风险分析能力。 c)决策层:决策层主要工作是对信息安全投资及重大变更进行决策与应急事件进行指挥,需要组织各信息安全层面提供比较有效的决策支持信息,以及决策知识支持。关注的要点是安全保密决策组织、决策能力、应急协调能力。
风险控制能力反映了各单位在一定的时间阶段,控制风险状态、适应环境变化的能力。风险控制能力
评估结合风险状态信息的评估与用户的安全保密管理体系结合紧密,为涉密信息系统控制措施调整提供了基本依据,同时也为涉密信息系统的运行阶段、改扩建阶段,信息安全保密管理的持续改进提供有效的支持。
四、涉密信息系统风险评估建议
涉密信息系统在风险评估的基本流程、计算方法等方面可以借鉴非涉密信息系统的方法,但在信息资产的识别方面,需要将资产自身的价值以及系统对此资产的依赖程度,以及资产密级分别进行识别,以确定其资产在可用性、保密性以及完整性方面的价值。 1.风险评估的过程
包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段[4]。实际操作中可分为六个步骤:
(1) 确立评估对象:明确涉密信息系统信息资产、应用系统、软硬件资产、网络资产、人员和系统使命等,给出系统功能、边界,确立评估范围并提请报批。
(2) 评估准备:按要求制定评估计划,确定评估程序,选择合适的评估方法和工具,组建涉密系统管理小组,进行分工,监督审查评估活动。
(3) 风险识别:识别评估范围里的涉密信息相关资产与一般资产,按照保密性、完整性、可用性三个方面分别执行详细评估或基线评估等不同的评估;分别识别各类信息面临的威胁,进行分类整理;识别资产自身存在的脆弱性(包括漏洞、缺陷等);识别现有安全措施(包括操作管理措施和技术措施)。 (4) 风险分析:结合资产的属性,分析脆弱性被威胁利用的可能性及后果和现有安全保密措施的在事件防范与影响控制方面的有效性,分别按照保密性、完整性、可用性进行风险分析,其中保密性措施分析关键分析安全措施与标准要求的差距、完整性与可用性则按照通用的要求进行分析。
(5) 风险评估:评价分析风险的状态信息,结合安全保密风险控制能力的情况,由各涉密系统建设和使用单位的有关人员与信息安全专家共同组成专家小组,编制风险评估报告,并推荐安全保密措施,形成风险评估报告,上报各单位涉密信息系统保密管理领导小组进行决策。
(6) 风险控制:风险评估报告通过审批后,按批示要求采取有效措施,对风险进行处置,调整系统的状态,规避、降低、转移或接受风险,使各单位对涉密信息系统建立起风险控制能力,从而使风险得到有效控制。
2.涉密信息系统风险的计算
涉密信息系统风险分析包含涉密资产、脆弱性、威胁等关键要素。每个要素有各自的属性:涉密资产的属性是资产密级,脆弱性的属性是脆弱性被威胁利用后对资产带来的威胁的严重程度,威胁的属性是威胁发生的可能性。
风险状态的计算方法:
Ri= fi(A,V,T)=fi(Ia,L(Va,T))
其中,Ri 表示风险;i=1(保密性),2(完整性),3(可用性) A 表示涉密信息资产; V 表示脆弱性; T 表示威胁;
Ia 表示涉密资产发生安全事件后对业务的影响(也称为涉密资产的重要程度,分别根据保密性、完整性、可用性进行分析);
Va 表示某一涉密资产本身的脆弱性;L 表示威胁利用涉密资产脆弱性造成安全事件发生的可能性。 3.风险结果的判定
确定风险数值的大小不是组织风险评估的最终目的,而是明确不同威胁对涉密资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的涉密资产应被优先分配资源进行保护。
在风险结果的判定中,除了考虑风险的状态以外,还需要考虑风险的控制能力。对于某项具体的风险,如果已经建立了比较强的控制能力,那么在当下的评估中的风险状态可能是偶然的情况,相应的综合风险结论可以低一些。
在对涉密信息系统进行评估时可采用定性与定量相结合的方法,将风险的相关因素按照1-5级进行划分,进行风险值的计算。综合考虑风险控制能力后,简化的处理方式,可以将风险计算公式调整为:
风险
是在风险场景i下系统面临的信息安全风险。资产价值与脆弱性严重程度
的乘积除以已有预防措施
和影响控制措施乘积。总风险可以表述为:
五、结束语
随着涉密信息系统分级保护工作的推进,一方面对于涉密信息系统在信息安全保密建设方面提出了更加具体与明确的要求,另一方面随着信息应用的进一步深入,除了在保密性的要求以外,在完整性、可用性方面有着与具体业务联系紧密的个性化要求外,在系统投入运行后,系统在面临各种因素变化时,都需要针对各种变化对系统在业务与管理方面进行个性化的风险评估,为系统安全保密策略和措施的设计与调整提供决策支持,这是涉密信息系统安全保密保障的重要前提,也是使涉密信息系统安全保密管理科学化的依据。