江南APP官方网站信息系统风险评估实践随着数字化军工的提出和制造业信息化的大力推进,在军工系统针对现代化设计和制造,开展了ERP、PDM/PLM 系统的应用研究。这些信息系统在军工领域都发挥着重要作用,涉及大量的涉密信息,是军工企业的核心工作环境,因此相应开展了信息安全保密体系建设。在体系建设中如何实现防护成本和系统运行目标的平衡、证明已有信息安全建设的适应性,都需要开展风险评估。
风险评估在信息安全保密体系建设中起着重要作用,是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据;也是按照PDCA改造组织安全保密体系的关键。
风险评估:对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。
安全策略:在风险评估的基础上,考虑将风险降低到组织可接受级别的安全策略和安全措施,并确保信息系统的安全措施符合标准要求。
安全工程:按照安全策略制定信息系统的安全防护架构,包括技术和管理两个方面,内容涵盖环境安全、运行安全、信息安全与保密、保密管理,确保所有的技术安全措施在信息系统中可靠运行。
安全审计:根据审计策略定期对系统进行审计信息的收集、分类和分析,对不符合安全策略的及时采取必要的措施。
应急响应:当安全事件发生后,按照已经过组织审批和演练的应急响应预案采取相应的应急措施,尽快恢复系统服务和保证系统正常运转。
基线风险评估是指对信息系统实施一些标准的安全防范使其达到一个最基本的安全级别。这种方法直接对安全风险模型中系统资产所面临的威胁、脆弱性及其破坏后造成的影响进行分析,为信息系统建立安全基线或更高一级的安全要求。由于目前大多数单位没有安全基线,最好结合等级保护,参照信息安全相关的标准、信息系统的相关标准和行业标准,进行风险评估。
详细风险评估是对信息系统所有资产进行识别和评估,并对资产所面临的安全威胁和脆弱性进行评估,最后进行综合风险分析。
针对高风险实施合适的安全防范措施,并制定出相应的风险控制策略。需要较多的人力、物力、财力和专业技术能力,提炼安全需求需要较长的时间,因此安全需求有可能不满足现在的要求。
对于被鉴定为非常重要的系统或关键部分才进行详细风险分析,其他的系统一般进行基线 综合风险评估
综合风险评估是对所有的信息系统进行一次较高级别的安全分析江南APP官方网站,要评估每个系统及其流程在整个业务系统中的价值和面临的威胁及脆弱性,最后针对所有业务进行综合风险分析。通过全面的综合分析,可以快速建立单位的安全策略。
这些评估方法在使用时通常注重于关键资产的防护,容易把对关键资产的防护简化为对关键服务器的防护,因此在评估时主要针对关键服务器,其他方面则采取扫描方式。这样的评估会忽略信息系统的薄弱环节,是不全面、不系统的评估。
应用系统是组织业务信息化的体现,是涉密信息流转的平台江南APP官方网站,因此也是信息保密体系建设的焦点。在风险评估中以信息系统中的应用系统为关注焦点,分析组织内的纵深防御策略和持续改进的能力,判别技术和管理结合的程度和有效出并且风险评估的思想贯穿于应用的整个生命周期,对信息系统进行全面、系统的评估。
(1) 基于应用系统。组织信息化的程度和水平取决于应用系统的时用性和安全性。应用系统承载大量的涉密信息,是组织业务流的具体体现,包含多个组件,而其开发平台和运行环境又很复杂,因此对应用系统的评估比网络基础平台的评估要困难得多 其生命周期与风险评估的关系如表1所示。
在风险评估的过程中,通过对信息系统维护人员、使用人员和应用系统开发人员充分的交谈、观测和学习相关技术资料,掌握信息系统运行的物理环境、支撑的技术措施、软件架构和安全体系等信息,着重关注应用系统架构和运行模式的脆弱性,分析由该脆弱性带来的人员威胁、系统威胁和环境威胁江南APP官方网站。
对于多个未整合的应用系统及安全体系不统一的信息系统,多个应用系统之间的关联,信息传递和信息安全措施的一致和完整都是确定风险的综合因素;需要系统的检测和分析,从而确定应用系统的风险。应用系统生命周期各阶段所涉及的风险评估的原则和方法是一致的,但由于各阶段实施的内容、对象、安全需求不同,使得风险评估的对象、目的、要求也不同。
(2)关注纵深防御和持续改进。纵深防御的关键是横向到边和纵向到底,覆盖组织使用信息系统的所有环节。系统中最薄弱的环节(如终端)往往成为攻击者的跳板。通常的风险评估对终端都是采用扫描的方式,由于受到扫描工具的限制,常不能完全发现威胁所在。信息系统的生存性与构成系统的组件中生存性最薄弱的生存能力相同,因此信息系统需要全面、系统的整体防护和分析评估。在评估前对信息系统保密方案、配套保密体系、建设方案和软件开发方案的审查,需要根据不同的基础平台、运行环境和使用人群对网络基础平台、操作系统、数据库、应用系统和整体全策略制订不同的分析和评估策略,分类设计测试案例,才能达到全面检测和系统评估的目的。鉴于信息安全体系的动态发展,组织内持续改进的能力应作为风险评估的因素。
(3)技术管理相结合。在评估过程中不能过分强调技术或管理,要根据运行环境和使用人群,判别技术措施和管理措施互补的适应性及合理性。特别关注在技术上无法实现的环节,管理措施是否到位和存在隐患,及管理措施对人的依赖程度,综合评判技术与管理的结合程度。
系统、全面地开展风险评估需要大量的时间、精力和技术,有效的系统评估方法和先进的检测、评估T具是保证风险评估成功的关键。因而对评估队伍的培养和评估方法的探索仍需长期不懈的努力。