信息安全风险评估方面的问题,是近年来,作为广东省安全领域领导者-广州万方安全技术有限公司,近年来上级单位对信息安全风险评估做出了很大的调整,信息安全风险评估是大家都非常关心的一个问题。从国际上的情况来看,也是各国都在探索的一个问题。
首先万方安全讲一下做信息安全风险评估的内容包含哪些呢?每个人可能意见不是很统计,一般来说,信息安全风险评估内容主要也有:
资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。
其次简单地讲一下信息安全风险评估的概念信息安全风险评估四大要素。
第一个方面,什么叫信息安全风险评估呢?信息系统的安全风险,我在这里列了四个要素来综合起来说明这个问题,系统存在着脆弱性,就是我们常说的技术上的漏洞,可以被利用的漏洞,我们有时候讲脆弱性。再加上人为或自然的威胁,导致一些信息安全事件的发生的可能性及其造成的影响,特别是负面影响。也就是说脆弱性和威胁是原因,可能性和影响是结果,当然还有一些其他的要素。信息安全风险评估是指对信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程,我想人们认识能力和实践能力,从阶段性的考虑来说总是有局限性的。
因此信息系统存在的脆弱性是不可避免的,经过几十年的研究,大家发现这是由于人为的错误所造成的,对于现在我们所使用的一个庞大的、复杂的技术系统来说,恐怕在长时间内是不可避免的。因此,在现实环境中,人们总是要面临着各种各样的威胁,或者是信息安全风险是必然的。在这种情况下,通过适当的、足够的,有时候是综合的安全措施来控制风险,最终目的是使残余下来的风险可以降低到最低程度。任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。
第二个方面,风险评估的意义和作用。1.风险评估是信息系统安全的基础性工作,它是观察过程的一个持续的工作。2.风险评估是分级防护和突出重点的具体体现。前面沈院士讲了等级保护,他有一个重要的思想,等级保护的出发点就是要突出重点,要突出重点要害部位,分级负责,分层实施。3.加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。风险评估对信息系统生命周期的支持,生命周期有几个阶段,有规划和启动阶段,设计开发或采购阶段等等。信息系统在设计阶段的时候,现在大家很关注的还是在设计阶段,国家对这方面也做了很多的工作。
信息安全风险评估的目标和目的,信息系统安全风险评估的总体目标是认清信息安全环境、信息安全状况,有助于达成公式,明确责任,采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性,这是一个非常非常重要的问题。我们检查性的评估,都是为了使信息安全评估策略贯彻得到始终如一的支持。
第三个方面,信息安全风险评估的基本要素。探讨信息安全风险评估的基本要求,有助于我们思考一些问题。现在的信息系统可以是一个组织乃至个人组织、乃至国家完成使命的一种手段,因此要从使命出发。由于信息化取得了很多的成果,得到了很广泛的应用,所以他们就产生了资产,这个资产的问题,我们和经济学家探讨的时候还有一些不同的看法,但是他们也有普遍的认识,我们用信息资产这个概念来描述我们信息化的成果,或者我们在信息化过程中从中衡量,也许信息资产的概念是最直接的概念,当然它也存在一个量化问题。信息安全威胁方面,我们当前信息化过程中有来自很多方面的威胁,既有人为的,也有自然的,都可能对我们信息系统造成威胁。信息安全事件是大家现在比较关注的一个话题,通过我们以前调研发现,人们只有在具体的事件中才能逐渐认识信息安全的利益所在,所以我们在评估的时候要关注以往发生的事情和别人发生的事情。残余风险,风险不可能完全消除,由于信息化的发展,信息系统已经×××到这个社会生活的各个方面,已经逐渐成为一个谁也离不开的东西,因此的信息化所带来得好处,会受到方方面面的危险,因此它的风险也许在相当长的时间之内完全消除是不现实的,所以必须承认即使我们采取了措施,即使我们加强了保护,即使我们投入了很多的资源,最终我们还是要面临风险。因此,这个风险管理、风险意识,特别是现在的情况下,要引起我们的注意。安全措施,在我们采取的安全措施再去评估,要考虑对安全措施加以评估,我们已有的安全措施是否还有效,是否有待加强。前面几位先生都讲到安全措施一般分为保护、检测、响应,还有恢复,当然还有管理,现在大家讨论的话题说这个措施要从管理、技术、运行三个方面去考虑。通过安全措施对资产加以保护,对脆弱性加以弥补,从而可降低风险。实施了安全措施后,威胁只能形成残余风险。而这个过程中往往是很多措施共同起作用的过程,所以27号文件就提出来,积极防预、综合防范的策略原则。我们要考虑采取措施往往是综合的,特别是安全比较高的系统往往采取综合性的措施加以防范。
下面,我们看一下我国信息系统安全风险评估的现状和问题。我国信息系统安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高。存在的问题,1.信息系统安全风险评估的研究积累不足。2.缺乏信息系统安全风险评估的规范化标准。3.缺乏人才。4.信息系统安全风险评估的角色和责任有待进一步明确,这里涉及到一些人、管理体系、决策和责任有待进一步完善。5.风险评估存在的风险,由于与信息系统漏洞有关的信息,而造成的一些风险。
我国在信息安全产品的测评认证方面开展了一些工作,积累了一些经验,但是对信息系统的风险评估还处于起步阶段,有待规范提高,并需纳入等级保护的机制中,已经显现的问题和可能发生的问题,也有待深入研究,提出解决方法。
有需要信息安全风险评估服务或者交流,可以联系企鹅号:3273153213