IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 信息系統(tǒng)安全風(fēng)險評估應(yīng)用:基礎(chǔ)知識

信息系統(tǒng)安全風(fēng)險評估應(yīng)用:基礎(chǔ)知識

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

在開始進行實際的信息系統(tǒng)安全風(fēng)險評估操作前,先來了解一些有關(guān)信息系統(tǒng)安全風(fēng)險評估的基礎(chǔ)知識,明白一些與安全風(fēng)險評估相關(guān)的術(shù)語,將有助于讓你明了要如何才能完成一次信息系統(tǒng)安全風(fēng)險評估。

一、我們?yōu)槭裁葱枰畔⑾到y(tǒng)安全風(fēng)險評估

很顯然,當(dāng)要我們很欣然地接受和使用某一種新技術(shù)來協(xié)助我們進行安全防范工作時,這種技術(shù)就必需有能夠驅(qū)使我們?nèi)ナ褂盟睦碛。這此理由也就是這種技術(shù)在某個安全防范方面的主要作用,而我們也就是沖它的這些主要作用才去使用它的。

對于信息系統(tǒng)安全風(fēng)險評估來說,我們在本文的開頭中已經(jīng)大概了解了他的定義,從它的定義當(dāng)中,我們可以了解到風(fēng)險評估可以在信息系統(tǒng)的生命周期的各個階段使用。由于信息系統(tǒng)生命周期的各個階段的安全防范目的不同,致使使用風(fēng)險評估的目的也各不相同,因此,信息系統(tǒng)生命周期每個階段進行的風(fēng)險評估產(chǎn)生的作用也各不相同。

信息系統(tǒng)的生命周期分為設(shè)計、實施、運行維護和最終銷毀這四個主要階段,每個階段進行相應(yīng)的信息系統(tǒng)安全風(fēng)險評估的主要作用如下所示:

1、在信息系統(tǒng)生命周期的設(shè)計和實施階段,使用信息系統(tǒng)安全風(fēng)險評估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施,幫助制定有效的安全防范策略,確定安全防范的投入最佳成本,說服機構(gòu)領(lǐng)導(dǎo)同意安全策略的完全實施等作用。

2、在信息系統(tǒng)生命周期的運行維護階段,使用信息系統(tǒng)安全風(fēng)險評估可以起到如下的作用:

(1)了解防火墻、IDS及其它安全設(shè)備是否真的按原先配置的意圖在運行,它們實際的安全防范效果是否有滿足安全目標的要求;

(2)了解安全防范策略是否切合實際,是否被全面執(zhí)行;

(3)檢驗機構(gòu)內(nèi)部員工的安全意識,網(wǎng)絡(luò)操作行為及數(shù)據(jù)使用方式是否正常;

(4)當(dāng)信息系統(tǒng)因某種原因做出硬件或軟件調(diào)整后,使用信息系統(tǒng)安全風(fēng)險評估來確定原本的安全

措施是否依然有效,如果不行,應(yīng)當(dāng)在哪些方面做出相應(yīng)的修改等等。

3、在信息系統(tǒng)生命周期的最終銷毀階段,可以使用信息系統(tǒng)安全風(fēng)險評估來檢驗應(yīng)當(dāng)完全銷毀的

數(shù)據(jù)或設(shè)備,確實已經(jīng)不能被任何方式所恢復(fù);淘汰的信息系統(tǒng)中的設(shè)備確實已經(jīng)被妥善保管,沒有被流失出去的危險等作用。

二、信息系統(tǒng)安全風(fēng)險評估的通用處理流程

信息系統(tǒng)安全風(fēng)險評估不是一個可以隨意就能完成的任務(wù),為了能保證風(fēng)險評估按一定的方式有序、正確地執(zhí)行,以及評估結(jié)果的真實有效;也為了能減少在風(fēng)險評估過程中有可能產(chǎn)生的有意或無意錯誤;同時還為了提高風(fēng)險評估的效率,縮短評估的時間,以減少對正常業(yè)務(wù)的影響。為信息系統(tǒng)安全風(fēng)險的評估工作制定一個有效的處理流程是很有必要的。

在現(xiàn)在出現(xiàn)了的一些信息系統(tǒng)風(fēng)險評估標準中(例如我國,在2006年3月7日,由國務(wù)院信息化辦公室印發(fā)的《信息安全風(fēng)險評估指南》),已經(jīng)提出了處理風(fēng)險評估的通用流程。但是,這些通用的風(fēng)險評估流程并不包括具體細節(jié),你和你的風(fēng)險評估團隊?wèi)?yīng)當(dāng)根據(jù)需要評估的對象來自行決定。同時,我們在風(fēng)險評估過程中,還要以這些風(fēng)險評估標準作為評估結(jié)果的參考標準,以便給出具體的風(fēng)險評估值。

在這里,我同樣只給出這個通用信息系統(tǒng)安全風(fēng)險評估流程的主框架,具體的處理細節(jié)會在第二節(jié)中詳細說明。這個通徹的風(fēng)險評估處理流程如下所示:

1、信息系統(tǒng)安全風(fēng)險評估準備階段

2、信息系統(tǒng)安全風(fēng)險評估對象風(fēng)險檢測階段

3、信息系統(tǒng)安全風(fēng)險評估對象風(fēng)險檢測結(jié)果分析及給出評估報告階段

4、后期安全維護階段

三、了解信息系統(tǒng)安全風(fēng)險評估中的三個重要術(shù)語

1、評估對象

在信息系統(tǒng)安全風(fēng)險評估過程中,我們首先要做的就是指定評估的具體對象,也就是限制評估的具體物理和技術(shù)范圍。在信息系統(tǒng)當(dāng)中,評估對象是與信息系統(tǒng)中的軟硬件組成部分相對應(yīng)的。例如,信息系統(tǒng)中包括各種服務(wù)器、服務(wù)器上運行的操作系統(tǒng)及各種服務(wù)程序、各種網(wǎng)絡(luò)連接設(shè)備、各種安全防范設(shè)備或應(yīng)用程序、物理安全保障設(shè)備,這些都可以是構(gòu)成獨立的評估對象,甚至連使用這些信息系統(tǒng)的人也可以作為一個評估對象。總的來說,目前可以將整個計算機信息系統(tǒng)分為六個主要的評估對象:

(1)、信息安全風(fēng)險評估

(2)、業(yè)務(wù)流程安全風(fēng)險評估

(3)、網(wǎng)絡(luò)安全風(fēng)險評估

(4)、通信安全風(fēng)險評估

(5)、無線安全風(fēng)險評估

(6)、物理安全風(fēng)險評估

2、評估項目

信息系統(tǒng)安全風(fēng)險評估的評估項目是針對某個具體的評估對象來定的,用來決定評估對象具體要評估的某個方面,例如,對于物理安全風(fēng)險評估,就需要對評估對象所在的周邊環(huán)境進行安全風(fēng)險評估,以及對評估對象已經(jīng)完成的物理安全措施進行風(fēng)險評估等,這些就是信息系統(tǒng)安全的風(fēng)險評估項目。

每一個評估對象都有屬于自己獨特的評估項目,這是每個評估對象獨特的屬性所決定的。下面是六個主要的安全風(fēng)險評估對象的主要評估項目的簡短描述:

(1)、信息安全風(fēng)險評估的主要評估項目
①、信息的安全狀況評估

②、信息的完整性審查

③、機密信息調(diào)查

④、網(wǎng)絡(luò)操作痕跡信息檢查

⑤、信息在使用過程中的安全性審查

⑥、隱私信息機密性審查

⑦、信息可控性審查

⑧、信息存儲安全性審查

(2)、業(yè)務(wù)流程安全風(fēng)險評估的主要評估項目
①、業(yè)務(wù)流程安全現(xiàn)狀評估

②、業(yè)務(wù)請求安全性審查

③、業(yè)務(wù)反請求安全性審查

④、業(yè)務(wù)處理流程安全性審查

⑤、業(yè)務(wù)處理人員可信賴性測試

(3)、網(wǎng)絡(luò)安全風(fēng)險評估的主要評估項目
①、網(wǎng)絡(luò)安全現(xiàn)狀評估

②、入侵檢測審查

③、網(wǎng)絡(luò)傳輸安全性評估

④、網(wǎng)絡(luò)應(yīng)用安全性評估

⑤、網(wǎng)絡(luò)弱點及漏洞檢測與驗證

⑥、網(wǎng)絡(luò)中交換機及路由器安全性評估

⑦、訪問控制測試

⑧、主要網(wǎng)絡(luò)攻擊方式測試(如DOS)

⑨、網(wǎng)絡(luò)行為審查

⑩、網(wǎng)絡(luò)安全策略、警報和日志文件審查

(4)、通信安全風(fēng)險評估的主要評估項目

①、Modem等通信設(shè)備安全性檢測

②、VOIP安全性評估

③、網(wǎng)絡(luò)傳真安全性評估

④、遠程訪問安全性評估

⑤、即時通信安全性評估(包括即時聊天、網(wǎng)絡(luò)視頻會議、網(wǎng)絡(luò)遠程監(jiān)控等)

(5)、無線安全風(fēng)險評估的主要評估項目

①、電磁輻射測試

②、802.11a/b/g無線網(wǎng)絡(luò)安全風(fēng)險評估

③、藍牙安全性評估

④、無線輸入輸出設(shè)備安全性測試

⑤、無線手持設(shè)備安全性測試

⑥、無線設(shè)備接入或退出安全性測試

⑦、無線傳輸設(shè)備安全性測試

⑧、無線通信保密性測試

⑨、其它無線通信方式檢測(如RFID及紅外線連接等)

(6)、物理安全風(fēng)險評估的主要評估項目
①、物理安全現(xiàn)狀評估

②、物理安全訪問控制的安全性測試

③、物理監(jiān)控設(shè)備運行審查

④、警報響應(yīng)審查

⑤、物理安全防范位置審查

⑥、計算機系統(tǒng)所處位置周邊物理安全審查

⑦、計算機系統(tǒng)所處位置當(dāng)?shù)刈匀粭l件、環(huán)境因素調(diào)查

3、評估任務(wù)

評估任務(wù)就是指要達到某個風(fēng)險評估項目的評估目標時,要具體進行的所有評估操作任務(wù)。評估任務(wù)與每個評估項目相對應(yīng),具體的評估任務(wù)可以由你和你的團隊根據(jù)實際需求來決定。評估任務(wù)制定得全不全面,切不切合實際,會直接影響到信息系統(tǒng)安全風(fēng)險評估的最終結(jié)果是否與風(fēng)險評估的目標相一致。因此,當(dāng)決定這些評估任務(wù)時,參與決定的人員不僅要有豐富的經(jīng)驗,而且手里要有充足的與評估對象相關(guān)的各種有效的資料;同時,要對目前的安全威脅,各種系統(tǒng)或設(shè)備的弱點和漏洞,各種攻擊手段有充分的了解;而且,還要能仔細識別評估對象的資產(chǎn)類型及其重要性等。

由于評估任務(wù)是與具體的評估對象和評估項目來決定的,還與當(dāng)前的安全威脅狀況及發(fā)展趨勢有關(guān),同時由于文章篇幅的限制。因此,在本文中只能分別對這六個評估對象中的一到二個評估項目給出一些通用的評估任務(wù)。至于其它評估項目的評估任務(wù),你和你的評估團隊可以參考本文中給出的評估任務(wù)內(nèi)容實例,使用頭腦風(fēng)暴的方法,通過分析收集到的各種有效資料來自行決定。

(1)、信息安全風(fēng)險評估中隱私信息機密性審查的評估任務(wù)

隱私信息的機密性審查,主要是為了檢測機構(gòu)中員工及客戶的隱私信息在使用、傳輸和存儲過程中的完全性。由于這些隱私可能涉及到機構(gòu)所在位置的某些法律條規(guī),因此,在決定這個項目的評估任務(wù)時,要充分考慮機構(gòu)所在區(qū)域的國家及地區(qū)法規(guī)。

通常,要進行一次全面的隱私機密性審查,應(yīng)當(dāng)完成下列所示的評估任務(wù):

①、比對實際的隱私信息訪問方式與隱私訪問策略中規(guī)定的方式之間的差異;

②、檢查隱私信息的監(jiān)控保護方式符合當(dāng)?shù)氐姆煞ㄒ?guī);

③、標識出存儲的

關(guān)鍵詞標簽:信息系統(tǒng)安全風(fēng)險評估

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認IP、帳號、密各品牌的ADSL與路由器出廠默認IP、帳號、密Nslookup命令詳解-域名DNS診斷Nslookup命令詳解-域名DNS診斷站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼路由器地址大全-各品牌路由設(shè)置地址騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程ADSL雙線負載均衡設(shè)置詳細圖文教程路由表說明(詳解route print)網(wǎng)管員實際工作的一天用此方法讓2M帶寬下載速度達到250K/S左右網(wǎng)管必會!了解交換機控制端口流量