信息系统的风险评估过程与风险评估方法
信息网络也存在风险,如果不了解信息网络风险并加以控制或解决的话,网络的安全就无法保证,各种的信息也许就会毫无保障,网络世界会紊乱无章。对于信息网络,我们要对其进行一个风险的评估,然后再找方法去解决,尽最大的力度去减少风险所带来的威胁或损失。
风险评估是进行量化评估一件事情给人们的生活、生命、财产等各个方面造成的影响和损失的可能性的工作,而信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对信息资产威胁、脆弱点以及由此带来的风险大小的评估。
一、风险评估过程
风险评估的过程是一个动态循环的过程,对风险评估的结果起着重要的作用。风险评估过程就是在评估标准的指导下,综合利用相关评估技术、评估方法、评估工具,针对信息系统展开全方位的评估工作的完整历程。
风险评估具体评估过程如下:
图1-1风险评估的过程
1.要确定保护的对象(或者资产)是什么,即确定资产
安全评估的第一步是确定信息系统的资产,并明确资产的价值,资产的价值是由对组织、合作伙伴、供应商、客户和其他利益相关方在安全事件中对完整性、可用性和保密性的影响来衡量的。资产的范围很广,一切需要加以保护的东西都算作资产,包括:软件资产、信息资产、纸庚文件、公司形象和声誉、人员、物理资产、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产。
2. 脆弱性和威胁分析
对资产进行细致周密的分析,确定要保护的资产存在哪些威胁,导致威胁的问题所在,发现它的脆弱点及由脆弱点所引发的威胁,统计分析发生概率、被利用后所造成的损失等。
3. 制定及评估控制措施
在分析各种威胁及它们发生可能性基础上,研究消除、转移、减轻威胁风险的手段。这一阶段不需要做出什么决策,重要是要考虑可以采用的各种安全防范措施和它们的实施成本。
制定出的控制措施应当全面,在有针对性的同时,要考虑、系统地、根本性的解决方法,为下一阶段的决策作充足的准备,同时将风险和措施文档化。
4. 决策
这一阶段包括评估影响,排列风险,制定决策。应当从3个方面来考虑最终的决策:避免风险、接受风险、转移风险。对安全风险决策后,明确信息系统所要接受的残余风险。在分析和决策过程中,要尽可能多地让更多的人参与进来,从管理罩的代表到业务部门的主管,从技术人员到非技术人员。采取安全措施将风险带来的损失降低到最低程度
5. 沟通与交流
由上一阶段所做出的决策,必须经过领导层的签字和批准,并与各方面就决策结论进行沟通。这是很重要的一个过程,沟通能确保所有人员对风险有清醒地认识,并有可能在发现一些以前没有注意到的脆弱点。
6. 监督实施
最后的步骤是安全措施的实施。实施过程要始终在监督下进行,以确保决策能够贯第穿于工作之中。在实施的同时,要密切注意和分析新的威胁并对控制措施进行必要的修改。
二、信息系统安全风险评估方法
信息系统运行使用过程中,信息安全风险评估通常重点关注安全事件所带来的损失以及如何采取风险控制措施,而弱化事件发生的数量指标。基于以上特点,本文提出一种基于脆弱性识别的风险评估方法,将对脆弱性的识别、评价作为风险评估工作的重点,有效简化了风险分析模型。
1.风险评估组织
组建包括决策人员、管理人员、执行人员、监控人员、使用人员、支持人员等角色的风险管理团队,明确相关角色人员在风险管理中的任务和职责。决策人员负责风险管理的重大决策、总体规划和批准监督;管理人员负责风险管理过程中的管理、组织和协调;执行人员负责风险评估的具体规划、设计和实施;监控人员负责信息安全风险管理过程、成本和结果的监视和控制;使用人员反馈信息安全风险管理的效果;支持人员为信息安全风险管理提供专业技术支持。制定详细的风险评估计划,依据系统的业务战略、技术架构、安全防护体系,明确风险评估需求,确定风险评估的对象范围、风险评估方法、时间节点等要素,并得到决策层的支持和批准。
2.风险要素识别
在进行资产识别时,由于资产的价值由保密性、完整性和可用性3个方面的安全属性决定,赋值很难准确,建议资产识别主要以对资产对象的识别为主,不对资产价值做精确计算。
脆弱性不会产生安全事件,只有威胁作用于脆弱性时才会导致安全事件的产生。国家明确规定了信息系统安全防护的标准和要求,以应对安全事件,对标准的符合性核查即为风险识别的过程。在进行风险分析评估时,以脆弱性检查作为安全风险评估的主要依据,以威胁出现的频率作为参考,将信息系统面临的威胁整体考虑,不对脆弱性对应的具体威胁进行识别。
3.风险分析判断
将资产、威胁的等级分为高、低两个级别,脆弱性等级分为高、中、低3个级别。对资产、威胁、脆弱性的分析判断采用德尔菲法:通过背对背群体决策咨询的方式征询专家小组成员的意见,经过几轮征询使决策意见趋于集中。专家小组由管理人员、执行人员、监控人员、使用人员、支持人员等不同层级组成,以提高决策意见的准确性。德尔菲法在分析安全风险时需经过几轮群体决策咨询,才能使结论趋于集中。在实际操作中,可结合综合讨论的形式,加快分析速度,以快速做出决策。基于风险因素的分析结果,再采用新一轮的德尔菲法,或以构建风险分析矩阵的方式,最终确定安全风险等级。
在风险评估时,可以使用信息安全风险评估与控制类工具软件,完成对资产的管理、风险的分析与评估。
