信息安全风险(精选十篇)
信息安全风险 篇1
近年来,随着计算机网络和信息技术的快速发展,高校普遍加快了教育信息化的建设步伐,校园网络不断地得到优化和扩容,网站、网络教学、精品课程、教务管理、学生学籍管理、校园一卡通、办公自动化、财务管理、资产管理等众多的信息系统被广泛地应用于学校的教育、教学和管理。由此,高校对信息系统产生了严重的依赖,同时,也带来了极大的风险。信息安全已经成为高校不可忽视的一个大问题。特别是云计算和大数据的发展,将原先分散的数据集中起来处理,一旦发生数据泄漏,危害程度不可想象。因此,高校有必要对信息安全风险进行系统的评估,制定出周全的信息安全防护措施。
2 信息安全的概念
信息安全并没有绝对权威的定义,通常,我们将信息安全定义为信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
据此,高校的信息安全可以概括为四个方面。一是校园网络基础设施能够支持高校信息系统连续可靠正常地运行,二是支持高校信息系统运行的软件环境具备快速安全解决方案,三是高校信息系统能够确保自身不受外部破坏导致出现系统运行故障,四是确保信息系统的数据不被未经授权的访问。
3 高校存在的信息安全问题
3.1 网络和信息核心技术受制于人
目前,网络和信息产品的核心技术掌握在国外少数机构和公司手中,我们国家对关键基础设施和重要领域信息系统及数据无法做到安全可控,有可能危及各行各业的安全,甚至危及国家安全。现阶段,高校在招标采购校园网络设备和信息系统时,不可避免会全部或部分采购到国外的硬件和软件产品,或者包含国外关键零部件的国产设备,信息安全隐患较大。特别是涉密网络和信息系统,有可能遭到敌对势力的破坏和窃取情报。
3.2 信息安全法规制度与信息发展脱节
在PC互联网时代,为了加强对互联网的管理,保障信息交流的健康发展,从国家到省级的立法机构和行政职能部门陆续出台了一系列的法律和法规,用于规范互联网的接入和信息的制作、查阅、复制、传播。各高校也会出台相应的网络信息安全制度,规范师生的上网行为,保障校园信息的安全。但是,在跨入移动互联网时代后,“互联网+”应用正在蓬勃兴起,遍布政府服务、医疗、教育、金融、交通等各行各业。高校为了顺应这股潮流,正在将“互联网+”应用和教育信息化进行有机结合,打造校园移动信息服务平台。而原有的法律法规和学校管理制度已经不能完全适应当前信息技术发展形势,急需修订完善。
3.3 师生信息安全意识淡薄
互联网的特点之一就是打破了时空界限和地域疆界,因此,黑客的攻击往往会令人防不胜防。当前,高校普遍对网络信息风险缺乏足够的重视,很少会对师生进行必要的网络信息安全教育,或者即使有网络信息安全教育,也是流于形式,走过场。由此导致师生对网络信息安全知识知之甚少,对来自外部的恶意攻击缺乏警惕性,对信息被盗取的危害性认识不足。这种对信息安全防护漠不关心的态度,使得高校成为信息安全的重灾区。
3.4 缺乏合格的信息安全技术人才
目前,高校在机构设置中虽然有信息部门,但在岗位设置中普遍没有信息安全管理岗位,没有安排专职的信息安全管理人员从事全校信息安全的咨询、建议、指导工作。信息安全工作一般都由信息系统管理员兼任。由于信息系统分属不同的业务部门,所以信息系统管理员大多由所在部门的人员担任。由于信息系统管理人员的专业技术水平参差不齐,大多缺乏信息安全专业技术知识,对于信息安全防范工作心有余而力不足,甚至不得不把信息安全保障责任转嫁到信息系统开发公司。
3.5 保障信息系统运行的物理环境不理想
高校各类信息系统服务器和数据存储设备一般集中存放在数据中心机房。数据中心机房作为信息系统和数据的存放地点,是信息化的核心场所。数据中心机房的安全直接影响着全校信息安全。数据中心机房的安全隐患包括电气故障、网络故障、设备故障、电磁干扰,以及高温、潮湿、停电、火灾、雷击等灾害。因此,数据中心机房的建设和管理水平直接关系着信息化水平。高校大多数信息事故都是由于机房物理环境不能支持信息系统正常运行所造成的。
3.6 信息安全建设缺乏全局规划和整体布局
一方面,由于缺乏专业的信息安全技术人才,高校没有精力也没有能力去跟踪当今社会最前沿的信息安全技术,无法全盘统筹全校的信息安全工作。制定的信息安全保障策略,往往存在很大的局限性和片面性。另一方面,信息安全的建设规划往往不受重视,缺乏统筹安排、整体布局的思路。信息安全项目与信息化建设项目没有做到同步规划、同步建设、同步运行,或者虽然做到了同步规划,却采取分步实施的思路,信息安全被放到了次要位置。
3.7 信息安全防护缺少长期资金投入
高校在数字化校园建设过程中,往往重视网络基础设施和应用系统的建设,而忽视信息安全防护的投入。信息安全防护被放在次要位置。一旦投入资金建好信息安全防护体系后,即认为可以一劳永逸了,后期只要做好管理和维护即可。殊不知,当今信息安全防护的理念在不断更新,信息安全防护的产品在不断升级换代。如果还是拿多年前老旧的信息安全防护设备来长期提供信息安全服务,那么,信息安全防护的效果就会大打折扣。要使得信息安全防护体系充分发挥作用,需要资金的长期投入。
3.8 没有进行信息安全风险评估
随着高校教育信息化进程的不断推进,校内信息系统数量在不断增多,高校对信息系统的依赖性也越来越高,信息安全风险也在逐渐显现。信息风险评估可以科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策。但是,高校普遍没有对信息系统进行风险评估。当遇到突发信息事故时,只能被动应对,无法从容决策。
3.9 信息系统自身安全性很难得到保障
高校的信息系统来源一般分为三种情况,一是购买商品软件,二是外包开发,三是自行开发。不管采用哪种方式,信息系统都是由软件程序员开发完成。受各种主客观因素的影响,开发出来的软件不可避免地会出现各种缺陷,需要不断地测试和完善。开发过程中,如果软件的安全防护措施考虑不周全,就会出现各种安全漏洞。如果信息系统交付使用后,后期的系统更新和升级维护工作得不到保障,信息系统的安全性令人担忧。
3.1 0 难于打击信息安全违法犯罪行为
高校校园网络与互联网保持着互联互通,因此,在校园网上运行的信息系统很容易遭到黑客的攻击和入侵。对于有经验的黑客来说,可以做到入侵信息系统后消除痕迹、全身而退。国家安全部门很难有效追踪并查找到实施入侵并从事破坏、窃取行为的违法犯罪分子。因此,对于此类信息安全违法犯罪行为缺乏有效的打击手段。信息管理人员只能在防控方面加强措施,查堵漏洞,增添网络安全设备,尽量减少信息安全风险。
4 结束语
信息安全是高校教育信息化的重要保障。高校只有克服困难,加强人力和物力投入,大力提高预警和应急处置能力,努力消除各种信息安全风险,不断完善信息安全保障体系,才能确保信息安全处于可控状态。
摘要:在教育信息化过程中,信息安全已经成为高校不可忽视的一个大问题。文章分析了高校存在的信息安全风险。
关键词:高校,信息,安全
参考文献
[1]罗南.高校教育信息化实施策略[J].科教导刊,2012(12).
信息安全风险与信息安全体系结构 篇2
信息安全风险与信息安全体系结构
摘 要 在计算机、手机、电话等通讯技术迅速发展的今天,信息安全风险成为当下全社会关注的热点问题。作为信息系统安全开发中的引导和约束主体,网络的应用范围无疑是广大的,从最初的游侠网络发展到今时今日的网络区域性,然而在使用网络带来的方便同时人们也面临着网络带来的信息失窃泄露隐患,因此本文针对网络信息安全进行介绍,对网络安全系统的构建问题加以讨论。 关键词 信息安全;风险评估;预防措施 中图分类号:TP393 文献标识码:A 文章编号:1671-759718-0056-01 信息安全的概念经历了一个漫长的发展过程,20世纪90年代以来得到了深化,进入21世纪,日益凸显。信息的存在范围是巨大的,大方向可以影响国家政治与军事的走向,小到企业之间的公司机密的安全,个人的隐秘信息安全等。安全作为信息系统领域的一个重要问题,在信息作战环境中的信息安全尤其举足轻重。如今,网络快速发展,所以网络环境下的信息安全体系是保证信息安全的关键。新一代信息网络体系结构保障了人们的信息安全。 1 信息的发展 在刚刚过去的几十年时间里,人们的不断发明创造,让信息技术发生了日新月异的变化。在现代网络技术逐渐的发展取代了人们传统的信息结构,从以往的写信报纸到了在网络上可以实现多方面信息的获取,实现了人们异地交流同步的最终目的,虽然网络还处于发展初期,但是其影响力超过现代任何一种信息传递模式,为此人们对于网络的依赖性就越发严重。但是由于网络安全问题所带来的信息非法获取以及私人信息泄露、机密信息丢失等问题频繁发生,世界上很多国家都遭到了网络信息窃取所带来的巨大损失,为此不少西方国家率先提出一系列网络信息安全维护措施,但是由于网络自身的特点这些措施所取得的收效并不高。 2 信息安全的重要意义 信息安全不仅关系信息自身的安全,更是对国家安全具有重大战略价值。信息安全关涉一个国家的政治安全,经济问题以及文化问题。信息安全不是一个纯粹的技术问题。信息是国家的眼睛和窗户,为此在我国进入网络信息时代后就更要注重自身网络信息的安全性,信息主导着国家的舆论方向,因此一条错误的信息或扭曲的信息都会在网络环境内造成巨大的破坏,这种破坏是多方向的,可能会引起一系列现实社会中的不安和动荡,因此针对网络信息的特点就需要格外注意这一系列问题。随着信息技术的`不断发展,信息的负面影响不仅仅表现在企业的经济损失,各种关于信息安全的侵权行为也开始肆意横行,网络的快速发展也给这些侵权行为提供了良好的载体,还有各种国家的机密被盗事件的频繁发生等等。因此,信息安全不容忽视,特别是国家信息安全,办公信息系统安全更不容忽视。 3 漏洞扫描技术与网络信息安全管理 3.1 漏洞扫描技术 网络信息化是通过电子计算机网络进行数据共享的一个过程,因此在上网获取信息的同时在一定角度上来讲也属于暴露了个人的信息,因此在网路普及的过程中个人信息的丢失就成为现代人用网安全最需要关注的地方了。从网络数据的共享上来管制信息漏洞,防止信息非法获取以及病毒针对系统漏洞进行个人信息的窃取。漏洞扫描的结果实际上就是系统安全性能的一个评估报告,因此成为网络安全解决方案中的一个重要组成部分。 3.2 网络信息安全体系 网络资源的信息共享是现代计算机技术最为热门的一个方向。网络实现了交流的平台提供,并且对于一些相关的异地化进行同化信息操作,降低交流困难,但是在日益进步的网络信息时代网络信息安全问题又成了热门话题以及网络应用人员的安全隐患,信息安全管理不仅需要还需要合理的信息安全管理政策及制度,而且还需要好的信息安全体系来保障。而在网络技术如此广泛的普及之下,保证上网环境的安全是首要的任务,因此针对于这一问题就要针对以下三方面进行梳理,保证上网的环境安全性,第一确保上网系统漏洞的检测,对防火墙个人信息保护软件等软件进行漏洞修复,对上网条例进行所属签订,对网络环境进行优化检查删除恶意软件。 4 制定信息安全管理策略及制度 1)制度的建立过程是从基础开始做起的,因此为了确保我国网络使用安全以及相关信息保护措施的到位就必须完善相关监管部门的专业技术,作为问题处理的单位相关的监管人员网络安全技术过硬才能灵活应对各类突发事件,并且对于层出不穷的网络信息安全问题进行识别,此外还需要定时定期的培训以及技术经验交流以适应逐渐发展的网络环境。 2)制定信息安全管理制度应遵循如下统一的安全管理原则:①规范化原则;②系统化原则制定安全策略;③综合保障原则;④以人为本原则;⑤首长负责原则;⑥预防原则;⑦风险评估原则;⑧动态原则;⑨成本效益原则。 3)立法保护确保网络安全法的执行力度,吸收西方网络安全工作经验总结出一套适合中国的网络使用安全方案,确保网络信息不出现非法流失。 4)建立既符合我国国情又能跟国际接轨的信息安全策略,确保信息最高的安全程度,保障每一位公民能够切实享受到隐私权,保护每位合法公民的财产不被侵犯。更希望信息安全保护能够走到世界的前沿,保护国家信息的绝对安全。 5 信息安全系统工程 网络安全系统的开发是离不开以下几个方面的。 1)系统构建。系统的构建过程属于细致的专业的过程,因此需要系统开发人员有十分充分的开发技术,并且对开发出的安全系统经常性、周期性的进行维护、检测以及漏洞修复。 2)识别信息安全问题隐患。随着网络科技的发展窃取信息的方式变得越发多种多样,因此识别这些窃取信息的网络安全问题就十分重要。 3)是安全问题的处理。处理技术是随着网络更新换代而发展变化的,由于网络的发展周期太快因此处理问题的方法就不可以局限于时间段而需要及时的针对问题进行处理方式的进化更新,优化相应的处理方式和处理技巧。 6 结束语 信息技术的发展让人类开始步入信息化,网络化的时代,促进了社会的繁荣与进步,给人们的学习,工作,生活带来了极大的方便,也使人们对计算机网络的生活有着极大的依赖性,并且随着网络科技的发展人们的生活与网络的结合会越来越紧密。因此,信息安全成为社会各界关心的问题。它系着个人,企业乃至国家的命脉,一定做好信息安全保护工程。 参考文献 [1]陈媛媛.计算机网络安全与防范策略探析[J].山西煤炭管理干部学院学报,2013(02). [2]王林.计算机网络信息安全防护策略[J].信息安全与技术,2013(05).
信息安全风险的构成要素 篇3
【关键词】信息系统;安全风险;要素
【中图分类号】E22;G203 【文献标识码】A 【文章编号】1672-5158(2013)03-0093-01
由于信息系统长期处于开放的环境中,所以安全风险的发生往往是不同因素相互叠加、共同作用的结果。目前,国内外有关信息安全风险构成要素及其相互关系描述的标准主要包括ISO 15408、ISO13335、SSE-CMM、GB/T 20984等。
1 ISO 15408描述的信息安全风险要素
ISO/IEC 15408(Information technology-Security techniques-
Evaluation criteria for IT security,信息技术-安全技术-IT安全性评估准则)是ISO(International Standard Organization,国际标准化组织)采纳CC(Common Criteria,通用准则)演化而来的。1993年,英法等国及美国NIST(National Institute of Standard and Technology,国家标准技术协会) 和NSA(National Securiy Agency,美国国家安全局)共同制定了《信息技术安全评估通用准则》CC(简称通用准则),并分别于1996年、1998年先后发布了CC1.0、CC 2.0版。1999年6月,ISO接纳CC2.0版为ISO/IEC 15408草案,并定名为“信息技术-安全技术-IT安全性评估准则”,但仍用CC作为其简称。1999年12月,在广泛征求各方意见并进行相应的修改后,正式颁布国际标准ISO/IEC 15408 CC 2.1版。2001年3月,我国国家质量技术监督局将其作为国家标准GB/T 18336正式颁布,并于2001年正式实施。
CC标准主要包括简介与一般模型,安全功能、安全保证要求三个部分。其中,简介与一般模型主要对信息安全构成要素的风险、威胁、资产、脆弱性、对策等关键概念及其主体进行了定义,并以所有者需要保护的资产为中心点,对不同要素间的关系进行了描述。
①资产
所谓资产,就是指有价值的信息资产。
②对策
所谓对策,就是满足资产所有者减少脆弱性要求的安全策略。
③威胁
所谓威胁,就是指借助拒绝服务、数据修改、揭露、损坏、未经授权访问等方法,对系统形成潜在威胁的各类事件与环境。
④脆弱性
所谓脆弱性,就是在物理设计、管理控制、系统安全程序、信息系统、内部控制或实现中可能被攻击者使用并获得或破坏未授权信息的弱点。
⑤风险
所谓风险,就是指有威胁以及威胁发生的可能性所产生的不良影响,风险程度主要通过不良影响的程度进行评估。
2 ISO13335描述的信息安全风险要素
ISO/IEC 13335是国际标准组织发布的《IT信息安全管理指南》,在信息安全管理方面具有指导性地位。其中ISO/IEC 13335-1:2002《信息安全管理和计划的概念和模型》围绕风险,对包括剩余风险、防护措施、风险、影响、脆弱性、威胁、资产在内的信息安全风险要素进行了确认,并对不同要素间的关系进行了描述。
①资产
资产主要包括人员、服务能力、产品生产、软件、物理硬件以及其它无形资产,是组织成功的关键资源或信息,也是信息安全保护的重要对象。
②威胁
威胁是指那些能够引起安全风险事件并损害组织与资产的各类潜在活动,它通过IT服务或系统,对信息系统进行直接或间接的作用并造成各类损失。资产原有的脆弱性是威胁完成资产损害行为的前提条件,威胁的产生可以是主观也可以是无意,可以是人为也可以是非人为。
③脆弱性
脆弱性指的是资产及其相关软硬件、信息、监控、管理、人员、策略、组织、物理环境所存在的固有弱点,非常容易被威胁所利用,并最终造成业务目标与组织信息系统的损害。
④影响
影响指的是风险事件发生后对资产造成的后果,通常包括信息系统或资产完整性、机密性、可审计性、可用性、可靠性以及真实性等的破坏,一般来说,影响主要分为直接与间接影响两种类型。
⑤风险
风险指的是威胁借助资产脆弱性引起的组织破坏或损失的潜在程度,风险的高低主要由可能产生的影响以及发生的可能性共同决定。任何与资产、安全防护措施、脆弱性、威胁有关的变化都会对风险产生影响,如果能够采取有效措施及时确定或检测信息系统及其环境的变化情况,就可以减少风险。
⑥安全防护措施
安全防护措施是各种安全机制、策略与实践的总称,它通过为资产提供不同层面的防护来实现对各类安全事件的监视、检测、预防、限制、纠正和恢复,而安全防护措施的实施则是保障信息安全的最基本要求。
⑦残余风险
受安全成本等因素的影响,风险并不能被彻底消除,在组织安全需求得到满足的情况下依然存在的风险即为残余风险。
⑧其它要素
除前面已经介绍的各类要素外,组织的文化、法律、时间、人员、金融、业务也属于风险的影响因素,在选择安全防护措施时,还需要对其进行综合考虑。
3 SSE-CMM描述的信息安全风险要素
1996年,美国国家安全局公布了SSE-CMM的第一个版本,1999年4月又公布了新的版本,系统安全工程能力成熟度模型(System Security Engineering-Capability Maturity Model,SSE-CMM)。在SSE-CMM模型框架中,安全工程被应用于信息系统的开发、集成、管理、操作、维护、进化以及产品开发、交付与进化,从而使安全工程能够在一个服务、产品或系统中得到实现。
SSE-CMM将安全工程划分为风险域、工程域、保证域三个基本过程域,虽然可以对不同的过程域进行单独考虑,但也可以通过它们的相互作用来更好的实现安全目标。另外,各过程域还包括一组集成的安全过程区(PA)。
参考文献:
[1]王凤鸣;控制论与项目风险管理[J];技术经济与管理研究;2008年03期
信息安全风险评估与安全预算 篇4
一、如何看待安全预算
安全预算是各类企事业单位为保护信息资产, 保证自身可持续发展而投入的资金, 是一种预防行为。安全预算多少合适, 是不是投入得太多了?虽然安全问题越来越受到重视, 但是网络安全事件仍然是呈现递增趋势。从安全预算角度分析原因:一是预算不足;二是预算不到位。
在国外, 安全投入占企业基础建设投入的5%~20%, 这人比例在中国的企事业中却很少超过2%。从风险的角度看, 就是要平衡成本与风险之间的关系, 用一百万美金保护三十万的资产, 显然是不可接受的, 但是如果资产的价值超过了一千万美金, 产生的效益就显而易见, 目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。一年下来, 并没有发生重大的信息安全事件, 年初的安全预算可能就会被质疑投入太多了;如果发生了不可接受的安全事件, 那就成了预算部门的责任。安全预算到底够不够?我们可以通过宏观的情况来分析一下风险与成本的关系, 每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算, 我国也有数百亿美元的经济损失, 然而安全方面的投入却不超过几十亿美元。由此可以看出, 我国整体信息化建设, 安全预算不足。
一个单位在安全方面投入了很多, 但是仍然发生“不可接受的”信息安全事故。信息安全理论中有名的木桶理论, 很好的解释了这种现象。如很多企业每年在安全产品上投入大量资金, 但是却不关注内部人员的考察、安全产品有效性的审核等安全要素, 缺乏系统的、科学的管理体系支持, 都是导致这种结果产生的原因。
二、科学制定安全预算
信息安全的预算如何制定?其实要解决的就是预算多少和怎么用的问题。说安全预算难做, 一是因为信息安全涉及到很多方面的问题, 例如:人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。安全预算是否合理, 应该关注以下几个方面: (1) 是否“平衡”了成本与风险的关系; (2) 是否真正用于降低或者消除信息安全风险, 而不是引入了新的不可接受风险; (3) 被关注的风险是否具有较高的优先等级。
信息安全风险评估恰恰解决了以上问题, 通过制定科学的风险评估方法、程序, 对那些起到关键作用的信息和信息资产进行评估, 得出面临的风险, 然后针对不同风险制定相应的处理计划, 提出所需要的资源, 从而利用风险评估辅助安全预算的制定。
三、风险评估过程
目前国际和国内都有一些比较成熟的风险评估标准及指南, 通常包括下述几个过程: (1) 确定评估的范围、目的、评估组、评估方法等; (2) 识别评估范围内的信息资产; (3) 识别对于这些资产的威胁; (4) 识别可能利用这些威胁的薄弱点; (5) 识别信息资产的损失给单位带来的影响; (6) 识别威胁时间发生的可能性; (7) 根据“影响”及“可能性”计算风险; (8) 确定风险等级及可接受风险的等级。
风险评估过程中, 应该考虑那些应该输出的必要信息、表示方式等问题。例如, 风险评估的方法, 如果采用简单的评估方法, 其输出的结果往往不够细致, 进而不能很好的辅助制定预算的决策过程。从整个评估的过程看, 应该考虑以下几方面的问题: (1) 科学选择风险评估人员。风险评估过程中, 通常需要来自业务部门和技术部门及管理层的人员共同组成风险评估小组。考虑到风险评估的结果需要为制定安全预算提供信息输入, 那么在整个风险评估的过程中, 都应该考虑到对制定预算起到关键作用的管理层人员的加入。 (2) 准确采取风险评估方法。风险评估通常采用定性和定量的分析方法。需要更多地考虑如何量化一些关键指标, 作为风险评估过程中各个因素评价的判定准则。这样的准则更有利于关注风险与控制成本之间的关系, 也更利于各部门横向沟通, 及与管理层的纵向沟通。 (3) 查找导致风险的威胁及薄弱点。在进行风险评估时, 应该系统地考虑来自各个方面的威胁。目前, 仍然有很多人对于风险评估的理解还停留在“技术关注”的层面, 这样的风险评估显然是不够的。 (4) 选择适当的控制措施。针对风险评估所产生的不可接受风险, 应该采取一定的控制措施对风险进行处理。风险的处理方式通常包括:降低风险、转移风险、避免风险、接受风险。同一风险的处理方式可能不同, 同样的处理方式所采取的控制措施也可能不同。所以就应该考虑来自管理和技术两方面的控制措施。而这样的控制措施并非一定要将风险完全规避, 而是要降低到一个可以接受的水平。另外控制措施的选择也要考虑到成本的问题, 任何单位不需要部署所有的安全产品, 也没有必要追求风险最小化。
浅析国税信息系统的安全风险 篇5
息系统审计作为信息社会的安全对策,能有效地管理与信息系统有关的风险,从而确保信息系统的安全性、稳定性和有效性。
一、信息系统审计简介
“审计”一词起源于财务审计,人们比较熟悉的审计是对财务报表或会计账册的监督,好像和信息系统没有必然联系。但随着经济管理和科学技术的不断结合以及日益渗透,现代审计已经远远超出了仅对财务会计进行审查的狭窄范围,不断向管理领域和技术领域渗透。
信息技术的广泛应用使信息系统实际上已经成为企业及社会的中枢,在一定程度上左右着企业的命运。美国、日本等发达国家在信息化过程中率先意识到信息系统审计的必要性并对此进行了研究,目前已得到普及。在我国,虽然也早就提出了“计算机审计”的概念,但这种审计更多的是偏向于“利用计算机进行审计”。实际上我国的信息系统审计工作还处在摸索阶段。
信息系统审计是技术审计的一个典型,它实质上是对计算机软件、硬件及整个信息系统的审计,是指遵照普遍接受的信息系统审计标准和指南对信息系统及其应用的安全性、稳定性和有效性进行监测、评估和控制的过程,以确保预定的业务目标得以实现。
按国际上通行的规范,信息系统审计主要有6个方面的内容:评估信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务;评估技术基础设施的管理和运行实践方面的有效性及效率,以确保其充分支持组织的业务目标;评估信息资源在逻辑访问、运行环境与信息技术基础设施的安全性,以确保其满足组织的业务需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失;评估系统灾难恢复与保证业务连续性的能力,以确保组织能持续进行业务营运;评估应用系统开发、实施与维护的方式、方法及过程,以确保其满足组织的业务需求;评估业务处理流程的风险管理水平,确保根据组织的业务目标对相应风险实施管理。
二、国税信息系统面临的风险
国税部门作为行政执法部门,信息系统的安全与否直接关系到为纳税人提供服务的质量和效率,社会的和谐与稳定,因此国税信息系统的安全保护显得越来越重要。近年来,以数据省级集中为标志的新一轮国税信息化建设已成效凸显,为国税系统优化纳税服务,加强科学管理提供了广阔的技术平台,直接带来了税收理念的更新,征管机制的创新、管理手段的提高,但在数据由分散到集中的同时,原来分散的风险也随之集中。在这种模式下,虽然安全性事故、灾难的发生频率可能大大降低,但其潜在的风险不容忽视。
1、运行环境方面的风险。数据集中后,通过采用更高端的设备、技术等措施提高了系统的安全系数,故障概率大大低于分散式数据管理模式。但是应清醒地认识到数据集中后,其安全影响的范围也呈几何级数增长,一旦发生故障,可能影响全局。因此,必须建设、保障一流的运行环境,不仅要考虑供电、温湿度、洁净度、抗电磁干扰、火灾等常规因素,还要考虑到地震、洪水等自然灾害的影响。
2、数据备份中心及应急恢复机制方面的风险。电子化程度越高的行业,其对数据完整性和可用性的要求也越高。据美国的有关调查显示,如果公司在灾难过后两个星期内无法完全恢复信息系统的使用,75%的公司业务将会完全停顿,43%的公司将再也无法开业。对于依赖信息系统进行日常运作的国税部门而言,纳税人对于系统停机的可忍受时间甚至不能超过1天,而税收数据的丢失和破坏可能会导致税收秩序的混乱,影响社会的稳定与和谐。
3、软件开发及应用方面的风险。由于我国税收政策变动比较频繁,加之软件开发者水平参差不齐,软件开发的时间较紧,一些税收征管系统往往没有进行缜密的测试,因此有可能存在一定的缺陷和漏洞,让不法之徒有机可乘。
4、网络安全方面的风险。internet的迅猛发展为电子商务、电子政务提供了运作平台,但也带来了许多不安全隐患。各种迹象表明,网上申报、手机申报等信息系统已成为日益猖獗的网络攻击和计算机犯罪活动的主要目标。
三、国税信息系统审计的重点
国税信息化经过多年的建设,已初具规模,各种系统十分复杂、庞大,如对全部信息系统进行审计的话,工作量巨大,且目前信息系统审计的人员缺乏,因此,应先从部分重点系统、重要环节着手进行审计,审计的重点应该考虑以下内容:
(一)运行管理审计
作为一种人机交互系统,信息系统的服务质量和安全是建立在“三分技术,七分管理”的基础之上的,系统运行中的操作管理是否科学、规范直接影响到信息系统的服务质量和安全性。运行管理审计的重点包括:
1、机房管理审计。包括机房、设备间等重要运行环境选址、布局是否合理;是否设置了门禁、监控、气体灭火、防水、防雷、报警等安全设施;机房内部的温度、湿度、洁净度、电磁干扰等技术指标是否合格;机房的进出是否有切实有
效的管理制度、是否有防止非正常行为的对策等。
2、操作管理审计。包括是否有详尽的操作规范;是否对系统操作人员进行上岗前培训;操作人员是否严格按规范进行操作;系统的登录代码及密码是否具备一定的安全防护对策、是否按规定更新;是否记录操作日志并保存一定期限;操作人员的交接是否按规定进行;是否及时发现、记录、报告事故及故障;是否及时采取措施排除故障,防止再次发生等。
3、硬件管理审计。包括是否制定并遵守硬件管理规范;硬件的运行环境是否达到相应的技术要求;是否定期对硬件进行检修、维护;对硬件故障的维修对策是否合理;是否有硬件维护日志;检查业务设备送出修理时是否对设备所存业务数据进行删除。
4、软件管理审计。包括是否制定并遵守软件管理规范;软件的拷贝是否有严格的控制措施和技术防范对策;软件的保管和废止是否按机密资料予以保护;是否有完善的软件版本管理规范;对软件源程序的控制是否严格,生产环境与测试环境是否严格分开。
(二)系统开发审计
信息系统的开发审计通常应该包括系统规划审计、系统分析审计、系统设计审计、系统编码审计、系统测试审计和系统试运行审计等部分。当前国税信息系统开发审计的重点包括:
1、预期效益审计。主要包括是否提供了新的服务;是否实现了新的功能;是否提高了纳税服务的质量;是否提高了本单位的工作效率等社会效益方面的评估;是否通过流程整合减少了人员、降低了税收成本。
2、编码及文档管理审计。编码审计主要包括编程语言、编程工具的选择是否合理;是否制定了统一的编程规则;是否对数据的类型、结构、长度作统一的说明;程序逻辑是否清晰、易懂;是否按照结构化的方法进行编程等。文档管理审计主要包括是否制定、遵守文档管理规范并按规范编制文档;文档的数量是否齐全;文档的编制内容是否完整、齐全;文档的质量是否符合要求;文档的版本管理是否严格;是否有文档的保密管理对策等。
3、控制措施审计。包括将业务流程进行整合后,新系统是否重新设置了与之相适应的内部控制措施;是否遵循“职责分离”的原则,对人员的职责权限和变动进行合理的控制;信息系统是否具备一定的识别和防御攻击的能力(如登录控制、加密、拒绝访问等手段);是否具备一定的自适应能力(如根据攻击方的意图调整控制措施,隔离破坏范围的能力)和恢复能力;是否专门设计了系统审计功能或预留了系统审计接口等。
4、系统测试审计。包括有无完整的系统测试计划;测试案例的编写是否合理、全面;参与测试人员的选择是否符合公正、客观的要求;测试方法是否合理;测试结果是否得到参与人员的认可;测试文档是否齐备等。
5、试运行审计。包括有无切实可行的试运行方案;针对新系统的人员培训是否落实;新系统的运行环境(包括软件、硬件、网络等)是否符合实际运行要求;新系统的实际运行效率、功能是否达到预期设想等。
(三)网络安全审计
网络安全审计的根本目的就是防止通过计算机网络传输的信息被非法占用。网络安全审计应重点针对网络安全管理、网络安全技术、网络安全策略等内容。
1、网络安全管理审计。包括是否建立有效的网络安全防御体系;安全及密码产品是否具有合法性、是否经过国家有关管理部门的认可或认证;是否建立了有关网络安全的规章制度、在实际工作中是否严格执行;是否进行了网络安全教育、安全培训;对网络安全工作是否进行动态管理等。
2、网络安全技术审计。包括是否使用了严格的身份验证技术控制系统用户;是否使用了访问控制技术并配置访问控制策略;是否利用密码技术对数据进行安全加密;与外部单位连接时是否安装了防火墙进行有效隔离以确保安全;是否使用了系统漏洞扫描技术来检测系统的脆弱性;是否使用入侵检测技术对网络系统进行实时监测;是否制定了有效的防病毒策略,如不使用不明来历的软盘、光盘;是否安装了有效的防、杀病毒软件;是否及时更新最新的病毒码以保证防病毒软件的有效性;是否采用网络安全审计措施等。
(四)灾难对策审计
为保证信息系统的正常运行,开发人员在系统设计上已经采取了各种措施来防止信息系统被破坏,但这并不能完全杜绝系统的各种故障和一些不可抗力的灾难,而灾难一旦发生,往往导致信息系统完全瘫痪,造成巨大损失。所以,必须对信息系统的灾难对策进行审计。国税信息系统的灾难对策审计应抓住以下重点:
1、灾难应急对策审计。包括是否事先制定了灾难应急对策;灾难应急对策是否切实可行;灾难应急对策是否定期进行演练;灾难应急对策是否根据实际情况及时调整。
2、数据备份审计。包括是否制定信息系统及数据的备份策略;数据备份策略是否切实可行;数据备份的强度是否足够;数据备份的范围是否全面;数据备份的恢复方法及恢复效果是否经过验证;使用备份数据进行恢复的时间是否可以控制在可以忍受的范围之内;数据备份的存储介质管理是否按要求执行等。
3、设备冗余审计。包括是否为信息系统提供冗余运行环境(灾难备份中心,包括电力、通讯线路等设施);是否为信息系统的核心设备(生产机)提供冗余设备(备机);生产机和备机上的信息系统和数据是否同步;生产机和备机之间的切换方案是否可靠并经过验证等。
四、开展信息系统审计需要解决的几个问题
(一)组织问题
虽然,目前部分国内企业已经意识到利用信息系统审计可以有效地管理信息及与信息相关的技术,保障企业信息系统可靠运行,并开始关注信息系统审计,但整个社会对信息系统审计的认识还不够,信息系统审计远未达到普及的程度。国内还没有专门的信息系统(技术)审计机构,在各单位内部目前也没有设置相关的信息系统(技术)审计部门。国税系统目前主要采取各级信息中心进行自查、互查的方式来解决信息系统的安全性问题,往往是就某一专项内容进行检查,带有一定的局限性,且一般情况下检查的深度不够,因此迫切需要具有专门知识和技术的、与系统没有直接关系的信息系统审计专业机构和专职人员介入。
(二)标准化问题
目前,国内开展信息系统审计主要是参考信息系统审计与控制协会isaca(information system audit and control association)这个国际上唯一的信息系统审计师专业组织制定和颁布的信息系统审计标准。该标准是一套以管理为核心、以法律法规为保障、以技术为支撑的框架体系,为实施信息系统审计提供了一套执业规范和操作指南。但由于国内系统集成业发展的不成熟以及客观应用环境的差异、法律法规上不完善等原因,处在起步阶段的国内信息系统审计工作不能完全照搬此标准,必须尽快形成适合国税系统的信息系统审计标准体系。
(三)人才问题
浅析院校信息安全风险及保障策略 篇6
【关键词】院校 信息安全 风险 保障策略
一、绪论
院校信息安全指的是保证信息自身、信息处理以及信息利用的安全,确保院校信息的完整性、机密性、可用性。院校信息安全内容主要包括三个方面:一是院校网络设备的安全;二是系统运行的安全,例如信息系统不被损坏、篡改等;三是流通数据的安全,例如院校网络内流通的数据不被盗用、增删等。
近年来,伴随信息时代环境的影响,引发各级院校信息安全的要素越来越多,例如黑客、病毒、钓鱼软件等非法侵入系统,使得院校公共信息、科研资料信息、师生个人信息等被窃取和泄露。而维护信息安全作为推动各级院校信息化的前提保障,只有深入分析院校信息安全存在的风险,才能采取有效的策略保障信息安全。
二、当前院校信息安全存在的风险问题
(一)对院校信息安全认识不足,防护不够
一是作为管理院校信息的工作人员,他们本身的安全意识不强。管理院校信息的工作人员缺乏专业的信息安全培训教育,尤其防病毒、防黑客的意识不强,例如对外来的恶意攻击缺乏有效的防御措施。或者是一些院校信息安全正处于搭建阶段,专业性的信息安全人才匮乏,造成院校信息安全体系形同虚设,漏洞百出。
二是作为使用院校网络信息的人员,他们对信息安全缺乏保护意识。例如,学生们对学校信息安全认识不深,认为维护信息安全是学校的事,与自己使用信息无关,进而导致学生们无意中泄露了信息,使得黑客、病毒、钓鱼软件有机可乘,最终找到入侵口对学校信息系统进行篡改破坏。
三是对院校信息系统未能定时检查并对漏洞进行及时修复。例如,一些防护信息安全的软件存在一定缺陷,但是院校信息安全管理人员未能及时下载更新安装,导致黑客、病毒、钓鱼软件等有机可攻击。
(二)院校信息安全制度不完善,管理存漏洞
尽管各院校目前的信息化建设非常迅速,然而绝大多数院校在信息安全的监管上还是存在较为严重的漏洞。例如,一些院校的信息安全管理制度尚未健全完善,院校对信息管理部门的监管还较为松懈,虽然己建有总体规章制度,但是对于具体精细的监督和管理缺乏明确的机制,导致监管机构形同虚设,无法真正地履行应负的职责。另一方面是缺乏对校园突发信息安全问题的应急处置机制,导致问题出现后未能及时有效地处理。
(三)院校信息安全经费投入欠缺,保障设施不足
院校数字信息化建设是一项巨大的工程,包括信息安全保障设施、信息安全管理人员、数字信息服务的提供以及软硬件系统设施的更新维护都需要经费,然而各院校投入到信息安全的资金非常有限。例如,通常保障院校信息安全的设施成本比较高,再加上信息风险的产生存在不确定性,这就使得有些院校领导认为信息安全的防范可有可无,或者一些极少可能发生的防范就省略掉,认为做好常规防范就行,进而节约了院校网络的运营成本,减少了对院校网络安全维护不必要的经费投入。正是这些漏洞,往往导致网络不安全因素从忽视的地方入侵,进而危害整个校园网络的安全。
(四)院校目前应对大数据、云计算、BYOD等安全问题的方案尚未成熟
目前,随着手机的智能化,越来越多的智能手机参与到PC的操作中来,使得信息的获取更加快速便捷。然而,在实践中我们发现,部分院校尚未制订有关于BYOD、云计算、大数据等的安全管理举措,这就使得广大师生无意间出现丢失账号、泄露数据、操作不当等行为,进而使院校网络遭受到外部的恶意攻击。为此,如何规范广大师生在学习工作场合正确使用自己的移动设备维护学校的信息安全成了师生们共同的任务之一。
三、保障院校信息安全的策略
(一)加强信息主体的安全知识教育培训,强化防护网络安全的意识
一是不断强化各院校信息主体在国外与国内信息安全方面的法律法规的教育培训,切实增强广大师生们维护信息安全的法律意识。例如,院校可以定期与不定期组织学校负责信息管理的工作人员以及师生们共同来学习网络安全管理制度,计算机信息网络国际互联网安全保护管理办法,信息发布审核、登记制度等国内外信息安全法律法规的培训教育,向广大师生和信息管理人员普及信息安全知识,不断提升广大师生和信息管理人员的安全保密意识,使广大师生和信息管理人员明白维护院校信息安全的重要意义,营造维护院校信息安全“人人有责”的良好氛围,最大限度地调动广大师生在维护信息安全当中的主体作用。
二是在师生中开展信息安全技术教育培训,切实提升广大师生防范信息安全风险的能力。例如,举办计算机技能培训、网络维护技能培训以及教会师生们简易的网络防御技能。
(二)加大网络软硬件投入和整合有效信息技术,保障网络运营的安全
一是建立健全完善的高校网络病毒防御体系。例如,装载正规出版权、威认证的杀毒软件。院校可以把正版的杀毒软件放在校园网内的网络信息管理中心的网页上供广大学生和教职工免费下载安装,并通过杀毒软件的定期更新,帮助广大学生和教职工及时扫描杀毒和修复存在的安全漏洞,并开设留言专栏及时收集学生和教职工反映的问题,能处理的及时帮师生处理,不能处理的向软件开发商寻求帮助,以此有效地确保院校内电脑的安全运转。另一方面,需要周密制订防火墙防范对策。例如,需要严格把关好操作系统的端口配置,坚持该开放的开放,不许开放的则坚决关闭。需要对外开放的网络服务,应当将需要开放的服务器端口开放,不需要的端口坚决关闭。与此同时,需要安装有能及时检测IDS入侵的系统,以该系统来监控内部网络遭受到的攻击。此外,还需要安装漏洞扫描系统,以便及时扫描发现系统存在的漏洞并及时进行各种漏洞的修复。
二是坚持“预防为主,防患未然”的防御策略,确保信息安全。首先,需建立值得信赖的终端平台,并在终端平台上按照一定的规矩设置一定的用户使用权限以及操作权限。其次,需采取密码加密、访问控制、身份认证等举措,建构良好的计算机网络安全应用环境。例如,学校可以通过向教师发放实名制“一卡通”的方式进行网上“一卡一号”的身份认证。再次,健全提供认证、授权、检测、应急以及处理非法访问服务的信息安全管理中心,提供互联互通的密码配置、公钥证书等密码服务措施。具体表现在:a.数据的加密,包含采用密钥的方式对电子邮件和文档进行加密,对网络端口以及服务端口的加密等;b.NOTES的数字签名,身份认证包含DOMI-NO服务器和NOTES工作站彼此间的认证及客户端和mMmo服务器彼此间的认证;c.通过双网卡主机技术来隔离办公网络;d.引进第三方的公钥基础结构(PK)进一步完善网络系统的安全。
(三)构建多重校园信息安全管理机制,用制度保障信息安全运行
一是科学设置责权清晰、职能完善的校园网络信息安全管理中心。根据“预防为主,防患未然”和技术防范与制度防范相结合的准则,对院校的信息安全管理采取“三级联动”的管理机制,第一层由学校领导统筹决策和监管,第二层由学校中层干部实施管理,第三层由学校一线操作工作人员负责具体执行,层层对上级负责。例如,院校建立“三级联动”信息安全管理机制,可以专门成立管理学校信息安全的信息管理中心,并设置为学校二层处级单位,配备一定数量的专业技术人员,并由学校一名副校长专门管理学校信息安全工作,信息管理中心设置一名处长、二名副处长专门管理本中心的信息安全工作,信息管理中心的专业技术人员具体负责本中心的信息安全工作,使得信息安全工作层层落实。此外,学校也需要制订详细的管理机制以及信息安全工作职责,确保工作落到实处。
二是健全完善的日常管理制度、定期评估制度以及应急处理制度。首先,需针对院校内具有复杂的、动态的、突发特征的信息安全制订常规的信息管理制度。例如,学校可以制订《×××大学网络信息管理中心管理制度》《×××学校校园网络设备管理制度》《×××院校信息发布审核制度》等,不断规范校园内网络的日常管理。其次,需制订具有突发性、紧急性、危害深远等特征的应急处理制度,积极主动采取有力策略,有效控制信息危机的发生。最后,需制订定期和不定期开展信息安全检查与评测制度,时刻监控日常网络信息安全动态。
(四)积极与信息安全技术部门开展交流与合作,将校园信息安全防护跟前沿的信息技术紧密结合
21世纪是信息技术迅猛发展的时代,没有哪一种信息安全保障策略是一劳永逸的。伴随着现代信息技术的日新月异,保障策略也需不断更新完善。为此,院校信息安全管理中心应当积极走出去,加强与社会权威信息安全技术部门的交流与合作,及时了解社会信息安全发展动态,及时跟踪最前沿的安全信息及新信息技术的发展动态,坚持与时俱进,寻找已有防御网络隐患,积极引进前沿网络技术,并为信息安全保障系统建设提供专业、合理、可行化建议,积极完善和革新本校的信息安全保护措施。此外,各院校还应当把最新的技术发展及时体现在校园网络系统中,并对相关信息维护人员进行专业培训,应对随时可能爆发的信息安全事件,提高广大师生和教职工的信息安全意识,让院校的信息安全工作切实做到实处,为院校的信息安全筑造一道天然的保障屏障。
四、结束语
院校信息化发展的前提是信息安全的有效保障,伴随着现代社会信息技术的日新月异,院校信息安全也存在着一定风险,只有建立一整套高效、协调、集成的信息安全保障体系才能有效地保障高校信息安全。所以,院校需结合实际情况,通过不断强化信息主体的安全知识教育培训,强化防护网络安全的意识;加大网络软硬件投入和整合有效信息技术,保障网络运营的安全;构建多重校园信息安全管理机制,用制度保障信息安全运行;积极与信息安全技术部门开展交流与合作,将校园信息安全防护跟前沿的信息技术紧密结合等策略,不断提升信息安全保障强度,减少信息安全风险,保障院校信息安全高效良性运行。
【参考文献】
[1]刘志龙,张淋江.高校信息安全的风险评估问题研究[J].河南科技,2015(03).
[2]付沙.高校校园网信息安全策略的探索[J].中国教育信息化(高教职教),2008(01):63-65.
[3]汪莹,朱齐媛.关于高校校园网信息安全的现状与对策[J].重庆工学院学报(自然科学版),2008(06):126-128.
信息安全风险评估综述 篇7
信息安全风险评估的目的非常的明确, 其一就是要能够获得系统现在和未来面临的风险位置, 其二是当知道面临着怎么样的风险之后, 还需要知道这些存在的风险对整个系统会带来哪些威胁以及会对其造成哪些不利的影响。只有了解了风险所在, 知道了风险造成的影响大小之后, 才能为下一步的安全防备措施做好理论的基础。因此从以上内容可以看出, 系统安全风险评估实际上有利于信息系统的安全建立以及安全运行, 为安全策略方案的确立提供理论的依据。
信息安全风险评估同样对于信息技术产品而言有着积极的作用, 因为在安全风险评估往往是有第三方或者由国际机构进行人质, 因此这样一来让信息技术产品的安全更加的有保障, 由于第三方往往具有权威性, 所以这让购买运用信息技术产品或者系统的用户能够对产品增强信心, 同样也可以提高产品的安全性, 让它在市场上的竞争力加强。
一、风险评估方法
在系统出现信息安全风险隐患的时候, 如何对其进行评估, 采用什么样的方法手段至关重要。在评估过程中如果选择的方法不适当, 则可能会适得其反, 并且评估方法的选择对于评估整个过程而言有着重要的意义, 它可能会直接影响到评估的过程, 所以应该根据系统反映的不同情况, 选择合适的评估手段, 这样才能起到有效的作用。由于系统内容非常之繁琐, 因此评估的方法种类也很多。
(一) 定量评估法
定量评估的方法指的是根据统计的数据来创建一个数学模型, 并且根据这一模型来获知系统的各项指标, 根据这些得到的数值进行评估。简单来说, 定量评估就是依据系统反映出的数量指标来评估风险的大小, 其中比较常见的分析方法有聚类分析法、回归模型以及决策树法等。由于定量评估法主要反映的是一种数据分析的模型, 因此一般称之为定量分析, 它需要的不仅仅是一般的法则计算, 还需要具备深奥的数学知识。它的优点非常之明显, 因为其数据往往非常的直观, 所以系统评估人员可以很清楚的看到数据之间的关系, 非常的简洁明了, 这样一来就可以节约一定时间, 而且获取的数据一般是客观的、真实的、科学的。采用定量评估法能够保证获知的结果是严谨准确的。除此之外, 它的每一个数据都有着深刻的含义, 每一个简单的数据能够反映出一个重要的问题, 所以不能其中的任何数据。然而由于为了让定量评估法的结果更加量化, 系统评估者常常会把复杂的数据变得更加简单化, 但是也会使得其更加的模糊, 因此在风险因素的确认上, 往往会问题频出, 无法得到有效的确立。
(二) 定性与定量结合
系统风险评估并非一朝一夕就能够完成的, 它是一个相当繁琐且复杂的过程, 因此会面临着各式各样的因素, 因此在对系统进行风险评估的过程中, 要考虑多方面的因素, 从整体出发, 但是有些评估的因素仅仅采用定量评估法是远不能解决的, 因为其不能够用量化的形式表达出来, 而且有些因素不适合量化, 要对其进行量化非常的困难。不仅如此作为系统评估者应该具备这样的认知在对系统风险进行评估的时候不应该一味的只提倡量化, 并且量化的结果也不会全然就是准确无误的, 它在风险评估的过程中总会有不准确、不科学的时候, 因此这个时候就需要系统评估者考虑其他的方法了。
定性分析方法与定量分析法存在着相同之处与不同之处, 相同点在于定量分析它为定性分析方法的确立提供了理论的基础, 只有定量分析法这个前提在, 定性分析法才能够在这个基础之上来发挥其应有的作用。定性分析法的目的在于揭示出事物的客观规律, 将事物的内在表明出来, 它与分量评估法不同之处是因为要获知整个评估的结果, 做出准确的判断, 必须依赖于定性评估法, 它是最后结果形成的一个关键因素。因此对于比较复杂繁琐的信息系统风险评估中, 要将定性与定量分析方法结合起来, 不能够将这两种方法分开来看, 只有将两者合理的运用到信息评估风险过程中去, 采用综合评估方法, 才能提高分析评估的准确性。
二、评估过程
(一) 确定系统资产与评估风险
在对系统风险进行评估之前, 首先要了解信息系统的资产的价值, 这是对系统信息安全风险进行评估的前提条件, 只有了解了其资产的价值, 才能开始评估工作。其价值的确定与供应商、客户等相关方有关。资产确定的范围相当广泛, 在确定的时候其标准时只有在系统出需要进行保护的东西都应该算是资产, 都具有资产价值, 它主要包括以下几方面的内容, 信息资产、软件资产、人员以及公司的形象声誉等, 除此之外, 还有纸质的相关文件以及一些物理方面的资产也能算在其内。在评估资产的时候应该先抓住重点的业务, 从重要的业务开始, 然后再依次的评估到所有的关键资产。在资产评估过程中, 需要进行周密且谨慎的分析, 一旦发现由于脆弱点构成的威胁因素, 则应该立即的对风险之后造成的损失进行统计。
(二) 制定措施与决策
在发现威胁之后, 需要在短时间内给出解决或减轻风险的措施, 它不是最终的决策, 而是面对威胁风险后一种及时的安全防范措施, 需要注意的是在采取措施的时候应该充分的考虑其实施的成本, 严格控制好成长多少。在制定措施的额时候应该全面的进行考虑, 也要有针对性, 具体的问题具体的进行分析, 只有制定出有效的解决方法, 才能为决策阶段做好充分有利的准备。在制定最终决策的时候应该充分的考虑如何的避免风险以及最快的将风险转移。
(三) 交流与实施
沟通交流指的是当决策得出结论之后, 要进一步的对得出的结论进行交流与沟通, 它的作用在于让所有的系统评估人员对于系统所面临的风险有一个清晰的认识, 不仅如此还可以在沟通过程中进一步的发现一些没有注意到的风险因素。对决策进行实施是最后的一个步骤, 在这一过程中需要进行监督, 这样才能确保决策能够落到实处。
摘要:随着社会信息化进程的的加快, 有关信息安全风险问题也随之而来。因此如何的保障网络信息安全成了人们关注的重要问题, 信息安全风险评估就是在这样的环境下产生的, 它是建立在安全体系的基础之上, 是信息系统安全工作的一个重要组成部分。
关键词:信息安全,评估,风险
参考文献
[1]贾颖禾.信息安全风险评估国计算机用户[J].刊文, 2004.
信息系统安全风险管理 篇8
目前, 关于信息系统安全风险管理的定义各不相同, 其中较为主流的理解有以下几种:
ISO17799 (2005) 将信息安全风险管理定义为:指导和控制组织风险的协调活动, 包括风险评估、风险应对、风险承受和风险沟通[1]。
NIST SP800-30中定义信息安全风险管理是“对信息系统的风险识别、风险评估, 并采取一定的措施使风险减少至可承受程度”[2];
Microsoft安全风险管理指南定义是“确定可接受的风险, 评估风险的当前程度, 采取措施将风险降低到客接受水平以及维持风险程度的流程”[3]。
在借鉴上述定义的基础上, 本文从系统安全性、管理可用性、技术可行性角度定义信息系统安全风险管理为:管理组织或人员对信息系统的安全要素进行识别、评估, 并对评估结果进行有效分析、评价和决策, 采取可接受的安全措施控制、降低、规避信息系统的安全风险的过程。
二、系统安全风险管理的模型与方法
2.1管理目标。信息系统安全风险管理的目标即管理信息系统安全风险。根据本文提出的概念, 总体来说, 即通过管理实现对信息系统的安全风险进行识别和计算, 对识别出的风险进行评价和决策, 并对确定的风险实施整改、监督整改完成情况。通过识别计算, 发现系统存在的安全漏洞, 潜在的安全威胁, 并对其可能造成的后果进行分析和评估, 最后根据评估的结论进行整改, 降低信息系统安全风险并追究信息安全破坏者的责任[4]。从而形成循环往复、不断完善的监管过程, 以降低信息系统安全风险, 确保信息系统稳定和健康运行, 如图1所示。
2.2管理模型。根据本文提出的系统安全风险管理目标, 信息系统风险管理模型设计主要应包括两个方面内容, 即对信息系统进行风险评估和对决策确定的风险结论进行管控。在这个两个阶段中, 可分为以下5个方面的工作环节:风险分析、风险评价、风险决策、风险整改、风险跟踪。在这些工作环节中, 又可以细化为10项具体工作内容:风险定义、风险评级、风险估算、风险记录、风险评审、风险结论、整改计划、整改实施、监督检查、风险跟进。根据该设计思想, 构建安全风险管理模型如图2所示。
其中, 风险分析方面, 具体工作内容包括风险定义和风险评级, 管理者根据相关的标准和要求对风险进行识别定义, 并根据风险的级别划分工作重点, 制定计划有针对性开展评估工作。
风险决策方面, 工作包括风险评审和风险结论, 主要是由管理人员针对测算出的风险数值进行有效分析和评价, 并结合单位内部的具体实际确定最终的风险。
风险整改方面, 工作包括整改计划和整改实施, 针对确定的风险, 由单位内部管理人员组织开展整改, 确定整改计划, 并组织人员对相关风险实施整改。
风险跟踪方面, 工作包括监督检查和风险跟进两方面, 管理人员针对整改实施过程进行监督, 检查风险整改措施落实情况, 并对系统各项风险情况持续跟进, 为下一次安全风险评估做好准备。
2.3管理方法。根据本文建立的管理模型, 信息系统安全风险管理应包含两个方面, 一是针对系统安全风险的识别评估方法, 另外一个就是针对系统安全风险的管控手段。两者有机结合整体运用, 才能有效降低系统安全风险, 提高系统安全可靠运行。
如何有效对系统安全风险开展评估是系统安全风险管理的首要环节。其主要工作是识别具体安全风险评估要素和确定评估方法。
2.3.1安全风险评估要素。一般而言, 信息系统安全风险评估要素主要包括资产、威胁、脆弱性3方面内容[5]。信息系统风险评估过程中还需要充分考虑如业务战略、资产价值、安全事件、残余风险等这些与基本要素密切相关的其他各类因素。如图3[6]所示。
风险评估的三要素包括:1) 资产:对单位或者组织具有价值的需要评估的东西, 包括企业内部的计算机、网络设备、通讯线路、信息系统软件硬件、数据库、文档资料、人力资源、建筑物和周界防护等。2) 威胁:可能对价值资产或者单位造成严重损害事件的潜在原因, 即威胁源或威胁组织成功利用信息系统存在的弱点对价值资产造成负面、潜在影响的一种可能性。包括基于人为动机、网络访问、权限控制、物理接触等造成的威胁。3) 脆弱性:也称为漏洞、潜在攻击点, 即价值资产中存在的可能被攻击者用于威胁信息系统的缺点等。包括:服务器和终端的系统漏洞、网络漏洞、安全技术防护漏洞、病毒、管理漏洞等。
2.3.2安全风险评估方法。针对上述的众多风险评估要素, 采用何种评估方法开展风险评估工作是重要的考虑内容。目前, 信息系统安全风险评估方法分类较多, 目前尚没有统一的、完美的方法, 在实践过程中普遍以定性方法为主, 以期降低评估过程时间成本, 提高风险处理响应速度。其中, PRA/PHA (Preliminary Risk/Hazard Analysis) 是一种定性风险分析技术, 用一系列的分析原则来确定可能会把潜在的危险转化成事故的事件。该方法可以识别所有的可能引起潜在事故的风险;按照其严重程度排列这些风险, 其结果是相对的等级列表及识别控制风险的措施。
1) 风险单项计算。进行风险单项计算的模型如图4所示。
根据图4所示, 风险定义为发生概率和潜在后果严重性的函数:
式中:A——风险, 可以理解为一种状态向另一种状态迁移的过程;
x——发生概率, 由资产面临的威胁以及资产本身存在的脆弱性决定;
y——后果严重性, 由资产本身的价值决定。
根据信息系统的一般特点, 严重性 (y) 定义如下图5:
依据发生概率 (x) 不同如下图6进行分类:
根据上述发生概率、后果严重性的计算结果形成风险分析矩阵如下图7:其中“高”代表高危风险, “中”代表中危风险。“低”代表低危风险。
对于风险事项的处理, 根据风险分析矩阵所示的高低级别进行响应和处理, 每个风险级别响应处理级别如图8:
三、系统安全风险管理过程
根据本文提出的管理思想, 针对系统风险评估要素开展的风险管理实施过程大致可分为计划阶段、评估阶段、分析阶段、整改阶段、总结阶段。各阶段具体工作实施情况具体见图9。
1) 计划阶段:管理组织/人员对信息系统安全风险评估工作计划进行安排, 对评估标准、目标、方法、范围等内容进行确定, 并得到主管领导的审批和经费支持。
2) 评估阶段:管理人员对系统风险3要素进行分析, 通过技术或其他手段找到并标识风险所在;根据风险评价标准, 对资产价值进行权重赋值形成列表, 从而为下一步的风险评价和风险处理提供输入。
3) 分析阶段:针对计算得出的风险, 管理人员组织对识别出的风险进行分析和整理, 结合单位内部管理要求和实际情况, 确定最终需要整改的风险, 并文档化管理。
4) 整改阶段:针对决策确定的风险, 单位组织人员执行相关优化措施, 及早对风险进行整改。
5) 总结阶段:对整改开展的过程, 单位应组织其他人员对风险整改过程和结果进行分析和确认, 以确保系统安全风险得到了有效控制和降低;并持续跟踪风险发展, 为下次评估工作做好准备。
结束语
本文所构建的信息系统安全风险管理模型和管理过程, 在某科研单位信息系统实际风险管理过程中得到运用, 从制度建设、风险测算、风险整改、管理检查等多个方面实现了对信息系统安全风险的管控, 从技术措施和管理流程上强化和完善对系统监控, 保证了安全风险管理工作的有效性和持续性, 最终效果较为满意。存在不足的地方是, 系统安全风险管理如何进一步有效提高风险评估数据值的准确性, 另外, 在管控手段的进一步简化优化方面有待进一步提高。
参考文献
[1]Information Technology-Security techniques-Code of practicefor information security management ISO/IEC 17799:2005.
[2]Gary Stoneburner, Alexis Feringa.Risk Management Guide for Information Technology Systems[J].NIST SP-30, 2002.
[3]Microsoft.微软信息安全风险管理指南[M].
[4]王扬, 等.信息系统行为审计管理[J].指挥信息系统与技术, 2012, 3 (2) .
[5]THOMAS R P.Information Security Risk Analysis[M].[s.l.]:CRC Press LLC, 2001.
信息安全风险评估综述 篇9
1 风险评估概述
互联网快速发展极大提高人们的生活、工作、学习效率, 与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取, 信息传递过程中仍旧可能出现信息被第三方截取情况, 信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式, 但也带来一系列安全隐患。
从信息安全角度而言, 风险评估就是对信息系统自身存在的的种种弱点进行分析, 判断可能存在的威胁、可能造成的影响等。综合风险可能性, 便于更好展开风险管理。风险评估是研究信息安全的重要途径之一, 属于组织信息安全管理体系策划过程。
风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂, 因此信息系统安全风险评估是一项综合性工作, 其组织架构较为繁杂, 主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。
20世纪八十年代, 以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚, 至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视, 为其快速发展奠定坚实基础。
网络环境虽然带来无穷便利, 却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起, 人们生活在同一信息系统下总是希望自身隐私得到保护, 因此在建设信息系统是必须做好信息安全风险评估, 规避信息系统存在的各种风险, 提高信息系统安全性, 让人们生活在安全信息环境中。
2 信息安全风险评估方法
网络的出现对人们的生活和思维方式带来极大变革, 信息交流更加方便, 资源共享程度无限扩大, 但是网络是一个较为开放的系统, 对进入网络系统的人并未有一定约束, 因此必然导致安全隐患的出现。随着信息系统建设不断深入, 信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性, 降低安全隐患, 让人们在安全的信息环境下生活和工作。
2.1 定性评估方法
定性评估是信息安全风险评估使用最频繁的方法, 此法基于评估者通过特有评估方法, 总结经验、历史等无法量化因素对系统风险进行综合评估, 从而得出评估结果。该中方法更注重安全风险可能导致的后果, 忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理, 因此其评估结果本身就存在一定不确定性, 此种评估方法适用于各项数据收集不充分情况。
定性评估虽然在概率上无法保障, 但可挖掘出一些较为深刻的思想, 其结论主观性较强, 可预判断一些主观性结论。基于此需要评估人员具较高职业素养, 不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。
德尔菲法是定性评估中较为常见评估方法之一, 经过多轮征询, 将专家的意见进行归结, 总结专家预测趋势, 从而做出评估, 预测未来市场发展趋势, 得出预测结论。从本质上来说, 德尔菲法是一种匿名预测函询法, 其流程为:征求专家匿名意见——对该项数据进行归纳整理——反馈意见给专家——收集专家意见——…——得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素, 促进预测符合实际。
2.2 定量评估方法
定量评估与定性评估是相互对立的, 此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据, 且需保证数据准确性, 之后利用数学方法建立模型, 验证各种过程从而得出结论。定量评估需要准备充足资料, 是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足, 更具备客观性。定量评估可将复杂评估过程量化, 但该种方法需要建立在准确数据基础上。定量评估方法主观性不足, 其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。
故障树评估法采用逻辑思维进行风险评估, 其特点是直观明了, 思路清晰。是一种演绎逻辑推理方法, 其推理过程由果及因, 即在推理中由结果推到原因, 主要运用于风险预测阶段, 得出风险发生具体概率, 并以此为基础得出风险控制方法。
2.3 定性评估与定量评结合综合评价方法
由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强, 客观性不足。定量评估主观性不足, 客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本, 建立在评估者资质基础上。定量评估运用数学方法展开工作, 预测结果较为准确, 逻辑性较强, 但成本较高。从本质上来看, 定性为定量的依据, 定量是对定性的具体化, 因此只有将二者结合起来才能实现最佳评估效果。
3 信息安全风险评估过程
信息安全风险评估建立在一定评估标准基础上, 评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持, 在此基础上展开全面风险评估, 结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性, 这就要求评估过程中需建立正确评估方法, 克服评估过程存在的不足, 从而取得最佳结果。
4 结束语
当今信息系统不断发展完善, 为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法, 实际评估中应该结合实际情况选择合适方法, 提高信息安全风险评估结果准确性, 为建立安全信息环境奠定坚实基础。
参考文献
[1]应力.信息安全风险评估标准与方法综述[J].上海标准化, 2014 (05) :34-39.
[2]张玉清.信息安全风险评估综述[J].通信学报, 2015 (02) :45-53.
信息安全风险 篇10
1 信息系统风险评估
遭受的伤害、损失以及发生毁灭的可能性, 都属于风险。外力对非行为主体可控因素利用酿成的损失就是风险。就信息安全范畴内的风险来说, 具体指信息系统受自身脆弱性的局限, 以及自然或人为因素威胁, 造成发生安全事件的可能性, 及其带来的不良影响。信息系统风险评估主要是对信息系统面临风险的过程进行判断识别。风险评估是与一定的技术手段相结合的系统工程, 服务于管理问题识别、管理策略制定;将威胁作为立足点, 以系统脆弱性为依据进行判断的评估过程;是对安全风险进行周期性了解, 出台有效的安全控制措施的基础条件。风险评估一方面使得网络风险实现了降低, 也使得风险管理与控制的实施具有了可靠的依据。加大力度管理建设信息安全保障体系, 风险评估这一环节非常关键, 对于信息安全问题的识别发现, 具体解决方案的制定来说, 是非常有效且重要的手段。
2 信息系统安全发展现状
信息系统与社会经济很多领域存在关联, 在政务和商务方面显现出了非常重要的作用, 信息安全问题并不是简单的技术性与局部性的问题, 而是一个综合性的安全问题, 即跨行业、跨领域、跨部门。有关统计显示, 某省会城市企事业单位、各大机关信息系统出现稳定运行情况的单位, 所占比例达到了10%;遭遇过网络方面非法入侵、攻击等事故的单位比例达到了30%;有高达86%的单位发生过信息安全问题, 这些单位大多不具有专项的信息安全建设资金, 缺乏充足的信息安全专业人才, 还没有建立信息安全测评机构以及应急响应体系, “轻管理、重建设、轻安全、重应用”的情况十分普遍, 对这一方面问题的解决越来越迫切。
各部门的信息化水平通常同其对信息系统风险评估的重视程度呈正比关系, 也就是说越是高度重视风险评估, 信息化水平就越高。但是, 受行业发展与地区发展都存在一定的差异的影响, “安全事件驱动”成为各部门对风险评估重视的主要原因, 也就是说“事故发生了才重视”, 很少由企业能够提前做好防范。我国信息安全体系在现阶段还不够完善健全, 信息系统风险评估还没有达到完全成熟的水平。
3 企业最关注的信息系统风险
3.1 能够对变化的章程适应
当前机构组织需要应对的挑战日益增加。确保制定的章程可以与变化的需求相适应成为一大关键任务。IT必须对系统加强设计与维护, 为新制定的章程提供保障, 使其可以对变化的需求做到适应。
3.2 企业级的IT管理与治理
IT治理成为提高IT部门管理效率的基本要求, 提高服务的高性能与严密性, 将准确可靠的信息传递给业务系统。IT治理应当保障具有清晰的业务目标, 保障IT操作有序展开。提升IT信息服务质量, 需要提高IT流程设计的完善性, 协调IT成员之间的工作。
3.3 信息安全管理
在遭遇很多严重的损失与破坏、投入较高的成本用于风险防范后, 企业已经深刻认识到最为重要的并非技术上的发展完善, 人员管理与工作流程管理成为信息安全管理的关键。所以, 企业在具体的实践中应当以国际信息安全管理标准为指导。
3.4 业务连续性与灾难恢复
企业业务活动均存在被各种因素影响导致中断的情况, 例如技术故障、破坏、崩溃等。因此, 很多企业出台了业务连续性管理计划, 以尽快使业务从灾难中恢复过来。但是, 采取业务连续性管理计划的企业数量非常有限, 大部分企业均在实施脆弱的业务计划。
3.5 IT资产管理
IT计划与业务目标之间缺乏统一性, 结果对业务的利益认识不清。很多IT计划在业务关联方面存在欠缺, 有的企业的IT服务与业务之间虽然有联系, 但是内容简单。实施IT资产管理过程有效弥补这一方面的不足, 使IT在业务及资产管理方面更好地提供服务。
3.6 对IT风险降低
很少在最短时间内能掌握风险管理实践, 因此没有充分认识到风险管理重要性的情况普遍存在。但是, 在所有的企业均有IT风险存在, 所以对IT风险管理不重视势必会遭受巨大的损失。
4 构建信息系统风险评估
4.1 明确风险, 找出根源, 对症下药
网络信息系统存在的隐性风险是众所周知的, 更是一种客观的存在。因此, 我们必须要对此有充分的认知, 并对其实施科学的管理。信息系统所面临的风险到底是什么?我们要如何规避?要采取怎样的措施来化解?这都是我们目前面临的实际问题。它就像我们人一样, 难免有生病的时候。也如不停运转的设备, 也会有发生故障的一天, 因此, 面对网络信息安全风险, 必须要对其进行认识, 并对其进行正确评估。
4.2 夯实安全基础, 巩固信息大厦
任何一个系统都会存在安全风险, 信息系统亦如此。我们在建设大楼时, 谁也不会将其建立在流沙之上, 这是因为地基不牢会对高楼造成坍塌的危险。因此, 在进行任何事情时, 都要对其进行风险评估, 这里的风险评估就好比我们高楼坚实的根基一样, 通过评估, 使我们了解可能存在的风险及威胁, 以便对现有资源进行合理配置及利用, 进行科学规划。通过风险评估, 还可以降低建设投资及费用, 以最小的投入以获取最大的收益。
4.3 信息安全管理的“利器”
由于网络信息安全的隐蔽性, 使得我们在不自觉中被击中, 比如黑客入侵、病毒感染等, 使得我们关键性机密被窃取, 造成无法挽回的巨大损失。因此, 信息安全一直是高科技之间的较量, 必须要利用科学, 寻求适当的方法, 尽可能发现系统内可能存在的威胁。将风险评估作为一种利器, 一个屏障来保卫信息系统的安全。
4.4 寻求适度安全和建设成本的最佳平衡点
随着经济的发展, 我们对安全的要求也越来越高, 但要使网络信息安全达到理想或者预期, 所付出的成本也是巨大的。为了追求合理的经济及社会效益, 就不能单纯追求绝对的安全。通过风险评估, 我们认识到信息系统所面临的风险, 并以此为基础对可能存在的威胁及风险进行筛选, 对于可以规避的, 能够容忍的都要做到心中有数, 以便在寻求适度安全和建设成本之间找到那个最佳的平衡点, 促成经济效益的最大化。
4.5 借鉴先进经验, 重视预警防范
网络信息安全决定了整个国家的安全。想要实现强国的目标, 就需要技术的支撑。早在1995年, 英国就已经发布了《信息安全管理实施细则》, 并与2000年被纳入国家标准, 获得了ISO认可。2002年, 美国《联邦信息系统安全认证和认可指南》的颁布, 作为一种技术及政策的支持, 使得信息风险评估得到了有效保障。虽然我国在一些关键性技术上还远远落后于发达国家, 但对先进技术的学习与借鉴与风险预防一样重要。
参考文献
[1]吴志博, 杨友良.浅谈电子政务信息安全[J].甘肃科技纵横, 2011 (1) .
[2]陈身洪.电子政务信息安全问题的探析[J].知识窗:教师版, 2011 (1) .
