信息安全风险评估在贵州移动的应用

来源:南粤论文中心 作者:任晓波 发表于:2010-04-08 10:28  点击:
【关健词】信息安全;风险。风险评估。信息安全标准
【摘 要l论文通过对信息安全风险评估的概念及评估方法的介绍,并以贵州移动2008年网管系统的风险评估为例, 结合风险评估在贵州移动的应用和成果,说明了风险评估对于贵州移动信息安全工作的重要性。同时,也希望对其他 企事业单位进行信息安全建设提供一些有益的思路。

引言

近年来,随着信息技术和计算机技术的飞速发展,安 全事件对攻击者的技术要求越来越简单,实施攻击的成本 越来越低,企业所面临的安全威胁越来越大,安全的重要 性也就越来越突出。为防范信息安全问题,单纯采用安全 产品是远远不够的,应首先全面了解系统存在的安全风险, 并提出针对性的改进措施,对安全风险进行有效的控制,才 能真正地解决安全问题。而要全面了解系统存在的安全风 险,必须对系统进行风险评估。风险评估主要依据中华人

1 4。I凹凹凹,c;smaq,④④圆。④田
万方数据
民共和国国家标准GB/T    20984—2007((信息安全技术信
息安全风险评估规范))、Iso/IEC    l7799等相关标准,从 安全风险的要素:资产、影响、威胁、漏洞,安全控制、安 全需求、安全风险等方面进行综合考虑。风险评估的策略 是首先确定资产、评估资产价值,评估资产面临的威胁、评 估资产存在的弱点、评估该资产的风险,进而得出整个评 估目标的风险,为风险的管理和控制提供有效依据。
(1)资产及资产价值:资产是对某个组织有价值的东 西,信息资产分别具有不同的安全属性,机密性,完整性 和可用性分别反映了资产在3个不同方面的特性。安全属性 的不同通常也意味着安全控制、保护功能需求的不同。通 过考察3种不同安全属性,可以得出一个能够基本反映资产 价值的数值。
(2)威胁:威胁是对系统和企业网的资产引起不期望 事件而造成的损害的潜在可能性。威胁可能源于对企业信 息直接或间接的攻击,例如非授权的泄露、篡改,删除等, 在机密性、完整性或可用性等方面造成损害。威胁也可能 源于偶发的、或蓄意的事件。一般来说,威胁总是要利用

企业网络中的系统,应用或服务的弱点才可能成功地对资
产造成伤害。 (5)漏洞:漏洞或弱点和资产紧密相连,它可能被威胁
利用,引起资产损失或伤害。值得注意的是,弱点本身不
会造成损失,它只是一种条件或环境,可能导致被威胁利 用而造成资产损失。
(4)风险风险是一种潜在可能性,是指某个威胁利用 弱点引起某项资产或一组资产的损害,从而直接地或间接 地引起企业或机构的损害。风险和具体的资产、其价值、威 胁等级以及相关的弱点直接相关。
风险评估的基本过程如图l所示,实施风险评估的方 法主要有:
的最脆弱点。
——访谈:为了更加深入地了解系统的安全状况,需 要从整体和业务上,采用对相关人员进行专门访谈的方式, 针对系统的体系架构和流程进行多角度、客观、全面和准 确的分析,得到系统现有安全状况和可能存在的安全风险。
——文档审阅.通过对各种相关的管理制度,规范、技
术文档进行阅读和分析,分析存在的安全隐患。
——现场观察分析:根据顾问访谈以及文档审阅发现 的部分问题,可以通过扫描工具、sniffer抓包工具以及相 关专用的工具,对网络架构以及网络的数据包进行分柝同
时通过现场观察,也可以验证顾问访谈内容,发现与访谈 内容可能出现的不同处。

1             贵州移动信息安全风险评估的应用简介
资产清单

图l  风险评估实施流程图【GB/T   20984—2007,1】

近几年来,贵州移动网管中心通过与国内专业安全厂 商合作,综合采用工具评估,人工评估,渗透测试、访谈、 现场分析等评估方法,不断对网管中心重要的主机系统、网 络设备、网络架构、安全管理等方面进行风险评估,      并根 据评估结果采取必要的风险控制措施(如人工加固系统、采 用安全产品、加强安全管理等),从而保障了贵州移动网管 中心业务系统的正常运行,大大提高了中国移动信息系统 的安全性。贵州移动风险评估主要从以下几方面来展开:
1.1摸清系统的安全现状.实施安全防护建设.确保系统 安全运行
以贵州移动2008年网管系统风险评估为例,贵州移动网
管系统是一个庞大的系统,2008年贵州移动网管中心与国内
某专业安全厂商合作,对网管系统中某些业务系统进行了风
——工具评估工具评估主要是根据已有的安全漏洞 知识库,模拟黑客的攻击方法,检测网络协议,网络服务、 网络设备、应用系统等各种信息资产所存在的安全隐患和
漏洞。
——人工评估:工具扫描因为其固定的模板,适用的 范围、特定的运行环境,以及它的缺乏智能性等诸多因素, 因而有着很大的局限性而人工评估与工具扫描相结合,可 以完成许多工具所无法完成的事情,从而得出全面的,客 观的评估结果。
——渗透测试:渗透测试是在客户的允许下和可控的 范围内,采取可控的,不造成不可弥补损失的黑客入侵手 法,对客户网络和系统发起真正攻击,目的是侵入系统并 获取机密信息,将入侵的过程和细节产生报告给用户。渗
透测试通常能以非常明显、直观的结果来反映出系统存在
险评估。在此次安全风险评估项目中,我们采用如下的算法 进行相关信息资产的安全风险赋值:风险值=资产价值×威 胁可能性×资产弱点(见图2)。其中,资产价值分为5级,资 产价值=MaX(c,I,A),C代表机密性赋值;I代表完整性赋 值;A代表可用性赋值。威胁按可能性分为5级,弱点按严重
程度分为3级。风险级别按风险值分为5级,如表l所示。经 评估后,得到以下评估结果:网络风险部分如表2所示,主机 风险部分如表3所示,安全管理风险部分如图3所示。

玻瞬可能性       l                    2        3         4         5
弱点严重性   l      2  3  l     2  3  l     2  3  l      2  3  l      2  3(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)

顶一下
(0)
0%
踩一下
(0)
0%


版权声明:因本文均来自于网络,如果有版权方面侵犯,请及时联系本站删除.