一、引言
資訊時代為國家和個人提供了全新的發展機遇和生活空間,但也帶來了新的安全威脅。資訊保安的威脅可能來自內部的破壞、外部的攻擊、內外勾結的破壞和資訊系統自身的意外事故等,因此我們應按照風險管理的思想,對可能的威脅和需要保護的資訊資源進行風險分析,以便採取安全措施,妥善應對可能發生的安全風險。資訊保安風險評估是依據國家資訊保安風險評估有關管理要求和技術標準,對資訊系統及由其儲存、處理和傳輸的資訊的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。根據ISO27001的管理思想,資訊保安風險評估在資訊保安管理的PDCA環中是一個很重要的過程,如何處理資訊保安風險評估所產生的資料,是每一個資訊保安管理者都非常迫切需要解決的一個問題。最好的解決方法是開發出一套實用性強、可操作性高的系統安全風險評估管理工具。
二、風險評估過程
資訊保安風險評估系統的設計是針對組織開展資訊保安風險評估的過程。這個過程包括對資訊系統中的安全風險識別、資訊收集、評估和報告等。風險評估的實施過程如下頁圖1。
1.評估前準備。在風險評估實施前,需要對以下工作進行確定:確定風險評估的目標、確定風險評估的範圍、組建風險評估團隊、進行系統調研、確定評估依據和方法、制定評估計劃和評估方案、獲得最高管理者對工作的支援。
2.資產識別。資產識別過程分為資產分類和資產評價兩個階段。資產分類是將單位的資訊資產分為實物資產、軟體資產、資料資產、人員資產、服務資產和無形資產六類資產進行識別;資產評價是對資產的三個安全屬性保密性、可用性及完整性分別等級評價及賦值,經綜合評定後,得出資產的價值。
3.威脅識別。威脅識別主要工作是評估者需要從每項識別出的資產出發,找到可能遭受的威脅。識別威脅之後,還需要確定威脅發生的可能性。
4.脆弱性識別。評估者需要從每項識別出的資產和對應的威脅出發,找到可能被利用的'脆弱性。識別脆弱性之後,還需要確定弱點可被利用的嚴重性。
5.已有安全措施確認。在識別脆弱性的同時,評估人員將對已採取的安全措施的有效性進行確認,評估其是否真正地降低了系統的脆弱性,抵禦了威脅。
6.風險分析。風險評估中完成資產賦值、威脅評估、脆弱性評估後,在考慮已有安全措施的情況下,利用恰當的方法與工具確定威脅利用資產脆弱性發生安全事件的可能性,並結合資產的安全屬性受到破壞後的影響得出資訊資產的風險。
三、系統設計
1.用角色設計。系統角色分為三種類型,各使用者在登入後自動轉入各自的操作頁面。A.超級管理員:擁有系統所有許可權;B.評估專案管理員:可以對所負責的評估專案進行管理,對評估人員進行分工和許可權管理;C.評估人員:負責由專案管理員分配的測評工作,將評估資料匯入系統。
2.系統模型。根據資訊保安風險評估管理的業務需求,我們構建了以安全知識庫為支撐,以風險評估流程為系統主要業務流,以受測業務系統及其相關資訊資產的風險評估要素為物件的資訊保安風險評估綜合管理系統模型,系統模型如圖2所示。
3.系統功能設計。資訊保安風險評估綜合管理系統的功能模組包括:
①風險評估專案管理:評估專案管理模組包括評估專案的建立、專案列表、專案設定等功能。主要輸入項:專案名稱、評估時間、評估物件等;主要輸出項:專案計劃書。
②資訊保安需求調研管理:該模組用於使用者填寫安全調研問卷,為安全評估提供資料支援。主要輸入項:使用者ID、調查答案;主要輸出項:問卷標題、調查題內容。
③資產識別。系統提供的資產識別,包括:硬體、軟體、資料等,根據業務系統對組織戰略的影響程度,對相關資產的重要性進行評價;主要輸入項:評估物件(資訊資產)、賦值規則;主要輸出項:資產識別彙總表、資產識別報告。
④威脅識別。威脅識別:系統提供多種網路環境的威脅模板,支援和幫助使用者進行威脅識別和分析,並提供資產、脆弱性、威脅自動關聯功能:主要輸入項:評估物件、賦值規則;主要輸出項:威脅識別彙總表、威脅識別報告。
⑤脆弱性識別。脆弱性識別:系統可提供多種系統的脆弱性識別功能,包括:主機、資料庫、網路裝置等物件的脆弱性識別。系統支援常用漏洞掃描軟體掃描結果的匯入,目前支援的掃描系統有:Nessus、NMap等,主機系統支援:Windows、Linux、Unix等,資料庫支援:MSSQL、Oracle等:主要輸入項:評估物件、漏洞掃描結果、賦值規則;主要輸出項:漏洞掃描報告、脆弱性識別彙總表、脆弱性識別報告。
⑥安全措施識別。安全措施識別:系統提供基於技術、管理等方面的安全措施檢查功能,幫助使用者瞭解目前的安全狀況,找到安全管理問題,確定安全措施的有效性:主要輸出項:安全措施識別彙總表、安全措施識別報告。
⑦風險分析。系統通過資產評價、脆弱性評價、威脅評價、安全措施有效性評價、風險分析等工作,可自動生成安全風險評估分析報告。主要輸入項:評估物件、資產值、脆弱性值、威脅值、安全措施值、計算規則;主要輸出項:風險計算彙總表、風險分析報告。
⑧評估結果管理。主要功能是對歷史記錄查詢與分析。彙總所有的安全評估結果進行綜合分析,並生成各階段風險評估工作報告,主要包括如下:《資產識別報告》、《漏洞掃描報告》、《威脅識別報告》、《脆弱性識別報告》、《控制措施識別報告》、《風險分析報告》。並可對當期風險評估結果和原始資料進行轉存或備份。在有需要時能調出評估歷史資料進行查詢及風險趨勢分析。
⑨資訊保安知識庫更新維護。資訊保安知識庫的更新維護主要物件有:系統漏洞庫、安全威脅庫、安全脆弱點庫、控制措施庫。為避免造成資料的冗餘,系統將在各評估專案中需要反覆使用的資料歸入基礎資料庫進行管理,在進行評估活動時再從基礎庫提取有關資料,這樣也能減少重複的輸入工作。
⑩資料介面。匯入資料介面:資產庫、脆弱點庫、威脅庫、控制措施庫。支援以下常用的格式:如EXCEL檔案等;常用的漏洞掃描工具:如綠盟、啟明星辰、NESSUS、NMAP等。
四、結束語
該系統設計是以資訊保安風險評估工作流程為基礎,進行資訊保安評估專案管理、風險要素資料收集與輔助風險分析的系統,在實際風險管理過程中,可引入了質量管理理念——PDCA迴圈,即通過監控每一階段的資訊系統風險情況,及時發現問題,不斷調整風險控制工作計劃,從而實現資訊保安風險管理的工作目標。