信息安全风险与投资分析

2013-10-16 11:56:13 重庆涪陵电力公司　点击量：评论 (0)

信息安全关系到所有类型的信息和存储、处理或传输这些信息的硬件、软件及固件。我国以积极防御，综合防范，管理与技术并重的方针建立了信息安全保障体系，即在信息系统的整个生命周期中通过对信息系统的风险分析

信息安全关系到所有类型的信息和存储、处理或传输这些信息的硬件、软件及固件。我国以“积极防御，综合防范，管理与技术并重”的方针建立了信息安全保障体系，即在信息系统的整个生命周期中通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提高安全保障要求，确保信息的机密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。

信息安全总体策略

任何系统相关信息和支撑系统、程序等，不论它们以何种形式存在，均是该系统的关键资产。信息的机密性、完整性和可用性是信息安全的基本要素，关系到组织形象和义务的持续运行。因此，必须保护这些资产不受来自各个方面的威胁侵害，如网络诈骗、侦探、病毒或黑客，自然灾害等，确保信息在存储、处理和传输过程中免受非授权的访问、防止授权用户的拒绝服务，以及包括那些检测、记录和对抗此类威胁的措施等。

信息安全策略必须以风险管理为基础，在信息系统的安全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。最适宜的信息安全策略就是最优的风险管理对策，防范不足会造成直接的损失，防范过多会造成间接浪费，所以，保障信息安全的核心问就是安全的效用问题。

信息安全的目标就是确保业务的连续性，并通过一系列预防措施将业务可能受到的损害降到最低，将安全事故产生的影响降到最小。信息安全管理应在确保信息系统资产受到保护的同时，也要让所有信息工作人员能够了解信息安全问题以及个人责任，并严格遵守执行，尽到促进信息安全策略的实施和普及的责任和义务。

建立安全组织的目标是管理信息系统内部的信息安全。组织必须建立专门的安全领导小组，指定专职的安全管理员，不得与其他系统管理员、应用系统管理员等管理人员角色重叠。必须建立信息安全管理体系，在系统内部开展和控制信息安全的管理和实践。

根据需要建立外部信息安全专家咨询小组，保持与系统外部安全专家的联系，并与世界的趋势、监控标准和评估方法同步。信息安全是所有信息系统工作人员必须共同承担的责任，必须建立相应的安全领导小组并由最高的主管领导担任组长。

领导小组应能够提供清晰地指导方向，可见的管理支持，明确的信息安全职责授权；审查、批准信息安全策略和岗位职责；审查业务关键安全事件；批准增强信息安全保障能力的关键措施和机制；保证必要的资源分配，以实现数据有效性以及信息安全管理体系的持续发展。

相关信息安全管理部门必须为建立和维持信息安全管理体系，协调相关活动，并承担以下职责：调整并制定所有必要的信息安全管理规程、制度以及实施指南；提议并配合执行信息安全相关的实施方法和程序，如风险评估、资产分级分类方法等；主动采取部门内的信息安全措施，如安全意识培养和教育；配合执行新系统或服务的特殊信息安全措施；审查对信息安全策略的遵循性；审查、监控、协调对信息安全相关事件的评估和响应；配合并参与安全评估事项；根据信息安全管理体系的要求，定期向上级主管领导和信息安全领导小组报告。

信息安全系统模型

P2DR 安全模型。模型核心所有的防护、检测、响应都是依据安全策略实施的。策略包括访问控制、加密通信、身份认证、备份恢复等。防护采用了ACL技术、Fire wall技术、信息加密技术、身份认证技术（一次性口令、-X.509）。检测依靠实时监控、主动检测、报警等。反应动作为关闭服务、跟踪、反击、消除影响等。

在策略实施过程中，系统的危险点与时间的对应关系至关重要，所以在防护上必须按照P2DR数学公式，即系统的防护、检测和反应的时间关系进行处理。即Pt—防护时间，Dt—检测时间，Rt—反应时间，Et—暴露时间。如果Pt>Dt+Rt ，则系统安全；如果Pt，那么Et=(Dt+Rt)-Pt ，则系统危险。

深度防御系统IATF是一种新型安全保障策略，在IATF中，首先提出深度防御战略的三个主要层面，即：人、技术和运行维护。如图2所示。

人在技术支持下进行运行维护。首先，人是第一要素，也最脆弱。但是，人的作用最大，如策略和流程、培训和意识、物理安全、人员安全、系统安全管理以及设施和措施都是人来完成的。技术是对四个方面进行防护、检测、响应和恢复。

运行维护（操作）是指风险评估、安全检测、审计、入侵检测、跟踪和告警响应。认证涵盖安全策略、密钥管理、恢复和重构。

技术中对四个方面的安全保护。第一是本地计算环境保护，包括安全的操作系统和应用程序、入侵检测、防病毒、主机脆弱性扫描、保护文件的完整性。第二是区域边界保护，例如网络设备之间加防火墙、入侵检测、防病毒、边界护卫、远程访问、恶意代码。第三是网络和基础设施保护，如骨干网可用性、无线网络安全框架、系统高度互联虚拟专网。第四是支撑性基础设施保护，主要有密钥管理、优先权、证书管理、入侵检测、审计、配置、信息调查和收集。

信息安全风险与投资分析

风险是指威胁利用资产或资产的脆弱性对组织机构造成伤害的潜在可能。信息系统安全的风险是具体的风险，风险主要源自信息系统自身存在的脆弱性和来自外部的威胁。安全策略与信息安全风险是相对应的，组织需要针对信息系统面临的各种风险制定相应的策略来降低这些风险到可接受的水平，以保障组织的业务使命

风险管理主要从两个方面进行：一是系统必须通过国家等级保护的评级，并严格执行相应等级保护的基本要求；二是对所有信息资产和信息技术过程都应通过风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。风险评估工作必须按《信息安全风险评估规范》（GB/T20984-2007）中的标准进行。

整个风险管理工作主要步骤有：

第一分类。即环境（安全区域、设备安全）；操作（网络、背景处理）；访问控制；符合性（法律符合、组织策略）进行四个阶段（建立背景；风险评估；风险处理；批准监督）；两个贯穿（监控审查；沟通咨询）的工作内容。

第二定性、定量地进行风险分析和资产（清单）的评估。

第三识别威胁和脆弱性、预测风险值——年预期损失。

第四积极开展应急响应和应急处置工作。从准备、确认、遏制、根除、恢复、跟踪 6个阶段完成。

第五突发事件应从准备、保护、提取、提交、分析5个步骤进行计算机取证。

第六数据备份与灾难恢复应按等级进行划分。

风险分析可以采取定性和定量分析.定性分析采用文字形式或描述性的数值范围来描述潜在风险的大小程度,定量分析在影响或可能性等值的分析中采用数值,对构成风险的各个要素和潜在损失的水平赋予数值或货币金额。比如用年度损失预期值ALE分析：ALE=∑I(Oi)Fi。

可见ALE是将年度损失风险计算为多个潜在损失和发生频率的乘积之和。(式中,{O1,…,On}表示一组有害的后果,I(Oi)表示后果i在金钱上造成的影响,Fi表示后果i发生的频繁程度)，这就说明ALE风险分析是一种效益价格比分析，它将采取控制措施前后， ALE之差再减去控制措施开销,得出控制措施价值,如果价值较大，则采取该控制措施，否则放弃。然而这种控制措施的开销就是我们抵制风险的投资(Ar)。