信息系统由于要支持组织完成相应的使命、任务或实现组织战略目标,往往成为竞争对手、黑客等各种攻击者攻击的目标和对象,从而给组织带来威胁,导致风险与安全事件等不安全因素。针对信息系统安全建设,一方面,由于组织的信息系统往往规模庞大、系统复杂,数据安全属性要求存在差异,如果对整个信息系统采用相同的安全保护措施,将不能保证信息安全资源配置的合理优化,造成浪费。实施等级保护,可以将信息系统通过系统划分,等级确定,实现对重要部分的重点保护;另一方面,安全是相对的,安全系统的建设必须在对组织信息系统进行全面的风险评估的基础上,通过识别组织信息系统的特性、系统面临的威胁、存在的脆弱性、以及威胁利用脆弱性产生风险的可能性等因素,综合平衡系统风险与安全投资成本,同时考虑系统安全规划与法律法规等的要求,确定系统安全建设的实际安全要求,才能设计出符合信息系统实际的安全解决方案,保证系统安全建设满足组织的实际需要。基于以上原因,研究在等级保护环境下进行风险评估的方法和流程对保证信息系统安全建设具有非常重要的意义。
二、等级保护与信息系统风险评估的关系
在等级保护环境下进行风险评估时,明确风险评估与等级保护以及其他相关要素的关系是必要的。图1表明风险评估与等级保护以及其他确定系统安全要求的相关因素之间的关系。
在等级保护制度下,由于一个信息系统运行一个或几个业务信息子系统,不同的子系统又有不同的安全要求,故对信息系统根据组织的管理属性、业务类型或物理区域的不同进行划分,将信息系统划分为不同的业务子系统。然后依据相关标准对业务子系统进行定级,并以此确定信息系统的等级,通过对照相关标准确定信息系统安全管理基本要求和信息系统通用基本要求,以及业务子系统在信息安全和服务保证方面的基本要求。
在确定了信息系统的安全等级后,对信息系统安全管理和信息系统技术风险进行评估。根据信息系统安全管理评估的结果对信息系统安全管理基本要求进行调整;通过对信息系统在物理安全和网络安全方面的风险进行分析与评估,根据评估结果对信息系统通用基本安全要求进行调整;通过对业务子系统相关的主机系统、业务应用系统和数据信息进行风险评估,根据风险评估的结果对业务子系统在信息安全和服务保证方面的基本安全要求进行调整;通过上述几方面的调整得出信息系统的安全管理要求、信息系统通用安全要求和业务子系统安全要求。通过综合考虑信息安全法律法规与标准和信息系统安全规划对信息系统提出的安全要求,补充风险评估得出的基本安全要求未包含的安全要求,信息系统的安全管理要求、信息系统通用安全要求和业务子系统安全要求,最后确定信息系统的安全建设要求。
三、等级保护环境下风险评估流程
等级保护下进行风险评估与通常情况下的风险评估的输入与输出有所差异。
在通常情况下进行风险评估的输入为待评估的信息系统。风险评估的输出为信息系统的风险列表。风险评估的过程包括:通过对信息系统的调查,明确信息系统重要资产,通过对重要资产所面临的威胁、具有的脆弱性以及威胁利用脆弱性产生风险的可能性等因素进行分析,最后得出信息系统所面临的风险列表。
在等级保护制度下进行风险评估,其输入为进行业务信息划分与等级确定的信息系统。风险评估的输出是为对信息系统安全管理基本要求和信息系统通用基本要求进行调整,根据风险评估情况增强部分安全要求、降低另一部分的安全要求、或补充某些部分安全要求。风险评估的过程包括:对信息系统在安全管理方面的脆弱性进行分析与评估,根据评估结果对信息系统的安全管理基本要求进行调整,得出信息系统安全管理要求;对信息系统在物理环境与网络方面存在的威胁、脆弱性、威胁利用脆弱性产生风险的可能性、安全控制对风险产生的影响情况的调节等方面进行分析,对信息系统通用安全要求进行调整,得出信息系统通用安全要求;通过对各个业务应用系统在主机、应用和数据方面的威胁、脆弱性以及威胁利用脆弱性产生风险的可能性、已有安全控制对风险产生的影响情况的调节等方面进行分析,对业务子系统的信息安全基本要求和服务保证基本要求进行调整,得出业务子系统的安全要求。
在等级保护环境下进行风险评估,需要对信息系统在安全管理、物理环境与网络、各个业务应用系统在主机、应用和数据方面的威胁和脆弱性以及威胁利用脆弱性产生风险的可能性以及已有安全控制措施对风险产生的影响情况进行调节等方面进行分析,以及对系统的基本安全要求进行调整。其等级保护下的风险评估流程见图2。
(责任编辑:adminadmin2008)
