就像做投資一樣,信息網絡也存在風險,如果不瞭解信息網絡風險並加以控制或解決的話,網絡的安全就無法保證,各種的信息也許就會毫無保障,網絡世界會紊亂無章。對於信息網絡,萬方安全認爲,我們要對其進行一個風險的評估,然後再找方法去解決,盡最大的力度去減少風險所帶來的威脅或損失。
信息安全風險評估是進行量化評估一件事情給人們的生活、生命、財產等各個方面造成的影響和損失的可能性的工作,而信息系統的信息安全風險評估是指確定在計算機系統和網絡中每一種資源缺失或遭到破壞對整個系統造成的預計損失數量,是對信息資產威脅、脆弱點以及由此帶來的風險大小的評估。
一、信息安全風險評估過程
信息安全風險評估的過程是一個動態循環的過程,對信息安全風險評估的結果起着重要的作用。信息安全風險評估過程就是在評估標準的指導下,綜合利用相關評估技術、評估方法、評估工具,針對信息系統展開全方位的評估工作的完整歷程。
信息安全風險評估具體評估過程如下:
1.要確定保護的對象(或者資產)是什麼,即確定資產
安全評估的第一步是確定信息系統的資產,並明確資產的價值,資產的價值是由對組織、合作伙伴、供應商、客戶和其他利益相關方在安全事件中對完整性、可用性和保密性的影響來衡量的。資產的範圍很廣,一切需要加以保護的東西都算作資產,包括:軟件資產、信息資產、紙庚文件、公司形象和聲譽、人員、物理資產、服務等。資產的評估應當從關鍵業務開始,最終覆蓋所有的關鍵資產。
- 脆弱性和威脅分析
對資產進行細緻周密的分析,確定要保護的資產存在哪些威脅,導致威脅的問題所在,發現它的脆弱點及由脆弱點所引發的威脅,統計分析發生概率、被利用後所造成的損失等。
- 制定及評估控制措施
在分析各種威脅及它們發生可能性基礎上,研究消除、轉移、減輕威脅風險的手段。這一階段不需要做出什麼決策,重要是要考慮可以採用的各種安全防範措施和它們的實施成本。
制定出的控制措施應當全面,在有針對性的同時,要考慮、系統地、根本性的解決方法,爲下一階段的決策作充足的準備,同時將風險和措施文檔化。
- 決策
這一階段包括評估影響,排列風險,制定決策。應當從3個方面來考慮最終的決策:避免風險、接受風險、轉移風險。對安全風險決策後,明確信息系統所要接受的殘餘風險。在分析和決策過程中,要儘可能多地讓更多的人蔘與進來,從管理罩的代表到業務部門的主管,從技術人員到非技術人員。採取安全措施將風險帶來的損失降低到最低程度
- 溝通與交流
由上一階段所做出的決策,必須經過領導層的簽字和批准,並與各方面就決策結論進行溝通。這是很重要的一個過程,溝通能確保所有人員對風險有清醒地認識,並有可能在發現一些以前沒有注意到的脆弱點。
- 監督實施
最後的步驟是安全措施的實施。實施過程要始終在監督下進行,以確保決策能夠貫第穿於工作之中。在實施的同時,要密切注意和分析新的威脅並對控制措施進行必要的修改。
二、信息安全風險評估方法
當發現一件事情可能帶有的風險之後,我們就要去運用一些方法去找出以及評估這些風險了,在評估過程中使用何種方法對評估的有效性同樣佔有舉足輕重的地位。信息安全風險評估的方法有很多種但無論是何種方法,共同的目標都是找出組織信息資產面臨的風險及其影響,以及目前安全水平與組織安全需求之間的差距。
首先,先說一下可分爲三大類的信息安全風險評估方法:定性的信息安全風險評估方法、定量的信息安全風險評估方法、定性與定量相結合的評估方法。
1.定性評估方法
定性評估方法的優點是避免了定量方法的缺點,可以挖掘出一些蘊藏很深的思想,使評估的結論更全面、更深刻;但它的主觀性很強,對評估者本身的要求很高。
定性的評估方法主要根據研究者的經驗、知識、政策走向、歷史教訓及特殊變例等非量化資料對系統風險狀況做出判斷的過程。它主要以與調查對象的深入訪談做出個案記錄爲基本資料,之後通過一個理論推導演繹的分析框架,對資料進行編碼整理,在此基礎上做出調查結論。
定性分析方法主要有邏輯分析法、德爾斐法、因素分析法、歷史比較法。
2.定量評估方法
定量的評估方法是指運用數量指標來對風險進行評估。
定量的評估方法的優點是用直觀的數據來表述評估的結果,看起來比較客觀,而且一目瞭然,定量分析方法的採用,可以使研究結果更嚴密,更科學,更深刻。有時,一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的;但常常爲了量化,使本來比較複雜的事物簡單化、模糊化了,有的風險因素被量化以後還可能被誤解和曲解。
定量分析方法主要有等風險圖法、決策樹法、因子分析法、時序模墅、迴歸模型、聚類分析法等。
- 定性與定量相結合的綜合評估方法
系統信息安全風險評估是一個複雜的過程,需要考慮的因素很多,有些評估要素是可以用量化的形式來表達,而對有些要素的量化又是很因難甚至是不可能的,所以不主張在信息安全風險評估過程中一昧地追求量化,也不認爲一切都是量化的信息安全風險評估過程是科學、準確的。
定量分析是定性分析的基礎和前提,定性分析應建立在定量分析的基礎上才能揭示客觀事物的內在規律。定性分析則是靈魂,是彤成概念、觀點,做出判斷,得出結論所必須依靠的,在複雜的信息系統信息安全風險評估過程中,不能將定性分析和定量分析兩種方法簡單的割裂開來。而是應該將這兩種方法融合起來,採用綜合的評估方法。
其次,再來說說典型的信息安全風險評估方法
在信息系統信息安全風險評估過程中,層次分析法經常被用到,它是一種綜合的評佑方法,這是一種定性與定量相結合的多目標決策分析方法,其核心是將決策者的經驗判斷給予量化,從而爲決策者提供定量形式的決策依據。該方法對系統進行分層次、擬定量、規範化處理,在評估過程中經歷系統分解、安全性判斷和綜合判斷三個階段。
基本步驟爲:
(1)系統分解,建立層次結構模型;
(2)構造判斷矩陣,通過單層次計算進行安全性判斷;
(3)層次總排序,完成綜合判。
在信息安全風險評估過程中選擇合適的信息安全風險評估方法可以得到最好的評估結果使得整個信息安全風險評估得到最好的解決方案是我們所追求的的目標,因此要對每一種的評估方法都要去了解去熟悉然後拿去應用,這纔是我們學習的一個目標。
以上就是萬方安全對於信息系統的風險評估過程與評估方法的詳細分析,如果你想跟我們萬方進行交流或有這方面的業務,可以隨時聯繫我們。