为了更加全面了解电子政务系统当前网络和信息系统的安全状况,分析系统所面临的各种风险,发现系统存在的安全问题、缺陷,并对严重的问题提出相应的风险控制策略和解决方法,做好信息安全风险评估工作,是必须的也是必要的。在信息系统安全风险评估业务过程中,第四项工作通常是脆弱性评估。在《信息安全风险评估指南》给出了风险计算公式:风险值=R (A,T,V)=R IL(T,V),F(ja,Va)],式中参数V表示脆弱性、Ia表示脆弱性严重程度,由此可见,脆弱性评估在整个信息系统安全风险评估的重要性。因此,做好资产的脆弱性分析才能打好信息安全风险评估正确结论的基础。一、脆弱性评估概述脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。
网站建设哪家好,找成都创新互联!专注于网页设计、网站建设、微信开发、微信小程序、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了江城免费建站欢迎大家使用!
在风险的评估与评价阶段,项目团队的成员应把绝大部分精力投入到风险项的识别和级别定义,除了依赖于执行者的信息安全评估的经验外,使用有效的方法论和工具方法对于提升执行效率和准确性也具有非常重要的意义。
1、建立有效的风险分析模型
在风险评估过程中,atsec所使用的风险分析模型会包括多个层面,以更有效地进行风险评价。模型方法如下: 风险发生的可能性 初步的控制措施 风险发生对客户业务的影响 风险发生对客户品牌的影响 风险发生对客户收益的影响 对于具体的分析过程,由评估人员基于访谈情况、渗透情况以及相关的信息输入,从品牌、收益和客户三方面的影响进行展开。每一选项的赋值基于方法论中的准则进行确定,下图为整个风险评估过程中,对数据库和应用系统存在威胁的评定示例:
2、使用半定量化的风险计算方法
因威胁本身具有不断变化和难以测量的性质,推荐明智地使用半定量化的测试方法。在具体的执行过程中,atsec的做法是通过对每个威胁的评估结果给出半定量的评级,并进一步通过风险计算方法使最终的评估结果更精确。因篇幅原因,在此不展开具体的风险计算方法。
3、使用自动化的风险计算工具
基于风险评估在执行过程中,atsec使用自有开发的计算工具,以最大程度上节省风险计算所占用的工作量。
4、最大限度地使用辅助工具
在对技术类威胁的评估过程中,如关键帐号和口令安全性,通过管理访谈方法通常难以做出准确的判断。atsec则会在类似的过程中尽最大限度地使用各种辅助工具和手段,比如密码安全性验证、服务器的技术漏洞等。
信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。
信息安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。目前,国内政府和企业中信息安全建设多处在较初级的阶段,缺乏信息安全的合理规划,也普遍缺乏相应的安全管理机制,这些问题受到整体管理水平和信息化水平的限制。
服务作用介绍
在短期内很难根本改变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系,一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时,给用户造成了很大的迷茫。
很多用户购买安全服务的直接动机是应付当前的安全事件、满足管理层的意志或减轻来自内外的舆论压力,服务形式内容和现实需求之间存在较大落差。必须承认当前信息安全服务对用户的帮助主要在技术方面,对管理的影响是有限的。
用户普遍遇到的最大问题是自身资源不足,实际是“安全管理员”的缺位,其次是对基本管理体系探索的需求。从用户的角度来看,信息安全服务能带来的实际好处包括:弥补用户人力的不足,弥补用户技术的不足,弥补用户信息的不足,弥补用户管理思想的不足。
这些服务内容主要通过服务团队特别是一线人员传递到用户的手中,服务人员的技术技能和态度将直接决定用户的收益。
信息安全风险评估业界主要有定性和定量的两类方法,有些偏重资产评价,有些偏重合规评价,有些偏重风险及影响评价,目前知道的企业做信息安全比较好的就是谷安天下了,他们有专业的团队,经验都挺丰富的。
