实施信息安全技术风险评估,预防网络与信息安全事 件的发生 张曙云 湖北省电子信息产品质量监督检验院 湖北 武汉45 006 【摘 要】在网络信息时代,网络空间成为}.YFI工作、学习、生活、交流信息不可缺失的平台。为有效预防黑客攻击,机密泄露,个人信息 被窃取盗用,我们应该采取相应的预防措施,开展信息安全风险评估,对潜在威胁、薄弱环节、防护措施等进行分析,以预防、减少网络与 信息安全事件的发生。避免造成危害。 【关键词】网络信息安全 风险评估 潜在威胁 中图分类号:TP393.0文献标识码:B文章编号:1009-4067(2012)1l-72—02 Implementation of Information Security Risk Assessment Prevention of network&Information Security ev ̄ts Hubei Provincial Electronic Information Product Quality Supervision and Inspection Institute ZHANG Shuyun Wuhan 45006 1 【Abstract】In the era of network information,network fs gradually becoming the necessary platform to work,study,live and communicate.In order to prevent hacker attacking,secrets disclosing and unauthorized use of persona]information,relevant protective measures concerning implementation 0f information security risk &K ̄essment should be adopted tO analyze the potential threat.weakness and preventive measures SO as to prevent the Occurrence of network and information security events. 【Key Words】network and information security;risk assessment;potential threat 1、引言 当前,我国非常重视网络与信息安全工作,将网络与信息安全 定为是国家应急管理工作的重要组成部分,不仅要保护网络本身 的安全,也要应对不良信息引发的社会安全事件。由于操作系统 存在安全缺陷,信息系统、服务器、网络设备存在风险漏洞,人员违 法、违规、误操作和管理漏洞等,对网络系统安全存在潜在威胁。境 内外敌对势力和不法分子利用各种手段,对国家重要信息交 换平台、工业制造等进行网络攻击破坏,造成信息安全事件屡屡 发生,网络与信息系统安全态势严峻。国家明确要求做好信息安 全检查,其中积极开展信息安全技术信息安全风险评估,就是加 强风险管理的一个有效预防措施,用以排除或抑制威胁等可利用 的脆弱性,其评估结果,可帮助客户确定该IT产品或系统对他们的 预期应用是否足够安全,是否可容忍。 风险评估(Risk Assessment):就是从风险管理角度,网络把计 算机变成网络中的一个组成部分,运用科学的方法和手段,系统 地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安 全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁 的防护对策和整改措施。并为防范和化解信息安全风险,或将风 险控制在可接受的水平,从而最大限度地为保障网络和信息安全 提供科学依据。 2、开展信息安全风险评估的必要性和重要性 信息安全风险评估,是建立信息安全保障机制中的一种科学 方法。 作为服务于人类社会发展、经济繁荣、科学交流、文化兴旺、生 活富裕的重要的基础设施,支撑应用信息集合和治理的基础环境 的网络信息空间,由于信息系统可能存在漏洞,新增病毒的样本 数也会不断翻新,且入侵攻击能力逐年增强,网络黑客活动日益 猖獗,网络犯罪案件数节节攀升。 2.1从国际网络空间看信息安全势态的严重性 曾引起全世界的震惊的“维基解密”事件,即大量密文,如美伊 战争密文、美军驻阿密文、美使馆外交电文等被解密,并通过“维基 解密”网站公开,号称网络91 1事件。由黑客人侵“索尼公司”云游戏 平台(PSN),造成约7000万人隐私泄露的“索尼公司”重大隐私泄露 事件。美国纳斯达克证券交易所电脑系统,曾被发现在安插了恶 意软件等等,造成的巨大损失。据美国FBI统计,美国每年因网络安 全造成的损失高达75亿美元。 2.2我国网络信息安全态势面临严峻挑战 在信息化快速发展的今天,信息系统网络应用在我国国民经 济和社会发展中的基础性、全局性和战略性的作用更显突出。 方面,情报窃密活动呈现出一些新的态势和特点。如针对党 政机关和涉密单位的攻击窃密活动明显增多。另一方面,秘密存载 和运行方式发生深刻变化;、经济、文化、社会和国防对信息网 络的依赖程度日益增长;网络数据处理、传输、应用等泄密隐患和 漏洞可能无处不在。特别是,敌对势力不法分子和组织对我国网络 攻击与日俱增,有的组织和国家将我国作为攻防演习的对象,文件 被解密;网络钓鱼网站的攻击近期发展很快;窃取钱财和隐私等。 直到目前,相关部门的网络邮电系统频频遭受黑客攻击;敏感 信息泄露和虚假内容发布等事件多有发生。百余个案例给国家安 全造成极大损失。如何保证信息安全对我国社会稳定乃至国家安 全、济领域重要敏感信息等保密与治理提出了严峻挑战。 一3、信息安全评估的应用 3.1作用及目的 开展信息安全风险评估,分析信息系统的安全状况,全面了解和 掌握信息系统面临的安全风险,提供针对信息技术产品和系统安全 功能及其保证措施,建立一个信任级别,表明产品或系统的安全功 能及保证措施能否满足要求,提出风险控制建议,为下(下转74页) 表1 评估内容 物理安全 网络安全 机房的重 网络架构、 点IT等 网络设备 设施环境 技术层面 主机安全 应用安全 管理层面 数据安全 安全管 安全管 人员安 理机构 理制度 全管理 服务器、 应用业务 数据通信安 岗位设置、 制定发布、 人员录用、 PC终端 系统、Web 全、存储安 人员配备… 评审修订… 人员离岗… 应用 全及备份 系统建 设管理 定级、安全 方案设计… 系统运 维管理 环境管理、 资产管理… 72 中国电子商务.I 2012.11 由趋势科技专职服务人员、防毒管理员组成病毒响应小组,在 病毒爆发时,提供对整个河北移动的防毒工作进行指导和处理。 3.2.2组员职责分工 河北移动管理人员:当新病毒出现时,与趋势科技专职服务人 员进行及时沟通,获取病毒的最新情况。如果是发现新的病毒样 本,及进将病毒样本通过邮件或Web方式提交给趋势科技病毒处 理中心。获取解决方案后,监控自动部署过程,并查看更新日志以 确认是否更新成功。 趋势科技专职服务人员:病毒爆发时会及时通过手机短信、电 话 邮件发出预警信息,并递交解决方案和建议。如果远程支持不 能解决,迅速派出服务人员进行现场服务。 3.2.3应急响应处理流程 趋势科技防病毒实验室TrendLabs对最新出现的病毒事件进 行评估,确定病毒传播及危害级别,并根据病毒传播特征快速制 定病毒防御策略。 3.3.1产品使用策略 防病毒产品是病毒防护工作中的重要工具,管理是否规范、使 用是否恰当、配置是否合理对病毒防护体系的有效性会产生较大 影响。 趋势科技的病毒防护体系具有高度集中化、智能化的特点,因 此从管理角度上来讲,所有的扫描选项配置或权限设置,均由管 理员进行管理,客户端防护产品只需接收即可。 病毒大规模爆发时,控管中心要及时更新病毒防御策略,并自 动分发至所有的管理客户端,先于病毒码对病毒传播进行抑制。 在此过程中,必须保证所有的客户机均能够顺利接收该防御策 略。 管理员定期查看日志,对出现不正常病毒日志的客户端进行 确认。 趋势科技专职服务人员将该病毒最新的信息及处理方法通过 电话、邮件、短信方式迅速通知到河北移动防毒管理员及病毒响 应小组其它成员,并在所有的防病毒软件中部署趋势科技针对该 病毒制作的病毒防御策略,对病毒的传播及时进行阻断。 如在上述处理过程中,网络中的部分机器出现异常现象,首先 确定是否是最新病毒感染导致。如是,确定病毒感染源,确定是因 为病毒防御策略及病毒码没有及时更新导致,还是因为存在其它 安全漏洞引起的。最后,在趋势科技专职服务人员的指导下,利用 趋势科技发布的该病毒的清除工具,迅速将病毒清除。 防毒管理员对整个病毒事件的应急响应过程进行书面的评 估,并提交给相关领导。 3.3日常病毒防护策略 管理策略是一套切实有效的防病毒体系中的重要组成部分, 考虑到病毒的传播途径,建议河北移动使用以下防病毒产品使用 策略、邮件使用策略及密码管理策略,以增强安全性,降低病毒传 播的几率。 管理员定期使用趋势科技的扫描工具TMVS,对网络中在线 的客户机进行扫描,确认是否所有的客户机均已安装了防病毒软 件。 3.3.2密码管理策略 由于最新病毒能够用自带的密码破解工具对网络系统的弱密 码进行攻击,所以需要通过一定的管理手段使系统密码变得强 壮。规则如下:密码必须至少8个字符。密码必须包含大小写字母 和至少一个非字母字符,比如数字或标点。密码不能包含该用户 帐号名称或其任何部分。密码至少90天更改一次。相同的密码至少 在5个密码更改周期后才能被再次使用。 4、总结 通过部署网络版防毒软件,为病毒集中防护提供技术手段;通 过建立管理流程,保证防病毒系统的日常运行和病毒防护策略的 实施质量。二者完美结合,共同防护河北移动BOSS营业网络的病 毒安全。 参考文献 【1】袁忠良计算机病毒防治实用技术北京清华大学出版社2004 【2】梅筱琴计算机病毒防治与网络安全手册重庆海洋出版社2001 (上接72页)一步完善管理制度以及今后的安全建设和风险管理提供 第一手资料。 通过信息安全风险评估,避免由于信息安全事件对信息系统 的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组 织造成损失,确保系统正常运行和消除因安全事件负面影响所付 出的代价。 3.2评估的工作形式 判断风险等级的可接受或不可接受性,采取措施,进行风险控制。 5)做好风险评估记录。如评估方案、检查表、资产识别及重要 资产清单、威胁和脆弱性列表、风险评估报告和风险处理计划等。 评估后应将整个过程与细节报告给用户。 3.5采取评估消防隐患 我们通过评估,发现问题或潜在威胁,通过分析,查找产生隐 患、威胁的原因,采取措施,实施纠正或预防,如人为因素、环境设 施、技术因素、管理制度等,消除隐患,到达预防作用。 评估有自评估、检查评估两种形式。自评估:适用于对自身的信 息系统进行安全风险的识别、评价。风险评估,可委托风险评估服务 技术支持方实施,也可以自行实施。检查评估:一般是由主管机关发 起,通常是以定期的、抽样进行的评估模式,旨在检查关键领域、或关 键点的信息安全风险是否在可接受的范围内进行。建议,在不断强 调深度和严格性基础上,由专业的评估人员进行评估。 3.3评估的主要内容 信息安全风险评估,是通过对信息系统的资产、面临威胁、存 在的脆弱性、采用的安全控制措施等进行全面分析,确定信息系 统面临的安全风险,从技术和管理两个层面综合判断信息系统面 临的风险。评估至少包括以下内容(表1)。 3.4评估的实施(按程序流程实施风险评估)il习查对象 4、结束语 信息安全风险评估是信息系统安全工程的重要组成部分,是 建立信息系统安全体系的基础和前提,是信息安全保障工作的基 础性工作和重要环节,是信息安全等级保护制度建设的重要科学 方法之一,要把他作为一项工程来抓,将其贯穿于信息系统的规 划、设计、实施、运行维护以及废弃各个阶段,且风险评估需要持续 性。因为,做了风险评估,并不代表以后没有隐患了或者不存在被 人侵的可能。不管操作系统如何更新换代,总会有漏洞,也不管安 全措施多么完善,总会有黑客和病毒,而且信息系统的网络结构 和系统设置并不是一成不变的,黑客技术和攻击手段也会一直不 断发展,曾经安全的信息系统很可能会变得不堪一击。所以,重视 和加强对信息安全风险评估工作的组织领导,完善相应的评估制 度,定期组织实施信息系统安全风险评估,形成以预防为主和持 续改进的信息安全风险评估机制,才能有效防范网络与信息系统 安全事件的发生。 参考文献 [1】国信办[2006]5号文件 【2】6B/T 209 84—2007《信息安全技术信息安全风险评估规范》 [3】GB-T 18336-2008Ⅸ信息技术安全技术信息技术安全性评估准 则》 1)评估前,做好相应准备。确定评估目标、范围、组织有能力的 评估管理和实施团队,确定进行评估对象的调研,确定评估依据 和方法,编制《检查表》等,并能获得组织的最高管理者的支持,对 信息系统的规划、设计、实施、运行维护废弃等各阶段做风险评估。 2)了解、考虑各风险要素间的关系。明确业务战略级管理制 度、业务功能和要求、网络结构域网络环境,包括内外部连接、系统 边界、主要的软硬件、数据和信息、系统和数据的敏感性、支持和使 用系统的人员及其他等。 3)识别、赋值。实施资产、威胁、脆弱性识别和已有安全措施的 确认。建立资产、威胁和脆弱性关联,并给资产、威胁发生的可能性 及脆弱性严重程度赋值,通过风险计算方法,计算安全事件发生 的可能性、损失、风险值,做出风险等级判断。对已有安全措施的有 效性实施评估,看能否减低系统的脆弱性,抵御威胁。 4)对评估风险结果进行分析。按照系统的风险等级接受程度, 74 '.中国电子商务.I 2012.11 【4】赵宏宇《保障网络信息安全具有重要意义》 【5】搜狐网 作者简介 张曙云,河北,本科,湖北省电子信息产品质量监督检验院,主任,工程师, 研究方向:质量管理。
