信息化建设中的安全预算与风险评估.docx

信息化建设中的安全预算与风险评估【篇一】风险评估是发现薄弱环节的基本方法，不仅需在系统建设之前进行，更要贯彻在信息系统从设计到运行乃至到报废的整个生命周期之中。信息安全风险评估是建立信息安全体系的基础，是信息系统安全工程的一个关键组成部分。一个涉密网络中安装了某种（或几种）安全设备（如病毒 防护、防火墙、入侵检测、身份认证或安全审计等等）或者 制定了某项或多项）管理规章制度之后，这个网络的安全性 （机密性、完整性和可用性）达到了怎样的程度？解决多少安 全问题，遗留了多少尚未解决的安全问题？将来还有可能、 最可能发生哪些问题？ 这些问题都可以通过风险评估加以回答。大家知道。安 全保密建设要做到有的放矢，第一步就是要准确定位信息系 统的薄弱环节，然后才能采取有针对性的措施。信息安全风险是指信息系统由于本身存在安全弱点，在人 为或自然的威胁下可能发生安全事件的可能性。安全风险由安 全事件发生的可能性和事件所造成的影响这两种指标来综合衡 量。信息安全管理中每个环节都可能导致不同程度的安全风险。【篇二】该如何应对信息安全风险呢？应该从以下几方面着手:第一，应建立信息安全风险的应对战略和政策。我们应该明确政府的角色，强化信息安全风险管理的责任；第二，建立和发展信息安全风险管理的文化；第三，做好国家信息安全的薄弱环节识别，减少信息化系统的问题；第四，通过有效的教育和培训，提高和强化整个社会的信息安全风险管理和安全意识能力；第五，强化信息化相关的立法，建立有效的管理机制，以防止和化解信息安全风险；第六，建立健全国家信息化的技术安全平台，通过安全技术保障信息系统的安全。信息安全应该是管理和技术并重才行。以前说七分管理，三分技术。有管理，没有一定的技术支持肯定是不行的，但光有技术，管理不到位肯定也是不行的; 第七，采取有效的措施，确保敏感信息和国家重要信息基础设施的安全；第八，保障政府系统的安全。这是非常重要的，在2001年中美黑客大战中，70%80%被“黑”的网站是政府网站；第九，建立国家网络空间安全的危机管理系统；第十，通过信息的共享和广泛的合作，化解信息安全风险。 要应对安全风险，首先要确切掌握网络和信息系统的安全程度，分析安全威胁来自何方，安全风险有多大，风险评估就是解决这一问题的重要方法和基础性工作。 系统的安全性可以通过风险大小来衡量，科学地分析系统的保密性、完整性、程序性方面面临的问题，发现危险的主要位置，就能在风险的预防、减少、转移、补偿和分散上做出决策，最大限度地控制和化解安全风险。实际上，我们都知道安全和效率是互相矛盾的，如何在安全和效率之间进行平衡，这是风险评估中一个非常重要的内容。 网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。【篇三】我国信息化建设的不断加速，政府、企业、学校、医院等各类组织都在积极运用IT带来的种种好处，随着各部门对信息系统不断增长的依赖性，信息系统的脆弱性日益暴露，安全问题凸现出来。各类组织对于安全问题都表现出前所未有的关注，安全预算也逐年提高，如何通过有效的手段，保证有限的安全预算发挥出最大的效果，以保证组织的信息安全，本文期待和读者一同讨论。一、 如何看待信息化建设中的安全预算安全预算是组织为保护其信息资产，保证自身可持续发展而投入的资金，是组织的一种预防行为。安全预算多少合适，是不是投入得太多了？为什么投入大量资金，还是出现安全事故？每年到了年终各个组织的CIO、CSO都忙着计算安全投入的回报如何。虽然，在信息化进程中，安全问题越来越受到关注，但是信息安全事件仍然是呈现递增的趋势。从安全预算的角度究其原因：一是预算不足；二是预算不到位。在国外，安全投入占企业基础投入的5%20%，而在中国却很少超过2%。从风险的角度看，就是要平衡成本与风险之间的关系，用一百万美金保护三十万的资产，显然是不可接受的，但是如果资产的价值超过了一千万美金，那效益就显而易见了。经常会看到有关CIO难当的一些文章，目前用一个量化的方法来计算信息化建设对于组织战略发展的贡献确实比较难。一年下来，组织并没有发生重大的信息安全事件，年初的安全预算可能就会被质疑投入太多了；如果发生了不可接受的安全事件，那就成了CIO的责任。安全预算到底够不够？我们可以通过宏观的情况来分析一下风险与成本的关系，每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算，我国也有数百亿美元的经济损失，然而安全方面的投入却不超过几十亿美元。由此可以看出，我国整体信息化建设，安全预算不足。风险是安全事件发生的可能性和影响程度的函数，单一的个体没有发生安全事件，并不能直接推理得出其安全预算是科学的合理的。在目前的情况下，一般组织的安全预算在信息化过程中仍显不足。组织可能在安全方面投入了很多，但是仍然发生不可接受的信息安全事故。信息安全理论中有名的木桶理论，很好的解释了这种现象。组织在信息安全方面的预算不够系统而导致了ROI不成比例。很多组织每年在安全产品上投入大量资金，但是却不关注内部人员的考察、安全产品有效性的审核等安全要素。缺乏系统的、科学的管理体系的支持，是导致这种结果产生的原因。二、 制定科学的安全预算信息安全的预算如何制定？这个问题或许对于很多企业的高层管理者来说都比较头疼。其实要解决的就是预算多少和怎么用的问题。说安全预算难做，一是因为信息安全涉及到很多方面的问题，例如：人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。组织的目的是要保护其信息和信息资产的安全，那么安全预算是否合理，应该关注以下几个方面：1、是否平衡了成本与风险的关系；2、是否真正用于降低或者消除信息安全风险，而不是引入了新的不可接受风险；3、被关注的风险是否具有较高的优先等级（因为组织不可能完全避免安全风险）；信息安全风险评估恰恰很好的解决了以上的问题，组织通过制定科学的风险评估方法、程序，对于那些为达成组织战略目标起到关键作用的信息和信息资产进行评估，最终得出这些关键信息及信息资产所面临的风险，然后针对不同风险制定相应的处理计划，提出所需要的资源，从而使风险评估辅助安全预算的制定。三、风险评估过程目前国际和国内都有一些比较成熟的风险评估标准及指南，如BS 7799,ISO 13335,OCTAVE方法，NIST SP800-30等。对于风险评估过程的描述不尽相同，通常包括下述几个过程：1、 确定评估的范围、目的、评估组、评估方法等；2、 识别评估范围内的信息资产；3、 识别对于这些资产的威胁；4、 识别可能利用这些威胁的薄弱点；5、 识别信息资产的损失给组织带来的影响；6、 识别威胁时间发生的可能性；7、 根据影响及可能性计算风险；8、 确定风险等级及可接受风险的等级；我们假设评估的目的之一是为了制定科学的安全预算，那么在整个风险评估的过程中，组织就应该考虑风险评估过程应该输出那些必要的信息，信息的表示方式如何等问题。例如，风险评估的方法，如果采用简单的评估方法，其输出的结果往往不够细致，进而不能很好的辅助制定预算的决策过程。从整个评估的过程看，组织应该考虑以下几方面的问题：1、风险评估过程中的各类角色风险评估过程中，通常需要来自业务部门和技术部门及管理层的人员共同组成风险评估小组。考虑到风险评估的结果需要为制定安全预算提供信息输入，那么在整个风险评估的过程中，都应该考虑到组织内部对制定预算起到关键作用的管理层人员的加入。一方面能够使其全面了解到评估过程；一方面可以很好的将评估的结果及预算的结果与管理层进行沟通。2、风险评估方法及所涉及的判定准则风险评估通常采用定性和定量的分析方法。组织需要更多地考虑如何量化一些关键指标，作为风险评估过程中各个因素评价的判定准则。这样的准则更有利于关注风险与控制成本之间的关系，也更利于各部门横向沟通，及与管理层的纵向沟通。3、系统的考虑导致风险的威胁及薄弱点组织在进行风险评估时，应该系统的考虑来自各个方面的威胁。目前，仍然有很多组织对于风险评估的理解还停留在技术关注的层面，这样的风险评估显然是不够的。国际标准ISO/IEC 17799信息技术信息安全管理实施细则，给出了信息安全的十大管控内容，127项控制点。组织可以参照此标准所提及的各类控制点，对比其信息及信息资产是否存在相应的薄弱点。这样的评估结果才能全面反映组织所面临的各类风险，使所选择的控制更加系统全面。4、选择适当的控制措施针对风险评估所产生的不可接受风险，组织应该采取一定的控制措施，对风险进行处理。风险的处理方式通常包括：降低风险、转移风险、避免风险、接受风险。同一风险的处理方式可能不同，同样的处理方式所采取的控制措施也可能不同。组织应该考虑来自管理和技术两方面的控制措施。而这样的控制措施并非一定要将风险完全规避，而是要降低到一个组织可以接受的水平。另外控制措施的选择也要考虑到成本的问题。四、风险评估在系统生命周期不同阶段的应用风险评估不仅仅可以在每个财政年度为组织的安全预算提供辅助的支持，并且在信息化的过程中，信息系统建设生命周期的不同阶段都可以对项目的安全预算提供支持。在不同的阶段，风险评估所表现出的价值是不同的，组织可以跟据不同阶段的关注点（见表2），更多的考虑安全预算的投入方向，解决系统生命周期不同阶段，对于安全的不同要求。生命周期阶段 阶段特征 来自风险评估活动的支持阶段1规划和启动 提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段2设计开发或采购 信息系统设计、购买、开发或建造。 在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段3集成实现 信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。阶段4运行和维护 信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略或流程等。 当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对其进行风险评估活动，保证信息安全。阶段5废弃 本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级处理。 当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。组织不需要部署所有的安全产品，也没有必要追求风险最小化。没有任何一套安全方案可以完全保证信息的安全，通过风险评估，了解安全要求，认知安全风险，采取安全控制，才能有效地保证安全预算与风险的平衡，系统地保证组织的信息安全，使信息化建设的投入为组织战略目标的达成做出贡献。