论文导读:[概述]:随着企业网络的不断扩大,越来越多的安全威胁在影响着企业的安全状况,近两年,熊猫烧香、conficter蠕虫,都给企业带来了大量的安全损失,然而,解决企业的信息安全问题,不能单独从某一个方面入手,最好的解决方案应该是从整体上降低信息安全风险。国际上传统的风险管理流程较为概略,在中国特有的网络环境中也比较缺乏可实施性,本文将会针对中国IT环境的建设过程,遵循一定信息安全系统建设规律,考虑到各个信息安全产品之间的整合和联动,形成一个完善的动态信息安全风险管理体系,让国际标准在中国的IT环境中得以实现。传统的信息安全建设网网局限于防御系统的建设,企业不断的在投入资金,购买各种各样的硬件设备和软件系统,主要的功能集中在抵御各类安全威胁,其中包括:终端防病毒系统、终端安全管理系统、防火墙、入侵防御设备、Web防护类设备,入侵检测等等。采用这样的信息安全产品能够取得一些效果,但是往往造成信息安全系统比较被动,不能够主动的发现安全风险,及时的降低安全风险。也就是说,只有企业具有了信息化的核心资产(比如有很重要的数据保存在服务器上),这些资产存在弱点和漏洞(比如微软操作系统的漏洞),又存在被损害的可能(比如病毒、黑客攻击等等),才可能给企业造成损失。更加不可能实现多安全风险的准确评估和动态管理。
关键词:安全风险管理,风险,弱点,评估,管理,信息安全
[概述]: 随着企业网络的不断扩大,越来越多的安全威胁在影响着企业的安全状况,近两年,熊猫烧香、conficter蠕虫,都给企业带来了大量的安全损失,然而,解决企业的信息安全问题,不能单独从某一个方面入手,最好的解决方案应该是从整体上降低信息安全风险。
国际上传统的风险管理流程较为概略,在中国特有的网络环境中也比较缺乏可实施性,本文将会针对中国IT环境的建设过程,遵循一定信息安全系统建设规律,考虑到各个信息安全产品之间的整合和联动,形成一个完善的动态信息安全风险管理体系,让国际标准在中国的IT环境中得以实现。
1.IT系统信息安全建设的现状
传统的信息安全建设网网局限于防御系统的建设,企业不断的在投入资金,购买各种各样的硬件设备和软件系统,主要的功能集中在抵御各类安全威胁,其中包括:终端防病毒系统、终端安全管理系统、防火墙、入侵防御设备、Web防护类设备,入侵检测等等。采用这样的信息安全产品能够取得一些效果,但是往往造成信息安全系统比较被动,不能够主动的发现安全风险,及时的降低安全风险。
(1)经常采用的信息安全产品我们在信息安全建设的初级阶段,经常采购的信息安全产品包括:
l防病毒:在终端部署的企业防病毒产品,检测和查杀各类病毒;
l防火墙(Firewall):访问控制设备,帮助建立基本的企业网络安全边界;
lWeb Cache设备:部署在外部网络,实现对网络访问的缓存,提升访问速度;
l负载均衡:对网络访问性能进行调控,保证网络负载均衡;
l邮件安全网关:实时检测和过滤各类病毒邮件及垃圾邮件;
l入侵检测和防御系统:检测网络数据,对网络内部的各类攻击行为进行报警;
部署的安全设备能够起到一定的安全防护功能,但是随着安全威胁的不断变化和发展,现有的安全机制已经难以满足目前的信息安全需求,我们需要主动地控制安全风险,才能够在不断复杂的安全环境中确保企业网络的安全。发表论文。
(2)普遍意义上的安全风险管理信息安全风险管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效评估、分析、控制和管理。在ISO标准当中,已经给出了一个非常经典的安全风险模型,如下图:
也就是说,只有企业具有了信息化的核心资产(比如有很重要的数据保存在服务器上),这些资产存在弱点和漏洞(比如微软操作系统的漏洞),又存在被损害的可能(比如病毒、黑客攻击等等),才可能给企业造成损失。因此,企业的安全风险和这三个方面相关,企业也只有同时管理好这三个方面,才可能真正的确保网络安全。
而传统的安全产品(如前所述),只是去抵御安全威胁,却忽视了资产的重要性和对漏洞的管理。发表论文。更加不可能实现多安全风险的准确评估和动态管理。
(3)风险管理流程既然要降低安全风险,我们就需要一个成熟的流程来对信息安全风险进行管理和控制,一般的安全风险管理流程如下:
l 识别风险:准确识别网络中存在的安全风险;
l分析风险:通过定性或者定量的方法确定现存的安全风险是否需要消除;
l消除风险:通过有效的手段降低安全风险;
l监控风险:监控安全风险的变化,做到对风险的动态管理。发表论文。
(4)安全风险管理的问题传统的安全产品,如IDS,防病毒系统等只是在被动的抵御或检测安全威胁,缺乏主动的防护措施和手段;而要实现主动的信息安全管理,则需要对企业整体的安全风险进行监控和管理,但在执行过程中,存在如下问题:
l没有技术手段实现对安全风险的全面的监控;
l消除信息安全风险的手段不明确;
l缺乏详细的可实施的信息安全风险管理流程,能够结合所有的信息安全产品,从而实现全面的安全风险管理。
2.动态安全风险管理体系
基于国际信息安全标准,结合中国IT环境的特点,我们应该首先明确安全风险的三个重要方面及控制手段,有计划有步骤的加强整个信息安全体系的建设,才有可能最终实现完善的风险管理系统。
(1)可实施的安全风险管理理论根据安全风险的特点和三个关键要素,我们可以针对信息安全风险形成更具可实施性的安全风险管理方法论,其核心思路是根据企业的基础环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御安全威胁,最终主动的降低整体安全风险。
要实现对安全风险的管理和控制,需要实现完整的风险管理流程:
l发现安全风险:通过有效的手段,确定存在安全风险的资产和区域,定位安全风险存在的区域;
l评估安全风险:准确高效的评估安全风险,了解安全风险的大小和实质;
l强制措施降低风险:通过管理或强制等安全手段,主动地降低安全风险;
l安全防御:通过各类系统、网络安全设备,防御各类安全威胁;
l修补:主动修补存在的各类漏洞,全面降低安全风险。
综上所述,通过完整的安全风险管理流程,对整个网络的安全风险实现全面的管理和控制,5个步骤缺一不可,同时,风险管理流程根据企业的具体情况,可以有不同的实现方式,最终实现:
l始终遵守确定的安全政策;
l基于风险管理,整合网内现有的安全防护产品;
l通过全面的实时防护产品更好的检测并阻止安全威胁;
(2) 实现安全风险管理的详细步骤:1——确立安全标准和方针;
2——统计信息资产;
3——整合并确认资产的商业价值;
4——检测资产存在的安全漏洞;
5——了解存在的潜在威胁;
6——分析存在的安全风险;
7——通过安全防御产品实时阻断安全威胁;
8——强制安全策略并应用补救措施;
9——评估安全效果和影响;
10——针对已有策略进行比对。
综上所述,传统的安全产品(防病毒、防火墙等),只是去抵御安全威胁,却忽视了对整体安全风险的考虑,而整合的安全风险管理体系考虑到了可能影响企业安全风险的三个关键要素,并且可以结合现有的安全产品,通过完善安全风险管理流程帮助企业实时的控制整体安全风险,真正的解决安全问题。
(3)安全风险管理体系的建设步骤要实现完善的安全风险管理,我们需要有计划有步骤的完善自身的安全风险管理体系,并且制定相应的安全策略,做到有的放矢。企业在构建安全风险管理体系的时候,有一个基本次序:
l 首先,构建完善的终端安全体系,因为终端安全是基础,任何安全威胁最终影响到的都是终端系统,同时,终端面对的病毒等威胁数量最多;
l 其次,是构建完善的网络防护体系,如防火墙、入侵防护系统、垃圾邮件过滤系统等,从网络层面第一时间抵御安全威胁,同时,还要防御各类终端难以防御的网络攻击行为;
l 最后,当已经建立了高效的防护体系之后,需要建立全面的资产管理和风险管理体系,整合现有的安全设备和手段,形成成熟完备的动态安全风险管理体系。
[参考文献]:
BS7799、ISO27001、
|
