基于IT基础设施的风险分析方法研究.pdfVIP

基于IT基础设施的风险分析方法研究 于新斋 山东新潮信息技术有限公司 山东 青岛 266061 【摘 要 】本文从石化行业信息安全保障的角度 ，结合国家~GB／T-20984信息安全技术信息安全风险评估规范》，采用矩阵法计算风险， 总结出lT基础设施 的风险分析方法。通过对IT基础设施面临的威胁和 自身的脆弱性进行完备而详细的识别与分析，综合分析风险发生后 的影响范围及所作用资产受侵害程度，判断风险对组织的影响，从而从主机、网络设备及安全设备等方面评价lT基础设施的安全状况，为 lT基础设施的风险评估和安全保障提供支持和决策依据。 【关键词 】IT基础设施 信息安全 风险分析 风险评估 矩阵法 中图分类号：G30文献标识码：A文章编号：1009．4067(2011)09．17．O3 1．引言 性识别中最为困难的部分。不正确的、起不到应有作用的或没有 随着信息技术 的飞速发展，我国石化行业 的各项工作与信息 正确实施的安全措施本身就可能是一个脆弱性。 化的结合越来越紧密，网络与信息系统对石化行业各项工作的支 风险是人为或自然的威胁利用信息系统及其管理体系中存在 撑作用越来越大，信息安全问题愈发重要和突出。为保证网络与 的脆弱性导致安全事件的发生及其对组织造成的影响。 信息系统的安全和持续可用，必须首先了解 目前网络与信息系统 风险分析就是从风险管理角度，运用科学的方法和手段，系统 的安全现状，了解存在的漏洞、面临的威胁和风险，从而保障各项 地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件 业务的正常开展。 一 旦发生可能造成的危害程度。 本文中所指的 “风险分析”，其含义均为 “信息安全风险分析 。 3．行业现状 2．风险分析相关术语和定义 作为中国经济支柱产业的骨干企业 ，石化企业为了加快与国 IT基础设施包括计算机软件、硬件、通信设备等，这些设施共 际经济接轨，提升参与国际竞争的实力，把信息化建设作为提升整 同支撑 了网络与信息系统的 日常运行，例如操作系统、数据库、主 体管理水平和企业核心竞争力的重要手段。石化企业信息化工作 机、网络设备、安全设备等。 的基础建设均 以完成 ，根据((中国石油化工股份有限公司信息系 矩阵法是通过构造一个二维矩阵，矩阵内各个要素的值根据 统风险评估管理办法》的要求及石化企业的实际需求，许多石化 具体情况和函数递增情况采用数学方法确定，然后将两个元素的 企业针对网络与信息系统进行风险评估工作。 值在矩阵中进行比对，行列交叉处即为所确定的计算结果。 石化企业IT基础设施多、区域分布广、网络系统复杂以及海量 资产是对组织具有价值 的信息或资源 ，是安全策略保护 的对 生产数据等都是目前评估工作中的难点，其中IT基础设施由于涉及 象，构成整个系统的各种元素的组合，它直接的表现了这个系统的 面广、资产数量大，基于业务的信息资产评估流程不适合海量资产 业务或任务的重要性，这种重要性进而转化为资产应具有的保护 的风险分析，所以针对常用的风险分析方法结合海量IT基础设施资 价值。本文的资产，等同于为IT基础设施。 产的现状，总结出以下抽样关键资产的矩阵法风险分析模型。 威胁是可能导致对系统或组织危害的不希望事故潜在起 4．风险分析方法 因。威胁可以通过威胁主体，资源、动机、途径等多种属性来描 风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要 述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动 素有各 自的属性，资产的属性是资产价值，威胁的属性是影响对 机 ，人为因素又可分为恶意和非恶意两种。环境 因素包括 自然界 象、出现频率等；脆弱性的属性是其被利用的难易程度 。风险分析 不可抗 的因素