信息安全管理中态势分析初探.doc

信息安全管理中态势分析初探 摘要 本文将讨论目前企业信息安全管理当中风险分析的方法，并且讨论这些方法的不足之处，从而提出信息安全管理的态势分析。文中从宏观和微观两个层面讨论了信息安全管理中态势分析的应用，对于安全风险管理提出一些指导性的建议。 信息安全管理 信息技术已经成为企业运营必不可少的一个部分，信息系统的建设也日臻完善，在此基础上信息系统的安全性要求已经被普遍接受并且日益整合到现有的规划和建设当中。然而，信息安全不仅仅是一个技术问题，大量的实践证明设备的堆叠不能解决企业的安全问题，整个信息安全需要有一个体系来支撑。 目前针对信息安全管理，业界已经形成了一个比较完备的系统，它包括安全策略、标准、基线、指南、手册、安全组织架构、安全意识与教育以及风险管理等诸多内容，每一项都不可或缺，而其中最为核心的内容则是风险管理。 信息风险管理（IRM）介绍 所谓风险是指危害发生的可能性，以及该危害能够带来的衍生影响。信息风险管理就是识别、评估风险，从而将其降低到一个可接受程度，并且部署安全控制措施从而维持这种程度的一系列过程。 虽然信息安全风险管理是安全管理的核心，但是从业界到企业对于其在整个体系中所发挥的功效却是相当孤立的。一方面IT部门更注重于技术手段的部署，从安全设备到应用、协议以及日常的恶意代码等，而安全管理部门包括高层行政人员则脱离于企业实际的安全状况而制订企业的安全管理与运维策略。 信息安全管理的目标实际可以分为战略目标(strategically goals)、战术目标(tactical goals)和日常运行目标(operational goals)。无论何种目标，其核心思想都是保证企业信息系统的安全平稳运行，从而保证企业商业目标的达成。 企业商业目标最终会决定信息安全管理的各种形式和内容，但是如何制订有效的战略和策略，则需要针对企业信息系统进行切实可行的安全风险分析。 信息安全风险分析的方法 关于信息安全风险管理，其实自从概念提出以后，长期以来一直缺乏真正具有可操作性的方案，甚至往往以偏概全，把简单的脆弱性分析当作了风险分析。经过多年的实践，在业界逐渐形成了一些有价值的方法，其中比较有代表性的是NIST SP 800系列，尤其是sp 800-30 《Risk Management Guide for Information Technology Systems》，它提出的一系列具有高可操作性的分析流程和方法。如下图所示，它实际揭示了一个目前很通用的方案： 关于信息安全管理，ISO有几个相关标准，最著名的就是ISO17799，ISO27001，它们分别来源于BS7799 part I和PartII，BS7799的第一部分，勾画出了信息安全的控制目标及其对应的控制对象，第二部分则讲述如何建立一个信息安全管理体系（ISMS）。 在PartII当中，BS7799提出了一些风险分析的方法，跟NIST提出的方法实际是互通的。另外GMITS（ISO13335）也提出安全管理的具体指南，其中值得关注的就是在风险值计算采用了相乘法和矩阵法。 通常来讲，风险分析需要归结于风险值的计算，目前有定量分析和定性分析两种方式，更多的是采用两者相结合的方法，因为纯粹的定量几乎不可能，而纯粹的定性则无法提供实际投资的指导。 其它还有一些方法比如OCTAVE和CRAMM等，它们分析的着眼点各有侧重，但是过程大同小异。 目前风险管理方法的不足 从上述的各种风险管理方法，我们可以发现一些问题。首先，风险管理的目标是为整个信息安全管理乃至达成企业商业目标而服务的，风险分析的结果对于高层进行IT的投资与战略决策应该提供确定的指导价值。但是，以上几乎所有方法，更多的是满足企业的日常运营目标，而很难满足安全管理的战术目标，更遑论战略目标了。简而言之，就是说现有信息安全风险管理，太过注重于操作与具体的细节而不能提供一个整体上的图谱展示，它们对于企业进行战略性决策的时候缺乏应用的价值。 另外一个非常重要的方面，就是几乎所有的风险管理针对的对象都是现有以及过去的安全状况，如果类比股票的风险分析，现有的安全风险方案分析的都是过去以及现有的股票价格的涨跌，从而推论出其中存在的投资风险，但是它们都忽略了最重要的一点，过去的已经是历史，而未来才是我们关注的重点，的确亡羊补牢，为时未晚，但是目前未来无穷的不确定性，我们可能只会错误的引导企业去构筑一道马其诺防线。 应该说大部分的风险管理方案实际上是考虑到这一点的，比如BS7799就引入了PDCA模型，它试图用一种动态的原理来解释安全管理的生命周期。一般的风险分析流程，最后一步往往是follow-up，即一个持续跟踪与改善的过程。 虽然从理论上是无可辩驳的正确，但是从实际执行上来看，因为它根本不存