信息安全风险评估应当深入考虑的几个方面.docVIP

信息安全风险评估应深入考虑的几个方面 蒲利君 四川警官高等专科学校教育技术中心 [摘要] 信息安全是一个动态的复杂过程，要使信息安全风险评估具有较好的实效性，除按有关信息技术标准规范和流程实施外，对一些特有的、可能导致巨大风险的具体情况，应引起足够的重视；本文尝试分析了人为因素、小概率事件和风险的变化对信息安全风险评估的影响，并给出了一些建议。 [关键词] 信息安全；风险评估；人为因素；小概率事件 随着我国信息化建设进入全面推进和加快发展的重要时期，信息安全愈加重要，信息安全风险评估和检查被列为我国信息安全保障工作重点任务之一。各地各部门也在不同程度地开展信息安全风险评估，进行必要的信息安全检查，依据风险评估的结果为信息系统选择适当的安全措施，应对可能发生的风险。而信息安全是一个动态的复杂过程，在实施过程中，没有那一种方法能十全十美，甚至综合几种方法也会有缺陷。现有一般做法是依据国家有关信息技术标准，参照国际成熟经验模式，进行综合评估，但在具体实施时会出现对有些方面分析考虑欠深入，或由于量化实施难度大而重视不够的情况，而这些情况往往是导致风险的关键，以下例举几个方面。 人为因素 大多数的风险评估强调操作系统、计算机和网络的安全风险，而不是造成信息损失的人，但实际无论在哪种情况下，需要安全保护的根本在于人。风险评估方法，如NIST的年损失预算，CRAMM等强调在公司内部运用技术控制来保护计算机和网络，重点放在减少损失的风险性上，所用的定量和定性的风险计算方法无法确定损失经验值和预期值，进行风险评估意味着已知的、被接受的安全控制可以用于某种风险环境，而在很大程度上忽视了正在飞速变化的存储媒体、系统、组织和许多受到信任的、有权力的人。 按信息安全管理规范BS 7799-2的一般描述，风险评估主要对信息安全管理系统（ISMS）范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全管制措施进行鉴定。在BS 7799-2：2002的控制细则里包含人员安全的内容，具体描述是：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训。关于人员安全部分仅是其十个控制细则之一，内容也近似于一般安全措施，强调教育管理，加强安全意识等；这实际上并不能有效预防在特殊的利益或欲望以及极端个人行为等驱使下，潜在的内部和外部的人为攻击破坏风险，由于引起这样风险的人往往是智商超常，行为反常，一旦实施，造成的损失是巨大和不可挽回的。 一般信息系统安全评估的内容包括信息系统的资产评估、威胁评估、脆弱性评估、安全管理控制评估和安全影响评估五个部分，风险评估流程如下图所示。 分析风险评估流程可知，安全系统十分复杂，其中各种要素相互影响而又互相联系，风险评估过程往往只重视固有模型包括的系统资产和可能危险的详细目录，即使一些设计尽量复杂全面的系统，也不能囊括一些常见的人为滥用情况，特别是来自内部的，如窥探信息、偷窃信息副本、歪曲信息和偷换信息或硬件等。据了解，对网络安全问题，FBI和CSI曾对484家公司调查，发现有超过85%的安全威胁来自企业内部；而现有方法只考虑到可能的危险和薄弱环节，而实际潜在的人为危险最有可能造成巨大损失。所以，在考虑风险评估标准及实施时，建议强调安全的社会性与技术问题相平衡的重要性，通过与心理学、行为学、社会学等的结合，探讨减少人为威胁及内部信息安全管理在技术和实践上可行，增强安全风险评估的实效性，毕竟人是威胁信息安全的根本和重要因素。 小概率事件 简言之，风险就是在给定时间内（或以一定的速度发生）造成损失的信息风险度乘以造成的损失值。评估人员应当确定损失的预期发生频率，这就要考虑到损失发生的各种形式，求出已经发生的次数然后确定将来可能在什么情况和条件下发生，实际的模型数据搜集相当复杂，一般要借助计算机来计算。 风险评估是以概率论为基础，但由于无法准确预测未知的和极小概率的风险事件，导致信息安全风险评估中没有可以适用于特定薄弱环节的有效样本统计，会错误地认为可能性低的事件近期不会发生，例如某次风险评估表明企业的某种预期损失可能性是20年1次，由于企业经理10年内就要退休，他就不会采纳风险评估的建议措施，导致安全事件发生。要改善这种情况，应凭借专家丰富的经验观察确定危险和薄弱环节，作进一步的深度风险评估。 面对层出不穷的安全风险，安全技术人员迫于安全需求的压力，不断量化和“发明”新的风险评估方法和模型，一旦试着运用它，就会发现往往是不实用和不必要。无数想把“风险怪物”杀死的努力都说明人