信息设备风险管理思考.docVIP

信息设备风险管理的思考 　　【 摘 要 】 论文提出包含威胁识别、资产识别和脆弱性识别三个基本要素的风险分析原理图，提出基于ISO27001标准和PDCA模型的信息设备安全风险管理体系，为开展威胁识别、脆弱性识别等风险管理提供理论支持。 　　【 关键词 】 风险管理；威胁识别；脆弱性识别；信息设备 　　Thinking of Risk Management for Information Equipment 　　Li Wei 　　（Xingyi Power Supply Bureau GuizhouXingyi 562400） 　　【 Abstract 】 This paper contains threat identification， identify assets and vulnerability identification of three basic elements of risk analysis principle diagram and proposed ISO27001 and PDCA model of information security risks of equipment management system based on， for carrying out the threat identification， vulnerability identification of risk management to provide theoretical support. 　　【 Keywords 】 risk management；threat identification；vulnerability identification；information equipment 　　1 引言 　　随着信息化的不断推进，信息设备的使用也变得越来越广泛，越来越多单位的主营业务系统开始基于信息设备来构建，鉴于此，信息设备及信息系统是否能持续稳定的运行以及承载在这些信息设备之上的数据是否安全成为关注的热点问题。目前信息数据的主要载体便是各种类型的信息设备，所以对信息设备的信息安全防护即是对其包含的信息数据的安全防护。随着信息设备所面临的越来越严峻的信息安全威胁，如何做好信息设备的风险管理工作是一个值得深入探讨的课题。 　　2 信息设备风险管理 　　2.1 信息设备的风险概述 　　参照信息安全风险评估规范等标准来说，信息设备信息安全风险包含三个要素，即脆弱性、威胁和资产，每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。具体风险分析原理图如图1所示。 　　从图1中可以发现，信息设备所面临的信息安全风险并非某种单一来源的安全威胁，而是三种要素互相影响、互相关联的某种动态的平衡关系，而信息设备的风险管理本质上讲是对这三种要素造成的安全风险程度的可控管理。 　　2.2 信息设备全生命周期风险管理 　　信息设备全生命周期风险管理包括信息设备规划设计阶段、部署阶段、测试阶段、运行阶段和废弃阶段，每个阶段的内容如图2所示。 　　规划设计阶段应能够描述信息系统建成后对现有模式的作用，包括技术、管理等方面，并根据其作用确定系统建设应达到的目标。这个阶段，风险威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。 　　部署阶段是根据规划设计阶段分析的威胁和制定的安全措施，在设备部署阶段应进行质量控制。 　　测试阶段是对已经部署完成的信息设备结合前期规划设计方案的要求对采购来的信息设备进行全面的测试，包括基础测试、功能性测试及安全性测试等。 　　运行阶段让信息设备稳定运行并起到其应有的功能。该阶段应做好设备监控、脆弱性发现、设备异常报警、信息设备日志搜集和分析等工作。 　　废弃阶段存在的风险包括未对残留信息进行适当处理、未对系统组件进行合理的丢弃或更换或未关闭相关连接，对于变更的系统，还可能存在新的信息安全风险，因为其可能替换了新的系统组件等。 　　2.3 信息设备风险管理体系 　　传统的信息安全管理体系主要依据ISO27001相关标准搭建，ISO27001标准采用基于风险评估的信息安全风险管理，具体采用了PDCA模型过程方法来全面、系统、持续的改进组织的信息安全管理。ISO27001采用的PDCA模型不仅适用于传统信息安全管理，同时也适用于信息设备的安全风险管理。 　　2.3.1 总体思路 　　信息设备风险管理总体借鉴PDCA管理模型的相关理念，将信息安全设计方案制定、各阶段的信息安全风险管理实施、各阶段信息安全管理检查、信息安全管理改进，形成一套有效的安全风险管理防护方