互联网大时代安全风险评估研究和实践.docVIP

互联网大时代安全风险评估研究和实践 　　【 摘 要 】 运营商的门户网厅、预约诊疗、手机游戏等都属于典型的运营商在互联网业务方面的尝试，而且取得了不错的效果。对于这样的互联网业务来说，与运营商的传统网络安全比较起来就显得更为错综复杂，遭遇的安全挑战也要大得多，因此，大力开辟互联网业务的过程中，有效识别门户网站、网上营业厅等互联网业务平台的安全风险就显得尤为重要，需要投入精力在传统的安全评估策略基础之上进行研究与实践，形成本地化高效的日常风险评估模式。 　　【 关键词 】 互联网；风险识别；安全评估 　　【 Abstract 】 Telecoms Operator Online business hall、appointment diagnosis and treatment、mobile phone games are typical operators in the Internet business， and achieved good results. For such Internet business， compared with the traditional network security and operator becomes even more perplexing， security challenges to be much larger， therefore， vigorously open up internet business， security risks effectively identify portals， online business hall and other Internet service platform is particularly important， need focus on the traditional safety assessment strategies on the basis of research and practice， the formation of localized high daily risk assessment model. 　　【 Keywords 】 internet； risk identification； safety assessment 　　1 引言 　　近年以“棱镜门”事件为代表的各类信息安全事件高发、频发，引发世界各国政府对信息安全的重新审视与高度关注，并不断从政策、组织、法律等多个方面强化自身信息安全保障力度。在这一背景下，信息安全与政治、经济、军事、外交等事关国计民生的重要领域各要素之间的联系与融合越来越紧密、深入，相互作用与影响越来越明显、突出，某些时候甚至牵一发而动全身。 　　随着我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的部分。电信运营商为了适应社会的发展，树立自身良好的形象，扩大社会影响，提升工作效率，均建立起自己的门户网站等面向互联网提供服务的系统。然而，由于这些应用是处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生，甚至有的篡改网站的事件直接升级成政治事件，严重危及国家安全和人民利益。 　　信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。 　　2 工作困惑 　　随着业务的发展，互联网业务的架构越来越复杂，使用的应用关键和技术越来越多，要全面的识别其存在的安全风险，难度越来越大，使运维、管理人员面临着严峻的挑战。目前运营商主要按照传统安全风险评估模型开展风险评估工作，围绕确定评估范围-资产的识别和影响分析-威胁识别-脆弱性评估-威胁分析-风险分析-风险管理这几项工作开展，如图1所示。 　　鉴于有清晰的评估关系及流程，执行顺利，但运营商所维护的系统及设备数量巨大，按照传统的风险评估流程，全部系统完成确定评估范围-资产的识别和影响分析-威胁识别-脆弱性评估-威胁分析-风险分析-风险管理这七类工作，需要耗费半年时间，同时在传统安全风险评估中经常遇到难题，导致评估工作不全面，评估周期长，新曝出漏洞在第二个评估周期才能被识别并修复，带来巨大安全隐患。 　　资产不完整：部分系统的管理员岗位调动频次较高，资产在交接过程中，易产生资产信息缺失，资产