《信息安全风险评估方法与应用 (论文)》由会员分享,可在线阅读,更多相关《信息安全风险评估方法与应用 (论文)(2页珍藏版)》请在金锄头文库上搜索。
1、G基层实践r aS Sr O OtsPr ac l jC e俯息安伞风险评估方法与应夕I |文l l 中国人民银行黔东南州中心支行高向前,l息安全风险评估是加强信息安全保障体系建设和, l一管理的关键环节,它对评估者专业要求较高,而IH基层央行起步较晚,基层人员缺乏经验,开展风险评估时往往无从着手。本文根据相关评估方法,结合工作实际设计评估简化方法,并取得较好应用效果。一、风险评估过程、方法及应用1坪仙过W, 支厅法风险评估过程可分为4个阶段:制定评估计划、资料收集、风险分析和形成评估报告。其中风险分析又分为以下5个步骤。(1)资产识别赋值。它是对各类资产安全价值的评估,不仅考虑资产的成本价格
2、,更要考虑资产对本单位业务的安全重要性,具体方法如表1所示。表1资产赋值表(2)资产弱点分析赋值。弱点是资产本身存在的某种脆弱性,其本身不会损害资产,但满足一定条件时,弱点可能被威胁利用而造成资产损失。资产弱点赋值是评估弱点被利用的难易程度 (见表2)。(3)威胁分析赋值。威胁分为自然与环境威胁、人为威胁两种,人为威胁又分为故意与非故意。在威胁分析过程中,应根据资产所处环境和资产以前遭受威胁损害的情况进行赋值(见表3)。(4)控制措施分析赋值。安全控制指能降低威胁发生的可能性、减少资产脆弱性和威胁造成的影响的措施。应分析识别已采取的控制措施,对措施有效性进行确认赋值,使有效措施继续保持,防止重
3、复浪费。对于确认不能有效控制风险的,应考虑取消或加固(见表4)。(5)风险计算和处置。根据以下公式计算资产风险值,其中R为单个资产的风险值: 5V H(很高)非常重要,其安全属性破坏后可能对被评估单位造成非常严重的损失 4 H(高 )重要,其安全属f生破坏后可能对被评估单位造成较严重的损失 3 M(中 )比较重要,其安全属性破坏后可能对被评估单位造成中等程度的损失 2L(低)不太重要,其安全属。生破坏后可能对被评估单位造成较低损失 1 V L(很低)不重要,其安全属性破坏后对被评估单位造成很小的损失,甚至忽略不计 表2资产弱点赋值表 特别严重 弱点引发风险可能性特别大 4较严重弱点引发风险可能
4、性很大 3较大弱点引发风险可能性较大 2一般弱点引发风险可能性一般 1小弱点几乎不会导致风险 0 无弱点完全不会导致风险 表3威胁赋值表 0特别严重被攻击或威胁的可能性特别大 4较严重被攻击或威胁的可能性很大 3较大被攻击或威胁的可能性较大 2一般被攻击或威胁的可能性一般 1 小几乎不会被攻击或威胁 O无完全不会被攻击或威胁 G基层实践r aS Sr 00tSPr ac tiCe表4控制措旆赋值表 特别好措施特别好,完全符合安全各项要求 d较好措施较好,基本符合安全各项要求 3一般措施一般,部分符合安全要求 2较差措施很少,达不到安全基本要求 1 很差几乎没有控制措施 O 无弱点完全不会导致风
5、险 表5风险赋值表 啊丽圆圈I鼹_聪麓銎疆i蛋 N曙闽础翟 5 醋_。” 。“ 5 自风险很高, 8 0 4 0 目导致系统受到非常严重的影响 4较高 风险高,导致系统受到严重的影响 61803 14 0 3由风险中,导致系统受到较严重的影响4 1602130 2较低风险低,导致系统受到一般影响214 0-1 120 1低风险很低,导致系统受到较小影响O20010 R=?,(威胁因素程度。脆弱点严重程度资产对组织的重要性)已有控制措施的有效程度然后据表5确定风险等级。风险等级划分为5级,对低风险等级的风险项可 不进行处置,但应进行监控和定期检查,以保证其仍处于 可接受状态;对较低(含 )以上的
6、风险项,应制定风险缓解及整改措施、时间计划及相应责任人。风险处置要根据可行性、花费代价及风险管理 目标进行综合考虑,以最恰当和最实际的方法,使风险降低到可容忍的程度。2吱际膨川风险评估方法在实际中的应用如表6所示。表6 风险评估方法的实际应用(片段)二、总结本文提出的信息安全评估方法是依据风险发生的可能性、资产重要性、可能造成的影响以及已采取的控制措施,对风险进行识别和分类,从全局角度运用综合评估方法对风险识别中获得的风险信息进行评价,较全面地反映目前信息安全风险状况,为信息安全风险控制和 风险策略选择提供依据。墨 目瑶蠲嗣譬溜嘲 雷同嚼丽 疆瞬 瓤瑶懿 一l 嘧 瞌誉滔翻 髓疆圈描述 赋值 描述赋值描述赋值合计风险伯风险等级 U P S电池不能浸水4 机房空调排水管漏水3浸水报警和加强巡检d12 加强每日监控和及时 0001U P S 4电池老化3U PS不能供电4 316 更换老化电池 4 0 较低 市电断时 加强每日监控口及时 主机老化3 d 412 不能正常工作 更换老化配件 手动灭火器的保质 002灭火器4 3火灾威胁 5火警报警和巡检415 152较低 期有效 003门禁3供货商服务质量3机房门禁故障 3巡检4 771低 1 X设备老化 5错误或崩溃5双机热备和巡检525
