企业信息系统安全风险管理的实践探索

ＳＹＳ　ＭＡＮＡＧＥＭＥＮＴ　系统管理　企业信息系统安全风险管理的实践探索　◆侯梅芳摘要：信息安全风险管理是企业信息化工作的关键，信息系统安全风险评估是安全风险管理的基　础和重要内容。本文主要研究企业如何持续提升信息系统安全风险评估意识和能力，妥当开展信息系　统安全风险评估及风险管控。　关键词：信息安全；风险管理；风险评估　冯梅　当前，信息安全风险管理已成为企业信息化工作的关键，　而信息系统安全风险已经成为企业信息化运营风险中最为重　要的组成部分。信息系统风险管理是内控框架中的核心内容，　并已成为判定企业成熟度的一项重要指标。信息系统安全风　险评估是安全风险管理的基础和重要内容，既是企业信息安　全体系建设的起点，也将覆盖其全生命周期。如何持续提升　信息安全风险评估意识和能力，妥当开展信息系统安全风险　评估及风险管控，是企业信息安全工作的重中之重，本文就　此进行探讨研究。　１Ｉ３评估方式。风险评估的方式可分为自评估、检查评估、　委托评估三种。自评估是由企业自身实施，以发现现有信息　技术设施和信息系统的弱点、实施安全管理为目的的评估方　式。检查评估是由主管部门发起，对下级单位的安全风险管　理工作进行检查而实施的评估活动。委托评估是指企业委托　具有风险评估能力和资质的专业评估机构实施的评估活动。　企业信息管理部门应定期或在重大、特殊事件发生时组　织进行风险评估，识别和分析风险，实施控制措施，确保信　息安全和信息系统的稳定安全运行。　１．４评估时机。企业信息系统风险评估应贯穿于系统的　整个生命周期，方可做好风险管控。在系统规划设计阶段，　通过风险评估明确系统建设的安全目标；在系统建设阶段，　通过风险评估确定系统的安全目标是否达到；在系统运行维　一、评估目的、原则及方式　１．１评估的目的。企业进行信息系统安全风险评估，是　为了提高信息安全保障体系的有效性，主要包括：发现现有　基础信息网络和重要信息系统的安全问题和隐患，提出针对　护阶段，实施风险评估识别系统面临不断变化的风险和脆弱　性，从而确定安全措施的有效性，确保信息系统安全运行；　性改进措施；识别在用系统和在建系统在生命周期各个阶段　的安全风险；分析现有与信息安全相关的组织管理机构、管　理制度和管理流程的缺陷与不足；评价已有信息安全措施的　在系统废弃阶段，确保硬件和软件等资产的残留信息得到适　当的处置，确保废弃过程在安全的状态下完成。　适当性、合规性等。　１．２评估的原则。进行信息系统安全风险评估，要遵循　以下原则：（１）整体性。系统安全风险评估应从企业实际　需求出发，不局限于网络、主机等单一的安全层面，而是从　业务角度进行评估，包括技术、管理和业务运营的安全性。（２）　动态性。风险评估应是动态、阶段性重复的，并非一次评估　二、评估方法　企业信息系统的安全风险评估大致可分为三个阶段：计　划准备阶段、现场评估阶段、分析报告阶段。三个阶段的工　作内容和步骤如图１所示。　即可解决所有问题。每次评估应达到有限的目标，并依据评　估的动态特性考虑再次评估的时机，形成良性的评估生命周　期。（３）适当性。选择恰当的评估对象、评估范围、评估时机，　评估对象要有代表性，确定评估范围的恰当性、可行性等情　况。（４）规范化。应严格规范评估过程和成果文档，便于　项目跟踪和控制。（５）可控性。评估过程和所使用的工具　应具有可控性。评估所采用的工具必须经过实践检验，可根　据企业实际现状与需求进行定制。（６）最小影响。评估工　作应充分准备，精心筹划，事先预见可能发生的情况并制定　；＋　・　Ｑ　＋：＋：・　．　．；．　・；・；＋：　＋ｉ＋＋；　旦　—ｉ④　　一　＋　．　。　ｉ　”　●　、　一■　７　＼　／　－．　一嚣　＿＿　．　—————————ｈ　皿　目ｎ　ｔ　ｔ＊　■　＊　■■＂■　●　ｔ＊　皓　Ｈ　图１企业信息安全风险评估实施的阶段和步骤　应急预案，不能对网络和信息系统的运行及业务的正常运作　产生影响。（７）保密性。参与评估的工作人员应签署保密协议，　明确要求在评估过程中对所有的相关数据、信息严格保密，　不得将评估中的任何数据用于与评估以外的任何活动。　６０　信息系统工程ｌ　２０１７．１．２０　２．１计划准备阶段。在进行安全风险评估之前，充分的　准备工作是评估工作成功的基础。在计划准备阶段，需要开　展以下工作：（１）制定项目计划。确定评估目标、范围和对氦　明确评估人员组织，包括项目领导小组、项目负责人、项目　技术顾问组、风险评估小组、被评估单位项目协调人和项目　配合人员；制定项目进度计划；明确项目沟通与配合制度。（２）　召开项目启动会。进行评估前的项目动员。（３）收集相关信息。　收集所有评估对象资产信息；收集文档信息，包括安全管理　文档、技术设施文档、应用系统文档和机房环境文档等。　２．２现场评估阶段。现场评估阶段包含文档审阅、问卷　调查、脆弱性扫描、本地审计、渗透测试、现场观测和人员　访谈等工作内容。（１）文档审阅。通过文档审阅了解评估　对象的基本信息（包括安全需求），了解各评估对象已被发　现的问题、已实施的安全措施，确定需要通过访谈了解的信　息和澄清的问题，以便尽量缩减人员访谈沟通时间，降低评　估工作对相关人员正常业务工作的影响。（２）问卷调查。　由一组相关的封闭式或开放式问题组成，用于在评估过程中　获取信息系统在各个层面的安全状况，包括安全策略、组织　制度、执行情况等。（３）脆弱性扫描。利用技术手段对信　息系统组件进行脆弱性识别，收集各信息系统组件可能存在　的技术脆弱性信息，以便在分析阶段进行详细分析。（４）　本地审计。本地审计与脆弱性扫描互补，收集各信息系统组　件可能存在的技术脆弱性信息，以便在分析阶段进行详细分　析。（５）渗透测试。利用模拟黑客攻击方式发现网络、系　统存在的可利用弱点，目的是检测系统的安全配置情况，发　现配置隐患。主要通过后门利用测试、ＤＤｏｓ强度测试、强口　令攻击测试等手段实现。需要注意，渗透测试的风险较其它　几种手段要大得多，在实际评估中需要慎重使用，未必每次　评估都要进行渗透测试。（６）现场观测。主要通过现场巡　视和观察等方法，观察与应用系统、机房环境等有关的管理　制度、安全运维相关的机制、系统配置现状（如系统现有账　号、日志功能等），了解制度实际执行情况，保留检查证据　（截图，日志文件等）并填写现场观测结果。（７）人员访谈。　访谈的对象包括：信息系统管理人员、应用系统相关人员、　网络及设备负责人和机房管理人员。主要涉及信息系统控制　环境评估，包括安全策略、组织安全、人员、资产管理、风　险管理、法律法规符合性等；信息系统通用控制评估，包括　程序开发设计、变更管理、程序和数据访问控制、投产上线、　系统运维等；应用系统的安全性评估，包括身份认证、标识　与授权、会话管理、系统配置、日志与审计、用户账户管理、　输入控制、异常处理、数据保护和通信等；应用控制评估，　包括业务操作、权限管理、职责分离、业务流程、备份等。　２－３分析报告阶段。分析报告阶段的主要工作是整理现　场评估获得的数据、资料，进行综合分析以及生成最终评估　报告。　综合分析根据收集到的各种信息，整理出系统／资产脆　弱性，并对脆弱性进行威胁分析，包括分析威胁发生的可能　性、产生的后果，判定风险级别，以及制定风险处理计划。　综合分析对分析人员的能力要求较高。主导综合分析和报告　生成的人员必须参与过信息系统风险评估的各阶段，对被评　ＳＹＳ　ＭＡＮＡＧＥＭＥＮＴ　系统管理　估系统有基本的了解，熟悉风险评估的方法、手段、过程，　掌握风险计算方法，了解风险评估基本理论，具备较强的文　字功底。　最终编写的风险评估报告是风险评估重要的结果文件，　是企业实施风险管理的主要依据，是对风险评估活动进行评　审和认可的基础资料。风险评估报告通常应包括以下内容：　（１）概述。简要描述被评估系统的基本情况，包括功能用　途、系统体系结构以及风险评估所使用的评估方法、评估过　程等。（２）评估综述。对被评估系统及其支撑平台已经实　施的安全措施、评估发现的风险进行综合评价。（３）评估　详述。概要描述评估过程所发现的被评估系统存在的风险、　以及不同级别的风险数量和比例；针对被评估系统及其支撑　平台的每一个风险点，进行威胁分析、现有或计划实施的安　全措施分析、风险评价等。（４）整改建议。综合以上分析，　说明被评估系统及其支撑平台需要采取的安全整改措施。（５）　附件。说明风险评估过程中主要访谈的人员和审阅的文档、　脆弱性一风险对应表、控制措施一风险对应表等。　三、风险控制措施　风险评估的目的在于控制和规避风险。风险控制报告包　括安全管理策略和风险控制措施，要依据通过审批的风险控　制报告，落实控制措施。　控制信息安全风险的重要措施是实施信息系统安全等级　保护，而等级保护的基本前提是信息系统等级的划分。企业　要根据公安部等四部委联合发布的《关于信息安全等级保护　工作的实施意见》，结合企业实际情况和国内相关领域专家　的建议，确定信息系统安全保护等级，实施相应的等级保护，　有效控制信息安全风险，支撑企业业务的连续运行。　四、风险控制实施的监督与跟踪　风险评估通常还包括一个至关重要的跟踪过程，即对执　行与落实整改建议的情况进行监督与跟踪，必要时再次进行　评估。　要充分利用风险评估管理信息系统作为基础性必备工　具，实现对资产信息、安全威胁信息、脆弱性信息、评估结　果的统一管理，以提升评估结果的可用性。　监督与跟踪主要工作包括建立监督与跟踪机制、制定跟　踪计划、执行主动监督与报告等三个步骤：（１）企业各级　信息管理部门指定专门人员，建立监督与跟踪机制以跟踪安　全整改建议的实施和效果。（２）对关键的、意义重大而且　至关紧要的安全整改措施，制定并实施跟踪计划，包括实施　计划、预计实施时间、事项清单、验收方法与过程等。（３）　实施单位主动监督并报告整改实施的进度与状态，并对所有　要求的整改采取跟踪行动，直到实施完成。执行监督与跟踪　可以包括一个再评估过程，也可以采用风险评估管理信息系　统来评估结果。　（作者单位：中国石油勘探开发研究院）　信息系统工程ｌ　２０１７．１．２０　６１