下载掌阅APP,畅读海量书库
立即打开
信息安全风险管理是风险管理在信息领域的应用,是指导和控制组织关于信息安全风险的相互协调活动,是组织完整管理体系中的重要组成部分。信息安全风险管理的对象是组织。从管理学的角度来说,所谓组织,是指由作用不同的个体为实施共同的业务目标而建立的机构。GB/Z 24364—2019《信息安全技术 信息安全风险管理指南》中给出的信息安全风险管理的定义为:“识别、控制、消除或最小化可能影响系统资源的不确定因素的过程”。
进入网络时代以后,信息安全问题被放到前所未有的重要位置,各种安全威胁层出不穷,所需的安全成本和资源也成倍增长。针对信息安全问题的特点,从管理、技术、法规等方面积极寻求解决措施和手段对其进行综合治理,是目前解决信息安全问题的务实选择,也是世界各国普遍奉行的安全策略。
当前信息安全管理的内涵,较之过去偏重技术的信息安全概念已有相当大的变化,究其原因,是因为人们对信息系统的依赖性或依赖程度有了质的变化,信息安全内涵从过去单纯应对威胁拓展到既要应付威胁,又要追求质量和效益。然而,在当今复杂的、分布的、异构的信息系统环境下,无论采取多么完善的信息安全手段都难以达到绝对的安全,风险总会存在,因而很难采取风险消除的方法实现完备的安全性。适宜的方法是将基于风险的安全理念引入保障信息安全的过程中,对整个组织或业务系统进行风险管理。
相对于以前非黑即白的信息安全处理方法,信息安全风险管理的核心特点是:接受风险,承认风险事件必然会发生,但是风险可控。例如,攻击者非法获取访问权限造成对信息或服务等损害甚至破坏,但发生的频率及产生后果的严重程度将被限制和控制在可承受的范围。风险管理体现了对组织或业务系统信息安全的动态管理,是一个连续的过程,其最终目的是采用整体性的安全措施集合,即特定的安全方案,缓解和平衡资产与风险这一对矛盾,将风险降低至可接受的程度,而非完全消除风险。在风险管理的前提下,信息安全不必是完美无缺的,但必须是充分满足需求的,是实现“充分安全”的;风险不必完全被消除(风险是无法彻底消除的),但必须是能够被管理和控制的,是最终位于可接受阈值之内的。信息安全风险管理的目标是保持信息系统的基本安全特性,包括保密性、完整性、可用性、真实性和抗抵赖性等,达到所需的安全保障级别。同时,信息安全不再是人们对威胁和风险的被动的、“响应性”行为的结果,而是一种主动的、“前瞻式”管理决策的结果,从而使得信息安全保障的防御前沿大大提前,并以一种主动的、未雨绸缪的方式实现防患于未然。风险管理是信息安全的必然选择,最佳的组织或业务系统信息安全保障方式就是运用风险管理的手段和方法管理风险。通过信息安全风险管理,一是在信息安全保障体系的技术、组织和管理等方面引入风险管理的思想和措施,准确评估风险,合理处理风险,实现信息安全保障的目标;二是在信息系统生命周期的规划、设计、实施、运维和废弃各阶段引入信息安全风险管理的思想和措施,解决信息系统各阶段面临的风险问题。
信息安全风险管理的过程是通用风险管理过程在信息安全领域的实例化,包括环境建立、风险评估、风险处置、风险接受、监视与评审、沟通与咨询六个方面的内容。环境建立、风险评估、风险处置和风险接受是信息安全风险管理的四个基本步骤,监视与评审、沟通与咨询则贯穿于这四个基本步骤中,如图1-3所示。
图1-3 信息安全风险管理过程
第一步是环境建立,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析。第二步是风险评估,针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三步是风险处置,依据风险评估的结果,选择并执行合适的安全措施来更改风险的过程。第四步是风险接受,确保残余风险被组织的管理者明确地接受。在诸如由于成本而省略或推迟实施控制措施的情况下,这点尤其重要。当风险管理对象的业务目标和特性发生变化或面临新的风险时,需要再次进入上述四个步骤,形成新的循环。监视与评审包括对上述四个主体步骤的监视与评审。监视是定期或不定期地对风险管理过程的运行情况进行查看,了解风险管理过程的执行情况,评审是对监视的结果进行分析和评价,从而确定风险管理过程的有效性。沟通与咨询为上述四个步骤中的相关方提供沟通与咨询。沟通与咨询是通过相关方之间交换和共享关于风险的信息、就如何管理风险达成一致的活动。其中,咨询是在需要时为相关方提供学习途径,以提高参与人员的风险防范意识、知识和技能,保持参与人员之间的协调一致,共同实现安全目标。环境建立、风险评估、风险处置、风险接受、监视与评审、沟通与咨询构成了一个螺旋式上升的循环,使得风险管理对象在自身和环境的变化中能够不断应对新的安全需求和风险。
信息安全风险管理理论和实践的发展大体上经过了以下三个阶段 [2] 。
1)20世纪60年代至80年代中期,起步阶段
20世纪60年代,随着资源共享计算机系统和早期计算机网络的出现,计算机安全问题初步显露。1967年11月,接受美国国防科学委员会的委托的,美国多个科研机构和企业开始着手研究计算机安全问题,进行了历时两年半的、美国历史上第一次大规模的、主要对当时的大型机和远程终端进行的计算机安全风险评估,并于1970年初完成了一个长达数百页的机密报告《计算机安全控制》。该报告拉开了信息安全风险管理研究的序幕。
在此基础上,美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。其中第一组标准是由美国国家标准局(NBS)制定的,包括FIPS PUB 31《自动数据处理系统物理安全和风险管理指南》(1974年)和FIPS PUB 65《自动数据处理系统风险分析指南》(1979年)等标准。
第二组标准是由美国防部于1983年后陆续制定的计算机系统安全评估系列标准,主要包括《可信计算机系统评估准则》《可信网络解释》《特定环境下的安全需求》等,总计约40多个各类标准。该系列中各个标准的文档分别采用不同颜色的封皮,俗称为“彩虹系列”。这一系列研究的开展和标准的出台,奠定了信息安全风险管理理论基础。
2)20世纪80年代末至90年代中期,初步成熟阶段
这一阶段,计算机系统形成了网络化的应用。1989年美国率先建立了计算机应急组织;1990年建立了信息安全事件应急国际论坛;1992年美国国防部制定了漏洞分析与评估计划;1994年美国国家安全局等组织构成的联合委员会明确提出,美国国家信息安全必须建立在风险管理的基础上;1995年9月至1996年4月,美国政府对美国国防系统的信息系统进行了大规模风险评估,于1996年5月发布了名为《信息安全:针对国防部的计算机攻击正构成日益增大的风险》的报告。
1990年,欧洲的英国、法国、德国、荷兰四国着手制定了共同的信息技术安全评估标准(ITSEC),强调要把信息系统使用环境中的威胁与风险纳入评估视野。加拿大也制定了本国的信息安全测评标准。1993年欧美六个国家又启动了建立安全评测标准(即后来的CC标准)的计划。其间英国自己还研发了基于风险管理的BS7799信息安全管理标准,澳大利亚和新西兰制定了共同的风险管理标准AS/NZS 4360:1995。此外,荷兰、德国、挪威等国也制定了相应的本国标准。所有这些标准,都强调风险评估和管理的重要性、基础性作用。
国际标准化组织于1996年着手制定了ISO/IEC 13335《信息技术—安全技术—信息安全管理指南》,它分成ISO/IEC 13335-1(ISO/IEC 13335-1:《IT安全的概念和模型》)、ISO/IEC 13335-2(ISO/IEC 13335-2:《IT安全管理和策划》)、ISO/IEC 13335-3(ISO/IEC 13335-3:《IT管理技术》)、ISO/IEC 13335-4(ISO/IEC 13335-4:《防护措施的选择》)、ISO/IEC 13335-5 (ISO/IEC 13335-5:《网络安全管理指南》)五个部分。
1997年12月,美国国防部发表了《信息技术安全认证和批准程序》(DITSCAP),成为美国涉密信息系统的安全评估和风险管理的重要标准和依据。这个阶段的风险管理理论和实践的特点是:从只注重单机安全转变到同时注重操作系统、网络和数据库的安全;试图通过对安全产品的质量保证和安全评测来保障系统安全。
3)20世纪90年代末至今,全球化发展阶段
由于20世纪90年代以来互联网、移动通信和跨国光缆的高速发展,各国原本局限于国内的信息网络迅速突破国土疆域的界限连成一体,一些发达国家的军事、政治、经济和社会活动对信息基础设施的依赖程度达到了空前的高度。与此同时,国际范围内出现了大规模黑客攻击,信息战的理论逐步走向成熟并成为一种新型的作战样式,信息安全问题成为世界各国面临的共同挑战。
在共同需求的驱动下,1999年国际标准组织(ISO)发布了ISO/IEC 15408《信息技术—安全技术—信息技术安全性评估共同准则》。2000年又发布了ISO/IEC 17779:2000 《信息技术—信息安全管理实施规则》,提出了基于风险管理的信息安全管理体系及其构建步骤。这一阶段的信息系统风险管理特点是,风险管理已经成为一种通用的方法论和基础理论,并应用到广泛的信息安全实践工作之中。
纵观国际情况,信息安全风险管理经历了一个从只重技术到技术与管理并重,从单机到网络再到信息系统基础设施,从关注单一安全属性到关注多种安全属性的发展过程,当前还处在不断深化完善之中。
我国的信息安全管理工作是随着对信息安全问题的认识的逐步深化而不断发展的 [3] 。早期的信息安全工作中心是信息保密,通过保密检查来发现信息处理流程中的问题并改进提高。
20世纪80年代后,随着计算机的推广应用,随即提出了计算机安全的问题,开展了计算机安全检查工作。
20世纪90年代后,随着互联网在我国得到了广泛的社会化应用,国际上的信息安全问题和信息战的威胁直接在我国的信息环境中有所反映。1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》提出了计算机信息系统实行安全等级保护的要求。其后,在有关部门的组织下,不断开展了有关等级保护评价准则、安全产品的测评认证、系统安全等级划分指南的研究,初步提出了一系列相关技术标准和管理规范。信息安全的风险意识也开始建立,并逐步有所加强。
2003年7月,国家信息化领导小组召开了第三次会议,讨论了信息安全问题。会议审议通过了《关于加强信息安全保障工作的意见》,并且明确提出了要重视信息安全风险评估工作的要求。
近年来国内对信息安全风险管理的研究进展较快,方法也在不断改进。具体方法也从早期简单的漏洞扫描、人工审计、渗透测试等单一类型的纯技术操作,逐渐过渡到目前普遍采用OCTAVE等系统化的方法,并参照NIST SP 800-26 《IT系统安全自评估指南》、NIST SP 800-30《IT系统风险评估实施指南》(简称NIST SP 800-30)、GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》(简称GB/T 31509)等国内外标准,充分发挥信息安全管理在维护我国信息安全中的作用。