信息安全風險管理理論

信息安全風險管理理論

摘要：

    隨著寬帶網(wǎng)絡和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手，結合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風險評估和加固的實踐方法建議。

    關鍵字（Keywords）：

    安全管理、風險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

    1 信息安全管理概述

    普遍意義上，對信息安全的定義是“保護信息系統(tǒng)和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可*、正常的運行”。所以說信息安全應該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

    信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風險的管理，即要實現(xiàn)對信息和信息系統(tǒng)的風險進行有效管理和控制。標準ISO15408－1（信息安全風險管理和評估規(guī)則），給出了一個非常經(jīng)典的信息安全風險管理模型，如下圖一所示：

 

       圖一 信息安全風險管理模型

    既然信息安全是一個管理過程，則對PDCA模型有適用性，結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監(jiān)控與評估－維護和改進）的循環(huán)過程。

 

 

    圖二 信息安全體系的“PDCA”管理模型

    2 建立信息安全管理體系的主要步驟

    如圖二所示，在PLAN階段，就需要遵照BS7799等相關標準、結合企業(yè)信息系統(tǒng)實際情況，建設適合于自身的ISMS信息安全管理體系，ISMS的構建包含以下主要步驟：

    （1） 確定ISMS的范疇和安全邊界

    （2） 在范疇內(nèi)定義信息安全策略、方針和指南

    （3） 對范疇內(nèi)的相關信息和信息系統(tǒng)進行風險評估

    a) Planning（規(guī)劃）

    b) Information Gathering（信息搜集）

    c) Risk Analysis（風險分析）

    u Assets Identification & valuation(資產(chǎn)鑒別與資產(chǎn)評估)

    u Threat Analysis（威脅分析）

    u Vulnerability Analysis（弱點分析）

    u 資產(chǎn)/威脅/弱點的映射表

    u Impact & Likelihood Assessment（影響和可能性評估）

    u Risk Result Analysis（風險結果分析）

    d) Identifying & Selecting Safeguards（鑒別和選擇防護措施）

    e) Monitoring & Implementation（監(jiān)控和實施）

    f) Effect estimation（效果檢查與評估）

    （4） 實施和運營初步的ISMS體系

    （5） 對ISMS運營的過程和效果進行監(jiān)控

    （6） 在運營中對ISMS進行不斷優(yōu)化

    3 IP寬帶網(wǎng)絡安全風險管理主要實踐步驟

    目前，寬帶IP網(wǎng)絡所接入的客戶對網(wǎng)絡可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡的運營者意識到有必要對IP寬帶網(wǎng)絡進行系統(tǒng)的安全管理，以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風險。

    由于網(wǎng)絡運營者目前對于信息安全管理還缺乏相應的管理經(jīng)驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

    3.1 項目準備階段。

    a) 主要搜集和分析與項目相關的背景信息；

    b) 和客戶溝通并明確項目范圍、目標與藍圖；

    c) 建議并明確項目成員組成和分工；

  d) 對項目約束條件和風險進行聲明；

    e) 對客戶領導和項目成員進行意識、知識或工具培訓；

    f) 匯報項目進度計劃并獲得客戶領導批準等。

    3.2 項目執(zhí)行階段。

    a) 在項目范圍內(nèi)進行安全域劃分；

    b) 分安全域進行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡結構、路由協(xié)議與策略、認證協(xié)議與策略、DNS服務策略、相關主機和數(shù)據(jù)庫配置信息、機房和環(huán)境安全條件、已有的安全防護措施、曾經(jīng)發(fā)生過的安全事件信息等；

    c) 在各個安全域進行資產(chǎn)鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評估表、風險評估表和風險關系映射表；