信息的安全防范工作一直是整个信息系统安全防范工作中的重点之一。在本文中就以信息安全风险评估对象中的网络操作痕迹信息检查为评估项目,来说明一次安全风险评估该如何具体地去做。
一、安全风险评估准备阶段
在每次风险评估开始之前,一个最好的保证评估过程顺利完成,评估结果真实有效的方法,就得为此制定一个风险评估策略。但如果只是对某个独立的或者是临时决定的小评估项目进行风险评估,而且你和你的评估团队以前经常对些小评估项目进行风险评估,那么,只要为它做一些相应的准备工作就可以直接进行评估了。
风险评估策略的具体内容是根据实际的评估对象和评估项目来决定的,因此,不同的评估对象的风险评估策略是不相同,就是同一评估对象,如果评估的具体项目不同,其风险评估策略也不会相同。
1、制定风险评估策略
一个好的风险评估策略,应当包括下列所示的内容:
(1)、指定评估小组成员
信息风险评估小组担负着机构的风险评估工作,其成员要能代表整个机构。同时,成员必需在人员安全评估(确定某个人员可以信任风险评估工作)通过后确定。具体的成员应当包括:IT部门主管、风险评估负责人、系统或网络管理员、信息安全技术人员,还可以包括安全产品供应商代表及合作伙伴代表等。
评估人员确定后,就要分配相应的评估任务给具体的人员。确定每个评估人员各自的职责,所要承担的法律责任,并做成文档分发到每个评估人员手中。同时,要为评估任务指定一个总的负责人,来监督整个评估过程,并协调处理评估过程中出现的临时状况。还要说明评估结果的填写和上报方式,如说明每个评估人员完成自己的评测任务,填上评测结果后,当上交给风险评估负责人时,还应当与负责人一同签名才能有效。
(2)、确定风险评估的范围和目的
确定风险评估的范围也就是指指定具体的评估对象和评估项目,风险评估的目的就是指此次风险评估要达到的期望值。风险评估的目的和范围是相辅相成的,只有指定了评估对象中评估项目的风险评估目的,才知道需要什么样的评估任务来达到这个目的,也就圈定了具体的评估范围。也只有确定了风险评估的范围和目的,我们的风险评估才能有的放矢地进行。
在本例中,我们的评估对象是信息安全风险评估;评估项目是网络操作痕迹信息检查;评估的目的是检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密;具体的评估任务有:
①、检查机构内部员工WEB数据库和缓存中的内容;
②、检查机构内部员工是否通过个人主页、博客、论坛,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息;
③、调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息;
④、了解机构内部员工的计算机技术水平,以及了解计算机技术水平较高的员工所处的部门及其操作权限;
⑤、调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容;
⑥、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、论坛及博客中搜索;
⑦、检查机构内部员工是否在使用P2P软件,在法律条件允许下审查P2P通信内容。
(3)、确定本次评估任务的开始和结束的具体日期和时间,如有可能,还有决定具体的风险评估时间,并在风险评估文档中留出相应的位置用来标明评估工作的开始和结束时间。
(4)、考虑一些在风险评估过程中可能发生的情况,以不影响正常的业务为基本条件。应当为此制定一个应对有可能造成业务中断,或造成真实安全事件发生事件时的应急措施。
2、根据评估项目和要完成的评估任务制作风险评估表单
风险评估表单就是在一张表单上将要评估的项目及评估任务一一列出,然后在进行具体的风险评估时,就可以按表单中的内容来依次进行。图2.1就是网络操作痕迹信息检查评估项目的风险评估表单。
图2.1 网络操作痕迹信息检查的风险评估表单
|
信息安全风险评估 | |||||||
|
评估项目: |
网络操作痕迹信息检查 | ||||||
|
评估的目的: |
检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密 | ||||||
|
评 估 任 务 | |||||||
|
红勾 |
顺序 |
评 估 任 务 描 述 |
结果描述 |
结束时间 |
评估人 |
备注 | |
|
|
1 |
检查机构内部员工WEB数据库和缓存中的内容 |
|
|
|
| |
|
|
2 |
检查机构内部员工是否通过个人主页、博客、论坛,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息 |
|
|
|
| |
|
|
3 |
调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息 |
|
|
|
| |
|
|
4 |
了解机构内部员工的计算机技术水平,以及了解计算机技术水平较高的员工所处的部门及其操作权限 |
|
|
|
| |
|
|
5 |
调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容 |
|
|
|
| |
|
|
6 |
使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、论坛及博客中搜索 |
|
|
|
| |
|
|
7 |
检查机构内部员工是否在使用P2P软件,在法律条件允许下审查P2P通信内容 |
|
|
|
| |
|
备注: | |||||||
|
评估开始时间:年 月 日 时 分 评估结束时间:年 月 日 时 分 | |||||||
|
项目负责人: | |||||||
3、考虑完成评估任务时会用到的各种工具,并准备妥当。
这些工具应当是切合本次风险评估任务的,并且在已经通过在某个实验环境中测试已经证明其有效。在本次风险评估中,会对机构内部人员进行网络操作行为监控,因此,得为它准备相应的网络操作行为分析设备,或者是安装有网络操作行为分析软件的计算机,最好当然是笔记本电脑。同时,还应当准备好所将设备连接入目标网络的所需的线缆,以及其它与此次风险评估相关的所有工具和文档,并将它们统一管理。
一个风险评估策略不仅可以包括上面已经列出的这四个方面,还可以在其中添加与评估任务实际需求相关的内容,例如加入说明此次评估任务的具体流程和细节,各种注意事项等等。并要求所有的评估人员,严格按照这个风险评估策略中的内容来进行具体的评估工作。
一个风险评估策略是一个需要技术和经验并重的工作,而且需要考虑的内容很多,一个人不可能将风险评估项目相关的所有方面考虑周到。因此,在制定风险评估策略时,应当发动所有评估人员,以及评估对象的使用人员和设备供应商代表等一起来分析制定。
对于信息系统风险评估来说,如果准备工作越充分,后续的风险评估过程就越有效率,评估过程中出现的错误就越少,评估的最终给果就越真实有效。如果在准备过程中疏忽了某些内容,特别是制定的安全风险评估策略出现考虑不周的情况,要是没能在执行风险评估前检查出来,就会使最终的风险评估结果偏离实际,这样就会让我们空担心一场,或空欢喜一场。
| 共2页: 1 [2] 下一页 | ||||
|
;QQ联络:1360095750。