【星海随笔】信息安全管理与法律法规

理解信息安全管理、网络风险分析与评估概念、影响互联网安全的因素、网络安全的主要风险

网络风险分析

基本概念、 基本原则、 法律地位

人的因素是信息安全的一个重要方面。
网络安全管理是指对所有计算机网络应用体系中各个方面的安全技术和产品进行统一管理与协调，进而整体上提高整个信息系统安全防御入侵、抵抗攻击的能力的体系。
通常，建立一个安全管理系统包括多个方面，如技术上实现的计算机安全管理系统、为系统定制的安全管理方针、相应的安全管理制度和人员等。
实现性能良好的网络信息安全管理需要对网络风险做全面的评估。
保障信息安全是一项复杂的系统工程，需要多管齐下、综合治理。
目前信息安全技术、信息安全标准和信息安全法律法规已成为保障信息安全的三大支柱。

信息安全管理

网络风险分析与评估

网络信息已在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。
【网络信息系统】都依靠【计算机网络接收和处理信息】，【实现相互间的联系和对目标的管理、控制】。
以网络方式【获得信息】和【交流信息】已成为现代信息社会的一个重要特征。
网络正在逐步改变人们的工作方式和生活方式、成为当今人类生存的第五空间。
随着信息产业发展而产生的互联网和网络信息的安全问题。

1.影响互联网安全的4个方面
互联网的开放性、互联网自身的脆弱性、安全威胁与攻击的普遍性

互联网的开放性

TCP/IP栈的通用
不受地理限制、不受平台约束

互联网自身的脆弱性

软件的错误数量与软件的规模成正比。既大部分软件设计初期是无法确定规模的，基于垂直扩展导致的安全漏洞增多。

安全威胁与攻击的普遍性

攻击互联网的手段越来越简单、越来越普遍。
工具功能越来越强大，攻击者需要的知识水平越来越低。

安全管理的困难性

发展迅速、人员流动频繁、技术更新快。
管理受不同国家、地理、政治、文化、语言等多种因素限制。

风险评估是对【信息】及【信息处理设施】的威胁、影响、脆弱性及三者发生的可能性的评估。
它是确认安全风险及其大小的过程，既利用定性或定量的方法，借助风险评估工具、确定信息资产的风险等级和优先风险控制。

风险评估是风险管理的根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一。

风险评估包含网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互连、与第三方业务伙伴进行网上业务数据传输、电子政务等业务

采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可接收的水平。

风险评估的重点从操作系统、网络环境发展到整个管理体系。
在信息安全、安全技术的相关标准中，风险评估均作为关键步骤进行阐述
如ISO/IEC 27000 系列标准、NIST SP 800-30等。
定性分析、定量分析。

风险评估的过程逐渐转向自动化、标准化。
其意义在于

[1]明确企业信息系统的安全现状。在进行信息安全风险评估后，企业可以准确的了解自身的网络、各种应用系统以及管理制度规范的安全现状、从而明晰自己的安全需求。
[2]确认企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受风险等处置措施。
[3]知道企业信息系统安全技术体系与管理体系的建设。如：部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、公钥基础设施(PKI)等，健全信息安全管理体系，包括安全组织保障、安全管理制度及安全培训机制等。

网络安全的风险

危险有恶意的和非恶意的
恶意的又分为理智的和非理智的

典型的危险主要为
[1]软、硬件设计故障导致。
负载或失效瘫痪等
[2]黑客入侵。
偷盗机密，破坏企业形象等
[3]敏感信息泄露。
发送人员错误，配置错配，访问权限没有严格设置
[4]信息删除。
权限不当，管理不当

网络风险评估要素的组成关系
【安全措施】->【威胁】->【风险】/【脆弱性】->【风险】/【资产】

1. 业务战略依赖资产实现。
2. 资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大。
3. 资产价值越大，其面临的风险越大。
4. 风险是由威胁引发的，资产面临的威胁越多，风险越大，并可能演变成安全事件。
5. 弱点越多，威胁利用脆弱性导致安全事件的可能性越大。
6. 脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险。
7. 风险的存在及对风险的认识导出安全需求。
8. 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本。
9. 安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响。
10. 风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。
11. 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

网络风险评估的模式

涉及信息系统本身、机构的组织系统、管理制度、人员基本素质。
评估目标、评估范围、评估原则、评估实施过程以及安全加固实施建议。

对信息系统而言，威胁是动态的，风险、安全也是动态的

安全风险评估是基础，信息安全策略，采取适当的控制目标与控制方式对风险进行管理，从而达到加强系统安全性、降低系统风险性的目的。

目标：
准确客观评价的同时，量化现有系统的风险性
选择适当的安全保护措施以帮助组织机构建立起一个完善的、动态的信息系统安全防护体系
管理与控制风险，是风险被避免、转移或降至一个可被接受的水平。

评估范围
针对具体的组织机构，确定安全风险的评估范围，可以有效地帮助评估目标的实现。
一般情况下，可从3个方面进行评估，既组织层次、管理层次以及信息技术层次。

组织层次
包括各组织机构的安全重视情况、信息技术机构的安全意识、关键资产理解情况、当前组织策略和执行的缺陷、组织脆弱点等。

管理层次
包括人员安全管理、安全环境管理、软件安全管理、运行安全管理、设备安全管理、介质安全管理及文档安全管理。

信息技术层次
硬件设备包括主机、网络设备、线路、电源等，系统软件包括操作系统、数据库、应用系统、备份系统等，网络结构包括远程接入安全、网络带宽评估、网络监控措施等，数据备份/恢复包括主机操作系统、数据库、应用程序等的数据备份/恢复机制。

评估原则
标准性原则、规范性原则、可控性原则、全面性原则、最小影响原则、保密性原则

风险评估理论模型的设计和具体实施应该依据相关标准进行。

风险评估的过程以及过程中涉及的文档应该具有很好的规范性，以便于项目的跟踪和控制。

在风险评估项目实施过程中，应该按照标准的项目管理方法对人员、组织、项目进行风险控制管理，以保证风险评估在实施过程中的可控性。

从管理(组织)和技术两个角度对系统进行评估，保证评估的全面性。

评估工作应尽可能小地影响组织机构信息系统和网络的正常运行。

评估过程应该与组织机构签订相关保密协议，以承诺对组织机构内部信息的保密。

评估实施过程
前期准备阶段

本阶段的主要工作是明确风险评估的目标、确定项目的范围、具体的成果表现形式以及最终指定的项目计划，同时明确个人职责和任务分工、以及进行项目实施的相关工作。

现场调查阶段

本阶段主要进行现场的调查工作，包括人员访谈和调查。调查由两部分组成，分别对组织机构的信息系统、安全管理策略、关键资产的安全状况进行收集与整理，形成调查报告，为下一阶段的工作打好基础。

风险分析阶段

本阶段的主要工作是根据现场收集的资料，结合专业安全的知识，对被调查组织机构的信息系统所面临的威胁、系统存在的脆弱性、威胁事件对信息系统以及组织的影响进行系统的分析，以最终评估信息系统的风险。

安全规划阶段

本阶段的主要工作是根据第三阶段的成果选择适当的安全策略，并结合组织机构具体的应用特点形成策略体系，为最终的决策提供参考。

安全加固实施建议

技术措施

技术措施主要包括安装和配置防火墙、入侵检测系统(IDS)和防病毒软件；实施加密和身份验证机制；定期更新和修补软件漏洞等。

管理措施

管理措施主要包括制定和实施安全政策与程序；提供安全培训；进行定期的安全审计和评估等。

物理措施

物理措施主要包括加强物理访问控制；保护关键硬件设施；实施灾难恢复和业务连续性计划等。

持续监控和改进

持续监控和改进主要包括实施持续的监控和日志分析；定期进行安全测试和演练；根据新出现的威胁和技术，不断更新安全措施等。