信息安全管理中态势分析初探.doc

信息安全管理中态势分析初探摘要本文将讨论目前企业信息安全管理当中风险分析的方法,并且讨论这些方法的不足之处, 从而提出信息安全管理的态势分析。文中从宏观和微观两个层面讨论了信息安全管理中态势分析的应用,对于安全风险管理提出一些指导性的建议。信息安全管理信息技术已经成为企业运营必不可少的一个部分, 信息系统的建设也日臻完善, 在此基础上信息系统的安全性要求已经被普遍接受并且日益整合到现有的规划和建设当中。然而, 信息安全不仅仅是一个技术问题,大量的实践证明设备的堆叠不能解决企业的安全问题,整个信息安全需要有一个体系来支撑。目前针对信息安全管理, 业界已经形成了一个比较完备的系统, 它包括安全策略、标准、基线、指南、手册、安全组织架构、安全意识与教育以及风险管理等诸多内容, 每一项都不可或缺,而其中最为核心的内容则是风险管理。信息风险管理( IRM )介绍所谓风险是指危害发生的可能性, 以及该危害能够带来的衍生影响。信息风险管理就是识别、评估风险, 从而将其降低到一个可接受程度, 并且部署安全控制措施从而维持这种程度的一系列过程。虽然信息安全风险管理是安全管理的核心, 但是从业界到企业对于其在整个体系中所发挥的功效却是相当孤立的。一方面 IT 部门更注重于技术手段的部署,从安全设备到应用、协议以及日常的恶意代码等, 而安全管理部门包括高层行政人员则脱离于企业实际的安全状况而制订企业的安全管理与运维策略。信息安全管理的目标实际可以分为战略目标( strategically goals) 、战术目标(tactical goals) 和日常运行目标(operational goals) 。无论何种目标, 其核心思想都是保证企业信息系统的安全平稳运行,从而保证企业商业目标的达成。企业商业目标最终会决定信息安全管理的各种形式和内容, 但是如何制订有效的战略和策略,则需要针对企业信息系统进行切实可行的安全风险分析。信息安全风险分析的方法关于信息安全风险管理, 其实自从概念提出以后, 长期以来一直缺乏真正具有可操作性的方案, 甚至往往以偏概全, 把简单的脆弱性分析当作了风险分析。经过多年的实践, 在业界逐渐形成了一些有价值的方法, 其中比较有代表性的是 NIST SP 800 系列, 尤其是 sp 800-30 《 Risk Management Guide for Information Technology Systems 》,它提出的一系列具有高可操作性的分析流程和方法。如下图所示,它实际揭示了一个目前很通用的方案: 关于信息安全管理, ISO 有几个相关标准, 最著名的就是 ISO17799 , ISO27001 , 它们分别来源于 BS7799 part I和 PartII , BS7799 的第一部分, 勾画出了信息安全的控制目标及其对应的控制对象,第二部分则讲述如何建立一个信息安全管理体系( ISMS )。在 PartII 当中, BS7799 提出了一些风险分析的方法,跟 NIST 提出的方法实际是互通的。另外 GMITS ( ISO13335 ) 也提出安全管理的具体指南, 其中值得关注的就是在风险值计算采用了相乘法和矩阵法。通常来讲,风险分析需要归结于风险值的计算,目前有定量分析和定性分析两种方式, 更多的是采用两者相结合的方法, 因为纯粹的定量几