政府部门信息系统安全风险分析要点探究

1、政府部门信息系统安全风险分析要点探究742009-04doi:10.3969.issn.1671-1122.2009.04.026政府部门信息系统安全风险分析要点探究袁艺芳摘要:本文以政府部门信息系统为对象目标,通过对政府部门信息系统特点的分析把握,阐述安全风险分析的要点,步骤和方法,以期从客观,实用的角度,尽可能获得最贴近政府部门信息系统安全风险实际的分析结果,为政府部门正确制定安全对策,实施正确的安全防范措施奠定坚实的基础.关键词:安全漏洞;安全威胁:安全风险中图分类号:TP393文献标识码:C0概述措施,建立符合客观要求的安全防范体系提供依据.信息系统安全风险分析,是一种针对信息系统进行

2、的识别,确认安全漏洞和威胁,评估损失,确定安全对策的系统性方法.信息系统安全风险分析是作为风险管理的重要工具,是信息系统安全管理的重要组成部分,也是顺利破解安全难题的一把金钥匙.对于一个从事安全管理的人员而言,能准确分析信息系统安全风险分析对象的特点,在全面确认安全漏洞以及安全威胁的基础上,依据信息系统安全风险分析的关键要点,步骤和方法,对信息系统实施综合的安全风险评估工作,是一项重要而基本的工作技能,对于提高发现问题和分析问题的能力起着至关重要的作用.信息系统安全风险分析过程分为不同的阶段.就政府部门而言,在国家法律法规及相关政策的指导下,按照计算机信息系统安全保护等级划分准则GB17859

3、1999】的标准和要求,对其管理的各类信息系统和资源开展价值估算和安全等级评估工作,是其中的第一个阶段.运用分析,探测评估工具和测试方法,或第三方评估机构,实现对政府部门重要信息系统的安全评估,确认信息系统系统存在的安全漏洞和威胁,是其中的第二个阶段.在满足国家有关信息系统与安全等级相应安全技术和管理要求的基础上,通过定性,定量的分析方法评估政府部门信息系统的安全风险和可能造成的损失.并依据评估结果,在有限的资金投入范围内,提出相应安全对策及建议,达到最优的资源配置,是其中第三阶段的内容,也是安全风险分析的根本目标和意义所在.政府部门的信息系统,普遍存在业务数据机密性要求高,业务连续性要求强,

4、网络结构相对封闭,信息系统架构形式多样等特点.因此,为排除或减少各层面的安全漏洞以及针对安全漏洞实施的威胁行为,确保相应安全对策的正确,科学,有效,使安全风险降低到可承受的范围内,需要政府部门组织有关机构和人员,按照安全风险分析的不同阶段和要点,科学运用分析步骤和方法,适时对政府部门信息系统开展安全风险分析和评估工作,为下一步采取具体的安全防范1安全风险分析的步骤1)确定风险分析的对象及其范围,性质,特点和安全要求.2)确认不同对象所存在不同层面的安全漏洞.3)分析不同安全漏洞可能引起的安全威胁.4)根据对象的特点,确定安全风险的性质和大小.5)降低,避免,转移,接受安全风险.2安全风险分析的

5、要点2.1安全风险分析的对象安全管理人员可以通过对对象目标的结构,范围,所处环境和安全原则和要求等要素的细化分析,从宏观上对信息系统可能的安全风险进行定性的把握(如图1所示).1)对象的范围要求:是对对象目标进行整体安全风险分析还是对关键局部进行安全风险分析;2)对象目标的基本安全要求:即从信息的机密性,可用性,完整性等特性考虑,确定安全风险分析必须遵循的安全特性要求.图1安全风险分析对象要素分布图3)对象目标所处的环境:即明确对象目标所处的物理环境和运行环境.4)对象目标的结构特点:通常而言,即明确分析对象是专用性质的封闭结构,使用用户集中于内部用户;还是通用性质的开放结构,使用用户同时包括

6、内部用户和外部用户.尽管安全风险分析的对象的类型千差万别,但以上对象的特性和要点是我们必须提前把握好的.不遗漏任何一个有可能影响风险分析结果的细节.这样做的结果可以为我们下一步锁定高安全风险点,有侧重地进行定量或定性的安全风险分析提供有力依据.现以政府部门以Web架构提供对外便民服务信息系统和仅在政府专网独立运行的某业务信息系统两个不同的分析对象为例,参照以上要素进行分析.对外便民服务信息系统具有相对开放的结构特点,用户一般为普通公众.便民服务业务对数据的可用性和完整性的要求往往大于其对机密性要求,安全风险范围贯穿前端Web访问到后端数据处理和反馈整个过程.而在政府专网上独立运行的业务信息系统

7、具有相对封闭的结构特点,用户一般为内部用户.用户对数据的完整性和机密性要求往往大于可用性要求,安全风险范围一般集中在特定的软硬件设备上.因此可以定性的认为,前一类信息系统面临的外部黑客攻击,非法入侵等威胁的概率较大,安全漏洞存在的范围较情况复杂.而后者面临的内部人员误操作,越权访问等威胁的概率大,安全漏洞存在的范围相对固定.加上对政府部门信息系统所处物理环境(如防地震等自然灾害的能力,电力系统,防盗防火防水设施等)以及运行环境(如操作系统类型及参数等)的分析,可以较客观地评估出信息系统的安全风险集中范围.2.2安全漏洞和威胁分析及确认2-2.1安全漏洞和威胁的分类安全漏洞和威胁的种类和类型十分

8、广泛,涉及网络,数据,系统,人员管理,物理环境等诸多方面,且随着计算机及信息技术的飞速发展,新的安全漏洞不断被发现,可能利用安全漏洞造成的安全威胁也日益增多.目前,国际上对安全漏洞和威胁的分类方法有许多,但从掌握的难易程度和运用灵活度上比较,还是按不同层次划分和按不同安全要素划分两种方法应用的范围最1)安全漏洞和威胁区分不同的层面,类型多样.包括从程序代码,网络协议,操作系统,应用配置到数据等诸多方面.参考OSI七层划分模式,从安全威胁发生的不同层次,理解各种安全漏洞和威胁,如物理层的搭线侦听,数据链路层的重包攻击,网络层的DDOS攻击和数据截获,传输层的TCP重发链接,应用层的病毒传播和非授

9、权访问等等.2)综合考虑安全管理和安全技术方面的因素,可按不同的安全要素划分安全漏洞和威胁.如:授权用户的越权访问,内部人员误操作,病毒的传播,黑客的恶意攻击行为,入侵者的破坏活动,大火引起的火灾,地震等自然灾害引起的设备损毁等等.2_2.2安全评估方法2.主要运用扫描分析工具,渗透测试,人为观察分析,调75查询问等方式,评估信息系统安全控制的能力.政府部门可以根据信息系统安全风险评估的需要,依照以上方法,并依据ISO17799的安全标准自行开展安全评估或者委托有资质的第三方安全评估机构进行测评.2_2_3安全漏洞的特-陛任何一个信息系统存在的安全漏洞通常是动态变化的,即安全风险评估存在一定生

10、命周期.随着安全策略,配置参数,应用功能等客观条件的变化,必然导致安全漏洞类型和数量的变化,从而最终改变系统安全风险分析的结果.2.2.4安全威胁的确认安全威胁一定是由安全漏洞引起的,但安全漏洞并不一定导致安全威胁.只有在必要的触发条件下'安全漏洞才可能成为对信息系统的现实威胁.前期对对象目标各因素的分析,对于安全威胁的确认起着十分关键的作用.通过以上的评估方法和手段,我们可以很清楚地了解到政府部门一个Web架构实现对外便民服务的信息系统,一般会存在DDOS等恶意攻击,非授权访问及合法用户的越权访问,黑客攻击,应用程序代码攻击,SQL注入等针对数据库的攻击,病毒传播,人为误操作,设备硬

11、件损坏等方面的安全漏洞和威胁.当然具体的类型和状况,会因安全管理程度,安全配置以及软硬件条件的差异而有所不同.2.3安全风险分析及统计通过对信息系统进行安全评估,明确存在的安全漏洞,并结合基础条件和对象目标因素的影响,分析出可能的安全威胁之后,下一步就是要对所有安全威胁进行分类,对有可能利用安全威胁,实施攻击破坏行为的发生概率进行估算.并对破坏行为实施后对信息系统造成的损失程度综合统计,最终形成安全风险分析报告.为构建适度合理,科学有效的安全防御体系,实现本部门信息安全的长期规划和战略目标提供事实依据.2.3.1分析及统计的指标参数【】安全风险就是在特定范围内,信息系统(包括有形资产和无形资产

12、)遭到损失的概率.损失可以是直接损失,包括数据遭到破坏,设备或系统崩溃,涉密信息遭窃取或泄漏,生产效率降低等等;也可以是因直接损失导致的投诉,政府部门形象破坏等方面的间接损失或延迟损失(delayloss).一个完整的安全风险分析和统计过程,涉及到的重要指标参数包括:有形资产或无形资产的价值,安全威胁发生的频率,安全威胁成功实施的概率以及引起损失的严重程度等等.2.3-2分析及统计的过程及步骤步骤l:确定资产价值步骤2:估算每个安全威胁可能造成的损失步骤3:估算每个安全威肋发生的概率(以一年i十算)步骤4:合计每个安全威胁每年造成的总损失7620o9.04安全风险分析及统计方法可分为定量分析和

13、定性分析两种.定量分析主要是将上述步骤中涉及的参数进行量化,并通过给事先制定的公式计算输入具体数值获得分析结果.往往定量分析方法得出的结果较直接,但每个参数计算过程相对复杂,同时涉及数学参考模型与现实环境的接近程度.定性分析主要是依据分级原则,在一定估值范围内对发生概率,严重程度等参数给予不同层次的参考数值.参考数值的一般来源于分析人员的直觉和经验.凶此,对于定性分析,分析人员的经验和能力十分重要.下面以某政府部门提供公众的Web架构对外便民服务信息系统为例,通过定量,老I生两种方法对其进行安全风险分析.表1为定量分析过程.表2为定性分析过程.表1安全风险定量分析示例蝣游哇酸中蜘姆茜&

14、amp;艟0梅怒螓粕篾脚4船l竹t?_1矗'rl¨_鼽衔±"Jl1,','j;.Kt'll1I【I哪,h驻嚣卷h一,科j镭趣机r1,l¨Ijt"l_-牟h通常,安全风险分析员会在意生分析之前,将涉及参数的性质按等级划分不同的层次,并赋予相应的估值或权重.如以1到5的范围分值表示从低到高的不同程度计算,表2为定性分析示例.表2安全风险定性分析示例l囊.?鼍哦或特晴北挺蟊仝舟鬟t.,f镌盘瓤啦疵柏概蠕t,ht诲1l*,i!"翦豫,'h-_¨f.3.4制定安全对策安全风险分析结果综合考虑了安

15、全风险发生概率,危害程度等因素,并对每一种可能的安全威胁给出了一定客观的估值.在资金投入有限的情况我们虽然不可能一次性解决所有安全威胁,但可以参照安全风险分析的结果,视不同情况采取减少,避免,转移和接受安全风险等不同程度的安全对策,建立起一个投资效益比值最优,客观,有效的信息系统安全保护机制.通过建立安全风险和损失程度(定性指标为例)作为数值参数的坐标系(如图2所示),我们可以将所有可能的威胁划分为四组,即紧急程度最高的c组,紧急程度相对较低的A组和紧急程度中等的B组和D组.通常,C组是我们必须加大资金投入和安全管理力度的部分,是实施安全保护措施的重点对象.一般可采用部署安全保护措施或者暂停可能造成风险的行为和活动来降低安全风险及损失程度.A组在一般情况下可以通过安全保护措施降低风险,如果条件允许,也可不采取任何安全措施,接受该部分可能造成的安全风险.B组和D组部分,我们可以综合资金投入量,本部门安全中长期规划和战略目标等其他因素,通过部署安全保护措施或者转移,接受部分风险的方