- 相關(guān)推薦
風(fēng)險(xiǎn)分析評(píng)價(jià)報(bào)告
隨著人們自身素質(zhì)提升,我們使用報(bào)告的情況越來越多,報(bào)告具有雙向溝通性的特點(diǎn)。那么什么樣的報(bào)告才是有效的呢?以下是小編整理的風(fēng)險(xiǎn)分析評(píng)價(jià)報(bào)告,供大家參考借鑒,希望可以幫助到有需要的朋友。
一、引言
信息時(shí)代為國家和個(gè)人提供了全新的發(fā)展機(jī)遇和生活空間,但也帶來了新的安全威脅。信息安全的威脅可能來自內(nèi)部的破壞、外部的攻擊、內(nèi)外勾結(jié)的破壞和信息系統(tǒng)自身的意外事故等,因此我們應(yīng)按照風(fēng)險(xiǎn)管理的思想,對(duì)可能的威脅和需要保護(hù)的信息資源進(jìn)行風(fēng)險(xiǎn)分析,以便采取安全措施,妥善應(yīng)對(duì)可能發(fā)生的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估是依據(jù)國家信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的過程。根據(jù)ISO27001的管理思想,信息安全風(fēng)險(xiǎn)評(píng)估在信息安全管理的PDCA環(huán)中是一個(gè)很重要的過程,如何處理信息安全風(fēng)險(xiǎn)評(píng)估所產(chǎn)生的數(shù)據(jù),是每一個(gè)信息安全管理者都非常迫切需要解決的一個(gè)問題。最好的解決方法是開發(fā)出一套實(shí)用性強(qiáng)、可操作性高的系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估管理工具。
二、風(fēng)險(xiǎn)評(píng)估過程
信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)是針對(duì)組織開展信息安全風(fēng)險(xiǎn)評(píng)估的過程。這個(gè)過程包括對(duì)信息系統(tǒng)中的安全風(fēng)險(xiǎn)識(shí)別、信息收集、評(píng)估和報(bào)告等。風(fēng)險(xiǎn)評(píng)估的實(shí)施過程如下頁圖1。
1.評(píng)估前準(zhǔn)備。在風(fēng)險(xiǎn)評(píng)估實(shí)施前,需要對(duì)以下工作進(jìn)行確定:確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)、確定風(fēng)險(xiǎn)評(píng)估的范圍、組建風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)、進(jìn)行系統(tǒng)調(diào)研、確定評(píng)估依據(jù)和方法、制定評(píng)估計(jì)劃和評(píng)估方案、獲得最高管理者對(duì)工作的支持。
2.資產(chǎn)識(shí)別。資產(chǎn)識(shí)別過程分為資產(chǎn)分類和資產(chǎn)評(píng)價(jià)兩個(gè)階段。資產(chǎn)分類是將單位的信息資產(chǎn)分為實(shí)物資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)和無形資產(chǎn)六類資產(chǎn)進(jìn)行識(shí)別;資產(chǎn)評(píng)價(jià)是對(duì)資產(chǎn)的三個(gè)安全屬性保密性、可用性及完整性分別等級(jí)評(píng)價(jià)及賦值,經(jīng)綜合評(píng)定后,得出資產(chǎn)的價(jià)值。
3.威脅識(shí)別。威脅識(shí)別主要工作是評(píng)估者需要從每項(xiàng)識(shí)別出的資產(chǎn)出發(fā),找到可能遭受的威脅。識(shí)別威脅之后,還需要確定威脅發(fā)生的可能性。
4.脆弱性識(shí)別。評(píng)估者需要從每項(xiàng)識(shí)別出的資產(chǎn)和對(duì)應(yīng)的威脅出發(fā),找到可能被利用的脆弱性。識(shí)別脆弱性之后,還需要確定弱點(diǎn)可被利用的嚴(yán)重性。
5.已有安全措施確認(rèn)。在識(shí)別脆弱性的同時(shí),評(píng)估人員將對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn),評(píng)估其是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅。
6.風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)評(píng)估中完成資產(chǎn)賦值、威脅評(píng)估、脆弱性評(píng)估后,在考慮已有安全措施的情況下,利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)。
三、系統(tǒng)設(shè)計(jì)
1.用角色設(shè)計(jì)。系統(tǒng)角色分為三種類型,各用戶在登錄后自動(dòng)轉(zhuǎn)入各自的操作頁面。A.超級(jí)管理員:擁有系統(tǒng)所有權(quán)限;B.評(píng)估項(xiàng)目管理員:可以對(duì)所負(fù)責(zé)的評(píng)估項(xiàng)目進(jìn)行管理,對(duì)評(píng)估人員進(jìn)行分工和權(quán)限管理;C.評(píng)估人員:負(fù)責(zé)由項(xiàng)目管理員分配的測(cè)評(píng)工作,將評(píng)估數(shù)據(jù)導(dǎo)入系統(tǒng)。
2.系統(tǒng)模型。根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理的業(yè)務(wù)需求,我們構(gòu)建了以安全知識(shí)庫為支撐,以風(fēng)險(xiǎn)評(píng)估流程為系統(tǒng)主要業(yè)務(wù)流,以受測(cè)業(yè)務(wù)系統(tǒng)及其相關(guān)信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估要素為對(duì)象的信息安全風(fēng)險(xiǎn)評(píng)估綜合管理系統(tǒng)模型,系統(tǒng)模型如圖2所示。
3.系統(tǒng)功能設(shè)計(jì)。信息安全風(fēng)險(xiǎn)評(píng)估綜合管理系統(tǒng)的功能模塊包括:①風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理:評(píng)估項(xiàng)目管理模塊包括評(píng)估項(xiàng)目的建立、項(xiàng)目列表、項(xiàng)目設(shè)置等功能。主要輸入項(xiàng):項(xiàng)目名稱、評(píng)估時(shí)間、評(píng)估對(duì)象等;主要輸出項(xiàng):項(xiàng)目計(jì)劃書。②信息安全需求調(diào)研管理:該模塊用于用戶填寫安全調(diào)研問卷,為安全評(píng)估提供數(shù)據(jù)支持。主要輸入項(xiàng):用戶ID、調(diào)查答案;主要輸出項(xiàng):?jiǎn)柧順?biāo)題、調(diào)查題內(nèi)容。③資產(chǎn)識(shí)別。系統(tǒng)提供的資產(chǎn)識(shí)別,包括:硬件、軟件、數(shù)據(jù)等,根據(jù)業(yè)務(wù)系統(tǒng)對(duì)組織戰(zhàn)略的影響程度,對(duì)相關(guān)資產(chǎn)的重要性進(jìn)行評(píng)價(jià);主要輸入項(xiàng):評(píng)估對(duì)象(信息資產(chǎn))、賦值規(guī)則;主要輸出項(xiàng):資產(chǎn)識(shí)別匯總表、資產(chǎn)識(shí)別報(bào)告。④威脅識(shí)別。威脅識(shí)別:系統(tǒng)提供多種網(wǎng)絡(luò)環(huán)境的威脅模板,支持和幫助用戶進(jìn)行威脅識(shí)別和分析,并提供資產(chǎn)、脆弱性、威脅自動(dòng)關(guān)聯(lián)功能:主要輸入項(xiàng):評(píng)估對(duì)象、賦值規(guī)則;主要輸出項(xiàng):威脅識(shí)別匯總表、威脅識(shí)別報(bào)告。⑤脆弱性識(shí)別。脆弱性識(shí)別:系統(tǒng)可提供多種系統(tǒng)的脆弱性識(shí)別功能,包括:主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等對(duì)象的脆弱性識(shí)別。系統(tǒng)支持常用漏洞掃描軟件掃描結(jié)果的導(dǎo)入,目前支持的掃描系統(tǒng)有:Nessus、NMap等,主機(jī)系統(tǒng)支持:Windows、Linux、Unix等,數(shù)據(jù)庫支持:MSSQL、Oracle等:主要輸入項(xiàng):評(píng)估對(duì)象、漏洞掃描結(jié)果、賦值規(guī)則;主要輸出項(xiàng):漏洞掃描報(bào)告、脆弱性識(shí)別匯總表、脆弱性識(shí)別報(bào)告。⑥安全措施識(shí)別。安全措施識(shí)別:系統(tǒng)提供基于技術(shù)、管理等方面的安全措施檢查功能,幫助用戶了解目前的安全狀況,找到安全管理問題,確定安全措施的有效性:主要輸出項(xiàng):安全措施識(shí)別匯總表、安全措施識(shí)別報(bào)告。⑦風(fēng)險(xiǎn)分析。系統(tǒng)通過資產(chǎn)評(píng)價(jià)、脆弱性評(píng)價(jià)、威脅評(píng)價(jià)、安全措施有效性評(píng)價(jià)、風(fēng)險(xiǎn)分析等工作,可自動(dòng)生成安全風(fēng)險(xiǎn)評(píng)估分析報(bào)告。主要輸入項(xiàng):評(píng)估對(duì)象、資產(chǎn)值、脆弱性值、威脅值、安全措施值、計(jì)算規(guī)則;主要輸出項(xiàng):風(fēng)險(xiǎn)計(jì)算匯總表、風(fēng)險(xiǎn)分析報(bào)告。⑧評(píng)估結(jié)果管理。主要功能是對(duì)歷史記錄查詢與分析。匯總所有的安全評(píng)估結(jié)果進(jìn)行綜合分析,并生成各階段風(fēng)險(xiǎn)評(píng)估工作報(bào)告,主要包括如下:《資產(chǎn)識(shí)別報(bào)告》、《漏洞掃描報(bào)告》、《威脅識(shí)別報(bào)告》、《脆弱性識(shí)別報(bào)告》、《控制措施識(shí)別報(bào)告》、《風(fēng)險(xiǎn)分析報(bào)告》。并可對(duì)當(dāng)期風(fēng)險(xiǎn)評(píng)估結(jié)果和原始數(shù)據(jù)進(jìn)行轉(zhuǎn)存或備份。在有需要時(shí)能調(diào)出評(píng)估歷史數(shù)據(jù)進(jìn)行查詢及風(fēng)險(xiǎn)趨勢(shì)分析。⑨信息安全知識(shí)庫更新維護(hù)。信息安全知識(shí)庫的更新維護(hù)主要對(duì)象有:系統(tǒng)漏洞庫、安全威脅庫、安全脆弱點(diǎn)庫、控制措施庫。為避免造成數(shù)據(jù)的冗余,系統(tǒng)將在各評(píng)估項(xiàng)目中需要反復(fù)使用的數(shù)據(jù)歸入基礎(chǔ)數(shù)據(jù)庫進(jìn)行管理,在進(jìn)行評(píng)估活動(dòng)時(shí)再從基礎(chǔ)庫提取有關(guān)數(shù)據(jù),這樣也能減少重復(fù)的輸入工作。⑩數(shù)據(jù)接口。導(dǎo)入數(shù)據(jù)接口:資產(chǎn)庫、脆弱點(diǎn)庫、威脅庫、控制措施庫。支持以下常用的格式:如EXCEL文件等;常用的漏洞掃描工具:如綠盟、啟明星辰、NESSUS、NMAP等。
四、結(jié)束語
該系統(tǒng)設(shè)計(jì)是以信息安全風(fēng)險(xiǎn)評(píng)估工作流程為基礎(chǔ),進(jìn)行信息安全評(píng)估項(xiàng)目管理、風(fēng)險(xiǎn)要素?cái)?shù)據(jù)收集與輔助風(fēng)險(xiǎn)分析的系統(tǒng),在實(shí)際風(fēng)險(xiǎn)管理過程中,可引入了質(zhì)量管理理念――PDCA循環(huán),即通過監(jiān)控每一階段的信息系統(tǒng)風(fēng)險(xiǎn)情況,及時(shí)發(fā)現(xiàn)問題,不斷調(diào)整風(fēng)險(xiǎn)控制工作計(jì)劃,從而實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理的工作目標(biāo)。
【風(fēng)險(xiǎn)分析評(píng)價(jià)報(bào)告】相關(guān)文章:
銀行風(fēng)險(xiǎn)分析報(bào)告11-25
銀行風(fēng)險(xiǎn)分析報(bào)告02-23
銀行風(fēng)險(xiǎn)分析報(bào)告04-19
企業(yè)風(fēng)險(xiǎn)隱患分析報(bào)告范文11-18
防范汛期安全風(fēng)險(xiǎn)分析報(bào)告05-12
汛期安全風(fēng)險(xiǎn)分析報(bào)告(精選5篇)02-16
銀行風(fēng)險(xiǎn)分析報(bào)告(7篇)06-10
(經(jīng)典)銀行風(fēng)險(xiǎn)分析報(bào)告7篇08-23