关键词:信息安全;安全生产风险管理体系;风险评估;风险控制
0引言
随着信息化建设的飞速发展和普及,各行各业的网络化、信息化水平显著提高,无论是电网安全稳定经济运行还是企业管理业务运转都离不开信息化系统的支持,在信息化带来高效率的同时不得不考虑网络化带来的安全问题。企业信息安全管理的有效性,关系企业或国家机密,一旦面临威胁和遭遇攻击,就会给企业或国家带来严重的损失[1]。目前在我国电力企业信息安全管理领域,信息安全风险管理依然研究不够深入,较多采取的基于问题的管理方式,遭到攻击或同类行业遭到攻击后,进行系统排查,查找系统漏洞,然后堵住漏洞,这种被动式的管理方式为企业的安全生产埋下较大安全隐患。安全是企业的生命线,只有事前做好各类防范和应急处置,管控风险是实现安全生产的重要保证,在电力企业信息化建设过程中建立一套基于风险的信息安全管理体系,降低信息安全事件发生概率是现代电力企业需要深入研究的问题[2]。
1风险管理体系概述
1.1安全生产风险管理体系概念
安全生产风险管理体系是南方电网借鉴国际先进安全管理理念的基础上,基于电网实际情况提出的了一种安全生产风险管理思路和方法,以风险管控为主线、以“计划-实施-检查-改进(PDCA)“闭环管理为原则,系统地提出了安全生产管理的具体内容,指明了风险管控的目标、规范要求和管理途径,为南方电网安全生产管理和作业提出了具体的工作指引[3]。安全生产风险管理体系核心思想为“基于风险、系统性、规范性、持续改进”:基于风险是指企业应基于实际面临的风险确定核心业务和基于各类风险管控脉络及影响业务目的性的风险因素业务流程节点的设计;系统性是指企业在设计管理系统框架及业务流程节点时,保证流程节点的充分性并遵循PDCA的闭环管理模式,理清业务与业务之间的输入、输出关系;规范性是指企业应明确各项工作的执行标准,确保执行标准的唯一性、科学性,同时企业各部门、生产单位、班组能够按照标准开展工作,保证企业管理的统一性;持续改进是指企业应建立完善的问题发现机制及问题改进机制,能够及时发现系统运行过程中存在的问题并进行改进,同时不断地完善企业管理系统的策划,实现管理系统的持续改进。自2007年建立以来,全网范围内风险管控方法得到有效应用,安全生产管理基础得到进一步夯实,主要安全生产指标持续向好。
1.2基于风险的信息安全管理框架
南方电网安全生产风险管理体系,为电网企业提供了非常有效的一套安全生产管理方法,其基于风险的管理思路遵循国际通用的“危害识别、风险评估、风险控制、风险回顾”风险管控模型,强调事前风险分析和评估、事中落实管控措施、事后总结回顾和改进,目前主要应用在电网、设备、作业和职业健康风险管控上,并取得了不错的成绩,也为信息安全管理带来了有益的启示,即可以通过引入该方法和结合业务实践建立基于风险的信息安全管理框架,探索信息安全风险管理长效机制[4]。
2基于风险的信息安全风险管理体系建立的重要环节
2.1确定风险评估的目标
从管理目的出发,是安全生产风险管理体系的一个重要思想,以目的为导向,分析在现状下实现目的存在的障碍因素,也就是管理关键流程节点,从而确定业务的管理脉络,实现以基于风险的管理思路,最终达到业务工作的系统化和规范化。信息安全管理目标就是要实现信息系统的基本安全特性,并达到所需要的保障级别[3]。信息安全的基本安全属性包括资产的保密性、完整性和可用性,资产的三性对于维持现金流动、企业效益、法律法规要求等是非常必要的。企业的风险评估目标来源于企业中长期发展战略目标的需求,满足相关方的要求、满足法律法规的要求等方面[4]。
2.2风险识别
风险识别是指在运用各种方法全面、系统地识别出在信息安全管理中的风险,找出潜在的原因。一个组织的信息系统和网络可能是严重威胁的目标,同时,由于企业信息化水平的逐步提高,对于信息系统和服务技术的依赖日益增加,企业可能出现更多的脆弱性[5]。在信息安全管理中主要从资产、威胁、脆弱性三个角度识别风险。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产的三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响[6]。信息安全管理的最终目标是在满足企业中长期发展对信息化水平要求的同时,确保信息安全的三性,降低信息安全事故事件发生的概率。影响该目标实现的因素有危害因素识别是否全面、风险评估结果是否准确、措施是否有效,因此选择合适的风险评估办法和模型,对信息安全管理来说至关重要。
2.3信息安全风险评估
2.3.1信息安全风险评估模型
风险评估是在确定影响信息安全风险评估的三个维度的基础上,选择定性或者定量的风险评估方法,对识别出的风险发生的可能性或可能导致的后果进行衡量,并根据评估结果划分风险等级,然后建立分层分级的管控措施。在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险值=R(A,T,V)=R(L(T,V),F(A,V))。
2.3.2信息安全风险评估实施与运行
(1)信息安全风险概述通俗来讲,风险概述就是风险的管理方案,基于风险评估的结果,制定年度风险管控重点工作安排,为年度安全生产工作计划提供方向。概述报告编制时,应充分考虑风险数据的输出应用,为涉及相关单位(部门)的管理提供输入。风险概述报告至少包含以下信息:风险描述、风险范畴、风险细分种类、风险等级和风险控制措施,并按风险等级排序。(2)风险控制风险控制是在风险评估之后,控制措施建议应综合考虑风险控制成本与风险造成的影响,结合法律法规、国家、行业、上级主管单位和公司有关政策要求以及当前的重点任务统筹考虑选择合适的风险控制措施。风险控制方法一般按照以下顺序进行选择:消除/终止、替代、转移、工程、隔离/闭锁、行政管理、个人防护等。总的来说控制措施从管理措施和技术措施两个方面提出,优先考虑技术措施。属于组织结构不完善的,建立信息安全组织体系。属于管理措施的融入管理办法,编制各层次的信息安全管理体系文件,包括信息安全管理制度、人员安全管理制度、信息系统项目建设管理制度、信息系统运维管理制度,明确管理要求;属于物理安全隐患的,加强机房、门控、安保系统和队伍建设;属于信息系统保护的,纳入信息安全项目建设计划,提高防病毒、漏洞补丁、安全配置、安全认证、访问控制、数据加密、入侵检测等保护能力;属于作业过程执行的措施,将信息安全管控要求纳入作业指导书、“两票”等作业标准,减少人的因素引发的信息安全事故事件;属于人员技能和意识的纳入教育培训计划;属于信息安全应急响应的建立信息安全应急预案或现场处置方案,并按照演练计划开展应急演练[7]。
2.4风险监测
风险控制措施制定后需要对措施的有效性进行评估,年度风险预控措施计划表。风险控制措施应明确责任单位(部门)、责任人、完成时间。在制定风险控制措施时,应避免控制措施带来新的风险。结合年度风险预控措施表和变化识别内容,制定月度风险监督计划,并明确各项预控措施执行情况的各级监督部门,确保风险措施按计划落实执行。
2.5管理回顾,持续改进
PDCA闭环管理是安全生产风险管理体系核心之一,通过定期开展管理回顾,审视信息安全风险管控的有效性,进而形成长效机制持续改进。在回顾过程中注意以下几个方面:(1)识别变化,优化管控手段企业所面临的内部和外部环境不是一成不变的,当变化产生时需要及时识别也调整管控措施。当法律法规变化时需要及时对法律法规风险进行识别和融入;当国际、国内信息安全态势发生变化、信息安全漏洞不断涌现时及时更新防护技术手段、优化管理标准、更新应急处置方案,并保存变化过程的相关资料。(2)建立纠正与预防系统安全生产风险管理体系核心思想之一就是持续改进,通过建立问题发现机制和问题改进机制最终实现企业的管理水平持续提升[8]。在信息安全管理方面,纠正与预防的来源包括信息安全防护系统检测情况、系统运行分析统计、外部信息安全形势、检查发现问题等,并进行根本原因分析,制定纠正或预防措施,通过评估措施的有效性,进行统计输出应用,输出应用到信息安全管理制度、能力与意识提升等各个环节,进而确保企业的信息安全管理水平得到持续提升。
3结语
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
论文关键词:软件企业;信息安全;风险管理
随着国家大力推动软件外包行业和it行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全重要性日益凸显。互联网和it技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2007年5月~2008年5月间,有62.7%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为85.5%,遭到端口扫描或网络攻击的占31.4%,垃圾邮件占25.4%。
信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全问题,有如下典型的信息安全问题急需解决。
(1)网络共享与恶意代码防控。
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的qos下降,甚至系统瘫痪不可用。
(2)信息化建设超速与安全规范不协调。
网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。
(3)信息产品国外引进与安全自主控制。
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
(4)it产品单一性和大规模攻击问题。
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。
(5)it产品类型繁多和安全管理滞后矛盾。
目前,信息系统部署了众多的it产品,包括操作系统、数据库平台、应用系统。但是,不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之问安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
(6)it系统复杂性和漏洞管理。
多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
(7)攻击突发性和防范响应滞后。
网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
(8)口令安全设置和口令易记性难题。
在一个网络系统中.每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、ftp口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
(9)远程移动办公和内网安全。
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全”就成了一个许多单位都面临的问题。
(10)内外网络隔离安全和数据交换方便性。
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
(11)业务快速发展与安全建设滞后。
在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全滞后”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是亡羊补牢,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
(12)网络资源健康应用与管理手段提升。
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。
(13)信息系统用户安全意识差和安全整体提高困难。
目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:用户选取弱口令,使得攻击者可以从远程直接控制主机;用户开放过多网络服务,例如:网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;用户随意安装有漏洞的软件包;用户直接利用厂家缺省配置;用户泄漏网络安全敏感信息,如dns服务配置信息。
(14)安全岗位设置和安全管理策略实施难题。
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
(15)信息安全成本投入和经济效益回报可见性。
由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命,成了“救火队员”。
为了解决信息安全问题,保护企业信息的安全,建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全,通过建设信息安全管理体系中降低组织存在的信息安全风险的方法,来提高组织信息的安全性。由此可见信息安全风险管理,是我们建立信息安全管理体系的一个重要环节,也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。
1.信息安全风险管理概述
我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理,风险管理被认为是良好管理的一个组成部分,其过程如图1所示。
2.确定范围
在建立信息安全管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织isms的范围,那么风险管理的范围应该和我们确定的isms的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中
3.风险分析
风险分析是标识安全风险,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:
(1)识别评估资产。
在isms中所识别评估的资产有别于常见的固定资产,这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时,我们需要选择适合的分类原则和识别粒度。在软件企业中,通常把资产划分为硬件、软件等方面,还需要对这些方面进行细分,也就是进行二级分类。
在评估资产时,我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值:
①资产属于“高”等级重要度,赋值为“3”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成严重或无法挽回的经济损失;
②资产属于“中”等级重要度,赋值为“2”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成一定的经济损失;
③资产属于“低”等级重要度,赋值为“1”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成轻微的经济损失。
(2)识别评估威胁。
我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。
(3)识别评估脆弱性。
脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。
(4)识别评估控制措施。
在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:
①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全管理要求;
②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全管理要求;
③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息安全管理要求。
控制措施的有效性是我们风险评价的依据之一。
4.风险评价
风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:
(1)分析评估可能性和影响。
“可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:
①可能性级别“高”,赋值为“1”,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;
②可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;
③可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。
在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:
①影响级别“高”,赋值为“l00”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;
②影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。
③影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。
参考“风险分析”中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用脆弱性的可能性就比较高,影响也比较高,均属于“高”等级。
可能性和影响都是我们进行风险评价的依据。
(2)评价风险。
在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:
①“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;
②“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;
③“低”等级风险:如果被评估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。
5.风险处置。
风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:
①行动优先级排序。
行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。
②评估建议的安全选项
评估建议的安全选项主要考虑安全选项的可行性和有效性。
③实施成本效益分析。
对建议的安全选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。
④选择控制措施。
在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。
⑤责任分配。
根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。
⑥制定控制措施的实施计划。
明确控制措施的具体行动时间表。
⑦实现所选择的安全防护措施。
根据各自不同的情况,所实现的安全防护措施可以降低风险级但不会根除风险,实现安全防护措施后仍然存在的风险为残余风险,残余风险需经过组织管理者批示,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。
查找信息资产存在的漏洞,结合现有控制措施,分析这些威胁被利用的可能性和造成的影响,根据可能性和影响评估风险的大小,提出风险控制措施的过程。《国家信息化领导小组关于加强信息安全保障工作的意见》在2003年9月被提上日程(简称27号文),提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”。为了贯彻27号文的精神,进一步识别信息系统存在的风险,并对其进行控制,很多单位启动了风险评估项目。而风险评估项目又不同于一般的IT项目,有其自身的特点。
2信息安全风险评估项目的过程管理
可以从五个方面解释信息安全风险评估项目的生命周期,即数据收集、计划准备、数据分析、项目验收、报告撰写,其中一三五是风险评估的主要实施阶段。
2.1计划准备阶段
(1)制定项目章程。在信息安全风险评估项目中,应尽早确认并任命项目经理,最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程,而该章程则具有授权的作用,即它能够使得经理能够运用组织资源来进行项目的实施。显而易见,项目经理是被授权的一方,必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源,他们能够参与章程的编制。
(2)确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能,例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等,甚至一些人为的因素也是重要的参考。
(3)明确风险评估成果。在信息安全风险评估项目中,应该在项目开始之前,与客户将项目提交的成果及要求确定下来。明确风险评估成果之后,在项目执行过程中,该目标也应该作为项目验收的标准。
(4)制定项目实施方案。项目实施方案是项目活动实施的具体流程,主要用来为项目实施提供技术指导。
(5)制定项目管理计划。如果想要计划实施过程一切顺利,或者说对定义等计划行动的过程需要记录的话,就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余,相反应该极其精炼,但是精炼并不意味着简单,相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。
(6)组建项目团队。一个优秀的项目团队是完成项目所必不可少的,是一种必须的人力资源。在项目开始时,一般而言,由项目经理来决定优秀团队的组成,并且在组建团队时应该注意谈判技巧。
(7)召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作,是一个项目的启动阶段,在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。
(8)风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训,以便项目能顺利实施。
2.2数据收集阶段
主要包括收集资料、现场技术评估、现场管理评估三项任务。
(1)收集资料。数据收集阶段最开始的步骤肯定是收集资料,简而言之,收集资料就是采取一切可行的方法,尽可能详细地获得和项目相关的一些信息,例如客户的行为习惯、客户业务相关的文档,甚至信息安全系统、信息化流程等信息都要尽量详细化。
(2)现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。
(3)现场管理评估。现场管理评估是最后一个步骤,但是却非常重要,它不仅关系着此次项目运行成功与否,还关系到以后项目效率的改进,现场评估需要对项目进展的流程进行综合分析,找出不足之处,寻出与优秀的项目管理之间的差距,归纳总结,从而完善管理程序。
2.3数据分析阶段
收集数据阶段已经收集了很多的数据存量,想要发现数据的内在规律,从而发现有用的东西,就必须对数据进行详细分析,只有仔细分析数据,才能够发现项目的风险所在,从而确定风险的大小,找出其资产、弱点、风险。
2.4报告撰写阶段
对收集到的数据进行了详细分析,得到初步的结论以后,就到了报告撰写阶段,即在数据分析的基础上,制作一份报告,论述项目的风险问题。
(1)撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来,让管理层清楚地了解当前信息系统存在的风险。
(2)撰写整改报告。整改报告则是根据风险评估的结果,提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。
2.5项目验收阶段
在完成了以上的步骤以后,理论上就可以对项目进行验收了,项目验收即对前期风险评估成果的检验,一般包括三项内容,即报告的评审、组织会议讨论验收事宜以及内部项目总结。
(1)报告评审报告评审就是对风险评估报告及整改报告进行评审。
(2)召开项目验收会即对项目的成果进行汇报。
(3)内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾,还是一个经验总结的过程,回顾过去,把握现在,争取在以后的项目中不再犯同样的错误。
3信息安全风险评估项目的重点领域管理
信息安全问题影响深远,其风险评估应根据项目的特点及具体过程,且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。
3.1项目沟通管理
为了达到项目目标,项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持;其次,为了获得客户的支持与配合,提高项目满意度,项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望,首先应该识别干系人,识别他们的需求与期望,制定沟通计划,在项目实施过程中管理干系人的需求与期望。
(1)识别干系人。很显然,与项目的相关程度不同,不同的人对项目信息安全风险具有不同的影响,作为客户方与项目实施方,其公司企业的信息安全风险是不一样的,一般而言客户方具有最大的影响力,公司方则次之,干系人对项目的态度也是影响项目信息安全风险的重要因素,态度一般分为无关、支持和反对三个。
(2)了解干系人的需求与期望。应该在充分了解项目背景的基础上,运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书,甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的,一般而言会分成很多的情况,比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求,然后通过换位思考、沟通交流等手段,进一步确认干系人的需求与期望。
(3)制定沟通计划。信息安全风险评估项目需要沟通,所以需要制定一个有效的沟通计划。信息安全风险评估项目不能够随意地制定沟通计划,而应该详细地分析相关的影响因素,重点关注利益相关者的沟通情况,从而降低影响,提高效率。
(4)管理干系人的需求与期望。干系人的期望与需求也应该得到恰当的管理,最重要的是要明确期望与需求,进行类别的划分。可分为A、B、C三类:A类:必须做(need),这一类如不做,将难以通过验收;B类:应该做(want),这一类如不做,会影响验收效果;C类:可以做(wish),这一类是可做可不做的,做了客户会更加满意,不做也不会影响验收。其次,在管理干系人的需求与期望时,应该遵循80/20规则,即完成20%的任务实现80%的价值,这部分任务必须作为重点。另外,可能还有20%的任务花费80%的成本,在资源及时间允许的情况下处理此类需求与期望。再次,在管理干系人的需求与期望时也可以根据干系人的职权(权力)进行管理。①在第一象限中的干系人权力高,但对项目关注程度低,采用令其满意的管理策略。②在第二象限中的干系人权力高,且对项目关注程度高,要对其重点管理,优先满足其需要与期望。③第三象限的人员对项目关注程度高,但权力较低,采用随时告知的策略,尽量不要影响其个人利益。④第四象限的人权力低,且对项目不关注,要监督他们对项目的反应,不引起负面影响。最后,为了满足干系人的需求与期望,需要在项目范围、项目时间、项目成本、项目质量之间做好平衡。
3.2项目范围管理
范围是一个空间的范畴,一个项目管理的范围规定了一个项目的权限范围,规定了项目可以做哪些事情,而哪些事情是不能做的,实际上是对必要工作的坚持和对不必要工作的摒弃。
(1)明确风险评估范围。项目计划准备时就要考虑风险评估范围,在这一阶段就应该定义项目范围的广泛性以及纵深等内容,并且考虑客户的需求,从而明确项目管理范围。项目范围的确定不是一方所能够决定的,相反这是一个博弈的过程,应该照顾各方的利益,制定出一个符合各方利益的项目管理范围。
(2)明确风险评估成果。应该在项目开始之前,与客户将项目提交的成果及要求确定下来。一是在项目执行过程中,以此为目标;二是设定一个验收项目的标准。
(3)创建工作分解结构。顾名思义,创建工作分解结构即将解构分解,即把项目的最后结果和其工作流程明细化,从而使得每一步变得简单,更加容易操作。在信息安全风险评估项目中,第一层一般就放置项目成果,而第二层则更加侧重中间成果。显而易见,分解工作结构并不是一件简单的事情,也不是只有一种方法,各层次都是可以相互变化的。
(4)风险评估范围控制。范围是所有计划的基础。对待客户提出范围变更应该遵循以下流程:首先不能明确拒绝,然后要分析客户变更的原因及目的,快速反应变更所需要的人工及预算对时间和质量的影响,然后再做出决定。
(5)风险评估成果核实。风险评估成果核实过程应该严谨而且细心,因为这是一个正式验收项目的过程,需要由客户和项目的执行人一起认真核实项目的最终结果。
(6)取得干系人对项目范围正式认可。它要求审查可交付成果和工作结果,以保证一切均已正确无误且令人满意地完成。
3.3项目时间管理
时间管理至关重要,因为优秀的时间管理保证项目能够不延期交付。
(1)定义活动。定义活动从字面上理解就是一个识别的过程,定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤。它是在工作分解结构的基础上进行细化而完成的。
(2)排列活动顺序。活动顺序涉及到的是一个排列的问题,指的是一种依赖关系,即识别和记录项目活动的依赖关系,是一种逻辑的过程。一般而言,这里所指的依赖关系指的是信息安全风险评估项目中,各个活动之间所具有的特性,如强制性、选择性和外部依赖性。确定完活动之间的依赖关系,就可以对他们进行排序了,可以采用网络图的方法来表达他们之间的顺序,常有三种关系,即完成-开始,开始-开始,结束-结束。
(3)估算活动持续时间。估算活动持续时间是一个时间上的范畴,指的是估计资源运用和消耗,以及估计完成一项活动所需工时的过程。需要根据活动的具体情况、负责活动的人员情况来进行估算。估算不能随意,应该具有严格的依据。工时估算时,常采用三点估算法。即估算工时=(最乐观时间+4×最可能时间+最悲观时间)/6。①制定进度计划。制定进度计划首先需要对所掌握的信息进行深入分析,从而确定活动的顺序,并且在时间和空间上确定一个相对准确的点,估算对资源的需求以及项目实施流程。制定一个有效的进度计划并不是件简单的事情,而是极其复杂的过程,在这期间需要一遍又一遍分析,从而确定一个合适的时间跨度,并且对项目结果有一个合适的预期。即使制订了进度计划,也不是一成不变的,而是要根据相关审查部门的意见适当地修改计划,从而使得计划在时间和资源应用上更加合理。只有审查通过以后,这个进度计划才可以说是确定下来了。信息安全风险评估项目极其复杂,很多因素无论是内部的还是外部的,都对项目有很大的影响,并且鉴于有限的项目组成员,所以需要采用一个更加合适的进度计划形式。②控制进度。控制进度的同时也是一个对项目监督管理的过程,这一过程根据进度计划的基准不断地调整项目的进程。进度控制程序:一般分为四个步骤,即先要分析一个项目所散发的状态信息;然后如果需要调整进度,就要调整影响进度的相关参数;再次分析以后,要确定一个项目是否在原定的轨道上;如果进度脱离了轨道,就要进行相应的管理。
3.4项目成本管理
成本管理包括估算成本、制定预算、控制成本三项任务。
(1)估算成本。对成本的估算需要囊括整个项目的进程,时间跨度和空间跨度上均要全面。成本估算是在某特定时点,根据已知信息所做出的成本预测。信息安全风险评估项目的主要成本是人工成本及实施直接成本,因为人工成本占了所有成本的一大部分,所以精确地估算人工成本是成本估算最基础的一面。估算人工成本有个前提,即进度计划是准确的,从而对团队成员的人工估算做到精确。项目成本即使估算出来了,也不一定是准确的,需要时时修正,因为越到了项目的后期,需要估计的越少,影响估算准确性的因素也越少,所以成本估算需要不断进行。
(2)制定预算。制定预算也是一个估算的过程,是对一个项目的所有方面进行一个全面的评估,从而为以后资金的拨付制订了基础和基准。只有制定预算,才能够根据预算的需求来划拨资金,并且影响到了项目的实施全过程和成果评估部分。
(3)控制成本。成本的控制一般而言指的是成本不应该超出预算,控制成本是一个动态的过程,是监督项目状态,从而获得有用信息以更新项目预算。项目成本控制包括:找出影响项目成本的因素,并作相应的修改;保证修改项目参数能够成功;在修改成功以后,要随时动态地监督;控制成本,使得成本控制在预算的范围之内,甚至应该精确到每一项开支;分析成本与预算成本基准之间的差距;对照资金支出,监督工作绩效;严格禁止不相关的支出,使得每一项成本都合情合理;向有关干系人汇报项目进展和成本控制的工作;即使项目超支了,也要尽量减少成本。
3.5人力资源管理
人力资源管理在一个项目执行时包括很多方面的内容,例如管理组织一个实施团队、人员分工等。
(1)制定人力资源计划。制定人力资源计划是在项目实施之前对实施项目的团队、人员、职务、报酬等方面的规划,并且对各个人和团队的责任进行详细划分。人力资源计划包含项目角色与职责记录、分成的各个部门等。一些信息安全风险评估项目执行时间比较长,因此需要更加有效的团队,这就需要对人员进行培训以及制定团队建设策略等。风险评估项目的责任分配并不复杂,可采用责任分配矩阵(RAM),这个矩阵能够显示工作包或活动与项目团队成员之间的联系。并且根据需求的不同,制定不同层次的矩阵。
(2)组建项目团队。组建项目团队实际上是对人力资源使用和分配的过程,需要了解人力资源的各种特性,从而组建最合适的管理团队,在组建团队时需要注意:项目经理所要做的是积极地与人力资源人员进行交流,充分掌握各方面的信息,从而获得最合适和最有效率的人才。但是有时候项目经理并不能总是如愿地获得自己想要的人力资源,而是会受到如经济等其他项目对资源的占用等因素的影响,从而制约了项目的实施,作为替代,项目经理可能不可避免地使用不合适的人力资源。
(3)管理项目团队。管理项目团队是选出来运营项目的人所组成的团队,他们具有多样化的目标,例如继续学习,提高团队成员的专业技能,增强团队的执行能力从而保证项目结果的按时交付;以最低的成本完成最高质量的项目;按时完成项目,团队成员之间相互协作,增加团队效率,丰富团队成员的知识,增强其跨学科运作能力,提高团队的凝聚力,无论整体上还是个人上都有效率的提升等。项目经理在期间应该全权负责项目团队的管理运作,增加项目绩效,在团队出现问题时,分析导致问题的原因,然后解决问题。团队建设一般要经过5个阶段:①形成阶段,这个阶段是团队形成的最初阶段,团队成员只是互相认识,并没有相应的合作。②震荡阶段,指的是团队已经开始运作,但是成员之间需要磨合的阶段。③规范阶段,过了磨合期以后,团队成员彼此之间逐渐适应了彼此的节奏,能够进行初步合作了,团队开始有成为一个有效整体的趋向。④成熟阶段,这一阶段团队成员之间已经能够精诚合作,互补余缺,相互学习,团队效率较高。⑤解散阶段,即当项目完成以后,各成员完成了职责,从而脱离团队。因为各种各样的原因,例如缺乏充足的资金、进度安排不合理、团队成员之间缺乏配合等,会造成项目环境的冲突。如果项目经理能有效管理,则意见分歧能够转变为团队的多样化管理,不仅能够提高团队创造力还有利于做出更好的决策。如果管理不当,团队之间的分歧没有得到解决,就可能会加大团队成员之间的鸿沟,从而对项目的实施产生负面的影响。要建设高效的项目团队,项目经理需要获得高层管理者的支持,获得团队成员的承诺,采用适当的奖励和认可机制,创建团队认同感,有效管理冲突,团队成员间增进信任和开放式沟通,特别是要有良好的团队领导力。项目团队管理的一些工具与技术包括:①人际关系技能。通过了解项目团队成员的感情来预测其行动,了解其后顾之忧,并尽力帮助解决问题,项目管理团队可大大减少麻烦并促进合作。②培训。旨在提高项目团队成员能力的全部活动,培训可以是正式或非正式的。应该按人力资源计划中的安排来实施预定的培训。③制定管理规范,对项目团队成员的可接受行为做出明确规定。尽早制定并遵守明确的规则,可减少误解,提高生产力。规则一旦建立,全体项目团队成员都必须遵守。④认可与奖励。如果想要提高项目团队的效率,使得每个人更加尽心和更加富有责任感,就应在团队建设过程中引进相应的激励机制,在制定项目计划时就应该考虑到团队成员的奖惩问题。在管理项目团队的过程中,团队成员的奖励不是随意而发的,而是通过项目绩效评价,以正式或非正式的方式做出奖励决定。只有优良行为才能得到奖励。
3.6项目风险管理
项目风险管理旨在降低风险,或者把风险控制在可控范围之内。其目标是尽力使得项目运行向着有利的方面转化,对消极负面的一部分则注意防范。信息安全风险评估项目不属于特别大的项目,所以一般分为识别风险、评价风险、规划风险应对、监控风险四个过程。
(1)识别风险。识别风险是风险管理的前提,是一个信息处理的过程,在这个过程中判断分析什么样的风险会影响项目。可采用核对表的方式进行风险识别。
(2)评价风险。对于信息安全风险评估项目,评价风险只需要定性评价即可。实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素来评估已识别风险的优先级。
(3)规划风险应对。规划风险应对是风险管理最重要的步骤,其规划的是项目的目标及降低风险的步骤。对于消极风险,常有回避、转移、减轻、接受四种方式;对于积极风险,常有开拓、分享、提高、接受四种方式。
(4)监控风险。监控风险是风险管理的最后一步,也是第一步,因为它是贯穿在整个项目之中,是一个制定风险应对计划、监控已知风险、加强管理以解决风险以及发现新风险的过程。
4结语
关键词 银行业;信息科技;风险安全
中图分类号:F832.2 文献标识码:A 文章编号:1671―7597(2013)031-140-01
1 安全评估概念及作用
安全评估是信息科技风险安全评估的简称,是指组织依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。安全评估是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出决策的过程。信息安全管理应基于安全评估,只有在正确地、全面地识别风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,并决定需要调动多少资源、以什么的代价、采取什么样的措施去化解、控制风险。
2 安全评估主要标准及实践
信息安全评估涉及范围广,相关安全标准也十分庞杂。其中ISO27005-2008明确了安全评估方法及流程,在全球范围内得到了广泛的应用。国内安全评估标准《信息安全技术 信息安全风险评估规范》(GB20984-2007)采用的评估方法基本与ISO27005一致,明确了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
3 银行业安全评估现状及存在问题分析
随着业务发展需要及监管要求,国内商业银行越来越重视信息科技风险管理工作,信息安全评估逐渐成为信息科技风险管理的基础性工作,但国内商业银行信息安全评估管理与国外银行相比存在较大差距。一是安全评估体系不健全。大部分商行银行未明确安全评估管理的组织机构,缺少安全评估管理制度,未建立符合本行风险管理需要的安全评估体系。二是安全评估流程不规范。很多商业银行安全评估尤其是自评估缺少标准的流程控制,安全评估工作随意性强,大部分评估流于形式或依赖于个人经验,安全评估的结果不能真实的反映客观存在的风险。三是安全评估人才匮乏。安全评估工作具有较强的专业性,对评估人员的能力要求较高,而很多商业银行评估人员未经过相应的培训,缺少经验,并不真正具备安全评估的能力。四是安全评估方法不科学。商业银行评估尤其是自评估主要依据制度列表或个人经验,很难发现深层次问题并对风险准确定性,评估结果对风险处置的指导意见有限。五是安全评估数据积累不足。国内外主要的安全评估方法,需要根据历史事件统计事件发生概率,目前,很多商业银行尚未建立事件统计分析机制。
4 安全评估管理的主要思路
通过研究国内外信息科技风险安全评估标准、规范及实践,提出了商业银行信息科技风险安全评估管理思路。
4.1 建立安全评估组织体系
信息安全风险评估组织体系建设应充分考虑安全评估自身特点,并应结合商业银行的风险管理体系,安全评估的组织体系应包括两个方面:一是建立安全评估日常管理体系。该部分体系应在信息科技风险管理体系的基础上,明确高管层、信息科技风险管理部门、信息科技管理部门及其它相关部门的安全评估职责;二是建立安全评估项目管理机制。商业银行组织安全评估时应成立项目管理组织,并严格按照项目管理的流程对安全评估进行有效控制。
4.2 建立信息安全风险评估标准流程
安全评估流程是安全评估标准化的控制手段,能够有效的控制安全评估的目标、范围、过程及质量,安全评估需要建立以下标准流程:一是安全评估的组织流程,即安全评估审批、总结、汇报等流程;二是安全评估的项目管理流程,安全评估应采用项目的管理方式进行组织,并按项目管理流程组织评估并形成项目阶段成果;三是安全评估的评估方法流程。安全评估根据标准的评估方法,并结合评估对象的特点,从资产识别、威胁识别、脆弱性识别、风险评估、已有措施确认等方面,建立明确的评估方法流程并明确流程各阶段主要工作成果及输出文档。
4.3 培养专业信息安全风险评估人员
专业的安全评估人员是安全评估的基本保证,应加大对信息安全风险评估人员的培训力度,培训主要从以下几个方面进行:一是加大评估管理要求、评估流程的培训力度,让评估人员能够了解信息科技安全管理的要求,掌握安全评估组织、项目及方法流程;二是加大信息安全知识培训力度,评估人员应全面学习信息安全的相关知识,了解目前信息安全面临的主要威胁及存在风险;三是加大安全评估技术培训力度,评估人员应了解安全评估相关技术,熟练掌握常用的安全评估工具;四是加大信息系统相关技术培训力度,安全评估要求评估人员应了解主机、网络及应系统等相关技术细节,应组织相应的技术培训,扩大评估人员的知识范围,并使评估人员深入了解各系统的技术细节。
4.4 引入安全评估工具
为实现安全评估的专业化,商业银行应逐步引入和使用风险评估工具,风险评估工具包括以下三类:一是专业安全评估设备及软件,如漏洞扫描设备、安全审计平台等。二是专门的风险计算工具,如风险统计及计算表格,该类表格根据标准的计算方式,能够给出相对准确的风险量化值。二是风险管理系统,对风险进行汇总、统计及处置跟踪。
4.5 建立风险评估数据积累机制
安全风险评估的准确与否依赖于大量信息安全相关数据,因此,需要建立风险评估数据积累机制:一是确定信息安全事件的收集、整理及汇总机制,信息安全事件统计来源分为外部和内部两个渠道,外部事件应根据安全部门、监管部门的通报进行收集,内部事件通过安全事件报告汇总。二是建立信息系统数据积累机制,统计和汇总不同设备及系统的安全要求,按标准格式形成评估要点文档,作为相关评估的主要依据。
参考文献
[1]ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系要求[M].
[2]ISO/IEC 27002:2005 信息技术 安全技术 信息安全管理实用规则[M].
[3]ISOIEC 27005-2008 信息技术 安全技术 信息安全风险管理[M].
[4]GBT 20984-2007 信息安全技术信息安全风险评估规范[M].
[5]GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求[M].
【关键词】信息系统;风险;安全管理
0.引言
任何信息系统的应用,都会有风险相伴生,风险是永远客观存在的,怎样防范风险、怎样控制风险,是信息化建设过程中必须应对的问题。只有对于风险有全面的认识和正确的把握,才能有效应对风险的挑战。中国农业发展银行(本文简称农发行)会计综合业务系统和CM2006信贷管理系统的应用,一方面为农发行的业务提供了有力的科技支撑,而另一方面,系统在应用中也会存在各种各样的潜在风险。客观分析、正确认识系统应用中存在的风险, 积极探索、采取有效措施解决存在的风险至关重要。
1.信息系统风险分析
1.1对系统应用风险的认识不足
信息科技的特点决定了风险无轻重,漏洞无大小,大问题往往都是由小问题、小漏洞引起的。在实际工作中,大家往往对应用风险问题都表现出不同程度的漠视,或者错误的认识,认为信息系统应该达到安全可靠,要求系统提供商承诺软件系统功能无差错,要求系统提供商承担系统错误造成的损失和影响。
1.2系统硬件环境风险
系统的运用,依赖于特定的硬件环境,例如服务器、网络等等,这些环境依赖大量的硬件设备,这些设备自身都存在一定的故障率,这类故障发生时必然影响系统正常运行。
1.3系统所采用的技术带来的风险
任何信息系统的建设总是利用一定的技术手段进行实现,会计综合业务系统和CM2006系统使用了JAVA、ORACLE数据库、中间件、应用服务器等,这些技术手段虽然都是商业化的,但其自身也是一个信息产品,受制各种客观因素,依然不可能根除出现错误的可能,在这些技术手段之上构建的信息系统自然会受到这些风险的影响。
1.4系统建设和改造过程中的风险
系统建设和改造中,经历了需求调研分析、系统规划设计、系统开发测试、系统实施等几个过程,这些过程中都存在导致日后系统出现错误造成损失的风险。例如:改造的需求调研阶段,技术人员对需求认识的局限性,将造成未来系统的局限性。在日后系统应用过程中,当这种局限性的条件满足时,可能对系统的使用产生影响;系统改造中的开发测试阶段,每一项功能都是由技术人员编写程序代码实现,此项工作繁琐且复杂,人非机器,错误是不可绝对避免,开发的质量需要测试工作来保证。测试工作只是模拟未来的使用方式来验证系统,不可能对系统进行全方位的验证,系统出错的可能性永远存在。
1.5系统使用、维护过程中人的风险
系统的最终价值是通过人的使用发挥出来的,在系统的使用中,操作人员不当操作可能造成错误;系统维护中,维护人员的能力、经验的欠缺,可能对系统引入新的错误,这些都是导致损失发生的风险。
1.6系统的应用高度集中,风险扩大
信息技术对农发行业务发展的支持,经历了从最初的单机、单点应用,演变到现在的通过网络化应用,以数据集中、业务处理逻辑集中为代表的综合业务系统和CM2006系统是具体的表现;目前的自动化、集中化处理降低了信息化建设的成本、增强了系统的灵活性,这些进步既是技术发展的方向,也是农发行管理变革的要求。但同时,风险也相应增大了,一个小小的错误,可能会影响到全国农发行系统整个业务的连续性。
1.7网络风险
信息技术发展到今天,网络技术创新和迅速普及,为信息技术的广泛应用奠定了基础,网络成为提升服务质量、扩宽业务的一个重要的手段。但另一方面,随着信息技术的飞速发展,网络环境日益严峻复杂,各种威胁信息安全的事件也大幅增加,入侵手段也越来越复杂,这一切,给我行的网络安全带来了更加严峻的考验。2007年2月7日农发行发生了一次网络风暴,整个系统因各种原因导致达2个小时的生产网络无法正常通信,产生了较为严重的后果。
2.安全管理对策
2.1提高思想认识
(1)领导要高度重视。各级行领导层应从关系到银行生死存亡的高度来认识信息技术风险防范工作的重要性,持之以恒地抓好信息安全工作,实行“安全工作一把手”负责制,落实安全工作“一票否决制”。
(2)要全员参与。信息技术风险控制涉及各个部门、各个环节,仅靠一个部门是做不好的,必须建立各部门共同参与的协调工作机制,齐抓共管。
(3)要有忧患意识。不要在技术上近乎完美,却因一时主观疏忽而满盘皆输。如严格规定不准任何员工随意进入机房,但却忘了防范清洁工;花大手笔购置故障率为千万分之一的服务器,却忘防范监控录像带轻易流入二手市场。
2.2加强技术防范
(1)建立密码技术信息安全保障体系。建成身份识别与认证、信息保密、数字签名、密钥管理以及银行卡安全应用等需要的密码技术信息安全保障体系。
(2)建立网络漏洞扫描和入侵检测系统;同时还安装内网非法外联检测系统,及时发现银行内网非法外联情况。
(3)建立防火墙系统,给防火墙制定安全可靠的访问控制策略,对外隐藏内部重要业务系统。
(4)建立计算机病毒防治系统和补丁自动分发系统,并将银行计算机病毒防治系统纳入国家计算机病毒应急中心应急体系。
(5)建立网络安全控制策略,如按资金业务和办公业务将银行内部网进行划分,实现资金业务和办公业务在局域网的Vlan划分和访问控制,在广域网的分道传输和负载均衡,重点保障资金业务安全运行,并防止内部员工作案。
(6)加强银行信息系统软件平台的安全,如采用安全级别较高的操作系统,防范黑客利用操作系统平台本身的漏洞来攻击银行信息系统、同时可屏蔽掉应用系统的部分安全漏洞。
(7)加强计算机机房实体防护。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,安装电视监控系统和环境检测系统。对重要计算机应安装电磁屏蔽,以防止电磁辐射和干扰。安装机房设备远程监控系统,随时监控电源、空调、服务器、网络设备等的运行情况。
(8)定期做好银行技术维护资料的收集、整理与汇编,使科技人员在日常技术维护中,找到窍门、少走弯路,增强对业务系统故障高效处理的能力。
2.3完善内控制度
完善内部控制制度,制订相应的人防、物防、技防和联防制度。其中,人防制度是指针对与计算机信息系统相关的人而建立起来的安全防范制度,包括岗位责任制、业务运行管理制度、人员管理制度等;物防制度是指保证计算机信息系统各种设备实体安全而建立起来的相应制度,包括环境安全、设备安全、媒体安全等;技防制度是指技术防范制度,主要包括保证操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与信息鉴别等方面的制度;联防制度是指在计算机系统中的各个不同个体间的横向防范制度,如业务系统主管、业务操作员、程序维护员之间的相互制约制度,行业安全管理部门与公安部门、设备与软件供应商、生产商之间的横向协调及分工负责制度等。
2.4强化队伍建设
银行内部员工,既是信息系统的最大潜在威胁,也是最可靠的安全防线。这就需从以下几个方面来强化内部队伍建设。
(1)加强思想道德建设。
(2)加强业务技术培训。
(3)建立分级管理体制,使各级管理人员的权利和责任明确划分。
(4)留住技术人才,建立一个与科技人员相适应的弹性人事制度。
(5)加强信息安全人才建设,从科技人员中选拔政治立场坚定、事业心强,技术过硬的人员来充实信息技术安全管理队伍。
2.5实施等级保护实施等级保护
首先就是要根据国家风险评估有关标准,采取以自评为主、委托评估和检查评估为辅的方式,在银行信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估,加强对银行信息系统投产运行和重要应用变更前的风险评估。重要的信息系统,如与资金业务密切相关的支付清算系统等,要求每两年至少要进行一次评估,根据评估结果,及时整改存在的问题,实施安全加固。完成风险评估后,根据银行信息资产重要程度,合理定级,将不同资产和对象划分为关键、重要和一般三个级别,实施等级保护。
2.6建立应急体系
针对数据大集中新格局,农发行要建立应急体系,也应同步规划、同步建立灾难备份系统。同时,要建立应急预案演练制度,定期组织有业务部门参与的演练和生产系统实战演练,定期对双机热备系统进行切换演练。
3.结束语
随着当今信息技术的飞速发展,我们还应不断地完善各种信息系统风险防范的技术和制度,并一丝不苟地将各种制度、技术落到实处,才能保证信息系统的始终正常稳定运行。
【参考文献】
[1]谌玺,张洋.企业网络整体安全.电子工业出版社,2011,(08).
【关键词】数字化 医院 信息管理系统 安全风险
伴随着信息化技术的飞速发展,数字化开始受到了人们的普遍关注,在越来越多的领域得到了应用。现阶段,医院普遍都建立起了相应的信息管理系统,并且其正逐渐由单纯的信息管理向其它业务延伸,在医院正常运转中发挥着越来越重要的作用。针对当前医院信息管理系统中存在的安全风险,管理人员应该制定切实可行的风险应对策略,保障系统的运行的安全性和可靠性。
一、医院信息管理系统的安全风险
医院信息管理系统是指在医院管理以及医疗活动中,进行信息管理和联机操作的计算机应用系统,同时也是覆盖医院所有业务以及业务所有流程的信息管理系统,能够利用计算机以及通讯设备,为医院各部门提供病人诊疗信息、行政管理信息等,实现信息的收集、存储、整理、提取以及交换,可以满足授权用户功能需求的平台。医院信息管理系统的安全直接影响着医院网络服务的质量,关系着医院的正常运转,其重要性不言而喻。
从目前来看,在医院信息管理系统中,存在着大量的安全风险,包括了硬件风险、软件风险、管理风险以及环境风险四个方面的内容,之所以会如此,一方面,医院管理人员并没有认识到信息管理系统安全的重要性,将目光更多的放在了系统的实用性而非安全性上,因此并没有投入相应的经费去进行系统安全防护模块的建设及维护,导致系统中存在着较大的缺陷和漏洞,给系统安全带来很大的隐患;另一方面,医院病没有制定与信息管理系统密切相关的制度和措施,导致在系统管理方面缺乏严谨性与可靠性,加上缺乏先进的技术支撑,在系统的安全维护方面相对薄弱,影响了系统的运行安全。
二、医院信息管理系统安全风险的应对策略
(一)提高系统安全意识
只有意识到了信息管理系统安全的重要性,树立起了相应的系统安全意识,才能够真正确保风险防范措施的有效落实。因此,对于医院而言,应该加强信息系统的安全教育,成立相应的安全领导小组,对任务进行分配和落实,确保其都能够认识到系统安全的重要性。同时,应该制定出切实可行的管理制度,对领导小组和管理团队的行为进行约束,确保其能够全身心地投入到各自的工作中去,强化责任意识。另外,医院财政管理部门应该设置专门的系统安全管理资金,对一些影响系统安全的薄弱环节进行统计,增大设备、技术以及管理方面的资金投入力度,避免由于设备缺陷、技术不足以及管理漏洞影响系统安全管理工作的成效。
(二)构筑风险评估机制
相关统计数据显示,在医院信息管理系统中,多数安全风险都可能会带来难以估量和弥补的损失,严重时甚至可能会间接导致病患的伤亡。而对安全风险进行分析,其多数都是由于没有能够及时发现和排除风险因素。对此,医院应该结合自身实际,构筑相应的风险评估与检测机制,及时做好系统检测工作,发现其中存在的不足和漏洞,寻找问题的解决策略。对于一些尚未表现出的问题,应该通过系统的日常维护管理,发现其潜在风险,做好必要的预防和规避措施,尽可能消除其对于医院的影响[2]。从机制的落实层面考虑,应该设置完整的安全检测计划,安排专门的计划执行人员,成立系统安全管理小组,确保其能够在医院各部门的配合下,对安全检测计划进行有效落实,确保各项工作的有序、规范进行。
(三)选择可靠硬件设备
硬件设备的质量在很大程度上关系着系统的运行安全,要想确保医院信息管理系统的安全运行,离开了高稳定、高可靠和高性能的硬件设备的支持是不可能的。对于医院而言,应该认识到这一点,不能为了缩减资金而使用一些缺乏保障的产品。对于一些关键性设备,如交换机等,不仅需要确保其可靠性,还必须设置备用,确保设备出现突发性故障时可以迅速替换,保障信息管理系统的正常运行。应该做好硬件设备的维护管理和检测工作,及时对一些老化的设备和部件进行更换,对设备内部的积尘进行清理,对设备运行的环境进行优化,确保硬件设备的稳定可靠运行。
(四)重视数据备份管理
数据备份在应对系统风险方面发挥着非常关键的作用,可以有效减少数据丢失对于医院运转造成的影响。当前,许多医院在数据备份上往往只能做到定期备份或者针对某个时点的备份,而无法做到实时备份,这样并不能有效规避风险。从目前的技术条件分析,数据库的实时备份包括了硬件同步和软件同步两种,可以在同一时刻将数据写在两个甚至多个不同的位置,从而避免了数据的损坏或者丢失。对于系统管理人员而言,应该对数据库备份策略做到心中有数,并在模拟机上进行数据恢复试验,以确保备份数据的有效性。
(五)完善网络防护措施
在当前数字化、网络化的环境下,医院信息管理系统面临着病毒、木马以及非法入侵的威胁,必须设置完善的网络防护系统。从目前来看,比较有效的防护措施,一是物理隔离,将医院信息管理系统运行的网络独立出来,切断病毒传播的途径;二是防毒软件,减少和预防病毒的传播与扩散;三是端口控制,防止设备非法接入网络,减少网络遭受攻击的机率。
三、结语
医院信息管理系统的安全关系着医院的信息安全,也关系着医院自身的运行安全,应该得到足够的重视,做好相应的风险评估和检测,及时发现系统中存在的安全风险和风险隐患,采取切实有效的预防和应对措施,对风险进行规避和处理,保障医院信息管理系统的安全可靠运行。
参考文献:
[1]陈宁,李成华,李晖,曾永杰.医院信息系统安全风险规避管理策略研究[J].电脑知识与技术,2015,(28).
参照信息安全风险评估规范等标准来说,信息设备信息安全风险包含三个要素,即脆弱性、威胁和资产,每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。具体风险分析原理图如图1所示。从图1中可以发现,信息设备所面临的信息安全风险并非某种单一来源的安全威胁,而是三种要素互相影响、互相关联的某种动态的平衡关系,而信息设备的风险管理本质上讲是对这三种要素造成的安全风险程度的可控管理。
2信息设备全生命周期风险管理
信息设备全生命周期风险管理包括信息设备规划设计阶段、部署阶段、测试阶段、运行阶段和废弃阶段,每个阶段的内容如图2所示。规划设计阶段应能够描述信息系统建成后对现有模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的目标。这个阶段,风险威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。部署阶段是根据规划设计阶段分析的威胁和制定的安全措施,在设备部署阶段应进行质量控制。测试阶段是对已经部署完成的信息设备结合前期规划设计方案的要求对采购来的信息设备进行全面的测试,包括基础测试、功能性测试及安全性测试等。运行阶段让信息设备稳定运行并起到其应有的功能。该阶段应做好设备监控、脆弱性发现、设备异常报警、信息设备日志搜集和分析等工作。废弃阶段存在的风险包括未对残留信息进行适当处理、未对系统组件进行合理的丢弃或更换或未关闭相关连接,对于变更的系统,还可能存在新的信息安全风险,因为其可能替换了新的系统组件等。
3信息设备风险管理体系
传统的信息安全管理体系主要依据ISO27001相关标准搭建,ISO27001标准采用基于风险评估的信息安全风险管理,具体采用了PDCA模型过程方法来全面、系统、持续的改进组织的信息安全管理。ISO27001采用的PDCA模型不仅适用于传统信息安全管理,同时也适用于信息设备的安全风险管理。
3.1总体思路
信息设备风险管理总体借鉴PDCA管理模型的相关理念,将信息安全设计方案制定、各阶段的信息安全风险管理实施、各阶段信息安全管理检查、信息安全管理改进,形成一套有效的安全风险管理防护方法,对信息设备进行不同时间阶段、不同维度、不同重点的管理,有效防范和控制信息安全风险,增强信息安全体系的检测能力、保护能力,为用户开展风险管理提供全方位的管理思路。
3.2风险管理模型
融合传统风险管理的PDCA模型,将传统风险管理中动态模型的思路加以延续,增强信息设备状态的动态特性,主要分为四部分:管理规划、管理实施、管理检查、管理改进。管理规划:决策层要明确政策、目标、策略、计划,形成具体的管理规划,明确组织风险管理的整体目标和方向,确定对信息设备进行风险管理所要达到的目的和状态,从而防止后续制定的风险管理规范和组织与已有的战略决策、制度、规范等相违背而导致不可执行的问题。管理实施:管理层在深入领会和遵照管理规划的指示后深入研究信息设备各阶段所面临的信息安全风险,对信息设备各环节制定详细的风险管理实施规范和标准,以便具体的业务部门、人员等能严格按照管理规划的计划和要求来实施风险管理规范。管理检查:管理检查作为监督信息风险管理实施效果的主要手段之一,需要确保管理检查手段的全面性、科学性、客观性,需要覆盖各个管理阶段,客观而高效的评价风险管理实施效果。管理改进:通过归纳总结前阶段管理检查的工作成果,结合信息设备各阶段在实施信息风险管理中碰到的各类问题,从管理规划、管理实施、管理检查等各阶段提出信息风险管理改进意见,从而持续的改进信息设备各阶段的安全风险管理体系。
3.3风险管理体系的构建
根据安全风险的特点、信息安全三个关键要素以及信息设备各阶段的特点,我们应明确安全风险的几个控制手段,然后有计划的加强整个信息设备安全风险管理体系的建设,才有可能最终有效控制信息安全设备风险。首先,根据企业所处的环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御各种威胁,最终主动降低安全风险。要实现对安全风险的管理和控制,需要实现完整的风险管理流程,具体为发现安全风险,即通过有效的手段确定安全风险的资产和区域、定位安全风险存在的区域、评估安全风险,准确高效的评估安全风险,了解安全风险的大小和实质、强制措施降低风险,通过管理或强制等安全手段,主动降低安全风险、安全防御通过各类系统、网络安全设备、防御各类安全威胁、安全问题修补,主动修补存在的各类安全漏洞,全面降低安全风险。以上是完整的信息设备安全风险管理流程,对整个信息设备安全风险的管理和控制,这些步骤缺一不可,同时,风险管理流程还应根据企业的具体情况,有不同的实现方式。其次,实现信息设备风险管理的详细步骤包括:确定信息安全标准和方针、统计信息设备资产,进行资产识别、检测信息设备资产存在的安全漏洞、了解潜在的威胁、分析存在的安全风险、通过各种手段如安全防护产品来降低已有的安全风险、对信息设备评估安全效果和影响、对已有信息设备安全策略进行对比及改进。最后,实现完善的信息设备安全风险管理,还需要有计划的完善自身的安全风险管理体系,制定相应的整体安全策略。建立全面的资产管理和风险管理体系,整合现有的安全设备和手段,形成信息设备成熟完备的动态安全风险管理体系。
4结束语
[关键词]信息化 财务 风险 防控
[中图分类号]F275 [文献标识码]A [文章编号]1009-5349(2014)11-0111-02
信息化的兴起带来了财务管理崭新的世纪,不但使企业财务管理的渠道更丰富和畅通,信息传递速度更加便捷和高效,而且财务管理人员还可以在远程、异地实现管理与调控,大大提高了财务管理工作的绩效水平。但是信息化也是一把双刃剑,在一利之下定有一弊,在信息畅通无阻的同时也带来了一定的安全隐患,有的时候甚至导致严重的财务事件,给企业财务管理带来严重的损失。本文从信息化条件下财务信息风险的基本特点入手,以风险产生的原因分析为基础,提出强化财务信息风险防范意识,创新财务信息风险防控手段等解决思路。
一、信息化条件下的企业财务信息风险的基本特点
财务信息作为经济社会中一个企业的重要经济活动信息,在企业的管理中居于极其重要的地位。因此,财务信息的风险防控也是企业经营风险控制的重要内容。纵观古今中外,各类大型企业无不采取相关的手段来防控各种形式的财务信息风险,但是信息化条件下的企业财务信息风险表现又有所不同。
(一)企业财务信息风险急速加大
由于财务信息涵盖企业经营活动的全程,从采购、生产、加工、销售到服务、纳税,涉及到各个环节、各个部门、各种人员。因此,财务信息的泄露也包括了原料采购、生产加工、成本核算、财务费用、纳税管理等各个方面。相比较而言,当前信息化条件下的企业财务信息风险正在逐步快速地加大。
(二)企业财务信息风险的防控形势日益严峻
由于信息化发展非常迅猛,技术和通信条件日新月异,企业财务风险的防控面临的形势日益严峻。不但是企业内部人员,还有无数的竞争对手、技术高端的网络黑客,对企业财务信息安全造成了一定的威胁。而外部形势的日渐复杂,也给企业财务信息风险带来较大的推动。
(三)企业财务信息风险的防控手段也在不断丰富
风险的产生与防控彼此相伴而生。企业财务信息风险的防控手段也随着信息手段的完善而不断丰富。大型企业的财务管理系统中普遍设置了安全防护系统,如防火墙、系统管理密钥、电子口令等。对于潜在的安全隐患起到了一定的防范作用,在一定程度上形成了有效的防护措施。
二、信息化条件下企业财务信息风险产生的原因分析
(一)宏观层面的法律因素
由于信息化的迅猛发展,国家对于计算机信息安全管理、网络安全管理方面的法制建设相对来说比较完善,目前基本形成了包括法律、法规、地方性法规和规范性文件组成的法制框架,从原则上给予了规范。但是对于信息网络安全的法律规范相对较弱,对于处理具体的网络侵权事件的针对性不够强。
(二)管理人员及操作人员的主观因素
一方面是管理人员对于财务风险防控的意识不够强。重生产经营,轻风险防控;重财务管理,轻内部控制。在设计安排企业的财务风险防控的时候没有给予足够的重视,没有采取相应的防控措施,还有的虽然有所安排,但是管理不严格,形成了安全漏洞。另一方面,操作人员在开展财务活动时,对于财务信息的管理没有严格履行相应的制度。有的时候随意将安全密钥和管理口令泄露给无关人员,有的时候随意在不符合安全管理规定的计算机上进行财务业务,形成了安全隐患。财务人员主观上的不谨慎,却给财务信息管理造成了客观上的风险。
(三)其他客观性因素
制约因素比较多,最重要的是以下两方面:一是资金方面的制约。信息化的财务风险防控手段都需要大量的资金投入,对于企业的管理费用、经营成本都需要相应提高,势必减少利润产生。因此,有的企业在这方面的投入会有所控制,不会给予太多的系统建设投入、设备投入。而世界上发达国家的信息化风险防控投资所占比例都在1/5―1/3,我国企业这方面的投入比例仍达不到1/10。二是技术层面的制约。信息化条件下的财务风险防控需要从技术层面进行解决。而财务信息风险防控管理也是一项非常复杂的系统工程,需要与时俱进地更新软件。信息空间以技术为第一通行标准,财务信息风险防控技术水平高低直接决定了防控的效果。
三、信息化条件下财务信息风险防控的基本思路
(一)健全相关的法制建设
要重视法律对于企业财务信息风险防控的基础性保障作用,从立法层面加强对企业财务信息风险防控的支撑。一是国家要根据现实需要持续地完善网络信息安全管理的法制建设,加强对网络信息安全的保护机制。二是尽快制定出台网络信息安全法,强化网络犯罪的防范与惩治。
(二)提高财务信息风险防控的意识
首要是提高企业负责人的财务信息风险防控意识,使其从企业整体管理的高度,加强对财务信息风险防控的规划与设计,并投入相应的资金进行防控系统建设和设备购置、维护等。其次,财务人员作为财务风险防控的主要操作者之一,要切实履行财务信息风险防控职责,严格遵守相关规定,杜绝财务信息风险产生的人为性渠道。
(三)健全企业财务信息风险防控机制
首先是强化公共网络管理工作机制,强化国家层面的总体规划,进行网络安全综合治理,同时,组织科研单位加强技术创新,形成公共管理部门与技术研发部门风险防控的协同机制。其次是强化企业财务信息风险的防控机制,强化网络管理部门与财务部门的协调与合作,特别是在突发事件发生时的应急机制,最大限度地消除安全隐患、减少财务风险与经营管理风险。
(四)提高财务信息风险防控的技术手段
要不断加强企业财务信息风险的技术手段,从技术层面抵御财务信息风险。企业财务信息风险主要包括硬件和软件的安全控制、日常的操作安全控制、财务系统的维护安全控制,其核心是对财务数据管理的安全保护。要加强财务信息风险防控的硬件与软件建设,尤其是防火墙、入侵检测技术、信息加密、管理密钥、口令等建设。还要特别注意加强对数据输入、处理、输出、阅览及备份的管理工作,并定期开展财务信息风险防控的检查、督察以及安全性检测等项工作。
购物车(0)