返回
具有可实施性的信息安全风险管理体系

具有可实施性的信息安全风险管理体系

ID:23855019

大小:69.00 KB

页数:5页

时间:2018-11-11

具有可实施性的信息安全风险管理体系_第1页
具有可实施性的信息安全风险管理体系_第2页
具有可实施性的信息安全风险管理体系_第3页
具有可实施性的信息安全风险管理体系_第4页
具有可实施性的信息安全风险管理体系_第5页
资源描述:

《具有可实施性的信息安全风险管理体系》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、具有可实施性的信息安全风险管理体系迈克菲(中国)公司常颢[摘要]随着企业网络的不断发展,信息系统已经成为大多数企业、政府正常工作的一部分,而传统的信息安全建设往往就是安全产品的堆砌,对于安全风险的控制和管理依然停留在理论阶段。本文着重提出了由经典安全风险管理理论进一步发展而来的动态风险管理体系,并简述其在传统IT环境中具备的应用优势。[关键词]安全风险管理风险弱点评估管理信息安全概述随着企业网络的不断扩大,越来越多的安全威胁在影响着企业的安全状况,近两年熊猫烧香、confitcer蠕虫都给企业带来了大量的安全损失,然而,解决企

2、业的信息安全问题,不能单独从某一个方面人手,最好的解决方案应该是从整体上降低信息安全风险。国际上传统的风险管理流程较为概略,在中国特有的网络环境中也比较缺乏可实施性,本文将会针对中国IT环境的建设过程,遵循一定信息安全系统建设规律,考虑到各个信息安全产品之间的整合和联动,形成一个完善的动态信息安全风险管理体系,让国际标准在中国的IT环境中得以实现。1.IT系统信息安全建设的现状传统的信息安全建设网局限于防御系统的建设,企业不断的在投入资金,购买各种各样的硬件设备和软件系统,主要的功能集中在抵御各类安全威胁,其中包括:终端防病毒

3、系统、终端安全管理系统、防火墙、入侵防御设备、web防护类设备,入侵检测等等。采用这样的信息安全产品能够取得一些效果,但是往往造成信息安全系统比较被动,不能够主动的发现安全风险,及时的降低安全风险。(1)经常采用的信息安全产品我们在信息安全建设的初级阶段,经常采购的信息安全产品包括:防病毒:在终端部署的企业防病毒产品,检测和查杀各类病毒;防火墙(Firewall):访问控制设备,帮助建立基本的企业网络安全边界webcache设备:部署在外部网络,实现对网络访问的缓存,提升访问速度;负载均衡:对网络访问性能进行调控,保证网络负载

4、均衡;邮件安全网关:实时检测和过滤各类病毒邮件及垃圾邮件;入侵检测和防御系统:检测网络数据,对网络内部的各类攻击行为进行报警;部署的安全设备能够起到一定的安全防护功能,但是随着安全威胁的不断变化和发展,现有的安全机制已经难以满足目前的信息安全需求,我们需要主动地控制安全风险,才能够在不断复杂的安全环境中确保企业网络的安全。(2)普遍意义上的安全风险管理信息安全风险管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效评估、分析、控制和管理。在ISO标准当中,已经给出了一个非常经典的安全风险模型

5、,如下:也就是说,只有企业具有了信息化的核心资产(比如有很重要的数据保存在服务器上),这些资产存在弱点和漏洞(比如微软操作系统的漏洞),又存在被损害的可能(比如病毒、黑客攻击等等),才可能给企业造成损失。因此,企业的安全风险和这三个方面相关,企业也只有同时管理好这三个方面,才可能真正的确保网络安全。而传统的安全产品(如前所述),只是去抵御安全威胁,却忽视了资产的重要性和对漏洞的管理。更加不可能实现多安全风险的准确评估和动态管理。(3)风险管理流程既然要降低安全风险,我们就需要一个成熟的流程来对信息安全风险进行管理和控制,一般的

6、安全风险管理流程如图1。识别风险:准确识别网络中存在的安全风险;分析风险:通过定性或者定量的方法确定现存的安全风险是否需要消除;消除风险:通过有效的手段降低安全风险;监控风险:监控安全风险的变化,做到对风险的动态管理。(4)安全风险管理的问题传统的安全产品,如IDS(IDS是英文“IntrusionDetectionSystems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性)、防病毒

7、系统等只是在被动的抵御或检测安全威胁,缺乏主动的防护措施和手段;而要实现主动的信息安全管理,则需要对企业整体的安全风险进行监控和管理,但在执行过程中,存在如下问题:没有技术手段实现对安全风险的全面的监控;消除信息安全风险的手段不明确;缺乏详细的可实施的信息安全风险管理流程,能够结合所有的信息安全产品,从而实现全面的安全风险管理。2.动态安全风险管理体系基于国际信息安全标准,结合中国IT环境的特点,我们应该首先明确安全风险的三个重要方面及控制手段,有计划有步骤的加强整个信息安全体系的建设,才有可能最终实现完善的风险管理系统。(1

8、)可实施的安全风险管理理论根据安全风险的特点和三个关键要素,我们可以针对信息安全风险形成更具可实施性的安全风险管理方法论,其核心思路是根据企业的基础环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御安全威胁,最终主动的降低整体安全风险。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。