搜索
信息资产风险控制管理张剑摘要本文讨论了信息资产的风险控制管理的基本内容,提出了实现信息资产风险控制管理的基本目标。总结了围绕实现这一目标需要进行的七个方面工作,并具体讨论了信息资产的基本信息管理与评估和事件管理的工作内容。关键字:信息资产风险管理风险评估风险控制概述信息资产风险控制管理是当前信息安全管理的基础工作,其基本目标是实现用户的信息资产的全面风险控制管理,确保用户信息资产的可靠、安全、高效运行。并通过如下方面的工作来实现这一基本目标:信息资产的基本信息管理与评估:信息资产的基本信息管理是整个系统最基础数据源的管理;信息资产的评估是对信息资产在用户的整个信息化建设和用户日常工作影响的重要性评估;事件管理:事件管理是对用户整个信息系统运行过程中,运行状态分析、已经发生的安全事件的过程式管理;脆弱性管理:脆弱性管理是对用户整个信息系统安全、可靠、高效运行中可能存在的脆弱点的全面管理;威胁性管理:威胁性管理是对用户整个信息系统安全、可靠、高效运行中可能存在的可能面临的安全威胁的全面管理;风险评估:风险评估是针对用户整个信息系统存在的安全风险的综合评定;控制措施管理:控制措施管理是对用户针对所有信息资产、信息系统所采取的安全保障措施的全面管理;安全等级评定:安全等级评定是参考国家安全等级保护制度的安全等级评定标准,给出用户当前实际达到的安全等级;风险控制报告:风险控制报告是依据风险评估报告和用户期望的安全保护等级或其他要求提出全面的安全风险如何控制的报告,至少包括必控措施、等级保护要求措施、建议措施等方面。信息资产的基本信息管理与评估信息资产的基本信息管理需要对用户的信息资产进行全面细致的管理,信息资产的评估需要对信息资产在用户的整个信息化建设和用户日常工作影响的重要性作出准确的评估。信息资产的基本信息管理包括:信息资产分类管理、信息资产的基本信息管理、信息资产活动状态管理等。信息资产的基本评估包括:分类资产权重管理、信息资产重要度评估管理、资产的安全维护。信息资产分类管理信息资产的分类管理是系统管理的基本内容之一,负责信息资产的标准分类,这里需要考虑的是国际标准分类、国家标准分类(或开发者标准分类)、行业标准分类、用户自主分类四种基本情况,其中国际、国家标准分类是系统开发建设者提供,并可以不断更新;行业标准分类这里我们建议不要采用,如一定需要采用,由用户自行维护;用户自主分类由用户自主维护,但需要建立与国际标准和国家标准的一一对应关系,扩展部分依据合理的原则(预先系统确定的原则)进行维护。信息资产分类采取目录树方式进行,树叶的粒度可以到资产的部件(如服务器可以硬盘、显示器,软件可以到功能模块,人到其拥有的各种角色,文件到关键数据,数据库可以到表的字段等)。系统提供的国际标准与国家标准往往是作为参考标准,通常系统在进行信息资产的基本信息管理、信息资产的活动状态管理都是采取用户自主分类进行。无论采取什么分类,在系统中需要由用户指定所采用的信息资产分类标准。任何一种资产分类的基本描述至少包括:父编码、编码、名称、说明,(如用户自主分类,添加对应国标编码)。系统要求能够对国际、国家标准进行自动更新,用户自主分类管理需要提供用户系统管理员或专职分类维护人员进行维护的手段。信息资产的基本信息管理信息资产的基本信息管理是系统的基础资产信息,需要全面记录资产的情况包括、资产所有权、资产生产者、资产使用者、资产获得者、资产功能、性能、资产部署地、多种时间因素、价值、量级、密级等,这些信息能够实现分布式、流程式录入或审定确认等。信息资产的基本信息管理应该与资产分类挂钩,如为资产分类中没有的应该先进行资产分类登记(要充分考虑维护者的方便性)。所有信息资产应该针对各种属性提供灵活的查询与基本统计(除固定格式的输出外,应该能够提供全面的基础统计,选择性的输出),供各类管理人员使用。信息资产活动状态管理信息资产活动状态管理是风险评估中的重要环节,是实现动态安全风险评估和采取防范措施的对象基础和信息基础。信息资产活动状态管理首先需要针对用户所有信息资产的实际状态进行真实的记录,再就是要对信息资产的配置信息(如服务器的各种配置参数,尤其是长时间不变化的参数,数据文件的存储、安全控制、格式信息,人员的角色、授权、身份、密码、密钥等)进行有效管理。结合信息资产的基本信息与活动状态信息信息提供动态的资产报告,和资产使用状态预警(这里不是系统的安全预警,如过期、闲置、不受控等)。所有信息资产的活动状态都可以提供灵活的查询与基本统计(除固定格式的输出外,应该能够提供全面的基础统计,选择性的输出),供各类管理人员使用。分类资产权重管理分类资产权重管理是对各类信息资产在信息系统中对安全影响的重要程度的一种描述,采取开发者集中维护维护依据国家标准分类(或称开发者标准分类)进行的通用权重原则,用户可以采取自动更新的方法更新此库。用户(或服务提供商)需要依据应用环境的实际情况,确定最终的系统应用权重标准,用户在维护自主分类的标准时,针对每一分类可以选择分类资产权重产生依据(如等同国标分类权重、自主维护权重),如为等同权重则在系统自动更新时一并更新,否则,系统的自动更新不影响用户自维护的权重部分。信息资产重要度评估管理信息资产重要度评估的目的是产生信息资产基础状态评估报告中的最重要指标,其评估方式采取多因素评估方式进行,因素应从信息资产的基本信息管理中选择(并考虑活动状态的影响),各类因素在重要度评估中所占的权重在给定参考范围的基础上,由用户进行维护。在所有基础管理系统都完整的基础上,系统自动产生信息资产重要度结果=分类资产权重*(多(因素量化值*因素权重)之和)/MAX(分类资产权重*(多(因素量化值*因素权重)之和))*10,即重要度最大为10,非整数采取四舍5入制。信息安全维护信息资产的安全维护是整个安全管理十分重要的环节,更是实现整个安全保障体系运行成功的关键,在信息资产活动状态管理和下面事件管理的基础上实现信息资产安全维护提示(如依据风险分析情况及时给出维护提示、依据动态发生的情况所关联的资产关系,提示维护),安全管理员依据提示,结合自身的经验进行信息资产维护。由于信息资产维护是整个系统中的一个重要环节,要建立动态的安全防护体系,维护过程本身的管理是不可缺少的内容。也就是说需要将信息资产的配置管理与控制措施管理动态化。这里还需要对维护过程描述进行更准确的描述。事件管理事件管理需要对用户整个信息系统运行过程中,所有与安全相关的可进行管理的事项进行全方位的过程式管理,包括事件的模式管理、事件的发现、事件的报告、事件的处理、事件的影响评估、事件对系统知识库的影响(分类资产权重库、因素权重库、分类资产威胁库、分类资产脆弱性库、分类资产控制措施库、安全等级评定参考库等)。事件的模式管理事件的模式管理是事件的描述管理,系统提供标准的事件模式库,包括事件编号、事件名称、事件性质、事件效用、事件对安全影响的重要程度、事件描述的多种要素等。用户可以维护自主的事件模式库,如等同采用标准事件库,需要在模式库设置时选择对应的项目,以保证在系统自动更新时事件模式库可以自动更新。事件的发现事件的发现在系统中将采取多渠道方式,不同的方式发现途径不同,采取插件方式实现,系统目前主要支持,关键系统日志、入侵检测、漏洞扫描、网管日志、人工发现等方式。事件发现的方式不同对应的事件模式不同,尤其是事件的要素不同,由于同一类的发现方式不同用户其采取的系统可能是不同的,因此,事件要素就不同,为了便于采集需要维护好事件模式。事件的发现负责解决事件的采集问题,这需要解决好事件的集中接收、事件的描述与传输协议问题、事件的过滤问题。这里特别需要提出的目前有大量的内网安全审计系统已经成为企业选择的一个热点,如果本系统与内网安全审计系统建立紧密的联系,或直接引入一个内网安全审计系统将极大完善本系统的功能,尤其是事件发现的能力,这一点需要进一步研究。事件的报告事件的报告是正式启动事件处理流程的起点,是指事件管理者接收到事件报告,事件发现者(自动发现、人工发现)向系统提交正式的事件报告。事件管理者可以实时监控所有报告的事件,自动发现的事件通过集中接收并过滤后自动提交给系统,人工发现者通过填写事件报告单的方式将事件提交给系统,管理者将分类获得监控信息,监控信息以分类列表方式展示,逐条信息可以展示详细信息。所有展示的信息可以依据要素进行分类排序统计(可以自定义时间段),有综合的事件分析统计报告。事件的处理事件的处理是流程处理方式,依据事件的分类不同、等级不同采取不同的流程进行处理,所有处理节点的处理情况均记录在案,(特别:流程可以采取图视化订制或配制文件方式的订制进行改变;处理情况应该有标准方式与非标准描述相结合,为今后的事件的影响评估提供基础)。事件的影响评估事件的影响评估是依据预先确定的影响因素与影响评估模型来进行。事件影响评估影响因素与信息资产分类、信息资产活动状态、分类资产权重、信息资产重要度评估等有关。这里需要研究对应的评估模型(系统最终提供标准模型),建立相关因素的标准库,此库同样需要保证用户的自主维护与系统更新的相融合问题。事件对系统知识库的影响事件对系统的分类资产权重库、因素权重库、分类资产威胁库、分类资产脆弱性库、分类资产控制措施库、安全等级评定参考库等知识是有直接影响的,它将动态调节系统的这些知识库用户维护库部分,并将形成影响报告单传送给我们设立的知识库维护中心,以便中心对标准知识库进行适当的调整。对这些知识库的动态影响与库的调整需要进行更深入的研究,尤其是应该建立一个事件影响因素与知识库各知识点的对应影响模型。当建立好模型之后,系统在每次事件处理的最后环节,都增加一个外挂的节点,此节点就是对知识库的调整确认,即系统自动形成各知识库的调整清单,再由知识库管理员逐项进行确认,如不合适进行适当的人工干预。后记由于篇幅有限这里仅介绍了信息资产风险控制管理中信息资产的基本信息管理与评估和事件管理两方面具体工作,其他五方面工作的具体内容有待下文再述。