信息系统项目信息安全风险评估研究
引言
风险是以一定的发生概率的潜在危机形式存在的可能性,而不是已经存在的客观结果或既定事实。风险管理是通过对风险的识别、衡量和控制,以最小的成本将风险导致的各种损失结果减少到最小的管理方法。
信息系统项目过程中存在各类风险,这些风险有着自身的特点,对项目的影响也随项目的不同阶段而不同。其中信息安全风险是指系统本身的脆弱性在来自环境的威胁下而产生的风险,这些风险会对项目造成延期、降低质量、成本上升等后果。
对信息安全风险的评估是进行有效风险管理的基础,是对后续风险计划和风险控制过程的有力支撑,进而确保完成项目的投资、工期、质量总目标。如果应用项目风险识别过程或工具对信息安全风险进行评估,会遇到难以量化风险的难题。
而成熟的信息安全评估过程由于不是面向项目、适用于大型组织以及持续时间长等原因无法应用到项目管理中。本文通过对信息安全风险评估在项目风险评估管理过程中的应用这一问题的研究,结合笔者的工作实践努力去寻找一个适合在项目中运用的评估方法。
目前,信息系统项目的安全风险评估方面,国内尚未有系统的理论研究成果,也无统一的模型和流程。希望笔者所做的工作能为信息系统项目信息安全风险管理的理论研究和实践工作提供一定的参考。
l 信息系统项目风险管理
在这里,项目所面对的信息系统并不局限于计算机软硬件设备构成的系统、网络、平台或环境,它还包括人和信息在内的广义的大系统。信息系统项目,无论其规模大小,必然会为被实施方(用户)在管理、业务经营等多方面带来变革,这就使项目必然具有高风险性的特点。
特别是当项目在人和计算机网络空间里展开时,所面临的威胁和风险呈现出多样性。近年来,企业信息化项目的广泛实施,一方面为众多的企业带来了管理、经营方面的革新,而另一方面,夭折、中断、失败的项目也不在少数。
因此,如何在项目管理中有效地管理风险、控制风险,已经成为了项目成功的必要条件。根据PMI项目管理手册的定义:项目风险是一种不确定的事件或状况,一旦发生,会对至少一个项目目标如时间、费用、范围或质量目标产生积极或者消极影响。
风险的起因可能是一种或多种,风险一旦发生,会产生一项或多项影响。风险管理包括项目风险管理规划、风险识别、分析、应对和监控的过程。项目风险管理的目标在于增加积极事件的概率和影响,降低项目消极事件的概率和影响。
其中风险识别和风险量化常被视做一个程序,称为风险评估。
2 项目的信息安全风险
信息系统项目的信息安全风险指信息系统在项目的生命周期中其安全属性面临的危害发生的可能性,指的是由于系统存在的脆弱性,人为或自然的威胁导致信息安全事件发生的可能性及其造成的影响。
具体来说是信息系统在存储、传输和处理信息时,信息的安全属性如保密性、完整性、可用性及其他属性(真实性、可核查性、防抵赖性等)受到的挑战。
(1)保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。
(2)完整性:保证数据的一致性,防止数据被非法用户篡改。
(3)可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。信息安全风险可以用信息安全事件发生的可能性及其造成的影响或危害这两个指标来衡量。
危害不仅取决于灾害性事故的发生频率,而且与事故造成的后果大小有关。目前对系统某一事件的风险R通常用时间发生的概率尸和事件产生的后果幅值C这两个指标来表示。这一对指标并不代表简单的数学运算、一个矢量或标量,而是表示某一事件的发生概率与产生的预期后果的对应关系。
(3)确定风险和评级:为已确定的风险评级。风险评估的输出结果是一份确定了优先级的风险列表,该列表向后续的风险应对和监控过程提供输入资料来源。
评估过程由一系列循序渐进的讨论会组成,其核心是自主原则,指的是由组织内部的人员来管理和指导组织的信息安全评估工作。
3 项目的风险评估过程
3.1评估规划
(1)建立评估团队。评估风险在整个过程中需要跨部门的合作,要求不同的风险承担者负责相应的任务。评估团队的成员不但需要来自不同部门,而且需要团队成员中存在一定的级别差异。目的在于分析和评估风险对于组织的任务和业务目标的影响。
这就需要来自管理层、业务部门和技术部门的成员。他们可以不需要非常丰富的仃知识,但必须对自己的业务非常了解。
(2)建立风险量化标准。建立风险量化标准是确立来自组织内部对于项目和信息系统的安全需求,这种需求将成为评估风险给组织的任务和商业目标带来的影响的驱动因素。这些驱动因素体会体现在一系列风险量化标准里而作为评估规划的重要成果。
风险量化标准是一系列定量的量化方法。它参考了那些对已经发生了的风险的影响进行评价的结果,继而成为整个风险评估的基础。使用一致的量化标准能确保在多个信息资产和操作部门之间同样一致地执行制订的风险应对计划。
除了评估在某特定区域内的影响程度,组织还必须识别出哪些区域对于它的任务和商业目标最为重要。譬如,一些组织会更重视有可能给他们与客户的关系带来影响的风险,而相比之下对影响相关法规符合性的风险就不如前者重要。
所以对有可能被风险影响的区域设定优先级也是在评估规划里必须执行的。当项目风险管理中的风险管理规划完成后,产生了项目的风险管理计划。接着就可以启动风险评估过程。评估过程即通过一个正式的流程来确定项目中组织面临的风险并确定其优先级。
并且将评估风险阶段细分为以下三个步骤:
(l)评估规划:为成功的风险评估建立基础。
(2)数据收集和处理:通过研讨会讨论收集到的风
3.2数据收集和处理
(l)建立信息资产配置文件。评估过程关注的是组织的信息资产,所以在这一步开始建立资产配置文件。一个配置文件代表了一个信息资产,它描述了资产区别于其他资产的特征、品质、特性和对它的赋值。
这个创建配置文件的过程确保了每一个资产都有清晰而且一致的描述来明确它的边界,并且充分定义了有关安全的需求。每一个资产的配置文件生成一张表单,它将成为后续步骤中定义威胁和风险的基础。
(2)识别信息资产容器。信息资产被存储、传输和处理的地点称之为容器。信息资产不仅会存在于组织边界范围内,它也时常存在于不受组织直接控制的容器内。任何对于容器的风险会被存在于其中的信息资产继承下来。
譬如,许多组织向服务提供商外包它们部分的IT基础设施,服务提供商管理和维护着含有这个组织信息资产的容器。如果服务提供商不了解它们管理的容器内所存储、传输和处理的信息资产来自组织的安全需求,那些用来保护信息资产的控制手段则有可能会不足,导致将资产暴露在风险面前。
这个问题在有些情况下会变得更显著,譬如服务提供商在不通知资产所有者的情况下将服务(如数据存储业务)签署给另外的服务商。因此,为了获取完整的信息资产风险配置文件,组织必须识别出所有信息资产被存储、传输和处理的地点即信息资产容器,
而不论这些容器是在组织的直接控制或间接控制之下。识别出所有内部的和外部的信息资产容器,然后将信息资产关联到它所在的容器中并列表输出。
(3)识别关注区域。开始通过头脑风暴来识别风险,头脑风暴的目的是找出任何可能威胁组织信息资产的条件或情况。这些被识别出来的现实世界中的场景就被视做是关注区域,它们可以代表威胁以及相对应的不良后果。
针对关注区域的讨论可以帮助人们找出那些只对某一组织来说是威胁的风险。必须注意的是,识别关注区域的目的不是去完成一个完整的对信息资产可能的威胁场景列表,而是快速地记录那些在头脑风暴中最先跳出的可能威胁组织信息资产的条件和情况。
(4)识别威胁场景。识别出来的关注区域在这里被展开。展开的关注区域包含每一个威胁的具体内容,称之为威胁场景。但是这些从关注区域发展而来的威胁的集合还不足以为一个组织的信息资产所可能面临的威胁提供一个周全的考虑。因此必须通过进一步分析威胁场景来考虑更广范围的附加风险。
主要的信息安全威胁有8种。
①窃取:非法用户通过数据窃听的手段获得敏感信息;
②截取:非法用户首先获得信息,再将此信息发送给真正的接收者;
③伪黔顶具薰理燕难造:将伪造的信息发送给接收者;
④篡改:非法用户对合法用户之间的通讯信息进行修改,再发送给接收者;
⑤拒绝服务攻击:攻击服务系统,造成系统瘫痪,阻止合法用户获得服务;
⑥行为否认:合法用户否认已经发生的行为;
⑦非授权访问:未经系统授权而使用网络或计算机资源;
⑧传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
3.3确定风险和评级
(1)识别风险。当识别了威胁后,接下来是对那些已经识别的威胁分析相应的后果,以完成风险识别。一个威胁对于一个组织可能会有多种潜在的影响。譬如,一个组织的电子商务系统的中断会影响到它在客户中的声誉及其金融地位。所以通过这个步骤来确保识别出风险的不同后果。
(2)分析风险。最后用定量的方法来评价风险对组织的影响程度。即通过考虑风险的结果对组织的影响程度得出相对风险影响值。随着影响区域的重要程度不同、风险的可能性和发生概率的不同,计算出来的风险值也不同。
也就是说,如果对一个组织来说声誉最重要,那么对这个组织的声誉有影响的风险将会得到比较高的数值,而影响其他领域的风险的数值相对比较低。组织通过对这些影响做优先排序,从而确保风险也被优先排序。至此,项目中的信息安全风险被识别、排序和输出,最后为下一步风险管理过程输人信息。
4 结语
将信息安全评估应用到IT项目风险管理中扩大了风险管理的内涵,它使项目管理者能更好地管理信息安全风险。同时也带来了许多新的课题,譬如,如何组织管理层和业务部门参与制订信息安全风险计划,如何监控项目中的信息安全风险以及如何让信息安全风险管理与项目整体管理结合得更好。
|