张淋江 刘志龙
(河南牧业经济学院数字化管理中心,河南 郑州450011)
当今信息化时代,信息安全和人类的社会生活息息相关。借助于互联网快速的传播,信息系统的安全性遭受到多方面的威胁,如何保证信息系统安全性是高校科研工作者研究的重点。在几十年的系统安全研究中,人们也深刻的意识到信息系统安全问题单凭技术是无法得到根本解决,它涉及到标准、法规政策、管理、技术等多方面,单一层次上的安全措施都不可能提供全方位的安全,应该站在系统工程的角度来解决。信息安全风险评估是一个系统工程,其推理和估计过程需要遵循科学的理论和依据。
信息安全风险评估是对信息系统及其处理的传输和存储的信息的完整性、可用性、保密性等安全属性进行科学识别和评价的过程。目前,我国信息与网络安全的防护能力还很薄弱,许多应用系统处于低层次甚至不设防的防护状态。我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T 18336、GB 17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO 17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。
在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。
学院的风险评估活动包括以下6方面:
建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。
资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。
威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。
脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。
风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。
风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。
学院信息安全风险评估流程图如图1所示:
图1 信息安全风险评估流程图
PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(Walter Shewhart)在19世纪30年代构想,随后被戴明(Edwards Deming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。
河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决
图2 PDCA循环
图3 PDCA循环持续改进
图4 高校信息安全风险评估系统
风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。
该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。
检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。
经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。
信息安全的风险评估的因素是动态、不确定的,且往往是随机的。研究基于信息安全风险评估PDCA循环模型,针对学院存在的不确定信息安全风险因素,进行收集整理,形成分类、量化、系统的信息安全风险评估数据信息,为高校提供了信息安全风险管理决策依据,将被动、零散、无序应对信息资产安全风险方式转变成主动、系统、连续有效地管理风险,为高校信息化的建设保驾护航。
[1]GB/T 18336-2008,信息技术安全技术信息技术安全性评估准则[S].
[2]朱会龙.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(3),62-65.
[3]董洁.网络信息安全面临的问题及对策[J].赤峰学院学报(自然科学版),2011(3),41-43.
[4]毕海英,贾炜等.信息技术安全性评估“通用准则”系列标准在中国的应用[J].中国信息安全,2014(8),100-103.
[5]陈健,吉久明等.基于单威胁分析的高校综合信息安全风险评估方法研究[J].情报杂志,2013(2),169-173.
[6]周婕,王丽.信息系统安全评估技术研究[J].计算机与数字工程,2013(11).