《风险决策与风险过程控制.docx》由会员分享,可在线阅读,更多相关《风险决策与风险过程控制.docx(5页珍藏版)》请在第壹文秘上搜索。
1、风险决策与风险控制风险分析的目的是识别和选择合适、恰当的安全防护措施以将评估所确定的风险减小到一个可以接受的水平。在选择安全防护措施时,应考虑到存在和已计划的安全防范措施、信息安全体系结构和各种类型的限制因素。1 .风险决策消除所有风险是不切实际的,也是不可能的,所以应该运用最小成本方法来对风险的处理方式进行决策,以确定采用最合适的控制,将风险降低到一个可接受的程度。风险决策中可选择的处理方式有如下几种: 风险承受:接受潜在的风险并继续运行IT系统,或实现安全控制以把风险降低到一个可接受的级别。 风险规避:通过消除风险的原因和/或后果(如在识别出风险后放弃系统某项功能或关闭系统)来规避风险。
2、风险限制:通过实现安全控制来限制风险,可将系统脆弱性被威胁源利用而带来的不利影响最小化(如使用支持性、预防性、检测性安全控制)。 风险规划:制定一套风险减缓计划来管理风险,该计划中将涉及安全控制的优先级排序、实现和维护。 研究和通告:通过通告系统的脆弱性或缺陷,并研究脆弱性的修正控制措施,来降低风险的损失。 风险转移:通过使用其他措施来补偿损失,从而转移风险,如购买保险。在进行风险决策时应该考虑机构的目标和使命,要解决所有风险可能是不实际的,所以应该对那些可能给使命带来严重危害的威胁/脆弱性对进行优先级排序。同时,在保护机构的使命及其IT系统时,由于各机构有其特定的环境和目标,因此用来控制风险
3、的方式和实现安全控制的方法也各有不同。最好的方法是从不同的厂商安全产品中选择最合适的技术,再伴以适当的风险控制措施和非技术类的管理措施。2 .风险决策的策略明确了潜在风险和安全控制建议后,需要确定在什么时候什么情况下该采取什么行动,以及在什么时候该采取什么样的安全措施来控制风险,从而达到风险管理的目的。例如,对故意的人为威胁所带来的风险,可参考以下策略: 当存在系统脆弱性时:实现保证技术来降低脆弱性被攻击的可能性; 当系统脆弱性可被恶意攻击时:运用层次化保护、结构化设计、管理控制将风险最小化或防止脆弱性被利用; 当攻击者的成本小于攻击的可能所得时:运用保护措施,通过提高攻击者成本来降低攻击者的
4、攻击动机。 当损失巨大时:运用系统设计中的基本原则及结构化设计、技术或非技术类保护措施来限制攻击的范围,从而降低可能的损失。该风险决策策略中除第三条外都可运用来处理由于环境威胁或人员的无意威胁(如系统或用户错误)所带来的风险。3.安全防护措施选择在风险评估中所确定的风险情况是组织选择安全措施的基础,这可以保障选择的安全措施对防护是适当的和必需的。对于风险分析的结果应当将威胁和关联的脆弱性进行注明,以判断哪里需要防护,并且应该采取什么样的形式。安全防护措施有多种选择,下面列出了安全防护措施的几个方面:物理环境安全措施 员工管理措施 安全管理 硬件/软件工具 通信防护措施防护措施的选择应考虑成本问
5、题,包括维护,重新检查存在和已计划的安全措施,以达到:如果这些措施不是足够有效就要除去或改进它们的目的。当选择基线方法来保护信息系统,安全措施的选择相对简单。根据基线安全防护目录,选择针对最常见的威胁保护信息系统是一个简单的方法。将这些推荐的安全措施和存在或已计划的安全措施比较,对不合适的安全措施进行升级或更换即能达到基线保护的目标。对于详细风险分析方法来说,安全措施的选择相对较为复杂,这需要根据评估中确定的风险要素来进行。安全防护措施的选择时要考虑技术和非技术措施的平衡是一个在技术性、非技术性的措施包括那些提供物理安全、人员安全和安全管理的措施。此外还有程序性的安全措施,这包括安全的操作运行
6、程序文档、安全的应用开发和接收程序、事件处理程序等等,以及和这些程序相关联的业务连续性计划,例如灾难恢复计划,针对每个关键系统制定安全策略和开发安全计划对于保障信息系统的安全性非常重要。通常,这些计划应包括对关键过程和优先级细节,过程中的需求和紧接着的组织管理性的程序。技术安全措施包括硬件和软件安全措施、通信防护措施。根据风险所选择的这些措施需能提供必需的安全功能和质量保证。安全功能覆盖鉴别和认证,逻辑访问控制要求,审计跟踪/安全日志需求,拨号安全,信息认证,加密等等。质量保证要求证明了在安全功能中所需要的信任程度和要审核的数量和类型,安全测试等等需要证实的级别。在决定操作和技术安全措施的问候
7、性的混合时,针对实现技术安全需求有不同的选择。应对每个选择定义一个技术安全体系结构来帮助鉴别提供的安全是所要求的,并且用的技术也是切实可行的。一个组织最好是选择采用经过评估的产品和系统来作为安全解决方案的内容。经过评估的产品是那些经过第三方安全评测过的产品。第三方可以是同一组织的另一部分,或是在产品和系统评估相对独立的其他组织。对产品的评估可以是按预先确定的产品标准来实施的,也可能是普遍的标准,它能用在各种情况下,例如SOICE15408o评估标准可以声明功能需求和/或保证需求。在选择那些需要部署的安全措施选择时,应考虑的因素包括: 安全防护措施的使用难易程度 对用户的透明度 提供给用户的产品
8、文档 安全防护措施可提供的防护强度 功能的类型预防,阻止,检测、恢复,纠正,监视和意识通常一个安全措施会完成不止一个功能。当检查整体的安全或使用的系列安全措施时应该在尽可能的功能类型中维持一个平衡。这有助于整体安全更有效和效率更高。4.信息安全技术体系的构成信息安全技术体系是由安全防护技术措施所组成的,用来满足信息系统安全性要求的技术框架。信息安全技术体系是整个信息系统结构的一部分,因此在选择具体的安全防护措施的过程中必须考虑所选择的措施是否符合整个信息系统的技术框架。通常,在进行新系统的开发和对己有系统进行重大变更时,可以采用风险分析或者基线对比的方法来考察信息系统在安全防护措施上的需要,以
9、便构建系统的安全技术体系或对己有的安全技术体系进行调整。信息安全技术体系主要考虑的是采用什么样的安全技术措施,以及怎样使用这些技术措施来达到信息系统的安全目标,因此,在构建信息系统的安全技术体系过程中,不能只考虑技术措施,必须将与安全技术措施相关的非技术措施考虑在内,这样才能充分发挥所选取的安全防护技术措施的功效。在构建信息安全技术体系时,无论采用什么样的方法或从什么角度来考虑建设,都必须遵循一个基本的原则:在一个安全域(安全域指有同样或相似的安全需求和安全措施的区域)中的安全问题不能对其它的安全域产生不利的影响。针对一个信息系统的安全技术体系中通常包含了一个或更多的安全域。安全域的划分同组织
10、的业务系统相一致。业务系统的划分可能同组织的部门划分相一致,例如:财务系统、营销系统等;也可能同组织中的服务机构相关,例如:邮件服务系统和办公自动化系统等,是由专门的服务机构来维护的。一个信息系统的安全技术体系不能独立于信息系统,它是同信息系统自身体的系结构,例如系统的硬件、通信和应用情况相关联的。信息安全技术体系中不会包含对信息系统的完整的描述,它只包括和安全相关的技术内容。针对具体信息系统的安全技术体系,在设计时就应该考虑对用户使用信息系统的影响尽可能小,并能最大限度的起到防护作用。信息安全技术体系不是独立于信息系统的还体现在它同信息系统安全保障体系中其他内容的相关性,这些内容包括: 信息
11、安全保障体系的整体设计 信息安全的执行 信息安全计划 信息系统防护策略 信息系统授权和认证文档5.识别与评估约束条件前面两节我们讨论了怎样选择安全防护措施和信息安全技术体系的构成,在现实的安全措施选择过程中往往有很多的约束条件。在安全措施的选择和部署的过程中应充分考虑这些约束条件。典型的约束条件包括:1)时间限制存在很多类型的时间限制。例如,从管理角度来说,必须在一个可以接受的时间范围内实施安全措施;另一种类型的时间限制是安全措施在一个信息系统的生命周期内是否能实施;第三种类型的时间限制是在管理层的决策时间范围内将信息系统暴露在现实风险中的可接受的时间长度。2)成本限制实施安全措施的费用不应比
12、其要保护的的资产更昂贵,实施过程中的每一项工作都不应该超出财务预算。然而,在某些情况下财务预算的限制可能使得无法达到所希望的安全和风险接受水平。这种情况下,管理层对这种解决方案的决定也将成为约束条件。3)技术限制技术限制,例如:程序或硬件的兼容性,如果在选择安全措施过程中考虑到它们的话将能够很容易地避免。同样的,对一个已存在的安全措施的执行情况的审核,也经常由于技术上的限制而受到阻碍。这些难点可以通过程序上和物理环境上的安全措施进行平衡。4)社会限制社会限制对安全措施的选择可以根据国家、地区、组织,甚至一个组织内的某部门而区分。不能忽略社会限制产生的影响,因为很多技术安全措施依赖于员工的积极支持。员工不了解对安全措施的需求或发现文化上不可以接受,都有可能使安全措施失效。5)环境限制环境因素可以影响安全措施的选择,例如:空间可用性,极端的气候条件,周围的自然和城市地理环境等6)法律限制法律因素象个人信息保护或对信息处理提供犯罪的密码,可能影响安全措施的选择。不是信息特有的法律法规,象消防队规则、劳动法等,也可能影响安全措施的选择。