吉宁讲师观点 / 企业培训师观点 / 企业培训师观点:软件企业如何做好信息安全风险管理

企业培训师观点:软件企业如何做好信息安全风险管理

吉宁博士 2015年12月11日 企业培训师观点

随着国家大力推动软件外包行业和IT行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全风险管理的重要性日益凸显。互联网和IT技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提升。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。

  信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全风险管理存在的问题,有如下典型的信息安全问题急需解决。

  (1)网络共享与恶意代码防控。

  网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的QoS下降,甚至系统瘫痪不可用。

  (2)信息化建设超速与安全规范不协调。

  网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。

  (3)信息产品国外引进与安全自主控制。

  国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。

  (4)IT产品单一性和大规模攻击问题。

  信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。

  (5)IT产品类型繁多和安全风险管理滞后矛盾。

  目前,信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。但是,不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之问安全风险管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。

  (6)IT系统复杂性和漏洞管理。

  多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。

  (7)攻击突发性和防范响应滞后。

  网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。

  (8)口令安全设置和口令易记性难题。

  在一个网络系统中.每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。

  (9)远程移动办公和内网安全。

  随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全”就成了一个许多单位都面临的问题。

  (10)内外网络隔离安全和数据交换方便性。

  由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提升。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要发布到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。

  (11)业务快速发展与安全建设滞后。

  在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全滞后”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是亡羊补牢,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。

  (12)网络资源健康应用与管理手段提升。

  复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、色情网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。
(13)信息系统用户安全意识差和安全整体提升困难。

  目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:用户选取弱口令,使得攻击者可以从远程直接控制主机;用户开放过多网络服务,例如:网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;用户随意安装有漏洞的软件包;用户直接利用厂家缺省配置;用户泄漏网络安全敏感信息,如DNS服务配置信息。

  (14)安全岗位设置和安全风险管理策略实施难题。

  根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全风险管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。

  (15)信息安全成本投入和经济效益回报可见性。

  由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命,成了“救火队员”。

  为了解决信息安全问题,保护企业信息的安全,建立实施信息安全风险管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息安全风险管理体系。如何提升组织的信息安全,通过建设信息安全风险管理体系中降低组织存在的信息安全风险的方法,来提升组织信息的安全性。由此可见信息安全风险管理,是我们建立信息安全风险管理体系的一个重要环节,也是信息安全风险管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。

  1.信息安全风险管理概述

  我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为安全风险管理,安全风险管理被认为是良好管理的一个组成部分,其过程如图1所示。

  2.确定范围

  在建立信息安全风险管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织ISMS的范围,那么安全风险管理的范围应该和我们确定的ISMS的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到安全风险管理的范围当中

  3.风险分析

  风险分析是标识安全风险,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:

  (1)识别评估资产。

  在ISMS中所识别评估的资产有别于常见的固定资产,这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时,我们需要选择适合的分类原则和识别粒度。在软件企业中,通常把资产划分为硬件、软件等方面,还需要对这些方面进行细分,也就是进行二级分类。

  在评估资产时,我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值:

  ①资产属于“高”等级重要度,赋值为“3”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成严重或无法挽回的经济损失;

  ②资产属于“中”等级重要度,赋值为“2”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成一定的经济损失;

  ③资产属于“低”等级重要度,赋值为“1”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成轻微的经济损失。

  (2)识别评估威胁。

  我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。

  (3)识别评估脆弱性。

  脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。
(4)识别评估控制措施。

  在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:

  ①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全风险管理要求;

  ②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全风险管理要求;

  ③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息安全风险管理要求。

  控制措施的有效性是我们风险评价的依据之一。

  4.风险评价

  风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:

  (1)分析评估可能性和影响。

  “可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:

  ①可能性级别“高”,赋值为“1”,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;

  ②可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;

  ③可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。

  在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:

  ①影响级别“高”,赋值为“l00”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;

  ②影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。

  ③影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。

  参考“风险分析”中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用脆弱性的可能性就比较高,影响也比较高,均属于“高”等级。

  可能性和影响都是我们进行风险评价的依据。

  (2)评价风险。

  在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:

  ①“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;

  ②“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;

  ③“低”等级风险:如果被评估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。

  5.风险处置。

  风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:

  ①行动优先级排序。

  行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。

  ②评估建议的安全选项

  评估建议的安全选项主要考虑安全选项的可行性和有效性。

  ③实施成本效益分析。

  对建议的安全选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。

  ④选择控制措施。

  在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。

  ⑤责任分配。

  根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。

  ⑥制定控制措施的实施计划。

  明确控制措施的具体行动时间表。

  ⑦实现所选择的安全防护措施。

  根据各自不同的情况,所实现的安全防护措施可以降低风险级但不会根除风险,实现安全防护措施后仍然存在的风险为残余风险,残余风险需经过组织经理人批示,若组织经理人批准即为风险接受,若组织经理人批示不接受,则针对该风险重新进行风险评价、风险处置直到组织经理人表示风险接受为止。

  经过对信息安全风险管理整个过程的解析我们可以看出,安全风险管理主要包括风险评估和风险处置两个过程,而风险评估又包括风险分析和风险评价两个过程。安全风险管理最终针对评估出的风险采取相应的控制措施,所以说安全风险管理是建立ISMS基础,也是建立ISMS的最重要环节之一。

About 吉宁博士

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。