安全信息评估范文

时间:2023-10-11 17:25:35

导语:如何才能写好一篇安全信息评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

安全信息评估

篇1

【关键词】信息系统 安全风险评估 定性 定量

随着社会经济快速发展,信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上,建立在信息技术基础上的信息系统存在一定风险,易受到黑客攻击,且信息系统充斥各种病毒,系统运行过程存在一定风险。基于此必须做好信息系统安全建设,进行安全风险评估,奠定安全基础。

1 风险评估概述

互联网快速发展极大提高人们的生活、工作、学习效率,与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取,信息传递过程中仍旧可能出现信息被第三方截取情况,信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式,但也带来一系列安全隐患。

从信息安全角度而言,风险评估就是对信息系统自身存在的的种种弱点进行分析,判断可能存在的威胁、可能造成的影响等。综合风险可能性,便于更好展开风险管理。风险评估是研究信息安全的重要途径之一,属于组织信息安全管理体系策划过程。

风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂,因此信息系统安全风险评估是一项综合性工作,其组织架构较为繁杂,主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。

20世纪八十年代,以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚,至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视,为其快速发展奠定坚实基础。

网络环境虽然带来无穷便利,却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起,人们生活在同一信息系统下总是希望自身隐私得到保护,因此在建设信息系统是必须做好信息安全风险评估,规避信息系统存在的各种风险,提高信息系统安全性,让人们生活在安全信息环境中。

2 信息安全风险评估方法

网络的出现对人们的生活和思维方式带来极大变革,信息交流更加方便,资源共享程度无限扩大,但是网络是一个较为开放的系统,对进入网络系统的人并未有一定约束,因此必然导致安全隐患的出现。随着信息系统建设不断深入,信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性,降低安全隐患,让人们在安全的信息环境下生活和工作。

2.1 定性评估方法

定性评估是信息安全风险评估使用最频繁的方法,此法基于评估者通过特有评估方法,总结经验、历史等无法量化 因素对系统风险进行综合评估,从而得出评估结果。该中方法更注重安全风险可能导致的后果,忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理,因此其评估结果本身就存在一定不确定性,此种评估方法适用于各项数据收集不充分情况。

定性评估虽然在概率上无法保障,但可挖掘出一些较为深刻的思想,其结论主观性较强,可预判断一些主观性结论。基于此需要评估人员具较高职业素养,不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。

德尔菲法是定性评估中较为常见评估方法之一,经过多轮征询,将专家的意见进行归结,总结专家预测趋势,从而做出评估,预测未来市场发展趋势,得出预测结论。从本质上来说,德尔菲法是一种匿名预测函询法,其流程为:征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素,促进预测符合实际。

2.2 定量评估方法

定量评估与定性评估是相互对立的,此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据,且需保证数据准确性,之后利用数学方法建立模型,验证各种过程从而得出结论。定量评估需要准备充足资料,是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足,更具备客观性。定量评估可将复杂评估过程量化,但该种方法需要建立在准确数据基础上。定量评估方法主观性不足,其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。

故障树评估法采用逻辑思维进行风险评估,其特点是直观明了,思路清晰。是一种演绎逻辑推理方法,其推理过程由果及因,即在推理中由结果推到原因,主要运用于风险预测阶段,得出风险发生具体概率,并以此为基础得出风险控制方法。

2.3 定性评估与定量评结合综合评价方法

由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强,客观性不足。定量评估主观性不足,客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本,建立在评估者资质基础上。定量评估运用数学方法展开工作,预测结果较为准确,逻辑性较强,但成本较高。从本质上来看,定性为定量的依据,定量是对定性的具体化,因此只有将二者结合起来才能实现最佳评估效果。

3 信息安全风险评估过程

信息安全风险评估建立在一定评估标准基础上,评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持,在此基础上展开全面风险评估,结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性,这就要求评估过程中需建立正确评估方法,克服评估过程存在的不足,从而取得最佳结果。

4 结束语

当今信息系统不断发展完善,为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法,实际评估中应该结合实际情况选择合适方法,提高信息安全风险评估结果准确性,为建立安全信息环境奠定坚实基础。

参考文献

[1]应力.信息安全风险评估标准与方法综述[J].上海标准化,2014(05):34-39.

[2]张玉清.信息安全风险评估综述[J].通信学报,2015(02):45-53.

[3]温大顺.信息安全风险评估综述[J].网络安全技术与应用,2013(01):16-25.

篇2

我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。

2高校信息安全风险评估模型

2.1信息安全风险评估流程

[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:

2.2基于PDCA循环的信息安全风险评估模型

PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(WalterShewhart)在19世纪30年代构想,随后被戴明(EdwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。

3基于PDCA循环模型的信息安全风险评估的实现

[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。

3.1建立信息安全管理体系环境风险评估(P策划)

风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。

3.2实施并运行信息安全管理体系(D实施)

该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。

3.3监视并评审信息安全管理体系(C检查)

检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。

3.4改进信息安全管理体系(A措施)

经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。

4结语

篇3

[关键词]信息系统;风险评估;基于知识的定性分析;风险管理

中图分类号:F062.5 文献标识码:A 文章编号:1009-914X(2013)06-0100-02

随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。

一、风险评估在信息安全管理体系中的作用

信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是ISMS(Information Security Management System,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。

二、信息系统安全风险评估常用方法

风险评估过程中有多种方法,包括基于知识(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。

1、基于知识的分析方法

在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。

2、定量分析方法

定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。

3、定性分析方法

定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。

4、几种评估方法的比较

采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,最终达到消减和控制风险的目的。

理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。

定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。

本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。

三、全生命周期的信息系统安全风险评估

由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。

信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:

第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。

第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。

第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。

第四阶段是系统报废阶段,可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备,确实已经不能被任何方式所恢复。当要报废或者替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的报废处置,且残留信息也恰当地进行了处理,并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是信息系统的报废处理时,应按照国家相关保密要求进行处理和报废。

四、基于评估对象,知识定性分析的风险评估方法

1、评估方法的总体描述

在信息系统的生命周期中存在四个不同阶段的风险评估过程,其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段,在本阶段进行安全风险评估,首先应确定评估的具体对象,也就是限制评估的具体物理和技术范围。在信息系统当中,评估对象是与信息系统中的软硬件组成部分相对应的。例如,信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人,这些都构成独立的评估对象,在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象:(1)信息安全风险评估;(2)业务流程安全风险评估;(3)网络安全风险评估;(4)通信安全风险评估;(5)无线安全风险评估;(6)物理安全风险评估;(7)使用和管理人员的风险评估。

在对每个对象进行评估时,采用基于知识分析的方法,针对互联网采用等级保护的标准进行合理分析,对于军工企业存在大量的信息系统,采用依据国家相关保密标准进行基线分析,同时在分析的过程中结合定性分析的原则,按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析,同时在分析的过程中,设置一些“一票否决项”。对不同的评估对象,按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级,集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用,保障系统在关键防护要求上得到落实,提高信息系统的鲁棒性。

2、基于知识的定性分析

军工企业大多数信息系统为信息系统,在信息系统基于知识分析时,重点从以下方面进行分析:物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在,因此针对服务器和用户终端的风险分析时采用2/8法则进行分析,着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点,分析组织内的纵深防御策略和持续改进的能力,判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期,对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群,判别技术措施和管理措施互补性,及时调整技术和管理措施的合理性。在技术上无法实现的环节,应特别加强分析管理措施的制定和落实是否到位和存在隐患。

3、注重纵深防御和持续改进

篇4

资产是在组织中有一定价值且需要保护的东西。它可以是有形的也可以是无形的,可以以硬件、软件、代码、服务等形式存在。通常认为,信息资产的完整性、可用性、机密性是构成资产安全特性的三个因素。不同的资产安全特性决定了信息价值的不同,因此存在的威胁、本身的弱点以及安全控制也就各不相同。为此,需要对组织中的信息资产进行识别,以便制定风险评估策略。

1.1资产分类

资产识别是一个复杂的过程,需要对资产进行适当的分类,这样才能更有效地开展下一步工作。分类方法应依据具体环境由评估主体灵活把握。资产的种类可分为数据、硬件、软件、服务、文档、设备、人员等。

1.2资产赋值

对资产的安全价值进行评估首先要对资产进行赋值,赋值并不是以账面价值去衡量资产价值。在资产赋值估价时,不仅应考虑资产本身的应有价值,还应该综合考虑资产组织业务的重要性程度。为保证资产评估的准确性和一致性,评估机构应依据一定的原则,建立规范的评估标准,以准确地对资产进行赋值评估。资产赋值的最终确定是根据资产的可用性、完整性以及机密性三个方面综合评定,且一般采用由高到低定性相对等级方式,整个等级分为5等,从5到1,由高到低,分别代表五个级别的资产各自相对应价值,等级越高资产的重要性程度也就越高,等级越低,资产也就相对不重要。

2威胁识别

威胁是指可能对整个系统结构的安全性构成潜在危险的破坏性因素。从理论上来讲,无论机构的信息系统如何安全,威胁都是客观存在的,是进行风险评估不得不考虑的因素之一。

2.1威胁分类

威胁的产生因素可以分为环境因素和人为因素两种。环境因素又分为不可抗因素和其他物理性因素。威胁的作用形式不一,可以是对信息系统的直接攻击,也可以是间接攻击。如对非授权信息的破坏、泄露、篡改、删除等,或者破坏信息的严密性、可塑性以及完整性等。一般而言,威胁总是需要借助一定的平台,如网络、系统亦或是应用数据的弱点,才会对系统造成损害。针对威胁的产生因素,可以对威胁进行分类,如:软件障碍、硬件故障、物理环境威胁、操作失误、恶意病毒、黑客攻击、泄密、管理不善等。

2.2威胁赋值

在评估的过程中,同样还需要对引发威胁的可能性赋值。如同资产赋值一般,威胁赋值也是采用定性的相对等级的方式。威胁的等级同样分为五级,从5到1分别代表由高到低,五个级别引发威胁的可能性。等级数值越高,则表明引发威胁的可能性越大,反之,则越小。

3脆弱性识别

脆弱性评估(又称弱点评估),是风险评估环节中很重要的内容。任何资产本身都不可避免的存有弱点,这些微小的弱点却很容易被威胁利用,进而对资产和商业目标造成损害。资产的弱点不仅包括人员构成、组织机构、组织过程、管理技术等,还包括组织软件、硬件、信息以及物理环境资产的脆弱性。资产脆弱性评估工作主要是从管理和技术两个方面进行的,是涉及到整个管理层、系统层、网络层、应用层等各个层面的安全问题。技术脆弱性主要包括系统性安全、网络化完全、物理性安全、应用性安全等层面。而管理脆弱性主要是指进行安全管理。在很大程度上,资产脆弱性与机构所采取的安全控制措施有关,因此,在判定威胁发生的可能性时应该特别注意已有安全控制会对脆弱性产生的影响。

4总结

篇5

关键词:网络审计 历史财务报表审计 信息安全管理 风险评估

一、引言

从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。

(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威

胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。

篇6

【 关键词 】 信息安全;等级保护;风险评估

Information Security Hierarchy Protection and Risk Assessment

Dai Lian-fen

(China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725)

【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.

【 Keywords 】 information security;hierarchy protection;risk assessment

1 风险评估是等级保护建设工作的基础

等级保护测评中的差距分析是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。风险评估作为信息安全工作的一种重要技术手段,其目标是深入、详细地检查信息系统的安全风险状况,比差距分析结果在技术上更加深入。为此,等级保护与风险评估之间存在互为依托、互为补充的关系,等级保护是国家一项信息安全政策,而风险评估则是贯彻这项制度的方法和手段,在实施信息安全等级保护周期和层次中发挥着重要作用。

风险评估贯穿等级保护工作的整个流程,只是在不同阶段评估的内容和结果不一样。《信息系统安全等级保护实施指南》将等级保护基本流程分为三个阶段:定级,规划与设计,实施、等级评估与改进。在第一阶段中,风险评估的对象内容是资产评估,并在此基础上进行定级。在第二阶段中,主要是对信息系统可能面临的威胁和潜在的脆弱性进行评估,根据评估结果,综合平衡安全风险和成本,以及各系统特定安全需求,选择和调整安全措施,确定出关键业务系统、子系统和各类保护对象的安全措施。在第三个阶段中,则涉及评估系统是否满足相应的安全等级保护要求、评估系统的安全状况等,同时根据结果进行相应的改进。

等级保护所要完成的工作本质就是根据信息系统的特点和风险状况,对信息系统安全需求进行分级, 实施不同级别的保护措施。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级, 所以风险评估是等级保护的重要基础与依据。

2 等级保护建设过程中如何有效地结合风险评估

2.1 以风险评估中资产安全属性的重要度来划分信息系统等级

在公安部等四部局联合下发了《信息安全等级保护的实施意见》公通字2004第66号文中,根据信息和信息系统的重要程度,将信息和信息系统划分为了五个等级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。实际上对信息系统的定级过程,也就是对信息资产的识别及赋值的过程。在国家的《信息系统安全等级保护定级指南》中,提出了对信息系统的定级依据,而这些依据基本的思想是根据信息资产的机密性、完整性和可用性重要程度来确定信息系统的安全等级,这正是风险评估中对信息资产进行识别并赋值的过程:对信息资产的机密性进行识别并赋值;对信息资产的完整性进行识别并赋值;对信息资产的可用性进行识别并赋值。从某种意义上来说,信息系统(不是信息)的安全等级划分,实际上也是对残余风险的接受和认可。

2.2 以风险评估中威胁程度来确定安全等级的要求

在等级保护中,对系统定级完成后,应按照信息系统的相应等级提出安全要求,安全要求实际上体现在信息系统在对抗威胁的能力与系统在被破坏后,恢复的速度与恢复的程度方面。而这些在风险评估中,则是对威胁的识别与赋值活动;脆弱性识别与赋值活动;安全措施的识别与确认活动。对于一个安全事件来说,是威胁利用了脆弱性所导致的,在没有威胁的情况下,信息系统的脆弱性不会自己导致安全事件的发生。所以对威胁的分析与识别是等级保护安全要求的基本前提,不同安全等级的信息系统应该能够对抗不同强度和时间长度的安全威胁。

2.3 以风险评估的结果作为等级保护建设的安全设计的依据

在确定信息系统的安全等级和进行风险评估后,应该根据安全等级的要求和风险评估的结果进行安全方案设计,而在安全方案设计中,首要的依据是风险评估的结果,特别是对威胁的识别,在一些不存在的威胁的情况下,对相应的脆弱性应该不予考虑,只作为残余风险来监控。对于两个等级相同的信息系统,由于所承载业务的不同,其信息的安全属性也可能不同,对于需要机密性保护的信息系统,和对于一个需要完整性保护的信息系统,保护的策略必须是不同,虽然它们可能有相同的安全等级,但是保护的方法则不应该是一样的。所以,安全设计首先应该以风险评估的结果作为依据,而将设计的结果与安全等级保护的要求相比较,对于需要保护的必须符合安全等级要求,而对于不需要保护的则可以暂不考虑安全等级的要求,而对于一些必须高于安全等级要求的,则必须依据风险评估的结果,进行相应高标准的设计。

3 结束语

风险评估为等级保护工作的开展提供基础数据,是等级保护定级、建设的实际出发点,通过安全风险评估,可以发现信息系统可能存在的安全风险,判断信息系统的安全状况与安全等级保护要求之间的差距,从而不断完善等级保护措施。文章对等级保护工作中如何结合信息安全风险评估进行了有益的探索,为有效地支撑计算机信息系统等级保护建设的顺利进行提供了参考。

参考文献

[1] 吴贤.信息安全等级保护和风险评估的关系研究.信息网络安全,2007.

[2] 冯登国,张阳,张玉清.信息安全风险评估综述.通信学报,2004.

篇7

【关键词】智慧城市;安全风险;风险识别;风险评估

1.引言

自IBM于2009提出“智慧地球”理念以来,国内外已经有众多城市以网络为基础,打造数字化、泛在互联的新型智慧型城市。在智慧城市的建设和研究过程中,将新兴的物联网、云计算、超级计算,以及基础通信网络、软件服务化、数据共享、整合、挖掘与分析等技术全面应用。同时也对信息安全带来了全角度的冲击。

建设智慧城市必将面临各种风险,本文主要研究和讨论智慧城市工程信息系统的风险和评估方法。并且为建设智慧城市信息安全提供设计思路。

目前信息安全风险评估的方法主要有层次分析法[1]、神经网络方法[2]和模糊理论[3]等;信息安全要求是通过对安全风险的系统评估予以识别的[4]。风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。

2.建设智慧城市面临的信息安全风险

2.1 智慧城市信息系统的基本结构

智慧城市主要由三部分组成,底层为基础设施平台,主要包括互联网络和感知网络;数据共享平台主要包括基础信息资源库,例如人口信息、地理信息等;应用服务平台是面向公众、企业及政府的综合服务门户平台。

2.2 智慧城市面临的信息安全风险

信息安全风险是认为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响[5]。如表1所示,智慧城市面临的信息安全风险主要有物理破坏、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等风险。智慧城市服务面广、影响广泛,面对大众,其持续服务能力和流畅服务能力直接关系到智慧城市建设的成败。而这两个服务能力又取决于管理者和建设者对以上风险的认知和处理程度。

3.信息安全风险识别

信息安全风险识别的基本依据就是客观世界的因果关联性和可认识性[5]。在建设智慧城市的过程中,信息系统必将面临各种安全风险。明确识别风险,评估风险,并合理的管理风险,是参与智慧城市项目建设中每个人的责任和义务。

风险识别主要有两种方法,一种是从主观信息源出发的识别方法。主要利用头脑风暴法,德尔菲方法(Delphi method)和情景分析法(Scenarios analysis)。前两种方法在我国使用的较多,情景分析法是一种定性预测方法,对预测对象可能出现的情况或引起的后果做出预测的方法,操作过程复杂,目前在我国的具体应用较少。另外一种风险识别的方法是从客观信息源出发的识别方法。主要利用核对表法、流程图法、数据或结果实验法、工作结构分解分析法和财务报表法等。

信息安全风险管理是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。没有绝对安全的环境,每种环境都会存在某种程度的脆弱性,都会面临一定的威胁。问题的关键在于识别威胁,估计它们实际发生的可能性以及可能造成的破坏,并采取恰当的措施将系统环境的总体风险降低至组织机构认为可以接受的级别。

4.终端面临安全风险

用户访问智慧城市信息数据的终端虽然不属于智能城市建设的范畴,但面对大量的用户终端,智慧城市工程相关管理和技术人员必须要考虑智慧城市系统对用户终端的影响。

根据CATR 2013年3月4日的研究数据显示,预计2013年中国3G用户将增长1.5-1.8亿户,用户规模突破3亿户。也就是说会有很大量用户通过3G智能终端获取信息。智慧城市的信息数据,也将通过3G移动互联网送至用户的智能手机上。会存在黑客利用智慧城市信息服务平台攻击用户智能终端的情况。

另外一部分用户将使用个人计算机机通过互联网访问智慧城市信息数据。同样黑客也有机会利用智慧城市信息服务平台攻击用户的个人计算机。

最后,由于智能电视、网络机顶盒的出现,还将会有部分用户通过电视机访问智慧城市的信息数据,黑客也有攻击智能电视机网络机顶盒等电视机接入设备。

智慧城市工程的建设,要应对网络犯罪和黑客攻击,维护移动互联网安全,需要将移动网络、后台服务以及个体终端结合起来,从全局角度提出一个完整的综合性解决方案,这就对普通用户、移动运营商、网络安全供应商、手机制造商、第三方软件开发商以及网络信息提供商都提出了更高的要求。同时,还需要政府监管部门完善响应的监管体系,加强相关法律法规的建设。

5.信息安全风险评估

信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及其由处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,并提出有针对性的抵御威胁的防护对策和整改措施。进行信息安全风险评估,就是要防范和化解信息安全风险,或者将风险控制在可接受的水平,从而为最大限度的保障网络和信息安全提供科学依据。[6]

通过风险评估后,就可以针对信息系统中的高危风险进行风险管理。风险评估目前主要有定量风险分析方法和定性风险分析方法。国内外研究人员又在此基础上提出了层次分析法(AHP),故障树分析法和基于模糊数学的分析方法。另外就是基于科研机构颁布的标准或指南的信息安全风险评估方法,比较传统的方法有BS7799标准、CC标准、ISO13335信息和通信技术安全管理指南和NIST相关标准等。这些标准或指南对信息安全风险评估具有很好的指导作用,且大多数是基于定性的风险评估,对评估者的能力要求高,评估具有很大的主观性。

对于智慧城市工程的信息系统,可以采用多种不同的方法对信息系统进行综合风险评估,将不同风险评估方法得出的结果系统分析,实施全方位、多角度的风险管理。只有通过对信息系统的安全风险评估才能对智慧城市工程存在的风险进行合理、科学和有效的管理。

6.结束语

在建设智慧城市工程的过程中,信息安全风险评估以及风险管理势在必行。在规划设计阶段根据实际投资和项目情况,以国家相关标准为基础进行规划设计,并参照《信息系统安全等级保护基本要求》(GB/T22239-2008)对信息系统进行安全保护。正确识别和评估安全风险要始终贯穿到工程项目建设的每一个环节中。在项目建设初期从多角度、全方位识别风险,不留风险盲区;在项目建设过程中,通过风险评估的结论,将风险降低到可以接受的程度;在后期的使用维护过程中,始终使用PDCA方法,不断的去识别、评估和降低安全风险。动态将风险识别和风险评估方法贯彻到智慧城市工程的每一个阶段,确保实现安全可靠的智慧型政府、智慧型民生和智慧型产业。

参考文献

[1]王奕,费洪晓,蒋蘋.FAHP方法在信息安全风险评估中的研究[J].计算机工程与科学,2006,28(9):4-6.

[2]赵冬梅,刘海峰,刘晨光.基于BP神经网络的信息安全风险评估[J].计算机工程与应用,2007,43(1):139-141.

[3]陈光,匡光华.信息安全风险评估的模糊多准则决策方法[J].信息安全域通信保密,2006,7:23-25.

[4]信息安全管理实施指南(ISO17799:2005C).

[5]信息安全风险评估规范(GB/T20984-2007).

篇8

【关键词】 政务信息安全 信息安全评估 指标体系

1 引言

近年来,我国电子政务网络体系和信息系统建设加快推进,建设了大量的政务门户网站、电子公文系统等。随之而来的是政务安全威胁也与日俱增。根据统计,政府网站和信息系统依然是黑客攻击的主要目标之一。大量政府网站被挂马和恶意篡改,重要数据库信息被窃取,这些都严重影响到了政府部门的信息安全和自身公信力。

在政府单位信息安全日常检查工作中,由于缺乏系统、全面、统一的信息安全评估机制和评估标准,导致评估结果可量化程度低,无法直观反映评估结果和存在问题,一定程度上削弱了信息安全检查结果对整改工作的指导价值。因此,探索建立适用于政府单位的一整套信息安全评估指标体系,变信息安全“一事一议”为长效机制,对于增强政务信息安全防护水平,带动信息安全产业发展具有重要意义。

2 政务信息安全评估

信息安全评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及存在的漏洞,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。信息安全评估的重要意义在于,通过对政府部门关心的重要信息资产的评估分级,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定后期处理计划,从而建立一套完整的、健壮的安全风险防御体系,为进一步制定安全风险投资预算计划、安全风险投资回报分析、人员组织计划和建立安全体系、制定安全政策、引入安全控制措施而提供基础数据,辅助最高管理层对政务信息安全管理的计划与实践做出正确决策。

目前,在信息安全领域较为通用的信息安全评估技术标准包括《信息技术安全评价通用准则》(ISO/IEC 15408 CC标准)、《国际信息安全管理标准体系》(BS 7799标准)、《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008 ISO/IEC 27001:2005)、《信息技术 安全技术 信息安全管理 实用规则》(GB/T 22081-2008 ISO/IEC 27002:2005)、《系统安全工程能力成熟度模型》(SSE-CMM)等。

3 政务信息安全评估指标体系

本文结合上述各项信息安全评估技术标准,考虑政务信息安全各项技术要求,结合政务信息系统建设的成本、效益等操作层面问题,给出了一套包含以下七大类一级指标的政务信息安全评估三级指标体系。

(1)“信息安全保障机构”:为确保信息安全日常工作,政府部门应成立信息安全领导机构小组,建立相关制度,明确信息安全主管领导和信息安全专业,按照“谁主管、谁负责”的原则,全面落实工作责任制。

(2)“日常信息安全管理”:应根据组织的信息安全方针,规定岗位信息安全责职责并形成文件,对重要岗位应制定重要岗位安全保密责任书,对信息岗位,员工离岗离职时应按照单位规定,对人员使用的计算机、存储设备、访问密码等进行管理。外部人员访问时,应确保在外部人员访问受控区域前得到授权或审批。对重大的安全责任事件有相应的问责机制。

(3)“系统信息安全管理”:对于政府部门信息安全等级保护,应按照等保的要求进行评测、定级、备案与安全整改。在系统运行维护方面,应明确制定每个系统的运维内容、运维方式、运维职责,对系统的用户权限和管理员权限进行管理。对于系统功能流程的变更需要建立变更审批制度,并进行变更记录。系统应具备日志和备份功能,对系统的日常操作进行安全审计。

(4)“信息安全技术防护”:信息安全技术防护是信息安全保障工作的重要内容,针对目前政府部门整体信息化建设和应用系统使用情况,应该注重的技术防护方面包括:网络安全、终端与介质防护、数据安全、应用安全、门户网站防护、邮件系统防护、机房环境安全等。

(5)“信息安全应急响应”:系统运维应急方案是对中断或严重影响业务的故障,如宕机、数据丢失、业务中断等,进行快速响应和处理,在最短时间内恢复业务系统,将损失降到最低。政府部门应针对各类突发事件,如硬件损坏、操作失误、配置丢失、数据丢失等设计相应的预防与解决措施,同时提供完整的应急预案处理流程,定期进行预案演练。

(6)“信息安全教育培训”:对各级安全负责人员、系统使用人员应定期进行安全教育培训,提升信息安全意识,提高信息安全管理水平。对于专业信息安全人员开展定期考核测评

(7)“信息安全检测评测”:通过信息自查、抽查等方式开展政府部门的信息安全检查工作,各单位应配合检查工作建立检查小组,对检查实施过程进行监督指导。对关键网络环境、硬件服务器、计算机终端、应用系统等开展技术性检测。详细记录检查结果,对安全问题环节进行通报、上报、整改,并追究相关人员责任。

4 指标数据采集方法

在实际工作中可采用以下四种指标数据采集方法:一是问卷调查,即通过问题表的形式,事先将需要了解的问题列举出来,通过让相关人员回答有关问题而获取数据信息。二是实地收集,即通过深入现场,亲自参与系统的运行维护活动,并运用观察、操作等方法直接从信息系统中收集资料和数据。三是利用辅助工具,借助网络和系统检测、扫描、监控工具发现系统某些内在的弱点和可能存在的威胁。四是文档审查,即通过文档和资料的查阅,获取较完整的系统信息和历史经验。

5 结论

在电子政务建设过程中不可避免的涉及到信息安全保障工作,而信息安全评估作为信息安全保障工作的重要环节,制定相应的安全评估标准,能够为信息安全各个职能部门提供检测依据,进而妥善处理政务信息安全中存在的不同层面问题。通过对评估指标、评估模式、评估方法的不断创新完善,安全评估在信息安全体系建设中的支撑引领作用将得到更充分的认识,并成为信息安全工作的重要规划指导依据和评价考核标准。

参考文献:

篇9

关键词:多属性群决策;熵权法;TOPSIS;信息安全;风险评估

一、 引言

从20世纪90年代后期起,我国信息化建设得到飞速发展,金融、电力、能源、交通等各种网络及信息系统成为了国家非常重要的基础设施。随着信息化应用的逐渐深入,越来越多领域的业务实施依赖于网络及相应信息系统的稳定而可靠的运行,因此,有效保障国家重要信息系统的安全,加强信息安全风险管理成为国家政治稳定、社会安定、经济有序运行的全局性问题。

信息安全风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三大类。定性评估方法的优点是使评估的结论更全面、深刻;缺点是主观性很强,对评估者本身的要求高。典型的定性评估方法有:因素分析法、逻辑分析法、历史比较法、德尔斐法等。定量的评估方法是运用相应的数量指标来对风险进行评估。其优点是用直观数据来表述评估结果,非常清晰,缺点是量化过程中容易将本来复杂的事物简单化。典型的定量分析方法有:聚类分析法、时序模型、回归模型等。定性与定量相结合的评估方法就是将定性分析方法和定量分析方法这两种方法有机结合起来,做到彼此之间扬长避短,使评估结果更加客观、公正。

本文针对风险评估主观性强,要素众多,各因素较难量化等特殊性,将多属性群决策方法引入到风险评估当中。多属性决策方法能够较有效解决多属性问题中权重未知的难题,而群决策方法能较好地综合专家、评估方、被评估方以及其他相关人员的评估意见。该方法可解决风险评估中评估要素属性的权重赋值问题,同时群决策理论的引入可提高风险评估的准确性和客观性。本文用熵权法来确定属性权重,用TOPSIS作为评价模型,对风险集进行排序选择,并运用实例来进行验证分析。

二、 相关理论研究

1. 信息安全风险分析原理。信息安全风险评估是指依据信息安全相关的技术和管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性进行评价的过程。它要对组织资产面临的威胁进行评估以及确定威胁利用脆弱性导致安全事件的可能性,并结合相应安全事件所涉及的资产价值来判定当安全事件发生时对组织会造成的影响。文献中提出了一种改进的风险分析流程及原理,该模型对风险分析基本流程的属性进行了细分,如图1所示。

根据上述原理,总结出信息安全风险评估的基本步骤,可以描述如下: (1)首先调查组织的相关业务,分析识别出组织需要保护的重要资产,以及资产本身存在的脆弱性、面临的威胁,形成风险集。(2)组织各领域专家对风险集中各属性进行评估并赋权值,得到每个风险的属性值。(3)通过一定的算法对所有属性进行综合分析,得到最后的结果,进一步推算出组织面临的风险值。

2. 多属性群决策理论。多属性群决策,是指决策主体是群体的多属性决策。多属性决策是利用已有的决策信息,通过一定的方式对一组(这一组是有限个)备择方案进行排序并选择,群决策是多个决策者根据自己的专业水平、知识面、经验和综合能力等对方案的重要性程度进行评价。在多属性群决策过程中,需要事先确定各专家权重和属性权重,再通过不同集结算法计算各方案的综合属性值,从而对方案进行评价或择优。

3. 熵权法原理。香农在1948年将熵的概念应用到信息领域用来表示信源的不确定性,根据熵的思想,人们在决策中获取信息的数量和质量是提高决策精度和可靠性的重要因素。而熵在应用于不同决策过程的评价时是一个很理想的方法。熵权法是确定多属性决策问题中各属性权系数的一种有效方法。它是利用决策矩阵和各指标的输出熵来确定各指标的权系数。

试考虑一个评估问题,它有m个待评估方案,n个评估属性,(简称m,n评估问题)。先将评估对象的实际状况可以得到初始的决策矩阵R′=(′ij)m×n,′ij为第i个对象在第j个指标上的状态,对R′进行标准化处理,得到标准状态矩阵:R=(ij)m×n,用M={1,2,…,m}表示方案的下标集,用 N={1,2,…,n}表示属性的下标集,以下同。其中,当评估属性取值越大越好,即为效益型数据时:

ij=(1)

当评估属性取值越小越好,即为成本型数据时:

ij=(2)

(1)评估属性的熵:

Hj=-kij×lnij j∈N(3)

其中ij=ij/ij k=1/lnm,并假定,当ij=0时,ijlnij=0,Hj越大,事件的不确定性越大,Hj越小,事件的不确定性越小。

(2)评估属性的熵权:在(m,n)评估问题中,第j个评估属性的熵权j定义为:

j=(1-Hj)/(n-Hj),j∈N,显然0j1且j=1

3. TOPSIS方法。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一种逼近理想解的排序方法,适用于多属性决策中方案的排序和优选问题,它的基本原理描述如下:(1)界定理想解和负理想解,(2)以各方案与“理想解”和“负理想解”的欧氏距离作为排序标准,寻找距“理想解”的欧氏距离最小,(3)距“负理想解”的欧氏距离最大的方案作为最优方案。理想解是一个方案集中虚拟的最佳方案,它的每个属性值都是决策矩阵中该属性的最好的值;而负理想解则是虚拟的最差方案,它的每个属性值都是决策矩阵中该属性的最差的值。最优方案是通过需要评估的方案与理想解和负理想解之间的欧氏距离构造的接近度指标来进行判断的。假设决策矩阵R=(ij)m×n已进行过标准化处理。具体步骤如下:

(1)构造加权标准状态矩阵X=(xij),其中:xij=j×ij,i∈M;j∈N,j为第j个属性的权重;xij为标准状态矩阵的元素。

(2)确定理想解x+和负理想解x-。设理想解x+的第j个属性值为x+j,负理想解x-的第j个属性值位x-j,则

x+j={xij|j∈J1)),xij|j∈J2)}

x-j={xij|j∈J1)),xij|j∈J2)}

J1为效益型指标,J2为成本型指标。

(3)计算各方案到理想解的Euclid距离di+与负理想解的距离di-

di+=;di-=;i∈M

(4)计算各方案的接近度C+i,并按照其大小排列方案的优劣次序。其中

C+i=,i∈M

三、 基于TOPSIS的多属性群决策信息安全风险评估模型

1. 方法的采用。本文将基于TOPSIS的多属性群决策方法应用于信息安全风险评估中,有以下几点考虑:

(1)组织成本问题。组织需要对分析出来的风险严重程度进行排序比较,从而利用有限的成本将风险控制到适当范围内。因此,组织可以将被评估方所面临的风险集,看作是决策问题中的方案集,决策目的就是要衡量各风险值的大小及其排序,从中找出最需要控制的风险。

(2)风险评估中的复杂性问题。风险评估的复杂性,适合用多属性群决策方法来解决。如图1所示,信息安全风险评估中涉及多个评估指标,通过评估指标u1,u2,…,u7的取值来计算风险值z。风险值z的计算适用于多属性决策的方法。而由于风险评估的复杂性和主观依赖性决定了风险评估需要综合多人的智慧,因此风险评估的决策者在各方面优势互补,实现群决策的优势。

2. 评估过程。

(1)构造决策矩阵,并将决策矩阵标准化为R=(ij)m×n,由于风险评估属性都是成本型属性,所以用公式(2)标准化。

(2)专家dk权重的确定。为确定专家权重,由风险评估负责人构造专家判断矩阵,假设共有r个专家,Eij表示第i位专家对第j专家的相对重要性,利用Saaty(1980)给出了属性间相对重要性等级表,计算判断矩阵的特征向量,即可得到专家的主观权重:=(1,2,3,…,r)。

(3)指标权重的确定。指标权重由熵权法确定,得到专家dk各指标权重(k)=(1(k),2(k),3(k),…,n(k))。

(4)利用属性权重对决策矩阵R(k)进行加权,得到属性加权规范化决策矩阵X(k)=(xij(k))m×n,其中,xij(k)=ij(k)·j(k),i∈M;j∈N。

(5)利用加权算术平均(WAA)算子将不同决策者的加权规范矩阵X(k)集结合成,得到综合加权规范化矩阵X=(xij)m×n,其中xij=xij(k)k。

(6)在综合加权规范化矩阵X=(xij)m×n中寻找理想解x+=(x1+,x2+,…,xn+) 和负理想解x-=(x1-,x2-,…,xn-), 因为风险评估属性类型为成本型,故x+j=xij,x-j=xij,j∈N。

(7)计算各风险集分别与正理想解的Euclid距离di+和di-。

(8)计算各风险集的接近度C+i,按照C+i的降序排列风险集的大小顺序。

四、 实例分析

1. 假设条件。为了计算上的方便,本文作以下假设:

(1)假设共有两个资产,资产A1,A2。

(2)资产A1面临2个主要威胁T1和T2,资产A2面临1个主要威胁T3。

(3)威胁T1可以利用资产A1存在的1个脆弱性V1,分别形成风险X1(A1,V1,T1);威胁T2可以利用资产A1存在的1个脆弱性V2,形成风险X2(A1,V2,T2);威胁T3可以利用资产A2存在的1个脆弱性V3,形成风险X3(A2,V3,T3)。以上假设条件参照文献“7”。

(4)参与风险评估的人员来自不同领域的专家3名,分别是行业专家d1,评估人员d2和组织管理者d3,系统所面临的风险已知,分别是X1,X2,X3。

2. 信息安全风险评估。

(1)构造决策矩阵。如表1,决策属性为u1,u2,…,u7,决策者d1,d2,d3依据这些指标对三个风险X1,X2,X3进行评估给出的风险值(范围从1~5)。

(2)决策矩阵规范化,由于上述数值属成本型,用公式(2)进行标准化。

(3)专家权重的确定,评估负责人给出3个专家的判断矩阵。

计算出各专家权重=(0.717,0.201,0.082),最大特征值为3.054 2,C.I=0.027,R.I=0.58,C.R=0.0470.1,判断矩阵满足一致性检验。

(3)指标权重的确定

w1=(0.193,0.090,0.152,0.028,0.255,0.090,0.193)

w2=(0.024,0.312,0.024,0.223,0.024,0.168,0.223)

w3=(0.024,0.024,0.312,0.168,0.168,0.223,0.079)

(4)得到综合加权规范矩阵X

X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026

(5)求出理想解x+=(0.002,0.017,0.063,0.013,0.006,0.045,0.026) 负理想解x-=(0.072,0.080,0.084,0.039,0.146,0.101,0.107)。

(6)计算d+i、d-i和C+i及对结果排序,见表5。

从排序结果可以看出,风险大小依次为X3X2X1,因此,组织要按此顺序根据企业的经济实力加强风险控制。与参考文献“8”中的风险计算方法比较,提高了风险计算的准确性。

五、 结论

通过对信息安全风险评估特点分析,将多属性群决策用于信息安全风险评估当中,多属性群决策中最重要的就是权重的确定,本文对专家权重采用两两成对比较矩阵来获得,对属性权重采用熵权法来确定,最后采用TOPSIS方法进行结果的排序和选择。这种方法可以从一定程度上消除专家主观因素的影响,提高信息安全风险评估的准确性,为信息系统安全风险评估提供一种研究新思路。

参考文献:

1.赵亮.信息系统安全评估理论及其群决策方法研究.上海交通大学博士论文,2011.

2.中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范,2007.

3.陈晓军.多属性决策方法及其在供应商选择上的应用研究.合肥工业大学硕士论文,2008.

4.周辉仁,郑丕谔,秦万峰等.基于熵权与离差最大化的多属性群决策方法.软科学,2008,22(3).

5.管述学,庄宇.熵权TOPSIS模型在商业银行信用风险评估中的应用.情报杂志,2008,(12).

6.郭凯红,李文立.权重信息未知情况下的多属性群决策方法及其拓展.中国管理科学,2011,19(5).

7.唐作其,陈选文等.多属性群决策理论信息安全风险评估方法研究.计算机工程与应用,2011,47(15).

8. 中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范.北京:中国标准出版社,2007.

基金项目:国家自然科学基金资助项目(项目号:60970143,70872120);教育部科学技术研究基金资助重点项目(项目号:109016)。

篇10

【 关键词 】 第三方支付系统;风险评估;支付流程;威胁树;最小威胁树

【 中图分类号 】 TP393 【 文献标识码 】 A

1 引言

第三方支付行业在近几年迎来了快速发展,特别是2011年对于我国的第三方支付行业来说是具有里程碑意义的一年,央行在2011年开始颁发非金融机构支付业务许可证,支付许可证的颁发反映出国家开始从制度政策层面规范第三方支付行业的发展,同时也对第三方支付行业的安全性提出了要求。因此,如何从信息系统安全角度对诸多第三方支付工具进行全面的评价,这将对网上支付以及网络购物的发展具有十分重要的现实意义。

当前国内外第三方支付行业的发展存在巨大差异,国外专门针对第三方支付安全的研究较少,而国内也只是部分学者在进行研究时内容会涉及到第三方支付的信息安全。赵德志基于项目管理视角对第三方支付进行了风险识别,认为第三方支付系统存在几种风险,分别是外部风险、组织风险、项目管理风险、技术管理风险,并对风险来源进行了细化,但该研究并未深入对第三方支付系统的安全风险进行有效评价。

以上研究对第三方支付市场存在的风险进行了一定的分析,但上述研究仍存在着一定的不足,主要体现在相关研究并未从信息安全的角度深入剖析第三方支付平台自身支付业务流程所可能存在的脆弱性以及防范重点,也没有对第三方支付进行流程再造提出相关建议,因此对于第三方支付安全事件的发生无法起到实质性的遏制,本文将从信息安全风险评估的角度对第三方支付系统进行深入研究。

下文将基于对第三方支付平台的一般支付流程和相关案例的定性分析,运用威胁树方法学,构建针对第三方支付的威胁树分析模型,并基于德尔菲法选择当前主流第三方支付平台进行信息安全评估,从而为用户从安全视角对第三方支付平台进行选择提供参考依据。

2 威胁树模型

2.1 威胁树定义及基本结构

2.2 威胁树的修剪

一个威胁的实现需要威胁即攻击者具有一定级别的能力。攻击者取决于下列因素:攻击成本、专门技术知识或工具、被逮捕和惩罚的概率等。叶子结点的指标值由分析者直接输入,数据来源可以是调研数据,历史事件资料以及方法评估获取,非叶子结点通过指标函数获取,根据并联关系和串联关系的不同而不同。可以根据结点某一指标作为阈值对威胁树进行修剪,“剪去”所有超过或低于某一阈值的路径,修剪过的树的集合(可以认为是图形的覆盖图)代表着所有威胁可能使用的可行的威胁完全集,从攻击的角度来讲是一个可行的攻击集,也就是最小威胁树。从预防的角度讲,是采取安全策略时应重点考虑的。

3 威胁树模型

3.1 基于威胁树的第三方支付系统信息安全评价模型构建

通过第三方支付业务流程以及对收集到的大量安全事件的定性分析,第三方支付系统信息安全事件的典型特征有几点:

1)第三方支付系统面临的最大风险是账户操作过程中的可支付余额;

2)第三方支付系统安全事件的发生一般是该两项密码通过各种手段如钓鱼网站、促销信息、升级提醒等手段被盗取;

3)某些木马病毒如支付宝大盗、浮云木马病毒,在支付环节通过篡改支付协议交换过程中的付款账户和金额等方式实现更具隐蔽性盗取;

4)部分案例显示数字证书可以通过一定手段绕过从而盗取用户资金,此环节可能存在重大安全隐患。

因此,根据威胁树方法学,可得到以下第三方支付的威胁树分析模型。

a) 第三方支付系统威胁树的修剪

根据威胁树方法学,可以通过某种指标比如攻击成本、攻击能力、成功概率等对威胁树进行修剪,本文拟采取德尔菲法的形式,邀请相关业内专家针对威胁攻击系统的可能性进行打分,从而对第三方支付系统的威胁树进行修剪,具体实施将在下文讨论。

4 第三方支付系统信息安全风险评估的实施

根据易观国际的最新数据显示,本文拟选取两个典型的第三方支付工具,支付宝和快钱进行对比分析。

5 第三方支付平台的风险管理

结合上述两个具体的第三方支付工具的最小威胁树,提出若干风险管理建议。

第一,加强用户操作的主体性认证,增加实时性主体认证手段,如手机短信,动态口令等手段。特别改变账户操作仅依靠密码进行的流程,从而增强安全性;目前一些主流的第三方支付工具,仅在安装数字证书,快捷支付等情况下才使用手机验证码,因此建议在转账、更换手机、提现等操作关键操作时,额外增加实时身份验证手段。

第二,针对数字证书用户,应加强对数字证书申请、取消环节的管理,进行必要的身份认证;并且建议增加对账户登录、异地操作的实时提醒,以提高账户的安全性,而此种服务目前多数第三方支付工具尚未提供。

第三,加强对用户的教育,提醒用户识别常用的诈骗手段,如图5中所示的“防冒客服”以及“短信升级”等手段。

6 结束语

本文运用威胁树分析模型对第三方支付系统的安全性进行了全面评估,并选择当前主流的第三方支付平台进行的评估实施,并基于评估提出了针对性的安全建议和对策,从而为用户识别和选择第三方支付工具提供了一定的参考依据。本文的数据采用德尔菲法获取,该方法存在着一定的主观性,是未来研究应当着力改进的地方。

参考文献

[1] 中国互联网络研究中心.中国网络支付安全状况报告[Z].北京,2012.

[2] 金山网络公司.2011-2012中国互联网安全研究报告[Z].

[3] 中国人民银行.《支付机构互联网支付业务管理办法》征求意见稿[R],2012.

[4] 赵德志.第三方支付公司的发展与风险研究[D].北京:北京邮电大学,2007.

[5] GB/T 20984-2007 信息安全技术信息安全风险评估规范[S].2007.

[6] 王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012,(08): 36-37..

[7] 许春,李涛,陈兴蜀,刘念,杨进.危险信号在实时网络安全风险评估中的应用[J].电子科技大学学报,2007, (S3):74-77.

[8] 李良.中国电子银行风险评估研究[D].大连:大连理工大学,2010.

[9] 曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.

[10] Schneier B."Attack Trees",Secrets and Lies[M].New York:John Wiley and Sons,2000:318-333.

基金项目:

河南省教育厅人文社会科学青年项目(2012-QN-063)。