风险评估工作要求范文篇1
[关键词]风险评估工具风险评估产品
一、市场前景
风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。风险评估工具不仅把技术人员从繁杂的资产统计、风险评估的工作过程中解脱出来,还可以完成一些人力无法完成的工作。
目前,许多组织根据一些安全管理指南和标准开发出风险评估工具,为风险评估的进行提供了便利条件。但综观这些工具的现状,还存在许多问题,如工具运用的结果如何能够反映客观实质、如何有效度量、工具的使用如何能够综合协调等。同时,我国在风险评估工具的开发方面还处于萌芽阶段,没有成型的风险评估工具。因此开发出具有自主知识产权的风险评估工具具有广阔的市场前景。
二、信息安全风险评估产品格局
根据在风险评估过程中的主要任务和作用原理的不同,目前的风险评估工具可分为三类:综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具从管理的层面出发,根据信息所面临的威胁的不同分布进行全面考虑,如RA。信息基础设施风险评估工具包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统脆弱点。渗透性测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断是否这些漏洞能够被他人利用。风险评估辅助工具用来收集评估所需要的数据和资料,帮助完成现状分析和趋势分析。
可见,目前风险评估工具的类型界限非常明显,从需求的角度来看,管理型和技术层面的风险评估工具的需求已初露端倪。事实上,从管理角度进行风险评估的软件国内外已经有20余种,而技术层面的自动实现对网络环境风险评估的软件,目前还没有成型的产品。更多的仍是采用“漏洞扫描―渗透性测试―专家分析”的过程,而这种方式对评估人员的专业知识要求较高,对于一般的企业来说可操作性较差。因此,一个能够自动提供网络环境面临风险状况,提供控制风险解决方案的风险评估系统(策略管理系统)是企业真正需要的工具产品。
三、信息安全风险评估产品特点分析
国内信息安全风险评估产品及服务提供者主要来自于两个方向:一是国外提供商,包括国外知名的咨询机构,如美国Palisade公司的@RISK、英国CCTA的CRAMM、IIS的InternetScanner、美国赛门铁克公司的NetRecon等,另一是国内专业从事信息安全的公司。企业自身由于IT技术相对较为薄弱,还没有能形成自己的专业工具。
1.国外主要信息安全风险评估厂商特点分析
目前,国外的信息安全风险评估产品在国内安全评估中的应用占有绝对优势,这一方面是因国外产品成熟度高,另一方面是因国内到目前为止还没有一套成形的风险评估产品。但从长远发展来看,国外软件公司占据中国软件绝大多数市场的局面只会是暂时的,将在一段时间内被拥有自主知识产权的本土化产品所替代。风险评估产品的国产化是必然趋势,主要原因如下:
(1)总体实施成本高昂
国外供应商在国内企业实施管理软件系统的过程中,必须对软件进行国产化,加之其他方面的成本考虑,同样实施一套管理软件,国外软件的采购、咨询、实施的费用要比国内软件的费用高出5到10倍。如此高的费用使得很多企业难以接受。
(2)国外企业管理制度、语言环境等方面差异化
由于国外的政策、企业的管理制度,以及风俗习惯与国内不同,这也决定了软件在流程规划、功能设计、界面交互等方面不太符合国内实际情况及应用要求,同时由于语言、环境的差异,给实际用户对系统的理解、功能的操作,以及帮助的使用都带来很大的不便。
(3)商业机密及国防安全方面考虑
在信息化建设过程中,会逐步涉及到企业的所有管理业务、资源、及资源配备等信息,这些信息的汇集,无形之中就形成了企业的商业机密和国家机密。
2.国内主要信息安全风险评估产品厂商特点分析
虽然目前人们对信息安全风险评估的重要性和其存在的地位给与极大的肯定,人们也认识到风险评估在整个系统生命周期(SDLC)中发挥着重要的作用,象电信、金融这样的大型行业成为在信息安全风险评估方面的领头羊为其行业内的风险评估工作一掷千斤,但目前国内推出专业风险评估工具的厂商凤毛麟角。2003年6月20日,启明星辰公司正式国内第一套专业的安全风险评估工具“天清安全风险与控制管理系统”,天清安全风险控制与管理系统是启明星辰信息技术有限公司与新加坡MaximusConsulting公司合作开发的信息管理类型的产品,完全按照BS7799/ISO17799标准而设计。其他公司也在这方面投入力量,但还没有相关的产品出现。目前在信息系统、网络层面的综合风险评估与管理工具还没有出现。对信息系统的风险评估仍是阶段式的交互进行。而更多情况下,人们对信息安全的焦点更多的落在网络环境中,但不同的公司在这方面的专业人员又有限,因此,迫切需要一个能够提供网络环境风险评估与管理的综合系统(决策管理系统)。
参考文献:
[1]FederalDepositInsuranceCorpaoration,RiskAssessmentToolsandPracticesforInformationSystemSecurity,fdic.gov
[2]JeffForristal,GregShipley,VulnerabilityAssessmentScanners,NetworkComputing,January8,2001
风险评估工作要求范文篇2
关键词:信息安全;风险评估;教学
信息安全风险评估是进行信息安全管理的重要依据,通过对信息系统进行系统的风险分析和评估,发现存在的安全问题并提出相应的措施,这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》,对信息安全风险评估提出了具体的要求;欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段;2003年7月23日,国家信息中心组建成立“信息安全风险评估课题组”,提出了我国开展信息安全风险评估的对策和办法。2004年,国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准;2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求,同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学,是信息安全专业一门重要的专业课程,能全面培养学生综合运用专业知识,评估并解决信息系统安全问题的能力,是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强,课程发展十分迅速,涉及的学科范围也较广,传统的教学的模式不能使该课程的特点很好地展示出来,无法适应社会经济发展对信息安全从业人员的新要求,教学改革势在必行。
一、现状与存在的问题
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的安全威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南,用来确定合适的管理方针和选择相应的控制措施来保护信息资产,全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来,高校在制订本科专业教学培养目标和教学计划时,侧重于具体安全理论和技术的教学和讲授,特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看,多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上,而且教学课时数也较少,只有十个学时。当前从《信息安全风险评估》课程的教学情况来看,该课程在信息安全教育教学过程中地位有待提高,实践教学的建设与研究迫切需要深化。
当前该课程的教学实践中普遍存在以下几个方面的问题,严重制约了《信息安全风险评估》课程教学质量的提高:
1.本科教学大都以理论内容为主体,实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主,实验和课程设计的学时较少,实验内容也大多属于验证性质,缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计;
2.教学方法单一,缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少,师资力量相对薄弱,教学经验也比较缺乏,仍以主要由教师讲述的传统教学方式为主,学生进行具体实践和操作的课时较少,缺乏创新性的教学和研究,基本没有具有探索性和创新性特点的教学内容,不利于发挥学生主观能动性,提高其创新能力;
3.实验环境无法满足教学需求,缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚,缺乏相关的实验设备;而且受到资金和专业发展等多方面因素的制约,难以设立专门的信息安全风险评估实验室。此外,信息安全风险评估是以计算机技术为核心,涉及管理科学、安全技术、通信和信息工程等多个学科,对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识,又要加强实践训练。
二、教学改革与探索
高校计算机相关专业开设《信息安全风险评估》课程,不是培养网络信息安全方面的全才或战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足,我们从以下几个方面对该课程的教学改革进行了探索:
1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力:《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程,目前开设该课程的高校较少,各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险,同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力:信息安全风险评估的关键是对信息系统的资产进行分类,对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法,包括使用各种自动化和半自动化的工具,可在模拟实验里,通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力:随着信息化的不断发展,信息系统所面临的安全威胁急剧增加,为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准,培养和提高学生继续学习的能力。另外,《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力,培养学生对信息安全风险评估领域进行探索和研究的兴趣,最终使学生掌握信息安全风险评估的知识和技能,能够解决具体信息系统的安全问题。
2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》(国信办2006年5号文);同时,随着信息安全等级保护制度的推行,公安部会同有关部门出台了一系列政策文件,主要包括:《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等;国家信息安全标准化委员会颁发了《信息安全风险评估规范》(GB/T20984~2007)、《信息系统安全等级保护基本要求》(GB/T22239-2008)等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现,我们在教学过程中,增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T
22080-2008信息安全管理体系要求》、《GB/T22081-
2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T712-2007信息安全技术应用软件系统安全等级保护整理测试指南》等相关评估标准和指南的学习,并编制相关的调查、检查、测试表,重点强调对脆弱性检测的理论依据的描述,检测方法及其步骤的详细记录。
3.利用各种测评工具,提高学生实践能力。在信息安全风险评估过程中,资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具,并对具体的信息系统进行自动化或半自动化的分析,加深了学生信息安全风险评估的理论知识理解,同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估,该系统的服务器存在感染病毒的症状,其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描,发现了“远程代码被执行”漏洞,而且该漏洞能被蠕虫病毒利用,形成针对系统的攻击。通过案例特征提供了的信息,培养学生使用测评工具对具体信息系统进行安全风险评估的能力,并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。
笔者结合自己的教学实践体会,论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程,需要不断地根据信息系统在新环境下面临的各种威胁,制定新的评估标准和评估方案,并使得学生在有限的时间和环境下掌握相应的知识和技能,以满足社会对信息安全人才的需求。
参考文献:
[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用,2010,26(8):6-8.
[2]杨春晖,张昊,王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密,2007,(12):75-77.
[3]潘平,杨平,罗东梅,何朝霞.信息系统安全风险检查评估实践教学探讨[C]//Proceedingsof2011NationalTeachingSeminaronCryptographyandInformationSecurity(NTS-CIS2011),2011,(8).
风险评估工作要求范文篇3
一是安全评估体系不健全。大部分商行银行未明确安全评估管理的组织机构,缺少安全评估管理制度,未建立符合本行风险管理需要的安全评估体系。二是安全评估流程不规范。很多商业银行安全评估尤其是自评估缺少标准的流程控制,安全评估工作随意性强,大部分评估流于形式或依赖于个人经验,安全评估的结果不能真实的反映客观存在的风险。三是安全评估人才匮乏。安全评估工作具有较强的专业性,对评估人员的能力要求较高,而很多商业银行评估人员未经过相应的培训,缺少经验,并不真正具备安全评估的能力。四是安全评估方法不科学。商业银行评估尤其是自评估主要依据制度列表或个人经验,很难发现深层次问题并对风险准确定性,评估结果对风险处置的指导意见有限。五是安全评估数据积累不足。国内外主要的安全评估方法,需要根据历史事件统计事件发生概率,目前,很多商业银行尚未建立事件统计分析机制。
2安全评估管理的主要思路
通过研究国内外信息科技风险安全评估标准、规范及实践,提出了商业银行信息科技风险安全评估管理思路。
2.1建立安全评估组织体系
信息安全风险评估组织体系建设应充分考虑安全评估自身特点,并应结合商业银行的风险管理体系,安全评估的组织体系应包括两个方面:一是建立安全评估日常管理体系。该部分体系应在信息科技风险管理体系的基础上,明确高管层、信息科技风险管理部门、信息科技管理部门及其它相关部门的安全评估职责;二是建立安全评估项目管理机制。商业银行组织安全评估时应成立项目管理组织,并严格按照项目管理的流程对安全评估进行有效控制。
2.2建立信息安全风险评估标准流程
安全评估流程是安全评估标准化的控制手段,能够有效的控制安全评估的目标、范围、过程及质量,安全评估需要建立以下标准流程:一是安全评估的组织流程,即安全评估审批、总结、汇报等流程;二是安全评估的项目管理流程,安全评估应采用项目的管理方式进行组织,并按项目管理流程组织评估并形成项目阶段成果;三是安全评估的评估方法流程。安全评估根据标准的评估方法,并结合评估对象的特点,从资产识别、威胁识别、脆弱性识别、风险评估、已有措施确认等方面,建立明确的评估方法流程并明确流程各阶段主要工作成果及输出文档。
2.3培养专业信息安全风险评估人员
专业的安全评估人员是安全评估的基本保证,应加大对信息安全风险评估人员的培训力度,培训主要从以下几个方面进行:一是加大评估管理要求、评估流程的培训力度,让评估人员能够了解信息科技安全管理的要求,掌握安全评估组织、项目及方法流程;二是加大信息安全知识培训力度,评估人员应全面学习信息安全的相关知识,了解目前信息安全面临的主要威胁及存在风险;三是加大安全评估技术培训力度,评估人员应了解安全评估相关技术,熟练掌握常用的安全评估工具;四是加大信息系统相关技术培训力度,安全评估要求评估人员应了解主机、网络及应系统等相关技术细节,应组织相应的技术培训,扩大评估人员的知识范围,并使评估人员深入了解各系统的技术细节。
2.4引入安全评估工具
为实现安全评估的专业化,商业银行应逐步引入和使用风险评估工具,风险评估工具包括以下三类:一是专业安全评估设备及软件,如漏洞扫描设备、安全审计平台等。二是专门的风险计算工具,如风险统计及计算表格,该类表格根据标准的计算方式,能够给出相对准确的风险量化值。二是风险管理系统,对风险进行汇总、统计及处置跟踪。
2.5建立风险评估数据积累机制
【风险评估工作要求(收集3篇) 】相关文章:
逛超市日记精选[15](整理9篇) 2024-06-19
端午节日记精选(整理8篇) 2024-06-19
[精选]三年级日记(整理5篇) 2024-06-18
绿豆观察日记[精选](整理9篇) 2024-06-16
我的日记精选(整理6篇) 2024-06-15
[精选]小学三年级日记(整理3篇) 2024-06-14
[精选]小学生日记(整理9篇) 2024-06-13
家庭教育与学习心得(整理9篇) 2024-06-22
风险评估工作要求(收集3篇) 2024-06-22
教师教育心得体会(整理5篇) 2024-06-22