美章网 资料文库 保险业档案安全风险评估探讨范文

保险业档案安全风险评估探讨范文

本站小编为你精心准备了保险业档案安全风险评估探讨参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

保险业档案安全风险评估探讨

风险评估工具

风险评估技术常用的工具一般有渗透测试工具和脆弱性扫描工具。渗透测试工具一般常使用人工结合渗透测试工具进行,常用的Web渗透测试工具有IBMAppScan、AWVS、HPWEBinspect,通常需对漏洞进行人工验证,以确定漏洞准确性。脆弱性扫描工具主要用于评估网络或主机存在的系统漏洞,常见工具有Nessus,能对主机、网络设备、安全设备进行扫描并形成脆弱性报告。此外,在风险评估过程中,除了利用上述工具来发现系统风险外,还需要利用系统现有数据来进行现状分析和趋势分析,这其中常用的手段有:入侵检测日志分析、主机日志分析、应用系统日志分析、主机/网络检查表等。

风险评估流程

1总体流程

根据风险评估中包含的各个要求,要分别进行实施,整体的风险评估流程如图3所示。

2风险评估准备阶段

通过做好准备工作,能够大大提升风险评估的效果,降低项目实施风险,该阶段是风险评估整个过程的重要组成部分。风险评估准备阶段一般应包含如下工作内容:明确风险评估范围、确定风险评估目标、组建项目团队、设定系统性风险评估方法、整体风险评估方案获得高层批准。

3资产识别阶段

资产识别主要针对现有的信息资产进行分类识别和描述,在识别的基础上从信息安全的角度,机密性、完整性和可用性对其进行赋值,确定信息资产的价值,作为影响分析的基础,典型资产类别可以分为:网络设备、服务器、终端、安全设备、物理环境、业务系统、数据、文档、组织和人员等。

4脆弱性识别

脆弱性评估常被称作弱点评估,是风险评估的重要工作,通过脆弱性评估能够发现信息资产存在的弱点。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性分类可分为技术脆弱性和管理脆弱性,其中技术脆弱性又可以细分为:物理安全、网络安全、系统安全、应用安全、数据安全5个方面。

5威胁识别

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。

环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害,也可能是偶发的或蓄意的事件。对威胁识别的简单方法就是对威胁进行分类,针对不同的威胁,可以根据其表现形式将威胁识别分为以下几类:软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。威胁分析方法首先需要考虑威胁的来源,然后分析存在哪些威胁种类,最后做出威胁来源和威胁种类的交叉表进行威胁赋值。

6风险分析

风险分析中要涉及资产、威胁、脆弱性3个基本要素,每个要素有各自的属性。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。

风险评估的主要内容

信息安全风险评估包含的内容涉及信息安全管理和技术,同时包括网络、系统、应用和数据等不同的技术层面,但根据保险行业的特定需求,总体定位在网络设备和网络架构方面的技术评估。主要内容包括:

1)信息资产的调查,主要针对网络拓扑,网络设备和服务器设备等。

2)网络架构弱点评估,针对目前的网络拓扑图进行弱点分析。

3)网络设备和服务器系统弱点评估,针对设备目前的系统配置进行分析,确认其是否达到应有的安全效果,结合渗透测试的手段。

4)现有安全控制措施,通过分析目前的安全控制措施,综合总结网络架构和设备的弱点。

5)整体网络威胁和风险分析,综合分析网络中面临的威胁和可能的风险,形成总体安全现状。

6)建议安全措施和规划。根据风险评估的成果和建设目标,形成建议的安全措施和时间进度,建立1-2年的信息安全规划。

项目实施成果

根据以上工作内容,项目的最终成果包括:

1)信息资产清单和分析结果。清晰明确系统和网络信息资产,明确其机密性、完整性和可用性的安全目标,同时确定资产的重要类别;必要时可以建立内部的信息资产库。

2)系统和网络脆弱性报告。明确服务器系统、网络设备、网络结构和安全设备可能存在的弱点。

3)系统和网络威胁报告。根据已有的弱点分析目前可能面临的威胁和威胁发生后对业务、系统和网络造成的影响。

4)安全现状报告。基于风险的安全现状总体分析报告,明确目前的网络安全风险。

5)建议安全措施和规划。从技术和管理的角度提出后期进行系统建设的安全控制措施。

结语

通过全方位地开展信息安全风险评估工作,能够有效提升保险业务系统的整体防护水平,全力保障各项应用的安全稳定运行。在此基础上,进一步规范保险业务信息系统与信息安全防护体系,及时发现各类安全隐患并采取措施尽可能的避免,从而全面提升保险业务系统的整体安全管理和技术应用水平。

作者:曹家俭单位:中国人民财产保险股份有限公司安徽省分公司