学习笔记：信息安全管理基础(下)

      上一篇我们讲了信息安全管理基础的管理分类，各种安全管理的方式我们都仔细地分析过了。这里的下半部分小编就来整理一下剩下的关于信息安全政策和信息安全风险评估与管理的内容。

　　信息安全政策

　　我国提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，已经制定了一系列的信息安全政策，以便规范信息安全的保护管理。

　　一、等级保护

　　《信息安全等级保护管理办法》已于并于2007 年6 月联合发文实施，这是由公安部、国家保密局、国家密码管理局、自务院信息化工作办公室联合制定的。

　　在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)是《信息安全等级保护管理办法》中明确规定的，它是计算机信息系统安全等级保护系列标准的核心，是施行计算机信息系统安全等级保护制度建设的重要基础。这个标准还将计算机系统安全保护能力划分为五个等级，这五个等级的具体划分和要求如下：

　　1.第一级 用户自主保护级

　　信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不强害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

　　用户具备自主安全保护的能力可以在这一级的计算机信息系统可信计算基通过隔离用户和数据来得到，它具备多种形式的控制能力，为用户提供可行的手段，对用户实施访问控制，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。

　　本级实施的是计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问，也就是自主访问控制。实施机制(例如:访问控制表)允许命名用户以用户和〈或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。

　　计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机制(例如:口令)来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据。

　　2.第二级 系统审计保护级

　　信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重提害，或者对社会秩序和公共利益造成摄害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信患安全等级保护工作进行指导。

　　这一级的计算机信息系统可信计算基与用户自主保护级相比实施了粒度更细的自主访问控制，它可以通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。在自主访问控制的基础上控制访问权限扩散，自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。

　　这一级级的身份鉴别通过为用户提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。

　　3.第三级 安全标记保护级

　　信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

　　本级的计算机信患系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述:具有准确地标记输出信息的能力:消除通过测试发现的任何错误。

　　本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例　如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类剔，主体才能读客体:仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。计算机信崽系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。

　　计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:进程、文件、段、设备)相关的敏感标记。这些标记是实施强制访前的基础。为了输入未加安全标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别，且可由计算机信患系统可信计算基审计。

　　4.第四级 结构化保护级

　　信息系统受到破坏后，会对社会秩序和公共利益造成特别严重摸害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

　　本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制:支持系统管理员和操作员的职能:提供可信设施管理:增强了配置管理控制。系统具有梧当的抗渗透能力。

　　在第三级实施的自主和强制访问控制基础上，进一步扩展到所有主体和客体。计算机信息系统可信计算基对井部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)实施强制访问控制。计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资源(例如:主体、存储客体、只读存储器)相关的敏感标记。

　　5.第五级 访问验证保护级

　　信息系统受到破坏后，会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进仔保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

　　本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的:必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码:在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能:扩充审计机制，当发生与安全相关的事件时发出信号:提供系统恢复机制。系统具有很高的抗渗透能力。

　　与第四级相比，自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。

　　二、分级保护

　　涉密信息系统依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，实施信息安全分级保护的强制执行制度。涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。

　　涉密信息系统分级保护的管理过程分为八个阶段，即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶　段、定期评测与检查阶段和系统隐退终止阶段等。在这里主要说一下需要引起重视的涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护这三个阶段。

　　1.涉密信息系统的定级

　　系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节，因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循"谁建设、谁定级"的原则，可以根据信息密级、系统重要性和安全策略划分为不同的安全域，针对不同的安全域确定不同的等级，并进行相应的保护。

　　2.安全规划方案设计的设施与调整

　　涉密信息系统要按照分级保护的标准，结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析，并根据安全风险分析的结果，对部分保护要求进行适当的调整和改造，调整应以不降低涉密信息系统整体安全保护强度，确保国家秘密安全为原则。当保护要求不能满足实际安全需求时，应适当选择采用部分较高的保护要求，当保护要求明显高于实际安全需求时，可适当选择采用部分较低的保护要求。

　　3.安全运行与维护

　　运行及维护过程的不可控性以及随意性，往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制，对安全状态进行监控，对发生的安全事件及时响应，在流程上对系统的运仔维护进行规范，从而确保涉密信息系统正常运行。通过安全检查和持续改进，不断跟踪涉密信患系统的变化，并依据变化进行调整，确保涉密信患系统满足相应分级的安全要求，并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别，所以在运行维护中应尽可能地实现流程国化，操作自动化，减少人员参与带来的风险。

　　根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:

　　(1)秘密级，信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

　　(2)机密级，信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。

　　(3)绝密级，信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相连。

　　3.等级保护与分级保护的区别

　　本质区别：等级保护实用的对象为非涉密信息系统，分级保护实用的对象为涉密信息系统。

　　(1)级别的分类：

　　等级保护分5个级别：一级(用户自主保护级)、二级(系统审计保护级)、三级(安全标记保护级)、四级(结构化保护级)、五级(访问验证保护级)。

　　分级保护分三个级别：秘密级、机密级(机密增强级)、绝密级。

　　两者对应的关系是秘密级对应三级、机密级对应四级、绝密级对应五级。

　　(2)部门管理：

　　等级保护的体系为国家标准(GB/GB/T)，主管部门为公安机关;分级保护标准为国家保密标准(BMB,强制执行)，主管部门为国家保密工作部门。如下图：　

　　国家信息安全等级保护和涉密信息系统分级保护是两个既联系又有区别的概念，但它们都是为了给国家信息安全保护而产生的信息安全政策，在两者相辅相成的情况下国家的信息安全保护才会有所保障。

　　三、网络隔离

　　网络隔离主要是指把两个或两个以上可路由的网络通过不可路由的协议进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也叫协议隔离。

　　网络隔离是一项网络安全技术，它消除了基于网络和基于协议的安全威胁，但网络隔离技术也存在局限性，对非网络的威胁如内容安全，就无法从理论上彻成排除，就像人工拷盘一样，交换的数据本身可能带有病毒，即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题，不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的，那么网络隔离是用户解决网络安全问题的最佳选择。

　　1.网络隔离技术

　　网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内在进行安全交互。经历了五代隔离技术不断的实践和理论之后，隔离产品终于开始大量的出现。这五代的隔离技术如下：

　　第一代隔离技术——完全的隔离。这个方法使得网络处于信息孤岛的状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。

　　第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。

　　第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。

　　第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。

　　第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

　　2.网络隔离的关键点

　　网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。位于网络第七层的通信硬件设备工作不能感知到交换数据的可用性、可控性、完整性、抗抵赖等，因此需要通过访问控制、加密签名、身份认证等安全机制来实现。

　　由此可见，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。

　　3.网络隔离的安全要点

　　(1)要确保网络之间是隔离的。网络包不可路由到对方网络是保证网间隔离的关键，不管中间采用了什么转换方法，如果一方的网络包最后还是进入到对方的网络中，都无法做到隔离，也就是没有得到隔离的效果。很明显，如果只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是起不到任何隔离效果的。另外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。

　　(2)要具有高度的自身安全性。隔离产品要保证自身具有高度的安全性，在技术实现上，除了对操作系统进行加固优化或采用安全操作系统外，关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制内网接口，然后在两套主机系统之间通过不可路由的协议进行数据交换，如此，即使黑客攻破了外网系统，仍然无法控制内网系统，就达到了更高的安全级别。

　　(3)要对网间的访问进行严格的控制和检查。作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术，保证每一次数据交换过程都是可信的，并且内容是可控制的，可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。

　　(4)要保证网间交换的只是应用数据。既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包，彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。

　　(5)要在坚持隔离的前提下保证网络畅通和应用透明 隔离产品会部署在多种多样的复杂网络环境中，并且往往是数据交换的关键点，因此，产品要具有很高的处理性能，不能够成为网络交换的瓶颈，要有很好的稳定性;不能够出现时断时续的情况，要有很强的适应性，能够透明接入网络，并且透明支持多种应用。

　　4.网络隔离的手段

　　(1)防火墙。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，也称防护墙，它是一种位于内部网络与外部网络之间的网络安全系统，实际上是一种隔离技术。　

　　防火墙主要是通过网络的路由控制，也就是访向控制列表技术，是网络隔离最常用的手段。网络是一种包交换技术，数据包是通过路由交换到达目的地的，所以控制了路由，就能控制通讯的线路和数据包的流向。早期的网络安全控制方面基本上是防火墙。

　　防火墙只能做网络四层以下的控制是它一个很显著的缺点，这个缺点使得它只能做初级的安全隔离却无法做要求深层次的网络隔离，比如它对应用层内的病毒、蠕虫根本没有办法。在这个时候，为了做更深层次的隔离就必须要更新防火墙的技术了，于是新一代的防火墙技术就产生了。

　　新一代防火墙技术多重安全网关通过架设更多的关卡来处理不同类别的事务。但是其基本的策略都是架桥的策略，主要是采用安全检查的方式，对应用的协议不做更改，所以速度快，流量大，从客户应用上来看，没有不同。

　　(2)网闸(简称：GAP)：全称安全隔离网闸，是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸的安全理念是:网络隔离、协议隔离。

　　网闸的设计形象的借鉴了船闸的概念，设计采用"代理+摆渡"。不在河上架桥，可以设摆渡船，摆渡船不直接连接两岸，安全性当然要比桥好，即使是攻击，也不可能一下就进入，在船上总要受到管理者的各种控制。另外，网闸的功能有代理，这个代理不只是协议代理，而是数据的"拆卸"把数据还原成原始的面貌，拆除各种通信协议添加的"包头包尾"。很多攻击是通过对数据的拆装来隐藏自己的，没有了这些"通信外衣"攻击者就很难藏身了。

　　(3)交换网络。是指通过一定的设备，如交换机等，将不同的信号或者信号形式转换为对方可识别的信号类型从而达到通信目的的一种交换形式，主要是通过业务代理与双人审计的思路保护数据的完整性。

　　交换网络是在两个隔离的网络之间建立一个数据交换区域，负责业务数据交换(单肉或双向)。交换网络的两端可以采用多重网关，也可以采用网闸。在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。交换网络的核心也是业务代理。客户业务要经过接入缓冲区的申请代理，到业务缓冲区的业务代理，才能进入生产网络。网闸与交换网络技术都是采用渡船策略，延长数据通信"里程"增加安全保障措施。

　　四、安全监控

　　安全监控通过实时监控网络或主机活动，监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计和跟踪，识别违反安全法规的行为，使用诱骗服务器记录黑客行为等功能，使管理员有效地监视、控制和评估网络或主机系统。

　　系统安全监控是指对系统的运行状况和系统中的用户的行为进行监视、控制和记录。通过系统安全监控，安全管理人员可以有效地监视、控制和评估信息系统的安全运行状况，并为进一步提高系统安全性提供参考和依据。

　　1.安全监控的内容

　　(1)网络状态监视:为了全面了解主机的网络状态可以查看受控主机当前活动的网络连接、开放的系统服务以及端口。

　　(2)网络连接监控:实现对非法主机接入的隔离和对合法主机网络行为的管控。一方面对非法接入的主机进行识别、报警和隔离;另一方面实现对合法主机网络访问行为的监控，包括网络地址端口控制、网络URL控制、邮件控制、拨号连接控制、网络共享控制以及网络邻居控制等。

　　(3)主机系统监视:想要监视和记录主机当前用户信息、系统信息、设备信息、系统进程、系统服务、系统事件、系统窗口、安装程序以及实时屏幕等信息就可以通过系统状态监视来实现。

　　(4)主机外设监视:可以实行对受控主机的USB 端口、串行端口、并行端口等外设接口，以及USB 盘、软驱、光驱等外设的存取控制。

　　(5)主机应用监控:控制主机中的进程、服务和应用程序窗口。

　　(6))用户操作监视:监示和记录用户的系统配置和操作、应用程序操作和文件操作等。

　　2.安全监控的分类

　　(1)主机安全监控

　　主机安全监控需要实现访问控制、系统监控、系统审计、系统漏洞检查这几种功能，从而禁止各种非法手段对主机带来的各种安全隐患。

　　(2)网络安全监控

　　网络安全监控需要实现全面的网络安全监控，细粒度的监控，网络审计，包括日志、报警、报告以及拦截等其他的一些功能。

　　通过主机安全监控和网络安全监控可以实时地监控主机或网络的活动，管理员才会更好更有效地监视、控制和评估网络或者系统，网络才会更安全。

　　网络隔离和安全监控也是信息安全政策当中有效的手段，与等级保护、分级保护一起作为完善信息安全政策的实行，使得网络信息安全的能力大大地提高，我国在国家信息安全保障能力和水平能逐渐追赶世界领先的信息安全保障能力和水平。

　　信息安全风险评估与管理

　　一、信息安全风险评估

　　就像做投资一样，信息网络也存在风险，如果不了解信息网络风险并加以控制或解决的话，网络的安全就无法保证，各种的信息也许就会毫无保障，网络世界会紊乱无章。对于信息网络，我们要对其进行一个风险的评估，然后再找方法去解决，尽最大的力度去减少风险所带来的威胁或损失。

　　风险评估是进行量化评估一件事情给人们的生活、生命、财产等各个方面造成的影响和损失的可能性的工作，而信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量，是对信息资产威胁、脆弱点以及由此带来的风险大小的评估。

　　1.风险评估过程

　　风险评估的过程是一个动态循环的过程，对风险评估的结果起着重要的作用。风险评估过程就是在评估标准的指导下，综合利用相关评估技术、评估方法、评估工具，针对信息系统展开全方位的评估工作的完整历程。

　　风险评估具体评估过程如下:

     (1)要确定保护的对象(或者资产)是什么，即确定资产

　　安全评估的第一步是确定信息系统的资产，并明确资产的价值，资产的价值是由对组织、合作伙伴、供应商、客户和其他利益相关方在安全事件中对完整性、可用性和保密性的影响来衡量的。资产的范围很广，一切需要加以保护的东西都算作资产，包括:软件资产、信息资产、纸庚文件、公司形象和声誉、人员、物理资产、服务等。资产的评估应当从关键业务开始，最终覆盖所有的关键资产。

　　(2)脆弱性和威胁分析

　　对资产进行细致周密的分析，确定要保护的资产存在哪些威胁，导致威胁的问题所在，发现它的脆弱点及由脆弱点所引发的威胁，统计分析发生概率、被利用后所造成的损失等。

　　(3)制定及评估控制措施

　　在分析各种威胁及它们发生可能性基础上，研究消除、转移、减轻威胁风险的手段。这一阶段不需要做出什么决策，重要是要考虑可以采用的各种安全防范措施和它们的实施成本。

　　制定出的控制措施应当全面，在有针对性的同时，要考虑、系统地、根本性的解决方法，为下一阶段的决策作充足的准备，同时将风险和措施文档化。

　　(4)决策

　　这一阶段包括评估影响，排列风险，制定决策。应当从3个方面来考虑最终的决策:避免风险、接受风险、转移风险。对安全风险决策后，明确信息系统所要接受的残余风险。在分析和决策过程中，要尽可能多地让更多的人参与进来，从管理罩的代表到业务部门的主管，从技术人员到非技术人员。采取安全措施将风险带来的损失降低到最低程度

　　(5)沟通与交流

　　由上一阶段所做出的决策，必须经过领导层的签字和批准，并与各方面就决策结论进行沟通。这是很重要的一个过程，沟通能确保所有人员对风险有清醒地认识，并有可能在发现一些以前没有注意到的脆弱点。

　　(6)监督实施

　　最后的步骤是安全措施的实施。实施过程要始终在监督下进行，以确保决策能够贯第穿于工作之中。在实施的同时，要密切注意和分析新的威胁并对控制措施进行必要的修改。

　　2.风险评估方法

　　当发现一件事情可能带有的风险之后，我们就要去运用一些方法去找出以及评估这些风险了，在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。风险评估的方法有很多种但无论是何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。

　　首先，先说一下可分为三大类的风险评估方法：定性的风险评估方法、定量的风险评估方法、定性与定量相结合的评估方法。　

　　(1)定性评估方法

　　定性评估方法的优点是避免了定量方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、更深刻;但它的主观性很强，对评估者本身的要求很高。

　　定性的评估方法主要根据研究者的经验、知识、政策走向、历史教训及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料，之后通过一个理论推导演绎的分析框架，对资料进行编码整理，在此基础上做出调查结论。

　　定性分析方法主要有逻辑分析法、德尔斐法、因素分析法、历史比较法。

　　(2)定量评估方法

　　定量的评估方法是指运用数量指标来对风险进行评估。

　　定量的评估方法的优点是用直观的数据来表述评估的结果，看起来比较客观，而且一目了然，定量分析方法的采用，可以使研究结果更严密，更科学，更深刻。有时，一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的;但常常为了量化，使本来比较复杂的事物简单化、模糊化了，有的风险因素被量化以后还可能被误解和曲解。

　　定量分析方法主要有等风险图法、决策树法、因子分析法、时序模墅、回归模型、聚类分析法等。

　　(3)定性与定量相结合的综合评估方法

　　系统风险评估是一个复杂的过程，需要考虑的因素很多，有些评估要素是可以用量化的形式来表达，而对有些要素的量化又是很因难甚至是不可能的，所以不主张在风险评估过程中一昧地追求量化，也不认为一切都是量化的风险评估过程是科学、准确的。

　　定量分析是定性分析的基础和前提，定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂，是彤成概念、观点，做出判断，得出结论所必须依靠的，在复杂的信息系统风险评估过程中，不能将定性分析和定量分析两种方法简单的割裂开来。而是应该将这两种方法融合起来，采用综合的评估方法。

　　其次，再来说说典型的风险评估方法

　　在信息系统风险评估过程中，层次分析法经常被用到，它是一种综合的评佑方法，这是一种定性与定量相结合的多目标决策分析方法，其核心是将决策者的经验判断给予量化，从而为决策者提供定量形式的决策依据。该方法对系统进行分层次、拟定量、规范化处理，在评估过程中经历系统分解、安全性判断和综合判断三个阶段。

　　基本步骤为：

　　a.系统分解，建立层次结构模型;

　　b.构造判断矩阵，通过单层次计算进行安全性判断;

　　c.层次总排序，完成综合判。

　　在风险评估过程中选择合适的风险评估方法可以得到最好的评估结果使得整个风险评估得到最好的解决方案是我们所追求的的目标，因此要对每一种的评估方法都要去了解去熟悉然后拿去应用，这才是我们学习的一个目标。

　　二、风险管理

　　风险管理是一个把存在一定风险的信息系统以可以接受的费用识到、控制、降低或消除风险的一个管理过程。而如今风险管理已经是信息安全保障工作的一个主流范式，是当今全球信息安全工作的一个热点，如何有效地管理信息安全风险自然也就成为各方面都十分关注的问题。

　　风险管理的一个分析过程为下图所示

　　其步骤为：通过风险评估来识别风险大小，通过制定信患安全方针、采取适当的控制自标与控制方式对风险进行控制，使风险被避免、转移或降至一个可以被接受的水平。

　　风险管理是当今全球信息安全工作的一个热点。风险管理的核心内容目前在国际上基本包括以下四个方面:一是确立风险意识的文化:二要对风险进行现实的评估;三是要确立风险承担制:四是将风险管理纳入信患化建设的日常工作中。

　　风险评估的主要任务是识别组织面临的各种风险以及评估风险概率和可能带来的负面影响。通过风险评估可以了解系统目前与未来的风险所在，评估其可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。

　　通过风险评估对风险进行识别和评价后，风险管理的下一步工作就是对风险实施安全控制，以确保风险被降低或消除。

　　风险控制的实质可归纳为以下几点：

　　(1) 当系统脆弱性可被恶意攻击时，运用层次化保护、结构化设计、管理控制等方法将风险最小化或防止脆弱性被利用。

　　(2) 当损失巨大时，运用系统设计中的基本原则及结构化设计、技术或非技术类保护措施来限制攻击的范围，从而降低可能的损失。

　　(3)当存在系统脆弱性(缺陷或弱点)时，降低或修补系统脆弱性，减少脆弱性被攻击的可能性。

　　(4)当攻击者的成本小于攻击的可能所得时，运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机。

　　当选择安全控制措施进行实施时应当考虑以下因素:

　　·控制的易用性；

　　·用户透明度；

　　·为用户提供帮助，以发挥控制的功能；

　　·控制的相对强度；

　　·实现的功能类型。

　　通常，一个控制可以实现多个功能，实现的越多越好。当考虑总体安全性或应用一系列控制的时候，应尽可能保持各种功能之间的平衡，这有助于使得总体安全获得较好的效果与较高的效率。

　　组织根据控制的原则识别并选择了安全控制措施后，对选择的安全控制应严格实施并保持。一般可通过以下途径达到降低风险的目的:

　　(1)避免风险:例如通过将重要的计算机进行网络隔离，使之免受外部网络的攻击。

　　(2)转移风险:例如通过将高风险的信息处理业务外包给第三方或通过购买一定的商业保险进行风险转移。

　　(3)减少威胁:例如建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。

　　(4) 减少脆弱性:例如经常为系统安装补丁，修补系统漏洞，以防止系统脆弱性被利用。

　　(5) 减少成胁可能的影响:例如建立业务持续性计划，担灾难造成的损失降到最低。

　　(6) 检测意外事件，并做出响应和恢复:例如使用网络管理系统对网络性能与故障进行监测，及时发现问题并做出反应。

　　在实施选择的安全控制后，仍然会存在风险，称之为残留风险或剩余风险。为确保组织信息系统的安全，剩余风险应当在可接受的范居之内。

　　组织根据控制的原则识别并选择了安全控制措施后，对选择的安全控制应严格实施并保持。而在实施选择的安全控制后，仍然会存在风险，称之为残留风险或剩余风险。为确保组织信息系统的安全，剩余风险应当在可接受的范居之内。风险接受是一个对残留风险进行确认和评价的过程。在安全控制实施之后，组织应对所选择的安全控制的实施情况进行评审，即对所选择的控制在多大程度上降低了风险做出判断，也就是对实施安全控制后的资产风险进行重新计算，以获得残留风险的大小，并将之分为可接受和不可接受的风险。

     信息系统总是随着时间的推移而不断地更新和变化的，这样，风险就是随着时间丽变化的，风险管理也就应该是一个动态的、持续的管理过程。组织在完成了包括风险评估，降低风险和风险接受的风险管理过程之后，可以将风险控制在一个可以接受的水平，但并不意味着风险管理工作的结束。在组织有新增信息资产时、系统发生重大变化时、发生严重的信息安全事故时以及任何被认为有必要的时候，都应该组织进行风险评估，以便及时识别风险并进行有效的控制。

      信息安全管理是随着信息和信息安全的发展而发展的，是保护国家、组织、个人等各个层面上信息安全的重要基础，信息安全管理工作做得好，就可以在一定时间段之内做好安全防范工作，避免造成安全损失。 

 以上便是小编关于信息安全管理基础知识的整理了，希望通过阅读之后可以对大家有所帮助。