近年來(lái)����,隨著企事業(yè)單位信息化進(jìn)程的飛速發(fā)展���,對(duì)信息系統(tǒng)的依賴(lài)性日益增長(zhǎng)�,信息安全的風(fēng)險(xiǎn)也逐步加大�,信息安全界多年的實(shí)踐表明����,風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)��,可以幫助信息系統(tǒng)用戶(hù)摸清家底�,順利進(jìn)行信息系統(tǒng)規(guī)劃和建設(shè)��,重視風(fēng)險(xiǎn)評(píng)估工作�����,將幫助用戶(hù)信息安全贏(yíng)在起點(diǎn)。
從國(guó)家角度而言�,2003年,國(guó)家信息化領(lǐng)導(dǎo)小組便頒發(fā)27號(hào)文件《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》����,意見(jiàn)中對(duì)我國(guó)信息安全保障工作做出原則性戰(zhàn)略性的規(guī)定�����,要求之一便是實(shí)行風(fēng)險(xiǎn)評(píng)估。
作為國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)�����,某移動(dòng)公司也迫切需要提高信息系統(tǒng)的信息安全保障水平,為了更好地促進(jìn)安全保障工作�����,某移動(dòng)公司需要立即啟動(dòng)一個(gè)安全評(píng)估和體系規(guī)劃項(xiàng)目����,以了解當(dāng)時(shí)的安全現(xiàn)狀,并對(duì)今后的安全工作做出指導(dǎo)�,該移動(dòng)公司經(jīng)過(guò)對(duì)多家信息安全廠(chǎng)商的甄選�,最終選擇了由聯(lián)想網(wǎng)御幫助自己實(shí)施風(fēng)險(xiǎn)評(píng)估。
作為國(guó)內(nèi)信息安全領(lǐng)軍企業(yè),聯(lián)想網(wǎng)御與國(guó)家信息中心成立了信息安全風(fēng)險(xiǎn)評(píng)估聯(lián)合實(shí)驗(yàn)室�,參與了國(guó)家《信息安全風(fēng)險(xiǎn)評(píng)估指南》、《信息安全風(fēng)險(xiǎn)管理指南》的編寫(xiě)��,是國(guó)家風(fēng)險(xiǎn)評(píng)估的支撐單位,其信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)綜合國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)與業(yè)界最佳實(shí)踐���,能為用戶(hù)清晰地展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀�,提供公正、客觀(guān)�、翔實(shí)的數(shù)據(jù)作為決策參考�,為用戶(hù)下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況���、實(shí)施信息系統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù)���。
針對(duì)某移動(dòng)公司信息系統(tǒng)的特點(diǎn),聯(lián)想網(wǎng)御綜合典型服務(wù)流程�����,為公司的信息系統(tǒng)制訂了個(gè)性化風(fēng)險(xiǎn)評(píng)估方案�����,即先實(shí)施全面深度安全評(píng)估�,再進(jìn)行半年定期周期性安全評(píng)估。
一.全面深度安全評(píng)估
為了更清晰地了解某移動(dòng)公司信息系統(tǒng)的目前狀況,聯(lián)想網(wǎng)御首先為該移動(dòng)公司進(jìn)行了一次全面深度評(píng)估��,包括信息資產(chǎn)調(diào)查和安全評(píng)估��,并建立了資產(chǎn)管理和風(fēng)險(xiǎn)信息庫(kù)���。
信息資產(chǎn)調(diào)查
信息資產(chǎn)調(diào)查是以IT設(shè)備為基本單位����,調(diào)查設(shè)備的基本屬性���,如IP地址、設(shè)備型號(hào)�、�、版號(hào)��、所存儲(chǔ)的信息�����、連接方式等,以得到信息資產(chǎn)列表及資產(chǎn)信息庫(kù)�����。在項(xiàng)目實(shí)施中���,聯(lián)想網(wǎng)御首先對(duì)該移動(dòng)公司的全部TCP/IP網(wǎng)絡(luò)的網(wǎng)元進(jìn)行摸底調(diào)查,調(diào)查和統(tǒng)計(jì)該移動(dòng)公司全部TCP/IP網(wǎng)絡(luò)所包含的信息資產(chǎn)(包含物理環(huán)境�、網(wǎng)絡(luò)設(shè)備、主機(jī)����、應(yīng)用軟件��、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)��、人員�����、標(biāo)準(zhǔn)流程等)��,明確其現(xiàn)有狀況�����、配置情況和管理情況�����,并對(duì)所有信息資產(chǎn)按照標(biāo)準(zhǔn)進(jìn)行資產(chǎn)賦值����。
對(duì)基本情況摸清以后,聯(lián)想網(wǎng)御對(duì)該移動(dòng)公司進(jìn)行了拓?fù)浣Y(jié)構(gòu)調(diào)查和現(xiàn)有安全系統(tǒng)調(diào)查�����,拓?fù)浣Y(jié)構(gòu)調(diào)查包括對(duì)所有TCP/IP網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)進(jìn)行調(diào)查,并按統(tǒng)一標(biāo)準(zhǔn)繪制成圖�����,通過(guò)信息資產(chǎn)庫(kù)進(jìn)行動(dòng)態(tài)管理;現(xiàn)有安全系統(tǒng)調(diào)查則包括明確現(xiàn)有安全設(shè)備(包括防火墻、防病毒系統(tǒng)���、入侵檢測(cè)系統(tǒng)等)的部署情況和使用情況;同時(shí)了解在建網(wǎng)絡(luò)與信息安全建設(shè)項(xiàng)目,使之服從統(tǒng)一部署原則��。
安全評(píng)估
根據(jù)該移動(dòng)公司信息系統(tǒng)的特點(diǎn)���,聯(lián)想網(wǎng)御綜合運(yùn)用工具評(píng)估��、人工評(píng)估���、網(wǎng)絡(luò)架構(gòu)評(píng)估、滲透性測(cè)試��、應(yīng)用評(píng)估和管理評(píng)估手段對(duì)該移動(dòng)公司的信息系統(tǒng)進(jìn)行全面深度的評(píng)估,發(fā)現(xiàn)系統(tǒng)漏洞���,找出系統(tǒng)面臨的安全威脅和風(fēng)險(xiǎn)�,并給出指導(dǎo)建議��。根據(jù)該移動(dòng)公司現(xiàn)有的安全標(biāo)準(zhǔn)規(guī)范和業(yè)務(wù)對(duì)安全的要求���,聯(lián)想網(wǎng)御具體分析面臨的威脅�����,評(píng)估現(xiàn)有系統(tǒng)的技術(shù)和管理方面的弱點(diǎn)�����,明確所有TCP/IP網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)和隱患�。在評(píng)估過(guò)程中�����,要求既包含外部威脅����,例如黑客攻擊和病毒等�,也包含內(nèi)部威脅�����,例如內(nèi)部人員誤操作�����、不作為��、濫用����、軟件漏洞�、泄密等導(dǎo)致的風(fēng)險(xiǎn)���。
資產(chǎn)管理和風(fēng)險(xiǎn)信息庫(kù)
在信息資產(chǎn)調(diào)查和安全評(píng)估完成后��,聯(lián)想網(wǎng)御幫助用戶(hù)開(kāi)發(fā)和設(shè)計(jì)一套包含信息資產(chǎn)管理和風(fēng)險(xiǎn)信息管理的數(shù)據(jù)庫(kù)系統(tǒng)�,能夠?qū)⒈卷?xiàng)目所產(chǎn)生的資產(chǎn)信息和風(fēng)險(xiǎn)評(píng)估信息進(jìn)行統(tǒng)一管理和儲(chǔ)存����,可以對(duì)該移動(dòng)公司所有信息資產(chǎn)及其資產(chǎn)風(fēng)險(xiǎn)進(jìn)行關(guān)聯(lián)管理。并具有資產(chǎn)管理和風(fēng)險(xiǎn)管理功能�,以便后續(xù)更新和持續(xù)使用。
在3個(gè)月的時(shí)間內(nèi)���,聯(lián)想網(wǎng)御協(xié)助該移動(dòng)公司完成全網(wǎng)IP網(wǎng)絡(luò)深度評(píng)估�,獲知了該移動(dòng)公司在當(dāng)年上半年段IP網(wǎng)絡(luò)的安全現(xiàn)狀�����,然后在全面評(píng)估和資產(chǎn)管理和風(fēng)險(xiǎn)信息庫(kù)的基礎(chǔ)上設(shè)計(jì)并建立了安全體系。
二.周期性安全評(píng)估
周期性安全評(píng)估除了為該移動(dòng)公司進(jìn)行全面深度安全評(píng)估����,聯(lián)想網(wǎng)御還為該移動(dòng)公司進(jìn)行了周期性安全評(píng)估。
周期性安全評(píng)估工作是構(gòu)建安全體系重要的組成部分�����,通過(guò)定期安全評(píng)估將公司安全置于可控的環(huán)境。對(duì)該移動(dòng)公司而言�,進(jìn)行定期安全評(píng)估主要是為了實(shí)現(xiàn)以下幾個(gè)目標(biāo):獲知全面評(píng)估后半年公司安全狀況;更新公司信息資產(chǎn)�,存入公司信息資產(chǎn)庫(kù),獲知信息資產(chǎn)的狀態(tài)����,將資產(chǎn)服務(wù)等各種信息置于可控環(huán)境;定期對(duì)主要業(yè)務(wù)系統(tǒng)進(jìn)行滲透測(cè)試及應(yīng)用安全分析�����,以深度分析公司各系統(tǒng)安全狀況����,發(fā)現(xiàn)安全風(fēng)險(xiǎn);提出分系統(tǒng)的安全解決方案。
周期性安全評(píng)估對(duì)該移動(dòng)公司的運(yùn)行維護(hù)中心�����、計(jì)費(fèi)業(yè)務(wù)中心�����、業(yè)務(wù)發(fā)展中心����、網(wǎng)絡(luò)部網(wǎng)管中心及郊運(yùn)公司等5個(gè)主要部門(mén),近五十多個(gè)系統(tǒng)進(jìn)行摸底調(diào)查和評(píng)估����,主要工作內(nèi)容包括信息資產(chǎn)調(diào)查、終端設(shè)備安全評(píng)估����、主機(jī)設(shè)備人工評(píng)估���、網(wǎng)絡(luò)及安全設(shè)備人工評(píng)估��、系統(tǒng)應(yīng)用安全評(píng)估以及滲透測(cè)試�����,在安全評(píng)估完成后��,聯(lián)想網(wǎng)御根據(jù)安全體系和規(guī)劃的要求��,結(jié)合評(píng)估結(jié)果對(duì)用戶(hù)進(jìn)行了安全需求分析��,設(shè)計(jì)了系列技術(shù)(需要有詳細(xì)的技術(shù)參數(shù))和管理解決方案���,并包含相應(yīng)的實(shí)施方案以及實(shí)施效果的檢查方案����。
通過(guò)全面深度安全評(píng)估和定期周期性安全評(píng)估���,聯(lián)想網(wǎng)御替該客戶(hù)總結(jié)了一套以安全策略為核心�,以組織保障為基礎(chǔ)��,以技術(shù)措施為工具�,以運(yùn)行維護(hù)為支撐的等級(jí)化安全體系設(shè)計(jì)的方法論。憑借此方法論和聯(lián)想網(wǎng)御的后續(xù)幫助��,該移動(dòng)公司完成了安全工作的總體規(guī)劃和分布實(shí)施�,成功建立和運(yùn)行了前瞻性、規(guī)范性和整體性的信息安全保障體系�,保證了后續(xù)信息系統(tǒng)建設(shè)工作的兼容性����,達(dá)到了長(zhǎng)期安全效果明顯并節(jié)省總體投資的良好效果。
