信息安全風(fēng)險(xiǎn)管理在報(bào)業(yè)集團(tuán)管理中的應(yīng)用

摘要:該文概述了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和步驟，結(jié)合報(bào)業(yè)集團(tuán)管理的一些實(shí)際情況，論述了信息安全管理在報(bào)業(yè)集團(tuán)管理中的應(yīng)用。

關(guān)鍵詞:信息安全風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn)識(shí)別;確立目標(biāo);風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)控制和緩解;監(jiān)控與審查

中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)15-4070-02

The Application of ISRM in Newspaper Group

CHEN hua

(Quanzhou Evening Paper，Quanzhou 362000，China)

Abstract:The article mainly introduces Information Security Risk Management，discuss the application of it in Newspaper Group， combined with the actuality in it.

Key words: Information security risk management; risk identify; establishment object; risk assessment; risk control; monitor and examination

1 引言

目前，全國大部分報(bào)社都以采編系統(tǒng)為中心，紛紛建設(shè)起財(cái)務(wù)管理系統(tǒng)、報(bào)紙發(fā)行管理系統(tǒng)、報(bào)紙廣告管理系統(tǒng)、印務(wù)生產(chǎn)管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、信息內(nèi)容管理系統(tǒng)等，組建了一個(gè)立體的、全方位、功能強(qiáng)大的計(jì)算機(jī)網(wǎng)絡(luò)，全面提升了報(bào)業(yè)的核心競(jìng)爭(zhēng)力。 但從國內(nèi)報(bào)業(yè)信息技術(shù)發(fā)展的角度來看，我們的信息化應(yīng)用應(yīng)進(jìn)入高端應(yīng)用階段，即全面信息化階段。而隨著報(bào)業(yè)信息化的不斷發(fā)展， 信息的安全與風(fēng)險(xiǎn)管理問題已經(jīng)成為報(bào)業(yè)集團(tuán)普遍關(guān)注的問題。如何進(jìn)行信息化的風(fēng)險(xiǎn)管理，保障數(shù)據(jù)和空間的安全，以安全保發(fā)展，在發(fā)展中求安全成為提高報(bào)業(yè)集團(tuán)信息化管理的關(guān)鍵因素之一。

風(fēng)險(xiǎn)管理是信息安全保障工作的一個(gè)主流范式，信息安全防范工作越來越基于風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理即人們通過對(duì)這些不確定性發(fā)生的可能性，以及實(shí)際發(fā)生以后所產(chǎn)生的影響和后果來評(píng)價(jià)風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)等級(jí)并采取相應(yīng)的措施進(jìn)行防范和應(yīng)對(duì)。

信息安全風(fēng)險(xiǎn)管理的幾個(gè)內(nèi)容和步驟包括風(fēng)險(xiǎn)識(shí)別、確立目標(biāo)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和監(jiān)控與審查等內(nèi)容(圖1)，目的在于盡可能地降低風(fēng)險(xiǎn)的發(fā)生以及風(fēng)險(xiǎn)發(fā)生以后所帶來的損失和威脅。

2 信息風(fēng)險(xiǎn)管理的幾個(gè)步驟

1)風(fēng)險(xiǎn)識(shí)別:在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分，按安全程度的高低制定信息風(fēng)險(xiǎn)響應(yīng)的等級(jí)，安全程度越低的風(fēng)險(xiǎn)響應(yīng)度越高，反之則越低。

2)確立目標(biāo):根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性，確定風(fēng)險(xiǎn)管理對(duì)象。

3)風(fēng)險(xiǎn)評(píng)估:分安全域進(jìn)行資料搜集和整理，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等。在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表等。

4)風(fēng)險(xiǎn)控制和緩解:實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，即力圖減小威脅發(fā)生的可能性和帶來的影響。對(duì)于不同安全等級(jí)要求的信息和信息系統(tǒng)，以及信息系統(tǒng)的不同階段，我們都需要選擇適當(dāng)?shù)陌踩刂品绞健４笾掠薪档涂赡苄浴p少影響、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)接受等幾種方式。

5)監(jiān)控與審查:對(duì)上述步驟進(jìn)行監(jiān)控審查，一是監(jiān)視和控制風(fēng)險(xiǎn)管理過程，即過程質(zhì)量管理;二是分析和平衡成本效益，即成本效益管理，以保證效果的有效性。同時(shí)跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證上述步驟的結(jié)果有效性。監(jiān)控與審查依據(jù)對(duì)當(dāng)前步驟的監(jiān)控和審查結(jié)果，控制上述幾個(gè)步驟的主循環(huán)，形成許多局部循環(huán)。由此，保證主循環(huán)中各步驟的有效性。

3 信息安全風(fēng)險(xiǎn)管理在報(bào)業(yè)集團(tuán)管理中的應(yīng)用

3.1 風(fēng)險(xiǎn)識(shí)別是項(xiàng)目風(fēng)險(xiǎn)管理的重要環(huán)節(jié)

若不能準(zhǔn)確地識(shí)別項(xiàng)目面臨的潛在風(fēng)險(xiǎn)，就會(huì)失去處理這些風(fēng)險(xiǎn)的最佳時(shí)機(jī)。風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)是歷史數(shù)據(jù)、經(jīng)驗(yàn)和洞察力，同時(shí)嚴(yán)重依賴于關(guān)鍵項(xiàng)目人員的經(jīng)驗(yàn)和洞察力。

風(fēng)險(xiǎn)識(shí)別的方法可依據(jù)信息來源的客觀和主觀性分類?；诳陀^信息源的風(fēng)險(xiǎn)識(shí)別方法之一為流程圖法，即每個(gè)工程項(xiàng)目建設(shè)之初建立一個(gè)工程項(xiàng)目的總流程圖與各分流程圖，它們要展示項(xiàng)目實(shí)施的全部活動(dòng)。它能統(tǒng)一描述項(xiàng)目工作步驟;顯示出項(xiàng)目的重點(diǎn)環(huán)節(jié);能將實(shí)際的流程與想象中的狀況進(jìn)行比較;便于檢查工作進(jìn)展情況。這是一種非常有用的結(jié)構(gòu)化方法，它可以幫助分析和了解項(xiàng)目風(fēng)險(xiǎn)所處的具體環(huán)節(jié)及各環(huán)節(jié)之間存在的風(fēng)險(xiǎn)。基于主觀信息源的風(fēng)險(xiǎn)識(shí)別方法之一為集思廣益法，即召集項(xiàng)目的有關(guān)人員或邀請(qǐng)相關(guān)領(lǐng)域的專家，發(fā)揮大家的創(chuàng)造性思維來獲取未來信息的一種直觀預(yù)測(cè)和識(shí)別方法。通過與會(huì)者之間的信息交流和相互啟發(fā)，從而達(dá)到互相補(bǔ)充并產(chǎn)生“組合效應(yīng)”，使預(yù)測(cè)和識(shí)別的結(jié)果更準(zhǔn)確。

3.2 確立目標(biāo)即根據(jù)風(fēng)險(xiǎn)識(shí)別中制定的響應(yīng)等級(jí)確定風(fēng)險(xiǎn)管理對(duì)象

采編系統(tǒng)的正常、安全和高效運(yùn)作是報(bào)業(yè)集團(tuán)管理的核心要素，財(cái)務(wù)、發(fā)行、廣告、印刷等系統(tǒng)也是報(bào)業(yè)集團(tuán)不可或缺的環(huán)節(jié)，在不同時(shí)期也有著不同程度的重要性。確立目標(biāo)首先要了解信息系統(tǒng)的業(yè)務(wù)目標(biāo)，其次要了解信息系統(tǒng)的業(yè)務(wù)、管理和技術(shù)特性，包括業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、管理制度及技術(shù)支持平臺(tái)，最后結(jié)合該系統(tǒng)當(dāng)前時(shí)期在整個(gè)報(bào)業(yè)集團(tuán)運(yùn)作中的地位及安全等級(jí)，根據(jù)實(shí)際情況出具《信息系統(tǒng)安全報(bào)告》，以時(shí)間進(jìn)程確定當(dāng)前及未來的風(fēng)險(xiǎn)管理目標(biāo)。

3.3 風(fēng)險(xiǎn)評(píng)估是針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)

綜合了信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)因素識(shí)別、風(fēng)險(xiǎn)程度分析和風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)四個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中，接受對(duì)象確立的輸出，為風(fēng)險(xiǎn)控制提供輸入，監(jiān)控與審查和溝通與咨詢貫穿其四個(gè)階段，如圖2所示。

風(fēng)險(xiǎn)評(píng)估在報(bào)業(yè)信息化安全管理中的具體應(yīng)用體現(xiàn)在以下幾個(gè)步驟:

1) 在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分;如核心數(shù)據(jù)交換區(qū)、接口區(qū)、內(nèi)部系統(tǒng)接入?yún)^(qū)、外部系統(tǒng)接入?yún)^(qū)等。

2) 分安全域進(jìn)行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與

策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等;

3) 在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表;

4) 對(duì)存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià)，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。

3.4 風(fēng)險(xiǎn)控制和緩解牽涉到確定風(fēng)險(xiǎn)控制策略、風(fēng)險(xiǎn)和安全控制措施的優(yōu)先級(jí)選定、制定安全計(jì)劃并實(shí)施控制措施等活動(dòng)

要消減風(fēng)險(xiǎn)，就必須實(shí)施相應(yīng)的安全措施，而實(shí)施安全控制措施要有所付出，包括購買、安裝、維護(hù)等方面所需的人力和物力，所以組織的決策者就應(yīng)該找到一個(gè)利益和代價(jià)的平衡點(diǎn)，根據(jù)組織的實(shí)際情況來選擇最恰當(dāng)?shù)陌踩胧?，將組織面臨的風(fēng)險(xiǎn)減少到可接受的水平，使組織資源和利益可能受到的負(fù)面影響降低到最低程度。

風(fēng)險(xiǎn)控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式，在報(bào)業(yè)集團(tuán)信息化應(yīng)用中體現(xiàn)為以下三個(gè)方面:

3.4.1 規(guī)避方式

通過不使用面臨風(fēng)險(xiǎn)的資產(chǎn)來避免風(fēng)險(xiǎn)。比如，將報(bào)社的核心業(yè)務(wù)，如新聞采編、財(cái)務(wù)、廣告等系統(tǒng)與互聯(lián)網(wǎng)隔離并獨(dú)立運(yùn)作，從而防止敏感信息的泄漏，避免外部的有害入侵和不良攻擊。

3.4.2 降低方式

通過對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)實(shí)施有效控制最大化的降低風(fēng)險(xiǎn)。從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面，即威脅源、威脅行為、脆弱性、資產(chǎn)和影響著手來降低風(fēng)險(xiǎn)。在技術(shù)上體現(xiàn)為，采取身份認(rèn)證措施，提高網(wǎng)絡(luò)接入的嚴(yán)密性，從而抵制身份假冒這種威脅行為的能力;及時(shí)給系統(tǒng)打補(bǔ)丁(特別是針對(duì)安全漏洞的補(bǔ)丁)，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性;建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯;采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施，從而減少安全事件造成的影響程度。從管理上體現(xiàn)為，通過安全教育和意識(shí)培訓(xùn)強(qiáng)化職員的安全意識(shí)和操作能力，避免不規(guī)范的操作導(dǎo)致風(fēng)險(xiǎn)。

3.4.3 轉(zhuǎn)移方式

通過將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移更安全的地方來避免或降低風(fēng)險(xiǎn)。比如，目前許多媒體都開設(shè)自己的網(wǎng)站，但要經(jīng)營(yíng)和維護(hù)好一個(gè)網(wǎng)站不但需要一支堅(jiān)實(shí)和過硬的技術(shù)團(tuán)隊(duì)，并且由于媒體的特殊性，媒體網(wǎng)站的安全性尤為重要。因此有的報(bào)業(yè)集團(tuán)為了發(fā)展壯大網(wǎng)站，同時(shí)也為了規(guī)避風(fēng)險(xiǎn)，采取技術(shù)外包或第三方維護(hù)的方式，將網(wǎng)站的主要服務(wù)器架設(shè)在電信運(yùn)營(yíng)商或某些專業(yè)技術(shù)公司機(jī)房?jī)?nèi)，由專業(yè)技術(shù)人員進(jìn)行維護(hù)和管理。

4 結(jié)束語

監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失。監(jiān)控與審查貫穿于整個(gè)信息安全風(fēng)險(xiǎn)的進(jìn)程中，并分別輸出相應(yīng)的監(jiān)控與審查記錄。在風(fēng)險(xiǎn)識(shí)別階段可從資產(chǎn)、威脅性和脆弱性識(shí)別的流程、成本與效果進(jìn)行監(jiān)控，對(duì)時(shí)效性進(jìn)行審查;在目標(biāo)確立階段從風(fēng)險(xiǎn)控制的需求、信息系統(tǒng)調(diào)查的流程進(jìn)行監(jiān)控，對(duì)得出的結(jié)論進(jìn)行審查;在風(fēng)險(xiǎn)評(píng)估階段從已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程與成本進(jìn)行監(jiān)控，對(duì)評(píng)估產(chǎn)生的效果進(jìn)行審查;在風(fēng)險(xiǎn)控制階段從風(fēng)險(xiǎn)控制方式和措施選擇的流程、成本及效果進(jìn)行監(jiān)控，對(duì)實(shí)施的時(shí)效性進(jìn)行審查。并且針對(duì)各個(gè)階段監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過程、結(jié)果和措施等出具審查記錄。