评估资讯保安风险
资讯保安管理周期始于评估资讯保安风险。保安风险评估一开始时便要进行,以找出需要甚麽的保安措施。这是初步评估和识别与保安弱点有关的风险及结果,并提供一个管理基础,以确立具成本效益的保安计划。
我们根据评估结果,便可推行适当的资讯保安防护措施,以维持一个稳妥的保安架构。这包括制订保安政策和指引丶委派保安职责,以及推行技术性的资讯保安防护工作。
紧随这个步骤是周期性的遵行情况覆检和再三评估,以确保保安措施被正确地执行,以达到用户的保安要求和应付科技及环境上的急剧转变。这有赖持续性的回应和监察。覆检工作可以透过定期的保安审计来进行,以找出必需改进的地方。
通过对一系列关注事项的评估,你便能识别出甚麽资产需要保护丶它们的相对重要性,以及迫切性的缓急次序和所需的防护程度。以下的流程图展示出保安风险评估的主要步骤。
保安风险评估步骤
1. 部署
在开始保安风险评估之前,我们需要部署适当的准备丶监察和控制工作。部份主要项目需要先行定义:
计划范围及目的:
评估范围可以涵盖防护某些业务上的职务,例如顾客服务部丶信贷部丶营业部等。
背景资料:
任何有助评估的相关资料,例如财务单据丶组织结构图丶公司宗旨等。
参与各方的任务及职责:
为有份参与的所有组员界定及委派职务。
途径及方法:
有关风险冲击的定性及定量分析丶保安问题的影响及适当的保安措施。
计划规模及时间表:
计划所涉及的成本和员工数目,以及推行评估报告中概述的各主要活动所需的时间。
2. 收集资料
旨在收集相关资料作进一步分析,以找出风险所在,并了解目前的系统和环境。
所需收集的资料类别:
有关资料可以透过不同途径来收集:
3. 风险分析
风险分析有助决定资产价值及其相关风险。因此,保安风险评估及审计可帮助辨识网络的保安弱点。以下列出有关过程重点:
资产识别及估值
包括有形及无形资产,例如硬件及商誉。
威胁分析
找出威胁,并决定它们出现的可能性,以及危害系统和资产的潜在能力。
漏洞分析
可以就接达能力及获受权用户的数目来衡量。
资产 / 威胁 / 漏洞图谱分析
找出可能导致风险的资产丶威胁和漏洞之不同组合和其相互关系。
评估影响力及可能性
估计可能出现的危害或损失之整体程度。
估计威胁发生的次数。
风险结果分析
利用定性与定量方法,以及矩阵方式来正确分析及演示风险结果。
4. 保安漏洞扫描软件
保安漏洞扫描软件可以侦测到资讯系统(包括电脑丶网络系统丶操作系统以及应用软件)各种保安漏洞。这些保安漏洞可能源于软件生产商丶系统管理活动或用户一般日常活动:
一般来说,保安漏洞扫描软件:
可以验证网络上所有设备的清单。这清单包括设备类别丶操作系统版本及程式修补程度丶硬件配置及系统其它相关资讯。
但保安漏洞扫描软件也有一些限制:
只能提供快照( snapshot):保安漏洞扫描软件只能够评估一个短时期内有关系统或网络保安的状况。由于新的保安漏洞的不断出现,以及改变系统配置亦可能导致保安漏洞,所以定期执行扫描是必须的。
需要人为判断:保安漏洞软件只能根据数据库预装的插件( plug-in)报告保安漏洞。它们不能决定扫描结果是假阴性( false negative)或假阳性( false positive)每次扫描完成后,数据都要经人为判断。
保安漏洞软件只能发现已知的保安漏洞,它不能辨认出其它保安威胁,例如那些实体丶操作或程序上的威胁。
进行保安漏洞扫描的贴士
以下是进行保安漏洞扫描前要考虑的事宜:
扫描软件的位置(适用于网络扫描软件) : 扫描软件处于防火墙之内还是外面,会影响扫描结果。因此,为了得到较完整的保安状况,进行内外扫描是有需要的。
埠扫描的范围(适用于网络扫描软件) : 埠扫描能够侦测出哪些埠是可供使用的(即服务正在聆听的那些埠)。因为公开的埠可能意味 ?保安弱点,埠扫描往往是攻击者的一项侦察技术。因此保安漏洞扫描必须包括埠扫描。然而,一些保安漏洞扫描软件已预设埠扫描范围,例如只扫描 0至 15000的埠,系统管理员有需要知道预设埠扫描范围,以确保所有必须被扫描的埠都包括在内。
设置底线 : 一般的保安漏洞扫描应包括初步评估丶执行建议纠正,以及再次评估。为确定纠正是否有效,较妥当的做法是保存所有扫描记录(即制订一个有效的准则),然后将每次的扫描结果跟准则比对,以进行趋势分析。
扫描后及持续措施 : 扫描过程只是良好评估的一部份,正确诠释扫描结果是重要的,因为这才可以确保保安漏洞能获辨认及修正。跟进行动的优先次序应同时予以制订。
扫描过程的潜在威胁 : 扫描对资讯科技系统可以构成威胁,例如所有插件(包括高风险的插件,如
拒绝服务扫描)都启动时,扫描可能会令脆弱的伺服器崩溃。所以进行扫描前有需要作风险评估及周全计划。通常,就一个未投入生产的系统而言,扫描时可以启动包括高风险在内的插件;此外,利用网络保安漏洞扫描软件进行扫描时,会产生大量系统要求及网络传输。进行扫描时,管理人员要注意若干群组的系统及的网络的性能有没有下降。
处理扫描结果 : 扫描结果包括系统漏洞的资讯,万一外泄便会容许攻击者直接针对漏洞发动袭击。因此应把扫描结果保管在安全的地方,或予以
加密防止未经授权的接达。若评估程序涉及第三者,机构有需要确保对方可信赖程度,而评估所发现的资料及专利的资讯便须安全地保存。
扫描过程的政策及程序 : 恶意或不恰当使用扫描工具对资讯系统可以构成重大威胁,甚或导致极大伤害。因此,有需要因应保安漏洞评估工具由谁使用丶如何及何时使用而制定政策及程序。在进行扫描前,有关政策规定可能包括预先的安排或通知,获得管理层批准甚至是法律批准。没有人可以在未经批准下进行保安漏洞扫描。
5. 识别及选择防护措施
检讨保安风险评估结果后,便要定出防护措施,并评估它们能否把识别出来的威胁及漏洞的可能性和其影响力,有效地减低至可以接受的水平。
防护措施可以是技术性或程序性的。以下列出部份防护措施的例子:
重新配置操作系统丶网络组件及设备,以修补在保安评估过程中找到的漏洞
制订 / 加强保安政策丶指引或程序,以确保获得有效保障
6. 推行及维持一个稳妥的保安架构
随着从保安风险评估过程中取得风险评估结果,资讯保安管理周期便进入推行及维持的阶段,以推行适当的保安防护措施来维持一个稳妥的保安架构。这包括制订保安政策和指引丶委派保安职务,以及推行技术及行政上的保安防护措施。所有这些步骤均大大有助保卫你的业务资产。
7. 监察及记录
除要展开推行及维修工作来提供稳妥的保安架构外,也要恒常地进行监察及记录,才能在处理保安事故时作出适当的安排。
此外,日常运作如用户在使用资源或资讯时的接达尝试及活动,也要妥善监察丶审计和记录。例如,个人用户身份识别需要包含在审计记录中,以加强个人责任。每位用户在使用公司资源时应了解其责任,并为本身的行为负责。
主要活动包括:
