close

為了協助顧客建立資訊安全計畫,您必須讓顧了解其風險等級。換句話說,你必須讓他們了解所必須保護的資產,同時使其了解一次成功地駭客攻擊所必須付出的代價,包含硬體和軟體成本在內。對於顧客資訊網路上的每項資產,亦必須有其各自不同的風險等級。這些風險等級可訂為低、中、高三級,且這些等級是依據資產可能被攻擊的程度而決定。因為這些資產位於網路上,所產生的價值會因其存取程度被放大。所以一般來說:

 

風險=資產價值*威脅*弱點

l   資產價值─資訊、應用程式與系統的重要程度

l   威脅─可能攻擊或主動攻擊的對象

l   弱點─系統缺陷造成的漏洞或可查出之錯誤設定

 

系統安全沒有特效藥。對於組織而言永遠有某種程度的風險存在。風險評估作業是用來發現顧客的風險可接受度。一旦了解此種程度,它將成為您和您顧客共同努力執行安全計畫的目標。

 

評量風險可接受度

l   指攻擊的成本和影響,實行安全計畫的功能性和成本,與後續的管理作業。衡量等級從 完全安全完全開放

 

評量的關鍵是將風險化為實體數據,因此顧客才能了解安全作業失敗的痛苦,並且和您一起合作,透過建立強化的安全計畫,達成風險程度之需求。

 

安全計畫的要素

 

完整的安全計畫包含三項重要的要素,分別如下:

1.      分析風險─目的在於了解風險程,並決定顧客的風險可接受,以做為 安全計畫的目標。

A.    風險暴露程度─透過提供某種服務所產生的風險程度

B.     假想風險程度─與企業目標比較可以容忍的風險程度

2.      降低風險─結合技術與現有作業流程減輕風險威脅,保護重要資產,並且在成功攻擊之後進行復原作業。

3.      管理風險─持續評估管理安全計畫,確保維護強固的安全狀態。

 

I.       分析風險

分析風險要素的主要目標協助顧客 回答下列這些基本問題:

1.      為何我需要擔心安全問題?

2.      我所有的資產中,何者是攻擊目標?

3.      誰會試圖傷害我?如何傷害我?

4.      那裡是我暴露在外的弱點?

5.      我應在何時處理這些風險?該怎麼做?

 

 

描述

企業如何取得這些資訊

該問的問題

發現架構與進行分析

網路拓墣架構、網路上的主機、主機提供服務、應用程式版本、主機間的關係

訪問管理人員、主機逐一進行清查、運用網路清查工具(SNMPnmap和商業化的掃瞄程式)

l   具備網路配置圖嗎?

l   是否具備現有的資產盤查清冊,並具備主機綜合資訊?

資訊資產的評估作業

企業流程之確認、查出每個流程的資訊資產、對照資產與流程關係

、作業流程之優先、資訊資產進行分類

訪問管理人員、網路使用情況與歷史紀錄、主機逐一清查

l   是否建立企業流程大綱、資料敏感度之定義和/或重要資產清單?

威脅評估作業

風險暴露程度、找出組織的可能威脅、發展威脅基本資料表

利用網際網路主動研究;社會研究、運用IDSIPS

l   是否建立風險基本資料表,同時具備暴露程度與威脅綜合報告?

業務性評估作業

評估安全目標的管理支持程度;評估現有政策、流程、標準和程序以決定信度與效度;評估安全教育與警覺教育計畫;評估意外事件反應能力

檢討與調查現有安全計畫、流程、標準與程序;訪問管理人員;社會研究和入侵測試

l   是否己發展 業務評估報告和風險分析報告?

受攻擊環節評估

評估網路設計的安全有效度;決定易受攻擊之環節和成功攻擊後之影響;確定受攻擊環節之有效程度;針對每個攻擊環節產生復原行動計畫

蒐集可能受攻擊環節的情報;利用掃瞄程式找出易受攻擊的硬體與軟體版本;檢視系統找出可能的設定錯誤

l   是否己發展 弱點評估報告和/或風險分析報告?

安全需求確認

決定內部或外部有關之安全需求:HIPPAGLBASBOAISO17799/ BS 7799

訪問管理階層;研外部法律和/或規定之安全需求

l   是否己經了解適用企業之規定需求?

風險分析報告

決定組織整體風險程度;根據資訊資產和企業影響程度指定風險屬性;發展規劃完善之行動計畫減輕己發現之風險威脅;對管理階層提供詳細報告,使他們可以決定所發現風險與作業後剩餘風險之接受程度

針對風險分析流程中各階段提出有效度、相關性和專家分析報告

l   是否己發展 弱點評估報告和/或風險分析報告?

 

 

 

II. 降低風險作業

 

為了確保合適降低風險作法,組織應該具備:

l   資訊安全與確認政策

l   系統安全標準

l   改變控制流程之能力

l   事件處理程序

l   安全控制標準

l   安全訓練需求

l   安全教育與警覺性培養計畫

l   風險管理計劃

 

所有這些要素都包含技術與政策的組合,可協助政策之貫徹執行。

 

政策執行

政策只是紙上的幾段話而己,除非具備:

l   從高階主管和法務主管制定安全命令和/或章程,並透過中階主管與部門合作去配合執行。

l   員工均有安全認知,並了解政策的重要性

~ 安全教育與警覺性培養計畫可以及早實施,以提 安全施流程之協助(如講習、訓練課程、安全宣導活動等)

 

網路的安全工程

系統和網路架必須對風險分析報告中的安全資訊有所助益。企業應該根據風險分析報告訂定評量方法。這些評量方法包含:

l   FW

l   VPN ( IPSec/SSL)

l   IPS

l   防毒作業

l   內容過濾

l   授權主機

l   CA主機

l   SEM/SIM

l   網路和整合性系


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 chiache 的頭像
    chiache

    嘉哲的翻譯/寫作作品集

    chiache 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄