在現(xiàn)場測評時��,需要對設(shè)備和系統(tǒng)進行一定的驗證測試工作,部分測試內(nèi)容需要上機查看一些信息�,這就可能對系統(tǒng)的運行造成一定的影響��,甚至存在誤操作的可能。同時��,在測評過程中�,會使用一些技術(shù)測評工具進行漏洞掃描測試、性能測試甚至抗?jié)B透能力測試����。測試可能會對系統(tǒng)的負載造成一定的影響,漏洞掃描測試和滲透測試可能對服務(wù)器和網(wǎng)絡(luò)通信造成一定影響甚至傷害�����。
2?????? 測評項目風險評價
風險評價是在風險識別的基礎(chǔ)上��,對測評過程中可能出現(xiàn)的任何事件所帶來的后果的分析����,以確定該事件發(fā)生的概率以及與可能影響測評有效性的潛在的相關(guān)后果�����。測評風險評價可采用風險值法來進行風險評價�����。風險評價的表達式為:“風險值”R=“風險可能性”Pד風險影響”F, 其中:風險可能性P—它是風險發(fā)生可能性大小����,是一種主觀判斷[4]��。
判定步驟可以分為三步。首先�,確定風險發(fā)生可能性:某風險因素可能引起的風險發(fā)生可能性����,以高�����、中、低來標定���,分別賦值10、5、1;其次,確定風險影響程度:假定某風險因素引起風險,其風險對測評質(zhì)量和有效性影響的大小�����,以高����、中、低來標定,分別賦值10�����、5��、1���。最后確定風險級別:根據(jù)風險發(fā)生可能性和風險影響大小的組成矩陣確定風險級別���。根據(jù)風險矩陣計算記過���,風險值分布為100����、50、25、10�����、5����、1�。其中風險值大于等于50的定義為高風險,大于等于10小于50的定義為中風險,小于10的定義為低風險。
等級保護測評工作一般分為系統(tǒng)信息收集���、編制測評方案、現(xiàn)場測評、測評結(jié)果分析及測評報告編制等幾個階段�。上述風險在不同階段其風險值有所差異�����,因此在不同的測評階段應(yīng)注意對其階段主要風險進行防范。
測評風險評價應(yīng)考慮:政策法規(guī)、測評機構(gòu)的能力和資源�、系統(tǒng)特點����。根據(jù)以上評價方法���,我們進行一下簡單評價�����。初步估算上述測評風險的評價如下表���。
?
風險因素 | 風險級別 |
系統(tǒng)信息收集 | 編制測評方案 | 現(xiàn)場測評 | 測評結(jié)果分析 | 測評報告編制 |
有效性風險 | 高風險 | 中風險 | 中風險 | 中風險 | 中風險 |
公正性風險 | 低風險 | 低風險 | 中風險 | 高風險 | 高風險 |
保密性風險 | 高風險 | 中風險 | 中風險 | 中風險 | 中風險 |
實施操作風險 | 低風險 | 低風險 | 高風險 | 低風險 | 低風險 |
?
3?????? 測評項目風險應(yīng)對措施
風險管理的基本目標是以最小的經(jīng)濟成本獲得最大的安全保障效益����,即風險管理就是以最少的費用支出達到最大限度地分散、轉(zhuǎn)移�、消除風險��,以實現(xiàn)保障人們經(jīng)濟利益和社會穩(wěn)定的基本目的��。這又可以分為以下三種情形:第一,損失發(fā)生前的風險管理目標——避免或減少風險事故發(fā)生的機會;第二,損失發(fā)生中的風險管理目標——控制風險事故的擴大和蔓延����,盡可能減少損失;第三���,損失發(fā)生后的風險管理目標—— 努力使損失的標的恢復到損失前的狀態(tài)[5]。
3.1有效性風險應(yīng)對措施
等級測評有效性風險既存在人員風險也存在技術(shù)風險�,人員風險與測評機構(gòu)的技術(shù)風險是緊密相關(guān)的�,高素質(zhì)的人員隊伍可以提升機構(gòu)的技術(shù)水平���,良好的技術(shù)保障平臺也可以提高人員的能力�。為了有效的應(yīng)對測評有效性風險,測評機構(gòu)要加強日常人員培訓及技術(shù)水平的提高�。另一方面���,測評工具及測評流程規(guī)范化也是應(yīng)對有效性風險的重要方法之一�。規(guī)范化可以使得測評步驟���、方法更加一致��,避免因測評人員個人因素���,而導致測評結(jié)果的差異性�。
為了應(yīng)對有效性風險�,測評單位從項目啟動就應(yīng)開始加強與被測評單位的溝通及交流,盡可能從資料收集階段就派駐現(xiàn)場測評人員指導被測評單位完成系統(tǒng)信息的收集整理�����,必要時與被測評單位系統(tǒng)管理人員對系統(tǒng)的情況進行溝通交流�����,避免由于對系統(tǒng)的不了解而產(chǎn)生的有效性風險��。
3.2公正性風險應(yīng)對措施
為防止測評機構(gòu)的利益影響測評公正性,測評機構(gòu)的業(yè)務(wù)范圍應(yīng)不涉及安全產(chǎn)品及安全集成服務(wù)�����;為防止測評工程師影響公正性��,應(yīng)嚴格執(zhí)行測評工程師與測評機構(gòu)簽訂的公正性聲明���,測評工程師不得參加與自己經(jīng)歷有關(guān)的組織的測評���;同時應(yīng)在組織內(nèi)部建立測評項目的質(zhì)量評估體系����,對每個項目的測評過程���、報告內(nèi)容及結(jié)論進行獨立的質(zhì)量評估�,質(zhì)量評估人員不得參與自己經(jīng)歷有關(guān)的項目的評估。
3.3保密性風險應(yīng)對措施
對于測評過程中被測方信息的保密管理��。首先測評雙方應(yīng)簽署完善的��、合乎法律規(guī)范的保密協(xié)議�,以約束測評雙方現(xiàn)在及將來的行為����。與此同時應(yīng)加強測評人員的安全保密教育及保密技術(shù)手段,在技術(shù)手段層面���、管理層面共同應(yīng)對保密性風險。在技術(shù)層面上��,應(yīng)為每一位參與測評業(yè)務(wù)的工程師及管理人員配備專用加密移動存儲介質(zhì)�����,評測中心應(yīng)配備專用的用于保存紙質(zhì)文檔的保險柜�,為評測中心配備專用的文檔服務(wù)器用于存儲電子文檔(該服務(wù)器與網(wǎng)絡(luò)隔離��,并放置在安全可靠的物理環(huán)境中,服務(wù)器中的文檔以加密形式保存)。在管理方面,應(yīng)制定嚴格的文檔保密����、數(shù)據(jù)保密的相關(guān)規(guī)定�����。規(guī)定應(yīng)對信息收集階段、測評實施階段、報告編制階段及項目完成后客戶信息的保密進行要求����。對于測評人員日常工作使用的終端設(shè)備���,原則上面應(yīng)做到嚴格與互聯(lián)網(wǎng)進行隔離�����,在條件有限的情況下,也應(yīng)做到終端上面不存儲相關(guān)項目信息,使用該終端進行項目工作時應(yīng)進行斷網(wǎng)處理。對于測評人員及項目相關(guān)人員的保密安全教育經(jīng)常抓不懈,避免因思想上面的疏忽而導致信息的泄露��。
3.4實施操作風險的應(yīng)對措施
為了應(yīng)對實施操作的風險��,在測評中進行驗證測試和工具測試時�,測評機構(gòu)需要與測評委托單位充分的協(xié)調(diào)�����。雙方需要對測試方案進行詳細的方案評估��,測試實施前應(yīng)有詳細的測試計劃。測試計劃應(yīng)包括測試目的、測試進度、可能受影響的業(yè)務(wù)系統(tǒng)�����、資源需求��、操作人員、計劃時間�����、測評操作步驟、應(yīng)急處理預案等內(nèi)容�。測試計劃應(yīng)得到雙方簽字確認����。測試工作應(yīng)盡量避免業(yè)務(wù)高峰期進行�,對工具使用過程中可能出現(xiàn)的問題應(yīng)進行事先通告,取得被測評單位的許可后才能進行測試���。上機驗證測試原則上應(yīng)由被測單位人員進行操作,測評人員根據(jù)情況提出需要操作的內(nèi)容��,并進行查看和驗證�,避免由于測評人員對某些專業(yè)設(shè)備不熟悉造成誤操作[1]。
4?????? 結(jié)論
隨著信息安全等級保護測評工作的推廣及開展,測評工作的風險管理也就越來越重要。隨著環(huán)境的變化��、時間的推移�,測評機構(gòu)、檢測單位及主管部門對測評工作認識的深化和觀念的變化,測評機構(gòu)的風險會不斷變化。因此在進行風險管理時,我們也應(yīng)與時俱進����。
?
作者簡介:作者簡介:胡皓(1974-)�����,性別(漢),湖北省����,技術(shù)主管/工程師�����,大學本科��,主要研究方向:信息安全管理��、安全風險評估、等級保護測評�。
?
參考文獻:
[1]□公安部信息安全等級保護評估中心. 信息安全等級保護政策培訓教程[M]. 北京:電子工業(yè)出版社�����,2010.6
[2]□陳廣勇,張潔昕�,郭冠男. 基于等級保護的網(wǎng)絡(luò)測評實施[J]. 信息安全與通信保密���,2010��,12:47-48.
[3]□王獻新. 國內(nèi)認證機構(gòu)面臨的認證風險及有效控制[J]. 中國認證認可,2008����,3:13-16.
[4]□張東壯. 認證機構(gòu)的風險管理[J]. 中國水泥�����,2011,2:81-83.
[5]□呂華. 風險管理在體系認證管理中的應(yīng)用[J]. 中國認證認可��,2010�����,11:21-24.
[6]□吳艷. 談企業(yè)風險管理與內(nèi)部控制[J]. 吉林工商學院學報���,2010���,26(6):31-33.
