在現(xiàn)場測評時�����,需要對設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測試工作,部分測試內(nèi)容需要上機(jī)查看一些信息����,這就可能對系統(tǒng)的運(yùn)行造成一定的影響���,甚至存在誤操作的可能���。同時,在測評過程中��,會使用一些技術(shù)測評工具進(jìn)行漏洞掃描測試��、性能測試甚至抗?jié)B透能力測試���。測試可能會對系統(tǒng)的負(fù)載造成一定的影響��,漏洞掃描測試和滲透測試可能對服務(wù)器和網(wǎng)絡(luò)通信造成一定影響甚至傷害���。
2?????? 測評項(xiàng)目風(fēng)險評價
風(fēng)險評價是在風(fēng)險識別的基礎(chǔ)上,對測評過程中可能出現(xiàn)的任何事件所帶來的后果的分析����,以確定該事件發(fā)生的概率以及與可能影響測評有效性的潛在的相關(guān)后果�����。測評風(fēng)險評價可采用風(fēng)險值法來進(jìn)行風(fēng)險評價�����。風(fēng)險評價的表達(dá)式為:“風(fēng)險值”R=“風(fēng)險可能性”Pד風(fēng)險影響”F���, 其中:風(fēng)險可能性P—它是風(fēng)險發(fā)生可能性大小,是一種主觀判斷[4]���。
判定步驟可以分為三步�。首先����,確定風(fēng)險發(fā)生可能性:某風(fēng)險因素可能引起的風(fēng)險發(fā)生可能性,以高�����、中�����、低來標(biāo)定,分別賦值10���、5����、1�;其次�����,確定風(fēng)險影響程度:假定某風(fēng)險因素引起風(fēng)險���,其風(fēng)險對測評質(zhì)量和有效性影響的大小���,以高、中�、低來標(biāo)定,分別賦值10�、5、1�。最后確定風(fēng)險級別:根據(jù)風(fēng)險發(fā)生可能性和風(fēng)險影響大小的組成矩陣確定風(fēng)險級別�����。根據(jù)風(fēng)險矩陣計算記過�����,風(fēng)險值分布為100����、50�、25、10��、5����、1。其中風(fēng)險值大于等于50的定義為高風(fēng)險��,大于等于10小于50的定義為中風(fēng)險�����,小于10的定義為低風(fēng)險。
等級保護(hù)測評工作一般分為系統(tǒng)信息收集�����、編制測評方案�、現(xiàn)場測評、測評結(jié)果分析及測評報告編制等幾個階段���。上述風(fēng)險在不同階段其風(fēng)險值有所差異��,因此在不同的測評階段應(yīng)注意對其階段主要風(fēng)險進(jìn)行防范����。
測評風(fēng)險評價應(yīng)考慮:政策法規(guī)���、測評機(jī)構(gòu)的能力和資源、系統(tǒng)特點(diǎn)��。根據(jù)以上評價方法��,我們進(jìn)行一下簡單評價�。初步估算上述測評風(fēng)險的評價如下表。
?
風(fēng)險因素 | 風(fēng)險級別 |
系統(tǒng)信息收集 | 編制測評方案 | 現(xiàn)場測評 | 測評結(jié)果分析 | 測評報告編制 |
有效性風(fēng)險 | 高風(fēng)險 | 中風(fēng)險 | 中風(fēng)險 | 中風(fēng)險 | 中風(fēng)險 |
公正性風(fēng)險 | 低風(fēng)險 | 低風(fēng)險 | 中風(fēng)險 | 高風(fēng)險 | 高風(fēng)險 |
保密性風(fēng)險 | 高風(fēng)險 | 中風(fēng)險 | 中風(fēng)險 | 中風(fēng)險 | 中風(fēng)險 |
實(shí)施操作風(fēng)險 | 低風(fēng)險 | 低風(fēng)險 | 高風(fēng)險 | 低風(fēng)險 | 低風(fēng)險 |
?
3?????? 測評項(xiàng)目風(fēng)險應(yīng)對措施
風(fēng)險管理的基本目標(biāo)是以最小的經(jīng)濟(jì)成本獲得最大的安全保障效益����,即風(fēng)險管理就是以最少的費(fèi)用支出達(dá)到最大限度地分散�、轉(zhuǎn)移�、消除風(fēng)險,以實(shí)現(xiàn)保障人們經(jīng)濟(jì)利益和社會穩(wěn)定的基本目的���。這又可以分為以下三種情形:第一�,損失發(fā)生前的風(fēng)險管理目標(biāo)——避免或減少風(fēng)險事故發(fā)生的機(jī)會�����;第二��,損失發(fā)生中的風(fēng)險管理目標(biāo)——控制風(fēng)險事故的擴(kuò)大和蔓延�,盡可能減少損失;第三����,損失發(fā)生后的風(fēng)險管理目標(biāo)—— 努力使損失的標(biāo)的恢復(fù)到損失前的狀態(tài)[5]。
3.1有效性風(fēng)險應(yīng)對措施
等級測評有效性風(fēng)險既存在人員風(fēng)險也存在技術(shù)風(fēng)險����,人員風(fēng)險與測評機(jī)構(gòu)的技術(shù)風(fēng)險是緊密相關(guān)的,高素質(zhì)的人員隊(duì)伍可以提升機(jī)構(gòu)的技術(shù)水平����,良好的技術(shù)保障平臺也可以提高人員的能力���。為了有效的應(yīng)對測評有效性風(fēng)險,測評機(jī)構(gòu)要加強(qiáng)日常人員培訓(xùn)及技術(shù)水平的提高�。另一方面,測評工具及測評流程規(guī)范化也是應(yīng)對有效性風(fēng)險的重要方法之一�。規(guī)范化可以使得測評步驟、方法更加一致�,避免因測評人員個人因素,而導(dǎo)致測評結(jié)果的差異性�。
為了應(yīng)對有效性風(fēng)險,測評單位從項(xiàng)目啟動就應(yīng)開始加強(qiáng)與被測評單位的溝通及交流���,盡可能從資料收集階段就派駐現(xiàn)場測評人員指導(dǎo)被測評單位完成系統(tǒng)信息的收集整理�����,必要時與被測評單位系統(tǒng)管理人員對系統(tǒng)的情況進(jìn)行溝通交流,避免由于對系統(tǒng)的不了解而產(chǎn)生的有效性風(fēng)險�����。
3.2公正性風(fēng)險應(yīng)對措施
為防止測評機(jī)構(gòu)的利益影響測評公正性��,測評機(jī)構(gòu)的業(yè)務(wù)范圍應(yīng)不涉及安全產(chǎn)品及安全集成服務(wù);為防止測評工程師影響公正性����,應(yīng)嚴(yán)格執(zhí)行測評工程師與測評機(jī)構(gòu)簽訂的公正性聲明,測評工程師不得參加與自己經(jīng)歷有關(guān)的組織的測評���;同時應(yīng)在組織內(nèi)部建立測評項(xiàng)目的質(zhì)量評估體系���,對每個項(xiàng)目的測評過程、報告內(nèi)容及結(jié)論進(jìn)行獨(dú)立的質(zhì)量評估����,質(zhì)量評估人員不得參與自己經(jīng)歷有關(guān)的項(xiàng)目的評估。
3.3保密性風(fēng)險應(yīng)對措施
對于測評過程中被測方信息的保密管理�。首先測評雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議���,以約束測評雙方現(xiàn)在及將來的行為�。與此同時應(yīng)加強(qiáng)測評人員的安全保密教育及保密技術(shù)手段����,在技術(shù)手段層面、管理層面共同應(yīng)對保密性風(fēng)險�����。在技術(shù)層面上,應(yīng)為每一位參與測評業(yè)務(wù)的工程師及管理人員配備專用加密移動存儲介質(zhì)�����,評測中心應(yīng)配備專用的用于保存紙質(zhì)文檔的保險柜�,為評測中心配備專用的文檔服務(wù)器用于存儲電子文檔(該服務(wù)器與網(wǎng)絡(luò)隔離,并放置在安全可靠的物理環(huán)境中�����,服務(wù)器中的文檔以加密形式保存)����。在管理方面,應(yīng)制定嚴(yán)格的文檔保密���、數(shù)據(jù)保密的相關(guān)規(guī)定�����。規(guī)定應(yīng)對信息收集階段���、測評實(shí)施階段、報告編制階段及項(xiàng)目完成后客戶信息的保密進(jìn)行要求�����。對于測評人員日常工作使用的終端設(shè)備�����,原則上面應(yīng)做到嚴(yán)格與互聯(lián)網(wǎng)進(jìn)行隔離�����,在條件有限的情況下�,也應(yīng)做到終端上面不存儲相關(guān)項(xiàng)目信息,使用該終端進(jìn)行項(xiàng)目工作時應(yīng)進(jìn)行斷網(wǎng)處理�。對于測評人員及項(xiàng)目相關(guān)人員的保密安全教育經(jīng)常抓不懈,避免因思想上面的疏忽而導(dǎo)致信息的泄露��。
3.4實(shí)施操作風(fēng)險的應(yīng)對措施
為了應(yīng)對實(shí)施操作的風(fēng)險�,在測評中進(jìn)行驗(yàn)證測試和工具測試時,測評機(jī)構(gòu)需要與測評委托單位充分的協(xié)調(diào)�。雙方需要對測試方案進(jìn)行詳細(xì)的方案評估,測試實(shí)施前應(yīng)有詳細(xì)的測試計劃�����。測試計劃應(yīng)包括測試目的、測試進(jìn)度�����、可能受影響的業(yè)務(wù)系統(tǒng)���、資源需求�、操作人員����、計劃時間、測評操作步驟����、應(yīng)急處理預(yù)案等內(nèi)容。測試計劃應(yīng)得到雙方簽字確認(rèn)�����。測試工作應(yīng)盡量避免業(yè)務(wù)高峰期進(jìn)行����,對工具使用過程中可能出現(xiàn)的問題應(yīng)進(jìn)行事先通告,取得被測評單位的許可后才能進(jìn)行測試�����。上機(jī)驗(yàn)證測試原則上應(yīng)由被測單位人員進(jìn)行操作���,測評人員根據(jù)情況提出需要操作的內(nèi)容�����,并進(jìn)行查看和驗(yàn)證���,避免由于測評人員對某些專業(yè)設(shè)備不熟悉造成誤操作[1]。
4?????? 結(jié)論
隨著信息安全等級保護(hù)測評工作的推廣及開展���,測評工作的風(fēng)險管理也就越來越重要��。隨著環(huán)境的變化�����、時間的推移�����,測評機(jī)構(gòu)�����、檢測單位及主管部門對測評工作認(rèn)識的深化和觀念的變化��,測評機(jī)構(gòu)的風(fēng)險會不斷變化�����。因此在進(jìn)行風(fēng)險管理時�,我們也應(yīng)與時俱進(jìn)。
?
作者簡介:作者簡介:胡皓(1974-)�,性別(漢),湖北省��,技術(shù)主管/工程師�,大學(xué)本科,主要研究方向:信息安全管理�����、安全風(fēng)險評估�����、等級保護(hù)測評。
?
參考文獻(xiàn):
[1]□公安部信息安全等級保護(hù)評估中心. 信息安全等級保護(hù)政策培訓(xùn)教程[M]. 北京:電子工業(yè)出版社�,2010.6
[2]□陳廣勇,張潔昕���,郭冠男. 基于等級保護(hù)的網(wǎng)絡(luò)測評實(shí)施[J]. 信息安全與通信保密�����,2010,12:47-48.
[3]□王獻(xiàn)新. 國內(nèi)認(rèn)證機(jī)構(gòu)面臨的認(rèn)證風(fēng)險及有效控制[J]. 中國認(rèn)證認(rèn)可�,2008,3:13-16.
[4]□張東壯. 認(rèn)證機(jī)構(gòu)的風(fēng)險管理[J]. 中國水泥���,2011��,2:81-83.
[5]□呂華. 風(fēng)險管理在體系認(rèn)證管理中的應(yīng)用[J]. 中國認(rèn)證認(rèn)可����,2010����,11:21-24.
[6]□吳艷. 談企業(yè)風(fēng)險管理與內(nèi)部控制[J]. 吉林工商學(xué)院學(xué)報,2010��,26(6):31-33.
