評估資訊保安風險
資訊保安管理周期始於評估資訊保安風險。保安風險評估一開始時便要進行,以找出需要甚麼的保安措施。這是初步評估和識別與保安弱點有關的風險及結果,並提供一個管理基礎,以確立具成本效益的保安計劃。
我們根據評估結果,便可推行適當的資訊保安防護措施,以維持一個穩妥的保安架構。這包括制訂保安政策和指引、委派保安職責,以及推行技術性的資訊保安防護工作。
緊隨這個步驟是周期性的遵行情況覆檢和再三評估,以確保保安措施被正確地執行,以達到用戶的保安要求和應付科技及環境上的急劇轉變。這有賴持續性的回應和監察。覆檢工作可以透過定期的保安審計來進行,以找出必需改進的地方。
通過對一系列關注事項的評估,你便能識別出甚麼資產需要保護、它們的相對重要性,以及迫切性的緩急次序和所需的防護程度。以下的流程圖展示出保安風險評估的主要步驟。
保安風險評估步驟
1. 部署
在開始保安風險評估之前,我們需要部署適當的準備、監察和控制工作。部份主要項目需要先行定義:
計劃範圍及目的:
評估範圍可以涵蓋防護某些業務上的職務,例如顧客服務部、信貸部、營業部等。
背景資料:
任何有助評估的相關資料,例如財務單據、組織結構圖、公司宗旨等。
參與各方的任務及職責:
為有份參與的所有組員界定及委派職務。
途徑及方法:
有關風險衝擊的定性及定量分析、保安問題的影響及適當的保安措施。
計劃規模及時間表:
計劃所涉及的成本和員工數目,以及推行評估報告中概述的各主要活動所需的時間。
2. 收集資料
旨在收集相關資料作進一步分析,以找出風險所在,並了解目前的系統和環境。
所需收集的資料類別:
有關資料可以透過不同途徑來收集:
3. 風險分析
風險分析有助決定資產價值及其相關風險。因此,保安風險評估及審計可幫助辨識網絡的保安弱點。以下列出有關過程重點:
資產識別及估值
包括有形及無形資產,例如硬件及商譽。
威脅分析
找出威脅,並決定它們出現的可能性,以及危害系統和資產的潛在能力。
漏洞分析
可以就接達能力及獲受權用戶的數目來衡量。
資產 / 威脅 / 漏洞圖譜分析
找出可能導致風險的資產、威脅和漏洞之不同組合和其相互關係。
評估影響力及可能性
估計可能出現的危害或損失之整體程度。
估計威脅發生的次數。
風險結果分析
利用定性與定量方法,以及矩陣方式來正確分析及演示風險結果。
4. 保安漏洞掃描軟件
保安漏洞掃描軟件可以偵測到資訊系統(包括電腦、網絡系統、操作系統以及應用軟件)各種保安漏洞。這些保安漏洞可能源於軟件生產商、系統管理活動或用戶一般日常活動:
一般來說,保安漏洞掃描軟件:
可以驗證網絡上所有設備的清單。這清單包括設備類別、操作系統版本及程式修補程度、硬件配置及系統其它相關資訊。
但保安漏洞掃描軟件也有一些限制:
只能提供快照( snapshot):保安漏洞掃描軟件只能夠評估一個短時期內有關系統或網絡保安的狀況。由於新的保安漏洞的不斷出現,以及改變系統配置亦可能導致保安漏洞,所以定期執行掃描是必須的。
需要人為判斷:保安漏洞軟件只能根據數據庫預裝的插件( plug-in)報告保安漏洞。它們不能決定掃描結果是假陰性( false negative)或假陽性( false positive)每次掃描完成後,數據都要經人為判斷。
保安漏洞軟件只能發現已知的保安漏洞,它不能辨認出其它保安威脅,例如那些實體、操作或程序上的威脅。
進行保安漏洞掃描的貼士
以下是進行保安漏洞掃描前要考慮的事宜:
掃描軟件的位置(適用於網絡掃描軟件) : 掃描軟件處於防火牆之內還是外面,會影響掃描結果。因此,為了得到較完整的保安狀況,進行內外掃描是有需要的。
埠掃描的範圍(適用於網絡掃描軟件) : 埠掃描能夠偵測出哪些埠是可供使用的(即服務正在聆聽的那些埠)。因為公開的埠可能意味 ?保安弱點,埠掃描往往是攻擊者的一項偵察技術。因此保安漏洞掃描必須包括埠掃描。然而,一些保安漏洞掃描軟件已預設埠掃描範圍,例如只掃描 0至 15000的埠,系統管理員有需要知道預設埠掃描範圍,以確保所有必須被掃描的埠都包括在內。
設置底線 : 一般的保安漏洞掃描應包括初步評估、執行建議糾正,以及再次評估。為確定糾正是否有效,較妥當的做法是保存所有掃描記錄(即制訂一個有效的準則),然後將每次的掃描結果跟準則比對,以進行趨勢分析。
掃描後及持續措施 : 掃描過程只是良好評估的一部份,正確詮釋掃描結果是重要的,因為這才可以確保保安漏洞能獲辨認及修正。跟進行動的優先次序應同時予以制訂。
掃描過程的潛在威脅 : 掃描對資訊科技系統可以構成威脅,例如所有插件(包括高風險的插件,如拒絕服務掃描)都啓動時,掃描可能會令脆弱的伺服器崩潰。所以進行掃描前有需要作風險評估及周全計劃。通常,就一個未投入生產的系統而言,掃描時可以啓動包括高風險在內的插件;此外,利用網絡保安漏洞掃描軟件進行掃描時,會產生大量系統要求及網絡傳輸。進行掃描時,管理人員要注意若干群組的系統及的網絡的性能有沒有下降。
處理掃描結果 : 掃描結果包括系統漏洞的資訊,萬一外泄便會容許攻擊者直接針對漏洞發動襲擊。因此應把掃描結果保管在安全的地方,或予以加密防止未經授權的接達。若評估程序涉及第三者,機構有需要確保對方可信賴程度,而評估所發現的資料及專利的資訊便須安全地保存。
掃描過程的政策及程序 : 惡意或不恰當使用掃描工具對資訊系統可以構成重大威脅,甚或導致極大傷害。因此,有需要因應保安漏洞評估工具由誰使用、如何及何時使用而制定政策及程序。在進行掃描前,有關政策規定可能包括預先的安排或通知,獲得管理層批准甚至是法律批准。沒有人可以在未經批准下進行保安漏洞掃描。
5. 識別及選擇防護措施
檢討保安風險評估結果後,便要定出防護措施,並評估它們能否把識別出來的威脅及漏洞的可能性和其影響力,有效地減低至可以接受的水平。
防護措施可以是技術性或程序性的。以下列出部份防護措施的例子:
重新配置操作系統、網絡組件及設備,以修補在保安評估過程中找到的漏洞
制訂 / 加強保安政策、指引或程序,以確保獲得有效保障
6. 推行及維持一個穩妥的保安架構
隨著從保安風險評估過程中取得風險評估結果,資訊保安管理周期便進入推行及維持的階段,以推行適當的保安防護措施來維持一個穩妥的保安架構。這包括制訂保安政策和指引、委派保安職務,以及推行技術及行政上的保安防護措施。所有這些步驟均大大有助保衛你的業務資產。
7. 監察及記錄
除要展開推行及維修工作來提供穩妥的保安架構外,也要恆常地進行監察及記錄,才能在處理保安事故時作出適當的安排。
此外,日常運作如用戶在使用資源或資訊時的接達嘗試及活動,也要妥善監察、審計和記錄。例如,個人用戶身份識別需要包含在審計記錄中,以加強個人責任。每位用戶在使用公司資源時應了解其責任,並為本身的行為負責。
主要活動包括: