信息安全风险评估方法有哪些
对于安全风险评估的方法有很多种,概括起来可分为三大类:
定性分析方法(Qualitative):定性分析是最早被广泛采用的方法。定性分析技术大都基于判断、直觉和经验,因此可能由于直觉、经验的偏差而造成分析结果不准确,所以定性分析对风险分析人员有较高的要求,风险分析人员应具备丰富的风险分析经验。定性分析通过列出各种资产、威胁、脆弱性的清单;然后分析威胁利用资产的脆弱性将对资产造成怎样的后果和影响,并对其发生的可能性进行判定;最后还要对资产的敏感程度、威胁-脆弱性对所造成的后果和影响的严重程度进行分级。
定量分析方法(Quantitative):定量分析方法是试图从数值上对安全风险进行分析的方法。定量分析过程有两个基本指标作为参考事件发生的概率及事件造成的损失。定量分析是在定性分析的逻辑基础上,给出各个风险源的风险量化指标及其发生概率,再通过一定的方法合成,得到系统风险的量化值。它是基于定性分析基础上的数学处理过程。定量的评估方法的优点是用直观的数据来表述评估的结果客观,可以使研究结果更科学更严密、更深刻。有时,一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的。但也存在为了量化,使本来比较复杂的事物简单化、模糊化了。有的风险因素被量化以后还可能被误解和曲解。现在发展较为成熟的方法有PRA(概率风险评估)、Markov分析方法、蒙特卡罗方法等。
半定量分析方法(Semi-Quantitative):半定量分析方法是定性与定量相结合的综合评估方法。系统风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以在风险评估也是一切都是量化的风险评估过程是科学准确的。定性分析是量化定量分析基础和前提。在复杂的信息系统风险评估过程中,不能将定性分析和定量分析两种方法简单地割裂开来而是应该将这两种方法融合起来,采用综合的评估方法。
实现对于信息安全威胁的防范措施有以下这些:
在局域网络内,对不同的信息进行区域规划,执行严格的授权访问机制。将拥有不同安全访问权限的用户划分至不同的VLAN,并在Trunk端口限制授权访问的VLAN,将一些敏感信息与其他子网络相隔离。
将所有敏感信息都集中保存在网络内的文件服务器中,既可以有效保证敏感信息的存储安全,又可以保证在共享文件的同时,严格控制其访问权限。需要注意的是,应杜绝将敏感信息保存在个人计算机上。
制定严格的文件访问权限。敏感文件必须存储在NTFS系统分区,并且为不同用户或用户组设置严格的NTFS文件权限、NTFS文件夹权限和共享文件权限。
将不同类型的用户划分于不同的用户组或组织单位,并为用户组和组织单位指定相应的访问权限,既可以减化文件权限管理的难度,又不会因疏忽大意导致访问权限划分错误。
安装RMS服务,严格限制对敏感文件的操作。权限管理服务(WindowsRights Management)作为组织内的权限策略管理系统提供一个平台,是在组织中搭建权限管理系统的重要组成部分。
其他基于交换机和路由器的安全措施。例如,采用IEEE 802.1x身份认证、IP地址与MAC地址绑定、安全端口、IP或MAC地址访问列表等技术,限制用户登录到网络,或者限制其对敏感区域的访问。