邮发代号 2-786
征订热线:010-82341063
文│云南省信息安全测评中心 吴楠青 刘后丞 权华
目前,我国开展风险评估工作的主要标准为《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007),《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)即将实施。GB/T 20984-2007 于 2007 年 11 月 1 日批准实施,为我国信息安全领域开展风险评估工作提供了科学的指导、规范的方法,对风险评估工作的开展起到了重要作用。该标准非常重视安全管理在信息系统生命周期中的作用,并提出了评估要求。但在风险评估工作的实践中,有关安全管理的评估尚存在不足之处,如重有无,轻适用;重形式,轻执行等。笔者在实际工作中进行了一次从管理者视角对组织安全管理制度有效性和科学性进行专项评估的工作,以下就此次工作所取得的一些心得与业界同行进行交流。
在风险评估工作实践中,无论是风评或是等保系列标准,实际上都有对组织安全管理制度的相关要求,例如在《网络安全等级保护基本要求》(GB/T 22239-2019)中,就有对安全策略、安全管理机构、安全管理人员等的要求,并作为测评项进行检查。但这些标准在执行过程中存在以下不足:
一是重视符合性,而其合理性和科学性考虑不足。在评估实践中,会检查是否制定了指导整个组织开展安全工作的总体策略以及具体操作的方针和制度,是否设立了最高的安全管理机构等,但对策略和制度的合理性、指导性关注不足,对这些制度是否得到了有效实施了解不足;对安全管理机构的工作开展、权利行使和实施效果也缺乏关注。这固然与评估时间短、评估检查项多、缺乏自动化工具有关,也与针对安全制度方面缺乏有效评估方法有关。
二是在实践中,对组织策略和制度的执行情况检查力度不足,对执行效果缺乏评估。风险评估工作,是针对信息系统,从其管理层面、网络层面、服务层面、应用层面、物理层面等识别其可能存在的安全风险并对其进行风险管理的过程,所以,其安全管理方面的风险识别也应当成为风险评估实践中的重要组成部分,其识别出的风险点,应当和配置核查、安全扫描和渗透测试发现的系统脆弱性综合考量,形成组织的最终风险列表提交管理者。而在实践中和在风险评估报告中,我们可以看到某一系统存在一系列的问题,建议采用何种方式方法去解决,但是作为组织的领导层,却无法得到这样的概念:我们组织的安全状况如何;从组织层面来看,还存在哪些问题;每年都有信息安全的经费投入,到底解决哪些问题……
在风险评估实践中,针对管理方面的评估方法和最佳实践实际上是存在的,其中最著名的莫过于 ISO/IEC 17799:2005《信息技术 安全技术 信息安全管理实施规范》,17799 规定了 127 个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这 127 个控制措施被分成 10 个方面,成为组织实施信息安全管理的实用指南。但 17799 过于严谨和庞大,实施的时间成本和经济成本一般组织难以承受,且对组织运行效率有一些影响,所以该标准的借鉴作用更大。
从管理者视角评估组织安全管理风险,其基本思路为:
1. 收集组织的安全策略和各种规章制度,参考 ISO/IEC 17799:2005,从管理者的角度,对其策略和制度的合理性进行评估。
2. 通过对组织各项制度的学习,了解组织对安全的整体要求,形成组织安全期望画像。从管理体系和技术体系两个维度来梳理安全要求。
3. 选择组织中若干具有代表性的信息系统,开展风险评估工作,结合等保相应等级的要求,对系统的安全性进行评估,在工作过程中,重点收集各项规章制度的执行情况并采集证据。同时,根据系统的实际运行环境、运维情况反观制度的合理性以及可执行性并采集证据。
4. 在实验室中进行风险识别,首先评价制度的合理性,若该项安全要求合理合法且必要,则重点关注该项要求的执行情况,进行风险识别。若该项要求与组织实际情况不符,该项要求并不合理,则识别出管理制度方面的风险。最后形成组织实际安全画像。
5. 与组织安全期望画像进行对比,形成组织的安全管理风险。
从这个视角,我们在我省某单位进行了尝试,以检验该方法的合理性、可操作性以及存在的问题。
第一阶段是对该单位的安全管理制度、网络拓扑结构、前期的信息系统安全测评报告等资料进行查阅和分析;
第二阶段是对该单位相关领导、信息管理人员进行访谈和沟通交流,了解相关情况,并选取一个系统,进行技术检测。
通过对前期收集的近 40M、近 30 种的安全策略、制度汇编的阅读和分析,以及访谈和技术检测,经过实验室计算,项目组共识别出了 4 方面共 20 项安全风险,其中高风险 10 项,中风险10 项。在末次会议上向该单位通报了评估结果,并提交了评估报告,布置了整改工作,使该单位信息安全形势得到了有效改善。
以下是我们实际识别出的一些风险点的节选,在此重点描述我们识别该风险的思路,以达到讨论这种视角下对安全管理风险评估的目的。
项目组发现,该单位制定了《网络安全管理规程总体方针》,明确规定了网络信息安全的总体安全目标、总体原则、安全使命、安全方针、安全要求和指导范围,对单位的网络信息安全工作有一定的指导作用,但该总体方针与单位实际情况有所出入,且与网络上范本的相似度很高,并未根据单位的实际情况制定规则,经访谈也证实了这一猜测,故项目组识别出了一个管理风险,即“网络信息安全管理总体方针策略不完善”。众所周知,总体方针文件不健全、不明确,就不能很好的指导单位的信息安全建设,不能很好地实现网络信息安全的基本要求和主要目标,使总体方针沦为一纸空文。而该风险会影响整个网络信息安全管理系统,故确定其风险等级为高。也给出进一步修订、完善《网络安全管理规程总体方针》文件的建议。
2. 未制定完善的、切合工作实际的网络信息安全管理制度
项目组发现,该单位的某些管理制度与实际情况有很大出入,例如,该单位信息系统相关的网络、应用和服务器完全托管在云平台上,并由云平台负责日常运维和安全保障工作,而其制度汇编中有大量针对局域网物理机的安全制度,而关于云托管的制度却是空白,安全管理制度和实际工作情况不一致。同时,在检查、访谈工程中发现,制度适用范围有局限性,这些管理制度只适用于机关和办公区的下属单位,其他下属机构按各自情况执行各单位自己制定的管理制度,而这又与《网络安全管理规程总体方针》的相关规定抵触,因此,项目组识别出一个管理风险,即“未制定完善的、切合工作实际的网络信息安全管理制度”。而没有完善的网络信息安全管理制度,会导致在开展网络信息安全工作中,缺乏依据,不能很好地明确责任和义务,可能导致误操作,越权使用等安全隐患。在发生安全事件时,缺乏应有的指导性和事后的追责依据。由于该风险会影响整个网络信息安全管理系统,因此风险等级定为高,而给出的建议为进一步修订、完善相关的网络信息安全管理制度。
在核查制度执行情况时,技术人员发现,该单位并未正式发布安全管理方针(在核查中并未发现管理方针的发布文件、实施通知等证据),并未明确指定信息安全主管机构,经访谈确认,识别出制度执行方面的风险,即“《网络安全管理规程总体方针》文件未见正式发布、修订和修订程序”。我们知道,管理制度文件不及时评审和修订,会使管理制度和实际工作脱节,不能更好地发挥各项管理制度的适宜性和有效性。只有通过正式发布程序,大家才会知晓这些管理制度的内容、要求、时效和范围,积极配合,更好的执行贯彻。该风险影响整个网络信息安全管理系统,风险等级定为高。给出的建议为制定管理制度的修订程序文件,定期对相关管理制度评审、修订,制定或修订好的管理制度,通过正式发布程序发布,使制度能很好地执行贯彻。
检查人员还发现,安全主管机构和安全管理人员并未得到明确指定和授权,安全策略并未得到有效实施(访谈结果是:“有指定,但未正式发文宣布”,在证据收集过程中,也仅有一份会议纪要中出现过相关内容。)。因此,识别出制度执行方面的风险,即“缺乏信息安全领导小组”。而信息安全领导小组,是网络信息安全工作的决策层和管理层。负责实现网络信息安全使命,实现网络信息安全目标的长期和短期规划,负责网络信息安全管理体系的建立、实施和运行。
2017 年 8 月 15 日,中共中央办公厅发布了《党委(党组)网络安全工作责任制实施办法》,在实施办法中明确规定“网络安全工作事关国家安全、政权安全和经济社会发展。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人”。同时也规定了“协调监管不力的,还应当追究综合协调或监管部门负责人责任”。
《中华人民共和国网络安全法》也规定:“设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查”。由此可见,该单位信息安全领导小组的缺失是一件风险极高的隐患,因此,该风险等级定义为高,给出的建议也是立即组建信息安全领导小组,并正式发布。
授权文件,明确了被授权机构、人员的工作职责,起到很好的指导作用,更会集中提供可用资源,必要的培训,划分好了责任归属,明确了奖惩制度,制订了预期结果。将责任分配,完备的责任规划,不仅能让事务有序进行,也使得人力得到充分发挥,提高了事务的效率,满足了人的效用。
通过访谈和检查,该单位没有对信息安全领导机构和岗位的明确授权文件,需要制定、下发相关的授权文件。因此,识别出制度执行方面的风险,即“缺乏对信息安全领导机构和岗位的明确授权文件”。会影响网络信息安全管理系统的执行,风险等级高。给出的建议为对信息安全领导机构和各个信息安全岗位下达明确授权文件,明确各个岗位责任和义务,保证在行使相关工作的时候有据可依。
结合配置核查、安全扫描和渗透测试,还识别出了其他风险,其中之一为:“未实时掌控信息系统的日常运行情况和安全情况”。按照等级保护工作要求,信息系统运营使用单位和主管部门按照“谁主管、谁负责,谁运行、谁负责”的原则开展工作。要做到对信息系统的自主可控。
在《运行维护和监控管理规定》制度文件中,也明确规定了“第八条 对设备和软件的日志定期和不定期进行审计,了解整个网络的状况、设备的运行状况和网络故障及攻击事件”。
通过访谈和技术检测了解到,目前该厅信息系统托管在云平台,由云平台管理方完全负责系统的日常运维和安全监控。只有在需要时(如等保测评),才让云平台管理方提供相关报告,这样,不利于完全掌控系统的运营状况,而不能实现对信息系统的自主可控,不利于完全掌控系统的运营状况。一旦安全事件发生,有可能滞后反应和手足无措。该风险影响整个网络信息系统,风险级别定为高。给出的建议为:“该单位需要实时掌控信息系统的日常运行情况和安全情况,要定期审查云平台管理方的安全审计报告,对存在的安全问题及时补救和加固。对每次信息安全测评暴露出的问题,及时解决、加固”。
在《信息网络管理办法》制度文件中,规定:“未经批准,任何人不能私自将计算机、网络设备接入单位信息网络”。
通过访谈和技术检测发现,该单位没有相应的技术手段来严格限制外来计算机设备接入网络。在技术检查中甚至还发现有部门私自搭建的Wi-Fi,而内部办公电脑就连接着这个私自搭建的 Wi-Fi。这可能会导致病毒木马病毒和钓鱼邮件传播或失窃失密的风险。该风险影响面较小,风险等级定为中。给出了对外来计算机设备严格管理,采取技术手段,防止外来计算机设备接入网络的整改建议。
对于识别出的其他风险,由于篇幅原因就不再引述了。从以上实践可以看出,从管理者视角评估其安全管理风险的专项评估,可以有效地发现组织在安全管理方面存在的问题和不足,可以有效地为管理层提供改进措施,也可以快速地从俯视角度了解一个组织的安全现状,是风险评估工作在安全管理方面有效的实践创新,值得业界同行继续深入和研究。
从管理者视角评估其安全管理风险虽然进行了一些尝试,也取得了一些效果,但该方法仍存在如下五方面的问题:一是各单位策略制度繁杂、数量巨大,导致阅读和评估工作量大;二是评估人员对风评、等保等标准的理解不深,对策略、制度合理性的评估不够科学、准确;三是评估结果与个人素质和经验关系较大,标准化难度较大;四是画像的维度、方法难度较大,难以实现;五是要取得“一把手”的支持较为困难,而没有主要领导的支持,评估人员很难获取真实的、一手的资料信息和相关人员的配合。
针对以上问题,可以在以下三方面进行改进:一是推广着这种评估专项,争取获得更多样本,通过样本的积累训练评估人员的能力和水平;二是加强方法论的研究,力争完善此管理评估方法;三是利用 AI 技术,实现画像技术在全局评估法中的运用。
(本文刊登于《中国信息安全》杂志2022年第8期)
原文始发于微信公众号(中国信息安全):前沿 | 从管理者视角评估组织安全管理的实践
评论