保險業檔案安全風險評估探討范文

本站小編為你精心準備了保險業檔案安全風險評估探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

風險評估工具

風險評估技術常用的工具一般有滲透測試工具和脆弱性掃描工具。滲透測試工具一般常使用人工結合滲透測試工具進行，常用的Web滲透測試工具有IBMAppScan、AWVS、HPWEBinspect，通常需對漏洞進行人工驗證，以確定漏洞準確性。脆弱性掃描工具主要用于評估網絡或主機存在的系統漏洞，常見工具有Nessus，能對主機、網絡設備、安全設備進行掃描并形成脆弱性報告。此外，在風險評估過程中，除了利用上述工具來發現系統風險外，還需要利用系統現有數據來進行現狀分析和趨勢分析，這其中常用的手段有：入侵檢測日志分析、主機日志分析、應用系統日志分析、主機/網絡檢查表等。

風險評估流程

1總體流程

根據風險評估中包含的各個要求，要分別進行實施，整體的風險評估流程如圖3所示。

2風險評估準備階段

通過做好準備工作，能夠大大提升風險評估的效果，降低項目實施風險，該階段是風險評估整個過程的重要組成部分。風險評估準備階段一般應包含如下工作內容：明確風險評估范圍、確定風險評估目標、組建項目團隊、設定系統性風險評估方法、整體風險評估方案獲得高層批準。

3資產識別階段

資產識別主要針對現有的信息資產進行分類識別和描述，在識別的基礎上從信息安全的角度，機密性、完整性和可用性對其進行賦值，確定信息資產的價值，作為影響分析的基礎，典型資產類別可以分為：網絡設備、服務器、終端、安全設備、物理環境、業務系統、數據、文檔、組織和人員等。

4脆弱性識別

脆弱性評估常被稱作弱點評估，是風險評估的重要工作，通過脆弱性評估能夠發現信息資產存在的弱點。弱點是資產本身存在的，它可以被威脅利用、引起資產或商業目標的損害。弱點包括物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產的脆弱性。脆弱性分類可分為技術脆弱性和管理脆弱性，其中技術脆弱性又可以細分為：物理安全、網絡安全、系統安全、應用安全、數據安全5個方面。

5威脅識別

威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環境因素。根據威脅的動機，人為因素又可分為惡意和非惡意兩種。

環境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊，在機密性、完整性或可用性等方面造成損害，也可能是偶發的或蓄意的事件。對威脅識別的簡單方法就是對威脅進行分類，針對不同的威脅，可以根據其表現形式將威脅識別分為以下幾類：軟硬件故障、物理環境影響、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改、抵賴等。威脅分析方法首先需要考慮威脅的來源，然后分析存在哪些威脅種類，最后做出威脅來源和威脅種類的交叉表進行威脅賦值。

6風險分析

風險分析中要涉及資產、威脅、脆弱性3個基本要素，每個要素有各自的屬性。資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度。

風險評估的主要內容

信息安全風險評估包含的內容涉及信息安全管理和技術，同時包括網絡、系統、應用和數據等不同的技術層面，但根據保險行業的特定需求，總體定位在網絡設備和網絡架構方面的技術評估。主要內容包括：

1)信息資產的調查，主要針對網絡拓撲，網絡設備和服務器設備等。

2)網絡架構弱點評估，針對目前的網絡拓撲圖進行弱點分析。

3)網絡設備和服務器系統弱點評估，針對設備目前的系統配置進行分析，確認其是否達到應有的安全效果，結合滲透測試的手段。

4)現有安全控制措施，通過分析目前的安全控制措施，綜合總結網絡架構和設備的弱點。

5)整體網絡威脅和風險分析，綜合分析網絡中面臨的威脅和可能的風險，形成總體安全現狀。

6)建議安全措施和規劃。根據風險評估的成果和建設目標，形成建議的安全措施和時間進度，建立1-2年的信息安全規劃。

項目實施成果

根據以上工作內容，項目的最終成果包括：

1)信息資產清單和分析結果。清晰明確系統和網絡信息資產，明確其機密性、完整性和可用性的安全目標，同時確定資產的重要類別；必要時可以建立內部的信息資產庫。

2)系統和網絡脆弱性報告。明確服務器系統、網絡設備、網絡結構和安全設備可能存在的弱點。

3)系統和網絡威脅報告。根據已有的弱點分析目前可能面臨的威脅和威脅發生后對業務、系統和網絡造成的影響。

4)安全現狀報告。基于風險的安全現狀總體分析報告，明確目前的網絡安全風險。

5)建議安全措施和規劃。從技術和管理的角度提出后期進行系統建設的安全控制措施。

結語

通過全方位地開展信息安全風險評估工作，能夠有效提升保險業務系統的整體防護水平，全力保障各項應用的安全穩定運行。在此基礎上，進一步規范保險業務信息系統與信息安全防護體系，及時發現各類安全隱患并采取措施盡可能的避免，從而全面提升保險業務系統的整體安全管理和技術應用水平。

作者：曹家儉單位：中國人民財產保險股份有限公司安徽省分公司