【TT中国原创】问:风险评估中哪个步骤最棘手?
答:风险评估是一个复杂的话题,超出了这几段文字能够覆盖的范围。但是,风险评估是信息安全的核心。
为了保证一个系统的安全,你必须要确定这个系统的风险等级。系统的风险等级越高,就越需要保护。你不想把你的信息安全预算花在保护一个低风险的系统上,你要把信息安全预算花在高风险的系统上,例如,那些存储了敏感的用户数据或者处理金融交易的系统。虽然这些观点听起来好像是常识,但是,能够恰当地评估风险的机构并不多,结果不分青红皂白地浪费了它们的预算和资源,没有很好地保护它们最敏感的IT资产,过多地保护了价值很低的资产。
一般来说,风险评估包括评估你的IT基础设施的三个方面:威胁、安全漏洞和风险。例如,威胁可能是黑客获得了访问存储你的客户信息的数据库的权限。安全漏洞是数据库过时了和没有安装最新的安全补丁。因此,由于这个系统没有使用补丁,处在一个没有防火墙的没有保护措施的网络中并且直接连接到了互联网,这个风险可能是非常高的。
这种情形在一个拥有一位有经验的信息安全人员的公司几乎是不可能发生的,但是,实际上仍存在这个问题。由于我们知道这个风险很高和非常可能发生,我们知道我们需要减少控制。我们已经评估了这个风险并且知道风险在哪里和如何保证易受攻击的IT资产的安全。在这种情况下,风险评估将告诉我们首先使用补丁修复服务器,封锁接入服务器的防火墙的端口并且使用防火墙连接到互联网。
要记住,这并不仅仅是IT风险和保证服务器和网站安全的问题。被攻破的IT系统可以导致数据损失、网络中断和恶意使用。所有这些都能够破坏一个企业的声誉或者产生更糟糕的影响。
要更多地了解有关风险评估的信息可参考美国国家标准与技术研究所网站,网址是http://csrc.nist.gov。这个网站的计算机安全资源中心包含广泛应用的和信息安全专业人员推荐的风险评估方法。
作者:Joel Dubin,CISSP,是一名独立的计算机安全咨询师。他是微软MVP,专注于Web及应用安全,著有《The Little Black Book of Computer Security》一书。同时,他还主持芝加哥的一个有关计算机安全,名为“WIIT”的广播节目,并运行IT安全博客(www.theitsecurityguy.com)。