相关背景
为贯彻落实公安部、国务院信息化工作办公室《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)要求,切实做好信息系统安全等级保护工作。2003年7月,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉秘程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。
2005年2月,国务院信息化工作办公室在北京、上海、黑龙江、云南四省市及银行、税务、电力等部门开展信息安全风险评估试点工作。根据国务院信息化工作办公室《关于印发(信息安全风险评估试点工作方案)的通知》(国信办【2005】5号),上海市选定上海市信息安全测评认证中心(简称上海测评中心)作为本次风险评估的技术实施主体,具体承担风险评估方法、工具、操作流程的研究,并协助其它试点单位完成风险评估试点工作。
为了更好的完成风险评估试点工作,上海市信息安全测评认证中心以国家标准草案为指导,对原有的风险评估方法、工具和操作流程进行了系统地总结和完善,并在此基础上开发了一套信息安全风险评估管理软件(IAS),以方便风险评估实施者更好地理解风险评估的基本概念、实施方法、操作流程,规范操作步骤,提高评估效率,降低风险评估的实施难度,力求实现各系统运行单位由“委托实施”到“自主实施”的转变。
IAS软件简介
信息安全风险评估管理软件(IAS)是由上海市信息安全测评认证中心自主设计、开发的管理信息系统软件。杭州思福迪信息技术有限公司是IAS浙江省唯一合作伙伴。该软件以《信息安全风险评估指南》国家标准为基准,将风险评估的整个工作流程划分为资产识别、脆弱性识别、威胁识别、风险分析与计算、数据管理等几个模块,模块与模块之间功能衔接紧密,数据逻辑清晰;软件具有的统计功能直观地体现了评估对象的整体风险状况。
信息安全风险评估软件设计、开发目的在于实现将现有的信息安全风险评估操作,完全借助以计算机完成。从前期的资产识别到最后的报表输出,系统都应有相应的功能模块加以实现,力求实现以“委托评估”向“自评估”的转变。 该软件针对系统运行单位实施自评估的实际需求,集成了有关资产、威胁、薄弱点等方面较为详尽的知识库,可以有效指导和帮助系统运行单位实施的风险自评估工作。
该软件通过了国家权威专家的评审,并在同行单位中得到了应用。认为:“不仅可以帮助专业风险评估机构实施评估,而且方便了信息系统所有者自己实施评估”、“具有创新性、实用性和推广价值。” 2005年9月,上海测评中心向中国国家软件版权中心申请了信息安全风险评估管理软件(IAS)的著作权登记 (登记号2005SR11108)。
IAS软件主要功能
系统管理
提取与导出项目
实现评估项目的创建,历史项目的提取,当前项目的导出,便于评估项目数据的管理。
提取与导出基础数据
可以提取或导出系统数据维护中所有的基础数据,通过对系统数据进行编辑,建立不同类型系统的评估模板,实现系统数据与评估数据的分离。
项目评估功能
项目基本信息
管理评估项目和被评估系统的基本信息。
资产识别与重要资产赋值
分五类、三个级别实现对资产的识别与赋值;对已添加的资产进行赋值;根据所设定的阈值,划分重要资产。
威胁识别
基于对威胁的细分,按一级威胁、二级威胁识别重要资产在具体应用环境中面临的威胁。
一、二级薄弱点管理
实现对重要资产一级薄弱点、二级薄弱点的赋值与管理,实现对预先定义的薄弱点,以及评估中发现的薄弱点详细描述的管理。
资产风险系数计算
综合资产价值、威胁可能性和安全事件的影响,计算威胁风险系数、资产综合风险。
风险处理计划
根据风险的阈值,生成风险的优先处理等级 ,并对处理措施进行管理。
报表与统计
生成重要资产清单、资产赋值表、薄弱点汇总表、风险计算结果和风险处理基础等报表;按资产、风险、薄弱点得到统计视图。
数据维护
维护“企业部门信息”、一级资产类型表”、“二级资产类型表”、“三级资产类型表”、“一级威胁类型表”、“二级威胁类型表”、“一级脆弱类型表”、“二级脆弱类型表”、“威胁-脆弱关系映射表”、“风险处理优先级”等基础数据,为风险评估的实施奠定基础。
Posted in安全
思福迪信息安全风险评估管理软件(自评估软件)
