项目背景
信息安全是一项复杂的系统工程,对于这个复杂的系统工程,对信息安全解决方案进行有效的风险分析和评估就构成了其基础和前提。所谓信息安全风险分析与评估,其主要任务应包括:了解信息系统目前与未来的安全风险所在,评估这些风险可能带来的安全威胁与影响程度,给出相应措施将系统的风险降到一个可以接受的范围。
MetaISRE系统依据ISO27000系列标准和GB/T 20984―2007标准,由信息系统信息安全风险评估与信息安全风险分析两模块组成。信息安全风险评估模块不仅适用于具有评估资质单位对被评估单位信息系统开展评估工作,而且还能用于被评估单位对信息系统安全风险的自评估;信息安全风险分析模块主要用于对评估采集数据进行更深层次的分析、挖掘影响信息系统安全的潜在威胁,通过遴选给出可行的解决方案,该模块是信息安全风险评估模块的重要补充。系统采用图形化界面与分析报表相结合的方式更大程度的方便用户使用,计算分析结果可以直接应用于风险评估报告。对于两大模块,我们分别采用层次化子模块的方式设计开发完成,通过恰当组合可以使得该系统满足多种信息安全风险评估标准;通过采用标准接口技术,系统具有较好的可扩展性;标准化设计,可以实现与其他系统接口的友好性,更大程度的方便用户的使用。
产品特点与优势
MetaISRE系统预置通用的信息安全相关资产分类,允许对分类进行个性化的增、删、修改。对识别的具体资产,能够详细描述其属性、场所、管理、使用、备份、关联等信息,并对其中的信息资产进行分类管理。系统自动生成资产清单、重要资产清单。可按资产的全部属性进行查找、筛选和排序。允许将结果导出Excel文件。
MetaISRE系统具有基于协议的拓扑发现功能,基本实现了对主流网络产品的兼容性(Cisco、Huawei等),在开放接口的情况下基本能实现系统拓扑的全局发现。MetaISRE系统能够针对不同拓扑结构类型(大中型骨干网络、中小型局域网络)采用相适应的算法进行快速自动拓扑发现,并自动绘制网络拓扑图。通过预置典型网络拓扑机构,提高拓扑绘制的效率和准确性,并可用于网络结构的合规性检查。MetaISRE系统通过发现、绘制、检查、修正为客户提供了一幅IT计算环境的总览图。拓扑图支持缩放,具有鸟瞰功能,支持自动布局。支持数据的图形化界面导入、显示、修正等功能,通过鼠标点击某个设备,可以对该设备资产的脆弱性、威胁进行在线编辑。通过配合风险评估算法进行分析计算,可在图形界面上实现网络设备的风险值及风险级别预警显示。
MetaISRE系统运行原理及框架:
随着兴起于上世纪70年代中期的信息安全的标准化工作的推进,信息安全的标准化也得到了长足的发展,包括国际性的标准化组织主要有国际标准化组织(ISO)、Intenret工程任务组(IETF)、国际电器技术委员会(IEC)及国际电信联盟(ITU)所属的电信标准化组织(TIU-TS)在内的国际上知名度标准化组织在安全需求服务分析指导、安全技术机制开发、安全评估标准等方面制定了许多标准和草案。目前,国内外一致认为信息安全风险评估的要素一般包括:资产,威胁,脆弱性,风险和安全措施及其它们的相关属性,且各风险要素及其相互间的关系如下图所示:
为实现信息系统信息安全风险评估与分析的自动化操作,减轻工作人员的工作强度,北京信安天元利用其雄厚的研发能力开发出了信息系统信息安全风险评估与分析系统MetaISRE,通过设计风险计算模型模块实现了风险评估多标准灵活适配的要求;通过预置基于设备关联分析的风险量化随机计算模型,提高了风险计算的准确性;通过设置方便操作的配置窗口,系统可以满足不同客户的多样化需求。其具体实现框架如图5所示,其中计算模型可以根据需要灵活替换,可根据客户需求定制开发,默认的,系统预置了关联矩阵计算模型,随机量化模型和风险统计分析模型。