導語：軟件企業信息安全防范管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

編者按：本論文主要從網絡共享與惡意代碼防控；信息化建設超速與安全規范不協調；信息產品國外引進與安全自主控制；IT產品單一性和大規模攻擊問題等進行講述，包括了IT產品類型繁多和安全管理滯后矛盾、IT系統復雜性和漏洞管理、攻擊突發性和防范響應滯后、口令安全設置和口令易記性難題等，具體資料請見：

論文摘要：隨著軟件行業特別是軟件外包行業在國內的蓬勃發展，如何保證自身的信息安全成了擺在軟件企業面前的重要課題。文章通過對軟件企業現有信息安全問題的分析，提出了采用信息安全體系建設系統解決信息安全問題，著重闡述了信息安全風險管理的原理和方法在軟件行業中的應用。

論文關鍵詞：軟件企業；信息安全；風險管理

隨著國家大力推動軟件外包行業和IT行業的發展，軟件企業發展呈現良好態勢，在自身業務發展壯大的同時，軟件企業信息安全重要性日益凸顯。互聯網和IT技術的普及，使得應用信息突破了時間和空間上的障礙，信息的價值在不斷提高。但與此同時，網頁篡改、計算機病毒、系統非法入侵、數據泄密、網站欺騙、服務癱瘓、漏洞非法利用等信息安全事件時有發生。據公安部公共信息網絡安全監察局的調查結果顯示，2007年5月～2008年5月間，有62．7％的被調查單位發生過信息網絡安全事件，其中，感染計算機病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網絡攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業的重要資源，是非常重要的“無形財富”，分析當前的信息安全問題，有如下典型的信息安全問題急需解決。

(1)網絡共享與惡意代碼防控。

網絡共享方便了不同用戶、不同部門、不同單位等之間的信息交換，但是，惡意代碼利用信息共享、網絡環境擴散等漏洞，影響越來越大。如果對惡意信息交換不加限制，將導致網絡的QoS下降，甚至系統癱瘓不可用。

(2)信息化建設超速與安全規范不協調。

網絡安全建設缺乏規范操作，常常采取“亡羊補牢”之策，導致信息安全共享難度遞增，也留下安全隱患。

(3)信息產品國外引進與安全自主控制。

國內信息化技術嚴重依賴國外，從硬件到軟件都不同程度地受制于人。目前，國外廠商的操作系統、數據庫、中間件、辦公文字處理軟件、瀏覽器等基礎性軟件都大量地部署在國內的關鍵信息系統中。但是這些軟件或多或少存在一些安全漏洞，使得惡意攻擊者有機可乘。目前，我們國家的大型網絡信息系統許多關鍵信息產品長期依賴于國外，一旦出現特殊情況，后果就不堪設想。

(4)IT產品單一性和大規模攻擊問題。

信息系統中軟硬件產品單一性，如同一版本的操作系統、同一版本的數據庫軟件等，這樣一來攻擊者可以通過軟件編程，實現攻擊過程的自動化，從而常導致大規模網絡安全事件的發生，例如網絡蠕蟲、計算機病毒、”零日”攻擊等安全事件。

(5)IT產品類型繁多和安全管理滯后矛盾。

目前，信息系統部署了眾多的IT產品，包括操作系統、數據庫平臺、應用系統。但是，不同類型的信息產品之間缺乏協同，特別是不同廠商的產品，不僅產品之問安全管理數據缺乏共享，而且各種安全機制缺乏協同，各產品缺乏統一的服務接口，從而造成信息安全工程建設困難，系統中安全功能重復開發，安全產品難以管理，也給信息系統管理留下安全隱患。

(6)IT系統復雜性和漏洞管理。

多協議、多系統、多應用、多用戶組成的網絡環境，復雜性高，存在難以避免的安全漏洞。由于管理、軟件工程難度等問題，新的漏洞不斷地引入到網絡環境中，所有這些漏洞都將可能成為攻擊切入點，攻擊者可以利用這些漏洞入侵系統，竊取信息。為了解決來自漏洞的攻擊，一般通過打補丁的方式來增強系統安全。但是，由于系統運行不可間斷性及漏洞修補風險不可確定性，即使發現網絡系統存在安全漏洞，系統管理員也不敢輕易地安裝補丁。特別是大型的信息系統，漏洞修補是一件極為困難的事。因為漏洞既要做到修補，又要能夠保證在線系統正常運行。

(7)攻擊突發性和防范響應滯后。

網絡攻擊者常常掌握主動權，而防守者被動應付。攻擊者處于暗處，而攻擊目標則處于明處。以漏洞的傳播及利用為例，攻擊者往往先發現系統中存在的漏洞，然后開發出漏洞攻擊工具，最后才是防守者提出漏洞安全對策。

(8)口令安全設置和口令易記性難題。

在一個網絡系統中．每個網絡服務或系統都要求不同的認證方式，用戶需要記憶多個口令，據估算，用戶平均至少需要四個口令，特別是系統管理員，需要記住的口令就更多，例如開機口令、系統進入口令、數據庫口令、郵件口令、telnet口令、FTP口令、路由器口令、交換機口令等。按照安全原則，口令設置既要求復雜，而且口令長度要足夠長，但是口令復雜則記不住，因此，用戶選擇口令只好用簡單的、重復使用的口令，以便于保管，這樣一來攻擊者只要猜測到某個用戶的口令，就極有可能引發系列口令泄露事件。

(9)遠程移動辦公和內網安全。

隨著網絡普及，移動辦公人員在大量時間內需要從互聯網上遠程訪問內部網絡。由于互聯網是公共網絡，安全程度難以得到保證，如果內部網絡直接允許遠程訪問，則必然帶來許多安全問題，而且移動辦公人員計算機又存在失竊或被非法使用的可能性。“既要使工作人員能方便地遠程訪問內部網，又要保證內部網絡的安全”就成了一個許多單位都面臨的問題。

(10)內外網絡隔離安全和數據交換方便性。

由于網絡攻擊技術不斷增強，惡意入侵內部網絡的風險性也相應急劇提高。網絡入侵者可以涉透到內部網絡系統，竊取數據或惡意破壞數據。同時，內部網的用戶因為安全意識薄弱，可能有意或無意地將敏感數據泄漏出去。為了實現更高級別的網絡安全，有的安全專家建議，“內外網及上網計算機實現物理隔離，以求減少來自外網的威脅。”但是，從目前網絡應用來說，許多企業或機構都需要從外網采集數據，同時內網的數據也需要到外網上。因此，要想完全隔離開內外網并不太現實，網絡安全必須既要解決內外網數據交換需求，又要能防止安全事件出現。

(11)業務快速發展與安全建設滯后。

在信息化建設過程中，由于業務急需要開通，做法常常是“業務優先，安全滯后”，使得安全建設缺乏規劃和整體設計，留下安全隱患。安全建設只能是亡羊補牢，出了安全事件后才去做。這種情況，在企業中表現得更為突出，市場環境的動態變化，使得業務需要不斷地更新，業務變化超過了現有安全保障能力。

(12)網絡資源健康應用與管理手段提升。

復雜的網絡世界，充斥著各種不良信息內容，常見的就是垃圾郵件。在一些企業單位中，網絡的帶寬資源被員工用來在線聊天，瀏覽新聞娛樂、股票行情、色情網站，這些網絡活動嚴重消耗了帶寬資源，導致正常業務得不到應有的資源保障。但是，傳統管理手段難以適應虛擬世界，網絡資源管理手段必須改進，要求能做到“可信、可靠、可視、可控”。

(13)信息系統用戶安全意識差和安全整體提高困難。

目前，普遍存在“重產品、輕服務，重技術、輕管理，重業務、輕安全”的思想，“安全就是安裝防火墻，安全就是安裝殺毒軟件”，人員整體信息安全意識不平衡，導致一些安全制度或安全流程流于形式。典型的事例如下：用戶選取弱口令，使得攻擊者可以從遠程直接控制主機；用戶開放過多網絡服務，例如：網絡邊界沒有過濾掉惡意數據包或切斷網絡連接，允許外部網絡的主機直接“ping”內部網主機，允許建立空連接；用戶隨意安裝有漏洞的軟件包；用戶直接利用廠家缺省配置；用戶泄漏網絡安全敏感信息，如DNS服務配置信息。

(14)安全崗位設置和安全管理策略實施難題。

根據安全原則，一個系統應該設置多個人員來共同負責管理，但是受成本、技術等限制，一個管理員既要負責系統的配置，又要負責安全管理，安全設置和安全審計都是“一肩挑”。這種情況使得安全權限過于集中，一旦管理員的權限被人控制，極易導致安全失控。

(15)信息安全成本投入和經濟效益回報可見性。

由于網絡攻擊手段不斷變化，原有的防范機制需要隨著網絡系統環境和攻擊適時而變，因而需要不斷地進行信息安全建設資金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所產生的經濟效益往往是間接的，不容易讓人清楚明白，從而造成企業領導人的誤判，進而造成信息安全建設資金投入困難。這樣一來，信息安全建設投入往往是“事后”進行，即當安全事件產生影響后，企業領導人才會意識安全的重要性。這種做法造成信息安全建設缺乏總體規劃，基本上是“頭痛醫頭，腳痛醫腳”，信息網絡工作人員整天疲于奔命，成了“救火隊員”。

為了解決信息安全問題，保護企業信息的安全，建立實施信息安全管理體系是非常有效的途徑。無論是自身發展需求還是國際國內客戶的要求，越來越多的軟件企業希望或已經建立實施信息安全管理體系。如何提高組織的信息安全，通過建設信息安全管理體系中降低組織存在的信息安全風險的方法，來提高組織信息的安全性。由此可見信息安全風險管理，是我們建立信息安全管理體系的一個重要環節，也是信息安全管理體系建立的基礎。下面我們著重探討在軟件企業中的信息安全風險管理。

1．信息安全風險管理概述

我們將標識、控制和消除可能影響信息系統資源的不確定事件或使這些事件降至最少的全部過程稱之為風險管理，風險管理被認為是良好管理的一個組成部分，其過程如圖1所示。

2．確定范圍

在建立信息安全管理體系之初，根據業務、組織、位置、資產和技術等方面的特性，我們確定了組織ISMS的范圍，那么風險管理的范圍應該和我們確定的ISMS的范圍相一致。在軟件企業中，我們要將企業的業務流程、組織架構、覆蓋地址、信息系統、相關資產等都納入到風險管理的范圍當中

3．風險分析

風險分析是標識安全風險，確定其大小和標識需要保護措施地區域的過程，其目的是分離可接受的小風險和不能接受的大風險，為風險評價和風險處置提供數據。風險分析主要有定性分析方法和定量分析方法兩種。定性分析方法是最廣泛使用的風險分析方法，主要采用文字形式或敘述性的數值范圍來描述潛在后果的大小程度及這些后果發生的可能性，相對于威脅發生的可能性，該方法通常更關注威脅事件帶來的損失。定性分析方法在后果和可能性分析中采用數值(不是定性分析中所使用的敘述性數值范圍)，并采用從不同來源中得到的數據進行分析，其主要步驟集中在現場調查階段，針對系統關鍵資產進行定量的調查、分析，為后續評估工作提供參考數據。在軟件企業進行風險分析時，因為定量分析方法中的數值、數據不易獲取，我們通常采用定性分析方法。風險分析又包括以下4個方面，針對定性分析方法，具體過程如下：

(1)識別評估資產。

在ISMS中所識別評估的資產有別于常見的固定資產，這里的資產主要指信息、信息處理設施和信息使用者。在識別資產時，我們需要選擇適合的分類原則和識別粒度。在軟件企業中，通常把資產劃分為硬件、軟件等方面，還需要對這些方面進行細分，也就是進行二級分類。

在評估資產時，我們要從信息的三個屬性即保密性、完整性和可用性來評估資產的重要度等級。資產的重要度等級是我們進行風險評價的依據之一。資產重要度等級可以按如下定義和賦值：

①資產屬于“高”等級重要度，賦值為“3”，該類信息資產若發生泄露、損壞、丟失或無法使用，會給公司造成嚴重或無法挽回的經濟損失；

②資產屬于“中”等級重要度，賦值為“2”，該類信息資產若發生泄露、損壞、丟失或無法使用，會給公司造成一定的經濟損失；

③資產屬于“低”等級重要度，賦值為“1”，該類信息資產若發生泄露、損壞、丟失或無法使用，會給公司造成輕微的經濟損失。

(2)識別評估威脅。

我們應該清楚威脅一定是與資產相對應的，某一資產可能面臨多個威脅。在識別威脅時，我們主要從威脅源來識別出相對應的資產所面臨的威脅。識別出威脅后，綜合考慮威脅源的動機、能力和行為，對威脅進行評估。例如軟件企業中計算機面臨病毒、木馬攻擊的威脅，這種威脅動機、能力較強。

(3)識別評估脆弱性。

脆弱性可以理解為資產可以被某種威脅所利用的屬性，一種威脅可能利用一種或多種脆弱性而產生風險。我們從管理和技術兩個方面來識別脆弱性，通常采用文檔審核、人員訪談、現場檢查等方法。針對“識別評估威脅”中所舉例的威脅，軟件企業計算機可能存在未安裝殺毒軟件、防火墻或使用人員未及時升級病毒庫等脆弱性。

(4)識別評估控制措施。

在我們識別出威脅和脆弱性之后，我們要針對威脅利用脆弱性產生的風險，來識別組織自身是否已經采取控制措施，并采取敘述性數值的方式來描述已采取控制措施的有效性，評估的標準由組織進行制定，例如控制措施有效性可以定義進行如下定義和賦值：

①控制措施影響程度為“好”，賦值為“1”，該類控制措施已經對信息資產威脅和脆弱性起到良好的控制效果，能夠滿足公司的信息安全管理要求；

②控制措施影響程度為“中”，賦值為“2”，該類控制措施已經對信息資產威脅和脆弱性起到一定的控制效果，需要增加輔助的控制措施滿足公司信息安全管理要求；

③控制措施影響程度為“低”，賦值為“3”，該類控制措施已經對信息資產威脅和脆弱性未起到控制效果，需要重新制定新的控制措施滿足公司信息安全管理要求。

控制措施的有效性是我們風險評價的依據之一。

4．風險評價

風險評價是將風險與給定的風險準則加以比較以確定風險嚴重性的過程，其結果是具有不同等級的風險列表，目的是判斷特定的風險是否可接受或者是否需采取其他措施處置。風險評價主要包括以下幾個過程：

(1)分析評估可能性和影響。

“可能性”指威脅利用脆弱性的可能性，“影響”指威脅利用脆弱性后，對組織資產造成的影響。在分析可能性時，我們主要考慮威脅源的動機、能力和脆弱性的性質。在評估可能性時，依據組織制定的評估準則，對可能性進行描述，例如將可能性進行如下定義和賦值：

①可能性級別“高”，賦值為“1”，威脅源具有強烈動機和足夠的能力，防止脆弱性被利用的防護措施是無效的；

②可能性級別“中”，賦值為“0．5”，威脅源具有一定的動機和能力，但是已經部署的安全防護措施可以阻止對脆弱性的成功利用；

③可能性級別“低”，賦值為“0”，威脅源缺少動機和能力，或者已經部署的安全防護措施能夠防止——至少能大大地阻止對脆弱性的利用。

在分析影響時，我們主要考慮威脅源的能力、脆弱性的性質以及威脅利用脆弱性對組織資產保密性、可用性、完整性造成的損失。在評估影響時，同樣依據組織制定的評估準則，對影響進行描述，例如將影響進行如下定義和賦值：

①影響級別“高”，賦值為“l00”，該級別影響對脆弱性的利用：a．可能導致有形資產或資源的高成本損失；b．可能嚴重違犯、危害或阻礙單位的使命、聲譽或利益；c．可能導致人員死亡或者嚴重傷害；

②影響級別“中”，賦值為“50”，該級別影響對脆弱性的利用：a．可能導致有形資產或資源的損失．b．可能違犯、危害或阻礙單位使命、聲譽或利益-c．可能導致人員傷害。

③影響級別“低”，賦值為“10”，該級別影響對脆弱性的利用：a．可能導致某些有形資產或資源的損失；b．可能導致單位的使命、聲譽或利益造成值得注意的影響。

參考“風險分析”中的例子，病毒、木馬攻擊的動機、能力很強，員工很容易忽略對殺毒軟件病毒庫的升級，病毒、木馬攻擊很可能導致公司重要數據的丟失或損壞，那么這種威脅利用脆弱性的可能性就比較高，影響也比較高，均屬于“高”等級。

可能性和影響都是我們進行風險評價的依據。

(2)評價風險。

在評價風險時，我們需要考慮資產的重要度等級、已采取控制措施的有效性、可能性和影響，通常可以采取敘述性賦值后依據組織制定的評價方法進行計算的方式，計算出風險值，并根據組織制定的準則，將風險進行分級，例如將風險進行如下分級：

①“高”等級風險：如果被評估為高風險，那么便強烈要求有糾正措施。一個現有系統可能要繼續運行，但是必須盡快部署針對性計劃；

②“中”等級風險：如果被評估為中風險，那么便要求有糾正行動，必須在一個合理的時間段內制定有關計劃來實施這些行動；

③“低”等級風險：如果被評估為低風險，那么單位的管理層就必須確定是否還需要采取糾正行動或者是否接受風險。

5．風險處置。

風險處置是選擇并執行措施來更改風險的過程，其目的是將評價出的不可接受風險降低，包括以下幾個過程：

①行動優先級排序。

行動優先級排序主要依據風險級別進行，對于不可接受的高等級風險應最優先。

②評估建議的安全選項

評估建議的安全選項主要考慮安全選項的可行性和有效性。

③實施成本效益分析。

對建議的安全選項進行成本效益分析，幫助組織的管理人員找出成本有效性最好的安全控制措施。

④選擇控制措施。

在成本效益分析的基礎上，組織的管理人員應確定成本有效性最好的控制措施，來降低組織的風險。

⑤責任分配。

根據確定的控制措施，選擇擁有合適的專長和技能，能實現相應控制措施的人員，并賦以相關責任。

⑥制定控制措施的實施計劃。

明確控制措施的具體行動時間表。

⑦實現所選擇的安全防護措施。

根據各自不同的情況，所實現的安全防護措施可以降低風險級但不會根除風險，實現安全防護措施后仍然存在的風險為殘余風險，殘余風險需經過組織管理者批示，若組織管理者批準即為風險接受，若組織管理者批示不接受，則針對該風險重新進行風險評價、風險處置直到組織管理者表示風險接受為止。

6．總結

經過對信息安全風險管理整個過程的解析我們可以看出，風險管理主要包括風險評估和風險處置兩個過程，而風險評估又包括風險分析和風險評價兩個過程。風險管理最終針對評估出的風險采取相應的控制措施，所以說風險管理是建立ISMS基礎，也是建立ISMS的最重要環節之一。