前言：本站為你精心整理了軟件企業(yè)信息安全管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

編者按：本論文主要從信息是軟件企業(yè)的重要資源，是非常重要的“無形財富”等進行講述，包括了網(wǎng)絡共享與惡意代碼防控、信息化建設超速與安全規(guī)范不協(xié)調、信息產(chǎn)品國外引進與安全自主控制、IT產(chǎn)品單一性和大規(guī)模攻擊問題、IT產(chǎn)品類型繁多和安全管理滯后矛盾、IT系統(tǒng)復雜性和漏洞管理等，具體資料請見：

論文摘要：隨著軟件行業(yè)特別是軟件外包行業(yè)在國內的蓬勃發(fā)展，如何保證自身的信息安全成了擺在軟件企業(yè)面前的重要課題。文章通過對軟件企業(yè)現(xiàn)有信息安全問題的分析，提出了采用信息安全體系建設系統(tǒng)解決信息安全問題，著重闡述了信息安全風險管理的原理和方法在軟件行業(yè)中的應用。

論文關鍵詞：軟件企業(yè)；信息安全；風險管理

隨著國家大力推動軟件外包行業(yè)和IT行業(yè)的發(fā)展，軟件企業(yè)發(fā)展呈現(xiàn)良好態(tài)勢，在自身業(yè)務發(fā)展壯大的同時，軟件企業(yè)信息安全重要性日益凸顯。互聯(lián)網(wǎng)和IT技術的普及，使得應用信息突破了時間和空間上的障礙，信息的價值在不斷提高。但與此同時，網(wǎng)頁篡改、計算機病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務癱瘓、漏洞非法利用等信息安全事件時有發(fā)生。據(jù)公安部公共信息網(wǎng)絡安全監(jiān)察局的調查結果顯示，2007年5月～2008年5月間，有62．7％的被調查單位發(fā)生過信息網(wǎng)絡安全事件，其中，感染計算機病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網(wǎng)絡攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業(yè)的重要資源，是非常重要的“無形財富”，分析當前的信息安全問題，有如下典型的信息安全問題急需解決。

(1)網(wǎng)絡共享與惡意代碼防控。

網(wǎng)絡共享方便了不同用戶、不同部門、不同單位等之間的信息交換，但是，惡意代碼利用信息共享、網(wǎng)絡環(huán)境擴散等漏洞，影響越來越大。如果對惡意信息交換不加限制，將導致網(wǎng)絡的QoS下降，甚至系統(tǒng)癱瘓不可用。

(2)信息化建設超速與安全規(guī)范不協(xié)調。

網(wǎng)絡安全建設缺乏規(guī)范操作，常常采取“亡羊補牢”之策，導致信息安全共享難度遞增，也留下安全隱患。

(3)信息產(chǎn)品國外引進與安全自主控制。

國內信息化技術嚴重依賴國外，從硬件到軟件都不同程度地受制于人。目前，國外廠商的操作系統(tǒng)、數(shù)據(jù)庫、中間件、辦公文字處理軟件、瀏覽器等基礎性軟件都大量地部署在國內的關鍵信息系統(tǒng)中。但是這些軟件或多或少存在一些安全漏洞，使得惡意攻擊者有機可乘。目前，我們國家的大型網(wǎng)絡信息系統(tǒng)許多關鍵信息產(chǎn)品長期依賴于國外，一旦出現(xiàn)特殊情況，后果就不堪設想。

(4)IT產(chǎn)品單一性和大規(guī)模攻擊問題。

信息系統(tǒng)中軟硬件產(chǎn)品單一性，如同一版本的操作系統(tǒng)、同一版本的數(shù)據(jù)庫軟件等，這樣一來攻擊者可以通過軟件編程，實現(xiàn)攻擊過程的自動化，從而常導致大規(guī)模網(wǎng)絡安全事件的發(fā)生，例如網(wǎng)絡蠕蟲、計算機病毒、”零日”攻擊等安全事件。

(5)IT產(chǎn)品類型繁多和安全管理滯后矛盾。

目前，信息系統(tǒng)部署了眾多的IT產(chǎn)品，包括操作系統(tǒng)、數(shù)據(jù)庫平臺、應用系統(tǒng)。但是，不同類型的信息產(chǎn)品之間缺乏協(xié)同，特別是不同廠商的產(chǎn)品，不僅產(chǎn)品之問安全管理數(shù)據(jù)缺乏共享，而且各種安全機制缺乏協(xié)同，各產(chǎn)品缺乏統(tǒng)一的服務接口，從而造成信息安全工程建設困難，系統(tǒng)中安全功能重復開發(fā)，安全產(chǎn)品難以管理，也給信息系統(tǒng)管理留下安全隱患。

(6)IT系統(tǒng)復雜性和漏洞管理。

多協(xié)議、多系統(tǒng)、多應用、多用戶組成的網(wǎng)絡環(huán)境，復雜性高，存在難以避免的安全漏洞。由于管理、軟件工程難度等問題，新的漏洞不斷地引入到網(wǎng)絡環(huán)境中，所有這些漏洞都將可能成為攻擊切入點，攻擊者可以利用這些漏洞入侵系統(tǒng)，竊取信息。為了解決來自漏洞的攻擊，一般通過打補丁的方式來增強系統(tǒng)安全。但是，由于系統(tǒng)運行不可間斷性及漏洞修補風險不可確定性，即使發(fā)現(xiàn)網(wǎng)絡系統(tǒng)存在安全漏洞，系統(tǒng)管理員也不敢輕易地安裝補丁。特別是大型的信息系統(tǒng)，漏洞修補是一件極為困難的事。因為漏洞既要做到修補，又要能夠保證在線系統(tǒng)正常運行。

(7)攻擊突發(fā)性和防范響應滯后。

網(wǎng)絡攻擊者常常掌握主動權，而防守者被動應付。攻擊者處于暗處，而攻擊目標則處于明處。以漏洞的傳播及利用為例，攻擊者往往先發(fā)現(xiàn)系統(tǒng)中存在的漏洞，然后開發(fā)出漏洞攻擊工具，最后才是防守者提出漏洞安全對策。

(8)口令安全設置和口令易記性難題。

在一個網(wǎng)絡系統(tǒng)中．每個網(wǎng)絡服務或系統(tǒng)都要求不同的認證方式，用戶需要記憶多個口令，據(jù)估算，用戶平均至少需要四個口令，特別是系統(tǒng)管理員，需要記住的口令就更多，例如開機口令、系統(tǒng)進入口令、數(shù)據(jù)庫口令、郵件口令、telnet口令、FTP口令、路由器口令、交換機口令等。按照安全原則，口令設置既要求復雜，而且口令長度要足夠長，但是口令復雜則記不住，因此，用戶選擇口令只好用簡單的、重復使用的口令，以便于保管，這樣一來攻擊者只要猜測到某個用戶的口令，就極有可能引發(fā)系列口令泄露事件。

(9)遠程移動辦公和內網(wǎng)安全。

隨著網(wǎng)絡普及，移動辦公人員在大量時間內需要從互聯(lián)網(wǎng)上遠程訪問內部網(wǎng)絡。由于互聯(lián)網(wǎng)是公共網(wǎng)絡，安全程度難以得到保證，如果內部網(wǎng)絡直接允許遠程訪問，則必然帶來許多安全問題，而且移動辦公人員計算機又存在失竊或被非法使用的可能性。“既要使工作人員能方便地遠程訪問內部網(wǎng)，又要保證內部網(wǎng)絡的安全”就成了一個許多單位都面臨的問題。

(10)內外網(wǎng)絡隔離安全和數(shù)據(jù)交換方便性。

由于網(wǎng)絡攻擊技術不斷增強，惡意入侵內部網(wǎng)絡的風險性也相應急劇提高。網(wǎng)絡入侵者可以涉透到內部網(wǎng)絡系統(tǒng)，竊取數(shù)據(jù)或惡意破壞數(shù)據(jù)。同時，內部網(wǎng)的用戶因為安全意識薄弱，可能有意或無意地將敏感數(shù)據(jù)泄漏出去。為了實現(xiàn)更高級別的網(wǎng)絡安全，有的安全專家建議，“內外網(wǎng)及上網(wǎng)計算機實現(xiàn)物理隔離，以求減少來自外網(wǎng)的威脅。”但是，從目前網(wǎng)絡應用來說，許多企業(yè)或機構都需要從外網(wǎng)采集數(shù)據(jù)，同時內網(wǎng)的數(shù)據(jù)也需要到外網(wǎng)上。因此，要想完全隔離開內外網(wǎng)并不太現(xiàn)實，網(wǎng)絡安全必須既要解決內外網(wǎng)數(shù)據(jù)交換需求，又要能防止安全事件出現(xiàn)。

(11)業(yè)務快速發(fā)展與安全建設滯后。

在信息化建設過程中，由于業(yè)務急需要開通，做法常常是“業(yè)務優(yōu)先，安全滯后”，使得安全建設缺乏規(guī)劃和整體設計，留下安全隱患。安全建設只能是亡羊補牢，出了安全事件后才去做。這種情況，在企業(yè)中表現(xiàn)得更為突出，市場環(huán)境的動態(tài)變化，使得業(yè)務需要不斷地更新，業(yè)務變化超過了現(xiàn)有安全保障能力。

(12)網(wǎng)絡資源健康應用與管理手段提升。

復雜的網(wǎng)絡世界，充斥著各種不良信息內容，常見的就是垃圾郵件。在一些企業(yè)單位中，網(wǎng)絡的帶寬資源被員工用來在線聊天，瀏覽新聞娛樂、股票行情、色情網(wǎng)站，這些網(wǎng)絡活動嚴重消耗了帶寬資源，導致正常業(yè)務得不到應有的資源保障。但是，傳統(tǒng)管理手段難以適應虛擬世界，網(wǎng)絡資源管理手段必須改進，要求能做到“可信、可靠、可視、可控”。

(13)信息系統(tǒng)用戶安全意識差和安全整體提高困難。

目前，普遍存在“重產(chǎn)品、輕服務，重技術、輕管理，重業(yè)務、輕安全”的思想，“安全就是安裝防火墻，安全就是安裝殺毒軟件”，人員整體信息安全意識不平衡，導致一些安全制度或安全流程流于形式。典型的事例如下：用戶選取弱口令，使得攻擊者可以從遠程直接控制主機；用戶開放過多網(wǎng)絡服務，例如：網(wǎng)絡邊界沒有過濾掉惡意數(shù)據(jù)包或切斷網(wǎng)絡連接，允許外部網(wǎng)絡的主機直接“ping”內部網(wǎng)主機，允許建立空連接；用戶隨意安裝有漏洞的軟件包；用戶直接利用廠家缺省配置；用戶泄漏網(wǎng)絡安全敏感信息，如DNS服務配置信息。

(14)安全崗位設置和安全管理策略實施難題。

根據(jù)安全原則，一個系統(tǒng)應該設置多個人員來共同負責管理，但是受成本、技術等限制，一個管理員既要負責系統(tǒng)的配置，又要負責安全管理，安全設置和安全審計都是“一肩挑”。這種情況使得安全權限過于集中，一旦管理員的權限被人控制，極易導致安全失控。

(15)信息安全成本投入和經(jīng)濟效益回報可見性。

由于網(wǎng)絡攻擊手段不斷變化，原有的防范機制需要隨著網(wǎng)絡系統(tǒng)環(huán)境和攻擊適時而變，因而需要不斷地進行信息安全建設資金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所產(chǎn)生的經(jīng)濟效益往往是間接的，不容易讓人清楚明白，從而造成企業(yè)領導人的誤判，進而造成信息安全建設資金投入困難。這樣一來，信息安全建設投入往往是“事后”進行，即當安全事件產(chǎn)生影響后，企業(yè)領導人才會意識安全的重要性。這種做法造成信息安全建設缺乏總體規(guī)劃，基本上是“頭痛醫(yī)頭，腳痛醫(yī)腳”，信息網(wǎng)絡工作人員整天疲于奔命，成了“救火隊員”。

為了解決信息安全問題，保護企業(yè)信息的安全，建立實施信息安全管理體系是非常有效的途徑。無論是自身發(fā)展需求還是國際國內客戶的要求，越來越多的軟件企業(yè)希望或已經(jīng)建立實施信息安全管理體系。如何提高組織的信息安全，通過建設信息安全管理體系中降低組織存在的信息安全風險的方法，來提高組織信息的安全性。由此可見信息安全風險管理，是我們建立信息安全管理體系的一個重要環(huán)節(jié)，也是信息安全管理體系建立的基礎。下面我們著重探討在軟件企業(yè)中的信息安全風險管理。

1．信息安全風險管理概述

我們將標識、控制和消除可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程稱之為風險管理，風險管理被認為是良好管理的一個組成部分，

2．確定范圍

在建立信息安全管理體系之初，根據(jù)業(yè)務、組織、位置、資產(chǎn)和技術等方面的特性，我們確定了組織ISMS的范圍，那么風險管理的范圍應該和我們確定的ISMS的范圍相一致。在軟件企業(yè)中，我們要將企業(yè)的業(yè)務流程、組織架構、覆蓋地址、信息系統(tǒng)、相關資產(chǎn)等都納入到風險管理的范圍當中

3．風險分析

風險分析是標識安全風險，確定其大小和標識需要保護措施地區(qū)域的過程，其目的是分離可接受的小風險和不能接受的大風險，為風險評價和風險處置提供數(shù)據(jù)。風險分析主要有定性分析方法和定量分析方法兩種。定性分析方法是最廣泛使用的風險分析方法，主要采用文字形式或敘述性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性，相對于威脅發(fā)生的可能性，該方法通常更關注威脅事件帶來的損失。定性分析方法在后果和可能性分析中采用數(shù)值(不是定性分析中所使用的敘述性數(shù)值范圍)，并采用從不同來源中得到的數(shù)據(jù)進行分析，其主要步驟集中在現(xiàn)場調查階段，針對系統(tǒng)關鍵資產(chǎn)進行定量的調查、分析，為后續(xù)評估工作提供參考數(shù)據(jù)。在軟件企業(yè)進行風險分析時，因為定量分析方法中的數(shù)值、數(shù)據(jù)不易獲取，我們通常采用定性分析方法。風險分析又包括以下4個方面，針對定性分析方法，具體過程如下：

(1)識別評估資產(chǎn)。

在ISMS中所識別評估的資產(chǎn)有別于常見的固定資產(chǎn)，這里的資產(chǎn)主要指信息、信息處理設施和信息使用者。在識別資產(chǎn)時，我們需要選擇適合的分類原則和識別粒度。在軟件企業(yè)中，通常把資產(chǎn)劃分為硬件、軟件等方面，還需要對這些方面進行細分，也就是進行二級分類。

在評估資產(chǎn)時，我們要從信息的三個屬性即保密性、完整性和可用性來評估資產(chǎn)的重要度等級。資產(chǎn)的重要度等級是我們進行風險評價的依據(jù)之一。資產(chǎn)重要度等級可以按如下定義和賦值：

①資產(chǎn)屬于“高”等級重要度，賦值為“3”，該類信息資產(chǎn)若發(fā)生泄露、損壞、丟失或無法使用，會給公司造成嚴重或無法挽回的經(jīng)濟損失；

②資產(chǎn)屬于“中”等級重要度，賦值為“2”，該類信息資產(chǎn)若發(fā)生泄露、損壞、丟失或無法使用，會給公司造成一定的經(jīng)濟損失；

③資產(chǎn)屬于“低”等級重要度，賦值為“1”，該類信息資產(chǎn)若發(fā)生泄露、損壞、丟失或無法使用，會給公司造成輕微的經(jīng)濟損失。

(2)識別評估威脅。

我們應該清楚威脅一定是與資產(chǎn)相對應的，某一資產(chǎn)可能面臨多個威脅。在識別威脅時，我們主要從威脅源來識別出相對應的資產(chǎn)所面臨的威脅。識別出威脅后，綜合考慮威脅源的動機、能力和行為，對威脅進行評估。例如軟件企業(yè)中計算機面臨病毒、木馬攻擊的威脅，這種威脅動機、能力較強。

(3)識別評估脆弱性。

脆弱性可以理解為資產(chǎn)可以被某種威脅所利用的屬性，一種威脅可能利用一種或多種脆弱性而產(chǎn)生風險。我們從管理和技術兩個方面來識別脆弱性，通常采用文檔審核、人員訪談、現(xiàn)場檢查等方法。針對“識別評估威脅”中所舉例的威脅，軟件企業(yè)計算機可能存在未安裝殺毒軟件、防火墻或使用人員未及時升級病毒庫等脆弱性。

(4)識別評估控制措施。

在我們識別出威脅和脆弱性之后，我們要針對威脅利用脆弱性產(chǎn)生的風險，來識別組織自身是否已經(jīng)采取控制措施，并采取敘述性數(shù)值的方式來描述已采取控制措施的有效性，評估的標準由組織進行制定，例如控制措施有效性可以定義進行如下定義和賦值：

①控制措施影響程度為“好”，賦值為“1”，該類控制措施已經(jīng)對信息資產(chǎn)威脅和脆弱性起到良好的控制效果，能夠滿足公司的信息安全管理要求；

②控制措施影響程度為“中”，賦值為“2”，該類控制措施已經(jīng)對信息資產(chǎn)威脅和脆弱性起到一定的控制效果，需要增加輔助的控制措施滿足公司信息安全管理要求；

③控制措施影響程度為“低”，賦值為“3”，該類控制措施已經(jīng)對信息資產(chǎn)威脅和脆弱性未起到控制效果，需要重新制定新的控制措施滿足公司信息安全管理要求。

控制措施的有效性是我們風險評價的依據(jù)之一。

4．風險評價

風險評價是將風險與給定的風險準則加以比較以確定風險嚴重性的過程，其結果是具有不同等級的風險列表，目的是判斷特定的風險是否可接受或者是否需采取其他措施處置。風險評價主要包括以下幾個過程：

(1)分析評估可能性和影響。

“可能性”指威脅利用脆弱性的可能性，“影響”指威脅利用脆弱性后，對組織資產(chǎn)造成的影響。在分析可能性時，我們主要考慮威脅源的動機、能力和脆弱性的性質。在評估可能性時，依據(jù)組織制定的評估準則，對可能性進行描述，例如將可能性進行如下定義和賦值：

①可能性級別“高”，賦值為“1”，威脅源具有強烈動機和足夠的能力，防止脆弱性被利用的防護措施是無效的；

②可能性級別“中”，賦值為“0．5”，威脅源具有一定的動機和能力，但是已經(jīng)部署的安全防護措施可以阻止對脆弱性的成功利用；

③可能性級別“低”，賦值為“0”，威脅源缺少動機和能力，或者已經(jīng)部署的安全防護措施能夠防止——至少能大大地阻止對脆弱性的利用。

在分析影響時，我們主要考慮威脅源的能力、脆弱性的性質以及威脅利用脆弱性對組織資產(chǎn)保密性、可用性、完整性造成的損失。在評估影響時，同樣依據(jù)組織制定的評估準則，對影響進行描述，例如將影響進行如下定義和賦值：

①影響級別“高”，賦值為“l(fā)00”，該級別影響對脆弱性的利用：a．可能導致有形資產(chǎn)或資源的高成本損失；b．可能嚴重違犯、危害或阻礙單位的使命、聲譽或利益；c．可能導致人員死亡或者嚴重傷害；

②影響級別“中”，賦值為“50”，該級別影響對脆弱性的利用：a．可能導致有形資產(chǎn)或資源的損失．b．可能違犯、危害或阻礙單位使命、聲譽或利益-c．可能導致人員傷害。

③影響級別“低”，賦值為“10”，該級別影響對脆弱性的利用：a．可能導致某些有形資產(chǎn)或資源的損失；b．可能導致單位的使命、聲譽或利益造成值得注意的影響。

參考“風險分析”中的例子，病毒、木馬攻擊的動機、能力很強，員工很容易忽略對殺毒軟件病毒庫的升級，病毒、木馬攻擊很可能導致公司重要數(shù)據(jù)的丟失或損壞，那么這種威脅利用脆弱性的可能性就比較高，影響也比較高，均屬于“高”等級。

可能性和影響都是我們進行風險評價的依據(jù)。

(2)評價風險。

在評價風險時，我們需要考慮資產(chǎn)的重要度等級、已采取控制措施的有效性、可能性和影響，通常可以采取敘述性賦值后依據(jù)組織制定的評價方法進行計算的方式，計算出風險值，并根據(jù)組織制定的準則，將風險進行分級，例如將風險進行如下分級：

①“高”等級風險：如果被評估為高風險，那么便強烈要求有糾正措施。一個現(xiàn)有系統(tǒng)可能要繼續(xù)運行，但是必須盡快部署針對性計劃；

②“中”等級風險：如果被評估為中風險，那么便要求有糾正行動，必須在一個合理的時間段內制定有關計劃來實施這些行動；

③“低”等級風險：如果被評估為低風險，那么單位的管理層就必須確定是否還需要采取糾正行動或者是否接受風險。

5．風險處置。

風險處置是選擇并執(zhí)行措施來更改風險的過程，其目的是將評價出的不可接受風險降低，包括以下幾個過程：

①行動優(yōu)先級排序。

行動優(yōu)先級排序主要依據(jù)風險級別進行，對于不可接受的高等級風險應最優(yōu)先。

②評估建議的安全選項

評估建議的安全選項主要考慮安全選項的可行性和有效性。

③實施成本效益分析。

對建議的安全選項進行成本效益分析，幫助組織的管理人員找出成本有效性最好的安全控制措施。

④選擇控制措施。

在成本效益分析的基礎上，組織的管理人員應確定成本有效性最好的控制措施，來降低組織的風險。

⑤責任分配。

根據(jù)確定的控制措施，選擇擁有合適的專長和技能，能實現(xiàn)相應控制措施的人員，并賦以相關責任。

⑥制定控制措施的實施計劃。

明確控制措施的具體行動時間表。

⑦實現(xiàn)所選擇的安全防護措施。

根據(jù)各自不同的情況，所實現(xiàn)的安全防護措施可以降低風險級但不會根除風險，實現(xiàn)安全防護措施后仍然存在的風險為殘余風險，殘余風險需經(jīng)過組織管理者批示，若組織管理者批準即為風險接受，若組織管理者批示不接受，則針對該風險重新進行風險評價、風險處置直到組織管理者表示風險接受為止。

6．總結

經(jīng)過對信息安全風險管理整個過程的解析我們可以看出，風險管理主要包括風險評估和風險處置兩個過程，而風險評估又包括風險分析和風險評價兩個過程。風險管理最終針對評估出的風險采取相應的控制措施，所以說風險管理是建立ISMS基礎，也是建立ISMS的最重要環(huán)節(jié)之一。