IT运营风险评估

风险评估在IT运营管理中的应用摘要本文概括性阐述了风险评估工作在保险类行业中的运营管理模式，简要说明了风险评估工作中所包含的几个基本工作阶段和各阶段所需要注意的项目要点，在如何把风险评估工作的各项流程融合到企业IT治理的大环境、大框架中，如何使用风险控制的管理思路，改善企业IT基础架构的运营方面，做出了一定的探索和思考。1、项目背景太平人寿保险有限公司是经国务院同意，中国保险监督管理委员会批准的第六家全国性寿险公司，自从2002年全面恢复国内经营人身保险业务以来，被誉为中国保险界的一颗新星。随着国家近年来对保险市场的大力推动和发展，保险行业开始进入迅猛发展的阶段。作为企业正常业务支撑基础设施的IT基础架构，也面临着新的挑战。一方面IT基础设施在企业业务开展的过程中作用越来越重大，大量的核心和支持业务系统都运行在IT设施上；另一方面，IT设施的建设也必须能够迅速平稳的发展，才能够稳健的支持企业传统业务的升级和新业务的拓展。在这样的前提下，IT设施的运营保障开始成为企业巩固和发展的核心议题之一，诸如IT安全保障和业务持续性计划之类的问题成为IT系统运营管理方面的主要任务。为了对太平人寿的信息安全建设进行整体的规划，太平人寿经过长时间的调研、考察和交流，昀终选择了天融信网络安全技术有限公司作为未来在信息安全方面的合作伙伴，并且和太平人寿共同做好风险评估、风险控制和安全战略规划等方面的工作。在本次项目中，天融信公司作为太平人寿的安全顾问对现有的信息系统进行了一次全面的安全风险评估，通过这次安全评估，充分分析了太平人寿目前安全现状和现有信息系统中存在的各种安全风险，并以此为依据和太平人寿共同制定了未来几年信息安全规划。2、组织现状太平人寿保险有限公司是一家全国性的寿险经营企业，在国内复业几年以来，迅速根据国内的市场情况推出了多种保险受理业务，遍布全国的分支机构也发展到数十个。在公司业务发展和开拓的过程中，IT基础设施良好的支撑公诉主要业务的运作，同时随着业务发展，IT基础设施的建设也在迅速扩展，并且越来越深的结合到企业的核心业务运营过程中。到今天，太平人寿已经建立了横跨全国十几个城市的广域网络，实现了各地营业部的业务数据集中化管理，建立了一个数据中心，包含数十个业务系统和上百台台服务器，并且目前正在••紧锣密鼓的进行业务持续性计划的建设中。作为一家寿险公司，太平人寿的主要业务是为客户提供人寿保险服务，为保障业务的快速发展，适应市场的激烈竞争，必须大力推进信息化建设。通过普遍采用IT技术让自动化运营流程替代手工流程，逐步实现运营大集中和业务管理及决策信息化。总而言之，太平人寿对信息技术的依赖性将越来越高。在企业发展的过程中，太平人寿管理层早已已充分认识到信息安全的重要性，并意识到信息安全不仅仅是负责IT工作的部门的责任，也是公司所有部门、员工的责任，因此之前太平人寿在IT管理和信息安全方面也做了很多工作。在管理制度方面，太平人寿制定了《太平人寿信息系统安全管理办法》、《太平人寿计算机网络管理暂行规定》、《太平人寿机房管理暂行规定》、《太平人寿计算机病毒防范管理办法》和《太平人寿邮件系统管理办法》等信息安全管理制度。在信息系统架构上，太平人寿的业务信息系统采用了数据大集中的模式，这种模式的好处在于，业务数据集中，通过有效的安全措施可以确保的数据的一致性和完整性，对公司业务的快速拓展提供了有力的支持。在业务系统生命周期管理上，子业务系统在平台的选取上多数采用UNIX/Linux+Oracle的架构，此架构保证了一定的信息安全性。在子业务系统的开发过程中，对测试数据和源代码进行了严格的保护和控制。当前所有关键的的IT设备和数据服务器都集中存放于数据中心机房，机房安装有门禁系统和监控设备，能有效地阻止未授权访问。在网络架构上，进行了比较良好的网络拓扑规划，同时在主要边界和隔离节点上合理部署了防火墙、IDS等安全设备。通过以上一些方面的规划设计和安全措施，在一定程度上保障了整个信息系统的安全和稳定运行。这从太平人寿的信息安全历史数据也可以看出，在太平人寿的历史上从未出现过影响比较重大的安全事件，证明这些安全措施还是起到了很好的实际作用的。但是同是也需要认识到，由于缺乏完整的信息系统架构规划和安全保障计划，在信息安全的建设过程中没有总体指导方针，往往是在业务系统的建设过程中随应而上的，因此在某些方面存在一些缺陷和漏洞。并且随着业务系统规模的进一步扩大，各信息子系统之间的安全策略一致性、相容性、可实施性将受到比较大的影响。缺乏统一的安全规划，在未来的安全建设中难免会出现头痛医头、脚痛医脚的状况，这对整个信息系统的正常运营乃至信息系统对常规业务的支撑都是非常不利的。随着业务的快速发展，IT基础设施的核心地位提升，太平人寿管理层迫切地感到，在IT基础设施运营方面需要一套全面的、稳固的、具有发展性眼光的完整安全体系作为信息安全管理工作的指导和支撑，才能应付瞬息万变的网络安全态势，在安全保障的战役中立于不败之地。在逐步完善企业安全架构和IT治理框架的过程中，太平人寿希望能够找到一种合适的方法，明确清晰地分析出信息系统的安全现状、潜在风险和可能的影响，并以此为改进需求••的蓝本，规划出未来几年内信息系统的安全架构和方针策略。作为规划过程的重要起始步骤，信息系统风险评估能够分析出信息系统的安全现状和潜在风险，从而为后来的安全规划提供依据和指导，信息系统风险评估是一项重要而且不可缺少的工作。3、项目目标和原则太平人寿作为一家金融服务企业，对信息系统的安全性有着很高的要求。从理论上来讲，要消除太平人寿的目前所有安全风险是不切实际的，甚至也是不可能的。因为所要求的安全级别越高，在安全上花费的成本也会越高，同时高级别的安全设置也会导致系统运行的性能受到一定的影响，所以我们建议运用昀小成本方法来实现昀合适的安全控制，将风险降低到一个可接受的级别。本次规划的目标是围绕信息系统安全的远景趋势和架构设计而制定，主要目标就是在保证信息安全的三要素（保密性、完整性和可用性）的前提下，建立健全企业信息安全组织和信息安全管理制度，完善各种信息安全技术防护体系，通过管理、技术、运维等多个方面，贯穿信息系统的规划、建设、交付、运行、废弃的完整生命周期，确保太平人寿信息系统安全、稳定、可靠的运行，为实现太平人寿的企业目标和使命服务。在这样的使命要求下，作为一项严谨的系统性工程，太平人寿也对评估的过程控制和方法方式提出了一些原则性要求。宏观性原则本次风险评估是分析信息安全的远景趋势，并建立未来的信息安全架构，这要求评估工作必须具有长远的眼光，立足在更高的层次上，进行信息安全的宏观性分析。整体性原则风险评估工作作为建立安全体系框架的决策性依据，企业的信息安全目标必须符合本组织的总体战略，要求能够全面、完整的评估信息系统安全现状，绝不能以偏概全、管中窥豹的看问题。扩展性原则风险评估工作不仅是建立安全体系框架的一个关键步骤，也是贯穿在整个信息系统安全建设周期中的一项重要周期性工作。作为一项循环的持续性工作，这要求风险评估的过程不仅要实现统一化、规范化，还要具有良好的模块化特性和通用型，这样随着信息系统的完善壮大，风险评估工作才能够良好的应用和推广到新建设的分支机构和业务系统中，实现整个组织安全策略建设的一致性、完整性。延续性原则风险评估工作是一项系统工程，它并不是一成不变的固定模式。在安全建设的过程中，风险评估的流程也必须能够不断的完善和改进，才能更加贴近企业的管理文化和业务特色。并且随着信息系统的建设和进化，风险评估工作也必须能够不断接受新思想、新思路，跟随技术现状的进步而发展。••适用性原则信息安全风险的控制，应当是全方位的，它涉及到企业内部的每一个人、每一条方针、每一个业务模块。因此风险评估的过程必须能够切合务实的贴近企业实际情况，能够结合企业常规业务的具体特点，能够做到游刃有余的细致分析。4、评估对象和范围本次评估的范围是太平人寿信息安全所需覆盖的全部内容，包括总公司和各地分公司的所有信息系统软硬件的安全及所涉及到的相关人员、制度和流程等等。在整个项目过程中，太平人寿和天融信紧密结合，精诚合作，通过资产识别和资产价值评估、资产威胁评估、资产脆弱性评估、和综合风险分析等阶段，从管理、运行、技术三个方面，全方位的分析了企业信息系统的风险现状。在本次项目对照的评估范围中，天融信按照国际安全标准ISO17799十大管理要项分析了太平人寿的安全管理现状，同时对包括所有数十台核心层、汇聚层、接入层和广域网连接的网络设备、近百台业务系统服务器、办公工作站PC共数百台的技术弱点评估。在管理安全方面评估了信息安全策略、组织安全、资产的分类和控制、个人安全、物理和环境安全、通信和操作管理、访问控制、系统的开发和维护、业务连续性管理、策略一致性等十个重要方面。安全策略（Securitypolicy）的目标是管理层制定一套清晰的策略指导，为信息安全提供管理性的指导和支持。组织安全（Organizationsecurity）的目标是管理组织内的信息安全；维护组织内被第三方访问的信息处理设备和信息资产的安全；维护信息处理外包给另外一个组织时信息的安全。资产的分类和控制（Assetclassificationandcontrol）的目标是为组织的资产提供适当的保护；确保信息资产得到了适当级别的保护。个人安全（Personnelsecurity）的目标是减少人为错误、盗窃、欺诈或设备误用造成的风险；确保用户意识到信息安全的威胁和利害关系，并做好准备在日常工作过程中支持组织的安全策略；把安全事件和故障造成的破坏降低到昀低，监控并从事件中汲取教训。物理和环境安全（Physicalandenvironmentalsecurity）的目标是防止对商业基础设施和信息的非授权访问、破坏和干扰；防止资产损失、被破坏和商业活动的中断；防止对信息和信息处理设备的盗窃和损坏。通信和操作管理（Communicationsandoperationsmanagement）的目标是确保信息处理设备正确、安全的运行；将系统故障的风险降到昀低；保护软件和信息的完整性；维护信息处理和通信服务的完整性和可用性；确保网络中信息的安全和基础支撑设施的安全；控制并从物理上保护介质来防止资产损坏、商业活动的中断；••防止组织间进行信息交换时信息的丢失、被修改和误用。访问控制（Accesscontrol）的目标是控制对信息的访问；防止对信息系统的未授权访问；防止未授权用户的访问；保护网络服务；防止未授权的计算机访问；防止对信息系统内信息的未授权访问；探测未经授权的活动；确保移动办公和远程工作的安全。系统的开发和维护（Systemdevelopmentandmaintenance）的目标是确保将安全融入信息系统的组成部分；防止应用软件系统中用户数据的丢失、改动或误用；保护信息的机密性、源认证和完整性；确保IT支持活动在安全的方式下进行并控制对系统文件的访问；维护应用程序系统软件和信息的安全。业务连续性管理（Businesscontinuitymanagement）的目标是抵抗商业活动的中断并防止关键商业流程受到重大故障或灾难的影响。策略一致性（Compliance）的目标是避免违反任何刑法和民法、法定的或者合同约定的义务、安全要求；确保系统符合组织的安全策略和标准；昀大化审计的效果，并昀小化影响审计和审计造成的干扰。在技术性评估方面，天融信结合渗透测试、远程漏洞扫描、本地安全策略分析和漏洞检查等多种白盒和黑盒测试手段相结合，分别对十多个业务系统所属的网络设备基础设施、操作系统、数据库、数据中间件、应用服务器平台、应用软件进行了多层次、全方位的完整技术评估，并针对发现的漏洞提出解决方案或改进建议。操作系统脆弱性评估整个信息系统中的七十多台各平台服务器操作系统（WindowsServer2000、RedhatLinux9.0、RedhatLinuxAS2.1/3.0、Aix5.0）进行了远程和本地漏洞扫描，并检查了本地安全的完