400-626-7377信息安全管理中的安全系統(tǒng)開(kāi)發(fā)生命周期分析階段之一
分析階段
分析階段將對(duì)調(diào)查階段的文檔進(jìn)行研究。在調(diào)查階段,開(kāi)發(fā)小組對(duì)現(xiàn)存的系統(tǒng)安全策略或安全計(jì)劃方案進(jìn)行初步的分析,并記錄了當(dāng)前的威脅和相關(guān)的控制。該階段也對(duì)有關(guān)的法規(guī)進(jìn)行了分析,這些法規(guī)將影響安全解決方案的設(shè)計(jì)。 在決定是否采用那些用于管理公眾個(gè)人信息的系統(tǒng)時(shí),隱私法越來(lái)越成為主要的考慮因素。最近,許多國(guó)家的立法機(jī)構(gòu)已把那些過(guò)去不受任何管制的某些計(jì)算機(jī)活動(dòng)定為不合法,因此詳細(xì)地理解這些法規(guī)是至關(guān)重要的。
風(fēng)險(xiǎn)管理也在該階段開(kāi)始。風(fēng)險(xiǎn)管理過(guò)程主要是識(shí)別、評(píng)定、估計(jì)機(jī)構(gòu)所面臨的風(fēng)險(xiǎn)等級(jí),特別是對(duì)機(jī)構(gòu)安全和他所存儲(chǔ)加工的信息的威脅。中國(guó)的兵法大師孫子的話值得我們深思:知己知彼,百戰(zhàn)不殆;不知彼而知己,一勝一負(fù);不知彼不知己,每戰(zhàn)必?cái) ?/p>
把了解敵人作為分析過(guò)程的開(kāi)始。在信息安全工作中,敵人就是系統(tǒng)面對(duì)的威脅和攻擊,特別是當(dāng)給機(jī)構(gòu)和用戶提供服務(wù)的時(shí)候。
為了更好地理解安全系統(tǒng)開(kāi)發(fā)生命周期( SecSDLC)的分析階段,應(yīng)當(dāng)了解相互聯(lián)系的信息技術(shù)領(lǐng)域內(nèi)機(jī)構(gòu)所面對(duì)的各種威脅。在這種環(huán)境下,威脅可以是一 個(gè)對(duì)象、一個(gè)人或其他的實(shí)體,它們都帶給資產(chǎn)持續(xù)的危險(xiǎn)。盡管每個(gè)企業(yè)對(duì)威脅的分類幾乎都不同,但他們都對(duì)其做了相對(duì)較好的研究和理解。為了更好地理解機(jī)構(gòu)所面對(duì)的大量威脅,需要對(duì)威脅的活動(dòng)特點(diǎn)進(jìn)行分類。該模型由12個(gè)一 般分類組成,它們代表了現(xiàn)在對(duì)機(jī)構(gòu)信息和系統(tǒng)安全的各種威脅,下面分別列出了每一種風(fēng)險(xiǎn)。
人為出錯(cuò)或失敗。這類風(fēng)險(xiǎn)并不是有人故意為之或懷有惡意。當(dāng)人們操作信息系統(tǒng)時(shí),一些錯(cuò)誤時(shí)有發(fā)生;缺乏經(jīng)驗(yàn),訓(xùn)練不當(dāng),做出了錯(cuò)誤的假設(shè)以及其他的情形都可能導(dǎo)致這些問(wèn)題。
損害知識(shí)產(chǎn)權(quán)。知識(shí)產(chǎn)權(quán)所有者有權(quán)控制屬于他的知識(shí),也有權(quán)控制它們的有形或無(wú)形的代表物。與一個(gè)機(jī)構(gòu)的知識(shí)產(chǎn)權(quán)有關(guān)的信息對(duì)于該機(jī)構(gòu)的競(jìng)爭(zhēng)者來(lái)說(shuō)具有很大的利益,因而這些信息有可能被意外地或故意地散布到機(jī)構(gòu)之外。
故意的偵探和入侵行為。這種威脅包括多種電子入侵活動(dòng)和人為破壞,它們能破壞信息的機(jī)密性。當(dāng)未授權(quán)者獲得了一個(gè)機(jī)構(gòu)被保護(hù)信息的訪問(wèn)權(quán),這種行為就是故意的偵探和入侵行為。
故意的信息敲詐行為。信息敲詐一般發(fā)生在這樣一種情形,系統(tǒng)攻擊者或是以前受信任的內(nèi)部人員從計(jì)算機(jī)系統(tǒng)中偷竊信息,并要求補(bǔ)償以與之交換,或者, 威脅該機(jī)構(gòu)達(dá)成某種協(xié)議否則泄露此信息,這種事件在信用卡號(hào)碼被盜案中時(shí)有發(fā)生。
故意的惡意破壞行為。這種威脅來(lái)于_些個(gè)人或機(jī)構(gòu)的惡意破壞活動(dòng),這些人或者陰謀破壞計(jì)算機(jī)系統(tǒng)或業(yè)務(wù)的正常操作,或者故意毀壞企業(yè)資產(chǎn),損害企業(yè)形象。這些威脅有的來(lái)自員工的小規(guī)模破壞,有的是機(jī)構(gòu)外的個(gè)人或機(jī)構(gòu)的Web網(wǎng)頁(yè)破壞活動(dòng)。
蓄意的盜竊行為。盜竊是指非法獲取他人財(cái)產(chǎn),不管是實(shí)物財(cái)產(chǎn)、電子財(cái)產(chǎn)還是知識(shí)產(chǎn)權(quán)。
故意的軟件攻擊。故意的軟件攻擊一般發(fā)生在當(dāng)某個(gè)人或機(jī)構(gòu)設(shè)計(jì)出一種軟件(通常叫做惡意代碼或惡意軟件)去攻擊有漏洞的系統(tǒng)。一些較為普通的惡意代碼有諸如病毒,蠕蟲,特洛伊木馬,邏輯炸彈和后門程序等。
服務(wù)供應(yīng)商的服務(wù)質(zhì)量偏差。此類威脅主要是產(chǎn)品或服務(wù)質(zhì)量未能達(dá)到預(yù)期要求。機(jī)構(gòu)的信息系統(tǒng)安全要依靠多個(gè)獨(dú)立支持系統(tǒng)的成功運(yùn)作,他們主要包括電網(wǎng)、電信網(wǎng)絡(luò)、部件供應(yīng)商、服務(wù)供應(yīng)商甚至于門衛(wèi)和垃圾搬運(yùn)工。
