风险评估在信息安全管理体系持续改进中常见的问题及对策

――广州电信信息安全管理体系持续改进咨询辅导经验谈

广州电信IDC在中知库公司的辅导下通过ISO27001信息安全管理体系认证后，该公司今年又同中知库公司签署信息安全管理体系持续改进的咨询合同。当广州电信信息安全工作小组完成今年的风险评估初稿时，中知库顾问小组发现工作小组的工作成果比起刚刚建立体系时效果差了很多。主要表现在两方面：第一，发现的风险点很少。主要原因是工作小组在建立体系时对每个资产的主要风险点已形成一个思维定式，今年进行的风险评估只是对往年风险的回顾及再评估，所以发现的新风险点聊聊无几。第二，工作小组进行风险评估时过于关注细节，没有从全局的角度观察整个IDC网络结构问题，造成部分重大风险未识别。

咨询顾问小组在认真研究后认为，在展开2009年风险评估前没有识别体系变化情况，进而及时修改《风险评估工作方案》，是今年风险评估效果不佳的主要原因。进而咨询小组对咨询流程进行了调整，将改进《风险评估工作方案》作为本次风险评估的重要内容。为了充分识别《风险评估工作方案》的改进需求，咨询小组进行了风险评估需求调研、专家评审会、2008－2009事故事件统计等工作。

风险评估需求调研的对象主要是与IDC维护工作相关的各部门的负责人，调查与体系相关的变化情况，如资产变化情况、组织架构变化情况、是否有新技术应用、物理环境是否变化及其他与体系造成影响的变化，了解各部门负责人对管辖范围内主要风险点的认识。通过调研发现主要的相关变化。首先是IDC管理的组织架构发生变化，IDC中心由网络维护中心管理调整为政企客户支撑中心管理，其中IDC中心的动力管理由原网络维护中心动力维护室管理。原来的IDC主管部门及领导发生调整，管理思路也有些变化。IDC中心下辖的班组变更为支撑维护组与运营管理组。2009年也有很大的人员流动。管理方式方面IDC中心现场职守采取外包形式，由运营管理组进行现场监控。在业务方面增加了流量清洗等新业务。咨询组根据这些变化针对性的调整《风险评估工作方案》，例如增加对组织架构调整、现场职守外包、新业务进行专门的风险评估工作等。

专家评审会主要请IDC相关的技术专家评审目前IDC的主要风险点，通过专家评审会发现XX机房网络架构存在L2攻击的缺陷；核心层设备骨干层设备带宽不足，防御DDOS攻击的能力低，同时不能满足业务提供能力等网络方面的风险。也发现柴油发电机容量不足，不能满足IDC的容量要求；UPS容量已处于满负荷运行，不能满足IDC的容量要求等动力方面的风险。

通过事故事件的统计，了解目前IDC的事故事件的类型，主要原因及可能的薄弱点，发现很多以前未发现的威胁及脆弱性，进而完善《风险评估工作方案》中的《威胁－脆弱性数据库》。例如：在事故事件统计发现DDOS攻击及ARP欺骗是今年IDC工作面临的新的黑客攻击方式，咨询组就将其作为新威胁补充到《威胁－脆弱性数据库》中。通过事故事件的统计也可以发现一些风险的线索，如通过统计发现现有的事故事件60％的事件是由于路由器或交换机的GE板、引擎板、电源模块故障造成的，现场处理一般是通过备件更换方式解决。咨询组通过调查马上发现在备件管理方面的一系列问题，如：备件不充分，部分设备的核心部件无备件；备件无专人跟踪管理，备件使用后无人维护备件库；应急流程无针对备件更换的演练等。

咨询组在完成风险评估需求调研、专家评审会、2008－2009事故事件统计等工作后，针对性的调整了《风险评估工作方案》及《威胁－脆弱性数据库》，同时编制了《2009年风险评估重点工作指南》，重新组织工作小组进行风险评估培训。再经过各个风险评估工作小组的认真评估，查找到10项重大风险，96项中级风险。这些风险切实反映了目前IDC的工作薄弱环节，对信息安全体系改进工作具有很强的指导意义。当新的风险评估报告出笼后，网络运营部的领导看后非常高兴，并重点表扬了信息安全工作小组的工作。