任何風險都具有自然屬性和社會屬性,ISO27000信息安全風(feng)險(xian)也不(bu)(bu)例外。由(you)于信(xin)息系統本身就(jiu)是(shi)一(yi)個(ge)(ge)人(ren)機系������統,在系統生命周期的(de)每一(yi)個(ge)(ge)過程都(dou)離不(bu)(bu)開人(ren)的(de)參與,而由(you)于人(ren)的(de)技(ji)術和管(guan)理能(neng)力的(de)有限性(xing),自然環境的(de)不(bu)(bu)可控性(xing),使(shi)信(xin)息系統不(bu)(bu)可避免在技(ji)術、管(guan)理和環境三方面(mian)存在一(yi)定的(de)脆弱性(xing),它是(shi)信(xin)息安全風(feng)險(xian)生成的(de)內在原因。
從 系(xi)統(tong)(tong)論的(de)(de)(de)(de)觀(guan)點來(lai)看(kan),信(xin)(xin)息(xi)系(xi)統(tong)(tong)是(shi)由相互(hu)作用、相互(hu)依(yi)賴的(de)(de)(de)(de)若干部(bu)分(fen)(fen)(fen)(fen)組合而成,各(ge)(ge)部(bu)分(fen)(fen)(fen)(fen)承受(shou)風險的(de)(de)(de)(de)能力(li)與(yu)每部(bu)分(fen)(fen)(fen)(fen)的(de)(de)(de)(de)安(an)全(quan)狀(zhuang)況(kuang)以(yi)(yi)及它們之間的(de)(de)(de)(de)相互(hu)聯系(xi)方式密切相關。各(ge)(ge) 個(ge)組成部(bu)分(fen)(fen)(fen)(fen)抵御外界威脅的(de)(de)(de)(de)抵抗(kang)(kang)力(li)、自(zi)適應(ying)力(li)和(he)恢復力(li)各(ge)(ge)不相同,它們之間的(de)(de)(de)(de)聯系(xi)方式也各(ge)(ge)不相同。這樣(yang)自(zi)身抵抗(kang)(kang)威脅的(de)(de)(de)(de)能力(li)以(yi)(yi)及自(zi)適應(ying)力(li)差的(de)(de)(de)(de)部(bu)分(fen)(fen)(fen)(fen)風險比較(jiao)大。另 外,信(xin)(xin)息(xi)系(xi)統(tong)(tong)的(de)(de)(de)(de)各(ge)(ge)組成部(bu)分(fen)(fen)(fen)(fen)相互(hu)依(yi)存,實現自(zi)身在(zai)信(xin)(xin)息(xi)系(xi)統(tong)(tong)中的(de)(de)(de)(de)功能,因此它們之間的(de)(de)(de)(de)結合點往往是(shi)薄弱(ruo)環(huan)節,也是������(��������shi)信(xin)(xin)息(xi)系(xi)統(tong)(tong)可能發生風險事件的(de)(de)(de)(de)脆弱(ruo)點。信(xin)(xin)息(xi)系(xi)統(tong)(tong) 各(ge)(ge)個(ge)組成部(bu)分(fen)(fen)(fen)(fen)的(de)(de)(de)(de)安(an)全(quan)狀(zhuang)況(kuang)是(shi)隨(sui)著外界因素(su)的(de)(de)(de)(de)變化(hua)而處于發展和(he)變化(hua)中,它的(de)(de)(de)(de)脆弱(ruo)性也是(shi)動(dong)態(tai)(tai)變化(hua)的(de)(de)(de)(de),因此要用動(dong)態(tai)(tai)的(de)(de)(de)(de)觀(guan)點來(lai)看(kan)待信(xin)(xin)息(xi)系(xi)統(tong)(tong)的(de)(de)(de)(de)脆弱(ruo)性。
從信息系統的(de������)安全角度(du),信息系統脆弱性主要是來自(zi)技(ji)術、管理(li)和物理(li)自(zi)然(ran)環境的(de)脆弱性。
ISO27000信息安全風險形成的內因——技術脆弱性
眾所周知,很多組織使用的(de)網(wang)絡操作(z�������uo)系統(tong)和業務應用系統(tong)都存(cun)在令(ling)人擔憂的(de)安全漏洞(dong)。
WINDOWS 計算機產品(pin)在(zai)(zai)世界市場上占(zhan)據絕(jue)對(dui)的(de)地位,是大多數(shu)用戶(hu)(hu)使用的(de)系統(tong)(tong)(tong),然而(er)卻有(you)著“最不安(an)(an)全操作系統(tong)(tong)(tong)”的(de)名聲。從 DOS, WINDOWS9X, WINDOWS 2000, WINDOWS NT,WINDOWS XP 操作系統(tong)(tong)(tong),不斷(duan)發布的(de)安(an)(an)全補丁仍然不能保證安(an)(an)全的(de)操作環境。WINDOWS 提供的(de)通(tong)過 TELNET遠(yuan)程進行系統(tong)(tong)(tong)用戶(hu)(hu)登(deng)錄(lu)的(de)方式(shi),創建了在(zai)(zai)身份認(ren)(ren)證方面的(de)主要(yao)安(an)(an)全弱點,攻(gong)擊者(zhe)可以(yi)通(tong)過 TELNET 對(dui)系統(tong)(tong)(tong)帳戶(hu)(hu)進行口令猜測;允許遠(yuan)程主機匿名登(deng)錄(lu) FTP服務(wu)器(qi),使 FTP 服務(wu)器(qi)在(zai)(zai)訪問控(kong)制方面存在(zai)(zai)匿名可寫的(de)目錄(lu);WINDOWS的(de)遠(yuan)程緩沖區(qu)溢(yi)(yi)(yi)出成為拒絕(jue)服務(wu)攻(gong)擊的(de)系統(tong)(tong)(tong)漏洞(dong)(dong);還(huan)有(you) WINDOWS 的(de)默(mo)認(ren)(ren)共享配置(zhi)、弱口令問題;WEB服務(wu) IIS5.0 printer ISAPI遠(yuan)程緩沖區(qu)溢(yi)(yi)(yi)出;WINDOWS 2000 電(dian)子(zi)郵件系統(tong)(tong)(tong)的(de) SENDMAIL 頭(tou)處理溢(yi)(yi)(yi)出漏洞(dong)(dong),SMTP 服務(wu)認(ren)(ren)證錯(c�������uo)誤漏洞(dong)(don�������g),很(hen)容易使傳(chuan)輸郵件被修(xiu)改,引(yin)發郵件欺詐問題等(deng)等(deng)。
數據庫(ku)軟件(jian) Oracle Tnslsnr ������口(kou)令設置缺失,Microsoft SQL Server 2000 多(duo)個服務安全漏洞(dong),2003年病毒利用 SQL Server 2000的(de)漏洞(dong)的(de)流行傳播導致因特網幾乎癱����瘓。
一些安全(quan)產品(pin),諸如網(wang)管、防(fang)火墻等也存在(zai)安全(quan)弱點,������������如防(fang)火墻拒絕服務。
另 外,INTERNET 網(wang)(wang)絡數據的(de)(de)(de)(de)傳輸是沒有加密控制的(de)(de)(de)(de),無法保(bao)證信息的(de)(de)(de)����(de)機密性和完整性安(an)全(quan)目標,影響了(le)(le)認證和不可否認的(de)(de)(de)(d�������e)功(gong)能實現(xian)。快速增長的(de)(de)(de)(de)網(wang)(wang)絡促進了(le)(le)復雜(za)應(ying)(ying)用(yong)(yong)服務(wu)的(de)(de)(de)(de)發(fa)展,這 些(xie)新(xin)產(chan)品尤其是現(xian)貸(dai)供(gong)應(ying)(ying)(Off-the-shelf)的(de)(de)(de)(de)應(ying)(ying)用(yong)(yong)系統雖(sui)然解決了(le)(le)一定(ding)的(de)(de)(de)(de)安(an)全(quan)需求,但由于(yu)缺(que)乏合理的(de)(de)(de)(de)安(an)全(quan)設(she)計和配置,常常引入新(xin)的(de)(de)(de)(de)漏洞。
ISO27000信息安全風險形成的內因——管理問題
由(you)于(yu)(yu)網絡和信(xin)息系統的(de)(de)復雜性,需(xu)要(yao)經(jing)(jing)過(guo)良(liang)好培(pei)訓(xun)或(huo)有(you)經(jing)(jing)驗的(de)(d����e)員工來保證信(xin)息系統的(de)(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)工程實施和管理,另外依據ISO27000標準,建立信(xin)息安(an)(an)(an)全(quan)(quan)(quan)(quan)管理體系也是(shi)非常重要(yao)的(de)(de),但(dan) 現有(you)的(de)(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)人才一般都(dou)集(ji)中分布在安(an)(an)(an)全(quan)(quan)(quan)(quan)產品公司(si)、學校和研究(jiu)機構,遠遠不(bu)(bu)(bu)能滿足組織的(de)(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)人才需(xu)求。缺乏(fa)經(jing)(jing)驗的(de)(de)專業人員經(jing)(jing)常由(you)于(yu)(yu)錯(cuo)(cuo)誤(wu)的(de)(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)配置、軟硬(ying)件的(de)(de)錯(cuo)(cuo) 誤(wu)使(shi)用,使(shi)系統處于(yu)(yu)不(bu)(bu)(bu)安(an)(an)(an)全(quan)(quan)(quan)(quan)狀(zhuang)態,容易受到內外部的(de)(de)攻(gong)擊;或(huo)者未經(jing)(jing)過(guo)安(an)(an)(an)全(quan)(quan)(quan)(quan)教育培(pei)訓(xun)的������(de)(de)員工由(you)于(yu)(yu)缺乏(fa)安(an)(an)(an)全(quan)(quan)(quan)(quan)意識,經(jing)(jing)常不(bu)(bu)(bu)遵守(shou)安(an)(an)(an)全(quan)(quan)(quan)(quan)制(zhi)度(du)和違背安(an)(an)(an)全(quan)(quan)(quan)(quan)策略,極(ji)易引(yin)發安(an)(an)(an)全(quan)(quan)(quan)(quan) 事件。
另外,由于缺乏組織決策(ce)層領導(dao)的(de)(de)(de)支持或(huo)是沒有(you)意識(shi)到安(an)(an)全(quan)(quan)(quan)(quan)問題(ti)的(de)(de)(de)重要性, 很少為(wei)信(xin)息安(an)(an)全(quan)(quan)(quan)(quan)分配足夠的(de)(de)(de)資源,比如建立(li)相(xiang)應(ying)的(de)(de)(de)組織機(ji)(ji)構“信(xin)息安(an)(an)全(quan)(quan)(quan)(quan)部&rdquo��������;或(huo)“安(an)(an)全(quan)(quan)(quan)(quan)官”,而把信(xin)息安(an)(an)全(quan)(quan)(quan)(quan)責任(ren)看作是信(xin)息技術(shu)部門以(yi)及(ji)(ji)技術(shu)人員(yuan)的(de)(de)(de)職責;有(you)的(de)(de)(de)組織缺 乏有(you)效(xiao)的(de)(de)(de)信(xin)息安(an)(an)全(quan)(quan)(quan)(quan)計劃以(yi)及(ji)(ji)安(an)(an)全(quan)(quan)(quan)(quan)機(ji)(ji)制,有(you)的(de)(de)(de)甚(shen)至(zhi)根本沒有(you)安(an)(an)全(quan)(quan)(quan)(quan)策(ce)略(lve)(lve)和(he)計劃,或(huo)者是即使(shi)有(you),也(ye)是束之高閣,因為(wei)沒有(you)相(xiang)應(ying)的(de)(de)(de)監(jian)管(guan)機(ji)(ji)制,或(huo)者是人員(yuan)無安(an)(an)全(quan)(quan)(quan)(quan)意識(shi),導(dao)致 安(an)(an)全(quan)(quan)(quan)(quan)策(ce)略(lve)(lve)不能有(you)效(xiao)的(de)(de)(de)實施和(he)遵守(shou),一旦(dan)發生(sheng)(sheng)安(an)(an)全(quan)(quan)(quan)(quan)事件不知(zhi)道(dao)應(ying)該在什么(me)時(shi)間、向(xiang)誰匯報違規和(he)事故(gu),管(guan)理者也(ye)就不清(qing)楚發生(sheng)(sheng)了什么(me),也(ye)就不能及(ji)(ji)時(shi)、合理地處理安(an)(an)全(quan)(quan)(quan)(quan) 問題(ti),使(shi)安(an)(an)全(quan)(quan)(quan)(quan)損失(shi)������擴大(da),有(you)時(shi)甚(shen)至(zhi)是災難性的(de)(de)(de)。
ISO27000信息安全風險形成的內因——物理自然環境
缺乏對建(jian)筑物(wu)、門、窗等(deng)(deng)支撐設施(shi)的(de)(de)(de)物(wu)理保護和(he)物(wu)理訪問(wen)控制的(de)(de)(de)監(jian)管,導(dao)致盜竊(qie)、故意破壞設施(shi)發(fa)生(sheng)的(de)(de)(de)可能(neng)性(xing);不(bu)穩定的(de)(de)(de)電力供(gong)應如(ru)電涌和(he)電壓波(bo)動容易引起存儲介質(zhi)失(shi)(shi)效或硬(ying)件故障;防(fang)水、防(fang)火、防(fang)雷等(deng)(deng)防(fang)范措施(shi)的(de)(de)(de)不(bu)充分,可能(neng)在災難發(f�������a)生(sheng)時,造(zao)成嚴重損失(shi)(shi)。
