任何風(fēng)險(xiǎn)都具有自然屬性和社會(huì)屬性,ISO27000信息安全風(fēng)險(xiǎn)也不例外。由于信息系統(tǒng)本身就是一個(gè)人機(jī)系統(tǒng),在系統(tǒng)生命周期的每一個(gè)過程都離不開人的參與,而由于人的技術(shù)和管理能力的有限性,自然環(huán)境的不可控性,使信息系統(tǒng)不可避免在技術(shù)、管理和環(huán)境三方面存在一定的脆弱性,它是信息安全風(fēng)險(xiǎn)生成的內(nèi)在原因。
從 系統(tǒng)論的觀點(diǎn)來看,信息系統(tǒng)是由相互作用、相互依賴的若干部分組合而成,各部分承受風(fēng)險(xiǎn)的能力與每部分的安全狀況以及它們之間的相互聯(lián)系方式密切相關(guān)。各 個(gè)組成部分抵御外界威脅的抵抗力、自適應(yīng)力和恢復(fù)力各不相同,它們之間的聯(lián)系方式也各不相同。這樣自身抵抗威脅的能力以及自適應(yīng)力差的部分風(fēng)險(xiǎn)比較大。另 外,信息系統(tǒng)的各組成部分相互依存,實(shí)現(xiàn)自身在信息系統(tǒng)中的功能,因此它們之間的結(jié)合點(diǎn)往往是薄弱環(huán)節(jié),也是信息系統(tǒng)可能發(fā)生風(fēng)險(xiǎn)事件的脆弱點(diǎn)。信息系統(tǒng) 各個(gè)組成部分的安全狀況是隨著外界因素的變化而處于發(fā)展和變化中,它的脆弱性也是動(dòng)態(tài)變化的,因此要用動(dòng)態(tài)的觀點(diǎn)來看待信息系統(tǒng)的脆弱性。
從信息系統(tǒng)的安全角度,信息系統(tǒng)脆弱性主要是來自技術(shù)、管理和物理自然環(huán)境的脆弱性。
ISO27000信息安全風(fēng)險(xiǎn)形成的內(nèi)因——技術(shù)脆弱性
眾所周知,很多組織使用的網(wǎng)絡(luò)操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)都存在令人擔(dān)憂的安全漏洞。
WINDOWS 計(jì)算機(jī)產(chǎn)品在世界市場上占據(jù)絕對(duì)的地位,是大多數(shù)用戶使用的系統(tǒng),然而卻有著“最不安全操作系統(tǒng)”的名聲。從 DOS, WINDOWS9X, WINDOWS 2000, WINDOWS NT,WINDOWS XP 操作系統(tǒng),不斷發(fā)布的安全補(bǔ)丁仍然不能保證安全的操作環(huán)境。WINDOWS 提供的通過 TELNET遠(yuǎn)程進(jìn)行系統(tǒng)用戶登錄的方式,創(chuàng)建了在身份認(rèn)證方面的主要安全弱點(diǎn),攻擊者可以通過 TELNET 對(duì)系統(tǒng)帳戶進(jìn)行口令猜測;允許遠(yuǎn)程主機(jī)匿名登錄 FTP服務(wù)器,使 FTP 服務(wù)器在訪問控制方面存在匿名可寫的目錄;WINDOWS的遠(yuǎn)程緩沖區(qū)溢出成為拒絕服務(wù)攻擊的系統(tǒng)漏洞;還有 WINDOWS 的默認(rèn)共享配置、弱口令問題;WEB服務(wù) IIS5.0 printer ISAPI遠(yuǎn)程緩沖區(qū)溢出;WINDOWS 2000 電子郵件系統(tǒng)的 SENDMAIL 頭處理溢出漏洞,SMTP 服務(wù)認(rèn)證錯(cuò)誤漏洞,很容易使傳輸郵件被修改,引發(fā)郵件欺詐問題等等。
數(shù)據(jù)庫軟件 Oracle Tnslsnr 口令設(shè)置缺失,Microsoft SQL Server 2000 多個(gè)服務(wù)安全漏洞,2003年病毒利用 SQL Server 2000的漏洞的流行傳播導(dǎo)致因特網(wǎng)幾乎癱瘓。
一些安全產(chǎn)品,諸如網(wǎng)管、防火墻等也存在安全弱點(diǎn),如防火墻拒絕服務(wù)。
另 外,INTERNET 網(wǎng)絡(luò)數(shù)據(jù)的傳輸是沒有加密控制的,無法保證信息的機(jī)密性和完整性安全目標(biāo),影響了認(rèn)證和不可否認(rèn)的功能實(shí)現(xiàn)。快速增長的網(wǎng)絡(luò)促進(jìn)了復(fù)雜應(yīng)用服務(wù)的發(fā)展,這 些新產(chǎn)品尤其是現(xiàn)貸供應(yīng)(Off-the-shelf)的應(yīng)用系統(tǒng)雖然解決了一定的安全需求,但由于缺乏合理的安全設(shè)計(jì)和配置,常常引入新的漏洞。
ISO27000信息安全風(fēng)險(xiǎn)形成的內(nèi)因——管理問題
由于網(wǎng)絡(luò)和信息系統(tǒng)的復(fù)雜性,需要經(jīng)過良好培訓(xùn)或有經(jīng)驗(yàn)的員工來保證信息系統(tǒng)的安全工程實(shí)施和管理,另外依據(jù)ISO27000標(biāo)準(zhǔn),建立信息安全管理體系也是非常重要的,但 現(xiàn)有的安全人才一般都集中分布在安全產(chǎn)品公司、學(xué)校和研究機(jī)構(gòu),遠(yuǎn)遠(yuǎn)不能滿足組織的安全人才需求。缺乏經(jīng)驗(yàn)的專業(yè)人員經(jīng)常由于錯(cuò)誤的安全配置、軟硬件的錯(cuò) 誤使用,使系統(tǒng)處于不安全狀態(tài),容易受到內(nèi)外部的攻擊;或者未經(jīng)過安全教育培訓(xùn)的員工由于缺乏安全意識(shí),經(jīng)常不遵守安全制度和違背安全策略,極易引發(fā)安全 事件。
另外,由于缺乏組織決策層領(lǐng)導(dǎo)的支持或是沒有意識(shí)到安全問題的重要性, 很少為信息安全分配足夠的資源,比如建立相應(yīng)的組織機(jī)構(gòu)“信息安全部”或“安全官”,而把信息安全責(zé)任看作是信息技術(shù)部門以及技術(shù)人員的職責(zé);有的組織缺 乏有效的信息安全計(jì)劃以及安全機(jī)制,有的甚至根本沒有安全策略和計(jì)劃,或者是即使有,也是束之高閣,因?yàn)闆]有相應(yīng)的監(jiān)管機(jī)制,或者是人員無安全意識(shí),導(dǎo)致 安全策略不能有效的實(shí)施和遵守,一旦發(fā)生安全事件不知道應(yīng)該在什么時(shí)間、向誰匯報(bào)違規(guī)和事故,管理者也就不清楚發(fā)生了什么,也就不能及時(shí)、合理地處理安全 問題,使安全損失擴(kuò)大,有時(shí)甚至是災(zāi)難性的。
ISO27000信息安全風(fēng)險(xiǎn)形成的內(nèi)因——物理自然環(huán)境
缺乏對(duì)建筑物、門、窗等支撐設(shè)施的物理保護(hù)和物理訪問控制的監(jiān)管,導(dǎo)致盜竊、故意破壞設(shè)施發(fā)生的可能性;不穩(wěn)定的電力供應(yīng)如電涌和電壓波動(dòng)容易引起存儲(chǔ)介質(zhì)失效或硬件故障;防水、防火、防雷等防范措施的不充分,可能在災(zāi)難發(fā)生時(shí),造成嚴(yán)重?fù)p失。
