導(dǎo)語(yǔ)：信息安全風(fēng)險(xiǎn)評(píng)估在電力設(shè)計(jì)的作用一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1.概述

隨著企業(yè)信息化的深入，信息安全問題日益嚴(yán)峻，雖然入侵檢測(cè)、防火墻、殺毒軟件等安全技術(shù)手段能不同程度起到防御作用，但信息安全事件時(shí)有發(fā)生。為保證信息安全，盡可能消除安全隱患，就要定期的開展信息安全風(fēng)險(xiǎn)評(píng)估工作，通過分析評(píng)估網(wǎng)絡(luò)與信息系統(tǒng)安全潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等，根據(jù)評(píng)估結(jié)果，采取適當(dāng)安全措施，達(dá)到安全建設(shè)和管理的目的。本文介紹了一種適合電力設(shè)計(jì)企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估的方法，該方法參照國(guó)內(nèi)外一些信息安全標(biāo)準(zhǔn)，如ISO15408、ISO27001等，結(jié)合電力設(shè)計(jì)企業(yè)信息系統(tǒng)及應(yīng)用的實(shí)際情況，制定了一套風(fēng)險(xiǎn)評(píng)估的方法和流程，為電力設(shè)計(jì)企業(yè)的信息安全評(píng)估工作提供參考。

2.電力設(shè)計(jì)企業(yè)信息化特點(diǎn)

電力設(shè)計(jì)企業(yè)的信息化是以設(shè)計(jì)工作流程為核心，通過對(duì)圖檔信息統(tǒng)計(jì)分析的自動(dòng)化、設(shè)計(jì)工作流程的標(biāo)準(zhǔn)化，采用高效的協(xié)同設(shè)計(jì)管理思想，實(shí)現(xiàn)電子設(shè)、校、審，對(duì)設(shè)計(jì)輸入、校對(duì)過程、成圖、設(shè)計(jì)變更、資料互提、版本控制、項(xiàng)目圖檔、進(jìn)行標(biāo)準(zhǔn)化管理。因此，對(duì)電力設(shè)計(jì)企業(yè)最重要的就是保證設(shè)計(jì)流程的順暢和資料完整，相對(duì)應(yīng)的系統(tǒng)有生產(chǎn)設(shè)計(jì)流程系統(tǒng)，企業(yè)檔案系統(tǒng)、數(shù)據(jù)備份系統(tǒng)等。

3.安全評(píng)估相關(guān)標(biāo)準(zhǔn)

對(duì)于電力設(shè)計(jì)企業(yè)的信息安全要求，必須站在全球信息化的背景下，以國(guó)際標(biāo)準(zhǔn)的角度去重新審視現(xiàn)狀和分析存在的差距，針對(duì)電力設(shè)計(jì)企業(yè)信息安全體系的具體內(nèi)容，需要去選擇合適的標(biāo)準(zhǔn)，我們參考了ISO15408、ISO27001等信息安全的相關(guān)標(biāo)準(zhǔn)。ISO27001和ISO15408所涉及范圍都是信息安全領(lǐng)域；ISO27001側(cè)重安全管理方面的要求,即對(duì)IT系統(tǒng)中非技術(shù)內(nèi)容的檢查。這些內(nèi)容與人員、流程、物理安全以及一般意義上的安全管理有關(guān)。ISO15408則側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)，旨在支持設(shè)備中IT安全特征的技術(shù)性評(píng)估，它可以用于描述用戶對(duì)安全性的技術(shù)需求。ISO15408中雖然對(duì)信息安全管理方面提出了一定的要求，但這些管理要求是孤立、相對(duì)靜止、不成體系的。同樣，ISO27001也涉及極小部分的技術(shù)指標(biāo)，但僅限于管理上必須的技術(shù)指標(biāo)。電力設(shè)計(jì)信息安全體系是一個(gè)整體，沒有全盤的考慮，沒有高度的重視，任何一個(gè)環(huán)節(jié)出現(xiàn)明顯的短板都將功虧一簣。

4.評(píng)估對(duì)象和流程

評(píng)估的對(duì)象為電力設(shè)計(jì)企業(yè)的信息系統(tǒng)、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)系統(tǒng)等。對(duì)電力設(shè)計(jì)企業(yè)的安全評(píng)估，包括四個(gè)大的方面：資產(chǎn)評(píng)估、威評(píng)估、脆弱性評(píng)估、現(xiàn)有安全措施評(píng)估，并在此基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)計(jì)算和分析，從而提出安全處置方案和建議。具體的評(píng)估流程如圖1。

4.1資料準(zhǔn)備和啟動(dòng)會(huì)

在該階段，評(píng)估方必須事先對(duì)企業(yè)提供的資料進(jìn)行研究分析，通常有領(lǐng)導(dǎo)會(huì)議報(bào)告、ISO9000文件，業(yè)務(wù)流程文檔等。這些資料對(duì)了解企業(yè)的戰(zhàn)略意圖和業(yè)務(wù)流程具有非常重要的作用，可以在安全評(píng)估初期通過研讀這些材料了解企業(yè)的業(yè)務(wù)重點(diǎn)，對(duì)后續(xù)的資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析具有事半功倍的效果。除此之外，由評(píng)估方和被評(píng)估方共同召開啟動(dòng)會(huì)，確定評(píng)估目標(biāo)和范圍，制定評(píng)估計(jì)劃。主要工作內(nèi)容如下：1啟動(dòng)會(huì)需要有被評(píng)估方高層領(lǐng)導(dǎo)人出席并動(dòng)員本單位人員做好配合工作。2明確被評(píng)估方各部門需要準(zhǔn)備的相關(guān)資料：如部門業(yè)務(wù)流程圖、部門工作計(jì)劃、資產(chǎn)清單、網(wǎng)絡(luò)拓?fù)鋱D、信息系統(tǒng)和安全防護(hù)措施等。3被評(píng)估方項(xiàng)目負(fù)責(zé)人和各部門協(xié)調(diào)人確認(rèn)。4雙方共同確認(rèn)評(píng)估目標(biāo)和范圍。

4.2資產(chǎn)評(píng)估

資產(chǎn)評(píng)估是對(duì)信息資產(chǎn)分類、標(biāo)記、賦值的過程。資產(chǎn)評(píng)估主要包括兩個(gè)過程：資產(chǎn)識(shí)別和資產(chǎn)賦值。

4.2.1資產(chǎn)識(shí)別

在確定評(píng)估抽樣范圍后，需要對(duì)抽樣資產(chǎn)進(jìn)行識(shí)別。資產(chǎn)識(shí)別是為了了解資產(chǎn)狀況、確定資產(chǎn)價(jià)值而進(jìn)行的風(fēng)險(xiǎn)管理的準(zhǔn)備工作。主要針對(duì)對(duì)象為：網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)服務(wù)器、機(jī)房基礎(chǔ)設(shè)施(包括物理環(huán)境，備份等、系統(tǒng)軟件與應(yīng)用軟件。由被評(píng)估方填寫主機(jī)資產(chǎn)統(tǒng)計(jì)表、網(wǎng)絡(luò)設(shè)備統(tǒng)計(jì)表、應(yīng)用系統(tǒng)統(tǒng)計(jì)表。評(píng)估人員抽樣選取一定數(shù)量的資產(chǎn)信息填入到資產(chǎn)匯總表格中。信息包括：參考號(hào)、資產(chǎn)、說明、類型、所有者、位置等。

4.2.2資產(chǎn)賦值

資產(chǎn)賦值需要有評(píng)估雙方共同確定，根據(jù)資產(chǎn)的重要程度，同時(shí)參考資產(chǎn)的機(jī)密性、完整性、可用性三個(gè)安全屬性，對(duì)資產(chǎn)進(jìn)行賦值，分為1-5等級(jí)，等級(jí)越大，資產(chǎn)越重要。表1是三性賦值中機(jī)密性賦值標(biāo)準(zhǔn)。資產(chǎn)的賦值可以根據(jù)電力設(shè)計(jì)企業(yè)的應(yīng)用特點(diǎn)，比如：與設(shè)計(jì)流程相關(guān)的系統(tǒng)，其可用性的取值要高些；與數(shù)據(jù)資源相關(guān)的應(yīng)用系統(tǒng)和備份系統(tǒng)，其機(jī)密性、完整性、可用性的賦值也會(huì)高些。企業(yè)信息系統(tǒng)的業(yè)務(wù)特點(diǎn)決定了業(yè)務(wù)系統(tǒng)的重要性程度。資產(chǎn)最終價(jià)值的等級(jí)評(píng)估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級(jí)別，經(jīng)過綜合評(píng)定得出的。因?yàn)椴煌M織對(duì)于安全三性的要求和重視程度有所不同，所以評(píng)定的標(biāo)準(zhǔn)也不盡相，最后加權(quán)得到資產(chǎn)的等級(jí)和賦值。資產(chǎn)賦值的計(jì)算公式：。公式中：C、I、A分別為某個(gè)資產(chǎn)的三性賦值，wC、wI、wA分別為CIA三性的權(quán)重，可根據(jù)實(shí)際情況進(jìn)行選取。賦值后的資產(chǎn)清單列表如圖2。

4.3威脅評(píng)估

評(píng)估確定威脅發(fā)生的可能性是威脅評(píng)估階段的重要工作，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來判斷威脅發(fā)生的頻率或者發(fā)生的概率。還需要參考下面三方面的資料和信息來源，綜合考慮，形成在特定評(píng)估環(huán)境中各種威脅發(fā)生的可能性。1通過過去的安全事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和其發(fā)生頻率；2在評(píng)估體實(shí)際環(huán)境中，通過IDS、防火墻等系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計(jì)和分析，各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析；3過去一年或兩年來國(guó)際機(jī)構(gòu)的對(duì)于整個(gè)社會(huì)或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)均值。威脅的評(píng)估就是綜合了威脅來源和種類后得到的威脅列表，并對(duì)列表中的威脅發(fā)生可能性的評(píng)估。最終威脅的賦值采用定性的相對(duì)等級(jí)的方式。威脅的等級(jí)劃分為五級(jí)，從1到5分別代表五個(gè)級(jí)別的威脅發(fā)生可能性。等級(jí)數(shù)值越大，威脅發(fā)生的可能性越大。威脅評(píng)估計(jì)算流程見下圖：

4.4脆弱性評(píng)估

脆弱性評(píng)估針對(duì)需要保護(hù)的信息資產(chǎn)，造成可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。脆弱性評(píng)估的方法有問卷調(diào)查、工具檢測(cè)、人工審計(jì)、文檔查閱等。主機(jī)安全性評(píng)估是對(duì)業(yè)務(wù)系統(tǒng)范圍內(nèi)的主機(jī)進(jìn)行安全漏洞的發(fā)現(xiàn)的過程，包括如下的內(nèi)容：1工具檢測(cè)是采用漏洞掃描工具對(duì)系統(tǒng)技術(shù)漏洞的發(fā)現(xiàn)過程，在漏洞掃描的過程中可能會(huì)對(duì)業(yè)務(wù)系統(tǒng)的運(yùn)行產(chǎn)生影響，因此需要得到操作許可，并準(zhǔn)備應(yīng)急預(yù)案以避免由風(fēng)險(xiǎn)評(píng)估產(chǎn)生的風(fēng)險(xiǎn)。2主機(jī)人工審計(jì)根據(jù)評(píng)估單位的實(shí)際情況，對(duì)當(dāng)前的服務(wù)端系統(tǒng)進(jìn)行抽樣審計(jì)，審計(jì)的內(nèi)容包括：密碼策略，安全策略，用戶組策略，資源使用情況，注冊(cè)表情況等，為主機(jī)的脆弱性計(jì)算提供準(zhǔn)確依據(jù)。3安全管理制度文檔分析主要結(jié)合問卷反饋與人員訪談進(jìn)行文檔分析，文檔分析主要是對(duì)信息系統(tǒng)管理中已制定和采用的安全管理制度文檔以及制度的執(zhí)行情況進(jìn)行分析，通過分析發(fā)現(xiàn)現(xiàn)有制度中的缺陷。4脆弱性賦值脆弱性評(píng)估將針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅可能利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。脆弱性的等級(jí)劃分為五級(jí)，從1到5分別代表五個(gè)級(jí)別的某種資產(chǎn)脆弱程度。等級(jí)越大，脆弱程度越高。具體每一級(jí)別的脆弱性脆弱程度定義參見下表2。

4.5風(fēng)險(xiǎn)分析

再完成資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)的計(jì)算方法：R=H*V*T。公式中：R表示風(fēng)險(xiǎn)；H表示資產(chǎn)價(jià)值；V表示脆弱性；T表示威脅。風(fēng)險(xiǎn)等級(jí)建議從1到5劃分為五級(jí)。等級(jí)越大，風(fēng)險(xiǎn)越高。評(píng)估者也可以根據(jù)被評(píng)估系統(tǒng)的實(shí)際情況自定義風(fēng)險(xiǎn)的等級(jí)。4.6安全建議與加固安全建議與加固應(yīng)包括以下幾個(gè)方面：1對(duì)網(wǎng)絡(luò)體系結(jié)構(gòu)、主機(jī)、操作系統(tǒng)、信息系統(tǒng)、備份、安全措施等方面存在的薄弱環(huán)節(jié)，可采取的改進(jìn)方案的的建議。2對(duì)企業(yè)加固措施的實(shí)施順序、實(shí)施過程、實(shí)施影響進(jìn)行詳細(xì)的闡述，通常加固措施可由評(píng)估方進(jìn)行實(shí)施，如遇到復(fù)雜的可申請(qǐng)?jiān)O(shè)備或者系統(tǒng)廠商進(jìn)行。3對(duì)安全建議和加固實(shí)施的風(fēng)險(xiǎn)進(jìn)行詳細(xì)的評(píng)估和分析，針對(duì)不同的風(fēng)險(xiǎn)，配合被評(píng)估方做好詳細(xì)的應(yīng)急預(yù)案。4.7安全評(píng)估注意事項(xiàng)信息安全評(píng)估的過程中，必須注意一下事項(xiàng)：1評(píng)估人員通常會(huì)接觸到一些企業(yè)內(nèi)部信息和資料，所以，在評(píng)估之前，雙方必須簽訂保密協(xié)議。2做好數(shù)據(jù)備份工作，在評(píng)估的過程中，為防止誤操作引起的數(shù)據(jù)丟失，在評(píng)估前需要對(duì)系統(tǒng)做好充分的備份。3嚴(yán)格控制工具的使用，有些安全評(píng)估工具存在很大的攻擊性，對(duì)被評(píng)估方造成不可預(yù)知的危險(xiǎn)，通常要嚴(yán)格控制這類工具的使用。4對(duì)評(píng)估涉及的信息系統(tǒng)制定相應(yīng)的應(yīng)急預(yù)案。

5.結(jié)束語(yǔ)

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系建立過程中的重要的評(píng)價(jià)方法和決策機(jī)制，是信息系統(tǒng)風(fēng)險(xiǎn)管理的重要環(huán)節(jié)。通過風(fēng)險(xiǎn)評(píng)估來確定信息系統(tǒng)的安全現(xiàn)狀，提取信息系統(tǒng)安全需求，并在此基礎(chǔ)上對(duì)信息安全保障體系建設(shè)進(jìn)行有序的規(guī)劃，是電力設(shè)計(jì)企業(yè)在信息安全工作中避免防護(hù)不當(dāng)，提高防護(hù)效果和效益的主要手段。

本文作者:葉文輝工作單位:福建省電力勘測(cè)設(shè)計(jì)院