張 聞，孫 歆

（浙江省電力試驗研究院，杭州 310014）

0 引言

隨著信息科學(xué)和計算機科學(xué)的發(fā)展，信息安全越來越受到人們的關(guān)注，并成為與政治安全、文化安全、經(jīng)濟安全并列的國家四大安全之一。國家電網(wǎng)公司推出了一系列舉措確保信息安全，如內(nèi)外網(wǎng)隔離、使用安全移動介質(zhì)、安全桌面管理系統(tǒng)等，但如何衡量安全措施起到的防護效果、如何判斷系統(tǒng)是否存在風(fēng)險等問題還有待解決。信息安全風(fēng)險評估正是解決這些問題的有效手段，是對信息系統(tǒng)存在的風(fēng)險進行識別并確認風(fēng)險大小的過程。

本文介紹了一種適合浙江省電力系統(tǒng)信息安全風(fēng)險評估的方法。該方法借鑒了OCTAVE信息安全評估方法，以《信息安全風(fēng)險評估指南》和《國家電網(wǎng)公司信息安全評估實施指南》為依據(jù)，參照國內(nèi)外一些信息安全標準，如ISO 13335，ISO 27001，BS7799等，結(jié)合浙江省電力系統(tǒng)相關(guān)單位信息系統(tǒng)的實際情況，制定了一套風(fēng)險評估的方法和流程，為電力信息安全評估工作提供參考。

1 評估內(nèi)容

參考OCTAVE評估方法，以國家和國家電網(wǎng)公司的2個風(fēng)險評估指南為依據(jù)，電力信息安全風(fēng)險評估的基本過程為：通過資產(chǎn)評估、威脅評估、脆弱性評估和已有安全措施評估進行風(fēng)險計算和分析，從而提出安全處置方案以及建議。

2 評估流程與方法

按照風(fēng)險評估內(nèi)容，制定信息安全風(fēng)險評估實施步驟和細則，詳細列出每個評估階段所要做的工作和技術(shù)細節(jié)。評估實施步驟流程見圖1。

圖1 信息安全風(fēng)險評估流程

2.1 啟動準備

在啟動準備階段，由評估方和被評估方共同召開啟動會，確定評估目標和范圍，制定評估計劃。主要工作內(nèi)容如下：

（1）啟動會需要有被評估方高層領(lǐng)導(dǎo)人出席，并動員本單位人員做好配合工作。

（2）被評估方要準備資產(chǎn)清單和網(wǎng)絡(luò)拓撲情況，向評估方介紹本單位的網(wǎng)絡(luò)結(jié)構(gòu)、各類信息系統(tǒng)和安全防護的基本情況。

（3）被評估方確認各系統(tǒng)的接口負責(zé)人和協(xié)調(diào)人，評估方確認成員分工。

（4）雙方根據(jù)評估需求共同確認評估目標和范圍。

（5）評估方準備好評估工具。

2.2 資產(chǎn)評估

資產(chǎn)評估是指對目標系統(tǒng)進行關(guān)鍵資產(chǎn)抽取和分類后，對關(guān)鍵資產(chǎn)的機密性（C）、完整性（I）和可用性（A）進行賦值，并通過一定的算法計算出資產(chǎn)賦值的過程。

2.2.1 資產(chǎn)分類整理

由被評估方根據(jù)資產(chǎn)模板提交分類資產(chǎn)表，資產(chǎn)類型可分為：物理環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、應(yīng)用系統(tǒng)、管理制度及其執(zhí)行文檔等。

2.2.2 CIA三性賦值

CIA三性賦值需要由評估雙方共同確定，將其劃分為若干個等級，等級數(shù)越多，賦值越精確，但工作量也會隨之加大。表1-3是三性賦值劃分為5個等級的賦值評判標準。

表1 機密性（C）賦值評判標準

表2 完整性（I）賦值評判標準

表3 可用性（A）賦值評判標準

2.2.3 資產(chǎn)等級劃分與賦值

依據(jù)對資產(chǎn)的機密性、完整性和可用性3個方面的賦值，經(jīng)過綜合評定得出資產(chǎn)的價值。因為不同組織對于安全三性的要求和重視程度有所不同，所以評定的標準也不盡相同。根據(jù)對安全三性的重視程度，分別對三性賦予不同的權(quán)重，最后加權(quán)得到資產(chǎn)的等級和賦值。資產(chǎn)賦值Hi的計算公式如下：

式中：ACi，AIi，AAi為某資產(chǎn)的CIA三性賦值，wC，wI，wA為三性的權(quán)重，可根據(jù)實際情況取值。

2.3 威脅評估

系統(tǒng)受到的威脅一般可以通過以下幾個方面來識別：

（1）查看IDS或者IPS等安全防護設(shè)備的日志，重點查看高危攻擊事件，并提取典型事件，與安全員一起分析原因，排除誤報。

（2）查看網(wǎng)絡(luò)管理軟件，檢查網(wǎng)絡(luò)設(shè)備和流量是否異常。

（3）查看操作系統(tǒng)、中間件和應(yīng)用系統(tǒng)的日志，檢查應(yīng)用系統(tǒng)是否有被攻擊的痕跡。

（4）對安全員進行訪談，對歷史安全事件進行調(diào)查和統(tǒng)計。

表4列出了浙江電力信息系統(tǒng)可能受到的各種威脅。

通過以上步驟匯總系統(tǒng)可能受到的威脅，并對各種威脅發(fā)生的可能性進行賦值。賦值的評判標準見表5。

表5 威脅發(fā)生的可能性賦值標準

2.4 脆弱性評估

脆弱性評估的內(nèi)容包括技術(shù)和管理兩方面，技術(shù)方面包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全；管理方面包括組織架構(gòu)、人員管理、安全管理制度、運維安全管理等。實施過程中，技術(shù)評估和管理評估可以同時進行。技術(shù)評估的主要手段是實地查看和訪談、工具掃描、人工審計、滲透測試，管理評估的主要手段是訪談和查看文檔，找出脆弱點并對其賦值，賦值標準見表6。

表4 信息系統(tǒng)可能受到的威脅

表6 脆弱性評估賦值標準

已有的安全措施評估與威脅評估和脆弱性評估有很大關(guān)聯(lián)，所以可將措施評估穿插在脆弱性評估里同時進行，并將安全措施的評估結(jié)果體現(xiàn)在威脅和脆弱性賦值中。

2.5 風(fēng)險計算與分析

2.5.1 風(fēng)險計算

根據(jù)浙江省電力公司的實際情況和國家電網(wǎng)公司的要求，可得出以下風(fēng)險值計算公式：

式中：Rij為某項資產(chǎn)對應(yīng)的某個威脅和脆弱性的組合；H為該項資產(chǎn)的賦值；Vj為該組合的脆弱性賦值；Ti為該組合的威脅賦值?？紤]到浙江電網(wǎng)實行內(nèi)外網(wǎng)分開，受到外部攻擊的可能性大大降低，各種威脅已降低到比較低的范圍，所以該公式適當弱化了威脅對風(fēng)險的作用，強化了資產(chǎn)價值和脆弱性對風(fēng)險的作用。風(fēng)險賦值后應(yīng)對風(fēng)險進行定性的風(fēng)險等級判斷，判斷標準見表7。

表7 風(fēng)險等級判斷標準

由于某項資產(chǎn)的風(fēng)險值為資產(chǎn)所具有的風(fēng)險之和，由此可得到資產(chǎn)風(fēng)險計算公式：R=ΣRij。

2.5.2 風(fēng)險分析

風(fēng)險分析是在對風(fēng)險結(jié)果進行排序的基礎(chǔ)上，結(jié)合系統(tǒng)的實際情況進行不同層面的風(fēng)險要素分析，提出風(fēng)險處置方式。風(fēng)險分析過程主要有以下幾個步驟：

（1）從多個角度對風(fēng)險進行排序，了解哪些資產(chǎn)的風(fēng)險較大、哪些應(yīng)用系統(tǒng)的風(fēng)險較大、哪些脆弱性會產(chǎn)生較大風(fēng)險等。

（2）根據(jù)風(fēng)險排序結(jié)果、技術(shù)層面的分析、可操作性、防護成本等，提出風(fēng)險處置方式。最終采用的風(fēng)險處置方式由評估雙方共同決定。

2.6 安全建議

安全建議報告應(yīng)包括以下幾個方面：

（1）對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、主機、應(yīng)用、管理、現(xiàn)有安全措施等評估節(jié)點，根據(jù)相應(yīng)的風(fēng)險處置方式提出安全防護措施的建議。

（2）對各種防護措施進行關(guān)聯(lián)分析，確定實施的順序。

（3）從實施緊迫性、實施成本和實施周期等方面提出具體實施方案。

（4）對實施加固可能引入的風(fēng)險進行分析和說明。

2.7 評估過程中的風(fēng)險控制

2.7.1 評估實施過程中存在的風(fēng)險

風(fēng)險評估過程本身也會引入一定風(fēng)險，如果不予以重視或不加以控制，將會對信息系統(tǒng)產(chǎn)生巨大的危害。評估實施過程可能帶來的風(fēng)險有：

（1）評估工具會產(chǎn)生大量數(shù)據(jù)包和一些非正常數(shù)據(jù)，可能會對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)造成影響。

（2）人工審計過程中可能出現(xiàn)誤操作，對系統(tǒng)造成嚴重危害。

（3）如果評估過程有滲透測試，本身也是模擬系統(tǒng)攻擊，如果不嚴格控制，將會造成危害。

（4）評估人員可能會接觸到信息系統(tǒng)的保密內(nèi)容，如果對人員控制不嚴，可能會造成泄密，從而影響系統(tǒng)安全。

2.7.2 評估實施過程應(yīng)注意的問題

（1）在深入了解其工作機制的前提下謹慎使用評估工具。

（2）在評估實施前，雙方應(yīng)簽訂保密協(xié)議或保密約定。

（3）對評估涉及的信息系統(tǒng)制定相應(yīng)的應(yīng)急預(yù)案。

（4）評估實施過程中應(yīng)嚴格遵守“兩票”制度。

（5）人工審計過程中應(yīng)注意不修改任何系統(tǒng)和服務(wù)配置，不留下任何臨時文件。

（6）滲透測試前應(yīng)做好滲透方案并與管理員充分交流，做到各個環(huán)節(jié)都在可控范圍內(nèi)。

3 結(jié)論

信息安全風(fēng)險評估是發(fā)現(xiàn)安全問題和缺陷、彌補安全漏洞、確保系統(tǒng)穩(wěn)定運行的有效手段，建議電力企業(yè)要定期進行信息安全風(fēng)險評估。

通過風(fēng)險評估實踐發(fā)現(xiàn)以下方面有待改進：

（1）缺乏有效的管控手段對評估流程進行管控，特別是對評估中產(chǎn)生的大量過程文檔的控制。應(yīng)考慮引入自動化風(fēng)險評估管理工具，實現(xiàn)流程管控、文檔管理、風(fēng)險計算和分析及評估報告模板自動生成等功能。

（2）信息安全的專業(yè)知識和技能水平有待提高。風(fēng)險評估的核心是找出系統(tǒng)的弱點，需要的不僅是方法、工具，更多的是評估者自身的信息安全專業(yè)能力，這直接關(guān)系到風(fēng)險評估的效果。

[1]范紅，馮登國.信息安全風(fēng)險評估實施教程[M].北京：清華大學(xué)出版社，2007.

[2]王英梅，王勝開.信息安全風(fēng)險評估[M].北京：電子工業(yè)出版社，2007.

[3]黃成哲.信息安全風(fēng)險評估工具綜述[J].黑龍江工程學(xué)院學(xué)報，2006（1）∶46-47.

[4]郭曙光.信息安全評估標準研究與比較[J].信息技術(shù)與標準化，2007（11）∶28-29.