王旭 陳濤 張建業(yè) 李峰

新疆電力科學(xué)研究院 新疆 830000

0 引言

信息系統(tǒng)在支撐國(guó)網(wǎng)公司“三集五大”建設(shè)發(fā)揮重要的支撐作用，信息安全除了關(guān)系信息系統(tǒng)自身外還關(guān)系到公司的安全生產(chǎn)，是安全生產(chǎn)的重要組成部分。信息安全風(fēng)險(xiǎn)評(píng)估(以下簡(jiǎn)稱“評(píng)估”)是對(duì)公司一體化企業(yè)級(jí)信息系統(tǒng)的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，以識(shí)別信息安全風(fēng)險(xiǎn)，發(fā)現(xiàn)信息網(wǎng)絡(luò)、信息系統(tǒng)的脆弱性和薄弱環(huán)節(jié)，提出有針對(duì)性的信息安全整改工作建議，提高信息系統(tǒng)整體防護(hù)水平。

信息安全風(fēng)險(xiǎn)評(píng)估是依據(jù)國(guó)家有關(guān)的政策法規(guī)及信息技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)估的活動(dòng)過(guò)程。它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。

從另一角度，持續(xù)的風(fēng)險(xiǎn)評(píng)估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績(jī)效的有力手段，風(fēng)險(xiǎn)評(píng)估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過(guò)行政手段對(duì)信息系統(tǒng)的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響，促進(jìn)信息系統(tǒng)擁有單位加強(qiáng)信息安全建設(shè)。

1 新疆電力公司信息安全風(fēng)險(xiǎn)評(píng)估方法

風(fēng)險(xiǎn)評(píng)估中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析的主要內(nèi)容為(圖1)。

圖1 風(fēng)險(xiǎn)分析過(guò)程

1.1 資產(chǎn)評(píng)估與賦值

資產(chǎn)評(píng)估是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性三個(gè)安全屬性的要求進(jìn)行評(píng)估的過(guò)程，對(duì)資產(chǎn)各屬性賦值按如下規(guī)定進(jìn)行(表 1)。

表1 資產(chǎn)賦值表

續(xù)表

資產(chǎn)價(jià)值由資產(chǎn)的機(jī)密性、可用性和完整性的最大值決定，因此

資產(chǎn)價(jià)值A(chǔ)=MAX{（機(jī)密性（C），可用性（I），完整性（A）}

1.2 威脅評(píng)估

威脅評(píng)估的重要內(nèi)容是對(duì)威脅進(jìn)行賦值，為風(fēng)險(xiǎn)分析提供確定的等級(jí)數(shù)據(jù)，確保風(fēng)險(xiǎn)分析結(jié)果的科學(xué)性(表2)。

表2 威脅賦值表

續(xù)表

S代表威脅的嚴(yán)重程度，F(xiàn)代表威脅的可能性賦值，T代表資產(chǎn)面臨某一種威脅值

TC代表涉及機(jī)密性的威脅，TI完整性的威脅，TA代表涉及可用性的威脅，

資產(chǎn)最終威脅T=MAX{TC,TI,TA}

1.3 脆弱性評(píng)估

脆弱性是資產(chǎn)本身存在的，如果沒(méi)有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生，并造成損失。

脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化處理，不同的等級(jí)分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。脆弱性嚴(yán)重程度賦值表(表3)。

表3 脆弱性賦值表

用V代表資產(chǎn)脆弱性，

對(duì)于網(wǎng)絡(luò)與安全設(shè)備資產(chǎn),V等于資產(chǎn)所有脆弱性賦值的平均值：

對(duì)于應(yīng)用系統(tǒng)，VO代表操作系統(tǒng)脆弱性，VI代表中間件脆弱性，VD代表數(shù)據(jù)庫(kù)脆弱性，VM 代表應(yīng)用系統(tǒng)本身的脆弱性，則V=VO+VI+VD+VM，其中：

1.4 風(fēng)險(xiǎn)計(jì)算

根據(jù)以上賦值和計(jì)算結(jié)果可得分別得到每個(gè)資產(chǎn)的資產(chǎn)值(A)、威脅值(T)、脆弱性值(V)，根據(jù)GB/T 20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范A2.1節(jié)所說(shuō)相乘法計(jì)算，則：

風(fēng)險(xiǎn)值=資產(chǎn)重要性(A)×資產(chǎn)面臨的威脅(T)×資產(chǎn)脆弱性(V)

2 新疆電力公司信息安全風(fēng)險(xiǎn)評(píng)估開展情況

根據(jù)國(guó)家電網(wǎng)公司信息技術(shù)[2007]16號(hào)“關(guān)于印發(fā)2007年信息安全風(fēng)險(xiǎn)評(píng)估工作部署會(huì)議紀(jì)要的通知”，新疆電力公司從 2007年起開始開展信息安全評(píng)估工作。在 2007和2008兩年中通過(guò)和中國(guó)電科院密切合作，完成了新疆電力公司第一輪信息安全風(fēng)險(xiǎn)評(píng)估工作。

在第一輪的工作開展過(guò)程中，在圓滿完成評(píng)估工作的同時(shí)，新疆電科院也同時(shí)培養(yǎng)了自己的評(píng)估隊(duì)伍，也體會(huì)到評(píng)估工作需要常態(tài)化，從2009年起，將公司本部及所屬20家單位按照三年一個(gè)周期編排了每年完整評(píng)估計(jì)劃，目前已完成2009至2011年第一個(gè)周期的所有單位的評(píng)估，2012年開始進(jìn)行第二個(gè)周期的評(píng)估工作，新疆電力公司嚴(yán)格按照計(jì)劃持續(xù)開展評(píng)估和整改工作，將評(píng)估作為信息安全的一個(gè)抓手，強(qiáng)化信息安全各個(gè)環(huán)節(jié)工作(圖2)。

圖2 新疆電力公司信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃表

為了保證評(píng)估工作的水平和質(zhì)量，新疆電科院在 2010年建設(shè)了信息安全實(shí)驗(yàn)室，配備了包括便攜式漏洞掃描器、數(shù)據(jù)庫(kù)弱點(diǎn)掃描器、Web脆弱性掃描工具等評(píng)估工具。評(píng)估范圍涉及包括各單位所有信息資產(chǎn)評(píng)估、資產(chǎn)面臨的威脅分析與評(píng)估以及資產(chǎn)本身的脆弱性評(píng)估，除了對(duì)網(wǎng)絡(luò)構(gòu)架脆弱性、設(shè)備配置脆弱性、主機(jī)、數(shù)據(jù)庫(kù)、中間件，對(duì)于新疆電力公司各單位自建業(yè)務(wù)系統(tǒng)，新疆電科院通過(guò)各種評(píng)估工具以及手工等方式進(jìn)行，進(jìn)行專業(yè)的滲透測(cè)試，并發(fā)現(xiàn)了大量的SQL注入及XXS等安全漏洞。

風(fēng)險(xiǎn)評(píng)估工作是一項(xiàng)費(fèi)時(shí)、需要人力支持以及相關(guān)專業(yè)或業(yè)務(wù)知識(shí)支持的工作，隨著工作的持續(xù)進(jìn)行積累了大量信息、數(shù)據(jù)和報(bào)告，為加強(qiáng)管理、減輕報(bào)告編制的壓力，我們編寫了一鍵式采集腳本工具，自主開發(fā)了一套信息安全風(fēng)險(xiǎn)評(píng)估管理平臺(tái)，用于管理目標(biāo)信息系統(tǒng)的資產(chǎn)信息，分析面臨的威脅及存在的脆弱性，通過(guò)可能性和影響程度來(lái)自動(dòng)計(jì)算系統(tǒng)風(fēng)險(xiǎn)，同時(shí)可以自動(dòng)生成評(píng)估報(bào)告，為風(fēng)險(xiǎn)評(píng)估工作的規(guī)范化、流程化、自動(dòng)化實(shí)施提供全面的技術(shù)支撐，并大大的縮短了整體評(píng)估工作時(shí)間，以下為開發(fā)使用風(fēng)險(xiǎn)評(píng)估管理平臺(tái)前后平均工作時(shí)間對(duì)比。

3 持續(xù)開展評(píng)估的工作體會(huì)

3.1 公司重視與大力支持是持續(xù)開展的必要條件

新疆電力公司科信部門充分認(rèn)識(shí)到持續(xù)開展評(píng)估工作的重要性，認(rèn)為持續(xù)性的評(píng)估和整改可以不斷降低各單位信息安全風(fēng)險(xiǎn)，要求電科院嚴(yán)格按照每三年一個(gè)周期持續(xù)開展評(píng)估工作，切實(shí)將信息安全風(fēng)險(xiǎn)評(píng)估落到實(shí)處，同時(shí)加強(qiáng)評(píng)估過(guò)程管理和質(zhì)量管理，周密安排，精心組織，每年將評(píng)估報(bào)告報(bào)公司科信部備案。并要求嚴(yán)格按照相關(guān)保密管理要求，加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果的保密管理。電科院要有效指導(dǎo)各單位持續(xù)低、系統(tǒng)地開展信息安全防護(hù)體系建設(shè)和安全整改加固工作。

這幾年來(lái)，我們的評(píng)估工作達(dá)到了很好的效果，各單位都把評(píng)估和整改工作作為常規(guī)性的日常工作來(lái)進(jìn)行，風(fēng)險(xiǎn)值不斷得到下降。

3.2 隊(duì)伍建設(shè)達(dá)到滿意效果

評(píng)估工作對(duì)剛步入工作崗位的年輕員工是很好的鍛煉和提高機(jī)會(huì)，可以迅速的將學(xué)校學(xué)到的理論知識(shí)與實(shí)際系統(tǒng)、設(shè)備聯(lián)系起來(lái)，通過(guò)評(píng)估工作，新疆電科院目前培養(yǎng)了一支優(yōu)秀的信息安全服務(wù)隊(duì)伍，對(duì)評(píng)估所涉及軟硬件在安全檢查、安全配置、安全加固等方面的技能得到質(zhì)的提高。

3.3 評(píng)估工作與等保測(cè)評(píng)的緊密結(jié)合

等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性管理制度，其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。

在開展評(píng)估過(guò)程中對(duì)檢查表的內(nèi)容設(shè)計(jì)充分考慮了等級(jí)保護(hù)的要求，甚至從充分挖掘風(fēng)險(xiǎn)的出發(fā)點(diǎn)，很多檢查項(xiàng)的要求都高于等級(jí)保護(hù)測(cè)評(píng)的要求。這樣就會(huì)保證了對(duì)風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的問(wèn)題進(jìn)行充分整改后，同時(shí)可以達(dá)到等級(jí)保護(hù)的相關(guān)要求，從而達(dá)到同步完成等保測(cè)評(píng)的目的。

3.4 評(píng)估工作與信息安全督查共同保障信息安全

新疆電力公司在日常的評(píng)估工作中，全面地分析了信息系統(tǒng)的安全現(xiàn)狀和面臨的主要安全風(fēng)險(xiǎn)，在分析風(fēng)險(xiǎn)原因的基礎(chǔ)上為信息系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)、使用和改進(jìn)提供了安全性建議，同時(shí)將評(píng)估工作中發(fā)現(xiàn)的信息安全風(fēng)險(xiǎn)及安全隱患納入信息安全督查整改計(jì)劃，督促問(wèn)題單位及時(shí)整改，按照“發(fā)現(xiàn)-評(píng)估-報(bào)告-治理-驗(yàn)收-銷號(hào)”的流程進(jìn)行問(wèn)題進(jìn)行閉環(huán)管理，各類風(fēng)險(xiǎn)及安全隱患按整改要求實(shí)行“一患一檔”，確定整改完成時(shí)間和責(zé)任人，同時(shí)每月將各單位安全問(wèn)題整改情況進(jìn)行通報(bào)，建立風(fēng)險(xiǎn)隱患監(jiān)督考核機(jī)制，督促問(wèn)題完成整改。既以評(píng)估工作為出發(fā)點(diǎn)，以安全整改為落腳點(diǎn)，一手緊抓評(píng)估工作，一手督促問(wèn)題整改，來(lái)保障信息系統(tǒng)安全。

4 結(jié)束語(yǔ)

風(fēng)險(xiǎn)評(píng)估是一項(xiàng)需要持續(xù)開展，并且要長(zhǎng)期堅(jiān)持的工作，是當(dāng)前電力公司信息化工作的迫切需要和客觀的需求，是風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，只有通過(guò)對(duì)信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行全面分析評(píng)估，并實(shí)施有效的整改工作，才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行。

[1]王濤,陳金仕.信息安全風(fēng)險(xiǎn)評(píng)估策略研究[J].現(xiàn)在電子技術(shù).2012.

[2]Wang-Tao,Chen Jin-shi.Fechnique Research on strategy of information security risk assessment[J].Modern Electronics.2012.

[3]張聞，孫歆.信息安全風(fēng)險(xiǎn)評(píng)估在浙江省電力公司的應(yīng)用[J].浙江電力.2011.

[4]Zhang-Wen,Sun-Xin.Application of Information Security Risk Assessment in Zhejiang Electric Power Corporation [J].Zhejiang Electric Power.2011.

[5]王芙艷.信息安全風(fēng)險(xiǎn)評(píng)估在核電企業(yè)的有效應(yīng)用[J].電力信息化.2011.

[6]Wang Fu-yan,Effective Application of Information Security Risk Assessment to Nuclear Enterprises[J]. Electric Power It.2011.

[7]汪兆成.基于.云計(jì)算模式的信息安全風(fēng)險(xiǎn)評(píng)估研究[J].信息網(wǎng)絡(luò)安全.2011.

[8]Wang Zhang-cheng. Research on Information Security Risk Assessment Based on Cloud Computing Model[J].Netinfo Security.2011.

[9]趙英杰,李鵬輝.信息化建設(shè)中的信息安全風(fēng)險(xiǎn)評(píng)估[J].信息安全與通信保密.2011.

[10]Zhao Yingjie,Li Peng-hui.Information Security Risk Assessment in Building Information System [J].China information security.2011.