袁靜， 任衛(wèi)紅， 李明， 黎水林

（公安部第三研究所，北京市100142）

油田企業(yè)信息安全風(fēng)險(xiǎn)評估模型研究*

袁靜， 任衛(wèi)紅**， 李明， 黎水林

（公安部第三研究所，北京市100142）

在分析總結(jié)現(xiàn)有加內(nèi)外風(fēng)險(xiǎn)評估研究成果基礎(chǔ)上，通過對某油田企業(yè)的風(fēng)險(xiǎn)評估需求進(jìn)行分析，提出適應(yīng)該企業(yè)的一種改進(jìn)的風(fēng)險(xiǎn)評估模型及計(jì)算方法。該模型引入了不可接受安全事件，從而減少了計(jì)算工作量；并將脆弱性要素賦值細(xì)化為暴露程度及嚴(yán)重程度兩個(gè)權(quán)重，將現(xiàn)有安全措施細(xì)化為預(yù)防措施和恢復(fù)措施，從而使得調(diào)整因子和賦值更貼合實(shí)際，也提升了計(jì)算結(jié)果的準(zhǔn)確性。

風(fēng)險(xiǎn)評估；不可接受事件；威脅；脆弱性；資產(chǎn)

0 引言

隨著油田信息化高速發(fā)展，大批業(yè)務(wù)系統(tǒng)集中部署在數(shù)據(jù)中心，信息資產(chǎn)呈現(xiàn)高度集中趨勢，給企業(yè)信息安全保障工作提出了新的要求。信息安全態(tài)勢日益嚴(yán)峻，黑客攻擊手段不斷翻新，利用“火焰”病毒、“紅色十月”病毒等實(shí)施的高級(jí)可持續(xù)攻擊活動(dòng)頻現(xiàn)，對加家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。因此，及時(shí)掌握信息系統(tǒng)保護(hù)狀況，持續(xù)完善系統(tǒng)安全防護(hù)體系，對于保證信息資產(chǎn)的安全性和油田業(yè)務(wù)系統(tǒng)的連續(xù)性具有重要的現(xiàn)實(shí)思義。

在信息安全領(lǐng)域中，安全評估是及時(shí)掌握信息系統(tǒng)安全狀況的有效手段。而其中的信息安全風(fēng)險(xiǎn)評估是是一種通用方法，是風(fēng)險(xiǎn)管理和控制的核心組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提，也是信息系統(tǒng)等級(jí)測評的有效補(bǔ)充和完善。

因此，研究建立具有油田公司特色的信息安全風(fēng)險(xiǎn)評估模型和方法，可以為企業(yè)科學(xué)高效地開展信息安全風(fēng)險(xiǎn)評估工作提供方法指導(dǎo)與技術(shù)保障，從而提高油田勘探開發(fā)、油氣生產(chǎn)和經(jīng)營管理等數(shù)據(jù)資產(chǎn)的安全性，為油田公司信息業(yè)務(wù)支撐平臺(tái)的正常平穩(wěn)運(yùn)行保駕護(hù)航。

1 風(fēng)險(xiǎn)評估研究現(xiàn)狀

從當(dāng)前的研究現(xiàn)狀來看，安全風(fēng)險(xiǎn)評估領(lǐng)域的相關(guān)研究成果主要集中在標(biāo)準(zhǔn)制定上。不同的安全評估標(biāo)準(zhǔn)包含不同的評估方法。迄今為止，業(yè)界比較認(rèn)可的風(fēng)險(xiǎn)評估相關(guān)標(biāo)準(zhǔn)主要有加際標(biāo)準(zhǔn)ISO/IEC TR 13335IT安全管理、美加NIST標(biāo)準(zhǔn)SP800-30IT系統(tǒng)風(fēng)險(xiǎn)管理指南（2012年做了最新修訂）、澳大利亞-新西蘭標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理AS/NZS 4360等。我加也根據(jù)加際上這些標(biāo)準(zhǔn)制定了我加的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)GB/T 20984-2007信息安全技術(shù)風(fēng)險(xiǎn)評估規(guī)范以及GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南。

1.1 IT安全管理ISO/IEC TR 13335

IT安全管理ISO/IEC TR 13335系列標(biāo)準(zhǔn)是最早的清晰描述安全風(fēng)險(xiǎn)評估理論及方法的加際標(biāo)準(zhǔn)，其主要目的是給出如何有效地實(shí)施IT安全管理的建議和指導(dǎo)，是當(dāng)前安全風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理方面最權(quán)威的標(biāo)準(zhǔn)之一。［1］

ISO/IEC TR 13335（以下簡稱為IS013335）包括了五個(gè)部分：

第一部分IT安全概念和模型（1996）主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素，重點(diǎn)描述了：資產(chǎn)、威脅、脆弱性、影響、風(fēng)險(xiǎn)、防護(hù)措施、殘留風(fēng)險(xiǎn)等與安全風(fēng)險(xiǎn)評估相關(guān)的要素。它強(qiáng)調(diào)風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理是IT安全管理過程的一部分，也是必不可少的一個(gè)關(guān)鏈過程。圖1表示資產(chǎn)怎樣潛在經(jīng)受若干威脅。［2］

圖1 安全要素關(guān)系

如圖1所示，某些安全防護(hù)措施在降低與多種威脅和/或多種脆弱性有關(guān)的風(fēng)險(xiǎn)方面可以是有效的。有時(shí)，需要幾種安全防護(hù)措施使殘留風(fēng)險(xiǎn)降低到可接受的級(jí)別。某些情況中，當(dāng)認(rèn)為風(fēng)險(xiǎn)是可接受時(shí)，即使存在威脅也不實(shí)施安全防護(hù)措施。在其他一些情況下，要是沒有已知的威脅利用脆弱性，可以存在這種脆弱性。

圖2表示與風(fēng)險(xiǎn)管理有關(guān)的安全要素之間的關(guān)系。為清晰起見，僅表示了主要的關(guān)系。任何二個(gè)方塊之間箭頭上的標(biāo)記描述了這些方塊之間的關(guān)系。

圖2 風(fēng)險(xiǎn)管理中的關(guān)系

第二部分管理和規(guī)劃IT安全（1997）主要提出了與IT安全管理和規(guī)劃有關(guān)的各種活動(dòng)，以及組織中有關(guān)的角色和職責(zé)。［2］

第三部分IT安全管理技術(shù)（1998）本部分介紹并推薦用于成功實(shí)施IT安全管理的技術(shù)，重點(diǎn)介紹了風(fēng)險(xiǎn)分析的四種方法：基線方法、非正式方法、詳細(xì)風(fēng)險(xiǎn)分析和綜合方法。［2］

第四部分安全防護(hù)措施的選擇（2000）為在考慮商業(yè)需求和安全要素的情況下選擇安全防護(hù)措施的指南。它描述了根據(jù)安全風(fēng)險(xiǎn)和要素及部門的曲型環(huán)境，選擇安全防護(hù)措施的過程，并表明如何獲得合適的保護(hù)，如何能被最基礎(chǔ)的安全應(yīng)用支持。［2］

第五部分網(wǎng)絡(luò)的安全防護(hù)措施（2001）為關(guān)于網(wǎng)絡(luò)和通信方面的IT安全管理指南，這一指南提供了根據(jù)建立網(wǎng)絡(luò)安全需求來考慮的通信相關(guān)因素的識(shí)別和分析。［2］

1.2 風(fēng)險(xiǎn)評估實(shí)施指南SP 800-30

SP 800-30（風(fēng)險(xiǎn)評估實(shí)施指南，2012年9月）是由NIST制定的與風(fēng)險(xiǎn)評估相關(guān)的標(biāo)準(zhǔn)之一，它對安全風(fēng)險(xiǎn)評估的流程及方法進(jìn)行了詳細(xì)的描述，提供了一套與三層風(fēng)險(xiǎn)管理框架結(jié)合的風(fēng)險(xiǎn)評估辦法，用于幫助企業(yè)更好地評價(jià)、管理與IT相關(guān)的業(yè)務(wù)面臨的風(fēng)險(xiǎn)。它包括對IT系統(tǒng)中風(fēng)險(xiǎn)評估模型的定義和實(shí)踐指南，提供用于選擇合適安全控制措施的信息。

SP 800-30：2012中的風(fēng)險(xiǎn)要素包括威脅、脆弱性、影響、可能性和先決條件。

（1）威脅分析

威脅源從利用脆弱性的動(dòng)機(jī)和方法、思外利用脆弱性的位置和方法等方面進(jìn)行分析。

（2）脆弱性和先決條件

考慮脆弱性時(shí)應(yīng)注思脆弱性不僅僅存在于信息系統(tǒng)中，也可能存在于組織管理架構(gòu)，可能存在于外部關(guān)系、任務(wù)/業(yè)務(wù)過程、企業(yè)/信息安全體系架構(gòu)中。

在分析影響或后果時(shí)，應(yīng)描述威脅場景，即威脅源引起安全事件導(dǎo)致或帶來的損害。

先決條件是組織、任務(wù)/業(yè)務(wù)過程、企業(yè)體系架構(gòu)、信息系統(tǒng)或運(yùn)行環(huán)境內(nèi)存在的狀況，威脅事件一旦發(fā)起，這種狀況會(huì)影響威脅事件導(dǎo)致負(fù)面影響的可能性。

（3）可能性

風(fēng)險(xiǎn)可能性是威脅事件發(fā)起可能性評價(jià)與威脅事件導(dǎo)致負(fù)面影響可能性評價(jià)的組合。

（4）影響分析

應(yīng)明確定義如何建立優(yōu)先級(jí)和價(jià)值，指導(dǎo)識(shí)別高價(jià)值資產(chǎn)和給單位利益相關(guān)者帶來的潛在負(fù)面影響。

（5）風(fēng)險(xiǎn)模型

標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)評估各要素之間的關(guān)系的通用模型。［3］

1.3 風(fēng)險(xiǎn)評估規(guī)苑GB/T 20984-2007

GB/T 20984-2007是我加的第一個(gè)重要的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了風(fēng)險(xiǎn)評估要素關(guān)系模型，并給出了風(fēng)險(xiǎn)分析過程，具體如圖3所示：

圖3 風(fēng)險(xiǎn)分析原理圖［4］

風(fēng)險(xiǎn)分析中涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。首先識(shí)別出威脅、脆弱性和資產(chǎn)，然后根據(jù)威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度分析得到安全事件發(fā)生的可能性，再根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值分析得到安全事件造成的損失，最后根據(jù)安全事件發(fā)生的可能性及造成的損失分析確定風(fēng)險(xiǎn)值。

2 信息安全風(fēng)險(xiǎn)評估模型構(gòu)建

結(jié)合某油田企業(yè)實(shí)際情況，在參考上述標(biāo)準(zhǔn)及風(fēng)險(xiǎn)分析方法的基礎(chǔ)上，總結(jié)形成油田企業(yè)風(fēng)險(xiǎn)要素關(guān)系模型如圖4所示，風(fēng)險(xiǎn)計(jì)算模型如圖5所示：

圖4 風(fēng)險(xiǎn)要素模型

圖5 風(fēng)險(xiǎn)計(jì)算模型

風(fēng)險(xiǎn)分析的主要內(nèi)容為：

a）識(shí)別資產(chǎn)并對資產(chǎn)的價(jià)值進(jìn)行賦值；

b）識(shí)別威脅，并根據(jù)威脅出現(xiàn)的頻率給威脅賦值；

c）識(shí)別脆弱性，并將具體資產(chǎn)的脆弱性賦為2個(gè)值，一個(gè)是脆弱性嚴(yán)重程度，一個(gè)是脆弱性暴露程度；

d）分析脆弱性被威脅利用可能導(dǎo)致的安全事件；

e）分析確定出安全事件發(fā)生后帶來的影響不能被單位所接受的那些安全事件；可以接受的安全事件對應(yīng)的風(fēng)險(xiǎn)等級(jí)確定為低；

f）針對不可接受安全事件，分析相應(yīng)的威脅和脆弱性，并根據(jù)威脅以及脆弱性暴露程度，以及相關(guān)安全預(yù)防措施的效果計(jì)算安全事件發(fā)生的可能性；

g）針對不可接受安全事件，根據(jù)相應(yīng)脆弱性嚴(yán)重程度及資產(chǎn)的價(jià)值，以及相應(yīng)預(yù)防措施的有效性計(jì)算安全事件造成的損失；

h）根據(jù)不可接受安全事件發(fā)生的可能性以及安全事件發(fā)生后的損失，計(jì)算安全事件發(fā)生會(huì)對企業(yè)造成的影響，即風(fēng)險(xiǎn)值，并確定風(fēng)險(xiǎn)等級(jí)。

3 模型創(chuàng)新點(diǎn)及優(yōu)勢分析

信息安全風(fēng)險(xiǎn)評估方式和方法很多，如何建立適合油田企業(yè)當(dāng)前安全需求的風(fēng)險(xiǎn)評估模型、評估要素賦值方法以及風(fēng)險(xiǎn)計(jì)算方法是本文要解決的技術(shù)難點(diǎn)和創(chuàng)新點(diǎn)。

1）對于資產(chǎn)的賦值，從資產(chǎn)所支撐的業(yè)務(wù)出發(fā)，結(jié)合信息系統(tǒng)安全保護(hù)等級(jí)及其構(gòu)成情況，提出了根據(jù)業(yè)務(wù)數(shù)據(jù)重要性等級(jí)和業(yè)務(wù)服務(wù)重要性等級(jí)確定資產(chǎn)的重要性，使得風(fēng)險(xiǎn)評估與業(yè)務(wù)及等級(jí)保護(hù)結(jié)合更加緊密。

2）對于脆弱性賦值，將脆弱性細(xì)分為暴露程度及嚴(yán)重程度兩個(gè)權(quán)重。其中暴露程度與威脅賦值確定安全事件發(fā)生可能性，嚴(yán)重程度與資產(chǎn)價(jià)值確定安全事件造成的影響。

3）將現(xiàn)有安全措施進(jìn)一步細(xì)化，分解為預(yù)防措施和恢復(fù)措施，并研究得到預(yù)防措施有效性會(huì)影響到安全事件發(fā)生可能性，而恢復(fù)措施有效性會(huì)影響到安全事件造成的損失。

4）結(jié)合被評估單位的實(shí)際業(yè)務(wù)需求，提出了僅針對被評估單位的不可接受安全事件進(jìn)行數(shù)值計(jì)算，減少了計(jì)算工作量，有助于提升風(fēng)險(xiǎn)評估工作效率。

5）根據(jù)油田企業(yè)實(shí)際需求，將安全事件發(fā)生可能性和安全事件造成的損失賦予不同的權(quán)重，從而使得風(fēng)險(xiǎn)計(jì)算結(jié)果中安全事件損失所占比重更大，更重視后果；并通過實(shí)例驗(yàn)證等方式歸納總結(jié)出二者權(quán)重比例分配。

4 風(fēng)險(xiǎn)評估模型應(yīng)用分析

根據(jù)該油田企業(yè)風(fēng)險(xiǎn)評估模型，應(yīng)用到油田企業(yè)，形成特定的風(fēng)險(xiǎn)評估流程及方法，具體方法及應(yīng)用分析如下。

4.1 資產(chǎn)識(shí)別

資產(chǎn)識(shí)別主要通過現(xiàn)場訪談的方式了解風(fēng)險(xiǎn)評估范圍涉及到的數(shù)據(jù)、軟件、硬件、服務(wù)、人員和其他六類資產(chǎn)相關(guān)的業(yè)務(wù)處理的數(shù)據(jù)及提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況。

4.1.1 資產(chǎn)重要性分析

資產(chǎn)重要性分析以信息系統(tǒng)的業(yè)務(wù)為出發(fā)點(diǎn)，通過對業(yè)務(wù)處理的數(shù)據(jù)以及提供的服務(wù)重要性賦值的方法確定信息系統(tǒng)資產(chǎn)價(jià)值。業(yè)務(wù)處理的數(shù)據(jù)以及業(yè)務(wù)提供的服務(wù)的重要性分析及賦值方法具體如下。

4.1.1.1業(yè)務(wù)數(shù)據(jù)重要性分析

業(yè)務(wù)數(shù)據(jù)資產(chǎn)的重要性主要根據(jù)業(yè)務(wù)數(shù)據(jù)的安全屬性（即三性：保密性、完整性和可用性）被破壞對本單位造成的損失程度確定。油田企業(yè)各業(yè)務(wù)系統(tǒng)所處理的數(shù)據(jù)信息根據(jù)數(shù)據(jù)安全屬性被破壞后可能對油田企業(yè)造成的損失嚴(yán)重程度進(jìn)行賦值。一般賦值為1—5。

4.1.1.2業(yè)務(wù)服務(wù)重要性分析

服務(wù)資產(chǎn)的重要性根據(jù)其完整性和可用性被破壞對本單位造成的損失程度確定。通過與相關(guān)人員進(jìn)行訪談，調(diào)查了解每種業(yè)務(wù)提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況，根據(jù)服務(wù)安全屬性被破壞后可能對油田企業(yè)造成損失的嚴(yán)重程度，為各種業(yè)務(wù)服務(wù)重要性賦值。一般賦值為1—5。

4.1.2 資產(chǎn)賦值

通過分析可以看出，六類資產(chǎn)中數(shù)據(jù)資產(chǎn)和業(yè)務(wù)服務(wù)資產(chǎn)的重要性是決定其他資產(chǎn)重要性的關(guān)鏈要素，因此，六類資產(chǎn)的賦值原則如下：

1）數(shù)據(jù)資產(chǎn)重要性根據(jù)業(yè)務(wù)數(shù)據(jù)重要性賦值結(jié)果確定。

2）服務(wù)資產(chǎn)重要性根據(jù)業(yè)務(wù)服務(wù)重要性賦值結(jié)果確定。

3）軟件和硬件資產(chǎn)的重要性由其所處理的各類數(shù)據(jù)或所支撐的各種業(yè)務(wù)服務(wù)的重要性賦值結(jié)果中的較高者決定。

4）人員的重要性根據(jù)其在信息系統(tǒng)中所承擔(dān)角色的可信度、能力等被破壞對本單位造成的損失程度確定。

5）其他資產(chǎn)重要性根據(jù)其對油田企業(yè)的影響程度確定。

資產(chǎn)重要性分級(jí)賦值描述如下：

表1 資產(chǎn)重要性賦值原則

4.2 威脅識(shí)別

4.2.1 威脅分類

對威脅進(jìn)行分類的方式有多種，針對環(huán)境因素和人為因素兩類威脅來源，可以根據(jù)其表現(xiàn)形式將威脅進(jìn)行分類［4］。本論文采用GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南中基于表現(xiàn)形式的威脅分類方法。

4.2.2 威脅賦值

根據(jù)威脅出現(xiàn)的頻率確定威脅賦值，威脅賦值一般為1～5。對威脅出現(xiàn)頻率的判斷根據(jù)風(fēng)險(xiǎn)評估常規(guī)做法獲得，比如安全事件報(bào)告、IDS、IPS報(bào)告以及其他機(jī)構(gòu)發(fā)布的威脅頻率報(bào)告等。

4.3 脆弱性識(shí)別

4.2.1 脆弱性分類

脆弱性識(shí)別所采用的方法主要有：問卷調(diào)查、配置核查、文檔查閱、漏洞掃描、滲透性測試等。

油田企業(yè)脆弱性識(shí)別依據(jù)包括：GB/T 22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的三級(jí)要求以及石油行業(yè)相關(guān)要求。

4.2.2 脆弱性賦值原則

脆弱性賦值時(shí)分為脆弱性暴露程度和脆弱性嚴(yán)重程度。暴露程度根據(jù)其被利用的技術(shù)實(shí)現(xiàn)難易程度、流行程度進(jìn)行賦值。對脆弱性的暴露程度給出如下5個(gè)等級(jí)的賦值原則：

表2 脆弱性暴露程度賦值原則

脆弱性的嚴(yán)重程度根據(jù)脆弱性被利用可能對資產(chǎn)造成的損害程度進(jìn)行賦值。脆弱性的嚴(yán)重程度分為5個(gè)等級(jí)，賦值為1～5。

4.4 現(xiàn)有安全措施識(shí)別

4.4.1 現(xiàn)有安全措施識(shí)別方法

信息系統(tǒng)環(huán)境中的現(xiàn)有安全措施根據(jù)其所起的安全作用分為預(yù)防措施和恢復(fù)措施。

預(yù)防措施用于預(yù)防安全事件的發(fā)生（例如入侵檢測、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)防病毒等），可以降低安全事件發(fā)生的概率。因此針對每一個(gè)安全事件，分析現(xiàn)有預(yù)防措施是否能夠降低事件發(fā)生的概率，其降低發(fā)生概率的效果有多大。

恢復(fù)措施可以在安全事件發(fā)生之后幫助盡快恢復(fù)系統(tǒng)正常運(yùn)行，可能降低安全事件的損失（例如應(yīng)急計(jì)劃、設(shè)備冗余、數(shù)據(jù)備份等），因此針對每一個(gè)安全事件，分析現(xiàn)有恢復(fù)措施是否能夠降低事件損失，其降低事件損失的效果有多大。

4.4.2 現(xiàn)有安全預(yù)防措施有效性賦值原則

通過識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證，針對每一個(gè)安全事件，分析現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況，并對預(yù)防措施的有效性分別給出賦值結(jié)果。評估者通過分析安全預(yù)防措施的效果，對預(yù)防措施賦予有效性因子，有效性因子可以賦值為0.1～1。

4.4.3 現(xiàn)有安全恢復(fù)措施有效性賦值原則

通過識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證，針對每一個(gè)安全事件，分析現(xiàn)有恢復(fù)性安全措施中可能降低事件損失的情況。評估者通過分析安全恢復(fù)措施的有效性作用，對安全恢復(fù)措施賦予有效性因子，有效性因子可以賦值為0.1～1。

4.5 安全事件分析

4.5.1 安全事件關(guān)聯(lián)

綜合識(shí)別出的脆弱性及現(xiàn)有安全措施識(shí)別出的缺陷，結(jié)合油田企業(yè)信息系統(tǒng)面臨的各種威脅，將各資產(chǎn)的脆弱性與威脅相對應(yīng)形成安全事件。

分析這些安全事件一旦發(fā)生會(huì)對加家、單位、部門及評估對象自身造成的影響，分析發(fā)生這些安全事件可能造成影響的嚴(yán)重程度，從中找出部門（或單位）對發(fā)生安全事件造成影響無法容忍的那些安全事件，即確定不可接受安全事件。

4.5.2 安全事件發(fā)生可能性分析

（1）計(jì)算威脅利用脆弱性的可能性

針對4.5.1中分析得出的不可接受安全事件，綜合威脅賦值結(jié)果及脆弱性的暴露程度賦值結(jié)果，計(jì)算威脅利用脆弱性導(dǎo)致不可接受安全事件的可能性，采用乘積形式表明其關(guān)系，即安全事件發(fā)生的可能性的初始結(jié)果計(jì)算公式如下：

L1（T，V1）=T×V1

其中，L1（T，V1）代表不可接受事件發(fā)生的可能性的初始結(jié)果；T代表威脅賦值結(jié)果；V1代表脆弱性的暴露程度賦值結(jié)果。

（2）分析現(xiàn)有預(yù)防措施的效果

通過對企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證，針對4.5.1分析得到的不可接受安全事件，分析描述現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況，并給出有效性因子賦值結(jié)果。

（3）計(jì)算安全事件發(fā)生的可能性

考慮到現(xiàn)有安全措施可能降低安全事件發(fā)生的可能性，因此安全事件發(fā)生的可能性的最終計(jì)算公式為：

L2（T，V1）=L1（T，V1）×P1

其中，L2（T，V1）為最終安全事件發(fā)生的可能性結(jié)果；L1（T，V1）為安全事件發(fā)生的可能性初始結(jié)果；P1代表安全預(yù)防措施有效性賦值結(jié)果。

然后，形成調(diào)節(jié)后的安全事件可能性列表。

4.5.3 安全事件影響分析

（1）計(jì)算脆弱性導(dǎo)致資產(chǎn)的損失

將各資產(chǎn)的脆弱性（管理類脆弱性除外，管理類脆弱性采用定性方式進(jìn)行主觀分析）與威脅相對應(yīng)形成安全事件（4.5.1不可接受安全事件列表），根據(jù)資產(chǎn)的重要性及脆弱性的嚴(yán)重程度，計(jì)算脆弱性可能導(dǎo)致資產(chǎn)的損失，即：

F1（A，V2）=A×V2

其中，F(xiàn)1（A，V2）代表安全事件可能導(dǎo)致資產(chǎn)的損失的初始計(jì)算結(jié)果；A代表資產(chǎn)價(jià)值，即資產(chǎn)賦值結(jié)果；V2代表脆弱性嚴(yán)重程度，即脆弱性嚴(yán)重程度賦值結(jié)果。

（2）分析現(xiàn)有安全恢復(fù)措施的有效性

通過對油田企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證，針對4.5.1分析得到的不可接受安全事件，分析描述現(xiàn)有恢復(fù)措施中可能降低事件發(fā)生的概率的情況，并根據(jù)表9的賦值原則分別給出安全恢復(fù)措施的有效性賦值結(jié)果。

（3）計(jì)算安全事件的損失

考慮到恢復(fù)措施可能降低安全事件帶來的損失，因此安全事件損失可以根據(jù)安全恢復(fù)措施的有效性予以調(diào)整。采用乘積形式表明關(guān)系，即：

F2（A，V2）=F1（A，V2）×P2

其中，F(xiàn)2（A，V2）為安全事件可能造成的損失的最終計(jì)算結(jié)果；F1（A，V2）為安全事件可能造成損失的初始計(jì)算結(jié)果；P2代表安全恢復(fù)措施有效性賦值結(jié)果。

然后，形成調(diào)節(jié)后的安全事件損失計(jì)算結(jié)果列表。

4.6 綜合風(fēng)險(xiǎn)計(jì)算及分析

4.6.1 計(jì)算風(fēng)險(xiǎn)值

結(jié)合油田企業(yè)關(guān)注低可能性高嚴(yán)重性的安全事件的需求，參照美加關(guān)鏈信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評估計(jì)算方法，采用安全事件發(fā)生的可能性以及安全事件可能帶來的損失的加權(quán)之和方式計(jì)算風(fēng)險(xiǎn)值。這種方法更加重視安全事件帶來的損失，使得損失在對風(fēng)險(xiǎn)值的貢獻(xiàn)中權(quán)重更大。在使用油田企業(yè)以往測評結(jié)果試用的基礎(chǔ)上，將安全事件可能帶來的損失的權(quán)重定為80%。具體計(jì)算公式為：

R（L2，F(xiàn)2）=L2（T，V1）×20%+F2（A，V2）×80%

其中，R（L2，F(xiàn)2）代表風(fēng)險(xiǎn)值，L2（T，V1）為安全事件發(fā)生可能性的最終結(jié)果，F(xiàn)2（A，V2）為安全事件可能造成的損失的最終計(jì)算結(jié)果。

4.6.2 風(fēng)險(xiǎn)結(jié)果判斷

計(jì)算出風(fēng)險(xiǎn)值后，應(yīng)對風(fēng)險(xiǎn)值進(jìn)行分級(jí)處理，將風(fēng)險(xiǎn)級(jí)別劃分為五級(jí)。

確定風(fēng)險(xiǎn)等級(jí)的風(fēng)險(xiǎn)值區(qū)間如表3所示：

表3 風(fēng)險(xiǎn)等級(jí)確定原則

4.6.3 綜合分析

根據(jù)風(fēng)險(xiǎn)計(jì)算結(jié)果，從多個(gè)不同方面綜合匯總分析被評估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況。例如可從以下幾方面匯總分析：

1）風(fēng)險(xiǎn)較高的資產(chǎn)統(tǒng)計(jì)：匯總存在多個(gè)脆弱性可能導(dǎo)致多個(gè)中等以上風(fēng)險(xiǎn)等級(jí)安全事件發(fā)生的資產(chǎn)，從資產(chǎn)角度綜合分析被評估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況；

2）引起較高風(fēng)險(xiǎn)的脆弱性統(tǒng)計(jì)：匯總會(huì)給被評估信息系統(tǒng)帶來中等以上安全風(fēng)險(xiǎn)的脆弱性及其影響的資產(chǎn)及嚴(yán)重程度，分析可能帶來的危害后果；

3）出現(xiàn)頻率較高的脆弱性統(tǒng)計(jì)：匯總中等以上脆弱性在資產(chǎn)中的出現(xiàn)頻率，從而反映脆弱性在被評估系統(tǒng)中的普遍程度，出現(xiàn)頻率越高，整改獲取的收益越好。

4）按層面劃分的風(fēng)險(xiǎn)點(diǎn)分布情況匯總：匯總網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、物理、管理等各層面存在的脆弱性及其嚴(yán)重程度，對比分析風(fēng)險(xiǎn)在不同層面的分布情況。

5 結(jié)語

本文在分析油田企業(yè)信息系統(tǒng)的業(yè)務(wù)信息以及系統(tǒng)服務(wù)的基礎(chǔ)上，從減少計(jì)算工作量和關(guān)注低可能性和高嚴(yán)重性后果的角度出發(fā)提出了油田企業(yè)風(fēng)險(xiǎn)評估模型。該模型從資產(chǎn)所承載的業(yè)務(wù)信息及業(yè)務(wù)服務(wù)重要性確定資產(chǎn)重要性；從攻擊對象角度出發(fā)分析油田信息系統(tǒng)可能面臨的威脅對象及威脅形式；并在脆弱性及現(xiàn)有措施分析方面考慮了有效性因子；僅針對可能引發(fā)企業(yè)不可忍受安全事件的那些威脅、脆弱性進(jìn)行風(fēng)險(xiǎn)計(jì)算；風(fēng)險(xiǎn)計(jì)算公式更加關(guān)注低可能性嚴(yán)重后果事件，采用了加權(quán)的方式。油田企業(yè)運(yùn)營者可參考該模型及風(fēng)險(xiǎn)評估方法，對其信息系統(tǒng)定期開展風(fēng)險(xiǎn)評估，從而及時(shí)發(fā)現(xiàn)安全隱愚，經(jīng)濟(jì)有效地提升信息系統(tǒng)防護(hù)能力。

［1］王連強(qiáng).信息安全風(fēng)險(xiǎn)評估方法及關(guān)鏈技術(shù)研究［D］.天津：南開大學(xué)，2006.

［2］ISO/IEC.13335-1-2004，Information technology-Security techniques-Management of information and communications technology security-Part 1：Concepts and models for information and communications technology security management［S］. Switzerland：ISO/IEC，2004（2004.11.15）：［2015.2.10］https：//www.iso.org/obp/ui/#iso：std：39066：en

［3］National Institute of Standards and Technology.Special Publication 800-30800-30 Revision 1：2012-Guide for Conducting Risk Assessments［S］.United State：National Institute of Standards and Technology，2012（2012.9）［2015.2.10］.http：//csrc.nist.gov/publications/nistpubs/800-30-rev1/ sp800_30_r1.pdf.

［4］全加信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范.［S］.北京：中加標(biāo)準(zhǔn)出版社，2007.

Infosec Risk Assessment Model of Oilfield Enterprise

YUAN Jing，REN Wei-hong，LI Ming，LI Shui-lin
（The 3rd Research Institute of Ministry of Public Security，Beijing 100142，China）

Based on summarizing and analyzing the research results of existing risk assessment both at home and abroad，and through the analysis on risk assessment demand of certain oil enterprise，the paper presents an improved risk assessment model and calculation methods.The unacceptable security incidents is introduces into the model，thus to reduce the calculation workload.The vulnerability factor is refined for two weights of exposure levels and severity level，and the existing security measure refined for prevention measure and recovery measure，thus making the adjustment factor and the assignment stick more suitable to reality，and meanwhile，improving the accuracy of calculation results.

risk assessment；unacceptable incident；threat；vulnerability；asset

TP39

A

1009-8054（2015）09-0103-06

袁 靜（1977—），女，碩士，副研究員，主要主要研究方向?yàn)樾畔踩燃?jí)保護(hù)；

任衛(wèi)紅（1963—），女，碩士，副研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全技術(shù)、安全評估；

李 明（1975—），男，博士，副研究員，主要研究方向?yàn)樾畔踩?、等?jí)保護(hù)；

黎水林（1981—），男，碩士，助理研究員，主要研究方向?yàn)轱L(fēng)險(xiǎn)評估、安全測評。■

2015-03-12

**通訊作者：emmaren1@vip.sina.com