王旭 陳濤 張建業(yè) 李峰

新疆電力科學(xué)研究院 新疆 830000

0 引言

信息系統(tǒng)在支撐國網(wǎng)公司“三集五大”建設(shè)發(fā)揮重要的支撐作用，信息安全除了關(guān)系信息系統(tǒng)自身外還關(guān)系到公司的安全生產(chǎn)，是安全生產(chǎn)的重要組成部分。信息安全風(fēng)險評估(以下簡稱“評估”)是對公司一體化企業(yè)級信息系統(tǒng)的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，以識別信息安全風(fēng)險，發(fā)現(xiàn)信息網(wǎng)絡(luò)、信息系統(tǒng)的脆弱性和薄弱環(huán)節(jié)，提出有針對性的信息安全整改工作建議，提高信息系統(tǒng)整體防護(hù)水平。

信息安全風(fēng)險評估是依據(jù)國家有關(guān)的政策法規(guī)及信息技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評估的活動過程。它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。

從另一角度，持續(xù)的風(fēng)險評估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績效的有力手段，風(fēng)險評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項、投資、運(yùn)行產(chǎn)生影響，促進(jìn)信息系統(tǒng)擁有單位加強(qiáng)信息安全建設(shè)。

1 新疆電力公司信息安全風(fēng)險評估方法

風(fēng)險評估中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險分析的主要內(nèi)容為(圖1)。

圖1 風(fēng)險分析過程

1.1 資產(chǎn)評估與賦值

資產(chǎn)評估是對資產(chǎn)在機(jī)密性、完整性和可用性三個安全屬性的要求進(jìn)行評估的過程，對資產(chǎn)各屬性賦值按如下規(guī)定進(jìn)行(表 1)。

表1 資產(chǎn)賦值表

續(xù)表

資產(chǎn)價值由資產(chǎn)的機(jī)密性、可用性和完整性的最大值決定，因此

資產(chǎn)價值A(chǔ)=MAX{（機(jī)密性（C），可用性（I），完整性（A）}

1.2 威脅評估

威脅評估的重要內(nèi)容是對威脅進(jìn)行賦值，為風(fēng)險分析提供確定的等級數(shù)據(jù)，確保風(fēng)險分析結(jié)果的科學(xué)性(表2)。

表2 威脅賦值表

續(xù)表

S代表威脅的嚴(yán)重程度，F(xiàn)代表威脅的可能性賦值，T代表資產(chǎn)面臨某一種威脅值

TC代表涉及機(jī)密性的威脅，TI完整性的威脅，TA代表涉及可用性的威脅，

資產(chǎn)最終威脅T=MAX{TC,TI,TA}

1.3 脆弱性評估

脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生，并造成損失。

脆弱性嚴(yán)重程度可以進(jìn)行等級化處理，不同的等級分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。脆弱性嚴(yán)重程度賦值表(表3)。

表3 脆弱性賦值表

用V代表資產(chǎn)脆弱性，

對于網(wǎng)絡(luò)與安全設(shè)備資產(chǎn),V等于資產(chǎn)所有脆弱性賦值的平均值：

對于應(yīng)用系統(tǒng)，VO代表操作系統(tǒng)脆弱性，VI代表中間件脆弱性，VD代表數(shù)據(jù)庫脆弱性，VM 代表應(yīng)用系統(tǒng)本身的脆弱性，則V=VO+VI+VD+VM，其中：

1.4 風(fēng)險計算

根據(jù)以上賦值和計算結(jié)果可得分別得到每個資產(chǎn)的資產(chǎn)值(A)、威脅值(T)、脆弱性值(V)，根據(jù)GB/T 20984-2007信息安全風(fēng)險評估規(guī)范A2.1節(jié)所說相乘法計算，則：

風(fēng)險值=資產(chǎn)重要性(A)×資產(chǎn)面臨的威脅(T)×資產(chǎn)脆弱性(V)

2 新疆電力公司信息安全風(fēng)險評估開展情況

根據(jù)國家電網(wǎng)公司信息技術(shù)[2007]16號“關(guān)于印發(fā)2007年信息安全風(fēng)險評估工作部署會議紀(jì)要的通知”，新疆電力公司從 2007年起開始開展信息安全評估工作。在 2007和2008兩年中通過和中國電科院密切合作，完成了新疆電力公司第一輪信息安全風(fēng)險評估工作。

在第一輪的工作開展過程中，在圓滿完成評估工作的同時，新疆電科院也同時培養(yǎng)了自己的評估隊伍，也體會到評估工作需要常態(tài)化，從2009年起，將公司本部及所屬20家單位按照三年一個周期編排了每年完整評估計劃，目前已完成2009至2011年第一個周期的所有單位的評估，2012年開始進(jìn)行第二個周期的評估工作，新疆電力公司嚴(yán)格按照計劃持續(xù)開展評估和整改工作，將評估作為信息安全的一個抓手，強(qiáng)化信息安全各個環(huán)節(jié)工作(圖2)。

圖2 新疆電力公司信息安全風(fēng)險評估計劃表

為了保證評估工作的水平和質(zhì)量，新疆電科院在 2010年建設(shè)了信息安全實(shí)驗室，配備了包括便攜式漏洞掃描器、數(shù)據(jù)庫弱點(diǎn)掃描器、Web脆弱性掃描工具等評估工具。評估范圍涉及包括各單位所有信息資產(chǎn)評估、資產(chǎn)面臨的威脅分析與評估以及資產(chǎn)本身的脆弱性評估，除了對網(wǎng)絡(luò)構(gòu)架脆弱性、設(shè)備配置脆弱性、主機(jī)、數(shù)據(jù)庫、中間件，對于新疆電力公司各單位自建業(yè)務(wù)系統(tǒng)，新疆電科院通過各種評估工具以及手工等方式進(jìn)行，進(jìn)行專業(yè)的滲透測試，并發(fā)現(xiàn)了大量的SQL注入及XXS等安全漏洞。

風(fēng)險評估工作是一項費(fèi)時、需要人力支持以及相關(guān)專業(yè)或業(yè)務(wù)知識支持的工作，隨著工作的持續(xù)進(jìn)行積累了大量信息、數(shù)據(jù)和報告，為加強(qiáng)管理、減輕報告編制的壓力，我們編寫了一鍵式采集腳本工具，自主開發(fā)了一套信息安全風(fēng)險評估管理平臺，用于管理目標(biāo)信息系統(tǒng)的資產(chǎn)信息，分析面臨的威脅及存在的脆弱性，通過可能性和影響程度來自動計算系統(tǒng)風(fēng)險，同時可以自動生成評估報告，為風(fēng)險評估工作的規(guī)范化、流程化、自動化實(shí)施提供全面的技術(shù)支撐，并大大的縮短了整體評估工作時間，以下為開發(fā)使用風(fēng)險評估管理平臺前后平均工作時間對比。

3 持續(xù)開展評估的工作體會

3.1 公司重視與大力支持是持續(xù)開展的必要條件

新疆電力公司科信部門充分認(rèn)識到持續(xù)開展評估工作的重要性，認(rèn)為持續(xù)性的評估和整改可以不斷降低各單位信息安全風(fēng)險，要求電科院嚴(yán)格按照每三年一個周期持續(xù)開展評估工作，切實(shí)將信息安全風(fēng)險評估落到實(shí)處，同時加強(qiáng)評估過程管理和質(zhì)量管理，周密安排，精心組織，每年將評估報告報公司科信部備案。并要求嚴(yán)格按照相關(guān)保密管理要求，加強(qiáng)對信息安全風(fēng)險評估過程和結(jié)果的保密管理。電科院要有效指導(dǎo)各單位持續(xù)低、系統(tǒng)地開展信息安全防護(hù)體系建設(shè)和安全整改加固工作。

這幾年來，我們的評估工作達(dá)到了很好的效果，各單位都把評估和整改工作作為常規(guī)性的日常工作來進(jìn)行，風(fēng)險值不斷得到下降。

3.2 隊伍建設(shè)達(dá)到滿意效果

評估工作對剛步入工作崗位的年輕員工是很好的鍛煉和提高機(jī)會，可以迅速的將學(xué)校學(xué)到的理論知識與實(shí)際系統(tǒng)、設(shè)備聯(lián)系起來，通過評估工作，新疆電科院目前培養(yǎng)了一支優(yōu)秀的信息安全服務(wù)隊伍，對評估所涉及軟硬件在安全檢查、安全配置、安全加固等方面的技能得到質(zhì)的提高。

3.3 評估工作與等保測評的緊密結(jié)合

等級保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度，其核心內(nèi)容是對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。

在開展評估過程中對檢查表的內(nèi)容設(shè)計充分考慮了等級保護(hù)的要求，甚至從充分挖掘風(fēng)險的出發(fā)點(diǎn)，很多檢查項的要求都高于等級保護(hù)測評的要求。這樣就會保證了對風(fēng)險評估發(fā)現(xiàn)的問題進(jìn)行充分整改后，同時可以達(dá)到等級保護(hù)的相關(guān)要求，從而達(dá)到同步完成等保測評的目的。

3.4 評估工作與信息安全督查共同保障信息安全

新疆電力公司在日常的評估工作中，全面地分析了信息系統(tǒng)的安全現(xiàn)狀和面臨的主要安全風(fēng)險，在分析風(fēng)險原因的基礎(chǔ)上為信息系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)、使用和改進(jìn)提供了安全性建議，同時將評估工作中發(fā)現(xiàn)的信息安全風(fēng)險及安全隱患納入信息安全督查整改計劃，督促問題單位及時整改，按照“發(fā)現(xiàn)-評估-報告-治理-驗收-銷號”的流程進(jìn)行問題進(jìn)行閉環(huán)管理，各類風(fēng)險及安全隱患按整改要求實(shí)行“一患一檔”，確定整改完成時間和責(zé)任人，同時每月將各單位安全問題整改情況進(jìn)行通報，建立風(fēng)險隱患監(jiān)督考核機(jī)制，督促問題完成整改。既以評估工作為出發(fā)點(diǎn)，以安全整改為落腳點(diǎn)，一手緊抓評估工作，一手督促問題整改，來保障信息系統(tǒng)安全。

4 結(jié)束語

風(fēng)險評估是一項需要持續(xù)開展，并且要長期堅持的工作，是當(dāng)前電力公司信息化工作的迫切需要和客觀的需求，是風(fēng)險理論和方法在信息系統(tǒng)中的運(yùn)用，只有通過對信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行全面分析評估，并實(shí)施有效的整改工作，才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行。

[1]王濤,陳金仕.信息安全風(fēng)險評估策略研究[J].現(xiàn)在電子技術(shù).2012.

[2]Wang-Tao,Chen Jin-shi.Fechnique Research on strategy of information security risk assessment[J].Modern Electronics.2012.

[3]張聞，孫歆.信息安全風(fēng)險評估在浙江省電力公司的應(yīng)用[J].浙江電力.2011.

[4]Zhang-Wen,Sun-Xin.Application of Information Security Risk Assessment in Zhejiang Electric Power Corporation [J].Zhejiang Electric Power.2011.

[5]王芙艷.信息安全風(fēng)險評估在核電企業(yè)的有效應(yīng)用[J].電力信息化.2011.

[6]Wang Fu-yan,Effective Application of Information Security Risk Assessment to Nuclear Enterprises[J]. Electric Power It.2011.

[7]汪兆成.基于.云計算模式的信息安全風(fēng)險評估研究[J].信息網(wǎng)絡(luò)安全.2011.

[8]Wang Zhang-cheng. Research on Information Security Risk Assessment Based on Cloud Computing Model[J].Netinfo Security.2011.

[9]趙英杰,李鵬輝.信息化建設(shè)中的信息安全風(fēng)險評估[J].信息安全與通信保密.2011.

[10]Zhao Yingjie,Li Peng-hui.Information Security Risk Assessment in Building Information System [J].China information security.2011.