時間:2023-06-19 16:29:17
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇等級保護和風險評估范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
一、工作目標
通過深入開展此次專項活動,確保全市重要信息系統能夠全面進行準確定級和審核備案;全面組織等級測評和風險評估;全面開展監督檢查和建設整改;全面落實管理制度和安全責任,努力實現我市信息安全等級保護工作規范化、制度化、常態化的管理目標,不斷提高重要信息系統安全防范能力和應急處置能力,為建國周年慶典活動創造一個良好的網絡環境。
二、工作任務
(一)全面進行準確定級和審核備案。各部門、各單位要參照國家機關、中央企事業單位及省直機關、省屬企事業單位已審核的信息系統安全保護等級,對本單位信息系統全面進行定級和審核備案。對于已經定級、備案的系統,凡符合上級國家機關、企事業單位安全保護等級的,可不再重新定級和審核備案,否則均要重新定級和審核備案;對于尚未定級和審核備案的系統,都要比照上級部門信息系統安全保護等級逐一進行定級備案。其中,安全保護等級確定為一級的信息系統,公安機關應做好登記工作。安全保護等級確定為二級以上的信息系統,各信息系統運營使用單位要在公安機關辦理審核備案手續,填寫《信息安全等級保護備案表》,實行審核備案管理。全市重要信息系統定級和審核備案率要達到100%。
(二)全面組織等級測評和風險評估。關系到我市國計民生或影響面較大的二級信息系統和三級以上(含三級)的重要信息系統都要按照《信息安全等級保護管理辦法》及省發改委、省公安廳、省國家保密局《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》要求,全面開展等級測評及風險評估工作。其初次測評及風險評估率應達到61%以上(其他尚未開展初次測評的系統應于年上半年完成)。
(三)全面開展監督檢查和建設整改。關系到我市國計民生或影響面較大的二級信息系統和三級以上(含三級)的重要信息系統都要按照《公安機關信息安全等級保護檢查工作規范》規定的檢查內容、檢查項目、檢查要求等,全面組織開展安全等級保護監督檢查和限期整改工作,其監督檢查率應達到100%,限期整改率應達到80%以上。其他被定為二級(含二級)以下的信息系統,可由信息系統運營使用單位進行自查和整改。
三、工作步驟
(一)定級與備案階段(8月18日至9月15日)。市專項活動領導小組在8月31日前進行組織動員和工作部署,開展信息系統普查,全面摸清底數,掌握基本情況,確定定級對象。9月15日前,各重要信息系統運營使用單位要對照上級國家機關、企事業單位已審核備案的信息系統安全保護等級,對應確定本單位信息系統安全保護等級,并做好申報備案。對審核符合安全保護等級要求的,由市專項活動領導小組頒發信息安全等級保護備案證明。凡審核定級不準的,應重新評審確定,為等級測評和檢查整改奠定基礎。
(二)測評與檢查階段(9月15日至11月30日)。市專項活動領導小組將對關系我市國計民生的二級信息系統及三級以上(含三級)信息系統開展安全等級測評和風險評估。市專項活動領導小組督促、指導各單位積極做好信息安全等級保護和監督檢查工作。各重要信息系統運營使用單位要按照國家《信息安全等級保護管理辦法》和省發改委、省公安廳、省國家保密局《轉發國家有關部門關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》精神,提前做好人員、技術、經費等各項準備工作,按時完成信息系統等級測評和風險評估。
(三)總結與整改階段(12月1日至12月31日)。市專項活動領導小組根據信息系統安全等級測評和風險評估中發現的安全隱患和問題,向運營使用單位下發《整改通知書》,要求該單位限期對安全設施、技術措施、管理制度、安全產品、管理人員等方面存在的問題進行全面整改。各單位要制定相應的建設整改方案,認真搞好安全隱患的整改工作。
四、工作要求
(一)統一思想認識,切實加強領導。各地各有關部門要充分認識當前重要信息系統安全面臨的嚴峻形勢,進一步增強做好信息安全等級保護工作的責任感和緊迫感,務必把此項工作作為事關國家安全和社會穩定,特別是國慶61周年安全保衛的一項重要政治任務,納入議事日程,擺在應有位置。為切實加強領導,成立荊州市深入開展全市重要信息系統安全等級保護管理專項活動領導小組(名單附后),領導小組在本次專項活動完成后,繼續擔負我市重要信息等級保護工作的組織領導職責。要建立健全信息安全等級保護協調領導體制和工作機制,精心組織實施信息安全等級保護管理工作。各地各有關部門分管領導要親自掛帥指揮,按照“誰主管,誰負責,誰使用,誰負責”的原則,成立領導小組,建立工作專班,確立聯絡人員,迅速行動、全力以赴,大張旗鼓地組織開展等級保護工作。
(二)深入動員部署,精心組織實施。各重要信息系統運營使用單位要制定好本單位信息系統安全等級保護工作實施方案,準確定級,并將相關資料上報市專項活動領導小組辦公室。在定級完成后,要積極做好測評準備工作,在人力、財力上給予充分保障。對檢測出來的問題要及時向主管領導和上級部門報告,立即整改,把專項活動的各項要求落到實處。
1.等級保護
1)主要內容
等級保護是指導我國信息安全保障體系總體建設的基礎管理原則,是圍繞信息安全保障全過程的一項基礎性管理制度,其核心內容是對信息安全分等級、按標準進行建設、管理和監督。
2)優點
等級保護適用于宏觀層面,是一種大范圍“基線安全”,適用于行業主管部門對信息安全的總體把握與監控。
3)缺點
具體到某個組織的信息安全保護而言,等級保護的粒度劃分較粗,在滿足組織對信息安全的精細控制要求方面還存在不足。因此,在滿足監管部門的等級保護要求之后,組織還可進一步把等級細化到各種層次的安全域,直至對一個個的信息資產進行有效管理。
2.信息安全管理體系(ISMS)
1)主要內容
類似于質量之于ISO9000,ISMS是組織為提高信息安全管理水平,按照ISO27001的要求,在整體或特定范圍內監理的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。
2)優點
ISMS涉及了信息安全的11個領域,133個控制措施,基本涵蓋了信息安全的方方面面,適用于各種類型的組織用來建立一個總體的安全控制框架;ISMS更注重于把“安全管理”當作一種制度來建設,通過建立統一的方針、策略,以及規范化安全規則,使ISMS實施主體能有效地識別風險,持續不斷地采取管控措施,以把風險降低到組織可接受的程度。
3)缺點
它只是描述了建立ISMS的思想、框架,但對如何建立ISMS并沒有一個詳細明確的定義,也沒有描述ISMS的最終形態;沒有確定建立信息安全體系的具體方法與技術。因此,ISMS對實施者來說留下來很大的可操作空間,不同的組織和不同實施著對ISMS標準的把握可能差別很大,ISMS總體水平也會有高下之分。
3.風險評估
1)主要內容
風險評估是獲知組織當前風險水平的一種手段,在金融、電子商務等許多領域都是有風險及風險評估需求的存在。當風險評估應用于IT安全領域時,就是對信息安全的風險評估。
2)優點
風險評估從早起簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現以資產為出發點、以威脅為觸發、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。
國內這幾年對信息安全風險評估的研究進展較快,具體的評估方法也在不斷改進。原國信辦2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定,并在其中規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷準測,對規范我國信息安全風險評估的做法具有很好的指導意義。
3)缺點
《信息安全風險評估指南》所確定的風險評估方法還只是一個通用的方法論,具體到一個特定的單位,要對其中的風險進行準確地識別與量化仍熱是一件困難的事情,在很大程度上要取決于評估者的經驗。
檔案信息安全保障體系的建設取得了一定的成績,但同時存在許多問題,我們必須及時加以糾正和改進。檔案信息安全保障體系的建設不是一蹴而就的,是一個復雜的社會工程。首先要納入國家信息安全保障體系和電子政務信息安全保障體系的總體格局中,其次學習國內外保障體系建設的經驗,結合檔案信息資源的自身特點,將檔案信息安全保障體系建設落到實處。檔案信息安全保障存在的問題
1.對檔案信息安全保護和保障概念混淆
信息安全是一個發展的概念,從通信保密、信息保護發展到信息保障,或者說是從保密、保護發展到保障。每個階段的安全屬性也是不斷擴展的,保密階段為保密性:保護階段為保密性、完整性和可用性;保障階段為保密性、完整性、可用性、真實性和不可否認性,甚至在國際標準《信息安全管理體系規范》ISO/IEC17799:2005中,又增加了可追溯性和可控性。信息安全屬性也是信息安全的目標。保障階段應采取相應的措施達到“七性”。
信息安全保障的提出最早源自美國。1996年美國國防部(DoD)在國防部令S-3600,1對信息安全保障作了如下定義:“保護和防御信息及信息系統,確保其可用性、完整性、保密性、可認證性、不可否認性等特性。這包括在信息系統中融入保護、檢測、反應功能,并提供信息系統的恢復功能。”除安全屬性不斷豐富外,安全保障與安全保護主要區別是主動防御和動態保護。而與之對應的信息保護是靜態保護(安全措施基本不變)和被動保護(發生安全事故后再采取防護措施)。
然而,目前大部分檔案信息安全保障仍只達到安全保護水平。將安全保護和安全保障概念混淆,造成保障階段的能力也停留在保護水平,不能從主動防御和動態保護來保障檔案信息安全。在具體操作上。仍以身份認證、數據備份、安裝防火墻、殺毒軟件和入侵檢測等被動保護措施為主。在日益復雜的檔案信息系統和網絡環境下,檔案信息得不到應有的保障。
2.偏重技術,忽視管理
在美國國防部對安全保障的定義中,“保護、檢測、反應和恢復”不僅體現動態保護,還體現安全管理,安全保障也是一個管理過程。
然而長期以來,人們對檔案信息安全偏重于依靠技術。但事實上僅僅依靠技術和產品保障信息安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠產品是無法消除的,尤其是對內網用戶的管理。“三分技術,七分管理”這個在其他領域總結出來的實踐經驗和原則。在檔案信息安全領域也同樣適用。據有關部門統計。在所有的信息安全事件中,屬于管理方面的原因比重高達70%以上,而這些安全問題是可以通過科學的信息安全管理來避免的。因此,安全管理已成為保障檔案信息安全的重要措施。
目前,國際上實現信息安全管理的有效手段是在信息安全等級保護制度下,進行信息安全風險評估。“早在20世紀70年代初期美國政府就提出了風險評估的要求。2002年頒布的《2002聯邦信息安全管理法》對政務信息安全風險評估提出了更加具體的要求。”歐洲等其他信息化發達國家也非常重視開展信息安全風險評估工作,將開展信息安全風險評估工作作為提高信息安全保障水平的重要手段。國外風險評估標準主要有:BS7799、ISO/1EC 17799、OCTAVE、NIST SP800―30、AS/NZ54360、SSE―CMM等。
3.缺失安全評估體系
目前,我國檔案信息安全保障體系的建設處于各自為政狀態,沒有將基于等級保護制度下的檔案信息安全風險評估提到議事日程上來。由此造成檔案信息系統建立并采取安全措施后,仍不能明確自己的網絡和應用系統是否達到安全要求?還有哪些安全漏洞?可能造成多大危害?應該怎樣解決?系統升級或調整后又存在哪些安全風險?如何規劃檔案信息安全保障體系建設?作為檔案信息系統的擁有者、檔案信息系統安全構建者和檔案信息系統安全的監管者,必須有統一的風險評估標準,才可以做到檔案信息安全與否誰也不能說了算,而應該按照統一的風險評估標準來評價是否安全。應采取什么措施。
檔案信息安全保障狀況需進行風險評估
2006年3月7日,醞釀已久的《國家網絡與信息安全協調小組關于開展信息安全風險評估工作的意見》(簡稱《意見》)正式對外公布。《意見》要求。各信息化和信息安全主管部門要從抓試點開始,逐步探索組織實施和管理的經驗,用三年左右的時間在我國基礎信息網絡和重要信息系統普遍推行信息安全風險評估工作,全面提升網絡和信息系統安全保障能力。
2005年9月,國務院信息化工作辦公室專門組織成立了“電子政務信息安全工作組”,并已編制了《電子政務信息安全等級保護實施指南(試行)》,其中提出將風險評估貫穿等級保護工作的整個流程。所以,作為電子政務系統中保存和管理信息的檔案信息系統,與電子政務一脈相承,進行風險評估是遲早的事。對檔案信息安全保障進行風險評估主要有如下優勢。
1.將檔案信息安全保障體系納入國家信息保障體系
國家已制定了風險評估標準GB/T 20948―2007《信息安全風險評估規范》,并將于2007年11月1日正式實施。作為我國信息資源重要組成部分的檔案信息,必須積極響應國家信息安全政策和納入國家信息安全保障體系的總體格局。檔案信息安全風險評估可在此標準的基礎上,結合檔案信息自身特點,先開始在綜合檔案館和電信、銀行、稅務、電力等大型檔案信息管理系統中試驗,在此基礎上再逐步推廣,達到國家要求“2006年后三年內在我國基礎信息網絡和重要信息系統普遍推行信息安全風險評估工作”基本目標。
2.規范檔案信息安全保障體系建設
在檔案信息化過程中。我們已經制定了GB/T17678.1―1999《CA D電子文件光盤存儲、歸檔與檔案管理要求。第一部分:電子文件歸檔與檔案管理》、GB/T18894―2002《電子文件歸檔與管理規范》、GB/T20163―2006《中國檔案機讀目錄格式》、DA/T 22―2000《歸檔文件整理規則》和DMT 3l一2005《紙質檔案數字化技術規范》等國家標準和行業標準,然而與檔案信息安全相關的標準尚未出臺,造成目前檔案信息安全保障體系的建設處于各自為政狀態。檔案信息風險評估的開展。雖然可以參照國際和國家標準,但最終還必須有針對性強的行業標準。為了改變目前的現狀,檔案行政管理部門應重視針對檔案信息安全保障政策和標準的建設,抓住國家推廣信息安全風險評估的機會。從風險評估作為切入點,制定檔案信息風險評估和其他安全相關標準,規范檔案信息安全保障的建設。由于對檔案信息風險評估是以信息安全保障要求為前提的,所以只要進行風險評估就可以糾正信息保護和保障的混淆,并確認是否達到相應的保障要求。
3.貫徹安全技術和管理并重,保障檔案信息安全
等級保護和風險評估是信息安全管理的核心內容,是信息安全管理的具體體現。國家提倡在等級保護制度下進行風險評估,就是在對信息系統劃分等級后,采用風險評估測評系統是否達到相應等級的安全要求,這樣可以改變以往只建設不測評的現狀。同時,風險評估還要求貫穿信息系統的整個生命周期,即在信息系統的分析、設計、實現和運行維護的整個生命周期內,都將進行定期或不定期的風險評估,也體現信息安全保障的動態安全和主動防御。以往在我們檔案信息安全保障的建設中也強調信息安全管理機制的構建,而風險評估就是很好的體現。風險評估的進行過程中。有相應的安全策略,按照“誰主管誰負責、誰運行誰負責”的要求,對在崗的每一位員工也有相應的安全職責,這樣也提高了員工的安全意識。
4.完善檔案信息安奎保障體系
對于已建、在建或將建的檔案信息系統,以往沒有進行風險評估的,應積極開展這項工作,在沒有正式出臺專門檔案信息風險評估標準前,可參照國內國際標準進行,或者參與到電子政務信息的等級保護和風險評估中去。當然風險評估并不是信息安全保障的唯一手段(還包括等級保護、應急響應和災難恢復等),但它是檔案信息安全保障不可或缺的一個重要環節。通過風險評估,可完善目前還沒有達到保障要求的檔案信息系統安全保障。另外,對于新建設的檔案信息系統在設計階段就要融入風險評估,這樣可以防患于未然。
5.監督和檢查檔案信息安全保障建設
【關鍵詞】變壓器檢修;狀態評估;風險評估;應用
0.引言
變壓器會受到多種因素的影響而發生故障,例如因為運輸不當、安裝錯誤和運行錯誤等。一旦發生故障,會對電力系統的輸電能力產生影響,并對變壓器造成較為嚴重的損傷,甚至會導致大規模停電現象,帶來較大的經濟損失。但是,對變壓器進行檢修的工作難度較大,耗時較長。所以,人們很早之前便開始采用周期檢修的方式來保證整個電力系統的穩定。但是,采用周期檢修的方式很有可能會導致各種設備的不健康工作,影響設備的正常運行和實際使用壽命。所以,為了進一步提高 電網和設備運行的可靠性和安全性,我們需要積極的對變壓器檢修中狀態和風險評估策略進行研究。
1.對變壓器的狀態評價和風險評估
1.1變壓器的狀態評價
對變壓器的檢修工作而言,狀態評價是十分關鍵的一步。對變壓器進行狀態評價的時候需要采取動態管理的形式。并需要對設備的相關數據進行離線和在線測試。并持續、規范的對各種特征參量和基礎資料進 行收集和全程的跟蹤管理。并對所有信息進行綜合的分析和判斷,從而全面把握 變壓器的實際運行狀態和健康水平以及發展趨勢等。在變壓器狀態的具體評價過程中,要綜合考慮變壓器多方面的具體信息,例如變壓器有載調壓開關、負荷等,以及套管等主附件的制造工藝,還有歷史故障等各方面的信息。并針對變壓器的具體結構特點和常見故障類型進行評價,然后,根據變壓器不同方面信息的具體特點,可以劃分出不同的試驗方式等。例如,針對化學試驗因素,可以劃分為絕緣紙老化測試和油質試驗等。對于不同類型的狀態點,要按照變壓器的實際工況對其具體等級進行劃分,然后依據各個等級設置相應的系數,設置的時候要充分考慮到不同狀態點對變壓器健康狀態的影響程度。對于不同類型的狀態量,在設置相應的狀態點權重的時候,要考慮到其在變壓器整體狀態中所占的具體比重。
1.2變壓器風險評估
在結束對變壓器的狀態評價之后,可以開始對變壓器進行風險評估。通過風險評估,可以對變壓器正在面臨的,以及可能出現的的各種風險問題進行預測和確定,從而為變壓器狀態檢修的決策提供可考的參考依據。在具體的風險評估過程中,需要以變壓器的狀態評價結果為參考,對變壓器的各個方面進行詳細的評估,例如安全問題和環境問題,以及效益問題等,對變壓器的運行風險進行合理的評估。對變壓器的風險評估較為特殊,要充分考慮到 故障可能會導致的 連鎖反應 以及停電所造成的社會影響。具體來講,對變壓器的風險評估主要要考慮以下一些方面的內容:(1)安全問題和影響問題。一旦發生故障,便可能會對工作人員帶來較大的安全威脅,故障還極容易導致火災的出現,如果引發油泄漏還會對環境造成污染,產生一系列的較為惡劣的社會影響。所以,對變壓器的風險評估一定要考慮到安全問題和影響問題。(2)電網性能。變壓器發生故障很容易對電網性能帶來較大的風險。例如,如果因為發生一些較大的故障,一些變壓器不得不停運,便需要在短時間內進行負荷轉移。于是,便會給其他變壓器帶來一定的風險,例如過負荷和備用容量的降低等。并會導致停電等現象,導致較為嚴重的電力企業電費損失和各種社會經濟損失。(3)設備損失。出現故障之后,為了保證設備重新恢復正常工作狀態,需要對設備進行維修等,便需要支出大量的硬件費用和人工成本等。
2.變壓器檢修中狀態和風險評估策略的應用
2.1檢修類型
(1)A類。A類檢修是指對變壓器的吊罩和吊芯進行檢查,還有檢查和改造變壓器的本體油箱和內部部件,還有相關試驗等。(2)B類。①B1類檢修是更換變壓器油箱外部的一些主要部件,例如調壓開關和冷卻系統,以及非電量保護裝置和絕緣油等。②B2類檢修大多是處理各種部件,例如 油枕和調壓開關以及非電量保護裝置等。以及其他一些工作,例如 現場干燥處理和更換、相關試驗等。(3)C類。①C1類檢修:按Q/GDW168-2008《輸變電設備狀態檢修試驗規程》規定進行試驗。②C2類檢修:清掃、檢查、維修。(4)D類。①D1類檢修:在線和離線狀態下的帶電測試。②D2類檢修:各種維修和保養工作。③D3類檢修:帶電水沖洗。④D4類檢修:對變壓器的檢查和巡視,需要有由妝也工作人員負責。⑤D5類檢修:⑥D6類檢修:其他不停電狀態下更換變壓器部件的工作。
2.2檢修策略的制定
在制定變壓器檢修策略的時候,要積極的參考對變壓器狀態評價和參考風險評估的具體結果,并根據相關 標準的具體規定和要求,對檢修的具體方式和內容進行確定,并制定出詳細的檢修方案。制定檢修方案的時候還需要綜合考慮到其他一些方面因素的影響,例如整個電網的發展、各種應用技術的進步等。在制定好檢修方案之后,還要合理的安排檢修工作,一般情況下,需要按照問題的嚴重程度和檢修工作的緊迫程度合理安排檢修工作的具體時間。根據對變壓器的狀態評價,制定出相應的檢修方案。并積極參考風險評估結果,對制定好的檢修方案進行優化。一般情況下,A、B、C類檢修對變壓器的安全運行影響較大,所以在進行檢修的時候要保證設備的安全、穩定運行。而對于D類型的檢修,則需要工作人員充分依照對變壓器進行風險評估的具體結果,估算出檢修所耗費的實際成本,并需要綜合考慮檢修完畢后變壓器存在的風險問題等多種因素,制定詳細的檢修方案,并不斷予以優化,最終確定出最佳的檢修方案。另外,如果經過分析,發現實際檢修工作的任務量較大,檢修工作較繁重的時候,可以按照具體的風險大小,優先對那些風險較大的設備進行檢修。
3.結語
變壓器的檢修工作直接關系到整個電網的穩定運行,本文,我們基于狀態和風險評估模式,積極地分析多方面因素的影響,制定出詳細合理的變壓器檢修中應用狀態和風險評估的具體策略,從而不斷提高變壓器檢修工作的技術性和經濟性。 [科]
【參考文獻】
[1]陳立,郭麗娟,鄧雨榮,等.基于狀態和風險評估的老舊變壓器安全經濟性分析[J].南方電網技術,2010,04(01):64-67.
[2]郭麗娟,魯宗相,鄧雨榮,等.基于風險的輸變電設備狀態檢修實用技術體系[J].南方電網技術,2011(02):91-92.
[3]杜平,劉浩,張華,等.基于狀態檢修的電力變壓器風險評估指標和方法[J].電氣技術,2012(10):59-61.
[關鍵詞]數字圖書館 信息安全管理 IS027000規范 評介
[分類號]G250.76
目前數字圖書館信息安全問題的主要解決之道是依賴計算機和網絡安全等技術措施進行防范保護,雖然近幾年也有學者從人員管理、設備管理、災難恢復制度、人員培訓、法律法規等角度進行探討,但是數字圖書館信息安全領域“重技術、輕管理”的現象非常明顯,這與信息安全領域“三分技術、七分管理”的黃金定律是相違背的。因此,如何在危機四伏的信息和網絡環境中,在技術水平不變的情況下依靠管理的改進大幅度提升數字圖書館信息安全等級,建立一套具有可操作性的管理體系標準以規范數字圖書館的信息安全管理過程,已成為當前數字圖書館信息安全領域的重點課題。
南京農業大學信息學院黃水清教授的新作《數字圖書館信息安全管理》是基于其主持的國家社會科學基金課題完成的研究成果,由南京大學出版社新近出版。此書較好地回答了上述問題,是國內第一部系統闡述數字圖書館信息安全管理體系的論著,填補了國內該領域的空白。作者在深入對比分析一系列國際信息安全管理標準和規范的基礎上,將在企業和政府機構廣泛應用的IS027000系列標準引入到數字圖書館信息安全管理領域,并從理論和實踐兩個層面出發,構建了數字圖書館信息安全管理的理論體系和實踐防范體系,對于推動數字圖書館信息安全的研究與實踐具有十分重要的意義。
黃水清教授指出:“數字圖書館信息安全即保持數字圖書館各項信息的保密性、完整性和可用性,使得數字圖書館傳遞給用戶的信息具有真實性、可核查性、抗抵賴和可靠性。其中,保密性、完整性和可用性是數字圖書館信息安全的完整體系和內核,真實性、可核查性、抗抵賴和可靠性是數字圖書館提供給用戶的信息服務的質量標準。”該書的所有研究緊緊圍繞這一定義展開,從標準選擇、方法選取、模板制定、實踐驗證4個部分進行研究、探索和實踐。
與信息安全領域的其他國際標準規范相比較,IS027000是一個通用的、普適性的信息安全管理標準族,核心是IS027001和IS027002,分別描述了組織信息安全風險評估和風險控制的方法和流程,適用于任何規模和行業的組織。將IS027000采用的策劃一實施一檢查一措施(PDCA)過程模式應用于數字圖書館,可以確保數字圖書館的安全管理實踐持續地被文檔化、加強和改進。而數字圖書館的業務流程具有趨同性,與IS027000從業務流程人手進行資產、威脅、脆弱性識別以保障風險評估和風險控制過程的要求相一致。同時,IS027000的控制措施涵蓋了信息安全風險控制的各種可能,數字圖書館的信息安全風險控制措施只需根據其行業特點從中選取即可。通過比較,作者確定IS027000是適用于數字圖書館信息安全管理的最佳依從標準,能夠用于指導建立數字圖書館領域的信息安全管理體系,并且,可以通過制定數字圖書館信息安全風險評估與風險控制模板的方式減少具體實施過程中的難度與成本。
《數字圖書館信息安全管理》一書在第四章和第五章著力闡述了數字圖書館信息安全管理方法的選取問題。信息安全管理包括風險評估和風險控制兩大過程,兩大過程整體遵循PDCA的過程模式,不斷循環評估~控制一再評估的過程。其中,風險評估模型主要包括資產、威脅和脆弱性三大要素,作者分別用模糊數學、構建威脅場景和通用缺陷評估系統(CVSS)的方法構建了數字圖書館的資產價值評估模型、威脅等級識別模型和脆弱性等級識別模型,然后以IS027005中的風險矩陣模型的一種變形為基礎,綜合三個子模型,得到數字圖書館的風險評估模型。風險控制模型主要包括資產、業務和控制措施三大要素,作者提出基于投資約束和風險防范策略的風險控制決策模型,將資產、威脅、脆弱性與資產、業務、控制措施兩個坐標體系聯動。該風險評估和風險控制模型是本書數字圖書館信息安全管理研究的方法論。
數字圖書館是一種具有相同或高度相似的業務流程的特殊組織。作者選取了全國30家數字圖書館作為調查對象,通過調查總結得出數字圖書館的業務流程。以此為基礎,分別就資產、威脅和脆弱性的識別與估值問題展開多次深入調查,并采用上述風險評估模型進行計算和分析,提出風險等級劃分方法,形成了數字圖書館信息安全風險評估的模板。另外,通過調查、訪談等方式,作者從IS027002中總結分析得到適用于數字圖書館信息安全的控制措施集合,并根據風險控制模型的計算和分析,構建了數字圖書館信息安全風險控制的模板。數字圖書館風險評估和風險控制模板的制定過程是數字圖書館信息安全管理體系建立和實施的全過程,但是模板的形成降低了風險管理的難度、提高了工作效率,這就達到了本書的研究目標:大多數數字圖書館可以采取查詢資產報表的方式評估組織各項資產的風險等級并采取有效措施。
關鍵詞:風險;評估;可能性;后果
中圖分類號:F27文獻標識碼:A
一、概述
風險評估有許多方法,工藝安全場景評估(簡稱PSSE)是其中之一。這是一種在歐美應用較廣泛的評估方法,特別適用于工業生產裝置的安全評估。該方法將一個項目或一套裝置按物理空間或功能細分為若干區域,然后逐項研究風險事件是什么,后果是什么。根據以往經驗及統計資料確定事件概率;根據經驗和一些調查統計,確定后果嚴重性;根據概率和后果將風險定級;對于高風險和較高風險,再研究應對措施是什么,然后再評估采取了這些措施后風險會降低到什么程度。根據項目或裝置的復雜程度、大小規模等因素,定期復檢工藝安全場景評估,重新認識風險,并重新評定風險等級。
PSSE是從風險事件發生的可能性、風險事件后果的嚴重性兩方面入手來評判一個風險事件的風險等級的。
可能性是指一個事件在多少年內會重復發生一次,它分五級。(表1)
嚴重性是指該事件若發生,會造成多少損失,以美元計,它分五級。(表2)
然后,用一個矩形表格來定位該風險事件的風險等級,風險有四類:1類為嚴重風險;2類為較嚴重風險;3類為一般風險;4類為輕微風險。(表3)
表4是一個工藝安全場景評估表的具體例子。(表4)
二、對現行PSSE評分方法的討論
1、在評估過程中,先對某一風險事件的可能性展開討論,套用歐美國家的標準,帶來諸多不便,更帶來誤導。如,從C級可能性開始,以幾十年、幾百年、幾千年為一個檔次評判風險發生的可能性,可操作性很差。一個工業生產工廠,或一套民用運行裝置,很少會設計成使用周期一百年,更不用說一千、一萬年,即沒有工業生產工廠或民用運行裝置會被設計成防“萬年一遇”的風險事故。這樣,D級和E級二個可能性檔次等于空設。從表3風險等級表中也可發現,E例和D例幾乎都是4類風險(輕微風險)。
可能性C級所包含的時間跨度也設計得太長。筆者認為,絕大多數工業生產工廠或民用運行裝置的生命周期都在30~100年之間,而風險事件重復發生的可能性千變萬化。所以,這段時間段可再細分,以更貼合實際。表5是筆者建議的、并在一個項目的安全評估中應用的可能性分級表。(表5)
2、對損失的判斷是風險評估的又一個重要方面,套用歐美國家的損失評判標準,對于國內大多數項目更有困難。如,引進的標準對人員傷害的賠償(對項目而言即為損失)如下:
死亡及永久傷殘:10,000,000 US$
損失工作日的事故:30,000 US$
輕微傷害:3,000 US$
很顯然,我國國內的賠償額遠低于此標準。若套用此標準,會有兩方面的偏差:第一,許多國內認為是事故的事件,在這里不被當作事故。第二,如按此標準賠付,項目損失極大。
考慮到國內實際情況和《工傷保險條例》,筆者建議對風險事件的嚴重性分級作如下修正,并用人民幣(RMB)為計量單位。(表6)
3、原評估方法中沒有關注環境保護問題。事實上,如果一個事故雖沒有造成人員損失或設備財產損失,但給環境帶來污染,其實后果也是很嚴重的。盡管有些時候,在有些地方,此類事故并不一定真的受到很大額的“罰款”,但從環境保護的角度看,這種事故應視為大事故(即,后果嚴重的事故)。并且,注意到我國正越來越重視環保,筆者認為應當在表4中增加一項考慮項目“是否有環境污染”。即,即使某一風險對其他方面的危害均很小,但只要有環境污染,就視為嚴重風險(1類風險)。
表7是一個改進的工藝安全場景評估表的具體例子。(表7)
【關鍵詞】安全風險;安全措施;風險評估報告
1.前言
建筑業是危險性較大的行業之一,安全生產管理的任務十分艱巨,安全生產不僅關系到廣大群眾的根本利益,也關系到企業的形象,還關系到國家和民族的形象,甚至影響著社會的穩定和發展。黨的十六屆五中全會確立了“安全生產”的指導原則,我國“十一五”發展規劃中首次提出了“安全發展”的新理念。所有這些表明,安全生產已成為生產經營活動的基本保障,更是當前建筑工程行業管理的首要目標。
風險評估的目的是為了全面了解建設安全的總體安全狀況,并明確掌握系統中各資產的風險級別或風險值,從而為工程安全管理措施的制定提供參考。因此可以說風險評估是建立安全管理體系(ISMS)的基礎,也是前期必要的工作。風險評估包括兩個過程:風險分析和風險評價[1][2]。風險分析是指系統化地識別風險來源和風險類型,風險評價是指按給出的風險標準估算風險水平,確定風險嚴重性。
2.風險評估模型與方法
風險評估安全要素主要包括資產、脆弱性、安全風險、安全措施、安全需求、殘余風險。在風險評估的過程中要對以上方面的安全要素進行識別、分析。
2.1 資產識別與賦值
一個組織的信息系統是由各種資產組成,資產的自身價值與衍生價值決定信息系統的總體價值。資產的安全程度直接反映信息系統的安全水平。因此資產的價值是風險評估的對象。
本文的風險評估方法將資產主要分為硬件資產、軟件資產、文檔與數據、人力資源、信息服務等[1][2]。建設工程的資產主要體現在建筑產品、施工人員、施工機械等。
風險評估的第一步是界定ISMS的范圍,并盡可能識別該范圍內對業務過程有價值的所有事物。
資產識別與賦值階段主要評價要素為{資產名稱、責任人、范圍描述、機密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分別為保密性,完整性,可用性的權重,QC=C / (C+I+A),QI、QA類似。
2.2 識別重要資產
信息系統內部的資產很多,但決定工程安全水平的關鍵資產是相對有限的,在風險評估中可以根據資產的機密性、完整性和可用性這三個安全屬性來確定資產的價值。
通常,根據實際經驗,三個安全屬性中最高的一個對最終的資產價值影響最大。換而言之,整體安全屬性的賦值并不隨著三個屬性值的增加而線性增加,較高的屬性值具有較大的權重。
在風險評估方法中使用下面的公式來計算資產價值:
資產價值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表機密性賦值;I代表完整性賦值;A代表可用性賦值;Round{}表示四舍五入。
從上述表達式可以發現:三個屬性值每相差一,則影響相差兩倍,以此來體現最高安全屬性的決定性作用。在實際評估中,常常選擇資產價值大于25的為重要資產。
2.3 威脅與脆弱性分析
識別并評價資產后,應識別每個資產可能面臨的威脅。在識別威脅時,應該根據資產目前所處的環境條件和以前的記錄情況來判斷。需要注意的是,一項資產可能面臨多個威脅,而一個威脅也可能對不同的資產造成影響。
識別威脅的關鍵在于確認引發威脅的人或事物,即所謂的威脅源或威脅。建筑企業的威脅源主要是四個方面:人的不安全行為,物的不安全因素、環境的不安全因素、管理的不安全因素。
識別資產面臨的威脅后,還應根據經驗或相關的統計數據來判斷威脅發生的頻率或概率。評估威脅可能性時有兩個關鍵因素需要考慮:威脅動機和威脅能力。威脅源的能力和動機可以用極低、低、中等、高、很高(1、2、3、4、5)這五級來衡量。脆弱性,即可被威脅利用的弱點,識別主要以資產為核心,從技術和管理兩個方面進行。在評估中可以分為五個等級:幾乎無(1)、輕微(2)、一般(3)、嚴重(4)、非常嚴重(5)。在風險評估中,現有安全措施的識別也是一項重要工作,因為它也是決定資產安全等級的一個重要因素。我們要在分析安全措施效力的基礎上,確定威脅利用脆弱性的實際可能性。
2.4 綜合風險值
資產的綜合風險值是以量化的形式來衡量資產的安全水平。在計算風險值時,以威脅最主要影響資產C、I、A三安全屬性所對應的系數QC、QI、QA為權重。計算方法為:
威脅的風險值(RT)=威脅的影響值(I)×威脅發生的可能性(P);
2.5 風險處理
通過前面的過程,我們得到資產的綜合風險值,根據組織的實際情況,和管理層溝通后劃定臨界值來確定被評估的風險結果是可接收還是不可接收的。
對于不可接收的風險按風險數值排序或通過區間劃分的方法將風險劃分為不同的優先等級,對于風險級別高的資產應優先分配資源進行保護。
對于不可接收的風險處理方法有四種[3]:
1)風險回避,組織可以選擇放棄某些業務或資產,以規避風險。是以一定的方式中斷風險源,使其不發生或不再發展,從而避免可能產生的潛在損失。例如投標中出現明顯錯誤或漏洞,一旦中標損失巨大,可以選擇放棄中標的原則,可能會損失投標保證金,但可避免更大的損失。
2) 降低風險:實施有效控制,將風險降低到可接收的程度,實際上就是設法減少威脅發生的可能性和帶來的影響,途徑包括:
a.減少威脅:例如降低物的不安全因素和人的不安全因素。
b.減少脆弱性:例如,通過安全教育和意識培訓,強化員工的安全意識等。
c.降低影響:例如災難計劃,把風險造成的損失降到最低。
d.監測意外事件、響應,并恢復:例如應急計劃和預防計劃,及時發現出現的問題。
3)轉移風險:將風險全部或者部分轉移到其他責任方,是建筑行業風險管理中廣泛采用的一項對策,例如,工程保險和合同轉移是風險轉移的主要方式。
4)風險自留: 適用于別無選擇、期望損失不嚴重、損失可準確預測、企業有短期內承受最大潛在損失的能力、機會成本很大、內部服務優良的風險。
選擇風險處理方式,要根據組織運營的具體業務環境與條件來決定,總的原則就是控制措施要與特定的業務要求匹配。最佳實踐是將合適的技術、恰當的風險消減策略,以及管理規范有機結合起來,這樣才能達到較好的效果。
通過風險處理后,并不能絕對消除風險,仍然存在殘余風險:
殘余風險Rr =原有的風險Ro-控制R
目標:殘余風險Rr≤可接收的風險Rt,力求將殘余風險保持在可接受的范圍內,對殘余風險進行有效控制并定期評審。
主要評估兩方面:不可接受風險處理計劃表,主要評價要素為{資產名稱、責任人、威脅、脆弱點、已有控制措施、風險處理方式、優先處理等級、風險處理措施、處理人員、完成日期};殘余風險評估表,主要評價要素為{資產名稱、責任人、威脅、脆弱點、已有控制措施、增加的控制措施、殘余威脅發生可能性、殘余威脅影響程度、殘余風險值}。
2.6 風險評估報告
在風險評估結束后,經過全面分析研究,應提交詳細的《安全風險評估報告》,報告應該包括[4]:
1) 概述,包括評估目的、方法、過程等。
2) 各種評估過程文檔,包括重要資產清單、安全威脅和脆弱性清單、現有控制措施的評估等級,最終的風險評價等級、殘余風險處理等。
3)推薦安全措施建議。
3.結論
目前仍有相當一部分施工現場存在各種安全隱患,安全事故層出不群,不僅給人們帶來劇痛的傷亡和財產損失,還給社會帶來不穩定的因素。風險評估是工程安全領域中的一個重要分支,涉及到計算機科學、管理學、建筑工程安全技術與管理等諸多學科,本文的評估方法綜合運用了定性、定量的手段來確定建設工程中各個安全要素,最終衡量出建設工程的安全狀況與水平,為建立安全管理體系ISMS提供基礎,對建設工程的風險評估具有一定的借鑒意義。
參考文獻:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
【關鍵詞】繼電保護;可靠性;失效事件
1.引言
隨著經濟和科技的蓬勃發展,我國電力系統的應用也越來越廣泛,復雜的電網系統也變得越來越重要,繼電保護作為電網系統的第一道防線,其重要性不言而喻。繼電保護裝置的功能是區分被保護元件是正常運行還是發生了故障,故障是在保護區內還是在保護區外,所以如果不對繼電保護的可靠性和風險性進行研究,就無法及時發現繼電保護裝置的隱患,可能會導致電網發生意外故障,引起一系列事故發生。
2.繼電保護裝置
在國內,關于電力系統可靠性的研究主要經過了確定性評估、概率評估和風險評估三個階段。確定性評估一般是研究最重大的事故,如“N-1”安全分析,略顯保守;概率評估是研究了故障發生的幾率,但不考慮其后果;風險評估則綜合了發生故障的概率和產生的后果。在正常運行電網時,沒有失誤波動,沒有錯誤操作,這就是繼電保護裝置的可靠性。為了能精準的做出關于繼電保護的風險評估,應當首先分析它的原理。
2.1 繼電保護裝置的可靠性
繼電保護裝置是可修復的,其可靠性的特點有以下幾點:
(1)由于繼電保護工作的環境和其自身狀況的變動性,繼電保護裝置的可靠度和發生失效的時間有一定的幾率性和隨機性;
(2)繼電保護裝置的可靠性包含的因素太多。除了保護裝置,還有關系很密切的一次設備、系統通訊的運行和一些人為因素;電網的保護設計的原理、實際的運行方式和它的整定、配置方式都對電網的繼電保護裝置有著極大的影響,各種復制的軟件設備和硬件又涵蓋了電網的各個方面。所以,從軟件設備方面會有很多不穩定的物理因素像軟件的設計、系統的輸入和使用都會影響繼電保護的可靠性;在硬件方面,繼電保護的可靠性更多的是要看每個基礎設施和電路的設計方式是否可靠;
(3)繼電保護裝置的失效分成拒動失效和誤動失效,這兩種失效又可以分成不可以被檢測可可以被檢測兩種,在制定可靠性的一些指標時需要將兩種情況綜合在一起來考慮。
2.2 繼電保護裝置可靠性的影響因素
繼電保護裝置的可靠性和許多因素有關,如:
(1)繼電保護裝置基本上都是由電子設備和軟件組成的,電子設備老化或損壞會直接影響保護裝置;其運行水平和環境的干擾等也會影響到繼電保護裝置的可靠性;
(2)保護裝置的平臺是硬件,實行保護功能的核心是軟件,因此軟件的可靠性也顯得極為重要;
(3)C、PT等互感器和斷路器通過傳變輸入量和執行輸出直接影響繼電保護裝置;
(4)二次回路然的絕緣老化和線路等原因導致元件連接的接觸不良或者松動都會給被保護的元件帶來不利影響。全數字化的保護系統通過用高速網絡通信來取代二次電纜,因為二次回路能夠自我監測;
(5)繼電保護定值是離線整定在繼電保護裝置中的重要因素。常規的繼電保護裝置是通過離線計算其定值并穩定在運行中。可是電網結構越來越復雜,在整定計算時得到的返回系數等數值運算復雜、運算時間過長,會影響被保護元件的應能,因此為了能有效克服離線定值的缺點,保護在線整定的定值顯得有越重要。
2.3 繼電保護的可靠性評價模型
在對繼電保護裝置進行關于可靠性的評估時,可以采用的模型有模擬和解析兩種方法。解析法是根據元件的功能、裝置的結構還有兩者在邏輯上的關系,來建立一種可靠性的概率形式,分析模型可以用遞推的方式或者迭代的方式,計算從系統得出的可靠性的指標。它的優點有精準度搞、概念清晰明了,缺點是他的計算量會因為系統數據規模的增大而增大。而模擬法則是利用概率分布圖來采樣選擇和評估,從統計學的角度得到關于裝置可靠性的數據。模擬法的優點是較為直觀,清晰明了,缺點就是計算時間長,和需要極高的精準度。在目前關于繼電保護裝置可靠性的評估中最常采用的是解析法,比如Markov模型法和故障樹法。故障樹法從裝置故障的模式出發,用瞬間照相對故障進行分析推理,一般來說是先算出最小的割集,再通過使用最小的割集概率來計算出裝置發生事故的幾率。由于故障樹法在使用方法上的不足,本文主要研究了GO法的應用,GO法運算分析過程(如圖1所示)。和傳統的解析法不同的是,GO法的出發點是裝置結構圖,更能清楚地反映裝置和元件之間的聯系。
圖1 GO運行分析過程
2.4 提高繼電保護可靠性的方法
(1)增強排除故障的能力:模擬事故的解決方法,提升繼電保護裝置的可靠性。增加檢查繼電保護裝置的頻率,加強檢查繼電保護裝置的力度,確定堅持的精準性,提前預防繼電保護裝置發生故障,減少事故發生的隱患;
(2)改善繼電保護裝置的設備:及時對檢驗設備的維修和檢測,完善電網系統配電自動化,隔離故障,使得電網系統和繼電保護裝置系統更為完全;
(3)嚴格把控質量關卡:對繼電保護裝置中的零件從選購制造方面抓起,嚴格把關增強繼電保護裝置的質量;
(4)保證繼電保護裝置在定值區的精準度:重視對繼電保護設備的檢查,定時檢查繼電保護裝置的各個零件,保證繼電保護裝置在定值區的準確性,重視每一次對設備的檢查。
3.風險評估
電力系統可靠性的研究方法主要是確定性評估、概率評估和風險評估三種。確定性評估出現最早,也應用最為廣泛,一般通過給定系統的參數、擾亂方式和運行方式來研究最重大的事故,如“N-1”安全分析,不考慮不同運行狀況等可能性,直接分析得出的結果略顯保守;概率評估不同于確定性分析,研究了故障發生的幾率,但不考慮其不同程度的后果;風險評估則綜合了前兩者的長處,分析了發生故障的概率和產生的后果。
3.1 風險評估方法
風險評估(Risk Assessment)指,在事件發生前后,將其風險事件所造成的影響或損失統計評估出來。識別各種不同的風險、評估可能發生風險的幾率、控制風險的等級和應對風險的消減對策,還有和預測會產生的一些負面影響是風險評估最主要的任務。
3.2 在繼電保護裝置中影響風險評估的因素
平均負載率和線路波動系數過大時,故障的風險值也會一同增大(如表1所示)。數據顯示,只有確定系統負荷的平均分布,才能減低風險的故障值。所以系統的操作人員運行電力系統時,需要使得系統總負荷均勻分布,才能最大限度的減低電網故障發生的風險性。
4.結束語
根據以上可知,繼電保護裝置在電網系統中處于十分重要的位置,嚴格把關對繼電保護裝置的檢查工作是確保電力安全運輸的重要環節。相關工作人員需要及時把握對繼電保護裝置的監控和檢測,預防意外事故的發生,明確繼電保護在電網環節中的重要性,確保電網的正常運行。
參考文獻
關鍵詞 計算機;網絡風險;防范模式;防范流程
中圖分類號 F062.5 [KG*2]文獻標識碼 A [KG*2]文章編號 1002-2104(2011)02-0096-04
在信息時代,信息成為第一戰略資源,更是起著至關重要的作用。因此,信息資產的安全是關系到該機構能否完成其使命的大事。資產與風險是天生的一對矛盾,資產價值越高,面臨的風險就越大。信息資產有著與傳統資產不同的特性,面臨著新型風險。計算機網絡風險防范的目的就是要緩解和平衡這一對矛盾,將風險防范到可接受的程度,保護信息及其相關資產,最終保證機構能夠完成其使命。風險防范做不好,系統中所存在的安全風險不僅僅影響系統的正常運行,且可能危害到政府部門自身和社會公眾,嚴重時還將威脅國家的安全。論文提出了在選擇風險防范策略時如何尋找合適的風險防范實施點并按照實施風險防范的具體過程來進行新技術下的風險防范,從而幫助完成有效的風險管理過程,保護組織以及組織完成其任務。
1 計算機網絡風險管理
計算機網絡風險管理包括三個過程:計算機網絡屬性特征分析、風險評估和風險防范。計算機網絡屬性特征分析包括風險管理準備、信息系統調查、信息系統分析和信息安全分析4個階段。在計算機網絡風險防范過程中,計算機網絡屬性的確立過程是一次計算機網絡風險防范主循環的起始,為風險評估提供輸入。風險評估過程,包括對風險和風險影響的識別和評價,以及降低風險措施的建議。風險防范是風險管理的第三個過程,它包括對在風險評估過程中建議的安全控制進行優先級排序、評價和實現,這些控制可以用來減輕風險。
2 網絡風險模式研究
2.1 風險防范體系
計算機風險防范模式包括選擇風險防范措施(風險假設、風險規避、風險限制、風險計劃、研究和了解、風險轉移)、選擇風險防范策略(包括尋找風險防范實施點和防范控制類別的選擇)、實施風險防范3個過程。在實施風險防范的過程中包括對行動進行優先級排序、評價建議的安全控制類別、成本-收益分析、選擇風險防范控制、分配責任、制定安全措施實現計劃、實現被選擇的安全控制,最后還要進行殘余風險分析。
2.2 風險防范措施
風險防范是一種系統方法,高級管理人員可用它來降低使命風險。風險防范可以通過下列措施實現:
(1)風險假設:接受潛在的風險并繼續運行IT系統,或實現安全控制以把風險降低到一個可接受的級別。
(2)風險規避:通過消除風險的原因或后果(如當識別出風險時放棄系統某項功能或關閉系統)來規避風險。
(3)風險限制:通過實現安全控制來限制風險,這些安全控制可將由于系統弱點被威脅破壞而帶來的不利影響最小化(如使用支持、預防、檢測類的安全控制)。
(4)風險計劃:制定一套風險減緩計劃來管理風險,在該計劃中對安全控制進行優先排序、實現和維護。
(5)研究和了解:通過了解系統弱點和缺陷,并研究相應的安全控制修正這些弱點,來降低風險損失。
(6)風險轉移:通過使用其他措施補償損失,從而轉移風險,如購買保險。
在選擇風險防范措施中應該考慮機構的目標和使命。要解決所有風險可能是不實際的,所以應該對那些可能給使命帶來嚴重危害影響的威脅/弱點進行優先排序。同時,在保護機構使命及其IT系統時,由于每一機構有其特定的環境和目標,因此用來減緩風險的措施和實現安全控制的方法也各不相同。最好的方法是從不同的廠商安全產品中選擇最合適的技術,再伴以適當的風險防范措施和非技術類的管理措施。
2.3 風險防范策略
高級管理人員和使命所有者在了解了潛在風險和安全控制建議書后,可能會問:什么時候、在什么情況下我們該采取行動?什么時候該實現這些安全控制來進行風險防范,從而保護我們的機構?
如圖1所示的風險防范實施點回答了這個問題。在圖1中,標有“是”的地方是應該實現風險防范的合適點。
總結風險防范實踐,以下經驗可以對如何采取行動來防范由于故意的人為威脅所帶來的風險提供指導:
楊濤等:計算機網絡風險防范模式研究中國人口•資源與環境 2011年 第2期(1)當存在系統漏洞時,實現保證技術來降低弱點被攻擊的可能性;
(2) 當系統漏洞被惡意攻擊時,運用層次化保護、結構化設計以及管理控制將風險最小化或防止這種情形的發生;
(3) 當攻擊者的成本比攻擊得到更多收益時,運用保護措施,通過提高攻擊者成本來降低攻擊者的攻擊動機(如使用系統控制,限制系統用戶可以訪問或做些什么,這些措施能夠大大降低攻擊所得);
(4) 當損失巨大時,運用設計原則、結構化設計以及技術或非技術類保護措施來限制攻擊的程度,從而降低可能的損失。
上面所述的風險防范策略中除第三條外,也都可運用來防范由于環境威脅或無意的人員威脅所帶來的風險。
2.4 風險防范模式的實施
在實施風險防范措施時,要遵循以下規則:找出最大的風險,然后爭取以最小的代價充分減緩風險,同時要使對其他使命能力的影響最小。實施措施通過以下七個步驟來完成,見圖2。
2.4.1 對行動進行優先級排序
基于在風險評估報告中提出的風險級別,對行動進行優先級排序。在分配資源時,那些標有不可接受的高風險等級(如被定義為非常高或高風險級別的風險)的風險項目應該最優先。這些弱點/威脅需要采取立即糾正行動以保護機構的利益和使命。步驟一輸出―從高到低優先級的行動。
2.4.2 評價建議的安全控制
風險評估過程中建議的安全措施對于具體的機構和IT系統可能不是最適合和可行的。在這一步中,要對建議
圖1 網絡風險防范實施點
Fig.1 Network implementation point of risk prevention
圖2 實施風險防范措施流程及其輸入輸出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性、用戶接受程度)和有效性(如保護程度和風險防范級別)進行分析。目的是選擇最適當的安全控制措施以最小化風險。步驟二輸出―可行安全控制清單。
2.4.3 實施成本-收益分析
為了幫助管理層做出決策并找出性價比好的安全控制,要實施成本―收益分析。第三步輸出―成本-收益分析,其中描述了實現或者不實現安全控制所帶來的成本和收益 。
2.4.4 選擇安全控制
在成本-收益分析的基礎上,管理人員確定性價比最好的安全控制來降低機構使命的風險。所選擇的安全控制應該結合技術、操作和管理類的控制元素以確保IT系統和機構適度的安全。步驟四輸出―選擇好的安全控制。
2.4.5 責任分配
遴選出那些有合適專長和技能來實現所選安全控制的人員(內務人員或外部簽約人員),并分配以相應責任。步驟五輸出―責任人清單。
2.4.6 制定一套安全措施實現計劃
在這一步,將制定一套安全措施實現計劃(或行動計劃)。這套計劃應該至少包括下列信息:
(1)風險(弱點/威脅)和相關的風險級別(風險評估報告輸出)。
(2)建議的安全控制(風險評估報告輸出)。
(3)優先排序過的行動(標有給那些有非常高和高風險級別的項目分配的優先級)。
(4)被選擇的計劃好的安全控制(基于可行性、有效性、機構的收益和成本來決定)。
(5)實現那些被選擇的計劃好的安全控制所需要的資源。
(6)負責小組和人員清單。
(7)開始實現日期。
(8)實現完成的預計日期。
(9)維護要求。
2.4.7 實現被選擇的安全控制
根據各自的情況,實現的安全控制可以降低風險級別但不會根除風險。步驟七輸出―殘余風險清單。
3 網絡風險防范案例
以某市政府官方門戶網絡應用系統為例,首先要對網絡應用系統進行屬性分析,風險評估,然后根據風險評估報告和承受能力來決定風險防范具體措施。
3.1 風險評估
該計算機網絡應用系統安全級別要求高,根據手工和自動化網絡風險評估,結果如下所示:
數據庫系統安全狀況為中風險等級。在檢查的33個項目中,共有9個項目存在安全漏洞。其中:3 個項目為高風險等級,占總檢查項目的 9%;1 個項目為中風險等級,占總檢查項目的 3%;5 個項目為低風險等級,占總檢查項目的 15%。
3.2 風險防范具體措施
選擇風險防范措施中的研究和了解同時進行風險限制。確定風險防范實施點,該數據庫的設計存在漏洞并且該漏洞可能被利用,所以應該實施風險防范。實施步驟如下:
步驟一:對以上掃描結果中的9個漏洞進行優先級排序,確立每個項目的風險級別。
步驟二:評價建議的安全控制。在該網站主站數據庫被建立后針對評估報告中的安全控制建議進行分析,得出要采取的防范策略。
步驟三:對步驟二中得出相應的若干種防范策略進行成本收益分析,最后得出每種防范策略的成本和收益。
步驟四:選擇安全控制。對上述掃描的9個漏洞分別選擇相應的防范策略。
步驟五:責任分配,輸出負責人清單。
步驟六:制定完整的漏洞修復計劃。
步驟七:實施選擇好的防范策略,按表1對這9個漏洞進行一一修復。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名稱
Vulnerability
Name級別
level風險防范策略
Risk prevention
strategiesAXTSGL1006Guest用戶檢測高預防性技術控制AXTSGL1008登錄模式高預防性技術控制AXTSGL3002審計級別設置高監測和恢復技術控制AXTSGL3011注冊表存儲過程權限中支持和預防性技術控制AXTSGL2001允許遠程訪問低預防性技術控制AXTSGL2012系統表訪問權限設置低預防性技術控制AXTSGL3003安全事件審計低監測恢復技術控制AXTSGL3004黑盒跟蹤低恢復管理安全控制AXTSGL3006C2 審計模式低監測和恢復技術控制
4 總 結
在進行計算機網絡風險管理分析的基礎上,提出了新技術下的風險防范模式和體系結構,同時將該防范模式成功應用到某市官方網站的主站數據庫中。應用過程中選擇了恰當的防范措施,根據新技術下風險防范實施點的選擇流程確立了該數據庫的防范實施點并嚴格按照風險防范實施步驟進行風險防范的執行,成功地使風險降低到一個可接受的級別,使得對機構的資源和使命造成的負面影響最小化。
雖然該防范模式在一定程度上降低了風險的級別,但是由于風險類型的不可預見性和防范策略的局限性,該模式未必使機構或系統的風險降到最低,因此風險防范有待于進一步改進和完善,這將是一個長期的任務。
參考文獻(References)
[1]蔡昱,張玉清.風險評估在電子政務系統中的應用[J].計算機工程與應用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]張平,蔣凡.一種改進的網絡安全掃描工具[J].計算機工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯漢.網絡安全檢測的理論和實踐[J].計算機系統應用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何軍.一種基于主機分布式安全掃描的計算機免疫系統模型[J].計算機應,2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
