信息安全風險評估在電力設(shè)計的作用

時間:2022-01-20 03:15:53

導語:信息安全風險評估在電力設(shè)計的作用一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

信息安全風險評估在電力設(shè)計的作用

1.概述

隨著企業(yè)信息化的深入,信息安全問題日益嚴峻,雖然入侵檢測、防火墻、殺毒軟件等安全技術(shù)手段能不同程度起到防御作用,但信息安全事件時有發(fā)生。為保證信息安全,盡可能消除安全隱患,就要定期的開展信息安全風險評估工作,通過分析評估網(wǎng)絡(luò)與信息系統(tǒng)安全潛在威脅、薄弱環(huán)節(jié)、防護措施等,根據(jù)評估結(jié)果,采取適當安全措施,達到安全建設(shè)和管理的目的。本文介紹了一種適合電力設(shè)計企業(yè)的信息安全風險評估的方法,該方法參照國內(nèi)外一些信息安全標準,如ISO15408、ISO27001等,結(jié)合電力設(shè)計企業(yè)信息系統(tǒng)及應用的實際情況,制定了一套風險評估的方法和流程,為電力設(shè)計企業(yè)的信息安全評估工作提供參考。

2.電力設(shè)計企業(yè)信息化特點

電力設(shè)計企業(yè)的信息化是以設(shè)計工作流程為核心,通過對圖檔信息統(tǒng)計分析的自動化、設(shè)計工作流程的標準化,采用高效的協(xié)同設(shè)計管理思想,實現(xiàn)電子設(shè)、校、審,對設(shè)計輸入、校對過程、成圖、設(shè)計變更、資料互提、版本控制、項目圖檔、進行標準化管理。因此,對電力設(shè)計企業(yè)最重要的就是保證設(shè)計流程的順暢和資料完整,相對應的系統(tǒng)有生產(chǎn)設(shè)計流程系統(tǒng),企業(yè)檔案系統(tǒng)、數(shù)據(jù)備份系統(tǒng)等。

3.安全評估相關(guān)標準

對于電力設(shè)計企業(yè)的信息安全要求,必須站在全球信息化的背景下,以國際標準的角度去重新審視現(xiàn)狀和分析存在的差距,針對電力設(shè)計企業(yè)信息安全體系的具體內(nèi)容,需要去選擇合適的標準,我們參考了ISO15408、ISO27001等信息安全的相關(guān)標準。ISO27001和ISO15408所涉及范圍都是信息安全領(lǐng)域;ISO27001側(cè)重安全管理方面的要求,即對IT系統(tǒng)中非技術(shù)內(nèi)容的檢查。這些內(nèi)容與人員、流程、物理安全以及一般意義上的安全管理有關(guān)。ISO15408則側(cè)重于對系統(tǒng)和產(chǎn)品的技術(shù)指標,旨在支持設(shè)備中IT安全特征的技術(shù)性評估,它可以用于描述用戶對安全性的技術(shù)需求。ISO15408中雖然對信息安全管理方面提出了一定的要求,但這些管理要求是孤立、相對靜止、不成體系的。同樣,ISO27001也涉及極小部分的技術(shù)指標,但僅限于管理上必須的技術(shù)指標。電力設(shè)計信息安全體系是一個整體,沒有全盤的考慮,沒有高度的重視,任何一個環(huán)節(jié)出現(xiàn)明顯的短板都將功虧一簣。

4.評估對象和流程

評估的對象為電力設(shè)計企業(yè)的信息系統(tǒng)、主機、網(wǎng)絡(luò)、數(shù)據(jù)庫系統(tǒng)等。對電力設(shè)計企業(yè)的安全評估,包括四個大的方面:資產(chǎn)評估、威評估、脆弱性評估、現(xiàn)有安全措施評估,并在此基礎(chǔ)上進行風險計算和分析,從而提出安全處置方案和建議。具體的評估流程如圖1。

4.1資料準備和啟動會

在該階段,評估方必須事先對企業(yè)提供的資料進行研究分析,通常有領(lǐng)導會議報告、ISO9000文件,業(yè)務流程文檔等。這些資料對了解企業(yè)的戰(zhàn)略意圖和業(yè)務流程具有非常重要的作用,可以在安全評估初期通過研讀這些材料了解企業(yè)的業(yè)務重點,對后續(xù)的資產(chǎn)評估和風險分析具有事半功倍的效果。除此之外,由評估方和被評估方共同召開啟動會,確定評估目標和范圍,制定評估計劃。主要工作內(nèi)容如下:1啟動會需要有被評估方高層領(lǐng)導人出席并動員本單位人員做好配合工作。2明確被評估方各部門需要準備的相關(guān)資料:如部門業(yè)務流程圖、部門工作計劃、資產(chǎn)清單、網(wǎng)絡(luò)拓撲圖、信息系統(tǒng)和安全防護措施等。3被評估方項目負責人和各部門協(xié)調(diào)人確認。4雙方共同確認評估目標和范圍。

4.2資產(chǎn)評估

資產(chǎn)評估是對信息資產(chǎn)分類、標記、賦值的過程。資產(chǎn)評估主要包括兩個過程:資產(chǎn)識別和資產(chǎn)賦值。

4.2.1資產(chǎn)識別

在確定評估抽樣范圍后,需要對抽樣資產(chǎn)進行識別。資產(chǎn)識別是為了了解資產(chǎn)狀況、確定資產(chǎn)價值而進行的風險管理的準備工作。主要針對對象為:網(wǎng)絡(luò)設(shè)備、應用系統(tǒng)服務器、機房基礎(chǔ)設(shè)施(包括物理環(huán)境,備份等、系統(tǒng)軟件與應用軟件。由被評估方填寫主機資產(chǎn)統(tǒng)計表、網(wǎng)絡(luò)設(shè)備統(tǒng)計表、應用系統(tǒng)統(tǒng)計表。評估人員抽樣選取一定數(shù)量的資產(chǎn)信息填入到資產(chǎn)匯總表格中。信息包括:參考號、資產(chǎn)、說明、類型、所有者、位置等。

4.2.2資產(chǎn)賦值

資產(chǎn)賦值需要有評估雙方共同確定,根據(jù)資產(chǎn)的重要程度,同時參考資產(chǎn)的機密性、完整性、可用性三個安全屬性,對資產(chǎn)進行賦值,分為1-5等級,等級越大,資產(chǎn)越重要。表1是三性賦值中機密性賦值標準。資產(chǎn)的賦值可以根據(jù)電力設(shè)計企業(yè)的應用特點,比如:與設(shè)計流程相關(guān)的系統(tǒng),其可用性的取值要高些;與數(shù)據(jù)資源相關(guān)的應用系統(tǒng)和備份系統(tǒng),其機密性、完整性、可用性的賦值也會高些。企業(yè)信息系統(tǒng)的業(yè)務特點決定了業(yè)務系統(tǒng)的重要性程度。資產(chǎn)最終價值的等級評估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級別,經(jīng)過綜合評定得出的。因為不同組織對于安全三性的要求和重視程度有所不同,所以評定的標準也不盡相,最后加權(quán)得到資產(chǎn)的等級和賦值。資產(chǎn)賦值的計算公式:。公式中:C、I、A分別為某個資產(chǎn)的三性賦值,wC、wI、wA分別為CIA三性的權(quán)重,可根據(jù)實際情況進行選取。賦值后的資產(chǎn)清單列表如圖2。

4.3威脅評估

評估確定威脅發(fā)生的可能性是威脅評估階段的重要工作,評估者應根據(jù)經(jīng)驗和(或)有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者發(fā)生的概率。還需要參考下面三方面的資料和信息來源,綜合考慮,形成在特定評估環(huán)境中各種威脅發(fā)生的可能性。1通過過去的安全事件報告或記錄,統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率;2在評估體實際環(huán)境中,通過IDS、防火墻等系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計和分析,各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計和分析;3過去一年或兩年來國際機構(gòu)的對于整個社會或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計數(shù)據(jù)均值。威脅的評估就是綜合了威脅來源和種類后得到的威脅列表,并對列表中的威脅發(fā)生可能性的評估。最終威脅的賦值采用定性的相對等級的方式。威脅的等級劃分為五級,從1到5分別代表五個級別的威脅發(fā)生可能性。等級數(shù)值越大,威脅發(fā)生的可能性越大。威脅評估計算流程見下圖:

4.4脆弱性評估

脆弱性評估針對需要保護的信息資產(chǎn),造成可能被威脅利用的弱點,并對脆弱性的嚴重程度進行評估。脆弱性評估的方法有問卷調(diào)查、工具檢測、人工審計、文檔查閱等。主機安全性評估是對業(yè)務系統(tǒng)范圍內(nèi)的主機進行安全漏洞的發(fā)現(xiàn)的過程,包括如下的內(nèi)容:1工具檢測是采用漏洞掃描工具對系統(tǒng)技術(shù)漏洞的發(fā)現(xiàn)過程,在漏洞掃描的過程中可能會對業(yè)務系統(tǒng)的運行產(chǎn)生影響,因此需要得到操作許可,并準備應急預案以避免由風險評估產(chǎn)生的風險。2主機人工審計根據(jù)評估單位的實際情況,對當前的服務端系統(tǒng)進行抽樣審計,審計的內(nèi)容包括:密碼策略,安全策略,用戶組策略,資源使用情況,注冊表情況等,為主機的脆弱性計算提供準確依據(jù)。3安全管理制度文檔分析主要結(jié)合問卷反饋與人員訪談進行文檔分析,文檔分析主要是對信息系統(tǒng)管理中已制定和采用的安全管理制度文檔以及制度的執(zhí)行情況進行分析,通過分析發(fā)現(xiàn)現(xiàn)有制度中的缺陷。4脆弱性賦值脆弱性評估將針對每一項需要保護的信息資產(chǎn),找出每一種威脅可能利用的脆弱性,并對脆弱性的嚴重程度進行評估。脆弱性的等級劃分為五級,從1到5分別代表五個級別的某種資產(chǎn)脆弱程度。等級越大,脆弱程度越高。具體每一級別的脆弱性脆弱程度定義參見下表2。

4.5風險分析

再完成資產(chǎn)識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性,考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險。安全風險的計算方法:R=H*V*T。公式中:R表示風險;H表示資產(chǎn)價值;V表示脆弱性;T表示威脅。風險等級建議從1到5劃分為五級。等級越大,風險越高。評估者也可以根據(jù)被評估系統(tǒng)的實際情況自定義風險的等級。4.6安全建議與加固安全建議與加固應包括以下幾個方面:1對網(wǎng)絡(luò)體系結(jié)構(gòu)、主機、操作系統(tǒng)、信息系統(tǒng)、備份、安全措施等方面存在的薄弱環(huán)節(jié),可采取的改進方案的的建議。2對企業(yè)加固措施的實施順序、實施過程、實施影響進行詳細的闡述,通常加固措施可由評估方進行實施,如遇到復雜的可申請設(shè)備或者系統(tǒng)廠商進行。3對安全建議和加固實施的風險進行詳細的評估和分析,針對不同的風險,配合被評估方做好詳細的應急預案。4.7安全評估注意事項信息安全評估的過程中,必須注意一下事項:1評估人員通常會接觸到一些企業(yè)內(nèi)部信息和資料,所以,在評估之前,雙方必須簽訂保密協(xié)議。2做好數(shù)據(jù)備份工作,在評估的過程中,為防止誤操作引起的數(shù)據(jù)丟失,在評估前需要對系統(tǒng)做好充分的備份。3嚴格控制工具的使用,有些安全評估工具存在很大的攻擊性,對被評估方造成不可預知的危險,通常要嚴格控制這類工具的使用。4對評估涉及的信息系統(tǒng)制定相應的應急預案。

5.結(jié)束語

信息安全風險評估是信息安全保障體系建立過程中的重要的評價方法和決策機制,是信息系統(tǒng)風險管理的重要環(huán)節(jié)。通過風險評估來確定信息系統(tǒng)的安全現(xiàn)狀,提取信息系統(tǒng)安全需求,并在此基礎(chǔ)上對信息安全保障體系建設(shè)進行有序的規(guī)劃,是電力設(shè)計企業(yè)在信息安全工作中避免防護不當,提高防護效果和效益的主要手段。

本文作者:葉文輝工作單位:福建省電力勘測設(shè)計院