时间:2023-06-19 16:29:17
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇等级保护和风险评估范例。如需获取更多原创内容,可随时联系我们的客服老师。
一、工作目标
通过深入开展此次专项活动,确保全市重要信息系统能够全面进行准确定级和审核备案;全面组织等级测评和风险评估;全面开展监督检查和建设整改;全面落实管理制度和安全责任,努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标,不断提高重要信息系统安全防范能力和应急处置能力,为建国周年庆典活动创造一个良好的网络环境。
二、工作任务
(一)全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级,对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统,凡符合上级国家机关、企事业单位安全保护等级的,可不再重新定级和审核备案,否则均要重新定级和审核备案;对于尚未定级和审核备案的系统,都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中,安全保护等级确定为一级的信息系统,公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统,各信息系统运营使用单位要在公安机关办理审核备案手续,填写《信息安全等级保护备案表》,实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。
(二)全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求,全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上(其他尚未开展初次测评的系统应于年上半年完成)。
(三)全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等,全面组织开展安全等级保护监督检查和限期整改工作,其监督检查率应达到100%,限期整改率应达到80%以上。其他被定为二级(含二级)以下的信息系统,可由信息系统运营使用单位进行自查和整改。
三、工作步骤
(一)定级与备案阶段(8月18日至9月15日)。市专项活动领导小组在8月31日前进行组织动员和工作部署,开展信息系统普查,全面摸清底数,掌握基本情况,确定定级对象。9月15日前,各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级,对应确定本单位信息系统安全保护等级,并做好申报备案。对审核符合安全保护等级要求的,由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的,应重新评审确定,为等级测评和检查整改奠定基础。
(二)测评与检查阶段(9月15日至11月30日)。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上(含三级)信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神,提前做好人员、技术、经费等各项准备工作,按时完成信息系统等级测评和风险评估。
(三)总结与整改阶段(12月1日至12月31日)。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题,向运营使用单位下发《整改通知书》,要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案,认真搞好安全隐患的整改工作。
四、工作要求
(一)统一思想认识,切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势,进一步增强做好信息安全等级保护工作的责任感和紧迫感,务必把此项工作作为事关国家安全和社会稳定,特别是国庆61周年安全保卫的一项重要政治任务,纳入议事日程,摆在应有位置。为切实加强领导,成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组(名单附后),领导小组在本次专项活动完成后,继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制,精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥,按照“谁主管,谁负责,谁使用,谁负责”的原则,成立领导小组,建立工作专班,确立联络人员,迅速行动、全力以赴,大张旗鼓地组织开展等级保护工作。
(二)深入动员部署,精心组织实施。各重要信息系统运营使用单位要制定好本单位信息系统安全等级保护工作实施方案,准确定级,并将相关资料上报市专项活动领导小组办公室。在定级完成后,要积极做好测评准备工作,在人力、财力上给予充分保障。对检测出来的问题要及时向主管领导和上级部门报告,立即整改,把专项活动的各项要求落到实处。
1.等级保护
1)主要内容
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
2)优点
等级保护适用于宏观层面,是一种大范围“基线安全”,适用于行业主管部门对信息安全的总体把握与监控。
3)缺点
具体到某个组织的信息安全保护而言,等级保护的粒度划分较粗,在满足组织对信息安全的精细控制要求方面还存在不足。因此,在满足监管部门的等级保护要求之后,组织还可进一步把等级细化到各种层次的安全域,直至对一个个的信息资产进行有效管理。
2.信息安全管理体系(ISMS)
1)主要内容
类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平,按照ISO27001的要求,在整体或特定范围内监理的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
2)优点
ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断地采取管控措施,以把风险降低到组织可接受的程度。
3)缺点
它只是描述了建立ISMS的思想、框架,但对如何建立ISMS并没有一个详细明确的定义,也没有描述ISMS的最终形态;没有确定建立信息安全体系的具体方法与技术。因此,ISMS对实施者来说留下来很大的可操作空间,不同的组织和不同实施着对ISMS标准的把握可能差别很大,ISMS总体水平也会有高下之分。
3.风险评估
1)主要内容
风险评估是获知组织当前风险水平的一种手段,在金融、电子商务等许多领域都是有风险及风险评估需求的存在。当风险评估应用于IT安全领域时,就是对信息安全的风险评估。
2)优点
风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测,对规范我国信息安全风险评估的做法具有很好的指导意义。
3)缺点
《信息安全风险评估指南》所确定的风险评估方法还只是一个通用的方法论,具体到一个特定的单位,要对其中的风险进行准确地识别与量化仍热是一件困难的事情,在很大程度上要取决于评估者的经验。
档案信息安全保障体系的建设取得了一定的成绩,但同时存在许多问题,我们必须及时加以纠正和改进。档案信息安全保障体系的建设不是一蹴而就的,是一个复杂的社会工程。首先要纳入国家信息安全保障体系和电子政务信息安全保障体系的总体格局中,其次学习国内外保障体系建设的经验,结合档案信息资源的自身特点,将档案信息安全保障体系建设落到实处。档案信息安全保障存在的问题
1.对档案信息安全保护和保障概念混淆
信息安全是一个发展的概念,从通信保密、信息保护发展到信息保障,或者说是从保密、保护发展到保障。每个阶段的安全属性也是不断扩展的,保密阶段为保密性:保护阶段为保密性、完整性和可用性;保障阶段为保密性、完整性、可用性、真实性和不可否认性,甚至在国际标准《信息安全管理体系规范》ISO/IEC17799:2005中,又增加了可追溯性和可控性。信息安全属性也是信息安全的目标。保障阶段应采取相应的措施达到“七性”。
信息安全保障的提出最早源自美国。1996年美国国防部(DoD)在国防部令S-3600,1对信息安全保障作了如下定义:“保护和防御信息及信息系统,确保其可用性、完整性、保密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能,并提供信息系统的恢复功能。”除安全属性不断丰富外,安全保障与安全保护主要区别是主动防御和动态保护。而与之对应的信息保护是静态保护(安全措施基本不变)和被动保护(发生安全事故后再采取防护措施)。
然而,目前大部分档案信息安全保障仍只达到安全保护水平。将安全保护和安全保障概念混淆,造成保障阶段的能力也停留在保护水平,不能从主动防御和动态保护来保障档案信息安全。在具体操作上。仍以身份认证、数据备份、安装防火墙、杀毒软件和入侵检测等被动保护措施为主。在日益复杂的档案信息系统和网络环境下,档案信息得不到应有的保障。
2.偏重技术,忽视管理
在美国国防部对安全保障的定义中,“保护、检测、反应和恢复”不仅体现动态保护,还体现安全管理,安全保障也是一个管理过程。
然而长期以来,人们对档案信息安全偏重于依靠技术。但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的,尤其是对内网用户的管理。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则。在档案信息安全领域也同样适用。据有关部门统计。在所有的信息安全事件中,属于管理方面的原因比重高达70%以上,而这些安全问题是可以通过科学的信息安全管理来避免的。因此,安全管理已成为保障档案信息安全的重要措施。
目前,国际上实现信息安全管理的有效手段是在信息安全等级保护制度下,进行信息安全风险评估。“早在20世纪70年代初期美国政府就提出了风险评估的要求。2002年颁布的《2002联邦信息安全管理法》对政务信息安全风险评估提出了更加具体的要求。”欧洲等其他信息化发达国家也非常重视开展信息安全风险评估工作,将开展信息安全风险评估工作作为提高信息安全保障水平的重要手段。国外风险评估标准主要有:BS7799、ISO/1EC 17799、OCTAVE、NIST SP800―30、AS/NZ54360、SSE―CMM等。
3.缺失安全评估体系
目前,我国档案信息安全保障体系的建设处于各自为政状态,没有将基于等级保护制度下的档案信息安全风险评估提到议事日程上来。由此造成档案信息系统建立并采取安全措施后,仍不能明确自己的网络和应用系统是否达到安全要求?还有哪些安全漏洞?可能造成多大危害?应该怎样解决?系统升级或调整后又存在哪些安全风险?如何规划档案信息安全保障体系建设?作为档案信息系统的拥有者、档案信息系统安全构建者和档案信息系统安全的监管者,必须有统一的风险评估标准,才可以做到档案信息安全与否谁也不能说了算,而应该按照统一的风险评估标准来评价是否安全。应采取什么措施。
档案信息安全保障状况需进行风险评估
2006年3月7日,酝酿已久的《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(简称《意见》)正式对外公布。《意见》要求。各信息化和信息安全主管部门要从抓试点开始,逐步探索组织实施和管理的经验,用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提升网络和信息系统安全保障能力。
2005年9月,国务院信息化工作办公室专门组织成立了“电子政务信息安全工作组”,并已编制了《电子政务信息安全等级保护实施指南(试行)》,其中提出将风险评估贯穿等级保护工作的整个流程。所以,作为电子政务系统中保存和管理信息的档案信息系统,与电子政务一脉相承,进行风险评估是迟早的事。对档案信息安全保障进行风险评估主要有如下优势。
1.将档案信息安全保障体系纳入国家信息保障体系
国家已制定了风险评估标准GB/T 20948―2007《信息安全风险评估规范》,并将于2007年11月1日正式实施。作为我国信息资源重要组成部分的档案信息,必须积极响应国家信息安全政策和纳入国家信息安全保障体系的总体格局。档案信息安全风险评估可在此标准的基础上,结合档案信息自身特点,先开始在综合档案馆和电信、银行、税务、电力等大型档案信息管理系统中试验,在此基础上再逐步推广,达到国家要求“2006年后三年内在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作”基本目标。
2.规范档案信息安全保障体系建设
在档案信息化过程中。我们已经制定了GB/T17678.1―1999《CA D电子文件光盘存储、归档与档案管理要求。第一部分:电子文件归档与档案管理》、GB/T18894―2002《电子文件归档与管理规范》、GB/T20163―2006《中国档案机读目录格式》、DA/T 22―2000《归档文件整理规则》和DMT 3l一2005《纸质档案数字化技术规范》等国家标准和行业标准,然而与档案信息安全相关的标准尚未出台,造成目前档案信息安全保障体系的建设处于各自为政状态。档案信息风险评估的开展。虽然可以参照国际和国家标准,但最终还必须有针对性强的行业标准。为了改变目前的现状,档案行政管理部门应重视针对档案信息安全保障政策和标准的建设,抓住国家推广信息安全风险评估的机会。从风险评估作为切入点,制定档案信息风险评估和其他安全相关标准,规范档案信息安全保障的建设。由于对档案信息风险评估是以信息安全保障要求为前提的,所以只要进行风险评估就可以纠正信息保护和保障的混淆,并确认是否达到相应的保障要求。
3.贯彻安全技术和管理并重,保障档案信息安全
等级保护和风险评估是信息安全管理的核心内容,是信息安全管理的具体体现。国家提倡在等级保护制度下进行风险评估,就是在对信息系统划分等级后,采用风险评估测评系统是否达到相应等级的安全要求,这样可以改变以往只建设不测评的现状。同时,风险评估还要求贯穿信息系统的整个生命周期,即在信息系统的分析、设计、实现和运行维护的整个生命周期内,都将进行定期或不定期的风险评估,也体现信息安全保障的动态安全和主动防御。以往在我们档案信息安全保障的建设中也强调信息安全管理机制的构建,而风险评估就是很好的体现。风险评估的进行过程中。有相应的安全策略,按照“谁主管谁负责、谁运行谁负责”的要求,对在岗的每一位员工也有相应的安全职责,这样也提高了员工的安全意识。
4.完善档案信息安奎保障体系
对于已建、在建或将建的档案信息系统,以往没有进行风险评估的,应积极开展这项工作,在没有正式出台专门档案信息风险评估标准前,可参照国内国际标准进行,或者参与到电子政务信息的等级保护和风险评估中去。当然风险评估并不是信息安全保障的唯一手段(还包括等级保护、应急响应和灾难恢复等),但它是档案信息安全保障不可或缺的一个重要环节。通过风险评估,可完善目前还没有达到保障要求的档案信息系统安全保障。另外,对于新建设的档案信息系统在设计阶段就要融入风险评估,这样可以防患于未然。
5.监督和检查档案信息安全保障建设
【关键词】变压器检修;状态评估;风险评估;应用
0.引言
变压器会受到多种因素的影响而发生故障,例如因为运输不当、安装错误和运行错误等。一旦发生故障,会对电力系统的输电能力产生影响,并对变压器造成较为严重的损伤,甚至会导致大规模停电现象,带来较大的经济损失。但是,对变压器进行检修的工作难度较大,耗时较长。所以,人们很早之前便开始采用周期检修的方式来保证整个电力系统的稳定。但是,采用周期检修的方式很有可能会导致各种设备的不健康工作,影响设备的正常运行和实际使用寿命。所以,为了进一步提高 电网和设备运行的可靠性和安全性,我们需要积极的对变压器检修中状态和风险评估策略进行研究。
1.对变压器的状态评价和风险评估
1.1变压器的状态评价
对变压器的检修工作而言,状态评价是十分关键的一步。对变压器进行状态评价的时候需要采取动态管理的形式。并需要对设备的相关数据进行离线和在线测试。并持续、规范的对各种特征参量和基础资料进 行收集和全程的跟踪管理。并对所有信息进行综合的分析和判断,从而全面把握 变压器的实际运行状态和健康水平以及发展趋势等。在变压器状态的具体评价过程中,要综合考虑变压器多方面的具体信息,例如变压器有载调压开关、负荷等,以及套管等主附件的制造工艺,还有历史故障等各方面的信息。并针对变压器的具体结构特点和常见故障类型进行评价,然后,根据变压器不同方面信息的具体特点,可以划分出不同的试验方式等。例如,针对化学试验因素,可以划分为绝缘纸老化测试和油质试验等。对于不同类型的状态点,要按照变压器的实际工况对其具体等级进行划分,然后依据各个等级设置相应的系数,设置的时候要充分考虑到不同状态点对变压器健康状态的影响程度。对于不同类型的状态量,在设置相应的状态点权重的时候,要考虑到其在变压器整体状态中所占的具体比重。
1.2变压器风险评估
在结束对变压器的状态评价之后,可以开始对变压器进行风险评估。通过风险评估,可以对变压器正在面临的,以及可能出现的的各种风险问题进行预测和确定,从而为变压器状态检修的决策提供可考的参考依据。在具体的风险评估过程中,需要以变压器的状态评价结果为参考,对变压器的各个方面进行详细的评估,例如安全问题和环境问题,以及效益问题等,对变压器的运行风险进行合理的评估。对变压器的风险评估较为特殊,要充分考虑到 故障可能会导致的 连锁反应 以及停电所造成的社会影响。具体来讲,对变压器的风险评估主要要考虑以下一些方面的内容:(1)安全问题和影响问题。一旦发生故障,便可能会对工作人员带来较大的安全威胁,故障还极容易导致火灾的出现,如果引发油泄漏还会对环境造成污染,产生一系列的较为恶劣的社会影响。所以,对变压器的风险评估一定要考虑到安全问题和影响问题。(2)电网性能。变压器发生故障很容易对电网性能带来较大的风险。例如,如果因为发生一些较大的故障,一些变压器不得不停运,便需要在短时间内进行负荷转移。于是,便会给其他变压器带来一定的风险,例如过负荷和备用容量的降低等。并会导致停电等现象,导致较为严重的电力企业电费损失和各种社会经济损失。(3)设备损失。出现故障之后,为了保证设备重新恢复正常工作状态,需要对设备进行维修等,便需要支出大量的硬件费用和人工成本等。
2.变压器检修中状态和风险评估策略的应用
2.1检修类型
(1)A类。A类检修是指对变压器的吊罩和吊芯进行检查,还有检查和改造变压器的本体油箱和内部部件,还有相关试验等。(2)B类。①B1类检修是更换变压器油箱外部的一些主要部件,例如调压开关和冷却系统,以及非电量保护装置和绝缘油等。②B2类检修大多是处理各种部件,例如 油枕和调压开关以及非电量保护装置等。以及其他一些工作,例如 现场干燥处理和更换、相关试验等。(3)C类。①C1类检修:按Q/GDW168-2008《输变电设备状态检修试验规程》规定进行试验。②C2类检修:清扫、检查、维修。(4)D类。①D1类检修:在线和离线状态下的带电测试。②D2类检修:各种维修和保养工作。③D3类检修:带电水冲洗。④D4类检修:对变压器的检查和巡视,需要有由妆也工作人员负责。⑤D5类检修:⑥D6类检修:其他不停电状态下更换变压器部件的工作。
2.2检修策略的制定
在制定变压器检修策略的时候,要积极的参考对变压器状态评价和参考风险评估的具体结果,并根据相关 标准的具体规定和要求,对检修的具体方式和内容进行确定,并制定出详细的检修方案。制定检修方案的时候还需要综合考虑到其他一些方面因素的影响,例如整个电网的发展、各种应用技术的进步等。在制定好检修方案之后,还要合理的安排检修工作,一般情况下,需要按照问题的严重程度和检修工作的紧迫程度合理安排检修工作的具体时间。根据对变压器的状态评价,制定出相应的检修方案。并积极参考风险评估结果,对制定好的检修方案进行优化。一般情况下,A、B、C类检修对变压器的安全运行影响较大,所以在进行检修的时候要保证设备的安全、稳定运行。而对于D类型的检修,则需要工作人员充分依照对变压器进行风险评估的具体结果,估算出检修所耗费的实际成本,并需要综合考虑检修完毕后变压器存在的风险问题等多种因素,制定详细的检修方案,并不断予以优化,最终确定出最佳的检修方案。另外,如果经过分析,发现实际检修工作的任务量较大,检修工作较繁重的时候,可以按照具体的风险大小,优先对那些风险较大的设备进行检修。
3.结语
变压器的检修工作直接关系到整个电网的稳定运行,本文,我们基于状态和风险评估模式,积极地分析多方面因素的影响,制定出详细合理的变压器检修中应用状态和风险评估的具体策略,从而不断提高变压器检修工作的技术性和经济性。 [科]
【参考文献】
[1]陈立,郭丽娟,邓雨荣,等.基于状态和风险评估的老旧变压器安全经济性分析[J].南方电网技术,2010,04(01):64-67.
[2]郭丽娟,鲁宗相,邓雨荣,等.基于风险的输变电设备状态检修实用技术体系[J].南方电网技术,2011(02):91-92.
[3]杜平,刘浩,张华,等.基于状态检修的电力变压器风险评估指标和方法[J].电气技术,2012(10):59-61.
[关键词]数字图书馆 信息安全管理 IS027000规范 评介
[分类号]G250.76
目前数字图书馆信息安全问题的主要解决之道是依赖计算机和网络安全等技术措施进行防范保护,虽然近几年也有学者从人员管理、设备管理、灾难恢复制度、人员培训、法律法规等角度进行探讨,但是数字图书馆信息安全领域“重技术、轻管理”的现象非常明显,这与信息安全领域“三分技术、七分管理”的黄金定律是相违背的。因此,如何在危机四伏的信息和网络环境中,在技术水平不变的情况下依靠管理的改进大幅度提升数字图书馆信息安全等级,建立一套具有可操作性的管理体系标准以规范数字图书馆的信息安全管理过程,已成为当前数字图书馆信息安全领域的重点课题。
南京农业大学信息学院黄水清教授的新作《数字图书馆信息安全管理》是基于其主持的国家社会科学基金课题完成的研究成果,由南京大学出版社新近出版。此书较好地回答了上述问题,是国内第一部系统阐述数字图书馆信息安全管理体系的论著,填补了国内该领域的空白。作者在深入对比分析一系列国际信息安全管理标准和规范的基础上,将在企业和政府机构广泛应用的IS027000系列标准引入到数字图书馆信息安全管理领域,并从理论和实践两个层面出发,构建了数字图书馆信息安全管理的理论体系和实践防范体系,对于推动数字图书馆信息安全的研究与实践具有十分重要的意义。
黄水清教授指出:“数字图书馆信息安全即保持数字图书馆各项信息的保密性、完整性和可用性,使得数字图书馆传递给用户的信息具有真实性、可核查性、抗抵赖和可靠性。其中,保密性、完整性和可用性是数字图书馆信息安全的完整体系和内核,真实性、可核查性、抗抵赖和可靠性是数字图书馆提供给用户的信息服务的质量标准。”该书的所有研究紧紧围绕这一定义展开,从标准选择、方法选取、模板制定、实践验证4个部分进行研究、探索和实践。
与信息安全领域的其他国际标准规范相比较,IS027000是一个通用的、普适性的信息安全管理标准族,核心是IS027001和IS027002,分别描述了组织信息安全风险评估和风险控制的方法和流程,适用于任何规模和行业的组织。将IS027000采用的策划一实施一检查一措施(PDCA)过程模式应用于数字图书馆,可以确保数字图书馆的安全管理实践持续地被文档化、加强和改进。而数字图书馆的业务流程具有趋同性,与IS027000从业务流程人手进行资产、威胁、脆弱性识别以保障风险评估和风险控制过程的要求相一致。同时,IS027000的控制措施涵盖了信息安全风险控制的各种可能,数字图书馆的信息安全风险控制措施只需根据其行业特点从中选取即可。通过比较,作者确定IS027000是适用于数字图书馆信息安全管理的最佳依从标准,能够用于指导建立数字图书馆领域的信息安全管理体系,并且,可以通过制定数字图书馆信息安全风险评估与风险控制模板的方式减少具体实施过程中的难度与成本。
《数字图书馆信息安全管理》一书在第四章和第五章着力阐述了数字图书馆信息安全管理方法的选取问题。信息安全管理包括风险评估和风险控制两大过程,两大过程整体遵循PDCA的过程模式,不断循环评估~控制一再评估的过程。其中,风险评估模型主要包括资产、威胁和脆弱性三大要素,作者分别用模糊数学、构建威胁场景和通用缺陷评估系统(CVSS)的方法构建了数字图书馆的资产价值评估模型、威胁等级识别模型和脆弱性等级识别模型,然后以IS027005中的风险矩阵模型的一种变形为基础,综合三个子模型,得到数字图书馆的风险评估模型。风险控制模型主要包括资产、业务和控制措施三大要素,作者提出基于投资约束和风险防范策略的风险控制决策模型,将资产、威胁、脆弱性与资产、业务、控制措施两个坐标体系联动。该风险评估和风险控制模型是本书数字图书馆信息安全管理研究的方法论。
数字图书馆是一种具有相同或高度相似的业务流程的特殊组织。作者选取了全国30家数字图书馆作为调查对象,通过调查总结得出数字图书馆的业务流程。以此为基础,分别就资产、威胁和脆弱性的识别与估值问题展开多次深入调查,并采用上述风险评估模型进行计算和分析,提出风险等级划分方法,形成了数字图书馆信息安全风险评估的模板。另外,通过调查、访谈等方式,作者从IS027002中总结分析得到适用于数字图书馆信息安全的控制措施集合,并根据风险控制模型的计算和分析,构建了数字图书馆信息安全风险控制的模板。数字图书馆风险评估和风险控制模板的制定过程是数字图书馆信息安全管理体系建立和实施的全过程,但是模板的形成降低了风险管理的难度、提高了工作效率,这就达到了本书的研究目标:大多数数字图书馆可以采取查询资产报表的方式评估组织各项资产的风险等级并采取有效措施。
关键词:风险;评估;可能性;后果
中图分类号:F27文献标识码:A
一、概述
风险评估有许多方法,工艺安全场景评估(简称PSSE)是其中之一。这是一种在欧美应用较广泛的评估方法,特别适用于工业生产装置的安全评估。该方法将一个项目或一套装置按物理空间或功能细分为若干区域,然后逐项研究风险事件是什么,后果是什么。根据以往经验及统计资料确定事件概率;根据经验和一些调查统计,确定后果严重性;根据概率和后果将风险定级;对于高风险和较高风险,再研究应对措施是什么,然后再评估采取了这些措施后风险会降低到什么程度。根据项目或装置的复杂程度、大小规模等因素,定期复检工艺安全场景评估,重新认识风险,并重新评定风险等级。
PSSE是从风险事件发生的可能性、风险事件后果的严重性两方面入手来评判一个风险事件的风险等级的。
可能性是指一个事件在多少年内会重复发生一次,它分五级。(表1)
严重性是指该事件若发生,会造成多少损失,以美元计,它分五级。(表2)
然后,用一个矩形表格来定位该风险事件的风险等级,风险有四类:1类为严重风险;2类为较严重风险;3类为一般风险;4类为轻微风险。(表3)
表4是一个工艺安全场景评估表的具体例子。(表4)
二、对现行PSSE评分方法的讨论
1、在评估过程中,先对某一风险事件的可能性展开讨论,套用欧美国家的标准,带来诸多不便,更带来误导。如,从C级可能性开始,以几十年、几百年、几千年为一个档次评判风险发生的可能性,可操作性很差。一个工业生产工厂,或一套民用运行装置,很少会设计成使用周期一百年,更不用说一千、一万年,即没有工业生产工厂或民用运行装置会被设计成防“万年一遇”的风险事故。这样,D级和E级二个可能性档次等于空设。从表3风险等级表中也可发现,E例和D例几乎都是4类风险(轻微风险)。
可能性C级所包含的时间跨度也设计得太长。笔者认为,绝大多数工业生产工厂或民用运行装置的生命周期都在30~100年之间,而风险事件重复发生的可能性千变万化。所以,这段时间段可再细分,以更贴合实际。表5是笔者建议的、并在一个项目的安全评估中应用的可能性分级表。(表5)
2、对损失的判断是风险评估的又一个重要方面,套用欧美国家的损失评判标准,对于国内大多数项目更有困难。如,引进的标准对人员伤害的赔偿(对项目而言即为损失)如下:
死亡及永久伤残:10,000,000 US$
损失工作日的事故:30,000 US$
轻微伤害:3,000 US$
很显然,我国国内的赔偿额远低于此标准。若套用此标准,会有两方面的偏差:第一,许多国内认为是事故的事件,在这里不被当作事故。第二,如按此标准赔付,项目损失极大。
考虑到国内实际情况和《工伤保险条例》,笔者建议对风险事件的严重性分级作如下修正,并用人民币(RMB)为计量单位。(表6)
3、原评估方法中没有关注环境保护问题。事实上,如果一个事故虽没有造成人员损失或设备财产损失,但给环境带来污染,其实后果也是很严重的。尽管有些时候,在有些地方,此类事故并不一定真的受到很大额的“罚款”,但从环境保护的角度看,这种事故应视为大事故(即,后果严重的事故)。并且,注意到我国正越来越重视环保,笔者认为应当在表4中增加一项考虑项目“是否有环境污染”。即,即使某一风险对其他方面的危害均很小,但只要有环境污染,就视为严重风险(1类风险)。
表7是一个改进的工艺安全场景评估表的具体例子。(表7)
【关键词】安全风险;安全措施;风险评估报告
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1 资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。
2.2 识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3 威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。
2.4 综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5 风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr =原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6 风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1) 概述,包括评估目的、方法、过程等。
2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
【关键词】继电保护;可靠性;失效事件
1.引言
随着经济和科技的蓬勃发展,我国电力系统的应用也越来越广泛,复杂的电网系统也变得越来越重要,继电保护作为电网系统的第一道防线,其重要性不言而喻。继电保护装置的功能是区分被保护元件是正常运行还是发生了故障,故障是在保护区内还是在保护区外,所以如果不对继电保护的可靠性和风险性进行研究,就无法及时发现继电保护装置的隐患,可能会导致电网发生意外故障,引起一系列事故发生。
2.继电保护装置
在国内,关于电力系统可靠性的研究主要经过了确定性评估、概率评估和风险评估三个阶段。确定性评估一般是研究最重大的事故,如“N-1”安全分析,略显保守;概率评估是研究了故障发生的几率,但不考虑其后果;风险评估则综合了发生故障的概率和产生的后果。在正常运行电网时,没有失误波动,没有错误操作,这就是继电保护装置的可靠性。为了能精准的做出关于继电保护的风险评估,应当首先分析它的原理。
2.1 继电保护装置的可靠性
继电保护装置是可修复的,其可靠性的特点有以下几点:
(1)由于继电保护工作的环境和其自身状况的变动性,继电保护装置的可靠度和发生失效的时间有一定的几率性和随机性;
(2)继电保护装置的可靠性包含的因素太多。除了保护装置,还有关系很密切的一次设备、系统通讯的运行和一些人为因素;电网的保护设计的原理、实际的运行方式和它的整定、配置方式都对电网的继电保护装置有着极大的影响,各种复制的软件设备和硬件又涵盖了电网的各个方面。所以,从软件设备方面会有很多不稳定的物理因素像软件的设计、系统的输入和使用都会影响继电保护的可靠性;在硬件方面,继电保护的可靠性更多的是要看每个基础设施和电路的设计方式是否可靠;
(3)继电保护装置的失效分成拒动失效和误动失效,这两种失效又可以分成不可以被检测可可以被检测两种,在制定可靠性的一些指标时需要将两种情况综合在一起来考虑。
2.2 继电保护装置可靠性的影响因素
继电保护装置的可靠性和许多因素有关,如:
(1)继电保护装置基本上都是由电子设备和软件组成的,电子设备老化或损坏会直接影响保护装置;其运行水平和环境的干扰等也会影响到继电保护装置的可靠性;
(2)保护装置的平台是硬件,实行保护功能的核心是软件,因此软件的可靠性也显得极为重要;
(3)C、PT等互感器和断路器通过传变输入量和执行输出直接影响继电保护装置;
(4)二次回路然的绝缘老化和线路等原因导致元件连接的接触不良或者松动都会给被保护的元件带来不利影响。全数字化的保护系统通过用高速网络通信来取代二次电缆,因为二次回路能够自我监测;
(5)继电保护定值是离线整定在继电保护装置中的重要因素。常规的继电保护装置是通过离线计算其定值并稳定在运行中。可是电网结构越来越复杂,在整定计算时得到的返回系数等数值运算复杂、运算时间过长,会影响被保护元件的应能,因此为了能有效克服离线定值的缺点,保护在线整定的定值显得有越重要。
2.3 继电保护的可靠性评价模型
在对继电保护装置进行关于可靠性的评估时,可以采用的模型有模拟和解析两种方法。解析法是根据元件的功能、装置的结构还有两者在逻辑上的关系,来建立一种可靠性的概率形式,分析模型可以用递推的方式或者迭代的方式,计算从系统得出的可靠性的指标。它的优点有精准度搞、概念清晰明了,缺点是他的计算量会因为系统数据规模的增大而增大。而模拟法则是利用概率分布图来采样选择和评估,从统计学的角度得到关于装置可靠性的数据。模拟法的优点是较为直观,清晰明了,缺点就是计算时间长,和需要极高的精准度。在目前关于继电保护装置可靠性的评估中最常采用的是解析法,比如Markov模型法和故障树法。故障树法从装置故障的模式出发,用瞬间照相对故障进行分析推理,一般来说是先算出最小的割集,再通过使用最小的割集概率来计算出装置发生事故的几率。由于故障树法在使用方法上的不足,本文主要研究了GO法的应用,GO法运算分析过程(如图1所示)。和传统的解析法不同的是,GO法的出发点是装置结构图,更能清楚地反映装置和元件之间的联系。
图1 GO运行分析过程
2.4 提高继电保护可靠性的方法
(1)增强排除故障的能力:模拟事故的解决方法,提升继电保护装置的可靠性。增加检查继电保护装置的频率,加强检查继电保护装置的力度,确定坚持的精准性,提前预防继电保护装置发生故障,减少事故发生的隐患;
(2)改善继电保护装置的设备:及时对检验设备的维修和检测,完善电网系统配电自动化,隔离故障,使得电网系统和继电保护装置系统更为完全;
(3)严格把控质量关卡:对继电保护装置中的零件从选购制造方面抓起,严格把关增强继电保护装置的质量;
(4)保证继电保护装置在定值区的精准度:重视对继电保护设备的检查,定时检查继电保护装置的各个零件,保证继电保护装置在定值区的准确性,重视每一次对设备的检查。
3.风险评估
电力系统可靠性的研究方法主要是确定性评估、概率评估和风险评估三种。确定性评估出现最早,也应用最为广泛,一般通过给定系统的参数、扰乱方式和运行方式来研究最重大的事故,如“N-1”安全分析,不考虑不同运行状况等可能性,直接分析得出的结果略显保守;概率评估不同于确定性分析,研究了故障发生的几率,但不考虑其不同程度的后果;风险评估则综合了前两者的长处,分析了发生故障的概率和产生的后果。
3.1 风险评估方法
风险评估(Risk Assessment)指,在事件发生前后,将其风险事件所造成的影响或损失统计评估出来。识别各种不同的风险、评估可能发生风险的几率、控制风险的等级和应对风险的消减对策,还有和预测会产生的一些负面影响是风险评估最主要的任务。
3.2 在继电保护装置中影响风险评估的因素
平均负载率和线路波动系数过大时,故障的风险值也会一同增大(如表1所示)。数据显示,只有确定系统负荷的平均分布,才能减低风险的故障值。所以系统的操作人员运行电力系统时,需要使得系统总负荷均匀分布,才能最大限度的减低电网故障发生的风险性。
4.结束语
根据以上可知,继电保护装置在电网系统中处于十分重要的位置,严格把关对继电保护装置的检查工作是确保电力安全运输的重要环节。相关工作人员需要及时把握对继电保护装置的监控和检测,预防意外事故的发生,明确继电保护在电网环节中的重要性,确保电网的正常运行。
参考文献
关键词 计算机;网络风险;防范模式;防范流程
中图分类号 F062.5 [KG*2]文献标识码 A [KG*2]文章编号 1002-2104(2011)02-0096-04
在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。计算机网络风险防范的目的就是要缓解和平衡这一对矛盾,将风险防范到可接受的程度,保护信息及其相关资产,最终保证机构能够完成其使命。风险防范做不好,系统中所存在的安全风险不仅仅影响系统的正常运行,且可能危害到政府部门自身和社会公众,严重时还将威胁国家的安全。论文提出了在选择风险防范策略时如何寻找合适的风险防范实施点并按照实施风险防范的具体过程来进行新技术下的风险防范,从而帮助完成有效的风险管理过程,保护组织以及组织完成其任务。
1 计算机网络风险管理
计算机网络风险管理包括三个过程:计算机网络属性特征分析、风险评估和风险防范。计算机网络属性特征分析包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在计算机网络风险防范过程中,计算机网络属性的确立过程是一次计算机网络风险防范主循环的起始,为风险评估提供输入。风险评估过程,包括对风险和风险影响的识别和评价,以及降低风险措施的建议。风险防范是风险管理的第三个过程,它包括对在风险评估过程中建议的安全控制进行优先级排序、评价和实现,这些控制可以用来减轻风险。
2 网络风险模式研究
2.1 风险防范体系
计算机风险防范模式包括选择风险防范措施(风险假设、风险规避、风险限制、风险计划、研究和了解、风险转移)、选择风险防范策略(包括寻找风险防范实施点和防范控制类别的选择)、实施风险防范3个过程。在实施风险防范的过程中包括对行动进行优先级排序、评价建议的安全控制类别、成本-收益分析、选择风险防范控制、分配责任、制定安全措施实现计划、实现被选择的安全控制,最后还要进行残余风险分析。
2.2 风险防范措施
风险防范是一种系统方法,高级管理人员可用它来降低使命风险。风险防范可以通过下列措施实现:
(1)风险假设:接受潜在的风险并继续运行IT系统,或实现安全控制以把风险降低到一个可接受的级别。
(2)风险规避:通过消除风险的原因或后果(如当识别出风险时放弃系统某项功能或关闭系统)来规避风险。
(3)风险限制:通过实现安全控制来限制风险,这些安全控制可将由于系统弱点被威胁破坏而带来的不利影响最小化(如使用支持、预防、检测类的安全控制)。
(4)风险计划:制定一套风险减缓计划来管理风险,在该计划中对安全控制进行优先排序、实现和维护。
(5)研究和了解:通过了解系统弱点和缺陷,并研究相应的安全控制修正这些弱点,来降低风险损失。
(6)风险转移:通过使用其他措施补偿损失,从而转移风险,如购买保险。
在选择风险防范措施中应该考虑机构的目标和使命。要解决所有风险可能是不实际的,所以应该对那些可能给使命带来严重危害影响的威胁/弱点进行优先排序。同时,在保护机构使命及其IT系统时,由于每一机构有其特定的环境和目标,因此用来减缓风险的措施和实现安全控制的方法也各不相同。最好的方法是从不同的厂商安全产品中选择最合适的技术,再伴以适当的风险防范措施和非技术类的管理措施。
2.3 风险防范策略
高级管理人员和使命所有者在了解了潜在风险和安全控制建议书后,可能会问:什么时候、在什么情况下我们该采取行动?什么时候该实现这些安全控制来进行风险防范,从而保护我们的机构?
如图1所示的风险防范实施点回答了这个问题。在图1中,标有“是”的地方是应该实现风险防范的合适点。
总结风险防范实践,以下经验可以对如何采取行动来防范由于故意的人为威胁所带来的风险提供指导:
杨涛等:计算机网络风险防范模式研究中国人口•资源与环境 2011年 第2期(1)当存在系统漏洞时,实现保证技术来降低弱点被攻击的可能性;
(2) 当系统漏洞被恶意攻击时,运用层次化保护、结构化设计以及管理控制将风险最小化或防止这种情形的发生;
(3) 当攻击者的成本比攻击得到更多收益时,运用保护措施,通过提高攻击者成本来降低攻击者的攻击动机(如使用系统控制,限制系统用户可以访问或做些什么,这些措施能够大大降低攻击所得);
(4) 当损失巨大时,运用设计原则、结构化设计以及技术或非技术类保护措施来限制攻击的程度,从而降低可能的损失。
上面所述的风险防范策略中除第三条外,也都可运用来防范由于环境威胁或无意的人员威胁所带来的风险。
2.4 风险防范模式的实施
在实施风险防范措施时,要遵循以下规则:找出最大的风险,然后争取以最小的代价充分减缓风险,同时要使对其他使命能力的影响最小。实施措施通过以下七个步骤来完成,见图2。
2.4.1 对行动进行优先级排序
基于在风险评估报告中提出的风险级别,对行动进行优先级排序。在分配资源时,那些标有不可接受的高风险等级(如被定义为非常高或高风险级别的风险)的风险项目应该最优先。这些弱点/威胁需要采取立即纠正行动以保护机构的利益和使命。步骤一输出―从高到低优先级的行动。
2.4.2 评价建议的安全控制
风险评估过程中建议的安全措施对于具体的机构和IT系统可能不是最适合和可行的。在这一步中,要对建议
图1 网络风险防范实施点
Fig.1 Network implementation point of risk prevention
图2 实施风险防范措施流程及其输入输出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性、用户接受程度)和有效性(如保护程度和风险防范级别)进行分析。目的是选择最适当的安全控制措施以最小化风险。步骤二输出―可行安全控制清单。
2.4.3 实施成本-收益分析
为了帮助管理层做出决策并找出性价比好的安全控制,要实施成本―收益分析。第三步输出―成本-收益分析,其中描述了实现或者不实现安全控制所带来的成本和收益 。
2.4.4 选择安全控制
在成本-收益分析的基础上,管理人员确定性价比最好的安全控制来降低机构使命的风险。所选择的安全控制应该结合技术、操作和管理类的控制元素以确保IT系统和机构适度的安全。步骤四输出―选择好的安全控制。
2.4.5 责任分配
遴选出那些有合适专长和技能来实现所选安全控制的人员(内务人员或外部签约人员),并分配以相应责任。步骤五输出―责任人清单。
2.4.6 制定一套安全措施实现计划
在这一步,将制定一套安全措施实现计划(或行动计划)。这套计划应该至少包括下列信息:
(1)风险(弱点/威胁)和相关的风险级别(风险评估报告输出)。
(2)建议的安全控制(风险评估报告输出)。
(3)优先排序过的行动(标有给那些有非常高和高风险级别的项目分配的优先级)。
(4)被选择的计划好的安全控制(基于可行性、有效性、机构的收益和成本来决定)。
(5)实现那些被选择的计划好的安全控制所需要的资源。
(6)负责小组和人员清单。
(7)开始实现日期。
(8)实现完成的预计日期。
(9)维护要求。
2.4.7 实现被选择的安全控制
根据各自的情况,实现的安全控制可以降低风险级别但不会根除风险。步骤七输出―残余风险清单。
3 网络风险防范案例
以某市政府官方门户网络应用系统为例,首先要对网络应用系统进行属性分析,风险评估,然后根据风险评估报告和承受能力来决定风险防范具体措施。
3.1 风险评估
该计算机网络应用系统安全级别要求高,根据手工和自动化网络风险评估,结果如下所示:
数据库系统安全状况为中风险等级。在检查的33个项目中,共有9个项目存在安全漏洞。其中:3 个项目为高风险等级,占总检查项目的 9%;1 个项目为中风险等级,占总检查项目的 3%;5 个项目为低风险等级,占总检查项目的 15%。
3.2 风险防范具体措施
选择风险防范措施中的研究和了解同时进行风险限制。确定风险防范实施点,该数据库的设计存在漏洞并且该漏洞可能被利用,所以应该实施风险防范。实施步骤如下:
步骤一:对以上扫描结果中的9个漏洞进行优先级排序,确立每个项目的风险级别。
步骤二:评价建议的安全控制。在该网站主站数据库被建立后针对评估报告中的安全控制建议进行分析,得出要采取的防范策略。
步骤三:对步骤二中得出相应的若干种防范策略进行成本收益分析,最后得出每种防范策略的成本和收益。
步骤四:选择安全控制。对上述扫描的9个漏洞分别选择相应的防范策略。
步骤五:责任分配,输出负责人清单。
步骤六:制定完整的漏洞修复计划。
步骤七:实施选择好的防范策略,按表1对这9个漏洞进行一一修复。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名称
Vulnerability
Name级别
level风险防范策略
Risk prevention
strategiesAXTSGL1006Guest用户检测高预防性技术控制AXTSGL1008登录模式高预防性技术控制AXTSGL3002审计级别设置高监测和恢复技术控制AXTSGL3011注册表存储过程权限中支持和预防性技术控制AXTSGL2001允许远程访问低预防性技术控制AXTSGL2012系统表访问权限设置低预防性技术控制AXTSGL3003安全事件审计低监测恢复技术控制AXTSGL3004黑盒跟踪低恢复管理安全控制AXTSGL3006C2 审计模式低监测和恢复技术控制
4 总 结
在进行计算机网络风险管理分析的基础上,提出了新技术下的风险防范模式和体系结构,同时将该防范模式成功应用到某市官方网站的主站数据库中。应用过程中选择了恰当的防范措施,根据新技术下风险防范实施点的选择流程确立了该数据库的防范实施点并严格按照风险防范实施步骤进行风险防范的执行,成功地使风险降低到一个可接受的级别,使得对机构的资源和使命造成的负面影响最小化。
虽然该防范模式在一定程度上降低了风险的级别,但是由于风险类型的不可预见性和防范策略的局限性,该模式未必使机构或系统的风险降到最低,因此风险防范有待于进一步改进和完善,这将是一个长期的任务。
参考文献(References)
[1]蔡昱,张玉清.风险评估在电子政务系统中的应用[J].计算机工程与应用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]张平,蒋凡.一种改进的网络安全扫描工具[J].计算机工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯汉.网络安全检测的理论和实践[J].计算机系统应用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何军.一种基于主机分布式安全扫描的计算机免疫系统模型[J].计算机应,2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
