等级保护和风险评估范文

导语：如何才能写好一篇等级保护和风险评估，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

一、工作目标

通过深入开展此次专项活动，确保全市重要信息系统能够全面进行准确定级和审核备案；全面组织等级测评和风险评估；全面开展监督检查和建设整改；全面落实管理制度和安全责任，努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标，不断提高重要信息系统安全防范能力和应急处置能力，为建国周年庆典活动创造一个良好的网络环境。

二、工作任务

（一）全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级，对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统，凡符合上级国家机关、企事业单位安全保护等级的，可不再重新定级和审核备案，否则均要重新定级和审核备案；对于尚未定级和审核备案的系统，都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中，安全保护等级确定为一级的信息系统，公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统，各信息系统运营使用单位要在公安机关办理审核备案手续，填写《信息安全等级保护备案表》，实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。

（二）全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求，全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上（其他尚未开展初次测评的系统应于年上半年完成）。

（三）全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等，全面组织开展安全等级保护监督检查和限期整改工作，其监督检查率应达到100%，限期整改率应达到80%以上。其他被定为二级（含二级）以下的信息系统，可由信息系统运营使用单位进行自查和整改。

三、工作步骤

（一）定级与备案阶段（8月18日至9月15日）。市专项活动领导小组在8月31日前进行组织动员和工作部署，开展信息系统普查，全面摸清底数，掌握基本情况，确定定级对象。9月15日前，各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级，对应确定本单位信息系统安全保护等级，并做好申报备案。对审核符合安全保护等级要求的，由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的，应重新评审确定，为等级测评和检查整改奠定基础。

（二）测评与检查阶段（9月15日至11月30日）。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上（含三级）信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神，提前做好人员、技术、经费等各项准备工作，按时完成信息系统等级测评和风险评估。

（三）总结与整改阶段（12月1日至12月31日）。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题，向运营使用单位下发《整改通知书》，要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案，认真搞好安全隐患的整改工作。

四、工作要求

（一）统一思想认识，切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势，进一步增强做好信息安全等级保护工作的责任感和紧迫感，务必把此项工作作为事关国家安全和社会稳定，特别是国庆61周年安全保卫的一项重要政治任务，纳入议事日程，摆在应有位置。为切实加强领导，成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组（名单附后），领导小组在本次专项活动完成后，继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制，精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥，按照“谁主管，谁负责，谁使用，谁负责”的原则，成立领导小组，建立工作专班，确立联络人员，迅速行动、全力以赴，大张旗鼓地组织开展等级保护工作。

（二）深入动员部署，精心组织实施。各重要信息系统运营使用单位要制定好本单位信息系统安全等级保护工作实施方案，准确定级，并将相关资料上报市专项活动领导小组办公室。在定级完成后，要积极做好测评准备工作，在人力、财力上给予充分保障。对检测出来的问题要及时向主管领导和上级部门报告，立即整改，把专项活动的各项要求落到实处。

篇2

【关键词】变压器检修；状态评估；风险评估；应用

0.引言

变压器会受到多种因素的影响而发生故障，例如因为运输不当、安装错误和运行错误等。一旦发生故障，会对电力系统的输电能力产生影响，并对变压器造成较为严重的损伤，甚至会导致大规模停电现象，带来较大的经济损失。但是，对变压器进行检修的工作难度较大，耗时较长。所以，人们很早之前便开始采用周期检修的方式来保证整个电力系统的稳定。但是，采用周期检修的方式很有可能会导致各种设备的不健康工作，影响设备的正常运行和实际使用寿命。所以，为了进一步提高 电网和设备运行的可靠性和安全性，我们需要积极的对变压器检修中状态和风险评估策略进行研究。

1.对变压器的状态评价和风险评估

1.1变压器的状态评价

对变压器的检修工作而言，状态评价是十分关键的一步。对变压器进行状态评价的时候需要采取动态管理的形式。并需要对设备的相关数据进行离线和在线测试。并持续、规范的对各种特征参量和基础资料进 行收集和全程的跟踪管理。并对所有信息进行综合的分析和判断，从而全面把握 变压器的实际运行状态和健康水平以及发展趋势等。在变压器状态的具体评价过程中，要综合考虑变压器多方面的具体信息，例如变压器有载调压开关、负荷等，以及套管等主附件的制造工艺，还有历史故障等各方面的信息。并针对变压器的具体结构特点和常见故障类型进行评价，然后，根据变压器不同方面信息的具体特点，可以划分出不同的试验方式等。例如，针对化学试验因素，可以划分为绝缘纸老化测试和油质试验等。对于不同类型的状态点，要按照变压器的实际工况对其具体等级进行划分，然后依据各个等级设置相应的系数，设置的时候要充分考虑到不同状态点对变压器健康状态的影响程度。对于不同类型的状态量，在设置相应的状态点权重的时候，要考虑到其在变压器整体状态中所占的具体比重。

1.2变压器风险评估

在结束对变压器的状态评价之后，可以开始对变压器进行风险评估。通过风险评估，可以对变压器正在面临的，以及可能出现的的各种风险问题进行预测和确定，从而为变压器状态检修的决策提供可考的参考依据。在具体的风险评估过程中，需要以变压器的状态评价结果为参考，对变压器的各个方面进行详细的评估，例如安全问题和环境问题，以及效益问题等，对变压器的运行风险进行合理的评估。对变压器的风险评估较为特殊，要充分考虑到 故障可能会导致的 连锁反应 以及停电所造成的社会影响。具体来讲，对变压器的风险评估主要要考虑以下一些方面的内容：（1）安全问题和影响问题。一旦发生故障，便可能会对工作人员带来较大的安全威胁，故障还极容易导致火灾的出现，如果引发油泄漏还会对环境造成污染，产生一系列的较为恶劣的社会影响。所以，对变压器的风险评估一定要考虑到安全问题和影响问题。（2）电网性能。变压器发生故障很容易对电网性能带来较大的风险。例如，如果因为发生一些较大的故障，一些变压器不得不停运，便需要在短时间内进行负荷转移。于是，便会给其他变压器带来一定的风险，例如过负荷和备用容量的降低等。并会导致停电等现象，导致较为严重的电力企业电费损失和各种社会经济损失。（3）设备损失。出现故障之后，为了保证设备重新恢复正常工作状态，需要对设备进行维修等，便需要支出大量的硬件费用和人工成本等。

2.变压器检修中状态和风险评估策略的应用

2.1检修类型

（1）A类。A类检修是指对变压器的吊罩和吊芯进行检查，还有检查和改造变压器的本体油箱和内部部件，还有相关试验等。（2）B类。①B1类检修是更换变压器油箱外部的一些主要部件，例如调压开关和冷却系统，以及非电量保护装置和绝缘油等。②B2类检修大多是处理各种部件，例如 油枕和调压开关以及非电量保护装置等。以及其他一些工作，例如 现场干燥处理和更换、相关试验等。（3）C类。①C1类检修：按Q/GDW168-2008《输变电设备状态检修试验规程》规定进行试验。②C2类检修：清扫、检查、维修。（4）D类。①D1类检修：在线和离线状态下的带电测试。②D2类检修：各种维修和保养工作。③D3类检修：带电水冲洗。④D4类检修：对变压器的检查和巡视，需要有由妆也工作人员负责。⑤D5类检修：⑥D6类检修：其他不停电状态下更换变压器部件的工作。

2.2检修策略的制定

在制定变压器检修策略的时候，要积极的参考对变压器状态评价和参考风险评估的具体结果，并根据相关 标准的具体规定和要求，对检修的具体方式和内容进行确定，并制定出详细的检修方案。制定检修方案的时候还需要综合考虑到其他一些方面因素的影响，例如整个电网的发展、各种应用技术的进步等。在制定好检修方案之后，还要合理的安排检修工作，一般情况下，需要按照问题的严重程度和检修工作的紧迫程度合理安排检修工作的具体时间。根据对变压器的状态评价，制定出相应的检修方案。并积极参考风险评估结果，对制定好的检修方案进行优化。一般情况下，A、B、C类检修对变压器的安全运行影响较大，所以在进行检修的时候要保证设备的安全、稳定运行。而对于D类型的检修，则需要工作人员充分依照对变压器进行风险评估的具体结果，估算出检修所耗费的实际成本，并需要综合考虑检修完毕后变压器存在的风险问题等多种因素，制定详细的检修方案，并不断予以优化，最终确定出最佳的检修方案。另外，如果经过分析，发现实际检修工作的任务量较大，检修工作较繁重的时候，可以按照具体的风险大小，优先对那些风险较大的设备进行检修。

3.结语

变压器的检修工作直接关系到整个电网的稳定运行，本文，我们基于状态和风险评估模式，积极地分析多方面因素的影响，制定出详细合理的变压器检修中应用状态和风险评估的具体策略，从而不断提高变压器检修工作的技术性和经济性。 [科]

【参考文献】

[1]陈立，郭丽娟，邓雨荣，等.基于状态和风险评估的老旧变压器安全经济性分析[J].南方电网技术，2010，04（01）：64-67.

[2]郭丽娟，鲁宗相，邓雨荣，等.基于风险的输变电设备状态检修实用技术体系[J].南方电网技术，2011（02）：91-92.

[3]杜平，刘浩，张华，等.基于状态检修的电力变压器风险评估指标和方法[J].电气技术，2012（10）：59-61.

篇3

【关键词】安全风险；安全措施；风险评估报告

1.前言

建筑业是危险性较大的行业之一，安全生产管理的任务十分艰巨，安全生产不仅关系到广大群众的根本利益，也关系到企业的形象，还关系到国家和民族的形象，甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则，我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明，安全生产已成为生产经营活动的基本保障，更是当前建筑工程行业管理的首要目标。

风险评估的目的是为了全面了解建设安全的总体安全状况，并明确掌握系统中各资产的风险级别或风险值，从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系（ISMS）的基础，也是前期必要的工作。风险评估包括两个过程：风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型，风险评价是指按给出的风险标准估算风险水平，确定风险严重性。

2.风险评估模型与方法

风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。

2.1 资产识别与赋值

一个组织的信息系统是由各种资产组成，资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。

本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。

风险评估的第一步是界定ISMS的范围，并尽可能识别该范围内对业务过程有价值的所有事物。

资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性，完整性，可用性的权重，QC=C / （C+I+A），QI、QA类似。

2.2 识别重要资产

信息系统内部的资产很多，但决定工程安全水平的关键资产是相对有限的，在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。

通常，根据实际经验，三个安全属性中最高的一个对最终的资产价值影响最大。换而言之，整体安全属性的赋值并不随着三个属性值的增加而线性增加，较高的属性值具有较大的权重。

在风险评估方法中使用下面的公式来计算资产价值：

资产价值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表机密性赋值；I代表完整性赋值；A代表可用性赋值；Round{}表示四舍五入。

从上述表达式可以发现：三个属性值每相差一，则影响相差两倍，以此来体现最高安全属性的决定性作用。在实际评估中，常常选择资产价值大于25的为重要资产。

2.3 威胁与脆弱性分析

识别并评价资产后，应识别每个资产可能面临的威胁。在识别威胁时，应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是，一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响。

识别威胁的关键在于确认引发威胁的人或事物，即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面：人的不安全行为，物的不安全因素、环境的不安全因素、管理的不安全因素。

识别资产面临的威胁后，还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑：威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高（1、2、3、4、5）这五级来衡量。脆弱性，即可被威胁利用的弱点，识别主要以资产为核心，从技术和管理两个方面进行。在评估中可以分为五个等级：几乎无（1）、轻微（2）、一般（3）、严重（4）、非常严重（5）。在风险评估中，现有安全措施的识别也是一项重要工作，因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上，确定威胁利用脆弱性的实际可能性。

2.4 综合风险值

资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时，以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为：

威胁的风险值（RT）=威胁的影响值（I）×威胁发生的可能性（P）；

2.5 风险处理

通过前面的过程，我们得到资产的综合风险值，根据组织的实际情况，和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。

对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级，对于风险级别高的资产应优先分配资源进行保护。

对于不可接收的风险处理方法有四种[3]：

1）风险回避，组织可以选择放弃某些业务或资产，以规避风险。是以一定的方式中断风险源，使其不发生或不再发展，从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞，一旦中标损失巨大，可以选择放弃中标的原则，可能会损失投标保证金，但可避免更大的损失。

2） 降低风险：实施有效控制，将风险降低到可接收的程度，实际上就是设法减少威胁发生的可能性和带来的影响，途径包括：

a.减少威胁：例如降低物的不安全因素和人的不安全因素。

b.减少脆弱性：例如，通过安全教育和意识培训，强化员工的安全意识等。

c.降低影响：例如灾难计划，把风险造成的损失降到最低。

d.监测意外事件、响应，并恢复：例如应急计划和预防计划，及时发现出现的问题。

3）转移风险：将风险全部或者部分转移到其他责任方，是建筑行业风险管理中广泛采用的一项对策，例如，工程保险和合同转移是风险转移的主要方式。

4）风险自留： 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。

选择风险处理方式，要根据组织运营的具体业务环境与条件来决定，总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略，以及管理规范有机结合起来，这样才能达到较好的效果。

通过风险处理后，并不能绝对消除风险，仍然存在残余风险：

残余风险Rr =原有的风险Ro-控制R

目标：残余风险Rr≤可接收的风险Rt，力求将残余风险保持在可接受的范围内，对残余风险进行有效控制并定期评审。

主要评估两方面：不可接受风险处理计划表，主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期}；残余风险评估表，主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。

2.6 风险评估报告

在风险评估结束后，经过全面分析研究，应提交详细的《安全风险评估报告》，报告应该包括[4]：

1） 概述，包括评估目的、方法、过程等。

2） 各种评估过程文档，包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级，最终的风险评价等级、残余风险处理等。

3）推荐安全措施建议。

3.结论

目前仍有相当一部分施工现场存在各种安全隐患，安全事故层出不群，不仅给人们带来剧痛的伤亡和财产损失，还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支，涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科，本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素，最终衡量出建设工程的安全状况与水平，为建立安全管理体系ISMS提供基础，对建设工程的风险评估具有一定的借鉴意义。

参考文献：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2：2002.Information Security Management-Specification for Information Security Management Systems.

篇4

关键词：电力通信传输网；状态评价；风险评估；传输设备

1研究背景

对比周期、定期等初期设备运维技术，管理人已意识到以设备运行数据为依据的状态性运维（或称差异性运维），能解决健康设备过度运维、隐患设备未得到足够关注、缺陷未能及时发现等具体问题，进而实现运维的降本增效。完善设备状态评价和风险评估，是实现运维成本最小化和最优化的基础。

2实时运行状况的总体分析模型

现有的实时运行状态评价以网管监控、设备电源、运行资料外部条件和设备硬件配置为评价依据。而对于通信传输网设备而言，通过对设备、板卡、光路等的告警信息的分析，可及时发现隐患，因此不应忽略这些信息。传输设备提供的信息包括“紧急告警”和“性能事件”信息2类，其中，紧急告警信息（LOS、LOF等）显示业务已中断，应纳入历史检修或缺陷进行记录后辅助决策；性能事件信息（误码、光路性能事件等）显示设备性能指标、参数低于标准，需予以关注，应作为主要评价数据进行收集。为体现分析过程中各要素的相互影响及缺陷累加效应，现定义基于设备告警特性的实时运行状况分析模型：①各评价要素中最高状态定级作为设备整体定级；②除正常状态以外，如果存在3个以上同级别状态，则将设备整体状态向上提一级；③设备总体定级取上述2项条件确定的最大值。图1所示为基于传输设备告警特性的实时运行状况的总体分析模型。

3通信传输设备可能损失评价模型

目前，通信传输设备可能损失评估关注因素包括设备重要性、设备可能损失资产、影响用户情况，3项权重和为1.下面结合惠州本地传输网特点、通信专业KPI评价体系等内容，提出一些改良建议。

3.1基于现网业务特点的设备重要性分析模型

电力通信传输网以子网连接保护（SNCP）的方式开通业务。其特点在于：业务通道途径任一节点故障将对主备通道进行切换，而切换动作由端节点完成。就业务通断而言，各节点重要性一致，逻辑上不存在层与层之间的分界点。而目前，仅基于设备处于网络结构中的位置对其重要性进行评估存在一定的片面性，设备的重要性应同时从设备故障对通信网的影响程度和设备故障对承载业务的影响程度2方面综合确定，设备重要性评价模型如表1所示。

3.2通信传输设备可能损失资产评估分析模型

设备可能损失资产指通信设备自身的价值损失，按要求以设备的通信容量等级来衡量。

3.3基于KPI评价体系的故障影响用户分析模型

通信专业评价指标可分为2部分，即安全运行指标和通信服务评价指标。其中，安全运行指标用于评价通信对电力生产安全的支撑能力；通信服务指标用于评价通信对各业务线的服务支撑能力。通过分析指标关联的业务系统，可得出各指标完成过程中需格外重视的传输网业务成分（KPA）。目前，影响用户情况评估以设备故障中断生产实时业务通道的类型和电路数量衡量，通过计算继电保护通道、稳控系统通道、调度自动化通道数量后取值。而对于地区局而言，指标考核压力同时来自安全运行和通信服务，结合“80/20”原则对用户影响评估方式作如下调整，具体如表2所示。

4通信传输设备风险值计算及风险定级

风险评估以风险值为指标，综合考虑通信传输设备的可能损失及设备发生故障的概率这两者的作用。风险值按下列公式计算：R（t）＝LE（t）×P（t）.（1）式（1）中：R为风险值（Risk）；LE为可能损失（LossExpectancy）；P为平均故障率（Probability）；t为某时刻（Time）。风险的影响及危害程度按风险值大小进行区分，分为4个风险级别：Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级，其中，对于同类设备，Ⅰ级为最高风险级别，Ⅳ级为最低风险级别。状态评价量化结果与二次设备平均故障率相关联，手工计算时，可按照简化求取设备平均故障率，正常、注意、异常、严重状态的平均故障率分别为0.50%，2.47%，12.17%，60.01%.

5结束语

篇5

第一章

总则

第一条

为加强大洼恒丰村镇银行风险管理，及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险承受度和风险应对策略，根据有关法律法规和《企业内部控制基本规范》等的有关规定，结合我行实际情况，制订本制度。

第二条

本制度所称风险是指我行经营活动中与我行实现内部控制目标相关的风险，包括信息风险、财务风险、市场风险、运营风险和法律风险等。

本制度所称风险评估是指通过对基于事实的信息进行分析，就如何处理特定风险以及如何选择风险应对策略进行科学决策。

第二章

组织机构及职责

第三条

各部门为我行风险评估管理工作的责任机构，具体职责：

(一）对我行经营活动中的风险进行识别；

(二)

对识别的风险进行评估，辨识评估出风险等级并将中、高风险以书面形式上报我行管理层，上报内容应包括：风险发生地、发生原因、可能造成的损失和影响、拟采取的应对措施等。

(三)

执行审批后的风险应对预案，并及时反馈风险的应对、解决结果；

(四)

对识别的风险进行监控，发生变化时重新评估，并根据新辨识评估的风险等级进行相应的处理；

(五)

年中、年度对风险评估管理工作进行总结。

第四条

我行企划部门为我行风险评估管理工作的组织机构，具体职责：

（一）负责制定我行的风险评估方案；

（二）负责组建风险评估工作小组；

（三）负责审核风险清单、应对预案；

（四）拟定我行风险评估报告，上报我行管理层。

（五）负责建立经营环境监控体系，切实监控并记录内、外部经营环境和条件的变化，以修正风险识别与评估。

（六）负责建立风险预警指标体系，要求各具体部门定期提供数据，进行指标分析；

对于超过风险预警值的指标，应确定相应的整改措施。

第五条

财务部门的风险评估

（一）负责建立流程识别和应对会计法规、准则、制度的变化，评估对会计信息的影响。

（二）负责建立沟通渠道和流程参与我行业务操作流程的变化，评估对会计核算的影响。

第六条

我行管理层主要职责为：

（一）审定我行各部门风险管理工作职责；

（二）批准风险应对预案；

（三）研究、确定我行重大风险事项及应对预案；

（四）审定内部审计部门提交的我行风险管理方面的报告，并报董事会审议。

第七条

董事会负责审议我行管理层提交的我行风险评估报告报告，批准风险管理其他重大事项。

第三章

风险评估的频率

第八条

风险评估每年至少进行一次，并根据实际需要增加评估的频率。

第九条

当出现下述情况时，应考虑重新进行风险评估：

（一）企业经营模式发生重大变动；

（二）企业所使用的信息技术发生重大变动；

（三）关键人员变动；

（四）企业所适用的会计准则发生重大变动；

（五）购并的发生、金融工具的使用等等涉及到复杂的会计处理要求的事项发生；

（六）其他。

第四章

控制目标的设定和传达

第十条

企业董事会应当按照战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标，并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。

第十一条

我行董事会应定期更新和修正我行的战略目标、经营目标、风险管理目标；

第十二条

我行管理层应向各部门清晰传达了我行的战略目标、经营目标和风险管理目标（如通过工作准备会等），并进行目标分解。

第十三条

我行企划部负责风险评估方案的制订，风险评估方案须经我行总经理办公会审批后执行，风险评估工作由企划部组建风险评估小组负责风险评估的具体工作。

第五章

风险识别

第十四条

我行各部门应当根据风险评估方案的要求，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估，准确识别与实现控制目标相关的内部风险和外部风险。

第十五条

我行各部门在进行风险识别时，可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素，特别应注意总结、吸取企业过去的经验教训和同行业的经验教训，加强对高危性、多发性风险因素的关注。

第十六条

各部门及子我行应广泛、持续不断地收集与本我行风险和风险管理相关的内外部信息，包括历史数据和未来预测。

第十七条

我行识别内部风险，应当关注下列因素：

1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

2.组织机构、经营方式、资产管理、业务流程等管理因素。

3.研究开发、技术投入、信息技术运用等自主创新因素。

4.财务状况、经营成果、现金流量等财务因素。

5.营运安全、员工健康、环境保护等安全环保因素。

6.其他有关内部风险因素。

第十八条

我行识别外部风险，应当关注下列因素：

1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

2.法律法规、监管要求等法律因素。

3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

4.技术进步、工艺改进等科学技术因素。

5.自然灾害、环境状况等自然环境因素。

6.其他有关外部风险因素。

第六章

风险分析

第十九条

我行各部门应当针对已识别的风险因素，从风险发生的可能性和影响程度两个方面进行分析。企业应当根据实际情况，针对不同的风险类别确定科学合理的定性、定量分析标准。具体如下：

表一：风险发生的可能性

程度

描述

说明

I

大致确定

事件可能在多数情况下发生

II

可能

事件有时可能发生

III

可能性不高

事件只在少数情况下可能发生

IV

罕见

事件仅在很少的情况下发生

V

极不可能

事件极少的情况下发生

表二：

风险的后果或影响

程度

描述

说明

1

微不足道

没有经济损失

2

轻微

轻微经济损失

3

中度

可以得到控制，经济损失不大

4

高度

经济损失较大

5

灾难性

经济损失巨大

第二十条

企业应当根据风险分析的结果，依据风险的重要性水平，运用专业判断，按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序，确定应当重点关注的重要风险。

风险程度定性分析表

可能性

后果

微不足道

1

轻微

2

中度

3

高度

4

灾难性

5

大致确定

I

C

C

D

E

E

可能

II

B

C

C

D

E

可能性不高

III

A

B

C

D

E

罕见

IV

A

A

B

C

D

极不可能

V

A

A

B

C

C

注：

E

=

极高；要立刻停止有关工作，直到风险减低。在风险减低前有关工作须完全禁止进行。

D

=

高风险；要停止有关工作，直到风险减低。如有关工作现正在进行中，须提供有效监控及紧急应变程序。

C

=

中等风险；须规定有关管理职责及指引把危害控制，或在可行下进一步减低风险，如有关风险可能产生严重的危害，应作进一步危害评估及加强控制。

B

=

可接受的风险；按正常运作程序管理，在不影响成本下可作进一步改善。

A

=

微不足道的风险；无须作任何行动，按惯常运作。

第七章

风险汇总及应对预案

第二十一条

企业各部门应当根据风险分析情况，结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平，确定风险应对策略。风险应对策略主要包括风险回避、风险承担、风险管理和风险分担经营。

第二十二条

我行各部门应根据风险分析的结果编制风险清单，并制订相应的应对预案，风险清单、应对预案须报我行风险评估工作小组审核后，报总经理办公会审批。

第八章

风险评估报告及执行

第二十三条

我行风险评估工作小组负责编制风险评估报告，风险评估报告经我行总经理办公会审核后，报我行董事会审议。

第二十四条

风险评估报告应包括以下内容：1、风险评估的范围；2、风险评估的方法；3、风险清单；4、风险应对预案；

第二十五条

各部门应根据董事会批准的风险评估报告进行实施，对风险应对预案的执行情况进行实时监控，并及时反馈风险应对、解决的执行情况。

第二十六条

内部审计部门（或协同风险管理部门或小组）负责定期或不定期检查具体部门风险控制措施的实施、整改情况，形成检查记录。

第九章

附则

第二十七条

本制度未尽事宜，按国家有关法律、法规和我行章程的规定执行；如与国家日后颁布的法律、法规或经合法程序修改后的我行章程相抵触时，按国家有关法律、法规和我行章程的规定执行，并及时修订本制度，报董事会审议通过。

第二十八条

本制度由我行董事会负责解释。

第二十九条

本制度自我行董事会审议通过之日起实施。

大洼恒丰村镇银行

二〇一五年十月十六日

—

篇6

目前我国已步入信息化时代，随着国民经济和社会信息化进程的全面加速，各地政府纷纷建立起基础网络平台和重要的信息系统，这些网络与信息系统的基础性、全局性作用日益增强，国民经济和社会发展对基础网络平台和重要信息系统的依赖性也越来越大，网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统的运行在客观上存在着潜在风险，信息系统安全的重要性更显突出，已成为国家安全的基座。

近年来我国政府也开始重视信息安全风险评估工作。2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）文件中明确提出：要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、程度和面临的风险等因素，进行相应等级的安全建设和管理。

为落实中办发[2003]27号文件要求，由国家信息中心、公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局等单位联合组成课题组先后对四个地区、十几个行业的50多家单位进行了调研考查，制定出《信息安全风险评估指南》、《信息安全风险管理指南》等标准和规范。

2004年6月天津市市委办公厅、市政府办公厅联合转发了《关于加强我市信息安全保障工作的意见》（津党办发［2004］15号）文件，成立了天津市网络与信息安全协调小组，加强了对我市信息安全工作的领导和管理。

二、风险评估工作内容

信息安全风险评估工作，就是从风险管理角度入手，依据国家风险评估管理规范和技术标准，采用适当的风险评估工具，运用定性及定量的分析方法和手段，系统分析信息化业务和信息系统资产所面临的人为的或自然的潜在威胁、薄弱环节、防护措施等，准确了解信息系统安全状况，综合考虑网络与信息系统的重要性、程度和面临的风险等因素，确定风险等级和风险控制顺序，有针对性地帮助制定抵御威胁的安全策略和防护措施，指导安全建设的合理投入。

风险评估的形式按照评估实施者的不同，可将其分为自评估和检查评估二种形式：

自评估

自评估就是信息系统拥有者依靠自身力量，依据有关信息安全技术与管理标准，对自有网络和信息系统进行风险评估的活动。该网络和信息系统的拥有者通过自评估随时掌握其安全状况，不断调整安全措施，有效地进行安全控制。其优点是有利于自身系统的保密性，发挥行业和本部门专业人员的业务专长，降低了风险评估的费用，提高了本单位风险评估能力。

检查评估

检查评估通常是由政府安全主管机关或本单位的上级主管机构发起，旨在依据已经颁布的法规或标准进行的、具有强制意味的检查活动，是经过行政手段加强信息安全的重要措施。其优点是这种形式具有权威性。

自评估和检查评估都可以通过信息安全风险评估的服务机构提供咨询、培训及相关工具，目前建议主要采用自评估形式，以保证本单位信息的保密性、完整性和可用性。它也是检查评估的基础和必要条件。

按照国信办2006年5号文件的要求，在网络与信息系统的设计、验收、运行维护阶段，以及当安全形势发生重大变化或信息系统使命有重大变更时均应及时进行信息安全风险评估。

在风险评估过程中，应以本单位的业务为核心，围绕相关信息资产（如计算机网络设备、应用系统、数据库等）及价值，对其所面临的威胁、所具有的弱点和已有的安全控制措施展开分析工作。

风险评估是信息安全管理体系的基础，信息安全风险管理的主要工作就是要发现风险，并在有限的资源下，进行削减风险或控制风险。只有建立信息安全管理体系，并有效地进行安全风险管理与控制，才能真正保护本单位的利益，并在安全事件发生的时候，最大限度地减少经济损失和负面影响。

三、目前需解决的问题

目前信息安全风险评估工作在我国尚处于起步阶段，各地开展和重视此项工作的程度也不尽相同，一些单位的网络安全还处于亚健康状态，需要强化信息安全管理意识，并注意解决以下几方面的问题：

1．建立健全管理体制

依据国家在信息安全管理方面的法律、法规、标准和规范，建立安全管理制度，通过对安全评估和实施整改等各环节的监督管理，层层落实安全管理责任制，形成完善的信息安全管理体系。

2．保障资金投入

努力保障信息安全资金的投入，充分发挥信息安全保障资金的使用效益，认真分析信息安全风险评估的结果，既要保障安全，又不能因保护过度造成资金浪费。

3．聚集技术和管理人才

注意聚集和培养熟悉并有能力进行信息安全风险评估的技术人员，尤其是注意吸收那些既懂管理又懂技术的专业风险评估人才，形成一支信息安全风险评估专业队伍。

篇7

【 关键词 】 物联网；信息安全；检测体系

1 引言

随着国家信息网络基础设施基本完成，信息化应用全面展开，物联网广泛应用于公共事业/服务、交通运输、个人用户、批发零售、工业、制造业、商业、服务业、农业、建筑业、金融业等。目前来看，物联网虽然给人们带来便利，但物联网在信息安全方面还存在一定的局限性。一是存在信号受到干扰的可能。如果安置在物品上的传感设备信号受到恶意干扰，很容易造成重要物品损失以及重要信息被篡改、丢失的隐患。二是恶意入侵的隐患。如果病毒、黑客、恶意软件绕过了相关安全技术的防范，对物联网的授权管理进行恶意操作，掌控他人的物品，就会造成对用户隐私权的侵犯。如果爆炸物、枪支等危险物品被其它人掌控，后果会十分严重。因此，物联网安全问题如果得不到有效解决，将严重阻碍物联网产业发展。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点，使得传统安全技术无法直接应用于物联网，由此引发物联网特有的安全问题，而物联网安全技术和安全状况缺乏有效的检测和评价手段。

我国政策环境较好，物联网已成为国家发展战略，初步明确了未来发展方向和重点领域。国家高度重视物联网安全建设。2013年初，国务院了《关于推进物联网有序健康发展的指导意见》（国发[2013]7号）中明确提出以工业和信息化部、发展改革委、公安部牵头承担物联网安全保障专项行动计划：提高物联网信息安全管理与数据保护水平，建立健全监督、检查和安全评估机制。加强物联网重要应用和系统的安全测评、风险评估和安全防护工作。加快物联网相关标准、检测、认证等公共服务建设，完善支撑服务体系，有效保障物联网信息采集、传输、处理、应用等各环节的安全可控。

2 物联网一体化安全检测体系

各类物联网示范工程进行大规模应用之前，应充分考虑和评测其安全性，从源头保证物联网安全措施有效性、功能符合性、安全管理的全面性以及给出安全防护评估。在建设实施阶段，将所有的安全功能模块（产品）集成为一个完整的系统后，需要检查集成出的系统是否符合要求，测试并评估安全措施在整个系统中实施的有效性，跟踪安全保障机制并发现漏洞，完成系统的运行程序和全生命期安的安全风险评估报告。在运行维护阶段，要定期进行安全性检测和风险评估以保证系统的安全水平在运行期间不会下降，包括检查产品的升级和系统打补丁情况，检测系统的安全性能，检测新安全攻击、新威胁以及其它与安全风险有关的因素，评估系统改动对安全系统造成的影响。

物联网关键安全问题：一是感知设备安全；二是物联网系统安全和风险评估，重点是接入问题；三是业务应用安全。目前，各行业均提出了相应的安全防护体系，如智能电网系统、工业控制系统等。本文依据相关的安全防护体系提出物联网一体化安全检测体系，即“一中心、两库、五平台”，如图1所示。即开放式场景检测支撑平台、感知设备安全检测服务平台、物联网系统安全检测服务平台、物联网系统风险评估服务平台、物联网集成化安全管理检查服务平台、物联网安全检测标准及指标库、物联网信息安全漏洞与补丁库以及一体化安全检测管理中心。在此基础上，结合物联网具体业务需求，进行物联网安全检测方法、规范、指标体系、专业化检测技术研究与积累。同时，形成一支服务于物联网安全检测的多层次、复合型、专业化人才队伍，全面保障物联网系统安全稳定运行。

3 “五平台”

“五平台”提供检测、检查和评估三类专业化服务，其中物联网集成化安全管理检查服务平台可作为独立平台对外提供检查服务；开放式场景检测支撑平台为感知设备安全检测服务平台与物联网系统安全检测服务平台提供安全符合性检测环境，此三个平台提供技术检测服务；物联网系统风险评估服务平台在前述四个平台基础上，关联外在威胁，分析自身脆弱性，提供风险评估服务。“五平台”结构关系如图2所示，“五平台”既可独立提供检测服务，也可互为补充，为用户提供定制化的检测服务，形成开放式检测服务体系架构。

3.1 开放式场景检测支撑平台

开放式场景检测支撑平台实现物联网感知设备、接入系统、业务应用三层检测环境，如图3所示。通过多部件的灵活组建，实现其感、传、知、用的安全功能检测，灵活支持用户个性化的检测需求。

3.2 感知设备安全检测服务平台

感知设备安全检测服务平台实现一个通用的感知设备安全检测系统，由开放式场景检测支撑平台为被测设备提供运行检测环境，其从感知操作安全、感知数据处理安全、感知数据存储安全和感知节点设备安全、感知节点通信安全等五方面检测安全功能和性能，其检测框架如图4所示。

3.3 物联网系统安全检测服务平台

物联网系统安全检测服务平台以系统、整体的视角对智能感知层访问控制、身份认证等策略配置进行符合性测试；对接入传输层的AKA机制的一致性或兼容性、跨域认证和跨网络认证等进行检测；对业务应用层数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性等进行符合性和有效性检测。检测框架如图5所示。

3.4 物联网系统风险评估服务平台

物联网系统风险评估服务平台对可能遭受到的威胁和自身脆弱性进行安全分析，然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级，最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。风险评估框架如图6所示。

3.5 集成化安全管理检查服务平台

集成化安全管理检查服务基于物联网多类型终端、多网融合、海量数据处理和全面感知等特点。从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面，对物联网系统智能感知层、接入传输层和业务应用层的安全管理情况进行检查，其安全管理检查框架如图7所示。

4 “两库”

4.1 标准及指标库

基础库“标准及指标库”通过构建物联网安全检测标准子库与指标子库为“五平台”提供支撑。标准子库建设来源：一是从物联网国际标准组织IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解国际最新标准，研究制订适合国情的物联网标准；二是从国内标准组织：WGSN、CCSA和RFID标准工作组获取最新标准；三是随着业务开展，编制了物联网安全标准。物联网一体化安全检测标准体系框架，按照标准服务性质的区分，分为物联网产品安全检测标准、物联网系统安全检测标准、物联网风险评估标准以及集成化安全管理检查标准。其框架如图8所示。

指标库为各种类型的被测设备和系统提供相应的检测指标项目，同时支持用户自定义新的检测指标。指标库依据各服务平台检测内容划分四类，即物联网产品检测指标、物联网系统安全检测指标、物联网风险评估指标以及集成化管理检查指标。其涵盖功能检测、性能检测、抗毁性检测、符合性检测、有效性检测和可用性检测等指标。

4.2 漏洞与补丁库

漏洞与补丁库采用云存储方式，包括海量数据融合漏洞，TinyOS操作系统漏洞，异构网络认证协议漏洞，感知信息传输协议漏洞等。 漏洞与补丁库一方面为产品、系统检测，风险评估、安全检查提供支撑服务，另一方面对外提供咨询服务，网上漏洞信息，定制客户漏洞处理方案，提供漏洞补丁和专用杀毒工具下载等。

5 “一中心”

一体化安全检测管理中心完成上述“二库、五平台”的互联互通和信息共享，实现检测项目统一管理，检测数据统一汇总，检测结果统一判定，形成感知设备检测报告、物联网系统检测报告、物联网系统风险评估报告以及集成化安全管理检查报告等。

一体化安全检测管理中心由项目管理、场景管理、感知设备检测、系统检测、风险评估、集成化安全管理检查、工具集、基础库管理八个核心模块组成，整个平台由项目库、标准及指标库、方法库、漏洞与补丁库四个数据库支撑，管理中心框架设计如图9所示。

6 技术特点

（1）提供开放式检测环境

物联网应用的广泛性和复杂性，仅依赖单一场景无法满足客户的多层次需求，通过开放式检测环境，可实现感知设备、接入方式、业务应用的检测环境，使得检测手段更丰富、更精准。

（2）提供多类型、多元化的检测

一体化安全检测体系通过感知设备检测、系统检测、风险评估、管理检查的一体化检测服务，提品检测和系统检测、实验室检测和现场检测服务，满足物联网复杂多变的检测需求，使得安全检测更全面性，帮助客户准确评估物联网安全性。

（3）提供技术与管理全方位检测

物联网安全包含技术与管理两方面，技术与管理并重，本体系通过“五平台”实现产品、系统技术类检测/风险评估与安全管理检查，全方位、整体评估物联网安全性。

（4）提供技术符合性和关联外在风险评估相支撑的检测

物联网安全问题是动态发展的，在安全技术符合性检测的基础上，提供适用于动态评估物联网工程的风险评估服务。风险评估旨在通过关联外在风险，结合自身脆弱性评估系统和工程的安全性，与技术符合性检测相支撑。

（5）提供一体化服务模式

提供一个灵活、规范的信息组织管理平台和全网范围的网络协作环境，实现集成的信息采集、内容管理、信息搜索，能够直接组织各类共享信息和内部业务基础信息，实现信息整合应用，同时也提供管理中心支撑下的统一项目管理、统一数据汇总、统一结果判定的一体化服务系统。

7 结束语

目前，我国政策环境好，物联网已成为国家发展战略，初步明确了未来发展方向和重点领域，但产业和行业标准正在建立，是机遇也是挑战。经济环境上，中国企业正在随着国家的快速发展，持续提升竞争力和国际影响力，对物联网安全性的需求逐步增强，企业对物联网安全问题的认知提高，经济支付能力也在增强。通过对各行业物联网建设方面的调查发现，当前已有的物联网应用对其安全性的检测和技术支持需求十分迫切，物联网安全检测产业市场前景乐观。

上述“一中心、二库、五平台”形成专业的平台，加上精专的人才、全面的服务内容和敏捷的反应，构建物联网一体化安全检测专业化服务体系架构。从而提升价值、方便客户、节约成本、提高效率，满足物联网安全检测集成化、规模化的需求。

参考文献

[1] T Grobler， Prof B Louwrens. New Information Security Architecture[J]. 2005， University of Johannesburg.

[2] 范红， 邵华等. 物联网安全技术体系研究[J].第26次全国计算机安全学术交流会，2011（09），5-8.

[3] 谭建平， 柔卫国等. 基于物联网的一体化安全防范技术体系研究[J].湖南理工学院学报， 2011，第24卷 第4期 46-51.

[4] Jackie Rees， Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM， Volume 46 Issue7， 2003， P101-106.

[5] 郎为民，杨德鹏，李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全，2012，（04）：19-22.

[6] 余勇，林为民.工业控制SCADA系统的信息安全防护体系研究[J].信息网络安全，2012，（05）：74-77.

基金项目：

国家863高技术研究发展计划资助项目（2009AA01Z437）和国家863高技术研究发展计划资助项目（2009AA01Z439）。

篇8

【 关键词 】 烟草；工业控制系统；信息安全；风险评估；脆弱性测试

1 引言

随着工业化和信息化进程的加快，越来越多的计算机技术以及网络通信技术应用到烟草自动化生产过程中。在这些技术提高了企业管理水平和生产效率的同时，也带来了病毒和恶意代码、信息泄露和篡改等网络信息安全问题。当前，烟草企业所建成的综合自动化系统基本可以分为三层结构：上层为企业资源计划（ERP）系统；中间层为制造执行系统（MES）；底层为工业控制系统。对于以ERP为核心的企业管理系统，信息安全防护相对已经成熟，烟草企业普遍采用了防火墙、网闸、防病毒、防入侵等防护措施。而随着MES技术在烟草企业的广泛实施，越来越多企业开始考虑在底层的工业控制系统进行信息安全防护工作。近年来，全球工业控制系统经历了“震网”、“Duqu”、“火焰”等病毒的攻击，这些安全事件表明，一直以来被认为相对封闭、专业和安全的工业控制系统已经成为了黑客或不法组织的攻击目标。对于烟草企业的工业控制系统，同样也面临着信息安全问题。

与传统IT系统一样，在工业控制系统的信息安全问题研究中，风险评估是其重要基础。在工业控制系统信息安全风险评估方面，国外起步较早，已经建立了ISA/IEC 62443、NIST800-82等一系列国际标准和指南；而国内也相继了推荐性标准GB/T 26333-2010：工业控制网络安全风险评估规范和GB/T30976.1～.2-2014：工业控制系统信息安全（2个部分）等。当前，相关学者也在这方面进行了一系列研究，但国内外还没有一套公认的针对工业控制系统信息安全风险评估方法，而且在烟草行业的应用实例也很少。

本文基于相关标准，以制丝线控制系统为对象进行了信息安全风险评估方法研究，并实际应用在某卷烟厂制丝集控系统中，为后续的安全防护工作打下了基础，也为烟草工业控制系统风险评估工作提供了借鉴。

2 烟草工业控制系统

烟草工业企业生产网中的工控系统大致分成四种类型：制丝集控、卷包数采、高架物流、动力能源，这四个流程，虽工艺不同，相对独立，但它们的基本原理大体一致，采用的工具和方法大致相同。制丝集控系统在行业内是一种典型的工业控制系统，它的信息安全情况在一定程度上体现了行业内工业控制系统的信息安全状态。

制丝集控系统主要分为三层：设备控制层、集中监控层和生产管理层。设备控制层有工业以太网连接控制主站以及现场I/O站。集中监控层网络采用光纤环形拓扑结构，将工艺控制段的可编程控制器（PLC）以及其他相关设备控制段的PLC接入主干网络中，其中工艺控制段包括叶片处理段、叶丝处理段、梗处理段、掺配加香段等，然后与监控计算器、I/O服务器、工程师站和实时数据库服务器等共同组成了集中监控层。生产管理层网络连接了生产现场的交换机，与管理计算机、管理服务器等共同组成了生产管理层。

制丝车间的生产采用两班倒的方式运行，对生产运行的实时性、稳定性要求非常严格；如直接针对实际系统进行在线的扫描等风险评估工作，会对制丝生产造成一定的影响，存在影响生产的风险。而以模拟仿真平台为基础的系统脆弱性验证和自主可控的测评是当前制丝线控制系统信息安全评估的一种必然趋势。

3 工控系统风险评估方法

在风险评估方法中，主要包括了资产识别、威胁评估、脆弱性评估、综合评估四个部分，其中脆弱性测试主要以模拟仿真平台为基础进行自主可控的测评。

风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估模型主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的后果。

3.1 资产识别

首先进行的是对实际生产环境中的信息资产进行识别，主要包括服务器、工作站、下位机、工业交换设备、工控系统软件和工业协议的基本信息。其中，对于服务器和工作站，详细调查其操作系统以及所运行的工控软件；对于下位机，查明PLC主站和从站的详细型号；对于交换设备，仔细查看其配置以及连接情况；对于工控系统软件，详细调查其品牌以及实际安装位置；对于工业协议，则详细列举其通信两端的对象。

3.2 威胁评估

威胁评估的第一步是进行威胁识别，主要的任务是是识别可能的威胁主体（威胁源）、威胁途径和威胁方式。

威胁主体：分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。

威胁途径：分为间接接触和直接接触，间接接触主要有网络访问、指令下置等形式；直接接触指威胁主体可以直接物理接触到信息资产。

威胁方式：主要有传播计算机病毒、异常数据、扫描监听、网络攻击（后门、漏洞、口令、拒绝服务等）、越权或滥用、行为抵赖、滥用网络资源、人为灾害（水、火等）、人为基础设施故障（电力、网络等）、窃取、破坏硬件、软件和数据等。

威胁识别工作完成之后，对资产所对应的威胁进行评估，将威胁的权值分为1-5 五个级别，等级越高威胁发生的可能性越大。威胁的权值主要是根据多年的经验积累或类似行业客户的历史数据来确定。等级5标识为很高，表示该威胁出现的频率很高（或≥1 次/周），或在大多数情况下几乎不可避免，或可以证实经常发生过。等级1标识为很低，表示该威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。

3.3 脆弱性测试

脆弱性评估需从管理和技术两方面脆弱性来进行。管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查，发现了其中的管理漏洞和不足。技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次，主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行评估，以保证脆弱性评估的全面性和有效性。

传统IT 系统的技术脆弱性评测可以直接并入到生产系统中进行扫描检测，同时通过交换机的监听口采集数据，进行分析。而对工控系统的脆弱性验证和测评服务，则以实际车间工控系统为蓝本，搭建一套模拟工控系统，模拟系统采用与真实系统相同或者相近的配置，最大程序反映实际工控系统的真实情况。评估出的模拟系统工控系统安全情况，经过分析与演算，可以得出真实工控系统安全现状。

对于工控系统主要采用的技术性测试方法。

（1）模拟和数字控制逻辑测试方法。该方法针对模拟系统中的控制器系统进行测试。采用如图1的拓扑形式，通过组态配置PLC输出方波数字信号和阶梯模拟信号，通过监测控制信号的逻辑以判别控制系统的工作状态。

（2）抓包测试方法。该方法可以对模拟系统中的各种设备进行测试。采用图2的拓扑形式，通过抓包方式，获取车间现场运行的正常网络数据包；将该数据进行模糊算法变异，产生新的测试用例，将新数据发送到测试设备上进行漏洞挖掘。该测试方法既不影响工作现场，又使得模拟系统的测试数据流与工作现场相同。

（3）桥接测试方法。该方法针对模拟系统中的工业通信协议进行测试。测试平台接收到正常的数据包后，对该数据包进行模糊算法变异，按照特定的协议格式，由测试平台向被测设备发送修改后的数据，进行漏洞挖掘测试。采用的拓扑形式就是图2中去除了虚线框中的内容后的形式。

（4）点对点测试方法。该方法针对通信协议进行测试。采用与图1相同拓扑形式，按照所面对的协议的格式，由测试平台向被测设备发送测试用例，进行健壮性的测试。

（5）系统测试方法。该方法对装有工控软件的被测设备进行测试。该方法采用如图3的拓扑形式，综合了前几种方式，在系统的多个控制点同时进行，模糊测试数据在不同控制点之间同时传输，对整个工业控制环境进行系统级的漏洞挖掘。

3.4 综合分析

在完成资产、威胁和脆弱性的评估后，进入安全风险的评估阶段。在这个过程中，得到综合风险评估分析结果和建议。根据已得到的资产、威胁和脆弱性分析结果，可以得到风险以及相应的等级，等级越高，风险越高。

4 应用实例

本文以某卷烟厂制丝车间的制丝集控系统为例进行风险评估研究。

4.1 资产识别

首先对该制丝集控系统进行了资产的识别，得到的各类资产的基本信息。资产的简单概述：服务器包括GR 服务器、监控实时服务器、AOS 服务器、文件服务器、管理应用服务器、管理数据库服务器和管理实时服务器等；工作站包括工程师站、监控计算机和管理计算机；下位机包括西门子PLC S7-300、PLC S7-400 和ET200S；网络交换设备主要以西门子交换机和思科交换机为主；工控系统软件主要有Wonderware 系列软件、西门子STEP7、KEPServerEnterprise等。

4.2 威胁评估

依据威胁主体、威胁途径和威胁方式对制丝集控系统进行了威胁的识别，随后对卷烟厂制丝集控系统的威胁分析表示，面临的威胁来自于人员威胁和环境威胁，威胁方式主要有计算机病毒、入侵等。其中等级较高的威胁（等级≥3）其主体主要是互联网/办公网以及内部办公人员威胁。

4.3 脆弱性评估

搭建的模拟系统与真实网络层次结构相同，拓扑图如图4所示。

基于工控模拟环境，对设备控制层、工控协议、工控软件、集中监控设备进行评估。

对设备控制层的控制设备通讯流程分为五条路径进行归类分析，即图4中的路径1到5，通信协议均为西门子S7协议。一方面采用模拟和数字控制逻辑测试方法以及抓包测试方法对控制器进行测试，另一方面采用桥接测试方法对S7协议进行漏洞挖掘，结果表明结果未发现重大设备硬

件漏洞。

除了S7 协议外，图4中所标的剩余通信路径中，路径6为OPC协议，路径7为ProfiNet协议，路径8为ProfiBus协议，路径9为Modbus TCP协议。对于这些工控协议，采用点对点测试方法进行健壮性测试，结果发现了协议采用明文传输、未对OPC端口进行安全防范等问题。

采用系统测试方法，对装有工控软件的以及集中设备进行测试，发现了工控软件未对MAC 地址加固，无法防止中间人攻击，账号密码不更新，未进行认证等数据校验诸多问题。

然后对制丝集控系统进行的脆弱性分析发现了两个方面的问题非常值得重视。一是工控层工作站可通过服务器连通Internet，未进行任何隔离防范，有可能带来入侵或病毒威胁；攻击者可直接通过工作站攻击内网的所有服务器，这带来的风险极大。二是工控协议存在一定威胁，后期需要采取防护措施。

4.4 综合评估

此次对制丝集控系统的分析中，发现了一个高等级的风险：网络中存在可以连接Internet的服务器，未对该服务器做安全防护。还有多个中等级的风险，包括网络分域分区的策略未细化、关键网络设备和业务服务器安全配置不足、设备存在紧急风险漏洞、工控协议存在安全隐患、PLC 应用固件缺乏较完善的认证校验机制等。

4.5 防护建议

根据制丝集控系统所发现的风险和不足，可以采取几项防护措施：对于可连到Internet的服务器，采用如堡垒机模式等安全防护措施，加强分区分域管理；对主机设备和网络交换机加强安全策略，提高安全等级；对存在紧急风险漏洞的设备，及时打补丁；对于工控协议存在的安全隐患，控制器缺乏验证校验机制等风险，采用工业安全防护设备对其检测审计与防护阻断。

5 结束语

随着信息化的不断加强，烟草企业对于工业控制系统信息安全越来越重视，而风险评估可以说是信息安全工作的重要基础。本文提出基于模拟系统和脆弱性测试的风险评估方法，采用资产识别、威胁评估、以模拟系统评测为主的脆弱性评估、综合评估等步骤，对烟草制丝线控制系统进行信息安全风险评估。而在脆弱性测试中采用了模拟和数字控制逻辑测试、抓包测试、系统测试等多种方法，对工业控制系统技术上的脆弱性进行测试。这些步骤和方法在某卷烟厂的制丝集控系统应用中取得了良好的成果：发现了工控系统中存在的一些信息安全问题及隐患，并以此设计了工业安全防护方案，将工控网络风险控制到可接受范围内。

本次所做的烟草工业控制系统信息安全风险评估工作，可以为同类的烟草企业工控信息安全防护建设提供一定的借鉴。但同时，也要看到，本次的风险评估工作中对于风险等内容的定级对于经验的依赖程度较高，不易判断，这也是以后研究的方向之一。

参考文献

[1] 李燕翔，胡明淮.烟草制造企业工业控制网络安全浅析[J].中国科技博览，2011，（34）： 531-2.

[2] 李鸿培， 忽朝俭，王晓鹏. 2014工业控制系统的安全研究与实践[J]. 计算机安全，2014，（05）： 36-59，62.

[3] IEC 62443―2011， Industrial control network &system security standardization[S].

[4] SP 800-82―2008， Guide to industrial control systems（ICS） security[S].

[5] GB/T 26333―2011， 工业控制网络安全风险评估规范[S].

[6] GB/T 30976.1―2011， 工业控制系统信息安全 第1部分：评估规范[S].

[7] GB/T 30976.2―2011， 工业控制系统信息安全 第2部分：验收规范[S].

[8] 卢慧康， 陈冬青， 彭勇，王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表， 2014 （10）： 21-5.

[9] 彭杰，刘力.工业控制系统信息安全性分析[J].自动化仪表， 2012， 33（12）： 36-9.

作者简介：

李威（1984-），男，河南焦作人，西安交通大学，硕士，浙江中烟工业有限责任公司，工程师；主要研究方向和关注领域：信息安全与网络管理。

汤尧平（1974-），男，浙江诸暨人，浙江中烟工业有限责任公司，工程师；主要研究方向和关注领域：烟草生产工业控制。

篇9

关键词：无人直升机；场站；火情；预防

通过对无人直升机场站火情风险分析评估，制定场站火情风险控制措施，可以一定程度上预防场站的火灾事故的发生，并在火灾事故发生时采取有效的控制措施将损失降至最低，促进企业试飞安全体系的持续优化，提高无人直升机的场站防火水平及运营安全。

1场站防火的管理

具体研究思路如下：第一步，对无人直升机场站曾经出现过的火灾事故和可能出现的火灾隐患案例进行统计分类分析；第二步，运用航空工业直升机所建立的试飞安全体系中关于风险管理的方法对各案例进行风险等级评估；第三步，参考现有的消防救援措施和预防措施，通过人防、物防和技防等风险控制途径，确定场站火情的缓解或解决方法，以降低潜在后果的严重性、降低火情发生的可能性，或者通过减少火情风险的影响来降低火情风险的水平。

1.1确定火情风险等级

航空工业直升机所试飞安全体系和安全生产管理要求中明确了风险的可接受水平、危险性等级的确定方法、风险矩阵的建立方法以及风险控制措施的制定策略。本文参考该危险等级划分和风险矩阵方法，并通过火情风险等级评判方法、火情风险评估方法和火情风险控制方法的分析，为场站防火管理提供详细的、科学的依据。航空工业直升机所相关部门根据火情的危害严重性等级（表1）和可能性等级（表2）对场站发生火情的危险性进行定性或定量分析，评估系统发生火情的严重程度及其可能性。

1.2火情风险评估

综合火情发生所造成的后果及影响（S），出现火情后果的概率（P），计算风险值（R），R=S×P，建立风险矩阵，如表3所示。根据风险值的大小，风险划分为可接受的、可容忍的和不可接受的三类：（1）风险值在浅色划线区域的为可接受的；（2）风险值在空白区域的为缓解后可接受的；（3）风险值在深色方格区域的为不可接受的。

1.3火情风险缓解或解决原则

根据火情风险评估结果，采取相应的控制措施。风险越大，紧急程度越高，火情风险等级及缓解原则如表4所示。火情风险控制主要通过减小潜在后果的严重性、降低火情发生的可能性，或者通过减少该风险的影响来降低火情风险的水平。在防火管理层面上，可以依据不同的过程进行火情控制措施的制定，比如，场站飞行组织与实施过程的防火可以根据试飞安全体系的思维确定控制措施，场站其他方面的防火可以根据安全生产管理的思维确定控制措施。根据不同的火情风险等级，可以采取技术改造、建立健全的规章制度、制定场站操作规程、加强场站防火、进行监督和检查、提高场站操作人员防火技能等措施，有效控制风险。

2场站防火的风险应对

2.1火情风险识别

火情危险辨识和风险管理的范围应覆盖无人直升机场站运营的全过程，根据表1、表2和图1的判定标准划分出风险等级，确定火情危险点、可能产生火情的作业活动。场站人员在进行场站运营时，对涉及火情的危险进行识别，火情危险识别包括事件和地点两个维度。第一个维度：对可能产生火情的作业活动中潜在的人为因素、机械因素、环境因素、管理因素进行辨识，辨识对象包括所有设备设施、场地和所有进入场站的人员。上述四类因素的具体内容为：（1）人为因素，因为人的操作原因直接导致失火，包括安全意识不强、操作人员失误、人为纵火。（2）机械因素，因为机械设备故障或操作不当直接导致失火，包括零部件损坏、电气故障/老化、设备接地不良（静电）、燃油泄漏/起火、切割钻孔火花/高温。（3）环境因素，因为环境的因素直接导致失火，包括雷击、天气干燥、静电火花、通风不良。（4）管理因素，包括应急处置能力不足、安全培训不到位、检查监督不到位等直接或间接导致的火情，或未将火情扑灭在萌芽阶段。第二个维度：根据火情可能发生的场所进行划分，分别按照跑道、机库、维修间、充电间、塔台等区域进行火情风险识别。航空工业直升机所无人直升机场站运营过程中油品的存储是委托就近的加油站管理，因此场站火情可能发生的场所不包含油库。通过经验教训总结、系统分析等途径，按照火情可能发生的原因和场地进行火情风险因素识别，识别结果如表5所示。2.

2火情风险应对

2.2.1燃烧的三要素和火灾的种类火灾的发生都必须同时具备三个方面条件，分别是可燃物的存在、热源和空气的供给。根据国家标准《火灾分类》（GB/T-4968-2008）中的规定[1]，火灾类型分类如下：A类火灾：固体物质火灾；B类火灾：液体或可熔化的固体物质火灾；C类火灾：气体火灾；D类火灾：金属火灾；E类火灾：带电火灾；F类火灾：烹饪器具内的烹饪物（如动植物油脂）火灾。对无人直升机场站飞行运营区域进行火情风险识别，发现其可燃物因素主要是杂物干草等固体物质、油等可燃液体、电路老化和电火花等失火，暂不存在C类（可燃液体挥发的气体和电池充放电产生的氢气等可燃气体量较少，只存在点燃情况）、D类和F类火灾。2.2.2具体措施从降低或火情发生的危害严重性和可能性出发，制定相应的无人直升机场站火情风险控制措施。（1）降低火情危害严重性通过限制、防止不适当行动或减轻火情后果的物体和方法等途径降低火情危害严重性。①设施配置：设置静电消除装置、绝缘套装、漏电保护装置、警报装置；②人员防护：避免穿着容易产生静电的服装，并配置防静电服、绝缘套装；③合理配置灭火器：由于不同火灾类型的引发物质不同，各类火灾对灭火器的要求也不尽相同[2]，具体要求如下：A类火灾对应的物质往往具有有机物性质，一般在燃烧时产生灼热的余烬，如棉、纸、干草等，最好用水或水类灭火器灭火，这种灭火器能把燃烧物冷却到燃点以下。若A类火灾附近有带电设施设备，应考虑使用E类火灾的灭火器。B类火灾对应的有柴油、汽油、酒精（如冷却液等），用二氧化碳、卤代烃和干化学物品灭火器扑灭，所有这类灭火器均能隔绝空气中的氧气，因而停止燃烧。泡沫灭火器对B类火的熄灭是有效的，尤其是大量使用的时候。水对B类火无效，反而会使火焰扩散。E类火灾场所应选择磷酸铵盐干粉灭火器、碳酸氢钠干粉灭火器、卤代烷灭火器或二氧化碳灭火器，但是不得选用装有金属喇叭喷筒的二氧化碳灭火器（灭火瓶内放出的二氧化碳若通过金属喇叭管时会产生静电，又将重新点燃起火；金属喇叭管如果与电流接触，会把电流传到使用灭火器的操作人员身上）。分析发现，无人直升机场站的失火，可能包括其中之一或者全部的类型，因此，无人直升机场站防火必须考虑灭火器的适用性和经济性。用于A类火情的灭火器不适用于B类或者C类火情，对于B类或者C类火情有效的灭火器，对A类火情会有某些效果，但却不是最有效的，也是不经济的。综上所述，无人直升机场站防火配置灭火器的配备要求为：在跑道配置泡沫和干粉灭火器（实际为机库门口配置泡沫灭火器推车和干粉灭火器，无人直升机使用期间随时携带这两种灭火器），机库、维修间、充电间配置干粉灭火器，塔台配置二氧化碳灭火器，并进行定期检查、维修或更换，以保持灭火器的可用性。④加强应急预案的演练管理：海恩法则指出[3]：每一起严重事故背后，必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。法则强调两点（引用）：一是事故的发生是量的积累的结果；二是强调人的素质及责任心，再优秀的技术，再严格的制度，在实际操作层面上，也无法取代人的自身素质和责任心。按照海恩法则分析，任何不安全事件都是可以预防的，当火情发生后，我们在处理火情本身的同时，还要及时对同类问题的“征兆”和“苗头”进行排查处理，举一反三，及时解决火情再次发生的隐患，把问题解决在萌芽阶段。事故从隐患（征兆）演变为事故一般时间很短，从而导致场站工作人员的应急处置时间也很短，事故发生后所造成的后果是人无法主动控制的，一旦发生事故会立即造成相应的后果。而场站火灾事故的不同之处在于，火灾造成的损害程度和事故的应急处置效率有极大的联系。对于火灾而言，火灾发生前期范围一般都比较小，这时相关人员开始进行应急处置，火灾从初期阶段到发展阶段再到猛烈阶段有一个相对比较长的时间，而这个时间完全够人员进行应急处置，如果应急处置得当，那么火情造成的损害程度将会大大降低。实际火情发生时力求在初期扑灭，若初期无法扑灭，应立即联络当地火警。（2）降低火情发生可能性通过制定相应的规章制度、程序或措施来降低火情发生的可能性，火情风险控制措施前后风险等级对比如表6所示。①完善和落实无人直升机场站运营安全规章制度定期修订试飞安全体系程序文件和作业文件，制定并布置工作流程卡、岗位红线卡，落实岗位责任制；及时更新火情危险源库，设置火情危险源通告看板、火情危险警告标志；优化操作流程：如加油/放油作业过程中确认机体是否固定，是否接地良好，考虑地面风向，放油后禁止在跑道周边倾倒废油；场务人员定期清理跑道周边的干草，注意加油车、发电车的停放位置，定期检查跑道周边用电设施的可靠性，驱赶场站周围特别是吸烟的围观人员；用电开合闸注意避免电火花的产生等。②人员的管理加强防火用电专项培训和制度宣贯；定期进行技能考核；严格监督，以减少人为差错；严禁疲劳、酒后或者服用兴奋剂、药物之后进行作业，保证人员具备良好的精神状态；优化人员配置：合理分配不同时段人员职责，落实岗位责任制，如安保人员负责场站及机库等位置防火巡查，场务人员负责场道及周界防火，机务人员负责无人直升机设备防火等。但航空工业直升机所无人直升机场站未形成较大规模，现阶段场站运营人力资源不足，普遍存在一人多岗的兼职情况。为减少人为差错的发生，切忌一人同时承担多岗位职责。允许兼职的作业禁止同一人同时进行，如专业性较强的岗位，仅风险较低的作业允许兼职，保证有火情风险作业的岗位人员以良好的精力和注意力进行作业，如机务的飞行前通电操作检查允许飞行操作员兼职，场务的电源车、加油车等的驾驶允许机务兼职，场务的风速风向气温等的测量和记录允许塔台或者测控站操作人员兼职。③系统优化完善机库防火设计；加强无人直升机防火设计（无人直升机平台发生火情主要原因是热表面、电火花、排气和爆炸，均与燃油或机载锂电池相关，因此机载锂电池必须具备过充保护功能）等。完善扩充，加强燃油动力系统和电气系统的防火设计工作。

3展望

无人直升机场站的防火是一项长期的工作，需要在运营过程中不断完善。文章中无人直升机场站防火的管理主要结合航空工业直升机所无人直升机的使用经验展开分析，后续需要不断吸取行业内外的经验教训，提高自身火情预警水平，并定期修订规定和制度，加强人员培训和应急预案演练，保障无人直升机的飞行安全。

参考文献：

[1]GB/T4968-2008,火灾分类[S].[2]GB50140-2005,建筑灭火器配置设计规范[S].

篇10

【 关键词 】 中小商业银行；等级保护；信息科技风险管理；信息安全体系框架

1 中小银行等级保护咨询服务的背景

随着信息技术的不断进步与发展，信息系统的安全建设显得尤为重要。2012年6月29日人民银行下发了“银发【2012】163号”文件，为进一步落实《信息安全等级保护管理办法》（公通字〔2007〕 43号文印发），加强对银行业信息安全等级保护工作的指导，结合近年来银行业信息安全等级保护工作开展情况，人民银行给出了银行业金融机构信息系统安全等级保护定级的指导意见，至此，正式的拉开了中小商业银行等级保护建设和整改工作的序幕。

2 等级保护咨询服务的项目目标

国内中小银行在信息安全的发展程度，大部分处于自我认知的阶段，一边忙于业务发展的保障需要，一边又要应对上级监管部门的监督检查，对于安全建设来说，大部分没有纳入到战略的层面来考虑。因此，借助于等级保护咨询服务来建立的这样一套信息安全体系，必须同时满足公安部等级保护基本要求、人民银行等级保护的测评要求和银监会关于IT风险管理的要求。这些目标相辅相承，互为补充。只有将通用的要求、标准、规范落实到自己IT风险管理体系的各方面，建立适合自己业务特点与发展需求的信息安全体系，才能达到有效管理风险、进行IT治理的目的，并最终通过等级测评。

3 等级保护咨询服务的总体思路

中小银行在咨询服务项目需要主动地全面的考量自身情况，综合分析人民银行、银监会和等级保护的要求，在现有的安全工作基础之上，建立统一的信息安全体系，同时满足这些主要的监管要求。这样面临检查时，只要客观反映出当前状态就可以，有效降低临时的材料组织工作。

同时满足三方面监管要求的信息安全体系，这个信息安全体系将以公安部的等级保护《基本要求》、人民银行的《等保测评指南》和银监会《管理指引》为主要依据来搭建起框架，以各专项监管指引为各个领域的具体工作指导，以ISO27000为代表的国内外信息安全标准为补充。

4 等级保护咨询服务的内容

等级保护的咨询服务具体实施过程可参考公安部下发的《信息系统安全等级保护实施指南》，“指南”中将等级保护工作分为了定级备案、规划设计、建设整改和等级测评四大过程。

4.1 系统定级

系统定级阶段需要完成的工作。

1） 等级保护的导入培训：在进行咨询服务之前，需要对银行相关科室信息人员进行等级保护的内容培训。只要讲清楚等保是什么，需要各级人员配合的工作点是什么就可以了。

2） 系统业务安全域划分：这个阶段需要进行信息搜集和资产调研。明确业务系统的范围、边界、功能、以及重要性等。

3） 编写系统定级报告和备案表：定级报告和备案表都是按照公安部等保办公室的通用模版来编写的，内容包含了系统功能描述、网络拓扑、定级的理由和依据等。

4） 召开专家评审会、获得备案证明：召开专家评审会并获得备案证明可视为一个里程碑式的阶段性成果，因为定级和备案是等级保护工作开展的前提，如果级别定错了，或者专家有不同的评审意见，则后续的设计方案、整改方案均无法执行。同时，对于银行信息科技部门的领导而言，服务工作做的怎么样无法量化，但是备案证书是看的见，摸的着的，如果能在评审会现场当场颁发，则意义更加重大。

4.2 规划与设计

规划与设计阶段的主要工作就是进行等级差距分析和风险评估。

1） 技术层面可直接参考人民银行关于金融行业的“测评指南”来完成，可操作性较强。可分物理、网络、主机、应用、数据五个层面进行差距评估，同时对网络流量和网络协议进行简单的分析，通过漏洞扫描设备、配置核查设备、渗透工具等进行风险分析，输出风险评估报告和技术层面的差距评估报告。

2） 管理层面上，等保的管理要求相对薄弱，集中体现在运维管理等方面，如果要达到人民银行和银监会的标准，还有很多需要加强和补充的地方，可以对现有的制度文档进行一个简单的梳理，用最短的时间完成等保的管理制度调研。

4.3 实施与整改

实施与整改阶段需要按照规划阶段的设计方案进行实施，以满足等级保护安全体系的建设要求。

1） 组织体系整改：安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。可参考已成立的《等保领导小组》设立模式，但应具体到管理员岗位。

2） 管理体系整改：按照等级保护的要求补充或重新制定管理制度，根据咨询方提供的制度模版，银行可根据自身的实际业务需求进行修改，并经内部讨论修订后，下文试运行。

3） 技术体系整改：技术体系整改应从三个层面进行考虑。

制定技术规范：包括windows、AIX、Informix、tuxedo、cisco等主流设备的安全配置规范；可考虑聘请专业安全公司进行咨询服务，制定适合银行长期发展的安全策略和技术安全规范。

安全配置加固：根据已制定的技术规范进行主机、服务器、网络设备、安全设备的全面的安全加固。

安全设备采购：在安全技术体系的具体实现过程中，需要落实安全技术详细设计方案中的具体技术要求，将先进的信息安全技术落实到具体安全产品中，形成合理、有效、可靠的安全防护体系。

4.4 等级测评

根据人民银行的《金融行业信息安全等级保护测评服务安全指引》选择具有资质的第三方测评机构进行等级测评，一般当地公安机关会指定2-3家评估中心进行等级测评，如果银行自行联系省外的测评机构，可能需要事先跟当地省公安厅取得联系，确保该测评机构的测评报告在本省是受到认可的。

实际上做了咨询服务之后，等级测评的工作就变的非常简单，因为咨询方会在规划与设计阶段就会与测评中心取得联系，确保其设计方案和整改实施方案得到专家和测评中心的认可，保障其顺利实施。所以在等级测评的时候，测评师从进场到出具评测报告大概只需一周左右的时间。

5 结束语

关于金融业等级保护的建设工作，是今后两年的一个重点工作，尤其是中小银行可借助合规要求，由信息科技部门立项，向行内申请更多的资源来完善自身的安全体系建设工作。

参考文献

[1] 武冬立.银行业安全防范建设指南.长安出版社，2008-11-1.

[2]李宗怡. 中国银行安全网构建基础研究.经济管理出版社，2006-6-1.

[3] 刘志友.商业银行安全问题研究.中国金融出版社， 2010-3-1.

[4] 曹子建，赵宇峰，容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全，2012，（09）：12-14.

[5] 傅慧.动态包过滤防火墙规则优化研究[J].信息网络安全，2012，（12）：12-14.