安全风险评估方式范文

导语：如何才能写好一篇安全风险评估方式，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

摘要：本文通过深入分析一起典型海上救助拖带作业案例风险点，总结出一种海上救助拖带作业的风险评估方法，并结合工作实践，提出了此类救助风险评估注意事项和作业中较为实用的风险防范措施和方法。

关键词：救助 拖带 风险评估安全 防范

0引言

近年来，受极端恶劣天气的异常影响，海上安全形势的复杂多变，涉海突发事件呈现多发趋势，救助遇险种类呈现出多元化和复杂化的特点，救助船舶面临着更为复杂多样的风险和挑战。据统计2016全年，我国东海海域船舶因机械故障遇险出动救助次数为19起，占救助总量的13%，数量呈逐年上升趋势。此类救助常采取拖带救助方式，作业难度大、风险高。尤其拖救超大型船舶流程繁琐而复杂，风险控制要求高。因此对海上救助拖带作业风险进行深入的研究，作业前充分开展风险评估，采取相应的防范措施，对于保障此类救助作业的安全十分重要。

1典型案例

2017年1月23日深夜，满载钢材及合板某散货船（长189m 、宽32m、吃水12m、满载5.7万吨钢材和三合板）航行在中国沿海某水域，主机发生故障，现场风力7至8级，处于漂航状态,请求紧急救助。救助船接到救助指令后，立即组织实施作业风险评估，落实防范措施。24日上午，救助船抵达现场开始带缆，并起拖。主拖缆放至500m，拖缆共640m（其中30m龙须缆，110m短缆，500m主拖缆）。由于事发海域，水深、风大、涌高，并受黑潮流的严重影响，被拖船左右甩偏荡，为此，救助船采取降车、降速并及时调整航向，通知预险船操舵跟随救助船，以减小偏荡。24日下午，救助船掉头后，发现被拖船左右偏荡非常严重，偏荡幅度最大达180°，救助船分析当时流压态势，通过慢车、调整航向、协调遇险船操舵来控制，调整姿态，最终顺利抵达某港引水锚地，救援结束。

2 风险评估

2.1开展风险评估，首先要获取风险评估要素

上述典型案例中，救助船舶根据当时的天气海况、失去动力船舶的状况、救援的需求等，获取风险评估要素有以下几个方面：

（1）遇险船舶为满载钢材等货物的大型船舶，质量大，吃水深，救助作业中没有任何动力设备协助。拖带航行期间，无法配合救助船作业，容易产生大幅偏荡导致救助船操纵困难和断缆。

（2）遇险船船员缺乏救助作业经验和相关知识，需要救助船舶船员进行指导。

（3）到达目的地，没有其他船舶配合难以在狭窄水域或指定地点锚泊。

（4）风浪大，救助船舶摇晃剧烈，现场人员转运和实施相关救助作业风险较大。海况有进一步恶化趋势，将加剧救助作业的难度和风险。

（5）由于海况恶劣，救助船在作业中也可能发生意外，增加拖带救助作业的不确定性。

2.2通过分析、评估、判断，标明以上要素发生风险事件的可能性概率

通过评估，再标明出该风险要素发生的后果严重程度。风险等级可通过事故发生的可能性概率和事故的后果严重程度的乘积计算得出，即风险等级=可能性×严重性。

如得出风险等级为微小风险，一般无须采取任何行动方法措施；如得出风险等级为可容忍的风险，无须任何额外的控制措施，但可考虑增加具有成本效益的解决方法，或作一些改善，而无须付出额外的成本。需保持监控，确保在控制之中；如得出风险等级为中度风险，应采取行动降低风险，但所用成本应小心衡量，不可太高，同时应在限定时间内实施降低风险的措施；如得出风险等级为重大的风险，降低风险之前，不得开始工作，同时也可能需要为降低风险付出大量资源。若风险涉及进行中的工作，必须采取紧急防范行动；如得出风险等级为不可容忍的风险，降低风险之前，不论工作是否已经开始，都必须停止。

2.3 确定风险等级

救助作业风险评估救助船舶在实施救助作业前意识到作业存在的风险，并在本船的能力下采取相应措施后进行评估，判断作业安全是否可控，确定每一个工作过程风险等级，并采取相应的防范措施，只有在风险可控下船舶方可实施救助作业。但如果任一个工作过程风险等级为判定为重大风险，救助船舶可通过改进措施，对改进措施后的风险重新评估，如风险可控，作业方可实施。一旦以船舶的自身能力已无法控制作业安全风险，应立即向岸基指挥部门报告，由岸基指挥部门采取措施给予岸基支持，再次开展风险评估，确定降低和控制风险措施，如果岸基指挥部门评估风险不可控，救助作业应立即暂停或终止。风险评估流程图详见图2-1所示。

3拖航救助的风险防范

（1）针对本文典型案例，救助船舶制定了以下防范措施来降低风险等级

① 及时与遇险船舶进行沟通，了解其船舶主机设备的损坏情况。

② 将救助船将要执行的救助计划告知遇险船，使其了解救助工作的方法和步骤，便于配合。

③ 再次检查测试救助船相关设备情况，提高设备运行的可靠性，降低风险。

④ 落实人员到岗，细化工作步骤，落实安全措施。

⑤ 落实可能出现的应急情况下的应急预案。

⑥ 如有必要，选派合适人员登遇险船舶开展工作，便于沟通和现场作业指导。

⑦ 针对到达目的地后可能出现的失控情况，申请岸基支援，增加辅助拖轮协助作业。

（2）对于救助作业前期的风险评估、风险源的甄别和风险防范措施等，救助船和岸基指挥部门应在作业前应进行充分的确认措施落实情况，以达到对预知风险的可控。

（3）在执行救助大型船舶拖航任务时，还应充分考虑到主机功率及安全负荷，留足安全余量，避免主机长时间高负荷或超负荷运转，对机器和其他机械设备造成损伤。

（4）遇险船舶已接受大风浪考验且未危及安全的前提下，如气象海况好转，救助区域环境许可，应考虑选择恰当的时机实施救助，避免恶劣海况下的产生无谓的风险和损耗，但在等待过程中应做好充分的应急准备，如遇险人员应急接救准备等。

（5）作业期间还应加强作业船舶和现场指挥人员、协调人员、遇险船舶的沟通协调，以确保船舶实施救助或实战训练达到最佳的效果。救助船舶应避免盲从现场其他人员或岸基指挥人员的要求，要充分考虑自身安全，要预判好趋势的发展对救助作业和安全带来的困难，避免盲目作业，以免对自身和遇险对象造成更严重的伤害。

4救助评估作业注意事项

（1）评估要素一次救助作业过程应进行分段，细分工作过程、作业步骤和流程。例如,救助主机故障抛锚船可分为“航行抵达救助区域——带缆——启拖——拖航——指定地点抛锚解拖”等，应尽可能细分。

（2）可能存在风险应对每一分段的作业要素的风险分别进行评估，并尽可能列举每一段作业存在的所有风险。例如,指定地点被拖船抛锚解拖过程中可能存在的风险，如锚地抛锚船多，水域狭窄、富裕水深不足、顺流进入指定地点船队操控困难、主拖缆拖底损坏、被拖船抛锚后锚链倒拖走锚等。

（3）可能导致事故和健康危害对可能存在风险中的每一个不安全的风险进行评估可能造成的后果。例如，顺流进入指定地点船队操控困难存在的危害与抛锚船发生碰撞、无法顺水抛锚、无法锚地掉头等。

（4）降低和控制风险措施中应针对存在的风险和危害制定相应的措施进行控制和降低。例如：针对4.3中的例子，措施可采用控制船队船速，选择顶水进锚地，或者锚地外绕行顶水进入，或者锚地外缘开敞水域抛锚等。

（5）船舶在现有措施能够安全完成救助作业的情况下，事先救助作业风险评估应为可容忍风险和小风险，如评估为重大风险和不可容忍风险时，必须暂停或终止作业报岸基指挥部门。如本文典型案例中拖带航行期间产生了大幅偏荡，该风险极易导致救助船操纵困难和断缆，为重大风险，救助船舶采取了慢车、调整航向等措施控制，有效地避免了断裂事故的发生。

（6）在评估满足作业条件后方可开展救助作业，但一旦船长认为现场救助作业可能危及船舶、人员或海洋环境时，应立即暂停或终止救助作业，并向岸基指挥部门报告，由指挥部门制定措施再次评估，直到可行，一旦不可行，应终止作业。

（7）岸基指挥部门评估结果应及时传递至救助船舶，为其作业提供依据，救助船舶应严格落实好岸基指挥部门提供的措施，同时应把落实的措施记录于《航海日志》中。

篇2

【关键词】网络 安全风险 评估 关键技术

结合我国近年来的互联网应用经验可知，用户的互联网使用过程很容易受到恶意软件、病毒及黑客的干扰。这种干扰作用可能引发用户重要数据信息的丢失，为用户带来一定的经济损失。因此，利用综合评估技术、定性评估技术等开展网络安全风险评估具有一定的现实意义。

1 常见的网络攻击手段

目前较为常见的网络攻击手段主要包含以下几种：

1.1 IP欺骗攻击手段

这种攻击手段是指，不法分子利用伪装网络主机的方式，将主机的IP地址信息复制并记录下来，然后为用户提供虚假的网络认证，以获得返回报文，干扰用户使用计算机网络。这种攻击手段的危害性主要体现在：在不法分子获得返回报文之前，用户可能无法感知网络环境存在的危险性。

1.2 口令攻击手段

口令攻击手段是指，黑客实现选定攻击主机目标之后，通过字典开展测试，将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于：黑客在利用错误口令测试用户UNIX系统网络的过程中，该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后，可以利用Telnet等工具，将用户主机中处于加密状态的数据信息破解出来，进而实现自身的盗取或损坏数据信息目的。

1.3 数据劫持攻击手段

在网络运行过程中，不法分子会将数据劫持攻击方式应用在用户传输信息的过程中，获得用户密码信息，进而引发网络陷入瘫痪故障。与其他攻击手段相比，数据劫持攻击手段产生的危害相对较大。当出现这种问题之后，用户需要花费较长的时间才能恢复到正常的网络状态。

2 网络安全风险评估关键技术类型

网络安全风险评估关键技术主要包含以下几种：

2.1 综合评估技术

综合评估技术是指，在对网络安全风险进行定性评估的同时，结合定量评估的方式提升网络安全风险评估的准确性。

2.2 定性评估技术

定性评估技术向网络安全风险评估中渗透的原理为：通过推导演绎理论分析网络安全状态，借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。

2.3 定量评估技术

这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单，但在实际的网络安全风险评估过程中，某些安全风险无法通过相关方式进行量化处理。

3 网络安全风险评估关键技术的渗透

这里分别从以下几方面入手，对网络安全风险评估关键技术的渗透进行分析和研究：

3.1 综合评估技术方面

结合我国目前的网络使用现状可知，多种因素都有可能引发网络出现安全风险。在这种情况下，网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来，应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中，层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据，将既有网络风险安全隐患分成不同的层次。当上述工作完成之后，需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据，对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系，依次计算网络安全风险的权值。同时，结合预设的网络安全风险评估目标合成权重参数，进而完成对网络安全风险评估的正确判断。

3.2 定性评估技术方面

定性评估技术的具体评估分析流程主要包含以下几个步骤：

3.2.1 数据查询步骤

该步骤是通过匿名方式完成的。

3.2.2 数据分析步骤

为了保证网络安全风险评估结果的准确性，定性评估技术在数据分析环节通过多次征询操作及反馈操作，分析并验证网络安全风险的相关数据。

3.2.3 可疑数据剔除步骤

网络安全风险具有不可预测性特点。在多种因素的影响下，通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用，需要在合理分析网络安全现状的情况下，将可疑数据从待分析数据中剔除。

3.2.4 数据处理及取样步骤

通过背对背通信法获得的数据数量相对较多，当数据处理工作完成之后，可以通过随机取样等方法，从大量网络安全风险数据中选出一部分数据，供给后续评估分析环节应用。

3.2.5 累计比例计算及风险因素判断步骤

累计比例是风险因素判断的重要参考依据。因此，评估人员应该保证所计算累计比例的准确性。

3.2.6 安全系数评估步骤

在这个步骤中，评估人员需要根据前些步骤中的具体情况，将评估对象网络的安全风险系数确定出来。

与其他评估技术相比，定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。

3.3 定量评估技术方面

这种评估技术的评估原理为：通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于：能够度量网络系统中的不确定因素，将网络安全风险量化成具体数值的形式，为用户提供网络安全状态的判断。

4 结论

目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言，网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时，用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象，促进互联网应用的正常发展，应该将定量评估技术、定性评估技术以及综合评估技术等，逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒r截软件等工具改善网络环境之外，还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后，应该需要通过对评估资料的分析，有针对性地优化自身的网络系统，降低数据丢失或损坏等恶性事件的发生概率。

参考文献

[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州：信息工程大学，2015.

[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用，2014（05）：82-84.

[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用，2014（04）：168-170.

[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京：国防科学技术大学，2008.

[5]宣蕾.网络安全定量风险评估及预测技术研究[D].北京：国防科学技术大学，2007.

篇3

【关键词】安全生产风险；作业风险评估；变电专业

0.前言

电力生产活动涉及电网、设备、生产环境、作业及管理等方面的风险。安全生产风险管理体系提出了九大管理单元,对安全生产各个环节进行管理。九大单元(模块)包括:安全管理、风险评估与控制、应急与事故管理、作业环境、生产用具、生产管理、职业健康系统、能力要求与培训、检查与审核。九大单元(模块)又由51个要素、159个管理节点和480条管理子标准组成。这九个单元指出了安全生产需要管理的范围,要素指出了需要具体管理的工作内容,管理节点指出了要素的管理关键点和流程节点,子标准是各个流程节点的工作要求或方法。单元、要素、节点、子标准之间相互关联或链接,形成基于风险的安全生产管理有机整体。[1]其中风险评估与控制管理单元中的作业风险评估是变电运行专业其中一个重要的风险评估工作，是安全生产风险管理体系持续运转的重要环节，也是确保变电运行专业现场作业风险可控、预控的关键。

1.作业风险评估的一般方法

风险评估的一般方法是PES法，就是说在进行风险等级分析时需考虑三个因素：由于危害造成可能事故的后果；暴露于危害因素的频率；完整的事故顺序和发生后果的可能性。

风险评估公式：风险值 =后果(S)×暴露(E)×可能性(P)

在使用公式时，根据现有的基础数据和风险评估人员的判断与经验确定每个因素分配的数字等级或比重。后果、暴露、可能性的定义如下：

后果：指所考虑的风险造成的最可能后果，包括伤害，疾病，财产损坏。事故的后果，从100分的“灾难”到1分的“小割伤或擦伤”，按程度分别赋予相应的数值。

暴露：指危害事件发生的频率，这个危害事件是第一个可能启动事故序列的意外事件。危险事件发生的频率，从10分的“持续通过”到0.5分的“特别的少”按层次分别赋予相应的数值[1]。

2.作业风险评估工作开展的工作方法

电力企业风险评估有三类：a.基准风险评估，即对企业生产作业流程进行全面的风险评估，并作为持续改进的基准。b.基于问题的风险评估，即针对企业基准风险评估中所确定高风险对象，或生产过程中发生事故、事件暴露的高风险问题进行风险评估；c.持续风险评估，即企业开展持续的风险评估，及时、动态修改风险评估内容，并做出相适应的规避风险措施。[1]变电运行专业的作业风险评估属于基准风险评估，每年定期开展。年度作业风险评估开展流程如下：

一是作业风险评估技能回顾，主要是对班组代表开展作业风险评估技能专项培训。重点回顾作业风险评估方法，基准作业风险评估工作的顺利开展。

二是作业风险评估回顾、评估内容更新，主要是对上一年度已完成的作业风险评估、作业风险评估概述，根据最新作业任务清单，结合年度审查中关于作业风险评估所发现的问题，重新运用PES作业风险评估方法，组织人员审查班组有关评估结果。

三是回顾、更新关键任务。运行人员在作业风险评估结果的基础上，回顾各项关键任务，形成关键任务分析，为作业表单修编工作提供依据。

四是是修编作业风险概述。根据作业风险评估结果，形成本班组作业风险概述。

最后是风险评估结果应用。就是说跟据本班组的作业风险概述，审查有关控制风险的管理措施和技术措施的落实情况，制定有关措施的实施工作计划，推进计划的落实。

3.作业风险评估工作在变电运行的运用

在开展变电运行的作业风险工作过程中往往存在以下两个问题：一是全员参与性不足，特别是资历较深的运行人员。这会影响到评估结果的准确性，同时也失去了全面增强全体人员风险意识的机会。二是作业风险评估结果不能应用到作业表单，进而不能有效控制现场风险。

为了解决全员参与性不足的问题，我们采取分组讨论--集中审核的方式，资历较深的运行人员被平均分到小组中讨论，充分发挥他们经验丰富的优点，为作业风险评估提供依据。集中审核时采取交叉审核方式，有利于保证人员参与作业风险评估的完整性。为了解决作业风险评估结果的应用性问题，在执行作业表单时必须对表单中的风险评估结果进行审核，发现作业风险评估结果未能应用到新作业表单中时，应该立即启动安全风险管理体系中的纠正与预防流程，提出修编建议。

下面以500kV某变电站为例，阐述作业风险评估在变电运行中的开展情况：

（1）根据相关作业风险评估工作方案，500kV某变电站选派安全区代表参加局组织的安全风险管理体系知识和作业风险评估培训班，接着在站内开展作业风险评估知识培训，以保证作业风险评估方法的全员掌握。

（2）经过全体人员讨论和梳理，本专业共有作业任务59项。

（3）利用安全活动或交接班的机会，将59项作业任务分成三组开展作业风险评估工作，然后集中交叉审核和讨论，最后汇总成为《区域内作业风险评估填报表》。

（4）最后形成本站的作业风险概述。总结出500kV某变电站日常工作中存在的主要危害有9种。对这9种危害进行评估，得出可接受及低风险主要分布在化学危害、职业健康、物理危害、人机功效、环境危害。中等风险危害有7个,中等风险危害有行为危害、化学危害、职业健康、物理危害、人机功效、环境危害，包括误碰故障设备、错投退压板、合（分）刀闸不到位、受伤的人、开路的CT等等。作业风险结果为修编作业表单提供依据。

（5）根据作业风险评估结果，修编运行专业的作业表单。目前500kV某变电站共有42份通用变电作业表单和8份专用变电作业表单，为变电运行现场工作提供有效可靠的风险预控措施。

4.结语

安全生产风险管理体系是南方电网公司在安全生产管理方面的创新,也是落实南网方略的具体体现。作业风险评估工作是四大风险评估工作之一，对变电运行专业现场风险预控有非常重要的意义。变电专业的作业风险评估已经开展了一段时间，虽然取得了一定的成果但仍存在有发展的空间。这主要是指如何将作业风险评估结果更有效指导现场作业，从而达到现场作业风险可控的目的。在这个问题上我们仍然需要在实践中继续探索。这需要基层变电专业坚持持续改进的原则，为深入践行安全生产风险管理体系继续向前。　[科]

篇4

关键词：风险评估；动态性；信息安全管理；脆弱性；威胁

中图分类号：TP311 文献标识码：A 文章编号：1007—9599 （2012） 14—0000—02

一、引言

随着信息化的快速发展，信息系统在各行业领域发挥越来越大的作用，但随之而来的安全问题却成为制约信息化快速健康发展的短板。如今各类网络攻击事件不逐年增多，虽然通过部署一系列安全设备，如防火墙、防毒墙、IDS、IPS以及其他诸如上网行为管理软件等等，以期增加安全防护水平，然而通常由于信息主管部门人员力量有限，安全设备形成的大量数据信息，无法在第一时间对潜在的危险进行有效收集、分析和处理，以致无法快速进行系统地评估，掌控全局安全状态。

及时的全局信息系统风险管理是对系统安全现状进行管控的一种有效措施，其遵循PDCA循环模式管理，即P（Plan：计划）、D（Do：执行）、C（Check：检查）和A（Action：行动）。其最早由美国质量管理专家戴明提出来，旨在通过不断循环，对系统进行检测、加固，使安全防范水平得到进一步提高。它是一种动态的检测机制，其精髓就是对系统进行有效的风险评估，反观现今常采用的评估方法，多为静态模式，其结果只限于指定时间点的风险值，存在滞后性，无法反映二个连续检测点风险值变化情况。如假使以期通过PDCA模式提高安全性，选择动态模式的风险评估成为必然。

二、风险评估理念

日常安全风险产生的原因主要为威胁因素利用资产脆弱性，对系统产生危害，表现方式主要有可能导致系统非正常运行，数据的完整性、可用性、保密性受到侵害。风险评估是管理风险的重要手段，在标准ISO/IEC17799中对于风险评估作了如下定义：信息及信息处理设备的威胁、影响和弱点以及三者发生的可能性的评估。其内在因素之间关系如图1—1所示：

三、动态风险评估

（一）系统结构

动态风险评估架构由五部分组成，包括安全检测模块、信息管理模块、事件资源库模块、规则资源库模块以及风险评估模块。安全检测模块主要通过安全检测设备实时监控系统中隐藏的威胁信息并发出告警信息，信息管理模块主要负责接收告警信息并输出为统一格式，事件资源库模块收集威胁评估、资产脆弱性评估结果，规则资源库用于存储风险评估计算方式（公式），风险评估模块通过整合信息管理模块的输出值，依据规则资源库的风险评估计算方式计算系统的风险值。其结构图如1—2所示：

（二）评估方法

1.资产评估

资产评估包括资产识别和价值评估两部分。资产识别即首先识别有价值的资产，列入评估清单，形式有物理资产、信息资产、人员、服务、组织的声誉等，这里以网络设备、服务器操作系统、数据库所含信息为主。数据信息的保护即为维持其完整性、可用性和保密性，通过收集、分析网络中相关计算机运行属性，以及在整个系统运行过程中的作用和被攻击后需要修复所产生的费用等，确定资产价值。

2.脆弱性分析

脆弱性是指系统存在的安全薄弱环节，容易被威胁利用并造成损失，其主要可以分为管理脆弱性和技术脆弱性。这里讨论以技术脆弱性为主，主要为信息系统、网络设备、服务器设备中存在的可能导致未授权操作的脆弱性节点，该类脆弱性通常可以使用脆弱性扫描工具、漏洞扫描系统、安全审计工具等方式获得。

3.威胁分析

威胁主要为损害资产完整性、保密性、可用性的行为，通过安全检测模块如防火墙、防毒墙、IDS以及其他安全防护设备告警、触发形成，经常表现为一种未预期的突发事件。

威胁分析首先需要列出可能存在的所有可能导致资产损害的因素，如物理因素、系统因素、人为因素等，其次执行威胁发生可能性概率分析和潜在损失分析，根据分析结果，定量计算出威胁值并作标识，进一步形成应对策略。

4.计算资产的动态风险

资产的风险随着安全设备检测出不同安全事件而有不同的变化，其标识信息包括：安全设备编码、威胁的类型、源地址、目的地址、源端口、目的端口以及威胁发生的时间等，此外，每个安全设备报警的准确率也是可以确定的。

如果组织网络中主机的资产价值用Ai表示，在某个时刻各主机的风险值为Ri，则此时网络整体风险值R为：R= 。当某个安全设备产生一个报警事件时，首先根据其报警信息中的目的地址查看目的主机的威胁列表中是否存在此威胁，如果威胁存在，则读出目的主机的资产价值Ai、该威胁可能对资产造成影响的权重WTi以及报警前目的主机的风险值Ri，并根据该威胁的源地址得到威胁主体的动机指数Mi和能力值Ci。若用P表示报警设备的准确率，T表示威胁值，则该威胁产生的风险值r可以通过以下公式计算：r=Ai×T×P，T=Mi×Ci×WTi。假定单个威胁产生的风险的阈值是v，网络中主机的风险阈值为VH，整个网络的风险阈值为VN，对于某个报警事件产生的风险值r，首先将其与v进行比较，如果r≥v，根据威胁分析阶段所确定的相应对策对该威胁进行响应。如果r

四、总结

风险评估当前已成为加固信息系统安全的重要步骤之一，随着信息安全管理体系理念的推广，其影响范围越来越大，也越来越获得重视。而实施动态的评估预警机制则更充分有效地发挥了风险评估的作用，对于实际生产和安全管控有十分重要的意义。

参考文献：

[1]GB/T20984信息安全技术 信息安全风险评估规范，2007

[2]GB/T19715.1——2005信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型（150/IECTR13335—1：1996，IDT）

[3]王莲芬，许树柏.层次分析法引论[M].北京：中国人民大学出版社，1990

[4]冯登国，张阳，张玉清.信息安全风险评估综述[J].通信学报，2004，25，7：10—18

篇5

关键词：网络审计　历史财务报表审计　信息安全管理　风险评估

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容　广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。结合上文网络审计风险评估五个方面的内容可以看出，网络审计和信息安全风险评估在内容上有相近之处，即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是，信息安全管理作为企业的一项内部管理，其风险评估工作需要从两个层次展开：一是评估风险发生的可能性及其影响；二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的，其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出，企业在确定出风险水平后，应对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。其中，风险处理的方式包括回避风险、降低风险、转移风险、接受风险，而控制措施的选择应兼顾管理和技术，考虑企业发展战略、企业文化、人员素质，并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次，即审计人员通过风险评估，为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此，两者的评估内容是存在区别的。

篇6

关键词 企业网 信息系统 风险评估

中图分类号：TP393.08 文献标识码：A

一、引言

信息技术在商业上的广泛应用，使得企业对信息系统的依赖性增大。信息系统风险评估是辨别各种系统的脆弱性及其对系统构成威胁，识别系统中存在的风险，并将这些风险进行定性，定量的分析，最后制定控制和变更措施的过程 。通过安全评估能够明确企业信息系统的安全威胁，了解企业信息系统的脆弱性，并分析可能由此造成的损失或影响，为满足企业信息安全需求和降低风险提供必要的依据。

二、安全风险评估的关键要素

信息系统安全风险评估的三个关键要素是信息资产、威胁、弱点（即脆弱性）。每个要素都有各自的属性，信息资产的属性是资产价值。威胁的属性是威胁发生的可能性，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度。

对企业信息系统的本身条件和历史数据进行整理分析，得到威胁，脆弱点分析如下：

实物资产的脆弱性：对电脑等办公物品的保护措施不力，办公场所防范灾害措施不力，电缆松动，通讯线路保护缺失。

信息资产的脆弱性：相关技术文档不全，信息传输保护缺失，拨号线路网络访问受限，单点故障，网络管理不力，不受控制的拷贝。

软件资产的脆弱性：未使用正版稳定软件。

人员的脆弱性：对外来人员监管不力，安全技术培训不力，授权使用控制不力，内部员工的道德培训不力。

三、风险评估过程

风险评估是信息系统安全保障的核心和关键。风险评估过程分为风险识别、风险分析和风险管理。

风险识别是分析系统，找出系统的薄弱点和在运行过程中可能存在的风险。为了保证风险分析的的及时性和有效性，管理层面应该有具备丰富风险知识的部门经理、IT人员、关键用户、审计人员和专家顾问，他们能够帮助快速地指出关键风险。

风险分析是对已识别的风险进行分析，确定各个风险可能造成的影响和损失，并按照其造成的影响和损失大小进行排序，得到风险的级别。风险分析有助于企业就安全项目和构成该项目的安全组成部分编制正确的预算，有助于将安全项目的目标与企业的业务目标和要求结合起来。

风险管理是由以上步骤得到的结果，制定相应的保护措施。通过实施在评估阶段创建的各种计划，并用这些计划来创建新的安全策略，在完成补救措施策略的开发和相关系统管理的更改，并且确定其有效性的策略和过程已经写好之后，即进行安全风险补救措施测试。在测试过程中，将按照安全风险的控制效果来评估对策的有效性。

四、评估系统的设计

（一）评估系统的体系结构和运行环境。

该评估系统主要采用B/S/S三层体系结构，即包括客户端、应用服务器、数据库服务器三部分。其结构示意图如图1所示：其中，客户端通过Web浏览器访问应用服务器，在Web页面的引导下指导用户与评估人员进行风险识别、数据收集，并显示最后的评估结果。同时丰富的在线帮助信息又为用户及评估人员参与风险评估以及管理员进行系统维护提供了很好的在线支持，系统管理员也可以利用任意一台客户端登录管理帐号对系统数据库进行权限范围内的维护。管理者需了解部门、员工及资产总体情况，明确风险种类及大小，并以知识库的形式，为如何处置风险提供了一些解决方案。面向评估人员的功能模块，展示了本部门目前面临的威胁和薄弱点情况，帮助评估人员明确风险。相比而言，该模块更主要的功能，是协助上报本部门的人员及资产信息，以满足评估需要。

图1 评估系统体系结构

应用服务器处理收集到的风险信息，并采取多种手段，利用综合评估算法 ，完成信息系统安全风险评估，并实时将执行结果返回给客户端Web浏览器。应用服务器配置了系统运行所需要的Web服务器程序以及Web站点页面文件，我们选择动态网页编程技术对系统的Web站点页面文件进行编码和开发。数据库服务器上配置了系统运行所需要的SQL Server数据库管理程序以及系统数据库资源，通过Web服务器与客户端实现实时数据交互。

（二）工作流程设计

首先，对信息系统进行风险数据采集，用户填写由评估单位制定的评估申请，将信息系统按具体情况进行分类，同时利用漏洞扫描器、正反向工具从技术角度了解系统的安全配置和运行的应用服务，使得评估人员从整体上了解该信息系统及其评估重点，并针对系统业务特点进行裁剪；接下来，在前面所做的工作的基础上，围绕着系统所承载的业务对数据进行资产、威胁、脆弱性分析；最后，依据发生的可能性及对系统业务造成的影响对识别的风险进行分类，利用定性和定量的评估算法以及消除主观性的各种算法，对风险识别中获得的风险信息进行风险综合评估，并在整体和局部、管理和技术风险评估的基础上，生成评估报告。

（三）数据库设计

该系统的数据库由企业信息库、知识库、评估标准库和评估方法库组成，采用SQL Server数据库管理系统作为该数据库的开发和运行平台，其中：企业信息库存储的是有关企业信息系统的基本信息；评估方法库存储了针对所设计的评估结构所采用的评估方法集合；知识库存储的是以往已评估系统的完整评估资料，可以为当前的风险评估提供可借鉴的经验；在数据库设计中评估标准库是几个库中最重要也是工作量最大的部分，该库涵盖了各评估标准的评估要素，即遵从标准，又针对各行业的业务特点，提供了灵活的数据结构。

（四）网站内容风险算法。

对风险进行计算，需要确定影响的风险要素、要素之间的组合方式、以及具体的计算方法。将风险要素按照组合方式使用具体的计算方法进行计算，得到风险值。目前通用的风险评估中风险值计算涉及的风险要素一般为资产、威胁、和脆弱性。由威胁和脆弱性确定安全事件发生的可能性，由资产和脆弱性确定安全事件的损失；由安全事件发生的可能性和安全事件的损失确定风险值。目前，常用的计算方法是矩阵法和相乘法。

五、总结

网络技术的发展在加速信息交流与共享的同时，也加大了网络信息安全事故发生的可能性。对企业信息系统进行风险评估，可以了解其安全风险，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据，给用户提供信息技术产品和系统可靠性的信心，增强产品、企业的竞争力。

（作者：武汉职业技术学院计算机系教师，硕士，研究方向：计算机网络及其应用、信息安全）

注释：

篇7

1.1风险评估原则

1）在评估时应当对评估对象充分了解，评估标准也要与其适用的范围符合。也就是说，在风险评估时，我们需要根据具体问题具体分析，根据对象采取适当的方式对其进行处理。

2）评估的方式与标准一定要根据现实情况不断更新，科技与产品的发展极为迅速，如果采用落后的评估方式与评估标准，会使得结果不如人意。特别是雷电电磁脉冲（LEMP）的危害逐渐占据主导地位时，通信、电子和网络等行业的发展给雷电灾害风险评估提出了很多需要解决的问题。

3）在评估是一定要对评估结构与评估标准进行仔细的斟酌与探讨，因为这是影响风险评估的两个重要因素。

4）在评估雷电灾害风险时，应当注重评估风险，而不是注重其来源。雷电灾害的来源比较难评估，不如评估损失实用。也要注意不要重复计算，或者在计算时有所遗漏。

5）对于不同的评估主体来说，风险评估往往需要考虑的因素很多，所以标准并不是唯一的，因此我们应当重点对评估主体的风险进行评估。

1.2雷电风险评估方法

在评估雷电灾害时，如果评估方式运用不恰当，会对风险评估的每个环节造成影响，最终使结果与实际发生偏差。因此，在评估前应当对系统有一个完整的了解，然后采取恰当的方式进行风险评估。我们可以将风险评估的方式划分为三大类，分别为定量风险评估，定性风险评估，还有综合风险评估。IEC62305评估程序便是以定量风险评估为基础方法的程序，这个程序会针对评估对象的所有潜在风险因子进行分析，计算出准确的风险分量，然后对比我们可以承受的风险值，在精确比对后来确认评估对象是否需要实行雷电防护，如若其需要保护，程序也会计算出其需要的雷电保护等级。防雷工程对于建筑施工是极为重要的，现代化的建筑设施应当重视雷电灾害风险评估，在工程设计和施工前期就应当做好防雷工程设计。这样可以将过去针对建筑物的全面雷电保护方式彻底淘汰，对建筑物采取雷电保护的设计与建造，将薄弱部分保护，让雷电防护更加完善实用，是精细化雷电保护的主要目的。

2地理与气候

日喀则江孜县，位于自治区南部，地处冈底斯山与喜马拉雅山之间，地势南北高，中西部低，距拉萨南约230公里处，距日喀则东约100多公里处，平均海拔4000米左右，全县总面积3800平方公里，年楚河两岸为峡谷地带，最高海拔为7191米，江孜县境内有年楚河经过，年楚河由日喀则地区康马涅如藏布江和江孜龙马河汇聚而成，流经康马等4县后汇入雅鲁藏布江。从地理上看很重要，和拉萨、日喀则形成三足鼎立，是通往亚东、印度大吉岭的交通枢纽，从气候上看，属高原季风半干旱气候。江孜县干湿季节分明，夏季雨水充沛集中，温暖湿润，冬季干冷，日照充足，太阳辐射强烈，日温差大而年温差小，无霜期短。年日照时数3189.8小时，年无霜期110天左右，年降水量291.1毫米，年平均气温4.7℃，雨热同季，光温配合好，便于种植。自然灾害主要有雷暴、干旱、山洪、风、霜、冰雹等。据全国雷暴日统计表可知，年平均雷暴日78.8[天/年]属于强雷暴区。由于此县每年都会发生因雷击而造成人员伤亡、火灾、停电、信息系统毁坏等事故，严重威胁着江孜县公共安全和人民生命财产安全，因此，加强防雷减灾安全工作显得更为紧迫和重要。

3现场勘测

3.1建筑物概况

自治区日喀则地区江孜县行政楼始建于2000年，建筑面积184平方米，大楼长24米，宽8米，高10米，分上中下三层，是混凝土结构，行政楼的东面为农田，南北是民房和商铺且都是二层左右，西面为马路，大楼在旷野中成孤立的，僵住屋里面均有办公区，计算机中心，档案馆，一楼两边为计算中心和档案馆，机房地板为油布，内设20几台电脑，电话线与电力线均无安装SPD，电力线有空气开关，机房无屏蔽措施，档案馆无消防工具，人流量少，内部有电力线和电话线同样没有安装SPD，二、三楼为办公区相对人员较多，办公所配有的电脑没有特定的防护措施，行政楼入口处与草坪下雨天无久停留人员，前面种种不足情况已经严重威胁到工作人员的安全和财产损失，为了用最少资金达到最好的效果将雷击损失降到合理范围因此做了此次风险评估，县行政楼是县政府综合管理全县经济建设和社会发展事业，主管县政府日常政务工作，实施行政指挥、监督，公共服务和综合协调的职能部门，是整个县政治、经济、社会发展的中心。因此建立政府楼，并对它进行雷击防护是很有必要的。

3.2建筑物内部装置

建筑物防雷装置情况：

3.2.1防直击雷装置

建筑物设计有完善的防直击雷装置，并利用建筑物框架结构柱筋做引下线，接地电阻小于等于4.0Ω

3.2.2电源线路布置

供电系统为：TN-C-S，电源线缆设计由300米外变压器架空接入楼内。

3.2.3信号线路布置

信号线设计200米埋地进入，所有进入机房的信号线在入户处没有安装信号避雷器。

4结论

篇8

【 关键词 】 烟草；工业控制系统；信息安全；风险评估；脆弱性测试

1 引言

随着工业化和信息化进程的加快，越来越多的计算机技术以及网络通信技术应用到烟草自动化生产过程中。在这些技术提高了企业管理水平和生产效率的同时，也带来了病毒和恶意代码、信息泄露和篡改等网络信息安全问题。当前，烟草企业所建成的综合自动化系统基本可以分为三层结构：上层为企业资源计划（ERP）系统；中间层为制造执行系统（MES）；底层为工业控制系统。对于以ERP为核心的企业管理系统，信息安全防护相对已经成熟，烟草企业普遍采用了防火墙、网闸、防病毒、防入侵等防护措施。而随着MES技术在烟草企业的广泛实施，越来越多企业开始考虑在底层的工业控制系统进行信息安全防护工作。近年来，全球工业控制系统经历了“震网”、“Duqu”、“火焰”等病毒的攻击，这些安全事件表明，一直以来被认为相对封闭、专业和安全的工业控制系统已经成为了黑客或不法组织的攻击目标。对于烟草企业的工业控制系统，同样也面临着信息安全问题。

与传统IT系统一样，在工业控制系统的信息安全问题研究中，风险评估是其重要基础。在工业控制系统信息安全风险评估方面，国外起步较早，已经建立了ISA/IEC 62443、NIST800-82等一系列国际标准和指南；而国内也相继了推荐性标准GB/T 26333-2010：工业控制网络安全风险评估规范和GB/T30976.1～.2-2014：工业控制系统信息安全（2个部分）等。当前，相关学者也在这方面进行了一系列研究，但国内外还没有一套公认的针对工业控制系统信息安全风险评估方法，而且在烟草行业的应用实例也很少。

本文基于相关标准，以制丝线控制系统为对象进行了信息安全风险评估方法研究，并实际应用在某卷烟厂制丝集控系统中，为后续的安全防护工作打下了基础，也为烟草工业控制系统风险评估工作提供了借鉴。

2 烟草工业控制系统

烟草工业企业生产网中的工控系统大致分成四种类型：制丝集控、卷包数采、高架物流、动力能源，这四个流程，虽工艺不同，相对独立，但它们的基本原理大体一致，采用的工具和方法大致相同。制丝集控系统在行业内是一种典型的工业控制系统，它的信息安全情况在一定程度上体现了行业内工业控制系统的信息安全状态。

制丝集控系统主要分为三层：设备控制层、集中监控层和生产管理层。设备控制层有工业以太网连接控制主站以及现场I/O站。集中监控层网络采用光纤环形拓扑结构，将工艺控制段的可编程控制器（PLC）以及其他相关设备控制段的PLC接入主干网络中，其中工艺控制段包括叶片处理段、叶丝处理段、梗处理段、掺配加香段等，然后与监控计算器、I/O服务器、工程师站和实时数据库服务器等共同组成了集中监控层。生产管理层网络连接了生产现场的交换机，与管理计算机、管理服务器等共同组成了生产管理层。

制丝车间的生产采用两班倒的方式运行，对生产运行的实时性、稳定性要求非常严格；如直接针对实际系统进行在线的扫描等风险评估工作，会对制丝生产造成一定的影响，存在影响生产的风险。而以模拟仿真平台为基础的系统脆弱性验证和自主可控的测评是当前制丝线控制系统信息安全评估的一种必然趋势。

3 工控系统风险评估方法

在风险评估方法中，主要包括了资产识别、威胁评估、脆弱性评估、综合评估四个部分，其中脆弱性测试主要以模拟仿真平台为基础进行自主可控的测评。

风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估模型主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的后果。

3.1 资产识别

首先进行的是对实际生产环境中的信息资产进行识别，主要包括服务器、工作站、下位机、工业交换设备、工控系统软件和工业协议的基本信息。其中，对于服务器和工作站，详细调查其操作系统以及所运行的工控软件；对于下位机，查明PLC主站和从站的详细型号；对于交换设备，仔细查看其配置以及连接情况；对于工控系统软件，详细调查其品牌以及实际安装位置；对于工业协议，则详细列举其通信两端的对象。

3.2 威胁评估

威胁评估的第一步是进行威胁识别，主要的任务是是识别可能的威胁主体（威胁源）、威胁途径和威胁方式。

威胁主体：分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。

威胁途径：分为间接接触和直接接触，间接接触主要有网络访问、指令下置等形式；直接接触指威胁主体可以直接物理接触到信息资产。

威胁方式：主要有传播计算机病毒、异常数据、扫描监听、网络攻击（后门、漏洞、口令、拒绝服务等）、越权或滥用、行为抵赖、滥用网络资源、人为灾害（水、火等）、人为基础设施故障（电力、网络等）、窃取、破坏硬件、软件和数据等。

威胁识别工作完成之后，对资产所对应的威胁进行评估，将威胁的权值分为1-5 五个级别，等级越高威胁发生的可能性越大。威胁的权值主要是根据多年的经验积累或类似行业客户的历史数据来确定。等级5标识为很高，表示该威胁出现的频率很高（或≥1 次/周），或在大多数情况下几乎不可避免，或可以证实经常发生过。等级1标识为很低，表示该威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。

3.3 脆弱性测试

脆弱性评估需从管理和技术两方面脆弱性来进行。管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查，发现了其中的管理漏洞和不足。技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次，主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行评估，以保证脆弱性评估的全面性和有效性。

传统IT 系统的技术脆弱性评测可以直接并入到生产系统中进行扫描检测，同时通过交换机的监听口采集数据，进行分析。而对工控系统的脆弱性验证和测评服务，则以实际车间工控系统为蓝本，搭建一套模拟工控系统，模拟系统采用与真实系统相同或者相近的配置，最大程序反映实际工控系统的真实情况。评估出的模拟系统工控系统安全情况，经过分析与演算，可以得出真实工控系统安全现状。

对于工控系统主要采用的技术性测试方法。

（1）模拟和数字控制逻辑测试方法。该方法针对模拟系统中的控制器系统进行测试。采用如图1的拓扑形式，通过组态配置PLC输出方波数字信号和阶梯模拟信号，通过监测控制信号的逻辑以判别控制系统的工作状态。

（2）抓包测试方法。该方法可以对模拟系统中的各种设备进行测试。采用图2的拓扑形式，通过抓包方式，获取车间现场运行的正常网络数据包；将该数据进行模糊算法变异，产生新的测试用例，将新数据发送到测试设备上进行漏洞挖掘。该测试方法既不影响工作现场，又使得模拟系统的测试数据流与工作现场相同。

（3）桥接测试方法。该方法针对模拟系统中的工业通信协议进行测试。测试平台接收到正常的数据包后，对该数据包进行模糊算法变异，按照特定的协议格式，由测试平台向被测设备发送修改后的数据，进行漏洞挖掘测试。采用的拓扑形式就是图2中去除了虚线框中的内容后的形式。

（4）点对点测试方法。该方法针对通信协议进行测试。采用与图1相同拓扑形式，按照所面对的协议的格式，由测试平台向被测设备发送测试用例，进行健壮性的测试。

（5）系统测试方法。该方法对装有工控软件的被测设备进行测试。该方法采用如图3的拓扑形式，综合了前几种方式，在系统的多个控制点同时进行，模糊测试数据在不同控制点之间同时传输，对整个工业控制环境进行系统级的漏洞挖掘。

3.4 综合分析

在完成资产、威胁和脆弱性的评估后，进入安全风险的评估阶段。在这个过程中，得到综合风险评估分析结果和建议。根据已得到的资产、威胁和脆弱性分析结果，可以得到风险以及相应的等级，等级越高，风险越高。

4 应用实例

本文以某卷烟厂制丝车间的制丝集控系统为例进行风险评估研究。

4.1 资产识别

首先对该制丝集控系统进行了资产的识别，得到的各类资产的基本信息。资产的简单概述：服务器包括GR 服务器、监控实时服务器、AOS 服务器、文件服务器、管理应用服务器、管理数据库服务器和管理实时服务器等；工作站包括工程师站、监控计算机和管理计算机；下位机包括西门子PLC S7-300、PLC S7-400 和ET200S；网络交换设备主要以西门子交换机和思科交换机为主；工控系统软件主要有Wonderware 系列软件、西门子STEP7、KEPServerEnterprise等。

4.2 威胁评估

依据威胁主体、威胁途径和威胁方式对制丝集控系统进行了威胁的识别，随后对卷烟厂制丝集控系统的威胁分析表示，面临的威胁来自于人员威胁和环境威胁，威胁方式主要有计算机病毒、入侵等。其中等级较高的威胁（等级≥3）其主体主要是互联网/办公网以及内部办公人员威胁。

4.3 脆弱性评估

搭建的模拟系统与真实网络层次结构相同，拓扑图如图4所示。

基于工控模拟环境，对设备控制层、工控协议、工控软件、集中监控设备进行评估。

对设备控制层的控制设备通讯流程分为五条路径进行归类分析，即图4中的路径1到5，通信协议均为西门子S7协议。一方面采用模拟和数字控制逻辑测试方法以及抓包测试方法对控制器进行测试，另一方面采用桥接测试方法对S7协议进行漏洞挖掘，结果表明结果未发现重大设备硬

件漏洞。

除了S7 协议外，图4中所标的剩余通信路径中，路径6为OPC协议，路径7为ProfiNet协议，路径8为ProfiBus协议，路径9为Modbus TCP协议。对于这些工控协议，采用点对点测试方法进行健壮性测试，结果发现了协议采用明文传输、未对OPC端口进行安全防范等问题。

采用系统测试方法，对装有工控软件的以及集中设备进行测试，发现了工控软件未对MAC 地址加固，无法防止中间人攻击，账号密码不更新，未进行认证等数据校验诸多问题。

然后对制丝集控系统进行的脆弱性分析发现了两个方面的问题非常值得重视。一是工控层工作站可通过服务器连通Internet，未进行任何隔离防范，有可能带来入侵或病毒威胁；攻击者可直接通过工作站攻击内网的所有服务器，这带来的风险极大。二是工控协议存在一定威胁，后期需要采取防护措施。

4.4 综合评估

此次对制丝集控系统的分析中，发现了一个高等级的风险：网络中存在可以连接Internet的服务器，未对该服务器做安全防护。还有多个中等级的风险，包括网络分域分区的策略未细化、关键网络设备和业务服务器安全配置不足、设备存在紧急风险漏洞、工控协议存在安全隐患、PLC 应用固件缺乏较完善的认证校验机制等。

4.5 防护建议

根据制丝集控系统所发现的风险和不足，可以采取几项防护措施：对于可连到Internet的服务器，采用如堡垒机模式等安全防护措施，加强分区分域管理；对主机设备和网络交换机加强安全策略，提高安全等级；对存在紧急风险漏洞的设备，及时打补丁；对于工控协议存在的安全隐患，控制器缺乏验证校验机制等风险，采用工业安全防护设备对其检测审计与防护阻断。

5 结束语

随着信息化的不断加强，烟草企业对于工业控制系统信息安全越来越重视，而风险评估可以说是信息安全工作的重要基础。本文提出基于模拟系统和脆弱性测试的风险评估方法，采用资产识别、威胁评估、以模拟系统评测为主的脆弱性评估、综合评估等步骤，对烟草制丝线控制系统进行信息安全风险评估。而在脆弱性测试中采用了模拟和数字控制逻辑测试、抓包测试、系统测试等多种方法，对工业控制系统技术上的脆弱性进行测试。这些步骤和方法在某卷烟厂的制丝集控系统应用中取得了良好的成果：发现了工控系统中存在的一些信息安全问题及隐患，并以此设计了工业安全防护方案，将工控网络风险控制到可接受范围内。

本次所做的烟草工业控制系统信息安全风险评估工作，可以为同类的烟草企业工控信息安全防护建设提供一定的借鉴。但同时，也要看到，本次的风险评估工作中对于风险等内容的定级对于经验的依赖程度较高，不易判断，这也是以后研究的方向之一。

参考文献

[1] 李燕翔，胡明淮.烟草制造企业工业控制网络安全浅析[J].中国科技博览，2011，（34）： 531-2.

[2] 李鸿培， 忽朝俭，王晓鹏. 2014工业控制系统的安全研究与实践[J]. 计算机安全，2014，（05）： 36-59，62.

[3] IEC 62443―2011， Industrial control network &system security standardization[S].

[4] SP 800-82―2008， Guide to industrial control systems（ICS） security[S].

[5] GB/T 26333―2011， 工业控制网络安全风险评估规范[S].

[6] GB/T 30976.1―2011， 工业控制系统信息安全 第1部分：评估规范[S].

[7] GB/T 30976.2―2011， 工业控制系统信息安全 第2部分：验收规范[S].

[8] 卢慧康， 陈冬青， 彭勇，王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表， 2014 （10）： 21-5.

[9] 彭杰，刘力.工业控制系统信息安全性分析[J].自动化仪表， 2012， 33（12）： 36-9.

作者简介：

李威（1984-），男，河南焦作人，西安交通大学，硕士，浙江中烟工业有限责任公司，工程师；主要研究方向和关注领域：信息安全与网络管理。

汤尧平（1974-），男，浙江诸暨人，浙江中烟工业有限责任公司，工程师；主要研究方向和关注领域：烟草生产工业控制。

篇9

随着油田信息化高速发展，大批业务系统集中部署在数据中心，信息资产呈现高度集中趋势，给企业信息安全保障工作提出了新的要求。信息安全态势日益严峻，黑客攻击手段不断翻新，利用“火焰”病毒、“红色十月”病毒等实施的高级可持续攻击活动频现，对国家和企业的数据安全造成严重威胁。因此，及时掌握信息系统保护状况，持续完善系统安全防护体系，对于保证信息资产的安全性和油田业务系统的连续性具有重要的现实意义。在信息安全领域中，安全评估是及时掌握信息系统安全状况的有效手段。而其中的信息安全风险评估是是一种通用方法，是风险管理和控制的核心组成部分，是建立信息系统安全体系的基础和前提，也是信息系统等级测评的有效补充和完善。因此，研究建立具有油田公司特色的信息安全风险评估模型和方法，可以为企业科学高效地开展信息安全风险评估工作提供方法指导与技术保障，从而提高油田勘探开发、油气生产和经营管理等数据资产的安全性，为油田公司信息业务支撑平台的正常平稳运行保驾护航。

1风险评估研究现状

从当前的研究现状来看，安全风险评估领域的相关研究成果主要集中在标准制定上。不同的安全评估标准包含不同的评估方法。迄今为止，业界比较认可的风险评估相关标准主要有国际标准ISO/IECTR13335IT安全管理、美国NIST标准SP800－30IT系统风险管理指南(2012年做了最新修订)、澳大利亚－新西兰标准风险管理AS/NZS4360等。我国也根据国际上这些标准制定了我国的风险评估标准GB/T20984－2007信息安全技术风险评估规范以及GB/Z24364－2009信息安全技术信息安全风险管理指南。

1．1IT安全管理ISO/IECTR13335

IT安全管理ISO/IECTR13335系列标准是最早的清晰描述安全风险评估理论及方法的国际标准，其主要目的是给出如何有效地实施IT安全管理的建议和指导，是当前安全风险评估与风险管理方面最权威的标准之一。ISO/IECTR13335(以下简称为IS013335)包括了五个部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介绍了IT安全管理中的安全要素，重点描述了:资产、威胁、脆弱性、影响、风险、防护措施、残留风险等与安全风险评估相关的要素。它强调风险分析和风险管理是IT安全管理过程的一部分，也是必不可少的一个关键过程。图1表示资产怎样潜在经受若干威胁。［2］如图1所示，某些安全防护措施在降低与多种威胁和/或多种脆弱性有关的风险方面可以是有效的。有时，需要几种安全防护措施使残留风险降低到可接受的级别。某些情况中，当认为风险是可接受时，即使存在威胁也不实施安全防护措施。在其他一些情况下，要是没有已知的威胁利用脆弱性，可以存在这种脆弱性。图2表示与风险管理有关的安全要素之间的关系。为清晰起见，仅表示了主要的关系。任何二个方块之间箭头上的标记描述了这些方块之间的关系。第二部分管理和规划IT安全(1997)主要提出了与IT安全管理和规划有关的各种活动，以及组织中有关的角色和职责。［2］第三部分IT安全管理技术(1998)本部分介绍并推荐用于成功实施IT安全管理的技术，重点介绍了风险分析的四种方法:基线方法、非正式方法、详细风险分析和综合方法。［2］第四部分安全防护措施的选择(2000)为在考虑商业需求和安全要素的情况下选择安全防护措施的指南。它描述了根据安全风险和要素及部门的典型环境，选择安全防护措施的过程，并表明如何获得合适的保护，如何能被最基础的安全应用支持。［2］第五部分网络的安全防护措施(2001)为关于网络和通信方面的IT安全管理指南，这一指南提供了根据建立网络安全需求来考虑的通信相关因素的识别和分析。［2］

1．2风险评估实施指南

SP800－30SP800－30(风险评估实施指南，2012年9月)是由NIST制定的与风险评估相关的标准之一，它对安全风险评估的流程及方法进行了详细的描述，提供了一套与三层风险管理框架结合的风险评估办法，用于帮助企业更好地评价、管理与IT相关的业务面临的风险。它包括对IT系统中风险评估模型的定义和实践指南，提供用于选择合适安全控制措施的信息。SP800－30:2012中的风险要素包括威胁、脆弱性、影响、可能性和先决条件。(1)威胁分析威胁源从利用脆弱性的动机和方法、意外利用脆弱性的位置和方法等方面进行分析。(2)脆弱性和先决条件考虑脆弱性时应注意脆弱性不仅仅存在于信息系统中，也可能存在于组织管理架构，可能存在于外部关系、任务/业务过程、企业/信息安全体系架构中。在分析影响或后果时，应描述威胁场景，即威胁源引起安全事件导致或带来的损害。先决条件是组织、任务/业务过程、企业体系架构、信息系统或运行环境内存在的状况，威胁事件一旦发起，这种状况会影响威胁事件导致负面影响的可能性。(3)可能性风险可能性是威胁事件发起可能性评价与威胁事件导致负面影响可能性评价的组合。(4)影响分析应明确定义如何建立优先级和价值，指导识别高价值资产和给单位利益相关者带来的潜在负面影响。(5)风险模型标准给出了风险评估各要素之间的关系的通用模型。［3］

1．3风险评估规范

GB/T20984－2007GB/T20984－2007是我国的第一个重要的风险评估标准。该标准定义了风险评估要素关系模型，并给出了风险分析过程，具体如图3所示：风险分析中涉及资产、威胁、脆弱性三个基本要素。首先识别出威胁、脆弱性和资产，然后根据威胁出现的频率和脆弱性的严重程度分析得到安全事件发生的可能性，再根据脆弱性严重程度和资产价值分析得到安全事件造成的损失，最后根据安全事件发生的可能性及造成的损失分析确定风险值。

2信息安全风险评估模型构建

结合某油田企业实际情况，在参考上述标准及风险分析方法风险分析的主要内容为:a)识别资产并对资产的价值进行赋值;b)识别威胁，并根据威胁出现的频率给威胁赋值;c)识别脆弱性，并将具体资产的脆弱性赋为2个值，一个是脆弱性严重程度，一个是脆弱性暴露程度;d)分析脆弱性被威胁利用可能导致的安全事件;e)分析确定出安全事件发生后带来的影响不能被单位所接受的那些安全事件;可以接受的安全事件对应的风险等级确定为低;f)针对不可接受安全事件，分析相应的威胁和脆弱性，并根据威胁以及脆弱性暴露程度，以及相关安全预防措施的效果计算安全事件发生的可能性;g)针对不可接受安全事件，根据相应脆弱性严重程度及资产的价值，以及相应预防措施的有效性计算安全事件造成的损失：的基础上，总结形成油田企业风险要素关系模型如图4所示，风险计算模型如图5所示:h)根据不可接受安全事件发生的可能性以及安全事件发生后的损失，计算安全事件发生会对企业造成的影响，即风险值，并确定风险等级。

3模型创新点及优势分析

信息安全风险评估方式和方法很多，如何建立适合油田企业当前安全需求的风险评估模型、评估要素赋值方法以及风险计算方法是本文要解决的技术难点和创新点。1)对于资产的赋值，从资产所支撑的业务出发，结合信息系统安全保护等级及其构成情况，提出了根据业务数据重要性等级和业务服务重要性等级确定资产的重要性，使得风险评估与业务及等级保护结合更加紧密。2)对于脆弱性赋值，将脆弱性细分为暴露程度及严重程度两个权重。其中暴露程度与威胁赋值确定安全事件发生可能性，严重程度与资产价值确定安全事件造成的影响。3)将现有安全措施进一步细化，分解为预防措施和恢复措施，并研究得到预防措施有效性会影响到安全事件发生可能性，而恢复措施有效性会影响到安全事件造成的损失。4)结合被评估单位的实际业务需求，提出了仅针对被评估单位的不可接受安全事件进行数值计算，减少了计算工作量，有助于提升风险评估工作效率。5)根据油田企业实际需求，将安全事件发生可能性和安全事件造成的损失赋予不同的权重，从而使得风险计算结果中安全事件损失所占比重更大，更重视后果;并通过实例验证等方式归纳总结出二者权重比例分配。

险评估模型应用分析

4．1资产识别

资产识别主要通过现场访谈的方式了解风险评估范围涉及到的数据、软件、硬件、服务、人员和其他六类资产相关的业务处理的数据及提供的服务和支撑业务处理的硬件设备和软件情况。4．1．1资产重要性分析资产重要性分析以信息系统的业务为出发点，通过对业务处理的数据以及提供的服务重要性赋值的方法确定信息系统资产价值。业务处理的数据以及业务提供的服务的重要性分析及赋值方法具体如下。4．1．1．1业务数据重要性分析业务数据资产的重要性主要根据业务数据的安全属性(即三性:保密性、完整性和可用性)被破坏对本单位造成的损失程度确定。油田企业各业务系统所处理的数据信息根据数据安全属性被破坏后可能对油田企业造成的损失严重程度进行赋值。一般赋值为1—5。4．1．1．2业务服务重要性分析服务资产的重要性根据其完整性和可用性被破坏对本单位造成的损失程度确定。通过与相关人员进行访谈，调查了解每种业务提供的服务和支撑业务处理的硬件设备和软件情况，根据服务安全属性被破坏后可能对油田企业造成损失的严重程度，为各种业务服务重要性赋值。一般赋值为1—5。4．1．2资产赋值通过分析可以看出，六类资产中数据资产和业务服务资产的重要性是决定其他资产重要性的关键要素，因此，六类资产的赋值原则如下:1)数据资产重要性根据业务数据重要性赋值结果确定。2)服务资产重要性根据业务服务重要性赋值结果确定。3)软件和硬件资产的重要性由其所处理的各类数据或所支撑的各种业务服务的重要性赋值结果中的较高者决定。4)人员的重要性根据其在信息系统中所承担角色的可信度、能力等被破坏对本单位造成的损失程度确定。5)其他资产重要性根据其对油田企业的影响程度确定。

4．2威胁识别

4．2．1威胁分类对威胁进行分类的方式有多种，针对环境因素和人为因素两类威胁来源，可以根据其表现形式将威胁进行分类［4］。本论文采用GB/Z24364－2009信息安全技术信息安全风险管理指南中基于表现形式的威胁分类方法。4．2．2威胁赋值根据威胁出现的频率确定威胁赋值，威胁赋值一般为1～5。对威胁出现频率的判断根据风险评估常规做法获得，比如安全事件报告、IDS、IPS报告以及其他机构的威胁频率报告等。

4．3脆弱性识别

4．2．1脆弱性分类脆弱性识别所采用的方法主要有:问卷调查、配置核查、文档查阅、漏洞扫描、渗透性测试等。油田企业脆弱性识别依据包括:GB/T22239信息安全技术信息系统安全等级保护基本要求的三级要求以及石油行业相关要求。4．2．2脆弱性赋值原则脆弱性赋值时分为脆弱性暴露程度和脆弱性严重程度。暴露程度根据其被利用的技术实现难易程度、流行程度进行赋值。对脆弱性的暴露程度给出如下5个等级的赋值原则:脆弱性的严重程度根据脆弱性被利用可能对资产造成的损害程度进行赋值。脆弱性的严重程度分为5个等级，赋值为1～5。

4．4现有安全措施识别

4．4．1现有安全措施识别方法信息系统环境中的现有安全措施根据其所起的安全作用分为预防措施和恢复措施。预防措施用于预防安全事件的发生(例如入侵检测、网络访问控制、网络防病毒等)，可以降低安全事件发生的概率。因此针对每一个安全事件，分析现有预防措施是否能够降低事件发生的概率，其降低发生概率的效果有多大。恢复措施可以在安全事件发生之后帮助尽快恢复系统正常运行，可能降低安全事件的损失(例如应急计划、设备冗余、数据备份等)，因此针对每一个安全事件，分析现有恢复措施是否能够降低事件损失，其降低事件损失的效果有多大。4．4．2现有安全预防措施有效性赋值原则通过识别信息系统现有安全措施及其有效性验证，针对每一个安全事件，分析现有预防措施中可能降低事件发生概率的情况，并对预防措施的有效性分别给出赋值结果。评估者通过分析安全预防措施的效果，对预防措施赋予有效性因子，有效性因子可以赋值为0．1～1。4．4．3现有安全恢复措施有效性赋值原则通过识别信息系统现有安全措施及其有效性验证，针对每一个安全事件，分析现有恢复性安全措施中可能降低事件损失的情况。评估者通过分析安全恢复措施的有效性作用，对安全恢复措施赋予有效性因子，有效性因子可以赋值为0．1～1。

4．5安全事件分析

4．5．1安全事件关联综合识别出的脆弱性及现有安全措施识别出的缺陷，结合油田企业信息系统面临的各种威胁，将各资产的脆弱性与威胁相对应形成安全事件。分析这些安全事件一旦发生会对国家、单位、部门及评估对象自身造成的影响，分析发生这些安全事件可能造成影响的严重程度，从中找出部门(或单位)对发生安全事件造成影响无法容忍的那些安全事件，即确定不可接受安全事件。4．5．2安全事件发生可能性分析(1)计算威胁利用脆弱性的可能性针对4．5．1中分析得出的不可接受安全事件，综合威胁赋值结果及脆弱性的暴露程度赋值结果，计算威胁利用脆弱性导致不可接受安全事件的可能性，采用乘积形式表明其关系，即安全事件发生的可能性的初始结果计算公式如下:L1(T，V)1=T×V1其中，L1(T，V1)代表不可接受事件发生的可能性的初始结果;T代表威胁赋值结果;V1代表脆弱性的暴露程度赋值结果。(2)分析现有预防措施的效果通过对企业信息系统的现有安全措施的识别和有效性验证，针对4．5．1分析得到的不可接受安全事件，分析描述现有预防措施中可能降低事件发生概率的情况，并给出有效性因子赋值结果。(3)计算安全事件发生的可能性考虑到现有安全措施可能降低安全事件发生的可能性，因此安全事件发生的可能性的最终计算公式为:L2(T，V)1=L1(T，V1)×P1其中，L2(T，V1)为最终安全事件发生的可能性结果;L1(T，V1)为安全事件发生的可能性初始结果;P1代表安全预防措施有效性赋值结果。然后，形成调节后的安全事件可能性列表。4．5．3安全事件影响分析(1)计算脆弱性导致资产的损失将各资产的脆弱性(管理类脆弱性除外，管理类脆弱性采用定性方式进行主观分析)与威胁相对应形成安全事件(4．5．1不可接受安全事件列表)，根据资产的重要性及脆弱性的严重程度，计算脆弱性可能导致资产的损失，即:F1(A，V2)=A×V2其中，F1(A，V2)代表安全事件可能导致资产的损失的初始计算结果;A代表资产价值，即资产赋值结果;V2代表脆弱性严重程度，即脆弱性严重程度赋值结果。(2)分析现有安全恢复措施的有效性通过对油田企业信息系统的现有安全措施的识别和有效性验证，针对4．5．1分析得到的不可接受安全事件，分析描述现有恢复措施中可能降低事件发生的概率的情况，并根据表9的赋值原则分别给出安全恢复措施的有效性赋值结果。(3)计算安全事件的损失考虑到恢复措施可能降低安全事件带来的损失，因此安全事件损失可以根据安全恢复措施的有效性予以调整。采用乘积形式表明关系，即:F2(A，V2)=F1(A，V2)×P2其中，F2(A，V2)为安全事件可能造成的损失的最终计算结果;F1(A，V2)为安全事件可能造成损失的初始计算结果;P2代表安全恢复措施有效性赋值结果。然后，形成调节后的安全事件损失计算结果列表。

4．6综合风险计算及分析

4．6．1计算风险值结合油田企业关注低可能性重性的安全事件的需求，参照美国关键信息基础设施风险评估计算方法，采用安全事件发生的可能性以及安全事件可能带来的损失的加权之和方式计算风险值。这种方法更加重视安全事件带来的损失，使得损失在对风险值的贡献中权重更大。在使用油田企业以往测评结果试用的基础上，将安全事件可能带来的损失的权重定为80%。具体计算公式为:R(L2，F)2=L2(T，V)1×20%+F2(A，V)2×80%其中，R(L2，F2)代表风险值，L2(T，V1)为安全事件发生可能性的最终结果，F2(A，V2)为安全事件可能造成的损失的最终计算结果。4．6．2风险结果判断计算出风险值后，应对风险值进行分级处理，将风险级别划分为五级。4．6．3综合分析根据风险计算结果，从多个不同方面综合汇总分析被评估信息系统存在的安全风险情况。例如可从以下几方面汇总分析:1)风险较高的资产统计:汇总存在多个脆弱性可能导致多个中等以上风险等级安全事件发生的资产，从资产角度综合分析被评估信息系统存在的安全风险情况;2)引起较高风险的脆弱性统计:汇总会给被评估信息系统带来中等以上安全风险的脆弱性及其影响的资产及严重程度，分析可能带来的危害后果;3)出现频率较高的脆弱性统计:汇总中等以上脆弱性在资产中的出现频率，从而反映脆弱性在被评估系统中的普遍程度，出现频率越高，整改获取的收益越好。4)按层面划分的风险点分布情况汇总:汇总网络、主机、应用、数据、物理、管理等各层面存在的脆弱性及其严重程度，对比分析风险在不同层面的分布情况。

5结语

篇10

关键词：信息安全 风险评估 方法研究

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2015）12-0000-00

信息系统的风险评估是保证信息系统安全的重要措施，通过客观分析可以发现，信息系统的风险评估方法虽然多种多样，各有所长。但是却过分依赖于现实经验，经验固然是评估风险的重要内容，然而过度依赖则会使研究人员在评估过程中无法做到完全客观，从而降低了风险评估结果的科学性。

1信息系统安全风险概述

众所周知，信息系统主要由信息技术系统、系统运行环境以及信息资源三部分组成，因此，着三项也是信息系统安全风险的重点评估对象。信息技术系统包括计算机的硬件、软件以及其他固件，主要负责信息采集、处理等。系统运行环境包括信息系统运行中的内部环境和外部环境，在对系统运行环境进行安全风险评估时，需要充分考虑到信息系统自身安全配置与管理运行等综合因素。信息是进行信息系统安全评估的主要保护对象，一般而言，攻击的最终目的就是为了破坏或者获取信息，主要包括信息数据与相关代码[1]。

2信息安全风险评估研究现状

随着信息系统的发展，其内部结构也越来越复杂，因此，信息系统的安全风险已经不仅仅是由外部攻击而引起的，也很有可能是来自内部破坏或者信息系统自身的安全漏洞。到目前为止，国外关于信息安全风险评估已经初步形成了较为全面系统的研究方式，包括基础设施、网络环境、操作系统、安全数据库等多个方面。相对而言，我国信息安全技术的研究起步较晚，目前主要存在的问题包括风险标准较为落后、缺乏适合的系统理论与先进的研究设施、风险评估模型不成熟以及缺乏专业人才。信息系统的安全风险评估已经成为信息技术的重点研究项目，这项研究对我国社会发展与经济建设都有着至关重要的影响，对此，我国应该加强基础建设和资金投入，引进国外较为先进的指导理论与评估软件，并尽快培养出既有专业技术和管理能力的人才，以保证信息系统的安全运行[2]。

3信息安全风险评估量化方法研究

3.1安全风险的定量分析

一般而言，风险事件的发生是主要还是由于信息系统自身存在漏洞或者管理弱点，在信息系统存在问题时，如果遇到外在的威胁就可能出现风险事件。而其主要因素可以概括为风险事件发生的可能性与威胁行为发生的可能性两个层次。

信息系统受到攻击的动机一般分为主动攻击和意外事件两类，其中，多数风险事件的发生都是由于系统受到主动攻击。因此，在进行风险评估时要充分考虑到对方的破坏动机与破坏能力，以此计算风险发生的可能性。在对安全风险进行定量分析时，要严格按照分析程序，步骤包括分析风险影响、选择影响评估项、确定各评估项的权重以及计算风险影响值。

3.2模糊综合评判法的风险量化评估

模糊综合评判法是以模糊数学为基础，根据其中的隶属理论从而将定性评价转化为定量评价，概括而言，就是指利用模糊数学的优势对受到多重因素影响或制约的事物做出一个客观整体的评价。运用模糊综合评价法进行信息系统安全评估，具有结果清晰、系统性强的特点，适合解决非确定性问题。模糊综合评价法中主要涉及的步骤为构建模糊综合评价指标、构建完成相关的权重向量、构建评价矩阵以及将评价矩阵与权重进行合成。在对评价因素的特征进行系统分析之后，以各评价因素的特征为根据，确定评价值与评价因素之间的隶属度函数，对于确定两者之间的隶属度函数方法并没有严格的规定，通常研究人员会采用F统计方法，也可以与经验丰富的专业学者进行商讨，从而借助专业学者的现实经验进行评价，做出最后的评价结果。但是客观而言，过度依赖现实经验虽然可以减少研究步骤，降低工作难度，但是最终的结果可能会失去客观性与科学性，因此，对于关系社会发展与经济的信息系统，最好根据具体情况，对评价因素进行系统性的筛选，科学客观的确定评价值与评价因素值之间的隶属度函数关系，并且要合理的确定评价因素的权重[3]。

3.3故障树分析法的风险量化评估

故障树分析法是安全系统工程发展的重要标志，它可以运用逻辑方法对潜在的风险进行直观的分析，分析结果具有很强的逻辑性和系统性，可以对系统安全问题作出准确的预测，因此，故障树分析法既适用于定性分析也适用于定量分析。顾名思义，故障树分析法就是一种倒立树状逻辑因果的关系图，它有自身独特的表示方法和语言形式，可以清晰明了的描述出系统中各个事件之间的因果关系。通过研究故障树图可以完整的发现各级之间的关联作用，也正是因此，故障树图分析法的应用可以预知故障事件的发生。故障树逻辑图的构成主要依赖于逻辑门，因此它既可以分析由单一构件而引起的系统故障，也可以分析由多个构件在不同模式下而产生的系统故障问题。运用故障树分析法进行的风险评估结果具有较高的安全性与可靠性，而且通过研究，故障树分析法还在不断的完善，其应用范围也将越来越广泛，分析结果也会更加具有说服力[4]。

4结语

随着社会对信息系统的依赖性逐渐增大，信息系统的安全问题已经直接影响到社会经济的发展趋势，但是信息系统复杂且庞大，对专业性和严谨性都有较高的要求。因此，只有防患于未然才是最好的解决办法，在问题发生之前，通过客观系统的分析，对信息系统做出清晰准确的安全评估，并根据评估结果制定有效的防范于解决措施，以免问题扩大，造成更严重的影响。

参考文献

[1]黄芳芳.信息安全风险评估量化模型的研究与应用[D].湖北工业大学，2010.

[2]宇.基于层次分析法的信息安全风险评估量化方法研究[D].江西财经大学，2012.