安全風險評估措施范文
時間:2023-06-12 16:38:14
導語:如何才能寫好一篇安全風險評估措施,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
中圖分類號:TP309 文獻標識碼:A 文章編號:1671-7597(2013)22-0130-01
信息的保密性、完整性以及可用性等重要屬性的保持是信息安全的重要內容。20世紀末,信息保障概念被引入信息安全的觀念中,信息安全的觀念進入全面保障階段。當前的信息安全保障已經不再是單純的保障硬件安全、計算機安全、網絡安全等局部的安全,而是要保障全局的安全性。這要求我們以科學的思想為指導,從全局出發對系統的安全進行把握,實現信息的“運行安全”。
1 軍事信息安全風險評估的方法
通常情況下,我們可以將信息系統的安全風險評估分為兩大類,即定性方法與定量方法。定性方法是指評估者根據自身的知識和經驗進行演繹推理,對信息系統的風險性做出評估,定性方法計算簡單,并且有可能幫助相關工作人員挖掘深層次的思想。這種方法雖然簡單,但是計算方式過于粗糙,可能會造成獲得的結果不夠準確。而定量方法則是對構成風險的要素與潛在損失進行賦值,利用公式對數據進行推導和計算,評估的結果通常是數據的形式進行表達。這種方法雖然更加客觀、直觀,但在定風量的過程中可能會造成一些數據的喪失或曲解。總之,兩種方法各有利弊,我們在實踐中應當將兩者有機結合進行評估。
最典型的綜合分析方法是“Analytic Hierarchy Process”簡稱“AHP”,我們稱其為層次分析法,它最早是二十世紀七十年代由美國專家提出的,其核心是將決策者的經驗等因素進行量化處理,使定性分析和定量計算達到有機結合。這種方法能夠為決策分析問題解決提供必要的依據,能夠為評估底層元素在總目標中貢獻提供可靠依據,對一些無法完全定量分析的問題尤為適用。
但是在許多情況下,系統各個層次的內部元素之間存在著依存關系,底層元素能夠對高層元素產生支配的作用,我們稱之為反饋。這種情況下,系統呈現出網絡結構,AHP對于這種情況顯得有些無力解決。在這種情況下,我們可以采用“Analytic Network Process”(簡稱ANP,網絡分析法)進行信息安全風險評估。這種方法能夠克服AHP存在的不足,利用評估過程中各個指標因素的依存關系和各個層次間的反饋,使之成為更加完備和科學的方法。信息系統存在的危險與系統本身的脆弱性之間也存在著網絡狀的關系,如圖1、圖2,因此在對信息系統安全進行安全評估的過程中,網絡分析法是一種非常實用的方法。
圖1 控制層
圖2 網絡層
2 軍工信息系統安全風險的控制措施
進行軍工信息系統安全風險評估的主要目的是為了以評估結果為依據制定合適的軍工信息風險控制方案,保證軍工信息的安全性,將系統安全問題出現的可能性降低,保障軍工信息的安全可靠性。在進行信息安全措施選擇的時候,要進行系統分析,做到充分保護信息,使其免受威脅。我們經常用到的風險控制措施包括回避法(即遠離風險事件從而避免損害發生)、預防法(即采取預防措施降低事故產生的概率)、自留(進行綜合的平衡,確定應當承擔的風險)、轉移(即采取方法將風險轉移至其他的主體)以及威懾(采取報復、追究責任等方式減少、消除威脅,進而降低安全風險)等。在軍工信息安全的控制上,要避免盲目性與片面性,這就要求我們有一個清晰的層次和準確的定位,選擇適度的控制措施,防止設計上的漏洞,從而達到確保軍工信息整體安全的目的。同時,我們還需要注意安全設施所提供的保護、所起作用的方式以及實施成本和造成影響的不同,進行適當選擇。選擇中,我們要注意以下幾點。
1)提供的功能。在通常情況下,安全措施兼具一種或者幾種功能,能夠具備的功能越多就說明這種安全措施越具有優越性。在進行選擇的時候,應該選擇具備功能較多的措施,同時實現各類型的功能間的平衡。這樣可以使措施得到更好地發揮,保障軍工信息的整體安全。
2)措施成本。不論是采用哪種措施,我們都需要進行成本的考量。應當對措施的效果與所需成本間的比例進行衡量,要選擇性價比較高的措施。
3)產生的影響。安全控制措施的采用會對系統產生不同層次的影響,如果措施操作性變差,就可能導致整體功能的受損甚至喪失。因此,在進行措施選擇的過程中應當考慮到措施的安全性以及它會產生的影響。
3 結論
軍工信息的安全關系到國家的安全,在當前國際形式下,地區沖突不斷,一個國家社會環境的長治久安需要強大國防力量的支持。國防力量是一個國家綜合實力的集中體現,而軍事信息又直接影響到國家的國防建設。因此,為了保證我國國防建設的順利進行,保證經濟發展有一個安全的社會環境,在國防建設中軍工信息的安全風險評估與控制是非常重要的。這要求我們在軍隊建設中做好信息安全風險評估工作,采取必要的控制措施,保證軍工信息安全,進而保證國家安全。
參考文獻
[1]吳亞非,李新友,祿凱.信息安全風險評估[M].北京:清華大學出版社,2007.
[2]程建華.信息安全風險管理、評估與控制研究[D].長春:吉林大學,2008.
[3]魏國斌.淺析計算機網絡安全防范措施[J].信息安全與技術,2013(8).
[4]鄒翔.加快信息安全法制保障體系建設與意識教育[J].信息安全與通信保密,2013(05).
篇2
1.1靜態風險評估
靜態風險評估是根據傳統風險評估的具體方法對較短時間內系統存在的各種風險進行科學的評估,評估的整個過程并不連續,評估的對象主要選擇相對靜止的系統。
1.2動態風險評估
動態風險評估是對網絡進行安全風險的評估,并研究系統變化的過程和趨勢,將安全風險與具體的環境相互聯系,從宏觀的角度了解整個系統存在的安全風險,把握風險的動態變化,風險評估的過程是動態變化的過程。對于電信網絡而言,客觀準確的進行安全風險的評估是整個電信安全管理的重要前提。風險評估是風險管理的初級階段,目前,我國的電信網絡仍然采用傳統靜態評估的方式,最終對安全風險的評估只是針對特定的時間點。但是,靜態風險評估不能有效的體現評估風險各種變化的趨勢,評估結果相對比較滯后。動態風險評估加強了靜態風險評估的效果,能夠反映較長時間安全風險具體的變化情況。在動態風險進行評估的過程中,如果系統出現安全問題,可以及時的進行處理,展現了整個風險評估的變化過程,保證了網絡的安全。對電信網絡實施動態風險評估,具有非常復雜的過程,評估的結果具有參考價值。
2電信網絡安全風險評估具體的實施過程
對電信網絡進行安全風險評估的工作,其對象可以針對電信網絡的某一部門也可以是整個電信網絡。風險評估的內容包含技術的安全問題以及網絡管理的安全問題。技術安全主要包括網絡安全以及物理安全等,管理安全主要包括管理制度以及人員管理等。對電信網絡實施安全風險的評估主要按照以下幾個步驟。
2.1風險評估前的準備工作
在進行安全風險評估之前,首先需要獲得各個方面對安全風險評估的支持,相互配合,確定需要評估的具體內容,組織負責進行安全風險評估的專業團隊,做好市場的調查工作,制定評估使用的方法,只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎。
2.2對資產的識別工作
在電信網絡中的資產主要包括具有一定使用價值的資源,電信網絡的資產也是進行安全風險評估的主要對象。資產存在多種形式,有無形資產和有形資產,還可以分為硬件和軟件。例如,一些網絡的布局以及用戶的數據等。做好資產識別的工作能夠確定資產具體的安全情況。對資產進行安全風險的評估可以綜合分析資產的價值以及安全狀況,還可以考慮資產具有的社會影響力。社會影響力是指資產一旦失去安全的保障會對整個社會帶來影響。
2.3威脅識別工作
威脅的識別是指對電信網絡內部資產存在破壞的各種因素,這種潛在的破壞因素客觀存在。對資產產生威脅的主要原因包括技術、環境以及人為。技術因素是指網絡自身存在的設備故障或者是網絡的設計存在疏漏。環境因素是指環境中的物理因素。人為因素是指人為造成的威脅,包括惡意和非惡意。通過對威脅的動機以及發生幾率描述網絡存在的各種威脅,威脅識別工作的重要任務就是判斷出現威脅的可能性。
2.4脆弱性識別工作
網絡資產本身具有脆弱性的特點,包括網絡存在的各種缺陷。只有網絡存在各種缺陷和弱點才有可能出現各種威脅的因素,如果沒有威脅的產生,網絡具有的脆弱性并不會損害資產。但是只有系統較少自身的脆弱性才會較少資產被威脅的可能性,使系統的資產更加安全,從而有效的較少損失。對電信網絡進行脆弱性識別工作可以從技術和管理上展開,主要以資產的安全作為核心內容,針對資產的不同特征,進行脆弱性的識別工作。
2.5確認具體的安全措施
對電信網絡進行的安全風險評估需要做好安全措施的確認工作,保持有明顯效果的安全措施,對失去效果的安全措施予以改正,避免內部資產的浪費,杜絕重復使用安全措施。一旦發現不合理的安全措施需要及時檢查安全措施能否被取消,并制定更合理的安全措施。確認安全措施的工作主要分為預防性和保護性兩種。預防性措施主要負責減少威脅性因素產生的可能性,保護性措施是為了減少資產的損失。
2.6風險分析工作
風險分析工作主要對電信網絡的資產識別、脆弱性識別、威脅識別以及存在風險對資產造成的損失進行綜合性的分析,最終得出準確的風險值,結合制定的安全措施。分析資產承受風險的最大范圍。如果出現的安全風險在資產承受的范圍之內,需要繼續采取安全保護措施,如果安全風險超出了資產承受的范圍,這就需要對風險進行控制,制定更可靠的安全措施。
2.7整理風險評估記錄
對電信網絡實施安全風險評估工作的整個過程,需要進行風險評估的準確記錄,包括評估的過程以及評估的最終結果,制定系統的安全風險評估報告。為安全風險評估的工作提供可靠的科學依據。
3結束語
篇3
【關鍵詞】公路施工,安全風險,評估,標準化
中圖分類號: U41 文獻標識碼: A 文章編號:
為了能夠保證公路工程施工過程中不出現任何安全責任事故,需要認真落實“安全第一、預防為主”的方針,必須要對安全生產工作進行深化,積極推進公路工程施工安全標準化建設,并加強對安全風險評估技術的實踐,盡可能的提前發現各種安全隱患。必須要立足預防,從源頭出發,做到標本兼治,構建起安全生產的長效機制,從制度出發為安全生產工作的落實提供保障。
一、公路工程施工安全標準化措施
(一)建立起一套完善的安全生產制度
要實現公路施工安全標準化,就必須要制定出一套完善的安全生產責任制度,必須要明確項目部、財務部、設備部材料部、辦公室以及施工隊等各個部門各自所需要承擔的安全生產職責。在此基礎上細化每一個崗位的安全生產責任,讓每一個人都能夠清楚的明白自己所在崗位需要承擔的安全生產責任。與此同時還必須要出善的安全生產管理制度,制定出合理的安全生產目標考核制度,并且安全檢查、培訓、防護管理等都需要有相應的制度來作為支撐。在此基礎上必須要形成完善的安全生事故應急救援方案,防止在出現安全生產事故時不能夠進行快速有效處理的現象。
(二)建立安全生產標準化考評機制,制定獎罰措施,定期考核
必須要建立起完善的安全生產標準化考評機制,并制定出合理的獎懲措施,加強標準化考核。確定評審單位與評審人員。評審組織單位與評審單位必須要嚴格的根據想要求規定開展工作,同時各級的安全部門要對經驗進行積極的總結,對安全生產標準化考評工作程序進行完善,并控制好考評流程。對于評審組織單位以及評審單位都必須要進行嚴格管理,讓考評工作能夠得到規范,把好質量關,如果出現了違反規定、弄虛作假的情況,必須要嚴肅處理,如果情節嚴重,必須要取消評審資格。同時對于那些評審不能夠達到要求的必須要進行一定的懲罰,責令限期整改。并且在評審合格之后必須要定期的進行考核。并且需要采取法律的、經濟的以及行政上的手段構建起良好的獎懲機制。
二、施工安全風險評估
對公路施工工程進行安全風險評估是減少施工事故的重要措施,因此必須要對施工風險評估進行重視。
(一)總體風險評估
該風險評估針對的是公路工程施工階段所存在的風險的大小,可以采用風險指標體系法進行定量評估。總體評估需要建立在對各種資料進行收集整理的基礎上,需要由建設單位來進行組織,施工單位、勘察設計單位、監理單位等共同參加成立起評估小組,對總體風險等級進行評估。總體風險評估的結論能夠作為工程相關安全簡單管理部門對公路施工風險總體監控的依據,并且施工單位也可以根據總體風險評估的結論來制定出對策措施。
(二)專項風險評估
該評估的對象是各種施工作業活動,其主要流程包括了風險源辨識、風險分析、風險估測這三個方面。在風險源辨識的過程中需要對參與者進行確定,并在此基礎上對工程相關的基礎性資料進行收集。在風險源辨識中需要對工程建設的基本資料進行系統分析,并分析工程建設的目標、階段、活動以及周邊環境中所存在的風險。同時還需要根據公路施工作業的基本流程,分解工程施工作業活動。在此基礎上,辨識并篩選風險源,并對風險進行估測。
專項風險估測應該根據工程的特點,對工程的建設條件、施工技術方案、施工環境條件等各個階段的開展風險評估。事故的后果主要需要考慮的是人員傷亡與直接經濟損失,并且需要根據實際需要將環境影響、延誤工期、社會影響都作為風險后果的考慮范圍之內。通過專項風險評估,能夠從技術可行性與經濟合理的原則,根據風險等級來對施工技術方案進行完善,并做出風險控制措施。所采用的風險評估方法有采用定性估測、定性與定量估測結合的方法。定性與定量主要是應用于重大風險源風險估測,并且往往需要采用專家調查法。
(三)公路施工安全風險控制
公路施工安全風險控制需要根據工程的具體特點、風險評估的結果、成本效益比等多個方面的內容對風險控制措施進行懸著,所選擇的應對措施必須要具有良好的可操作性,并根據針對性與重要性對措施建議進行分類。在選擇風險控制措施時需要根據以下順序來進行:(1)本質安全措施,選擇控制措施時需要從本質安全的角度出發,對風險源進行消除或者是讓風險能夠降低到可接受的程度;(2)安全隔離貨防護,如果不能夠本質安全對風險進行控制,那么就需要通過隔離或者防護的手段來讓風險降低;(3)進行警告或者標示,對于通過上述措施之后還留下的風險,必須要通過警告、標示等輔助措施來降低風險;(4)進行教育培訓,必須要將所確定安全措施在施工前通過各種方式傳遞給安全管理與施工作業人員,盡可能的減少和避免不安全行為。
三、結語
公路施工安全標準化建設與安全風險評估對于公路安全施工有著十分重要的作用。為了能夠有效的控制公路施工安全風險,必須要積極的開展公路施工安全標準化工作,并進行切實有效的安全風險評估。
【參考文獻】
篇4
根據以往學者研究及實踐表明,對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術等三方面的體系建設。而確保其保障工作的順利展開需以信息安全的風險評估作為核心內容。因此對風險評估的作用主要體現在:首先,信息安全保障需以風險評估作為基礎。對計算機信息系統進行風險評估過程多集中在對系統所面臨的安全性、可靠性等方面的風險,并在此基礎上做出相應的防范、控制、轉移以及分散等策略。其次,信息安全風險管理中的風險評估是重要環節。從《信息安全管理系統要求》中不難發現,對ISMS的建立、實施以及維護等方面都應充分發揮風險評估的作用。最后,風險評估的核查作用。驗收信息系統設計安裝等是否滿足安全標準時,風險評估可提供具體的數據參考。同時在維護信息系統貴過程中,通過風險評估也可將系統對環境變化的適應能力以及相關的安全措施進行核查。若出現信息系統出現故障問題時,風險評估又可對其中的風險作出分析并采取相應的技術或管理措施。
二、計算機信息系統安全風險的評估方法分析
(一)以定性與定量為主的評估方法
計算機信息系統安全風險評估方法中應用較為廣泛的主要為定性評估方式,其分析內容大多為信息系統威脅事件可能發生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發生的可能性與其所造成的損失評估時,首先會對特定資產價值進行分析,再以客觀數據為依據對威脅頻率進行計算,當完成威脅影響系數的計算后,便將三者綜合分析,最終推出計算風險的等級。
(二)以知識和模型為基礎的風險評估
以知識為基礎的風險評估通常會根據安全專家的評估經驗為依據,優勢在于風險評估的結構框架、實施計劃以及保護措施可被提供,對較為相似的機構可直接利用以往的保護措施等便可實現機構安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統自身的風險及其與外部環境交互過程中存在的不利因素等進行分析,以此實現對系統安全風險的定性評估。
(三)動態評估與分析方式
計算信息系統風險管理實際又可理解為信息安全管理的具體過程,一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內容包含在內。整個評估與分析方式具有一定的動態特征,以PDCA為典型代表,其計劃、實施、檢查以及改進實現了對風險的動態管理。
(四)典型風險評估與差距分析方法分析
典型風險評估主要包括FTA、FMECA、Hazop等方法,對計算機信息系統設計中潛在的故障與薄弱之處,都可提出相應的解決措施,以FTA故障樹分析為典型代表,在分析家算計信息系統的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統的安全要求與當前的系統現狀存在的差距進行系統風險的確定,存在的差距越大則證明存在的風險越大。
三、結論
篇5
為加強精細化工企業(以下簡稱企業)安全生產管理,進一步落實企業安全生產主體責任,強化安全風險辨識和管控,提升本質安全水平,提高企業安全生產保障能力,有效防范事故,現就加強精細化工反應安全風險評估工作提出如下指導意見:
一、充分認識開展精細化工反應安全風險評估的意義
精細化工生產中反應失控是發生事故的重要原因,開展精細化工反應安全風險評估、確定風險等級并采取有效管控措施,對于保障企業安全生產意義重大。開展反應安全風險評估也是企業獲取安全生產信息,實施化工過程安全管理的基礎工作,加強企業安全生產管理的必然要求。當前精細化工生產多以間歇和半間歇操作為主,工藝復雜多變,自動化控制水平低,現場操作人員多,部分企業對反應安全風險認識不足,對工藝控制要點不掌握或認識不科學,容易因反應失控導致火災、爆炸、中毒事故,造成群死群傷。通過開展精細化工反應安全風險評估,確定反應工藝危險度,以此改進安全設施設計,完善L險控制措施,能提升企業本質安全水平,有效防范事故發生。
二、準確把握精細化工反應安全風險評估范圍和內容
(一)企業中涉及重點監管危險化工工藝和金屬有機物合成反應(包括格氏反應)的間歇和半間歇反應,有以下情形之一的,要開展反應安全風險評估:
1.國內首次使用的新工藝、新配方投入工業化生產的以及國外首次引進的新工藝且未進行過反應安全風險評估的;
2.現有的工藝路線、工藝參數或裝置能力發生變更,且沒有反應安全風險評估報告的;
3.因反應工藝問題,發生過生產安全事故的。
(二)精細化工生產的主要安全風險來自于工藝反應的熱風險。開展精細化工反應安全風險評估,要根據《精細化工反應安全風險評估導則(試行)》(見附件)的要求,對反應中涉及的原料、中間物料、產品等化學品進行熱穩定測試,對化學反應過程開展熱力學和動力學分析。根據反應熱、絕熱溫升等參數評估反應的危險等級,根據最大反應速率到達時間等參數評估反應失控的可能性,結合相關反應溫度參數進行多因素危險度評估,確定反應工藝危險度等級。根據反應工藝危險度等級,明確安全操作條件,從工藝設計、儀表控制、報警與緊急干預(安全儀表系統)、物料釋放后的收集與保護,廠區和周邊區域的應急響應等方面提出有關安全風險防控建議。
三、強化精細化工反應安全風險評估結果運用,完善風險管控措施
(一)涉及的反應工藝危險度被確定為2級及以上的,要根據危險度等級和評估建議,設置相應的安全設施和安全儀表系統;反應工藝危險度被確定為4級及以上的,在全面開展過程危險分析(如危險與可操作性分析)基礎上,通過風險分析(如保護層分析)確定安全儀表的安全完整性等級,并依據要求配置安全儀表系統;對于反應工藝危險度被確定為5級的,相關裝置應設置在由防爆墻隔離的獨立空間中,并設計超壓泄爆設施,反應過程中操作人員不應進入隔離區域。企業要優先通過開展工藝優化或改變工藝路線降低安全風險。
(二)企業要把反應安全風險評估作為安全管理的重要內容,新建項目要以反應安全風險評估結果為依據,開展工藝設計及安全設施設計,保證各項安全控制措施落實到位;相關在役裝置要根據反應安全風險評估結果,補充和完善安全管控措施,及時審查和修訂操作規程。
(三)企業要保證設備設施滿足反應工藝安全要求,根據反應安全風險評估情況,建立關鍵設備設施清單,定期開展檢查、維護和維修,要確保泄放、冷卻、降溫等設施和安全儀表等系統的完好、可用。要開展有針對性的崗位操作培訓,保證崗位操作人員熟練掌握本崗位反應安全風險,嚴格執行崗位操作規程,不斷提升操作技能。要根據反應安全風險評估結果,制定崗位應急處置方案和事故專項應急預案,強化定期演練,提高應急處置能力。
四、工作要求
(一)反應安全風險評估工作專業性強,技術要求高,各有關企業要高度重視,聘請具備相關專業能力的機構組織開展評估。企業要加大對工藝反應測試分析條件的投入,培育專業工程技術人員,逐步形成自身開展反應安全風險評估工作的能力。
(二)有關企業要確保列入評估范圍的新建裝置在編制可行性研究報告或項目建議書前,完成反應安全風險評估。對相關在役裝置要制定計劃逐步開展,根據評估結果完善風險控制措施,努力降低安全風險。從2020年開始,凡列入評估范圍,但未進行反應安全風險評估的精細化工生產裝置,不得投入運行。
(三)地方各級安全監管部門要結合本地區實際,指導和督促相關企業開展反應安全風險評估,積極跟蹤評估結論,掌握并研判本地區有關企業的風險情況。積極培育具備條件的反應安全風險評估機構,鼓勵具備條件的有關科研單位提供技術服務支持,加強技術人才隊伍培養,配備完善實驗測試設施,規范服務工作,提高反應安全風險評估能力和質量。
請各省級安全監管局及時將本指導意見精神傳達至本轄區各級安全監管部門及有關企業。
附件:精細化工反應安全風險評估導則(試行)
(詳見安監總局網站)
篇6
目前我國已步入信息化時代,隨著國民經濟和社會信息化進程的全面加速,各地政府紛紛建立起基礎網絡平臺和重要的信息系統,這些網絡與信息系統的基礎性、全局性作用日益增強,國民經濟和社會發展對基礎網絡平臺和重要信息系統的依賴性也越來越大,網絡與信息系統自身存在的缺陷、脆弱性以及面臨的威脅,使信息系統的運行在客觀上存在著潛在風險,信息系統安全的重要性更顯突出,已成為國家安全的基座。
近年來我國政府也開始重視信息安全風險評估工作。2003年7月《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)文件中明確提出:要重視信息安全風險評估工作,對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估,綜合考慮網絡與信息系統的重要性、程度和面臨的風險等因素,進行相應等級的安全建設和管理。
為落實中辦發[2003]27號文件要求,由國家信息中心、公安部、安全部、信息產業部、國家認監委、國家標準化委、國家密碼管理局、國家保密局等單位聯合組成課題組先后對四個地區、十幾個行業的50多家單位進行了調研考查,制定出《信息安全風險評估指南》、《信息安全風險管理指南》等標準和規范。
2004年6月天津市市委辦公廳、市政府辦公廳聯合轉發了《關于加強我市信息安全保障工作的意見》(津黨辦發[2004]15號)文件,成立了天津市網絡與信息安全協調小組,加強了對我市信息安全工作的領導和管理。
二、風險評估工作內容
信息安全風險評估工作,就是從風險管理角度入手,依據國家風險評估管理規范和技術標準,采用適當的風險評估工具,運用定性及定量的分析方法和手段,系統分析信息化業務和信息系統資產所面臨的人為的或自然的潛在威脅、薄弱環節、防護措施等,準確了解信息系統安全狀況,綜合考慮網絡與信息系統的重要性、程度和面臨的風險等因素,確定風險等級和風險控制順序,有針對性地幫助制定抵御威脅的安全策略和防護措施,指導安全建設的合理投入。
風險評估的形式按照評估實施者的不同,可將其分為自評估和檢查評估二種形式:
自評估
自評估就是信息系統擁有者依靠自身力量,依據有關信息安全技術與管理標準,對自有網絡和信息系統進行風險評估的活動。該網絡和信息系統的擁有者通過自評估隨時掌握其安全狀況,不斷調整安全措施,有效地進行安全控制。其優點是有利于自身系統的保密性,發揮行業和本部門專業人員的業務專長,降低了風險評估的費用,提高了本單位風險評估能力。
檢查評估
檢查評估通常是由政府安全主管機關或本單位的上級主管機構發起,旨在依據已經頒布的法規或標準進行的、具有強制意味的檢查活動,是經過行政手段加強信息安全的重要措施。其優點是這種形式具有權威性。
自評估和檢查評估都可以通過信息安全風險評估的服務機構提供咨詢、培訓及相關工具,目前建議主要采用自評估形式,以保證本單位信息的保密性、完整性和可用性。它也是檢查評估的基礎和必要條件。
按照國信辦2006年5號文件的要求,在網絡與信息系統的設計、驗收、運行維護階段,以及當安全形勢發生重大變化或信息系統使命有重大變更時均應及時進行信息安全風險評估。
在風險評估過程中,應以本單位的業務為核心,圍繞相關信息資產(如計算機網絡設備、應用系統、數據庫等)及價值,對其所面臨的威脅、所具有的弱點和已有的安全控制措施展開分析工作。
風險評估是信息安全管理體系的基礎,信息安全風險管理的主要工作就是要發現風險,并在有限的資源下,進行削減風險或控制風險。只有建立信息安全管理體系,并有效地進行安全風險管理與控制,才能真正保護本單位的利益,并在安全事件發生的時候,最大限度地減少經濟損失和負面影響。
三、目前需解決的問題
目前信息安全風險評估工作在我國尚處于起步階段,各地開展和重視此項工作的程度也不盡相同,一些單位的網絡安全還處于亞健康狀態,需要強化信息安全管理意識,并注意解決以下幾方面的問題:
1.建立健全管理體制
依據國家在信息安全管理方面的法律、法規、標準和規范,建立安全管理制度,通過對安全評估和實施整改等各環節的監督管理,層層落實安全管理責任制,形成完善的信息安全管理體系。
2.保障資金投入
努力保障信息安全資金的投入,充分發揮信息安全保障資金的使用效益,認真分析信息安全風險評估的結果,既要保障安全,又不能因保護過度造成資金浪費。
3.聚集技術和管理人才
注意聚集和培養熟悉并有能力進行信息安全風險評估的技術人員,尤其是注意吸收那些既懂管理又懂技術的專業風險評估人才,形成一支信息安全風險評估專業隊伍。
篇7
關鍵詞:安全生產風險管理體系 , 作業風險評估與控制 , 安全督查 , 電力企業
Abstract: with the southern power grid issued safety production risk management system as the basis, combined with the electric power enterprise safety supervision department management status, protecting the safety of electric analysis the problems, and to work in risk assessment and control of the introducing the basic idea, and points out that the operation risk assessment and control in power of protecting the safety of the applications of the necessity, and expounds the application of the method.
Key words: production safety risk management system and operation risk assessment and control, safety supervision, the electric power enterprise
中圖分類號: X820.4文獻標識碼:A文章編號:
1引言
1.1電力安全督查現狀
電力企業安全監察部門人員編制有限,但要督查的覆蓋面很廣,難以對企業的方方面面都督查到位,只能有側重、有目的地開展督查,但是沒有脫離“運動式”、“救火式”的督查模式。
首先,安全監察部門督查的范圍較廣,督查的內容錯綜復雜。例如某個地市局的供電企業,安全監察部門一般只有十來人,實際開展現場督查工作的一般就2-3人,但是督查范圍可能涉及到整個城市的各個角落,主要包括電力生產(包括輸變電、供電、調度、檢修、試驗等)和電力建設(包括輸變電、配電工程的設計、施工、調試和監理等)工作場所,尤其電網企業的外施工單位現場作業較多,一天甚至有幾十個施工同時開展,就算安全監察部門全部人員出動也覆蓋不了所有的督查范圍。
其次,安全監察部門選擇有所側重地開展安全督查,但選擇的側重點不合理、不科學。例如一天內有幾十個施工現場,只能選擇某些施工現場進行督查,但是選擇的過程更多的是憑督查人員的感覺、經驗,或者對外施工單位印象的好壞,沒有制定科學、合理的督查計劃。
最后,供電企業各個部門、班組的員工都普遍存在一種錯誤的認識,認為安全生產管理主要是安全監察部門的事情,與自己無關或者關系不大。各部門不能正確樹立安全生產責任主體意識,對開展安全生產管理工作缺乏積極性、主動性,存在較大的惰性。安全生產更多的是停留在口頭上、會議上、文件上。相關部門、班組即使發現了事故隱患也心存僥幸,不愿投入精力去整改落實。最終,安全監察部門通過督查發現的問題,相關部門不一定愿意配合整改;同時,部門、班組員工也不會主動去發現問題、整改問題。這樣,安全生產管理就成了“運動式”、“救火式”的管理模式。
1.2作業風險評估與控制的思路
風險管理是指通過識別、衡量、分析風險,并在此基礎上有效地控制風險,用經濟合理的方法來綜合處置風險,實現最大安全保障的科學管理方法。電網企業在大力推行的安全生產風險管理體系,其核心就是風險管理,通過應用規范、動態、系統的方法去識別及評估企業安全生產過程中的風險,制定風險控制措施,實現風險的超前控制,把風險降低到可接受的程度。
作業風險評估是電網企業風險管理的重要組成部分,主要是針對作業任務執行過程進行危害辨識和風險評估,目的是掌握危害因素在各工種的分布以及各工種面臨風險的大小,并制定有效的風險控制方案,避免和減少事故及其損失。風險管理與過去的作業安全管理最大的不同在于,通過作業風險評估實現了風險的量化,將風險進行分級管理,對較高風險的作業制定了風險控制措施并開展后續整改行動。
2作業風險評估與控制在電力安全督查中的應用
2.1應用的必要性
安全管理的實質是風險管理。建立安全生產風險管理體系,是電網安全生產面臨形勢和任務的要求,是國家電網公司安全生產“三個管理體系”(安全風險管理體系、應急管理體系、事故調查體系)建設的重點,也是南方電網公司中長期發展戰略的重要內容,對于形成安全生產預防機制,規避和化解安全風險,保障電網安全發展,促進電網企業平安和諧,具有重要的作用和意義。
傳統的安全管理方式是在經驗的基礎上對安全生產工作的一些具體的要求和規范,對安全生產工作沒有應有的宏觀指導意義和促進作用,只是對一個歷史階段的安全生產工作在經驗方面的具體反映,總是滯后于經濟建設對安全生產工作需求,在一定程度上制約和阻礙著安全生產的發展。而安全生產風險管理體系以風險控制為主線,提出風險控制與管理內容,關注事前的風險分析與評估,超前控制風險,把安全防范的關口前移,實現動態的、主動和超前的安全生產風險管理,解決安全生產“管什么、怎么管,做什么、怎么做”的問題,它從管理理念、內容和方法上確保安全生產風險可控、在控。
作業風險評估與控制是安全風險管理體系的核心內容,是實現安全防范關口前移,超前控制風險的重要方法與手段。通過引入作業風險評估的方法,可以有效地解決電網企業安全監察部門在安全管理和督查工作中的各種問題。首先,安全監察部門督查范圍廣,難以覆蓋全面,從而選擇有所側重地開展安全督查,作業風險評估方法可以幫助監察部門更好的選擇督查的側重點。因為作業風險評估工作要求對電網企業所有的作業任務進行全面的基準風險評估,已經全面辨識了作業過程中可能存在的危害,通過參考作業風險評估的結果,自然能夠知道什么作業任務風險較大,作業任務執行過程中,存在什么危害,作業的哪些步驟風險較大等,從而將風險較大的作業任務作為安全督查的重點。其次,作業風險評估工作強調全員參與,除了執行作業任務的員工要直接參與作業風險評估以外,員工的領導以及相關管理者也要參與風險評估的研討,掌握面臨風險的大小及分布。各部門通過參與風險評估,知道風險與自己的密切關聯,風險并不是安全監察部門的風險,如果自己不主動去防范,風險可能會給本部門和個人帶來巨大損失和傷害。所以,將作業風險評估與控制與安全管理和督查結合起來,將會提升電網企業的安全管理水平,促使安全督查更富有針對性,能夠更好地對作業風險進行預防和控制,真正實現安全防范關口前移、風險超前控制。
2.2應用的方法
如何將作業風險評估與控制與安全督查更好的結合起來,使作業風險評估結果更好的為安全督查服務,是一個需要不斷摸索、探討并且逐漸深化的過程。這里根據現場安全督查的流程對應用的方法做了以下探索:
(1)基于風險制定督查計劃。安全監察部門要收集作業風險評估概述、相關生產部門的停電作業信息及相關風險情況等,并根據收集的資料、信息制定督查計劃(年、月、周計劃),將督查的重點放在風險較高的作業任務上。因督查涉及各專業現場工作,督查自身存在相關風險,以及現場安全督查工作可能會對現場作業帶來新的風險,所以督查工作還要保障督查人員的人身安全和不影響作業安全。一是制定計劃同時要結合季節性特點和環境開展風險辨識與評估,重點落實防止交通事故、車輛突發故障、高空落物打擊、地面物體傷害、起重傷害、誤觸碰設備等措施,充分應用到現場督查當中。二是督查人員在現場發現違章行為時,要采用適當的措施糾正,防止糾正行為給作業帶來新的風險。
(2)應用作業風險評估的方法進行現場督查。首先根據作業風險評估的結果制定督查表格,將現場作業的風險進行排序,實行分級管理,重點檢查風險較高的作業。其次,督查過程綜合運用查人員、查資料、查設施、查現場等方式,通過考問、檢查、觀察和演示示范等多種形式相結合,除了對作業風險評估結果與現場作業情況進行對照驗證外,還可以根據作業風險評估的方法和思路對作業現場進行觀察,補充完善作業風險評估的實踐庫。
(3)督查發現問題反饋作業部門、班組,指出作業風險評估中的不足,要求完善作業風險評估實踐庫,以便下次作業時更好的對作業風險進行控制。同時要加強對補充的作業風險的培訓教育,讓員工充分認識到作業存在的風險并有意識地采取措施進行控制。
(4)以作業風險評估方法中對作業危害、風險的分類方法對督查數據進行歸類、統計和分析。通過統計分析督查過程中發現的問題,收集作業危害和風險數據,作為下一年度作業風險評估回顧修訂或者作業風險評估動態更新的數據來源。過去督查統計分析更多的是關注不同類型違章的統計分析,沒有關注違章背后的作業風險的分析,從而不能更好的制定風險預控措施,實現風險的超前控制。
3結語
篇8
一、如何看待安全預算
安全預算是各類企事業單位為保護信息資產,保證自身可持續發展而投入的資金,是一種預防行為。安全預算多少合適,是不是投入得太多了?雖然安全問題越來越受到重視,但是網絡安全事件仍然是呈現遞增趨勢。從安全預算角度分析原因:一是預算不足;二是預算不到位。
在國外,安全投入占企業基礎建設投入的5%~20%,這人比例在中國的企事業中卻很少超過2%。從風險的角度看,就是要平衡成本與風險之間的關系,用一百萬美金保護三十萬的資產,顯然是不可接受的,但是如果資產的價值超過了一千萬美金,產生的效益就顯而易見,目前用一個量化的方法來計算信息化建設對于戰略發展的貢獻確實比較難。一年下來,并沒有發生重大的信息安全事件,年初的安全預算可能就會被質疑投入太多了;如果發生了不可接受的安全事件,那就成了預算部門的責任。安全預算到底夠不夠?我們可以通過宏觀的情況來分析一下風險與成本的關系,每年全球因安全問題導致的網絡損失已經可以用萬億美元的數量級來計算,我國也有數百億美元的經濟損失,然而安全方面的投入卻不超過幾十億美元。由此可以看出,我國整體信息化建設,安全預算不足。
一個單位在安全方面投入了很多,但是仍然發生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論,很好的解釋了這種現象。如很多企業每年在安全產品上投入大量資金,但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素,缺乏系統的、科學的管理體系支持,都是導致這種結果產生的原因。
二、 科學制定安全預算
信息安全的預算如何制定?其實要解決的就是預算多少和怎么用的問題。說安全預算難做,一是因為信息安全涉及到很多方面的問題,例如:人員安全、物力安全、訪問控制、符合法律法規等等。二是很難依據某種科學的量化的輸入得出具體的預算費用。安全預算是否合理,應該關注以下幾個方面:(1)是否“平衡”了成本與風險的關系;(2)是否真正用于降低或者消除信息安全風險,而不是引入了新的不可接受風險;(3)被關注的風險是否具有較高的優先等級。
信息安全風險評估恰恰解決了以上問題,通過制定科學的風險評估方法、程序,對那些起到關鍵作用的信息和信息資產進行評估,得出面臨的風險,然后針對不同風險制定相應的處理計劃,提出所需要的資源,從而利用風險評估輔助安全預算的制定。
三、 風險評估過程
目前國際和國內都有一些比較成熟的風險評估標準及指南,通常包括下述幾個過程:(1) 確定評估的范圍、目的、評估組、評估方法等;(2)識別評估范圍內的信息資產;(3)識別對于這些資產的威脅;(4)識別可能利用這些威脅的薄弱點;(5)識別信息資產的損失給單位帶來的影響;(6)識別威脅時間發生的可能性;(7)根據“影響”及“可能性”計算風險;(8)確定風險等級及可接受風險的等級。
篇9
關鍵詞:安全;風險;體系;評估;控制
中圖分類號:F426.61 文獻標識碼:A 文章編號:1674-7712 (2014) 12-0000-02
電力企業的安全生產事關國計民生。電力企業長期不懈地狠抓安全生產,但安全事故依然頻頻發生,始終無法根除。如何采取措施從根本上做好安全生產管理,已成為企業重點關注的焦點。本文在分析了當前電力企業全文化,重點介紹了安全生產風險管理體系的應用,并就如何做好體系建設展開探討。
一、當前電力企業安全文化思考
據調查,企業生產過程中出現的事故95%以上都是違章操作、違章指揮和違反勞動紀律造成的。事故調查統計表明,安全事故的發生與個人的行為和素質有很大關聯,與企業安全體系是否完善息息相關。我國電力企業經長期發展,已形成了企業內部獨特的安全文化,由制度、正策、法規、規程、規范及標準等構成了企業安全生產體系,《電業安全工作規程》和“兩票三制”成為了電力企業安全文化的基石,是指導電力企業安全生產和保障員工生命安全的法寶,但安全生產事故仍然接連不斷,未能從根本上防范和杜絕,這與電力企業安全體系建設不足緊密相關。
第一,電力企業安全體系不完善,安全文化尚未能充分發揮作用,在生產活動過程中員工未能自覺遵守規程、制度。每次發生電力安全事故后,事故防范措施才得到進一步完善、強化,事故防控手段才更完備,安全處于“亡羊補牢”的被動局面。
第二,風險辨識意識嚴重不足。長期以來,我們大力倡導提高員工安全意識,卻忽略了如何有效辨識生產活動過中各環節、每個作業存在或潛在的危害并形成有效的防控體系。增強安全意識天天講、人人喊,但在生產活動中,如何有效辨識各種危害,從而采取措施避免安全生產事故,如何保證員工的安全意識,值得深思。
第三,企業對安全文化內涵理解不透,風險評估及管控能力不足。長期以來,營造濃厚的安全氛圍,促使員工實行安全自主管理、規范其生產行為,提高安全技能,形成良好的安全生產環境,制度管人、流程管事、標準化作業,成為了電力企業安全文化的重要內涵。但是,生產作業缺乏系統的風險評估及管控,危害及風險描述空泛、無量化,控制措施針對性不強。
二、為什么要建立安全生產風險管理體系
電力安全風險仍然是企業面臨的最大風險,生產過程中還存在不少安全問題。風險意識、責任意識和安全基礎工作還需要強化,管理還比較粗放,系統性管理不夠、標準不高、要求不嚴、管理不到位的問題依然存在。解決好這些問題,是把企業做強做優、實現又好又快發展的重要基礎。安全生產風險管理體系是基于目前安全生產管理現狀和企業發展要求而建立的。體系關注“五要素”(人、系統、設備、環境、管理)和“安健環”(安全、健康、環境),不僅要考慮人的安全,還要考慮生產的安全、系統的安全、設備的安全、環境對人的影響。從管理理念、管理內容、管理方法等方面規范我們的安全生產管理,提高管理軟實力,既有現實意義,又有戰略意義。體系從風險控制出發,提出了一套安全生產管理模式和方法,解決安全生產“管什么、怎么管,做什么、怎么做”的問題,它從管理理念、內容和方法上確保安全生產風險可控在控。
三、危害辨識與風險評估的特點、作用
開展危害辨識、風險評估與控制,是安全生產風險管理體系建設的主要內容。危害辨識滲透著全方位安全管理的思想,“人的不安全行為,物的不安全狀態、作業環境的缺陷和安全健康管理的缺陷”是應用系統科學理論,在體系建立之初所做的一項科學、具體而且必要的工作。風險評估是用可量化的指標,科學評價出危害的風險級別。
危害辨識指辨識出執行每一步驟中存在的可能危及人員、設備和企業形象的危害。操作時應注意一個作業步驟可能存在多個危害,危害的一般表述形式:“副詞+名詞或動名詞”;風險評估指辨識危害引發特定事件的可能性、暴露和結果的嚴重程度,并將現有風險水平與規定的標準、目標風險水平進行比較,確定風險是否可以容忍的全過程。
危害辨識與風險評估,可以根據風險評估結果選擇風險管理工具,制定風險控制計劃,實施風險管理并評價風險管理結果,其意義在于鑒別潛在和顯露的風險并加以控制,以期預防損失;其次,在損失發生后采取補償措施,減少損失的危害性,保障安全生產。她能促使安全生產變被動管理為主動管理,將“安全第一、預防為主”理念變成了可操作的具體步驟,使安全和預防兩大任務變成現實。
四、如何開展危害辨識與風險評估
如何有效地遏制事故的發生,降低事故隱患及存在的風險,開展危害辨識與風險評估,探索實現安全生產的風險防范體系,從事故中汲取經驗教訓,落實安全措施,已是電力企業不可回避的重要問題。
通過開展危害辨識、風險評估,可以最經濟合理的方式消除風險導致的各種災害后果;此外,危害辨識、風險評估是職業安全體系建設的基礎。企業的安全管理體系運行的主線是風險防范與風險控制的過程,其基礎是危害辨識、風險評估與控制。為了控制風險,企業必須認真做好以下幾方面工作。
第一,要對企業所有作業活動中存在的危害加以識別,然后評價每種危害性事件的風險等級,確定不可承受的風險,再對不可承受的風險予以控制。
第二,對所有辨識的各級各類風險進行量化,并依據規程、標準、法規、企業狀況等制訂危害和風險防控措施,并一一匯合形成完備的安全作業防范體系。
第三,必須充分認識到危害辨識、風險評估對電力企業安全管理的重要作用、長期性、系統性,任務艱巨,必須充分發揮企業職工合力、智慧,在企業生產作業活動和安全管理中不斷總結、完善、長期錘煉,才能完成安全體系建設。
第四,為保證危害辨識、風險評估能夠滿足實際需要,電力企業必須認真做到:
(1)高層領導重視,成立領導實施組織,指定單位內的一名高級管理人員負責督促和管理活動;
(2)集思廣益,確定具體計劃,明確責任人、完成期限、督察對象、任務分解、落實階段等具體事項;
(3)確定活動人員對于危害辨識、風險評估的培訓需求,實施適當的培訓計劃;
(4)評審評價的充分性,判定評價是否合適、是否充分;
(5)將管理的具體內容和評價的重要發現形成文件。
第五,明確危害辨識、風險評估實施的基本步驟和方法,基本步驟:
(1)確定專業工種,編制作業任務;
(2)分解作業步驟:按照作業任務執行過程的功能進行分解、歸類為若干個功能階段。如“220kV線路停電操作”可分解為操作準備、開關操作、刀閘操作、二次設備操作、安全措施布置、記錄與歸檔等幾個步驟;分解作業步驟時,一般按照完成一個功能單元進行劃分。作業方法、作業要求、作業環境相一致的幾個功能階段也可以歸納為一個作業步驟;
(3)辨識危害:辨識與各項業務活動有關的主要危害。考慮會受到傷害的對象以及如何受到傷害;
(4)確定風險:在假定計劃或現有計劃的措施適當的情況下,對各項危害有關的風險做出主觀評價。評價人員還應考慮控制的有效性以及一旦失敗所造成的后果;
(5)確定風險等級,進行評分,按分值大小明確風險是否可承受;
(6)制定風險控制措施:編制控制措施以處理評估中發現的、需要重視的任何問題,組織應確保新的和現行控制措施的適當和有效;
(7)建議措施的采納:根據經濟分析判斷結果以及現場的可操作性、適宜性、資源情況等綜合進行判別后確定建議的措施是否采納;
(8)形成風險評估報表庫:根據危害辨識與風險評估結果,填寫“風險評估報表”,形成單位、部門、班組級的風險概述庫,作為班組現場工作、編制作業指導書、標準作業程序卡、工作方案的依據。
五、結束語
風險管理建設已成為現代電力企業安全體系建設的重要內容,危害辨識與風險評估控制是風險管理的核心,是提高企業安全健康管理水平的必然選擇,可使“安全第一、預防為主”理念變為現實,提高企業經濟效益,保障員工在電力企業作業活動的生命安全。
參考文獻:
篇10
風險評估技術常用的工具一般有滲透測試工具和脆弱性掃描工具。滲透測試工具一般常使用人工結合滲透測試工具進行,常用的Web滲透測試工具有IBMAppScan、AWVS、HPWEBinspect,通常需對漏洞進行人工驗證,以確定漏洞準確性。脆弱性掃描工具主要用于評估網絡或主機存在的系統漏洞,常見工具有Nessus,能對主機、網絡設備、安全設備進行掃描并形成脆弱性報告。此外,在風險評估過程中,除了利用上述工具來發現系統風險外,還需要利用系統現有數據來進行現狀分析和趨勢分析,這其中常用的手段有:入侵檢測日志分析、主機日志分析、應用系統日志分析、主機/網絡檢查表等。
風險評估流程
1總體流程
根據風險評估中包含的各個要求,要分別進行實施,整體的風險評估流程如圖3所示。
2風險評估準備階段
通過做好準備工作,能夠大大提升風險評估的效果,降低項目實施風險,該階段是風險評估整個過程的重要組成部分。風險評估準備階段一般應包含如下工作內容:明確風險評估范圍、確定風險評估目標、組建項目團隊、設定系統性風險評估方法、整體風險評估方案獲得高層批準。
3資產識別階段
資產識別主要針對現有的信息資產進行分類識別和描述,在識別的基礎上從信息安全的角度,機密性、完整性和可用性對其進行賦值,確定信息資產的價值,作為影響分析的基礎,典型資產類別可以分為:網絡設備、服務器、終端、安全設備、物理環境、業務系統、數據、文檔、組織和人員等。
4脆弱性識別
脆弱性評估常被稱作弱點評估,是風險評估的重要工作,通過脆弱性評估能夠發現信息資產存在的弱點。弱點是資產本身存在的,它可以被威脅利用、引起資產或商業目標的損害。弱點包括物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產的脆弱性。脆弱性分類可分為技術脆弱性和管理脆弱性,其中技術脆弱性又可以細分為:物理安全、網絡安全、系統安全、應用安全、數據安全5個方面。
5威脅識別
威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環境因素。根據威脅的動機,人為因素又可分為惡意和非惡意兩種。
環境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊,在機密性、完整性或可用性等方面造成損害,也可能是偶發的或蓄意的事件。對威脅識別的簡單方法就是對威脅進行分類,針對不同的威脅,可以根據其表現形式將威脅識別分為以下幾類:軟硬件故障、物理環境影響、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改、抵賴等。威脅分析方法首先需要考慮威脅的來源,然后分析存在哪些威脅種類,最后做出威脅來源和威脅種類的交叉表進行威脅賦值。
6風險分析
風險分析中要涉及資產、威脅、脆弱性3個基本要素,每個要素有各自的屬性。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
風險評估的主要內容
信息安全風險評估包含的內容涉及信息安全管理和技術,同時包括網絡、系統、應用和數據等不同的技術層面,但根據保險行業的特定需求,總體定位在網絡設備和網絡架構方面的技術評估。主要內容包括:
1)信息資產的調查,主要針對網絡拓撲,網絡設備和服務器設備等。
2)網絡架構弱點評估,針對目前的網絡拓撲圖進行弱點分析。
3)網絡設備和服務器系統弱點評估,針對設備目前的系統配置進行分析,確認其是否達到應有的安全效果,結合滲透測試的手段。
4)現有安全控制措施,通過分析目前的安全控制措施,綜合總結網絡架構和設備的弱點。
5)整體網絡威脅和風險分析,綜合分析網絡中面臨的威脅和可能的風險,形成總體安全現狀。
6)建議安全措施和規劃。根據風險評估的成果和建設目標,形成建議的安全措施和時間進度,建立1-2年的信息安全規劃。
項目實施成果
根據以上工作內容,項目的最終成果包括:
1)信息資產清單和分析結果。清晰明確系統和網絡信息資產,明確其機密性、完整性和可用性的安全目標,同時確定資產的重要類別;必要時可以建立內部的信息資產庫。
2)系統和網絡脆弱性報告。明確服務器系統、網絡設備、網絡結構和安全設備可能存在的弱點。
3)系統和網絡威脅報告。根據已有的弱點分析目前可能面臨的威脅和威脅發生后對業務、系統和網絡造成的影響。
4)安全現狀報告。基于風險的安全現狀總體分析報告,明確目前的網絡安全風險。
5)建議安全措施和規劃。從技術和管理的角度提出后期進行系統建設的安全控制措施。
結語
