安全风险评估与咨询

1、如何打造电力信息安全的天罗地网谈信息安全技术的发展现状与趋势作者：王博赵晶艾小洋2007 - 07如何保证电网运行实时控制系统、电力营销系统安全、电力管理信 息系统安全、电力外围运营系统的安全？不同的分区、不同的层次都有 着不同的信息安全需求与特点。打造一张电力信息安全的天罗地网，如 果这是我们的全部目标，我们当如何思考，如何面对现实，如何面对未 来？电网运行实时控制系统一旦出问题，将有可能影响整个电网的安全运行，电网瓦解 并非耸人听闻，大规模停电将无法控制，因此防范措施必须非常严格；电力营销系统安 全涉及到海量的营销数据，与每个企业用户、个人用户息息相关，由于牵涉到银行等系 统外结算系统，因

2、此网络安全问题不容忽视；管理信息系统与生产信息系统千丝万缕， 与协同办公，对因特网连接评估篇：安全风险评估与咨询路向何方在建立企业风险管理的过程中，信息安全风险评估是一个重要环节，企业需要清晰 明确网络和业务系统中面临的弱点、威胁和风险，采用相应的安全控制措施降低、转移 和承受风险，使风险处于可控和可以接受的水平。风险评估是对信息及信息处理设施的 威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程， 即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险 控制。在电力信息化建设进程中，信息安全评估工作一直是电力信息主管一项重要工作， 两大电网、五大

3、发电集团分别出台了用于本企业的信息安全评估办法，随着电力信息化 的发展和信息系统外延的扩大以及电力企业体制改革引起的企业业务重心转移，电力系 统每年都要对信息安全进行评估，借用一位电力信息主管的原话：“信息安全评估不能 一劳永逸。”那么从技术层面上，有哪些先进的安全评估方法论来支持评估工作？有哪 些先进的评估工具来进行信息资产的量化和确定风险等级？电力企业如何借助安全评估 工作来建立自己安全防护体系？评估结果是否可以直观的、量化的呈现给决策者等等一 系列话题有待于我们去研究和思索安全风险评估作为信息安全管理体系建设的基础，它的成功实施对整 个安全管理体系建设有哪些重要的意义和作用呢？肖立昕（启

4、明星辰信息技术有限公司泰合中心技术总监）：国信办20065号文件 指出：信息安全风险评估应贯穿于网络与信息系统建设运行的全过程。在网络与信息系 统的设计、验收及运行维护阶段均应当进行信息安全风险评估。如在网络与信息系统规 划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。我们通常所说 的安全风险评估一般都指的是信息系统运维阶段的风险评估，安全风险评估是对企业存 在的威胁进行评估、对安全措施有效性进行评估、以及对系统漏洞被利用的可能性进行 评估后的综合结果，是风险管理的重要组成部分，是信息安全工作中的重要一环。成功 实施安全风险评估可以准确了解企业的网络和系统安全现状，明晰企业的安

5、全需求，在此基础上制定企业网络和系统的安全策略以及企业网络和系统的安全 解决方案，指导企业下一步的安全建设和投入，最终建立企业的安全管 理框架。王晓东（同有赛博副总经理）：信息安全管理体系建设是一个系统 性的长期建设，而风险评估工作的重要性在于，风险评估工作始终贯穿 于整个信息安全管理体系的建设中。从信息安全管理体系的建立标准、 同有赛博的经验、和企业的实践中得知，风险评估这种贯穿是因为信息 安全风险管理工作的实际要求而形成。在COBIT、ISO27001等标准中，多处提到风险评 估。风险评估工作的成功实施对于安全管理体系建设的意义主要的有以下四点。一、使 企业的安全建设投入更有效。通过风险评

6、估，使企业全面了解和明确信息系统所面临的 风险、威胁和脆弱性。给企业决策者们对其信息系统的安全建设或安全改造思路提供有 效的参考数据，最终产生该信息系统的安全策略，针对信息系统当前的安全风险状况， 提出安全建议，构架安全体系，建立安全防护层次，选择可靠的安全产品，制定有效的 安全运维措施。二、使企业的风险管理工作落到实处。风险评估是建立信息安全管理体系和信息安 全风险管理的重要环节，安全评估后，以安全评估的结果为基础，结合所选择的信息安 全管理体系的标准，确认风险管理工作的控制点和有效测量值的定义。使到风险管理工 作更有针对性，更有效果。简单来说，就是运用标准和最佳实践，实现风险控制 预防 响

7、应恢复。三、风险评估是信息安全工作的核查手段，实现主动管理和主动防御的有效方法。 安全建设目标实现、保障有效性和适用性、调整技术和管理，都依赖于风险评估的结论。 风险评估的数据，不但可使用于企业内部，通过制订一套有效的风险管理工作流程，变 被动防御为主动防御，从被动管理转为主动管理。而且，可做为对引入的专业安全服务 公司水平的考量数据，引入合适的专业安全保障服务，协助实现主动防御和主动管理。四、风险评估能够协助实现DPCA信息安全管理模式。在安全风险评估周期中分为几个步骤？安全风险评估的重点是什么？ 结合电力行业特性，针对不同评估单位如电源、电网、电建，不同的单位 级别如集团级/电厂级或国家级

8、、省级、地市级，是否应该采取不同的方 法和偏重不同的重点？肖立昕（启明星辰信息技术有限公司泰合中心技术总监）：提到周期，从安全风险 评估的实施上讲，分为风险评估、风险控制和降低风险三个阶段，通过风险评估来识别 风险大小，通过制定信息安全方针；采取适当的控制目标与控制方式对风险进行控制； 逐步降低风险，使风险被避免、转移或降至一个可被接受的水平。其中风险评估又可以 划分为评估环境准备、资产评估、威胁评估、脆弱性评估、风险分析、安全策略和解决 方案制定等几个部分。安全风险评估的重点在于获得对目标系统安全风险的清楚认知， 有了正确的风险评估结果才能指导安全工作有效的进行。安全风险评估的重心在于信息

9、安全，不同行业的信息系统有一定的差异，但是总的分析方法和手段差异不大，对于电 力行业来说，由于电源、电网、电建的业务不同，其信息系统的建设也各不相同，在与 业务相关的部分，可以采用选择性调整分析方法，如对业务的威胁分析时可以考虑安全 数据流方法，针对复杂业务系统交互关系带来的影响进行分析。不同的单位级别可能对 信息系统规模造成影响，增加系统的复杂性，一般来说越复杂的信息系统所需要考虑的 问题越多，相比之下，低级别的单位注重解决现实的安全问题，高级别的单位更注重整 体的信息系统安全。王晓东（同有赛博副总经理）：通常的安全评估可分为确定评估范围、资产的识别 和估价、威胁评估、脆弱性评估、风险分析及

10、风险控制等6个步骤。风险评估的重点在 于，通过风险评估把风险管理工作日常化。对于不同评估单位如电源、电网、电建，不 同的单位级别如集团级、电厂级或者国家级、省级、地市级，安全评估应该采取不同的 方法和偏重不同的重点。可以分为通常的三大类：基本的风险评估、详细的风险评估、 综合的风险评估。对于不同的评估单位，由于风险管理的要求和业务的侧重点不一样， 评估服务提供商应针对企业不同的安全管理需求，制订安全评估的方法、范围、目标。 同有通过用以下三大点来衡量确定：确定安全评估范围需求：了解企业的管理要求和业 务流程，帮助企业分析、确认根本需求和目标需求；确认合法合规性的需求：确定企业 战略发展对企业的

11、安全管理要求，选择适合的评估指导标准；制订评估输出的目标：从 方法和重点的不一样，确定相应的评估输出。在整个安全风险评估周期中都要借助哪些评估工具？他们各有什么特 点？使用这些评估工具后能够获得哪些效果？肖立昕（启明星辰信息技术有限公司泰合中心技术总监）：在现阶段，安全风险评 估目前仍有大量工作需要依赖手工进行，靠安全专家来完成信息整合，比较常用的工具 包括漏洞扫描系统、入侵检测系统、安全审计系统、安全知识库、安全管理平台等。漏 洞扫描系统在脆弱性评估阶段使用，用于对系统进行脆弱性分析，在较高要求的环境下 还需要和人工控制台审计相结合才能提供完整的脆弱性评估结论，入侵检测系统和安全 审计系统用

12、于威胁评估阶段，数据结果在与专家分析结论结合后形成威胁评估结论，安 全知识库用于存储资产数据以及威胁评估、脆弱性评估的结论，安全管理平台是新的技 术工具，一般内置安全知识库，并能在线获取漏洞扫描、入侵检测、安全审计以及其它 安全设备的数据，并对这些数据进行在线分析，自动生成报告。目前的安全管理平台在 安全风险评估中一般用于风险控制和降低风险阶段，在风险评估阶段中的使用还在尝试、 摸索和改进中。除此之外，市场上还有风险自评估的工具，可以帮助用户完成相对较低 要求的风险评估工作。王晓东（同有赛博副总经理）：在安全评估项目中，会用到问卷调查、手动检查、 工具扫描、漏洞扫描、渗透测试等评估工具。由于评

13、估服务提供商的方法论和所使用的 自动化工具的不同，特点和效果会有很大的出入。对于扫描和测试，不管使用的是自主 开发的工具还是专业厂商的工具，服务提供商对攻击手段的理解和能够模拟实现攻击者 的攻击手段是最重要的。同友认为，风险是矛和盾的关系，能防得住可能有的攻击，才 是最好的防御，所以，对于评估工具的效果，主要决定于服务商对攻、防的理解和所掌 据的攻防手段。取决于服务提供商对工具的运用。电力企业对于自身信息安全评估制定自己的管理办法和行业法规，那 么安全风险评估在与电力法规遵从性上如何结合？肖立昕（启明星辰信息技术有限公司泰合中心技术总监）：目前安全风险评估的国 家标准信息安全风险评估指南和信息

14、安全风险管理指南经过数年的努力，目前 已经在报批阶段，即将发布，电力企业可以参照国家标准制定自己的管理办法和行业法 规。王晓东（同有赛博副总经理）：安全风险评估在与电力法规遵从性的结合可从二个 方面去做：一是主要与电力行业法规中有关风险管理和审计要求相结合。企业的战略发 展策略是企业的根本，在企业的战略发展策略中，风险管理和IT治理非常重要。目前企 业的信息系统支撑着企业业务的发展是不可置疑的，因而风险评估应遵从企业的管理办 法和行业法规，帮助企业运用标准，为风险管理提供数据，为审计提供素材，以符合企 业的战略发展中的相应要求。二是主要与企业要实现的信息安全管理体系相结合。企业 的信息安全管理

15、体系是一个系统工程，风险评估应结合企业不同阶段的风险管理要求和 企业的风险管理水平，现状，与企业的信息安全管理体系建设相结合。电力信息安全评估的周期应该为多长时间？电力信息安全评估业务是 否可以外包？外包的好处有哪些？在这点上，国外电力企业是如何做的？ 此项业务在我国开展得如何？存在哪些困难？肖立昕（启明星辰信息技术有限公司泰合中心技术总监）：从理论上讲，企业应该 能随时了解自身的安全状况，但是以目前的风险评估实施能力，无论自行实施还是外包 实施都不可能做到，参考国内其它行业，比如金融行业，人行的要求是每2年一次，电 力行业可以根据自身的情况来制定关于评估周期的要求，考虑到电力企业业务高度实时

16、 性的特点，也可以采用安全管理平台，建设实时的安全评估系统。安全评估业务外包无 论在国内还是国外都是比较普遍的行为，外包可以有效的降低成本，获得专业公司提供 的安全服务，但是外包也可能带来额外风险，外包风险的控制对于国内电力企业来说还 是一个比较新的问题，需要积累经验，建立相关的管理制度，也需要相关法律法规的支 持。王晓东（同有赛博副总经理）：电力信息系统全面专业的安全评估的周期应该一年 一次，以免影响信息系统业务的运行。但从风险管理工作的要求来看，企业应建立自我 评估体系，不定期的根据实际情况进行自我评估。电力信息安全评估业务可以外包。因 为风险评估毕竟是一个专业性很强的业务，需要对标准的理

17、解和释放，需要专业经验和 水平。另外，专业的风险评估和自我评估还是有很大的区别。风险评估业务在国内开展 了很长一段时间，以我个人感觉来说，大多数的风险评估都会遵从国际标准和国内的标 准，其结果是与企业的需求结合得并不紧密，所以，企业在进行完风险评估后，对其效 果，不同安全管理水平的不同企业会有不同的感受。如何使得风险评估贴近企业的安全 管理需求，实现企业的风险管理目标，而不是给客户提供一堆文档，要求进行安全产品 的建设，把风险评估后的安全产品建设变成风险评估的成果。这是值得风险评估服务提 供商深思的。贵公司的信息安全评估工作有哪些特色？借助了何种评估工具？在电 力领域将如何发展？肖立昕（启明星

18、辰信息技术有限公司泰合中心技术总监）：启明星辰是国内信息安 全评估行业的领导企业，在信息安全评估方面的知识、经验、理论、方法、工具和人才 都有非常深厚的积累，经过多年的积淀，融合信息安全评估的主流标准和技术，开发了 漏洞扫描、入侵检测、安全审计、安全自评估系统、安全管理平台等一系列评估工具和 产品，建立了安全评估所需要的知识库、工具库和漏洞库，培养了强大的技术人才梯队， 形成了有自身特色的安全评估技术体系。启明星辰愿意把自己的成功经验与电力行业分 享，支持电力行业安全评估工作的顺利开展，为电力行业提供贯穿信息系统生命周期的 安全服务，提供全系列的安全产品和解决方案。王晓东（同有赛博副总经理）：同有赛博的安全评估特点主要表现在以下方面：1、 同有赛博的安全评估特点在于充分重视企业的安全管理需求，使评估不单单停留在文档 输出方面，而是运用一套贴近企业安全管理需求的评估方法，让信息安全管理体系标准 在企业的实践中体现其价值。2、同有赛博的安全评估的目标是帮助企业把风险管理工作 实现日常化，建立起风险管理工作流程。3、同有赛博非常愿意对企业进行知识转移，会 在风险评估的不同阶