淺談電網(wǎng)企業(yè)信息安全管理體系建設(shè)中的風(fēng)險(xiǎn)管理

廖仲欽

（云南電網(wǎng)有限責(zé)任公司瑞麗供電局，云南 瑞麗 678600）

目前，電網(wǎng)企業(yè)對(duì)于信息化管理系統(tǒng)的依賴性時(shí)越來(lái)越強(qiáng)。企業(yè)信息化管理系統(tǒng)必須滿足：可用性、穩(wěn)定性、保密性、可擴(kuò)展性，這個(gè)四個(gè)基本要求。可在實(shí)際的運(yùn)行過程中卻常常出現(xiàn)系統(tǒng)意外停機(jī)、數(shù)據(jù)錯(cuò)誤、數(shù)據(jù)丟失，甚至還有多系統(tǒng)無(wú)法有效集成等諸多問題。ISO/IEC27000系列國(guó)際標(biāo)準(zhǔn)信息安全管理理念為電網(wǎng)企業(yè)提高了有效的解決方案和最佳實(shí)踐。本文具體論述在建設(shè)信息安全管理體系的過程中，實(shí)現(xiàn)風(fēng)險(xiǎn)的識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)控、風(fēng)險(xiǎn)應(yīng)對(duì)，從而真正實(shí)現(xiàn)企業(yè)信息安全。

1 信息安全風(fēng)險(xiǎn)管理的概念

信息安全風(fēng)險(xiǎn)管理是從滿足信息系統(tǒng)對(duì)可用性、穩(wěn)定性、保密性、可擴(kuò)展性的需求出發(fā)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的風(fēng)險(xiǎn)及其存在的薄弱點(diǎn)，評(píng)估安全事件可能造成的危害程度，提出防護(hù)對(duì)策和控制措施，防范和化解信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平，為確定和調(diào)整信息安全管理體系的范圍和邊界，選擇信息安全控制目表，制定適用性標(biāo)準(zhǔn)，提供依據(jù)。在組織實(shí)施信息風(fēng)險(xiǎn)管理的時(shí)候，首先要找出機(jī)構(gòu)當(dāng)中的信息系統(tǒng)所存在的漏洞，通過選擇適當(dāng)?shù)牟襟E以明確整個(gè)機(jī)構(gòu)的信息系統(tǒng)當(dāng)中所組成的部分，有機(jī)整合與分析其有效性、完整性和機(jī)密性。風(fēng)險(xiǎn)管理首先要對(duì)自己內(nèi)部的信息系統(tǒng)詳細(xì)熟知，對(duì)存在的風(fēng)險(xiǎn)問題要進(jìn)行主動(dòng)識(shí)別和檢查。其次要了解和分析來(lái)自于外部的風(fēng)險(xiǎn)威脅。

2 信息安全的風(fēng)險(xiǎn)識(shí)別

識(shí)別風(fēng)險(xiǎn)是對(duì)于企業(yè)信息化系統(tǒng)的單個(gè)或者整體的安全風(fēng)險(xiǎn)的來(lái)源進(jìn)行識(shí)別，并將所識(shí)別風(fēng)險(xiǎn)記錄在冊(cè)的一個(gè)過程。這個(gè)過程的主要作用：（1）將已經(jīng)識(shí)別的單個(gè)或者整體的信息安全風(fēng)險(xiǎn)進(jìn)行登記整理；（2）根據(jù)企業(yè)的要求或者一定的整理格式進(jìn)行匯總，方便企業(yè)能夠在信息系統(tǒng)的建設(shè)過程中能夠有效地應(yīng)對(duì)已經(jīng)識(shí)別的風(fēng)險(xiǎn)。這個(gè)過程伴隨著信息管理系統(tǒng)建設(shè)的整個(gè)周期，會(huì)一直反復(fù)地進(jìn)行開展。

在信息管理系統(tǒng)的整個(gè)建設(shè)過程中，單個(gè)安全風(fēng)險(xiǎn)有可能會(huì)隨著的信息管理系統(tǒng)建設(shè)工作的開展和深入而不斷地出現(xiàn)；另外整體的安全風(fēng)險(xiǎn)等級(jí)也會(huì)隨之出現(xiàn)變化，通常單個(gè)風(fēng)險(xiǎn)出現(xiàn)的次數(shù)越多，信息管理建設(shè)的難度就會(huì)加大，整體安全風(fēng)險(xiǎn)就會(huì)變得更加不可控。因此，風(fēng)險(xiǎn)識(shí)別是一個(gè)不斷迭代、漸進(jìn)明細(xì)的過程。這個(gè)迭代的次數(shù)和每次迭代需要的實(shí)際工作量也會(huì)根據(jù)實(shí)際情況發(fā)生變化的，所以要在風(fēng)險(xiǎn)管理計(jì)劃中給出具體的定義。識(shí)別風(fēng)險(xiǎn)時(shí)，要將識(shí)別過程進(jìn)行合理的規(guī)劃，規(guī)劃與組織相關(guān)人員參與其中，對(duì)信息系統(tǒng)的組件合理分類。詳細(xì)的劃分出信息構(gòu)件以及資產(chǎn)清單，并按照識(shí)別的要點(diǎn)展開分類。對(duì)可能存在的威脅和風(fēng)險(xiǎn)快速分辨。將對(duì)信息安全產(chǎn)生影響的因素展開風(fēng)險(xiǎn)評(píng)估，是為資產(chǎn)受到的攻擊賦值，評(píng)估漏洞攻擊的可能性，計(jì)算資產(chǎn)的相對(duì)風(fēng)險(xiǎn)因素，檢查可能的控制措施。記錄所發(fā)現(xiàn)的事件。

3 信息安全的風(fēng)險(xiǎn)分析

在組織實(shí)施信息安全風(fēng)險(xiǎn)應(yīng)對(duì)的過程當(dāng)中，第一要堅(jiān)持自主的原則。要組織企業(yè)內(nèi)部的信息化管理人員展開信息安全風(fēng)險(xiǎn)評(píng)估，對(duì)內(nèi)部存在的安全隱患快速排檢，提出針對(duì)化的解決方案，以有效規(guī)避信息安全。第二要始終堅(jiān)持適應(yīng)量度的原則，一個(gè)靈活的評(píng)估過程可以適應(yīng)不斷變化的技術(shù)和進(jìn)展。既不會(huì)因?yàn)槭艿疆?dāng)前威脅源的限制而導(dǎo)致模型出現(xiàn)不適應(yīng)現(xiàn)象，也不會(huì)因?yàn)槭艿较拗贫鴮?dǎo)致最終的信息安全風(fēng)險(xiǎn)評(píng)估存在落實(shí)困難現(xiàn)象。第三，對(duì)已定義的過程展開信息安全評(píng)估，詳細(xì)的描述信息安全評(píng)估程序依賴于已定義的標(biāo)準(zhǔn)化評(píng)估規(guī)程的需要。第四，連續(xù)過程的基礎(chǔ)原則。機(jī)構(gòu)必須實(shí)施基于實(shí)踐安全策略和計(jì)劃，以逐漸的改進(jìn)自身信息系統(tǒng)的安全狀態(tài)。

3.1 實(shí)施定性風(fēng)險(xiǎn)分析

實(shí)施定性風(fēng)險(xiǎn)分析就是通過分析單個(gè)風(fēng)險(xiǎn)可能發(fā)生的次數(shù)、可能會(huì)造成的影響以及其他的特征或者因素，將這些已經(jīng)識(shí)別的風(fēng)險(xiǎn)根據(jù)優(yōu)先級(jí)、重要性或者其他評(píng)判指標(biāo)進(jìn)行排序，為后面的分析或者制定應(yīng)對(duì)計(jì)劃提供理論基礎(chǔ)的一個(gè)過程。這個(gè)過程的主要重用是將這些優(yōu)先級(jí)高、重要性高的風(fēng)險(xiǎn)進(jìn)行重點(diǎn)關(guān)注，確定后期風(fēng)險(xiǎn)應(yīng)對(duì)工作的重心。因?yàn)閷?shí)施定性風(fēng)險(xiǎn)分析，是分析單個(gè)風(fēng)險(xiǎn)可能發(fā)生的次數(shù)、可能會(huì)對(duì)體系建設(shè)目標(biāo)造成的影響以及其他的特征或者因素，來(lái)確定風(fēng)險(xiǎn)優(yōu)先級(jí)的，所以這個(gè)分析方式會(huì)很強(qiáng)的主觀性。為了確保定性分析的有效，就需要充分了解和管理好本過程的關(guān)鍵參與者對(duì)已識(shí)別風(fēng)險(xiǎn)所所持有的態(tài)度。風(fēng)險(xiǎn)的感知很可能會(huì)導(dǎo)致在分析風(fēng)險(xiǎn)時(shí)出現(xiàn)偏差，所以要注意找出這些偏見并且加以改正。另外，分析單個(gè)風(fēng)險(xiǎn)時(shí)所依據(jù)的信息質(zhì)量，也可以幫助我們?nèi)コ吻屣L(fēng)險(xiǎn)的優(yōu)先級(jí)和重要性。

3.2 實(shí)施定量風(fēng)險(xiǎn)分析

實(shí)施定量風(fēng)險(xiǎn)分析是將已識(shí)別的風(fēng)險(xiǎn)和其他可能會(huì)對(duì)整體建設(shè)目標(biāo)造成影響的不確定性來(lái)源進(jìn)行定量分析的過程。這個(gè)過程的主要作用是，量化整體風(fēng)險(xiǎn)的敞口，并且提供額外的定量風(fēng)險(xiǎn)信息，用于支持后續(xù)的風(fēng)險(xiǎn)應(yīng)對(duì)措施。執(zhí)行定量風(fēng)險(xiǎn)分析通常會(huì)用到專業(yè)的風(fēng)險(xiǎn)分析工具，以及建立風(fēng)險(xiǎn)模型和計(jì)算風(fēng)險(xiǎn)影響的專業(yè)知識(shí)；另外這個(gè)過程還需要投入額外的時(shí)間和成本。所以這個(gè)定量分析一般是用于大型、復(fù)雜的系統(tǒng)，或者是對(duì)于企業(yè)具有戰(zhàn)略價(jià)值的信息化系統(tǒng)。由于這種分析會(huì)將單個(gè)風(fēng)險(xiǎn)和其他不確定影響因素進(jìn)行模型推演和統(tǒng)籌評(píng)估，是評(píng)估系統(tǒng)整體風(fēng)險(xiǎn)的惟一可靠方法，是降低后期風(fēng)險(xiǎn)的必要步驟。

3.3 信息安全的風(fēng)險(xiǎn)監(jiān)控

風(fēng)險(xiǎn)監(jiān)控是在整個(gè)體系建設(shè)周期里，監(jiān)控已制定好的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃的實(shí)施情況，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行跟蹤、確認(rèn)是否有新的風(fēng)險(xiǎn)進(jìn)行識(shí)別和風(fēng)險(xiǎn)，以及評(píng)估風(fēng)險(xiǎn)管理有效性的過程。這個(gè)過程的主要作用是確定風(fēng)險(xiǎn)應(yīng)對(duì)策略是否都是基于整體風(fēng)險(xiǎn)敞口，并未出現(xiàn)明顯偏差。這個(gè)過程伴隨著信息管理系統(tǒng)建設(shè)的整個(gè)周期，會(huì)一直反復(fù)地進(jìn)行開展。

4 信息安全的風(fēng)險(xiǎn)應(yīng)對(duì)

在控制風(fēng)險(xiǎn)的時(shí)候及策略大體分為幾個(gè)環(huán)節(jié)，首先要合理的避免風(fēng)險(xiǎn)出現(xiàn)，嘗試性的防止漏洞被利用而導(dǎo)致的風(fēng)險(xiǎn)。如，合理的應(yīng)用風(fēng)險(xiǎn)規(guī)避策略來(lái)避免風(fēng)險(xiǎn)，強(qiáng)化教育培訓(xùn)工作，注重對(duì)新技術(shù)的靈活運(yùn)用。將風(fēng)險(xiǎn)進(jìn)行轉(zhuǎn)移，比如，可以提供相應(yīng)的服務(wù)、修改部署模式，將企業(yè)的部分信息外包給其他機(jī)構(gòu)、購(gòu)買相應(yīng)的保險(xiǎn)、與供應(yīng)商簽署服務(wù)合同等。通過規(guī)劃和預(yù)先的準(zhǔn)備工作降低漏洞所產(chǎn)生的不良影響。若是不能有效的轉(zhuǎn)移和規(guī)避風(fēng)險(xiǎn)，那么應(yīng)該采取有效的手段進(jìn)行解決。首先要確定風(fēng)險(xiǎn)的等級(jí)，對(duì)風(fēng)險(xiǎn)做可能帶來(lái)的破壞和攻擊進(jìn)行合理評(píng)估。展開較為全面的成本效益分析，充分認(rèn)定某些功能服務(wù)信息或者是資產(chǎn)是不值得進(jìn)行保護(hù)的。

4.1 規(guī)避

規(guī)避是指采取具體的行動(dòng)來(lái)清除風(fēng)險(xiǎn)，或者使得建設(shè)信息系統(tǒng)免受這些風(fēng)險(xiǎn)的影響。這是一種積極應(yīng)對(duì)風(fēng)險(xiǎn)的方式，所以一般用于那些發(fā)生次數(shù)較多，并且對(duì)于系統(tǒng)建設(shè)會(huì)產(chǎn)生嚴(yán)重不利影響的那些優(yōu)先級(jí)很高的風(fēng)險(xiǎn)。這種規(guī)避風(fēng)險(xiǎn)的應(yīng)對(duì)方式往往會(huì)涉及到系統(tǒng)整體建設(shè)某些方面的變更，例如變更系統(tǒng)建設(shè)的某些指標(biāo)，延長(zhǎng)系統(tǒng)建設(shè)的周期，增加額外的投入等。這種應(yīng)對(duì)方式可以最大程度地去消除風(fēng)險(xiǎn)，也是風(fēng)險(xiǎn)應(yīng)對(duì)措施的首選方式。

4.2 轉(zhuǎn)移

轉(zhuǎn)移就是將應(yīng)對(duì)這些風(fēng)險(xiǎn)的責(zé)任轉(zhuǎn)移給第三方，讓第三方管理風(fēng)險(xiǎn)并且承擔(dān)風(fēng)險(xiǎn)發(fā)生時(shí)造成的不利影響。這種策略通常的處理方式有以下兩種辦法：（1）在確定建設(shè)系統(tǒng)之前購(gòu)買一份保險(xiǎn)，讓保險(xiǎn)公司去承擔(dān)系統(tǒng)建設(shè)過程中產(chǎn)生的風(fēng)險(xiǎn)；（2）在完成風(fēng)險(xiǎn)分析之后，將己方無(wú)法完成的那些高風(fēng)險(xiǎn)的工作，外包給其他供應(yīng)商，讓他們?nèi)ネ瓿蛇@些高風(fēng)險(xiǎn)的工作。

4.3 減輕

減輕就是采取一定的措施來(lái)降低風(fēng)險(xiǎn)發(fā)生的可能性或是風(fēng)險(xiǎn)發(fā)生時(shí)造成的不利影響。這種措施通過要在風(fēng)險(xiǎn)發(fā)生之前使用才會(huì)有效果，不推薦在風(fēng)險(xiǎn)發(fā)生之后使用，因?yàn)槭潞髲浹a(bǔ)很難對(duì)消除不利影響產(chǎn)生作用，甚至?xí)又啬切┎焕绊憽Ｍǔ５霓k法包括簡(jiǎn)化業(yè)務(wù)流程，進(jìn)行多次的審核、測(cè)試等。

5 結(jié)束語(yǔ)

在電網(wǎng)企業(yè)信息安全管理體系建立過程中，必須抓住風(fēng)險(xiǎn)管理這個(gè)核心，科學(xué)的、系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，有針對(duì)性地制定風(fēng)險(xiǎn)控制策略和風(fēng)險(xiǎn)控制措施，以便建立起完整的信息安全管理體系。通過采取合理的安全控制措施，以盡可能的降低漏洞被利用的可能性。從而可以保證信息系統(tǒng)的可用性、穩(wěn)定性、保密性、可擴(kuò)展性；更重要的是通過這種安全管理體系來(lái)持續(xù)地對(duì)信息安全管理進(jìn)行優(yōu)化和改進(jìn)，實(shí)現(xiàn)信息系統(tǒng)的自我完善和與時(shí)俱進(jìn)。