企业信息安全风险评估模型

以供电企业的信息安全风险评估为例。通过研究各种风险评估理论，提出了一个以业务系统为核心、以ISO 27001标准为广度、以等级保护要求为深度的企业信息安全风险评估模型，如图8-6所示。

图8-6　信息安全风险评估模型

1.建立评估模型结构

模型首先确定系统的安全保护等级，接着，统计业务系统包含的信息资产，以系统的保护等级要求为基础，确定信息资产面临的威胁及脆弱性。在进行该步骤时，确定威胁来源是一个很重要的方面。将威胁分为管理类及技术类，其中，管理类威胁主要参考ISO 27001标准，技术类威胁参考等级保护及SG186总体防护方案。在此基础上对系统进行风险分析，并对中级以上的风险提出安全建议。

2.确定系统的保护等级

系统定级依据为国家等级保护标准——信息系统安全等级保护定级指南。以下简要说明业务系统的定级指南。标准将系统的保护等级从低到高分成五级：自主保护、指导保护、监督保护、强制保护及专控保护。规定了系统的保护等级由系统业务信息安全等级及服务安全等级决定，其中，信息安全等级及服务安全等级的确定方法如下：根据业务信息受到破坏时所侵害客体，即对三个客体（国家安全，社会秩序和公众利益，公民、法人和其他组织的合法权益）中的哪些客体造成侵害，以及受到破坏后对侵害客体的侵害程度来确定的，如表8-1所示。

表8-1　业务系统安全保护等级

系统的保护等级是由业务信息安全等级及服务安全等级中，级别最高的等级决定。以浙江省电力为例，重要应用系统已经基本集中到省公司，经过评估应用系统，保护等级最高为二级，属于指导性保护。

3.风险评估

本模型建立的风险评估，是以业务系统为核心的，在系统安全等级确定后，基本可以确定系统的评估深度。以此为基础，可进行系统风险的评估，其实施步骤如图8-7所示。

图8-7　风险评估实施步骤

第一，识别重要资产。风险评估是对重要资产进行的评估，第一个步骤就是资产识别。本模型以业务系统为核心，对其包含所有信息资产进行评估。业务系统包含的所有资产是形式多样的，包括数据、文档、软件、硬件、设施、服务、人员等要素。资产识别整理系统包含所有信息资产，进而识别重要资产。资产可以分为业务系统自有的资产及与其他系统共有的资产，如设施（物理环境）与网络设备等。在评估时，为简化过程，可将公用的资产与私有的资产分开评估。在本模型中，主要有两种资产识别方法：以业务系统为核心的信息资产评估，主要是对资产按其所属系统的保护等级进行相对估值，该方法体现了系统等级的重要性，得出的资产重要程度也体现了系统的等级，但是主观性较大；以及其他诸如网络、物理环境等公用资产，依据其信息安全属性（机密性、完整性、可用性等）进行计算，分析得出重要资产。通过这两种方法识别出所有的重要资产。

第二，威胁及脆弱性评估。完成重要资产的识别后，就开始进行威胁及脆弱性的分析。它是通过各类手段来确定重要资产面临威胁的过程，其中，确定系统的威胁来源是一个很重要的因素。在本模型中，从管理、技术、运维三个角度出发进行分析。

①管理类。事实表明，地区级供电企业普遍存在轻管理的现象。因此，进行管理类的威胁及脆弱性评估时，模型主要参考了ISO 27001信息安全管理体系的十大类威胁，它包括了信息安全组织，资产管理，人力资源安全，安全区域，通信和操作管理，访问控制，信息系统获取、开发和维护、信息安全事件管理，业务连续性管理，符合性共十大类的管理要求，是一个很全面的管理体系。

②技术类。技术脆弱性主要的参考依据是等级保护二级系统的要求，以及国家电网公司SG186总体防护方案，最终从安全域划分、网络边界、网络安全、主机安全、数据安全、物理安全、业务安全七个方面进行评估。具体评估时，可在各方面适当加入行业要求。

③运维类。运维类偏向管理，主要是检查业务系统是否有运维制度、制度是否合理，是否有系统变更的管理；检查安全监督考核机制，是否适度引入外部支持；检查信息安全监督考核机制等。

第三，风险分析及控制建议。完成威胁及脆弱性分析后，通过对业务系统当前的脆弱性进行计算，具体计算方法可参考“国家电网公司信息安全风险评估实施指南”。根据得出的脆弱性值，确定系统当前风险状况，并提出风险控制建议。本模型的风险分析结合了定量分析与定性分析，以定性分析为主要分析手段。最终根据风险值大小，将风险分为很高、高、中、低、很低五个级别，中以上的风险必须采取措施进行控制。评估方应提出相应的建议，对被评估单位当前存在的风险进行控制，控制建议应与风险一一对应

4.建立风险评估体系运行模式

风险评估是一个动态的过程，应按需求不定期地进行长期评估。本模型采用了“规划—检查—建议—处置”的风险动态评估过程，如图8-8所示。

图8-8　风险评估体系运行模式