淺談電網企業信息安全管理體系建設中的風險管理

廖仲欽

（云南電網有限責任公司瑞麗供電局，云南 瑞麗 678600）

目前，電網企業對于信息化管理系統的依賴性時越來越強。企業信息化管理系統必須滿足：可用性、穩定性、保密性、可擴展性，這個四個基本要求。可在實際的運行過程中卻常常出現系統意外停機、數據錯誤、數據丟失，甚至還有多系統無法有效集成等諸多問題。ISO/IEC27000系列國際標準信息安全管理理念為電網企業提高了有效的解決方案和最佳實踐。本文具體論述在建設信息安全管理體系的過程中，實現風險的識別、風險評估、風險監控、風險應對，從而真正實現企業信息安全。

1 信息安全風險管理的概念

信息安全風險管理是從滿足信息系統對可用性、穩定性、保密性、可擴展性的需求出發，系統地分析網絡與信息系統所面臨的風險及其存在的薄弱點，評估安全事件可能造成的危害程度，提出防護對策和控制措施，防范和化解信息安全風險，或將風險控制在可接受的水平，為確定和調整信息安全管理體系的范圍和邊界，選擇信息安全控制目表，制定適用性標準，提供依據。在組織實施信息風險管理的時候，首先要找出機構當中的信息系統所存在的漏洞，通過選擇適當的步驟以明確整個機構的信息系統當中所組成的部分，有機整合與分析其有效性、完整性和機密性。風險管理首先要對自己內部的信息系統詳細熟知，對存在的風險問題要進行主動識別和檢查。其次要了解和分析來自于外部的風險威脅。

2 信息安全的風險識別

識別風險是對于企業信息化系統的單個或者整體的安全風險的來源進行識別，并將所識別風險記錄在冊的一個過程。這個過程的主要作用：（1）將已經識別的單個或者整體的信息安全風險進行登記整理；（2）根據企業的要求或者一定的整理格式進行匯總，方便企業能夠在信息系統的建設過程中能夠有效地應對已經識別的風險。這個過程伴隨著信息管理系統建設的整個周期，會一直反復地進行開展。

在信息管理系統的整個建設過程中，單個安全風險有可能會隨著的信息管理系統建設工作的開展和深入而不斷地出現；另外整體的安全風險等級也會隨之出現變化，通常單個風險出現的次數越多，信息管理建設的難度就會加大，整體安全風險就會變得更加不可控。因此，風險識別是一個不斷迭代、漸進明細的過程。這個迭代的次數和每次迭代需要的實際工作量也會根據實際情況發生變化的，所以要在風險管理計劃中給出具體的定義。識別風險時，要將識別過程進行合理的規劃，規劃與組織相關人員參與其中，對信息系統的組件合理分類。詳細的劃分出信息構件以及資產清單，并按照識別的要點展開分類。對可能存在的威脅和風險快速分辨。將對信息安全產生影響的因素展開風險評估，是為資產受到的攻擊賦值，評估漏洞攻擊的可能性，計算資產的相對風險因素，檢查可能的控制措施。記錄所發現的事件。

3 信息安全的風險分析

在組織實施信息安全風險應對的過程當中，第一要堅持自主的原則。要組織企業內部的信息化管理人員展開信息安全風險評估，對內部存在的安全隱患快速排檢，提出針對化的解決方案，以有效規避信息安全。第二要始終堅持適應量度的原則，一個靈活的評估過程可以適應不斷變化的技術和進展。既不會因為受到當前威脅源的限制而導致模型出現不適應現象，也不會因為受到限制而導致最終的信息安全風險評估存在落實困難現象。第三，對已定義的過程展開信息安全評估，詳細的描述信息安全評估程序依賴于已定義的標準化評估規程的需要。第四，連續過程的基礎原則。機構必須實施基于實踐安全策略和計劃，以逐漸的改進自身信息系統的安全狀態。

3.1 實施定性風險分析

實施定性風險分析就是通過分析單個風險可能發生的次數、可能會造成的影響以及其他的特征或者因素，將這些已經識別的風險根據優先級、重要性或者其他評判指標進行排序，為后面的分析或者制定應對計劃提供理論基礎的一個過程。這個過程的主要重用是將這些優先級高、重要性高的風險進行重點關注，確定后期風險應對工作的重心。因為實施定性風險分析，是分析單個風險可能發生的次數、可能會對體系建設目標造成的影響以及其他的特征或者因素，來確定風險優先級的，所以這個分析方式會很強的主觀性。為了確保定性分析的有效，就需要充分了解和管理好本過程的關鍵參與者對已識別風險所所持有的態度。風險的感知很可能會導致在分析風險時出現偏差，所以要注意找出這些偏見并且加以改正。另外，分析單個風險時所依據的信息質量，也可以幫助我們去澄清風險的優先級和重要性。

3.2 實施定量風險分析

實施定量風險分析是將已識別的風險和其他可能會對整體建設目標造成影響的不確定性來源進行定量分析的過程。這個過程的主要作用是，量化整體風險的敞口，并且提供額外的定量風險信息，用于支持后續的風險應對措施。執行定量風險分析通常會用到專業的風險分析工具，以及建立風險模型和計算風險影響的專業知識；另外這個過程還需要投入額外的時間和成本。所以這個定量分析一般是用于大型、復雜的系統，或者是對于企業具有戰略價值的信息化系統。由于這種分析會將單個風險和其他不確定影響因素進行模型推演和統籌評估，是評估系統整體風險的惟一可靠方法，是降低后期風險的必要步驟。

3.3 信息安全的風險監控

風險監控是在整個體系建設周期里，監控已制定好的風險應對計劃的實施情況，對已識別的風險進行跟蹤、確認是否有新的風險進行識別和風險，以及評估風險管理有效性的過程。這個過程的主要作用是確定風險應對策略是否都是基于整體風險敞口，并未出現明顯偏差。這個過程伴隨著信息管理系統建設的整個周期，會一直反復地進行開展。

4 信息安全的風險應對

在控制風險的時候及策略大體分為幾個環節，首先要合理的避免風險出現，嘗試性的防止漏洞被利用而導致的風險。如，合理的應用風險規避策略來避免風險，強化教育培訓工作，注重對新技術的靈活運用。將風險進行轉移，比如，可以提供相應的服務、修改部署模式，將企業的部分信息外包給其他機構、購買相應的保險、與供應商簽署服務合同等。通過規劃和預先的準備工作降低漏洞所產生的不良影響。若是不能有效的轉移和規避風險，那么應該采取有效的手段進行解決。首先要確定風險的等級，對風險做可能帶來的破壞和攻擊進行合理評估。展開較為全面的成本效益分析，充分認定某些功能服務信息或者是資產是不值得進行保護的。

4.1 規避

規避是指采取具體的行動來清除風險，或者使得建設信息系統免受這些風險的影響。這是一種積極應對風險的方式，所以一般用于那些發生次數較多，并且對于系統建設會產生嚴重不利影響的那些優先級很高的風險。這種規避風險的應對方式往往會涉及到系統整體建設某些方面的變更，例如變更系統建設的某些指標，延長系統建設的周期，增加額外的投入等。這種應對方式可以最大程度地去消除風險，也是風險應對措施的首選方式。

4.2 轉移

轉移就是將應對這些風險的責任轉移給第三方，讓第三方管理風險并且承擔風險發生時造成的不利影響。這種策略通常的處理方式有以下兩種辦法：（1）在確定建設系統之前購買一份保險，讓保險公司去承擔系統建設過程中產生的風險；（2）在完成風險分析之后，將己方無法完成的那些高風險的工作，外包給其他供應商，讓他們去完成這些高風險的工作。

4.3 減輕

減輕就是采取一定的措施來降低風險發生的可能性或是風險發生時造成的不利影響。這種措施通過要在風險發生之前使用才會有效果，不推薦在風險發生之后使用，因為事后彌補很難對消除不利影響產生作用，甚至會加重那些不利影響。通常的辦法包括簡化業務流程，進行多次的審核、測試等。

5 結束語

在電網企業信息安全管理體系建立過程中，必須抓住風險管理這個核心，科學的、系統地分析網絡與信息系統所面臨的風險，有針對性地制定風險控制策略和風險控制措施，以便建立起完整的信息安全管理體系。通過采取合理的安全控制措施，以盡可能的降低漏洞被利用的可能性。從而可以保證信息系統的可用性、穩定性、保密性、可擴展性；更重要的是通過這種安全管理體系來持續地對信息安全管理進行優化和改進，實現信息系統的自我完善和與時俱進。