安全风险评估对煤业管控的影响范文

风险评估工具

风险评估技术常用的工具一般有渗透测试工具和脆弱性扫描工具。渗透测试工具一般常使用人工结合渗透测试工具进行，常用的Web渗透测试工具有IBMAppScan、AWVS、HPWEBinspect，通常需对漏洞进行人工验证，以确定漏洞准确性。脆弱性扫描工具主要用于评估网络或主机存在的系统漏洞，常见工具有Nessus，能对主机、网络设备、安全设备进行扫描并形成脆弱性报告。此外，在风险评估过程中，除了利用上述工具来发现系统风险外，还需要利用系统现有数据来进行现状分析和趋势分析，这其中常用的手段有：入侵检测日志分析、主机日志分析、应用系统日志分析、主机/网络检查表等。

风险评估流程

1总体流程

根据风险评估中包含的各个要求，要分别进行实施，整体的风险评估流程如图3所示。

2风险评估准备阶段

通过做好准备工作，能够大大提升风险评估的效果，降低项目实施风险，该阶段是风险评估整个过程的重要组成部分。风险评估准备阶段一般应包含如下工作内容：明确风险评估范围、确定风险评估目标、组建项目团队、设定系统性风险评估方法、整体风险评估方案获得高层批准。

3资产识别阶段

资产识别主要针对现有的信息资产进行分类识别和描述，在识别的基础上从信息安全的角度，机密性、完整性和可用性对其进行赋值，确定信息资产的价值，作为影响分析的基础，典型资产类别可以分为：网络设备、服务器、终端、安全设备、物理环境、业务系统、数据、文档、组织和人员等。

4脆弱性识别

脆弱性评估常被称作弱点评估，是风险评估的重要工作，通过脆弱性评估能够发现信息资产存在的弱点。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性分类可分为技术脆弱性和管理脆弱性，其中技术脆弱性又可以细分为：物理安全、网络安全、系统安全、应用安全、数据安全5个方面。

5威胁识别

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。

环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害，也可能是偶发的或蓄意的事件。对威胁识别的简单方法就是对威胁进行分类，针对不同的威胁，可以根据其表现形式将威胁识别分为以下几类：软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。威胁分析方法首先需要考虑威胁的来源，然后分析存在哪些威胁种类，最后做出威胁来源和威胁种类的交叉表进行威胁赋值。

6风险分析

风险分析中要涉及资产、威胁、脆弱性3个基本要素，每个要素有各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

风险评估的主要内容

信息安全风险评估包含的内容涉及信息安全管理和技术，同时包括网络、系统、应用和数据等不同的技术层面，但根据保险行业的特定需求，总体定位在网络设备和网络架构方面的技术评估。主要内容包括：

1)信息资产的调查，主要针对网络拓扑，网络设备和服务器设备等。

2)网络架构弱点评估，针对目前的网络拓扑图进行弱点分析。

3)网络设备和服务器系统弱点评估，针对设备目前的系统配置进行分析，确认其是否达到应有的安全效果，结合渗透测试的手段。

4)现有安全控制措施，通过分析目前的安全控制措施，综合总结网络架构和设备的弱点。

5)整体网络威胁和风险分析，综合分析网络中面临的威胁和可能的风险，形成总体安全现状。

6)建议安全措施和规划。根据风险评估的成果和建设目标，形成建议的安全措施和时间进度，建立1-2年的信息安全规划。

项目实施成果

根据以上工作内容，项目的最终成果包括：

1)信息资产清单和分析结果。清晰明确系统和网络信息资产，明确其机密性、完整性和可用性的安全目标，同时确定资产的重要类别；必要时可以建立内部的信息资产库。

2)系统和网络脆弱性报告。明确服务器系统、网络设备、网络结构和安全设备可能存在的弱点。

3)系统和网络威胁报告。根据已有的弱点分析目前可能面临的威胁和威胁发生后对业务、系统和网络造成的影响。

4)安全现状报告。基于风险的安全现状总体分析报告，明确目前的网络安全风险。

5)建议安全措施和规划。从技术和管理的角度提出后期进行系统建设的安全控制措施。

结语

通过全方位地开展信息安全风险评估工作，能够有效提升保险业务系统的整体防护水平，全力保障各项应用的安全稳定运行。在此基础上，进一步规范保险业务信息系统与信息安全防护体系，及时发现各类安全隐患并采取措施尽可能的避免，从而全面提升保险业务系统的整体安全管理和技术应用水平。

作者：王得胜唐敬晓丁银磊单位：兖州煤业股份有限公司兴隆庄煤矿