等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估范文

時(shí)間:2023-06-06 17:57:25

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估

篇1

一、工作目標(biāo)

通過(guò)深入開(kāi)展此次專(zhuān)項(xiàng)活動(dòng),確保全市重要信息系統(tǒng)能夠全面進(jìn)行準(zhǔn)確定級(jí)和審核備案;全面組織等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估;全面開(kāi)展監(jiān)督檢查和建設(shè)整改;全面落實(shí)管理制度和安全責(zé)任,努力實(shí)現(xiàn)我市信息安全等級(jí)保護(hù)工作規(guī)范化、制度化、常態(tài)化的管理目標(biāo),不斷提高重要信息系統(tǒng)安全防范能力和應(yīng)急處置能力,為建國(guó)周年慶典活動(dòng)創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)環(huán)境。

二、工作任務(wù)

(一)全面進(jìn)行準(zhǔn)確定級(jí)和審核備案。各部門(mén)、各單位要參照國(guó)家機(jī)關(guān)、中央企事業(yè)單位及省直機(jī)關(guān)、省屬企事業(yè)單位已審核的信息系統(tǒng)安全保護(hù)等級(jí),對(duì)本單位信息系統(tǒng)全面進(jìn)行定級(jí)和審核備案。對(duì)于已經(jīng)定級(jí)、備案的系統(tǒng),凡符合上級(jí)國(guó)家機(jī)關(guān)、企事業(yè)單位安全保護(hù)等級(jí)的,可不再重新定級(jí)和審核備案,否則均要重新定級(jí)和審核備案;對(duì)于尚未定級(jí)和審核備案的系統(tǒng),都要比照上級(jí)部門(mén)信息系統(tǒng)安全保護(hù)等級(jí)逐一進(jìn)行定級(jí)備案。其中,安全保護(hù)等級(jí)確定為一級(jí)的信息系統(tǒng),公安機(jī)關(guān)應(yīng)做好登記工作。安全保護(hù)等級(jí)確定為二級(jí)以上的信息系統(tǒng),各信息系統(tǒng)運(yùn)營(yíng)使用單位要在公安機(jī)關(guān)辦理審核備案手續(xù),填寫(xiě)《信息安全等級(jí)保護(hù)備案表》,實(shí)行審核備案管理。全市重要信息系統(tǒng)定級(jí)和審核備案率要達(dá)到100%。

(二)全面組織等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估。關(guān)系到我市國(guó)計(jì)民生或影響面較大的二級(jí)信息系統(tǒng)和三級(jí)以上(含三級(jí))的重要信息系統(tǒng)都要按照《信息安全等級(jí)保護(hù)管理辦法》及省發(fā)改委、省公安廳、省國(guó)家保密局《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》要求,全面開(kāi)展等級(jí)測(cè)評(píng)及風(fēng)險(xiǎn)評(píng)估工作。其初次測(cè)評(píng)及風(fēng)險(xiǎn)評(píng)估率應(yīng)達(dá)到61%以上(其他尚未開(kāi)展初次測(cè)評(píng)的系統(tǒng)應(yīng)于年上半年完成)。

(三)全面開(kāi)展監(jiān)督檢查和建設(shè)整改。關(guān)系到我市國(guó)計(jì)民生或影響面較大的二級(jí)信息系統(tǒng)和三級(jí)以上(含三級(jí))的重要信息系統(tǒng)都要按照《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范》規(guī)定的檢查內(nèi)容、檢查項(xiàng)目、檢查要求等,全面組織開(kāi)展安全等級(jí)保護(hù)監(jiān)督檢查和限期整改工作,其監(jiān)督檢查率應(yīng)達(dá)到100%,限期整改率應(yīng)達(dá)到80%以上。其他被定為二級(jí)(含二級(jí))以下的信息系統(tǒng),可由信息系統(tǒng)運(yùn)營(yíng)使用單位進(jìn)行自查和整改。

三、工作步驟

(一)定級(jí)與備案階段(8月18日至9月15日)。市專(zhuān)項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組在8月31日前進(jìn)行組織動(dòng)員和工作部署,開(kāi)展信息系統(tǒng)普查,全面摸清底數(shù),掌握基本情況,確定定級(jí)對(duì)象。9月15日前,各重要信息系統(tǒng)運(yùn)營(yíng)使用單位要對(duì)照上級(jí)國(guó)家機(jī)關(guān)、企事業(yè)單位已審核備案的信息系統(tǒng)安全保護(hù)等級(jí),對(duì)應(yīng)確定本單位信息系統(tǒng)安全保護(hù)等級(jí),并做好申報(bào)備案。對(duì)審核符合安全保護(hù)等級(jí)要求的,由市專(zhuān)項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組頒發(fā)信息安全等級(jí)保護(hù)備案證明。凡審核定級(jí)不準(zhǔn)的,應(yīng)重新評(píng)審確定,為等級(jí)測(cè)評(píng)和檢查整改奠定基礎(chǔ)。

(二)測(cè)評(píng)與檢查階段(9月15日至11月30日)。市專(zhuān)項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組將對(duì)關(guān)系我市國(guó)計(jì)民生的二級(jí)信息系統(tǒng)及三級(jí)以上(含三級(jí))信息系統(tǒng)開(kāi)展安全等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估。市專(zhuān)項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組督促、指導(dǎo)各單位積極做好信息安全等級(jí)保護(hù)和監(jiān)督檢查工作。各重要信息系統(tǒng)運(yùn)營(yíng)使用單位要按照國(guó)家《信息安全等級(jí)保護(hù)管理辦法》和省發(fā)改委、省公安廳、省國(guó)家保密局《轉(zhuǎn)發(fā)國(guó)家有關(guān)部門(mén)關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》精神,提前做好人員、技術(shù)、經(jīng)費(fèi)等各項(xiàng)準(zhǔn)備工作,按時(shí)完成信息系統(tǒng)等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估。

(三)總結(jié)與整改階段(12月1日至12月31日)。市專(zhuān)項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組根據(jù)信息系統(tǒng)安全等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的安全隱患和問(wèn)題,向運(yùn)營(yíng)使用單位下發(fā)《整改通知書(shū)》,要求該單位限期對(duì)安全設(shè)施、技術(shù)措施、管理制度、安全產(chǎn)品、管理人員等方面存在的問(wèn)題進(jìn)行全面整改。各單位要制定相應(yīng)的建設(shè)整改方案,認(rèn)真搞好安全隱患的整改工作。

四、工作要求

(一)統(tǒng)一思想認(rèn)識(shí),切實(shí)加強(qiáng)領(lǐng)導(dǎo)。各地各有關(guān)部門(mén)要充分認(rèn)識(shí)當(dāng)前重要信息系統(tǒng)安全面臨的嚴(yán)峻形勢(shì),進(jìn)一步增強(qiáng)做好信息安全等級(jí)保護(hù)工作的責(zé)任感和緊迫感,務(wù)必把此項(xiàng)工作作為事關(guān)國(guó)家安全和社會(huì)穩(wěn)定,特別是國(guó)慶61周年安全保衛(wèi)的一項(xiàng)重要政治任務(wù),納入議事日程,擺在應(yīng)有位置。為切實(shí)加強(qiáng)領(lǐng)導(dǎo),成立荊州市深入開(kāi)展全市重要信息系統(tǒng)安全等級(jí)保護(hù)管理專(zhuān)項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組(名單附后),領(lǐng)導(dǎo)小組在本次專(zhuān)項(xiàng)活動(dòng)完成后,繼續(xù)擔(dān)負(fù)我市重要信息等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)職責(zé)。要建立健全信息安全等級(jí)保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)體制和工作機(jī)制,精心組織實(shí)施信息安全等級(jí)保護(hù)管理工作。各地各有關(guān)部門(mén)分管領(lǐng)導(dǎo)要親自?huà)鞄浿笓],按照“誰(shuí)主管,誰(shuí)負(fù)責(zé),誰(shuí)使用,誰(shuí)負(fù)責(zé)”的原則,成立領(lǐng)導(dǎo)小組,建立工作專(zhuān)班,確立聯(lián)絡(luò)人員,迅速行動(dòng)、全力以赴,大張旗鼓地組織開(kāi)展等級(jí)保護(hù)工作。

(二)深入動(dòng)員部署,精心組織實(shí)施。各重要信息系統(tǒng)運(yùn)營(yíng)使用單位要制定好本單位信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案,準(zhǔn)確定級(jí),并將相關(guān)資料上報(bào)市專(zhuān)項(xiàng)活動(dòng)領(lǐng)導(dǎo)小組辦公室。在定級(jí)完成后,要積極做好測(cè)評(píng)準(zhǔn)備工作,在人力、財(cái)力上給予充分保障。對(duì)檢測(cè)出來(lái)的問(wèn)題要及時(shí)向主管領(lǐng)導(dǎo)和上級(jí)部門(mén)報(bào)告,立即整改,把專(zhuān)項(xiàng)活動(dòng)的各項(xiàng)要求落到實(shí)處。

篇2

【關(guān)鍵詞】變壓器檢修;狀態(tài)評(píng)估;風(fēng)險(xiǎn)評(píng)估;應(yīng)用

0.引言

變壓器會(huì)受到多種因素的影響而發(fā)生故障,例如因?yàn)檫\(yùn)輸不當(dāng)、安裝錯(cuò)誤和運(yùn)行錯(cuò)誤等。一旦發(fā)生故障,會(huì)對(duì)電力系統(tǒng)的輸電能力產(chǎn)生影響,并對(duì)變壓器造成較為嚴(yán)重的損傷,甚至?xí)?dǎo)致大規(guī)模停電現(xiàn)象,帶來(lái)較大的經(jīng)濟(jì)損失。但是,對(duì)變壓器進(jìn)行檢修的工作難度較大,耗時(shí)較長(zhǎng)。所以,人們很早之前便開(kāi)始采用周期檢修的方式來(lái)保證整個(gè)電力系統(tǒng)的穩(wěn)定。但是,采用周期檢修的方式很有可能會(huì)導(dǎo)致各種設(shè)備的不健康工作,影響設(shè)備的正常運(yùn)行和實(shí)際使用壽命。所以,為了進(jìn)一步提高 電網(wǎng)和設(shè)備運(yùn)行的可靠性和安全性,我們需要積極的對(duì)變壓器檢修中狀態(tài)和風(fēng)險(xiǎn)評(píng)估策略進(jìn)行研究。

1.對(duì)變壓器的狀態(tài)評(píng)價(jià)和風(fēng)險(xiǎn)評(píng)估

1.1變壓器的狀態(tài)評(píng)價(jià)

對(duì)變壓器的檢修工作而言,狀態(tài)評(píng)價(jià)是十分關(guān)鍵的一步。對(duì)變壓器進(jìn)行狀態(tài)評(píng)價(jià)的時(shí)候需要采取動(dòng)態(tài)管理的形式。并需要對(duì)設(shè)備的相關(guān)數(shù)據(jù)進(jìn)行離線和在線測(cè)試。并持續(xù)、規(guī)范的對(duì)各種特征參量和基礎(chǔ)資料進(jìn) 行收集和全程的跟蹤管理。并對(duì)所有信息進(jìn)行綜合的分析和判斷,從而全面把握 變壓器的實(shí)際運(yùn)行狀態(tài)和健康水平以及發(fā)展趨勢(shì)等。在變壓器狀態(tài)的具體評(píng)價(jià)過(guò)程中,要綜合考慮變壓器多方面的具體信息,例如變壓器有載調(diào)壓開(kāi)關(guān)、負(fù)荷等,以及套管等主附件的制造工藝,還有歷史故障等各方面的信息。并針對(duì)變壓器的具體結(jié)構(gòu)特點(diǎn)和常見(jiàn)故障類(lèi)型進(jìn)行評(píng)價(jià),然后,根據(jù)變壓器不同方面信息的具體特點(diǎn),可以劃分出不同的試驗(yàn)方式等。例如,針對(duì)化學(xué)試驗(yàn)因素,可以劃分為絕緣紙老化測(cè)試和油質(zhì)試驗(yàn)等。對(duì)于不同類(lèi)型的狀態(tài)點(diǎn),要按照變壓器的實(shí)際工況對(duì)其具體等級(jí)進(jìn)行劃分,然后依據(jù)各個(gè)等級(jí)設(shè)置相應(yīng)的系數(shù),設(shè)置的時(shí)候要充分考慮到不同狀態(tài)點(diǎn)對(duì)變壓器健康狀態(tài)的影響程度。對(duì)于不同類(lèi)型的狀態(tài)量,在設(shè)置相應(yīng)的狀態(tài)點(diǎn)權(quán)重的時(shí)候,要考慮到其在變壓器整體狀態(tài)中所占的具體比重。

1.2變壓器風(fēng)險(xiǎn)評(píng)估

在結(jié)束對(duì)變壓器的狀態(tài)評(píng)價(jià)之后,可以開(kāi)始對(duì)變壓器進(jìn)行風(fēng)險(xiǎn)評(píng)估。通過(guò)風(fēng)險(xiǎn)評(píng)估,可以對(duì)變壓器正在面臨的,以及可能出現(xiàn)的的各種風(fēng)險(xiǎn)問(wèn)題進(jìn)行預(yù)測(cè)和確定,從而為變壓器狀態(tài)檢修的決策提供可考的參考依據(jù)。在具體的風(fēng)險(xiǎn)評(píng)估過(guò)程中,需要以變壓器的狀態(tài)評(píng)價(jià)結(jié)果為參考,對(duì)變壓器的各個(gè)方面進(jìn)行詳細(xì)的評(píng)估,例如安全問(wèn)題和環(huán)境問(wèn)題,以及效益問(wèn)題等,對(duì)變壓器的運(yùn)行風(fēng)險(xiǎn)進(jìn)行合理的評(píng)估。對(duì)變壓器的風(fēng)險(xiǎn)評(píng)估較為特殊,要充分考慮到 故障可能會(huì)導(dǎo)致的 連鎖反應(yīng) 以及停電所造成的社會(huì)影響。具體來(lái)講,對(duì)變壓器的風(fēng)險(xiǎn)評(píng)估主要要考慮以下一些方面的內(nèi)容:(1)安全問(wèn)題和影響問(wèn)題。一旦發(fā)生故障,便可能會(huì)對(duì)工作人員帶來(lái)較大的安全威脅,故障還極容易導(dǎo)致火災(zāi)的出現(xiàn),如果引發(fā)油泄漏還會(huì)對(duì)環(huán)境造成污染,產(chǎn)生一系列的較為惡劣的社會(huì)影響。所以,對(duì)變壓器的風(fēng)險(xiǎn)評(píng)估一定要考慮到安全問(wèn)題和影響問(wèn)題。(2)電網(wǎng)性能。變壓器發(fā)生故障很容易對(duì)電網(wǎng)性能帶來(lái)較大的風(fēng)險(xiǎn)。例如,如果因?yàn)榘l(fā)生一些較大的故障,一些變壓器不得不停運(yùn),便需要在短時(shí)間內(nèi)進(jìn)行負(fù)荷轉(zhuǎn)移。于是,便會(huì)給其他變壓器帶來(lái)一定的風(fēng)險(xiǎn),例如過(guò)負(fù)荷和備用容量的降低等。并會(huì)導(dǎo)致停電等現(xiàn)象,導(dǎo)致較為嚴(yán)重的電力企業(yè)電費(fèi)損失和各種社會(huì)經(jīng)濟(jì)損失。(3)設(shè)備損失。出現(xiàn)故障之后,為了保證設(shè)備重新恢復(fù)正常工作狀態(tài),需要對(duì)設(shè)備進(jìn)行維修等,便需要支出大量的硬件費(fèi)用和人工成本等。

2.變壓器檢修中狀態(tài)和風(fēng)險(xiǎn)評(píng)估策略的應(yīng)用

2.1檢修類(lèi)型

(1)A類(lèi)。A類(lèi)檢修是指對(duì)變壓器的吊罩和吊芯進(jìn)行檢查,還有檢查和改造變壓器的本體油箱和內(nèi)部部件,還有相關(guān)試驗(yàn)等。(2)B類(lèi)。①B1類(lèi)檢修是更換變壓器油箱外部的一些主要部件,例如調(diào)壓開(kāi)關(guān)和冷卻系統(tǒng),以及非電量保護(hù)裝置和絕緣油等。②B2類(lèi)檢修大多是處理各種部件,例如 油枕和調(diào)壓開(kāi)關(guān)以及非電量保護(hù)裝置等。以及其他一些工作,例如 現(xiàn)場(chǎng)干燥處理和更換、相關(guān)試驗(yàn)等。(3)C類(lèi)。①C1類(lèi)檢修:按Q/GDW168-2008《輸變電設(shè)備狀態(tài)檢修試驗(yàn)規(guī)程》規(guī)定進(jìn)行試驗(yàn)。②C2類(lèi)檢修:清掃、檢查、維修。(4)D類(lèi)。①D1類(lèi)檢修:在線和離線狀態(tài)下的帶電測(cè)試。②D2類(lèi)檢修:各種維修和保養(yǎng)工作。③D3類(lèi)檢修:帶電水沖洗。④D4類(lèi)檢修:對(duì)變壓器的檢查和巡視,需要有由妝也工作人員負(fù)責(zé)。⑤D5類(lèi)檢修:⑥D(zhuǎn)6類(lèi)檢修:其他不停電狀態(tài)下更換變壓器部件的工作。

2.2檢修策略的制定

在制定變壓器檢修策略的時(shí)候,要積極的參考對(duì)變壓器狀態(tài)評(píng)價(jià)和參考風(fēng)險(xiǎn)評(píng)估的具體結(jié)果,并根據(jù)相關(guān) 標(biāo)準(zhǔn)的具體規(guī)定和要求,對(duì)檢修的具體方式和內(nèi)容進(jìn)行確定,并制定出詳細(xì)的檢修方案。制定檢修方案的時(shí)候還需要綜合考慮到其他一些方面因素的影響,例如整個(gè)電網(wǎng)的發(fā)展、各種應(yīng)用技術(shù)的進(jìn)步等。在制定好檢修方案之后,還要合理的安排檢修工作,一般情況下,需要按照問(wèn)題的嚴(yán)重程度和檢修工作的緊迫程度合理安排檢修工作的具體時(shí)間。根據(jù)對(duì)變壓器的狀態(tài)評(píng)價(jià),制定出相應(yīng)的檢修方案。并積極參考風(fēng)險(xiǎn)評(píng)估結(jié)果,對(duì)制定好的檢修方案進(jìn)行優(yōu)化。一般情況下,A、B、C類(lèi)檢修對(duì)變壓器的安全運(yùn)行影響較大,所以在進(jìn)行檢修的時(shí)候要保證設(shè)備的安全、穩(wěn)定運(yùn)行。而對(duì)于D類(lèi)型的檢修,則需要工作人員充分依照對(duì)變壓器進(jìn)行風(fēng)險(xiǎn)評(píng)估的具體結(jié)果,估算出檢修所耗費(fèi)的實(shí)際成本,并需要綜合考慮檢修完畢后變壓器存在的風(fēng)險(xiǎn)問(wèn)題等多種因素,制定詳細(xì)的檢修方案,并不斷予以?xún)?yōu)化,最終確定出最佳的檢修方案。另外,如果經(jīng)過(guò)分析,發(fā)現(xiàn)實(shí)際檢修工作的任務(wù)量較大,檢修工作較繁重的時(shí)候,可以按照具體的風(fēng)險(xiǎn)大小,優(yōu)先對(duì)那些風(fēng)險(xiǎn)較大的設(shè)備進(jìn)行檢修。

3.結(jié)語(yǔ)

變壓器的檢修工作直接關(guān)系到整個(gè)電網(wǎng)的穩(wěn)定運(yùn)行,本文,我們基于狀態(tài)和風(fēng)險(xiǎn)評(píng)估模式,積極地分析多方面因素的影響,制定出詳細(xì)合理的變壓器檢修中應(yīng)用狀態(tài)和風(fēng)險(xiǎn)評(píng)估的具體策略,從而不斷提高變壓器檢修工作的技術(shù)性和經(jīng)濟(jì)性。 [科]

【參考文獻(xiàn)】

[1]陳立,郭麗娟,鄧雨榮,等.基于狀態(tài)和風(fēng)險(xiǎn)評(píng)估的老舊變壓器安全經(jīng)濟(jì)性分析[J].南方電網(wǎng)技術(shù),2010,04(01):64-67.

[2]郭麗娟,魯宗相,鄧雨榮,等.基于風(fēng)險(xiǎn)的輸變電設(shè)備狀態(tài)檢修實(shí)用技術(shù)體系[J].南方電網(wǎng)技術(shù),2011(02):91-92.

[3]杜平,劉浩,張華,等.基于狀態(tài)檢修的電力變壓器風(fēng)險(xiǎn)評(píng)估指標(biāo)和方法[J].電氣技術(shù),2012(10):59-61.

篇3

【關(guān)鍵詞】安全風(fēng)險(xiǎn);安全措施;風(fēng)險(xiǎn)評(píng)估報(bào)告

1.前言

建筑業(yè)是危險(xiǎn)性較大的行業(yè)之一,安全生產(chǎn)管理的任務(wù)十分艱巨,安全生產(chǎn)不僅關(guān)系到廣大群眾的根本利益,也關(guān)系到企業(yè)的形象,還關(guān)系到國(guó)家和民族的形象,甚至影響著社會(huì)的穩(wěn)定和發(fā)展。黨的十六屆五中全會(huì)確立了“安全生產(chǎn)”的指導(dǎo)原則,我國(guó)“十一五”發(fā)展規(guī)劃中首次提出了“安全發(fā)展”的新理念。所有這些表明,安全生產(chǎn)已成為生產(chǎn)經(jīng)營(yíng)活動(dòng)的基本保障,更是當(dāng)前建筑工程行業(yè)管理的首要目標(biāo)。

風(fēng)險(xiǎn)評(píng)估的目的是為了全面了解建設(shè)安全的總體安全狀況,并明確掌握系統(tǒng)中各資產(chǎn)的風(fēng)險(xiǎn)級(jí)別或風(fēng)險(xiǎn)值,從而為工程安全管理措施的制定提供參考。因此可以說(shuō)風(fēng)險(xiǎn)評(píng)估是建立安全管理體系(ISMS)的基礎(chǔ),也是前期必要的工作。風(fēng)險(xiǎn)評(píng)估包括兩個(gè)過(guò)程:風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)[1][2]。風(fēng)險(xiǎn)分析是指系統(tǒng)化地識(shí)別風(fēng)險(xiǎn)來(lái)源和風(fēng)險(xiǎn)類(lèi)型,風(fēng)險(xiǎn)評(píng)價(jià)是指按給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)估算風(fēng)險(xiǎn)水平,確定風(fēng)險(xiǎn)嚴(yán)重性。

2.風(fēng)險(xiǎn)評(píng)估模型與方法

風(fēng)險(xiǎn)評(píng)估安全要素主要包括資產(chǎn)、脆弱性、安全風(fēng)險(xiǎn)、安全措施、安全需求、殘余風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)評(píng)估的過(guò)程中要對(duì)以上方面的安全要素進(jìn)行識(shí)別、分析。

2.1 資產(chǎn)識(shí)別與賦值

一個(gè)組織的信息系統(tǒng)是由各種資產(chǎn)組成,資產(chǎn)的自身價(jià)值與衍生價(jià)值決定信息系統(tǒng)的總體價(jià)值。資產(chǎn)的安全程度直接反映信息系統(tǒng)的安全水平。因此資產(chǎn)的價(jià)值是風(fēng)險(xiǎn)評(píng)估的對(duì)象。

本文的風(fēng)險(xiǎn)評(píng)估方法將資產(chǎn)主要分為硬件資產(chǎn)、軟件資產(chǎn)、文檔與數(shù)據(jù)、人力資源、信息服務(wù)等[1][2]。建設(shè)工程的資產(chǎn)主要體現(xiàn)在建筑產(chǎn)品、施工人員、施工機(jī)械等。

風(fēng)險(xiǎn)評(píng)估的第一步是界定ISMS的范圍,并盡可能識(shí)別該范圍內(nèi)對(duì)業(yè)務(wù)過(guò)程有價(jià)值的所有事物。

資產(chǎn)識(shí)別與賦值階段主要評(píng)價(jià)要素為{資產(chǎn)名稱(chēng)、責(zé)任人、范圍描述、機(jī)密性值C、完整性值I、可用性值A(chǔ)、QC、QI、QA}。QC、QI、QA分別為保密性,完整性,可用性的權(quán)重,QC=C / (C+I+A),QI、QA類(lèi)似。

2.2 識(shí)別重要資產(chǎn)

信息系統(tǒng)內(nèi)部的資產(chǎn)很多,但決定工程安全水平的關(guān)鍵資產(chǎn)是相對(duì)有限的,在風(fēng)險(xiǎn)評(píng)估中可以根據(jù)資產(chǎn)的機(jī)密性、完整性和可用性這三個(gè)安全屬性來(lái)確定資產(chǎn)的價(jià)值。

通常,根據(jù)實(shí)際經(jīng)驗(yàn),三個(gè)安全屬性中最高的一個(gè)對(duì)最終的資產(chǎn)價(jià)值影響最大。換而言之,整體安全屬性的賦值并不隨著三個(gè)屬性值的增加而線性增加,較高的屬性值具有較大的權(quán)重。

在風(fēng)險(xiǎn)評(píng)估方法中使用下面的公式來(lái)計(jì)算資產(chǎn)價(jià)值:

資產(chǎn)價(jià)值=10×Round{Log2[(2C+2I+2A)/3]}

其中,C代表機(jī)密性賦值;I代表完整性賦值;A代表可用性賦值;Round{}表示四舍五入。

從上述表達(dá)式可以發(fā)現(xiàn):三個(gè)屬性值每相差一,則影響相差兩倍,以此來(lái)體現(xiàn)最高安全屬性的決定性作用。在實(shí)際評(píng)估中,常常選擇資產(chǎn)價(jià)值大于25的為重要資產(chǎn)。

2.3 威脅與脆弱性分析

識(shí)別并評(píng)價(jià)資產(chǎn)后,應(yīng)識(shí)別每個(gè)資產(chǎn)可能面臨的威脅。在識(shí)別威脅時(shí),應(yīng)該根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來(lái)判斷。需要注意的是,一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅,而一個(gè)威脅也可能對(duì)不同的資產(chǎn)造成影響。

識(shí)別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物,即所謂的威脅源或威脅。建筑企業(yè)的威脅源主要是四個(gè)方面:人的不安全行為,物的不安全因素、環(huán)境的不安全因素、管理的不安全因素。

識(shí)別資產(chǎn)面臨的威脅后,還應(yīng)根據(jù)經(jīng)驗(yàn)或相關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或概率。評(píng)估威脅可能性時(shí)有兩個(gè)關(guān)鍵因素需要考慮:威脅動(dòng)機(jī)和威脅能力。威脅源的能力和動(dòng)機(jī)可以用極低、低、中等、高、很高(1、2、3、4、5)這五級(jí)來(lái)衡量。脆弱性,即可被威脅利用的弱點(diǎn),識(shí)別主要以資產(chǎn)為核心,從技術(shù)和管理兩個(gè)方面進(jìn)行。在評(píng)估中可以分為五個(gè)等級(jí):幾乎無(wú)(1)、輕微(2)、一般(3)、嚴(yán)重(4)、非常嚴(yán)重(5)。在風(fēng)險(xiǎn)評(píng)估中,現(xiàn)有安全措施的識(shí)別也是一項(xiàng)重要工作,因?yàn)樗彩菦Q定資產(chǎn)安全等級(jí)的一個(gè)重要因素。我們要在分析安全措施效力的基礎(chǔ)上,確定威脅利用脆弱性的實(shí)際可能性。

2.4 綜合風(fēng)險(xiǎn)值

資產(chǎn)的綜合風(fēng)險(xiǎn)值是以量化的形式來(lái)衡量資產(chǎn)的安全水平。在計(jì)算風(fēng)險(xiǎn)值時(shí),以威脅最主要影響資產(chǎn)C、I、A三安全屬性所對(duì)應(yīng)的系數(shù)QC、QI、QA為權(quán)重。計(jì)算方法為:

威脅的風(fēng)險(xiǎn)值(RT)=威脅的影響值(I)×威脅發(fā)生的可能性(P);

2.5 風(fēng)險(xiǎn)處理

通過(guò)前面的過(guò)程,我們得到資產(chǎn)的綜合風(fēng)險(xiǎn)值,根據(jù)組織的實(shí)際情況,和管理層溝通后劃定臨界值來(lái)確定被評(píng)估的風(fēng)險(xiǎn)結(jié)果是可接收還是不可接收的。

對(duì)于不可接收的風(fēng)險(xiǎn)按風(fēng)險(xiǎn)數(shù)值排序或通過(guò)區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級(jí),對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)優(yōu)先分配資源進(jìn)行保護(hù)。

對(duì)于不可接收的風(fēng)險(xiǎn)處理方法有四種[3]:

1)風(fēng)險(xiǎn)回避,組織可以選擇放棄某些業(yè)務(wù)或資產(chǎn),以規(guī)避風(fēng)險(xiǎn)。是以一定的方式中斷風(fēng)險(xiǎn)源,使其不發(fā)生或不再發(fā)展,從而避免可能產(chǎn)生的潛在損失。例如投標(biāo)中出現(xiàn)明顯錯(cuò)誤或漏洞,一旦中標(biāo)損失巨大,可以選擇放棄中標(biāo)的原則,可能會(huì)損失投標(biāo)保證金,但可避免更大的損失。

2) 降低風(fēng)險(xiǎn):實(shí)施有效控制,將風(fēng)險(xiǎn)降低到可接收的程度,實(shí)際上就是設(shè)法減少威脅發(fā)生的可能性和帶來(lái)的影響,途徑包括:

a.減少威脅:例如降低物的不安全因素和人的不安全因素。

b.減少脆弱性:例如,通過(guò)安全教育和意識(shí)培訓(xùn),強(qiáng)化員工的安全意識(shí)等。

c.降低影響:例如災(zāi)難計(jì)劃,把風(fēng)險(xiǎn)造成的損失降到最低。

d.監(jiān)測(cè)意外事件、響應(yīng),并恢復(fù):例如應(yīng)急計(jì)劃和預(yù)防計(jì)劃,及時(shí)發(fā)現(xiàn)出現(xiàn)的問(wèn)題。

3)轉(zhuǎn)移風(fēng)險(xiǎn):將風(fēng)險(xiǎn)全部或者部分轉(zhuǎn)移到其他責(zé)任方,是建筑行業(yè)風(fēng)險(xiǎn)管理中廣泛采用的一項(xiàng)對(duì)策,例如,工程保險(xiǎn)和合同轉(zhuǎn)移是風(fēng)險(xiǎn)轉(zhuǎn)移的主要方式。

4)風(fēng)險(xiǎn)自留: 適用于別無(wú)選擇、期望損失不嚴(yán)重、損失可準(zhǔn)確預(yù)測(cè)、企業(yè)有短期內(nèi)承受最大潛在損失的能力、機(jī)會(huì)成本很大、內(nèi)部服務(wù)優(yōu)良的風(fēng)險(xiǎn)。

選擇風(fēng)險(xiǎn)處理方式,要根據(jù)組織運(yùn)營(yíng)的具體業(yè)務(wù)環(huán)境與條件來(lái)決定,總的原則就是控制措施要與特定的業(yè)務(wù)要求匹配。最佳實(shí)踐是將合適的技術(shù)、恰當(dāng)?shù)娘L(fēng)險(xiǎn)消減策略,以及管理規(guī)范有機(jī)結(jié)合起來(lái),這樣才能達(dá)到較好的效果。

通過(guò)風(fēng)險(xiǎn)處理后,并不能絕對(duì)消除風(fēng)險(xiǎn),仍然存在殘余風(fēng)險(xiǎn):

殘余風(fēng)險(xiǎn)Rr =原有的風(fēng)險(xiǎn)Ro-控制R

目標(biāo):殘余風(fēng)險(xiǎn)Rr≤可接收的風(fēng)險(xiǎn)Rt,力求將殘余風(fēng)險(xiǎn)保持在可接受的范圍內(nèi),對(duì)殘余風(fēng)險(xiǎn)進(jìn)行有效控制并定期評(píng)審。

主要評(píng)估兩方面:不可接受風(fēng)險(xiǎn)處理計(jì)劃表,主要評(píng)價(jià)要素為{資產(chǎn)名稱(chēng)、責(zé)任人、威脅、脆弱點(diǎn)、已有控制措施、風(fēng)險(xiǎn)處理方式、優(yōu)先處理等級(jí)、風(fēng)險(xiǎn)處理措施、處理人員、完成日期};殘余風(fēng)險(xiǎn)評(píng)估表,主要評(píng)價(jià)要素為{資產(chǎn)名稱(chēng)、責(zé)任人、威脅、脆弱點(diǎn)、已有控制措施、增加的控制措施、殘余威脅發(fā)生可能性、殘余威脅影響程度、殘余風(fēng)險(xiǎn)值}。

2.6 風(fēng)險(xiǎn)評(píng)估報(bào)告

在風(fēng)險(xiǎn)評(píng)估結(jié)束后,經(jīng)過(guò)全面分析研究,應(yīng)提交詳細(xì)的《安全風(fēng)險(xiǎn)評(píng)估報(bào)告》,報(bào)告應(yīng)該包括[4]:

1) 概述,包括評(píng)估目的、方法、過(guò)程等。

2) 各種評(píng)估過(guò)程文檔,包括重要資產(chǎn)清單、安全威脅和脆弱性清單、現(xiàn)有控制措施的評(píng)估等級(jí),最終的風(fēng)險(xiǎn)評(píng)價(jià)等級(jí)、殘余風(fēng)險(xiǎn)處理等。

3)推薦安全措施建議。

3.結(jié)論

目前仍有相當(dāng)一部分施工現(xiàn)場(chǎng)存在各種安全隱患,安全事故層出不群,不僅給人們帶來(lái)劇痛的傷亡和財(cái)產(chǎn)損失,還給社會(huì)帶來(lái)不穩(wěn)定的因素。風(fēng)險(xiǎn)評(píng)估是工程安全領(lǐng)域中的一個(gè)重要分支,涉及到計(jì)算機(jī)科學(xué)、管理學(xué)、建筑工程安全技術(shù)與管理等諸多學(xué)科,本文的評(píng)估方法綜合運(yùn)用了定性、定量的手段來(lái)確定建設(shè)工程中各個(gè)安全要素,最終衡量出建設(shè)工程的安全狀況與水平,為建立安全管理體系ISMS提供基礎(chǔ),對(duì)建設(shè)工程的風(fēng)險(xiǎn)評(píng)估具有一定的借鑒意義。

參考文獻(xiàn):

[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.

篇4

關(guān)鍵詞:電力通信傳輸網(wǎng);狀態(tài)評(píng)價(jià);風(fēng)險(xiǎn)評(píng)估;傳輸設(shè)備

1研究背景

對(duì)比周期、定期等初期設(shè)備運(yùn)維技術(shù),管理人已意識(shí)到以設(shè)備運(yùn)行數(shù)據(jù)為依據(jù)的狀態(tài)性運(yùn)維(或稱(chēng)差異性運(yùn)維),能解決健康設(shè)備過(guò)度運(yùn)維、隱患設(shè)備未得到足夠關(guān)注、缺陷未能及時(shí)發(fā)現(xiàn)等具體問(wèn)題,進(jìn)而實(shí)現(xiàn)運(yùn)維的降本增效。完善設(shè)備狀態(tài)評(píng)價(jià)和風(fēng)險(xiǎn)評(píng)估,是實(shí)現(xiàn)運(yùn)維成本最小化和最優(yōu)化的基礎(chǔ)。

2實(shí)時(shí)運(yùn)行狀況的總體分析模型

現(xiàn)有的實(shí)時(shí)運(yùn)行狀態(tài)評(píng)價(jià)以網(wǎng)管監(jiān)控、設(shè)備電源、運(yùn)行資料外部條件和設(shè)備硬件配置為評(píng)價(jià)依據(jù)。而對(duì)于通信傳輸網(wǎng)設(shè)備而言,通過(guò)對(duì)設(shè)備、板卡、光路等的告警信息的分析,可及時(shí)發(fā)現(xiàn)隱患,因此不應(yīng)忽略這些信息。傳輸設(shè)備提供的信息包括“緊急告警”和“性能事件”信息2類(lèi),其中,緊急告警信息(LOS、LOF等)顯示業(yè)務(wù)已中斷,應(yīng)納入歷史檢修或缺陷進(jìn)行記錄后輔助決策;性能事件信息(誤碼、光路性能事件等)顯示設(shè)備性能指標(biāo)、參數(shù)低于標(biāo)準(zhǔn),需予以關(guān)注,應(yīng)作為主要評(píng)價(jià)數(shù)據(jù)進(jìn)行收集。為體現(xiàn)分析過(guò)程中各要素的相互影響及缺陷累加效應(yīng),現(xiàn)定義基于設(shè)備告警特性的實(shí)時(shí)運(yùn)行狀況分析模型:①各評(píng)價(jià)要素中最高狀態(tài)定級(jí)作為設(shè)備整體定級(jí);②除正常狀態(tài)以外,如果存在3個(gè)以上同級(jí)別狀態(tài),則將設(shè)備整體狀態(tài)向上提一級(jí);③設(shè)備總體定級(jí)取上述2項(xiàng)條件確定的最大值。圖1所示為基于傳輸設(shè)備告警特性的實(shí)時(shí)運(yùn)行狀況的總體分析模型。

3通信傳輸設(shè)備可能損失評(píng)價(jià)模型

目前,通信傳輸設(shè)備可能損失評(píng)估關(guān)注因素包括設(shè)備重要性、設(shè)備可能損失資產(chǎn)、影響用戶(hù)情況,3項(xiàng)權(quán)重和為1.下面結(jié)合惠州本地傳輸網(wǎng)特點(diǎn)、通信專(zhuān)業(yè)KPI評(píng)價(jià)體系等內(nèi)容,提出一些改良建議。

3.1基于現(xiàn)網(wǎng)業(yè)務(wù)特點(diǎn)的設(shè)備重要性分析模型

電力通信傳輸網(wǎng)以子網(wǎng)連接保護(hù)(SNCP)的方式開(kāi)通業(yè)務(wù)。其特點(diǎn)在于:業(yè)務(wù)通道途徑任一節(jié)點(diǎn)故障將對(duì)主備通道進(jìn)行切換,而切換動(dòng)作由端節(jié)點(diǎn)完成。就業(yè)務(wù)通斷而言,各節(jié)點(diǎn)重要性一致,邏輯上不存在層與層之間的分界點(diǎn)。而目前,僅基于設(shè)備處于網(wǎng)絡(luò)結(jié)構(gòu)中的位置對(duì)其重要性進(jìn)行評(píng)估存在一定的片面性,設(shè)備的重要性應(yīng)同時(shí)從設(shè)備故障對(duì)通信網(wǎng)的影響程度和設(shè)備故障對(duì)承載業(yè)務(wù)的影響程度2方面綜合確定,設(shè)備重要性評(píng)價(jià)模型如表1所示。

3.2通信傳輸設(shè)備可能損失資產(chǎn)評(píng)估分析模型

設(shè)備可能損失資產(chǎn)指通信設(shè)備自身的價(jià)值損失,按要求以設(shè)備的通信容量等級(jí)來(lái)衡量。

3.3基于KPI評(píng)價(jià)體系的故障影響用戶(hù)分析模型

通信專(zhuān)業(yè)評(píng)價(jià)指標(biāo)可分為2部分,即安全運(yùn)行指標(biāo)和通信服務(wù)評(píng)價(jià)指標(biāo)。其中,安全運(yùn)行指標(biāo)用于評(píng)價(jià)通信對(duì)電力生產(chǎn)安全的支撐能力;通信服務(wù)指標(biāo)用于評(píng)價(jià)通信對(duì)各業(yè)務(wù)線的服務(wù)支撐能力。通過(guò)分析指標(biāo)關(guān)聯(lián)的業(yè)務(wù)系統(tǒng),可得出各指標(biāo)完成過(guò)程中需格外重視的傳輸網(wǎng)業(yè)務(wù)成分(KPA)。目前,影響用戶(hù)情況評(píng)估以設(shè)備故障中斷生產(chǎn)實(shí)時(shí)業(yè)務(wù)通道的類(lèi)型和電路數(shù)量衡量,通過(guò)計(jì)算繼電保護(hù)通道、穩(wěn)控系統(tǒng)通道、調(diào)度自動(dòng)化通道數(shù)量后取值。而對(duì)于地區(qū)局而言,指標(biāo)考核壓力同時(shí)來(lái)自安全運(yùn)行和通信服務(wù),結(jié)合“80/20”原則對(duì)用戶(hù)影響評(píng)估方式作如下調(diào)整,具體如表2所示。

4通信傳輸設(shè)備風(fēng)險(xiǎn)值計(jì)算及風(fēng)險(xiǎn)定級(jí)

風(fēng)險(xiǎn)評(píng)估以風(fēng)險(xiǎn)值為指標(biāo),綜合考慮通信傳輸設(shè)備的可能損失及設(shè)備發(fā)生故障的概率這兩者的作用。風(fēng)險(xiǎn)值按下列公式計(jì)算:R(t)=LE(t)×P(t).(1)式(1)中:R為風(fēng)險(xiǎn)值(Risk);LE為可能損失(LossExpectancy);P為平均故障率(Probability);t為某時(shí)刻(Time)。風(fēng)險(xiǎn)的影響及危害程度按風(fēng)險(xiǎn)值大小進(jìn)行區(qū)分,分為4個(gè)風(fēng)險(xiǎn)級(jí)別:Ⅰ級(jí)、Ⅱ級(jí)、Ⅲ級(jí)和Ⅳ級(jí),其中,對(duì)于同類(lèi)設(shè)備,Ⅰ級(jí)為最高風(fēng)險(xiǎn)級(jí)別,Ⅳ級(jí)為最低風(fēng)險(xiǎn)級(jí)別。狀態(tài)評(píng)價(jià)量化結(jié)果與二次設(shè)備平均故障率相關(guān)聯(lián),手工計(jì)算時(shí),可按照簡(jiǎn)化求取設(shè)備平均故障率,正常、注意、異常、嚴(yán)重狀態(tài)的平均故障率分別為0.50%,2.47%,12.17%,60.01%.

5結(jié)束語(yǔ)

篇5

第一章

總則

第一條

為加強(qiáng)大洼恒豐村鎮(zhèn)銀行風(fēng)險(xiǎn)管理,及時(shí)識(shí)別、系統(tǒng)分析經(jīng)營(yíng)活動(dòng)中與實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn),合理確定風(fēng)險(xiǎn)承受度和風(fēng)險(xiǎn)應(yīng)對(duì)策略,根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》等的有關(guān)規(guī)定,結(jié)合我行實(shí)際情況,制訂本制度。

第二條

本制度所稱(chēng)風(fēng)險(xiǎn)是指我行經(jīng)營(yíng)活動(dòng)中與我行實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn),包括信息風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)等。

本制度所稱(chēng)風(fēng)險(xiǎn)評(píng)估是指通過(guò)對(duì)基于事實(shí)的信息進(jìn)行分析,就如何處理特定風(fēng)險(xiǎn)以及如何選擇風(fēng)險(xiǎn)應(yīng)對(duì)策略進(jìn)行科學(xué)決策。

第二章

組織機(jī)構(gòu)及職責(zé)

第三條

各部門(mén)為我行風(fēng)險(xiǎn)評(píng)估管理工作的責(zé)任機(jī)構(gòu),具體職責(zé):

(一)對(duì)我行經(jīng)營(yíng)活動(dòng)中的風(fēng)險(xiǎn)進(jìn)行識(shí)別;

(二)

對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行評(píng)估,辨識(shí)評(píng)估出風(fēng)險(xiǎn)等級(jí)并將中、高風(fēng)險(xiǎn)以書(shū)面形式上報(bào)我行管理層,上報(bào)內(nèi)容應(yīng)包括:風(fēng)險(xiǎn)發(fā)生地、發(fā)生原因、可能造成的損失和影響、擬采取的應(yīng)對(duì)措施等。

(三)

執(zhí)行審批后的風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案,并及時(shí)反饋風(fēng)險(xiǎn)的應(yīng)對(duì)、解決結(jié)果;

(四)

對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行監(jiān)控,發(fā)生變化時(shí)重新評(píng)估,并根據(jù)新辨識(shí)評(píng)估的風(fēng)險(xiǎn)等級(jí)進(jìn)行相應(yīng)的處理;

(五)

年中、年度對(duì)風(fēng)險(xiǎn)評(píng)估管理工作進(jìn)行總結(jié)。

第四條

我行企劃部門(mén)為我行風(fēng)險(xiǎn)評(píng)估管理工作的組織機(jī)構(gòu),具體職責(zé):

(一)負(fù)責(zé)制定我行的風(fēng)險(xiǎn)評(píng)估方案;

(二)負(fù)責(zé)組建風(fēng)險(xiǎn)評(píng)估工作小組;

(三)負(fù)責(zé)審核風(fēng)險(xiǎn)清單、應(yīng)對(duì)預(yù)案;

(四)擬定我行風(fēng)險(xiǎn)評(píng)估報(bào)告,上報(bào)我行管理層。

(五)負(fù)責(zé)建立經(jīng)營(yíng)環(huán)境監(jiān)控體系,切實(shí)監(jiān)控并記錄內(nèi)、外部經(jīng)營(yíng)環(huán)境和條件的變化,以修正風(fēng)險(xiǎn)識(shí)別與評(píng)估。

(六)負(fù)責(zé)建立風(fēng)險(xiǎn)預(yù)警指標(biāo)體系,要求各具體部門(mén)定期提供數(shù)據(jù),進(jìn)行指標(biāo)分析;

對(duì)于超過(guò)風(fēng)險(xiǎn)預(yù)警值的指標(biāo),應(yīng)確定相應(yīng)的整改措施。

第五條

財(cái)務(wù)部門(mén)的風(fēng)險(xiǎn)評(píng)估

(一)負(fù)責(zé)建立流程識(shí)別和應(yīng)對(duì)會(huì)計(jì)法規(guī)、準(zhǔn)則、制度的變化,評(píng)估對(duì)會(huì)計(jì)信息的影響。

(二)負(fù)責(zé)建立溝通渠道和流程參與我行業(yè)務(wù)操作流程的變化,評(píng)估對(duì)會(huì)計(jì)核算的影響。

第六條

我行管理層主要職責(zé)為:

(一)審定我行各部門(mén)風(fēng)險(xiǎn)管理工作職責(zé);

(二)批準(zhǔn)風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案;

(三)研究、確定我行重大風(fēng)險(xiǎn)事項(xiàng)及應(yīng)對(duì)預(yù)案;

(四)審定內(nèi)部審計(jì)部門(mén)提交的我行風(fēng)險(xiǎn)管理方面的報(bào)告,并報(bào)董事會(huì)審議。

第七條

董事會(huì)負(fù)責(zé)審議我行管理層提交的我行風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)告,批準(zhǔn)風(fēng)險(xiǎn)管理其他重大事項(xiàng)。

第三章

風(fēng)險(xiǎn)評(píng)估的頻率

第八條

風(fēng)險(xiǎn)評(píng)估每年至少進(jìn)行一次,并根據(jù)實(shí)際需要增加評(píng)估的頻率。

第九條

當(dāng)出現(xiàn)下述情況時(shí),應(yīng)考慮重新進(jìn)行風(fēng)險(xiǎn)評(píng)估:

(一)企業(yè)經(jīng)營(yíng)模式發(fā)生重大變動(dòng);

(二)企業(yè)所使用的信息技術(shù)發(fā)生重大變動(dòng);

(三)關(guān)鍵人員變動(dòng);

(四)企業(yè)所適用的會(huì)計(jì)準(zhǔn)則發(fā)生重大變動(dòng);

(五)購(gòu)并的發(fā)生、金融工具的使用等等涉及到復(fù)雜的會(huì)計(jì)處理要求的事項(xiàng)發(fā)生;

(六)其他。

第四章

控制目標(biāo)的設(shè)定和傳達(dá)

第十條

企業(yè)董事會(huì)應(yīng)當(dāng)按照戰(zhàn)略目標(biāo),設(shè)定相關(guān)的經(jīng)營(yíng)目標(biāo)、財(cái)務(wù)報(bào)告目標(biāo)、合規(guī)性目標(biāo)與資產(chǎn)安全完整目標(biāo),并根據(jù)設(shè)定的目標(biāo)合理確定企業(yè)整體風(fēng)險(xiǎn)承受能力和具體業(yè)務(wù)層次上的可接受的風(fēng)險(xiǎn)水平。

第十一條

我行董事會(huì)應(yīng)定期更新和修正我行的戰(zhàn)略目標(biāo)、經(jīng)營(yíng)目標(biāo)、風(fēng)險(xiǎn)管理目標(biāo);

第十二條

我行管理層應(yīng)向各部門(mén)清晰傳達(dá)了我行的戰(zhàn)略目標(biāo)、經(jīng)營(yíng)目標(biāo)和風(fēng)險(xiǎn)管理目標(biāo)(如通過(guò)工作準(zhǔn)備會(huì)等),并進(jìn)行目標(biāo)分解。

第十三條

我行企劃部負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估方案的制訂,風(fēng)險(xiǎn)評(píng)估方案須經(jīng)我行總經(jīng)理辦公會(huì)審批后執(zhí)行,風(fēng)險(xiǎn)評(píng)估工作由企劃部組建風(fēng)險(xiǎn)評(píng)估小組負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的具體工作。

第五章

風(fēng)險(xiǎn)識(shí)別

第十四條

我行各部門(mén)應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)評(píng)估方案的要求,全面系統(tǒng)持續(xù)地收集相關(guān)信息,結(jié)合實(shí)際情況,及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估,準(zhǔn)確識(shí)別與實(shí)現(xiàn)控制目標(biāo)相關(guān)的內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)。

第十五條

我行各部門(mén)在進(jìn)行風(fēng)險(xiǎn)識(shí)別時(shí),可以采取座談?dòng)懻?、?wèn)卷調(diào)查、案例分析、咨詢(xún)專(zhuān)業(yè)機(jī)構(gòu)意見(jiàn)等方法識(shí)別相關(guān)的風(fēng)險(xiǎn)因素,特別應(yīng)注意總結(jié)、吸取企業(yè)過(guò)去的經(jīng)驗(yàn)教訓(xùn)和同行業(yè)的經(jīng)驗(yàn)教訓(xùn),加強(qiáng)對(duì)高危性、多發(fā)性風(fēng)險(xiǎn)因素的關(guān)注。

第十六條

各部門(mén)及子我行應(yīng)廣泛、持續(xù)不斷地收集與本我行風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理相關(guān)的內(nèi)外部信息,包括歷史數(shù)據(jù)和未來(lái)預(yù)測(cè)。

第十七條

我行識(shí)別內(nèi)部風(fēng)險(xiǎn),應(yīng)當(dāng)關(guān)注下列因素:

1.董事、監(jiān)事、經(jīng)理及其他高級(jí)管理人員的職業(yè)操守、員工專(zhuān)業(yè)勝任能力等人力資源因素。

2.組織機(jī)構(gòu)、經(jīng)營(yíng)方式、資產(chǎn)管理、業(yè)務(wù)流程等管理因素。

3.研究開(kāi)發(fā)、技術(shù)投入、信息技術(shù)運(yùn)用等自主創(chuàng)新因素。

4.財(cái)務(wù)狀況、經(jīng)營(yíng)成果、現(xiàn)金流量等財(cái)務(wù)因素。

5.營(yíng)運(yùn)安全、員工健康、環(huán)境保護(hù)等安全環(huán)保因素。

6.其他有關(guān)內(nèi)部風(fēng)險(xiǎn)因素。

第十八條

我行識(shí)別外部風(fēng)險(xiǎn),應(yīng)當(dāng)關(guān)注下列因素:

1.經(jīng)濟(jì)形勢(shì)、產(chǎn)業(yè)政策、融資環(huán)境、市場(chǎng)競(jìng)爭(zhēng)、資源供給等經(jīng)濟(jì)因素。

2.法律法規(guī)、監(jiān)管要求等法律因素。

3.安全穩(wěn)定、文化傳統(tǒng)、社會(huì)信用、教育水平、消費(fèi)者行為等社會(huì)因素。

4.技術(shù)進(jìn)步、工藝改進(jìn)等科學(xué)技術(shù)因素。

5.自然災(zāi)害、環(huán)境狀況等自然環(huán)境因素。

6.其他有關(guān)外部風(fēng)險(xiǎn)因素。

第六章

風(fēng)險(xiǎn)分析

第十九條

我行各部門(mén)應(yīng)當(dāng)針對(duì)已識(shí)別的風(fēng)險(xiǎn)因素,從風(fēng)險(xiǎn)發(fā)生的可能性和影響程度兩個(gè)方面進(jìn)行分析。企業(yè)應(yīng)當(dāng)根據(jù)實(shí)際情況,針對(duì)不同的風(fēng)險(xiǎn)類(lèi)別確定科學(xué)合理的定性、定量分析標(biāo)準(zhǔn)。具體如下:

表一:風(fēng)險(xiǎn)發(fā)生的可能性

程度

描述

說(shuō)明

I

大致確定

事件可能在多數(shù)情況下發(fā)生

II

可能

事件有時(shí)可能發(fā)生

III

可能性不高

事件只在少數(shù)情況下可能發(fā)生

IV

罕見(jiàn)

事件僅在很少的情況下發(fā)生

V

極不可能

事件極少的情況下發(fā)生

表二:

風(fēng)險(xiǎn)的后果或影響

程度

描述

說(shuō)明

1

微不足道

沒(méi)有經(jīng)濟(jì)損失

2

輕微

輕微經(jīng)濟(jì)損失

3

中度

可以得到控制,經(jīng)濟(jì)損失不大

4

高度

經(jīng)濟(jì)損失較大

5

災(zāi)難性

經(jīng)濟(jì)損失巨大

第二十條

企業(yè)應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)分析的結(jié)果,依據(jù)風(fēng)險(xiǎn)的重要性水平,運(yùn)用專(zhuān)業(yè)判斷,按照風(fēng)險(xiǎn)發(fā)生的可能性大小及其對(duì)企業(yè)影響的嚴(yán)重程度進(jìn)行風(fēng)險(xiǎn)排序,確定應(yīng)當(dāng)重點(diǎn)關(guān)注的重要風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)程度定性分析表

可能性

后果

微不足道

1

輕微

2

中度

3

高度

4

災(zāi)難性

5

大致確定

I

C

C

D

E

E

可能

II

B

C

C

D

E

可能性不高

III

A

B

C

D

E

罕見(jiàn)

IV

A

A

B

C

D

極不可能

V

A

A

B

C

C

注:

E

=

極高;要立刻停止有關(guān)工作,直到風(fēng)險(xiǎn)減低。在風(fēng)險(xiǎn)減低前有關(guān)工作須完全禁止進(jìn)行。

D

=

高風(fēng)險(xiǎn);要停止有關(guān)工作,直到風(fēng)險(xiǎn)減低。如有關(guān)工作現(xiàn)正在進(jìn)行中,須提供有效監(jiān)控及緊急應(yīng)變程序。

C

=

中等風(fēng)險(xiǎn);須規(guī)定有關(guān)管理職責(zé)及指引把危害控制,或在可行下進(jìn)一步減低風(fēng)險(xiǎn),如有關(guān)風(fēng)險(xiǎn)可能產(chǎn)生嚴(yán)重的危害,應(yīng)作進(jìn)一步危害評(píng)估及加強(qiáng)控制。

B

=

可接受的風(fēng)險(xiǎn);按正常運(yùn)作程序管理,在不影響成本下可作進(jìn)一步改善。

A

=

微不足道的風(fēng)險(xiǎn);無(wú)須作任何行動(dòng),按慣常運(yùn)作。

第七章

風(fēng)險(xiǎn)匯總及應(yīng)對(duì)預(yù)案

第二十一條

企業(yè)各部門(mén)應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)分析情況,結(jié)合風(fēng)險(xiǎn)成因、企業(yè)整體風(fēng)險(xiǎn)承受能力和具體業(yè)務(wù)層次上的可接受風(fēng)險(xiǎn)水平,確定風(fēng)險(xiǎn)應(yīng)對(duì)策略。風(fēng)險(xiǎn)應(yīng)對(duì)策略主要包括風(fēng)險(xiǎn)回避、風(fēng)險(xiǎn)承擔(dān)、風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)分擔(dān)經(jīng)營(yíng)。

第二十二條

我行各部門(mén)應(yīng)根據(jù)風(fēng)險(xiǎn)分析的結(jié)果編制風(fēng)險(xiǎn)清單,并制訂相應(yīng)的應(yīng)對(duì)預(yù)案,風(fēng)險(xiǎn)清單、應(yīng)對(duì)預(yù)案須報(bào)我行風(fēng)險(xiǎn)評(píng)估工作小組審核后,報(bào)總經(jīng)理辦公會(huì)審批。

第八章

風(fēng)險(xiǎn)評(píng)估報(bào)告及執(zhí)行

第二十三條

我行風(fēng)險(xiǎn)評(píng)估工作小組負(fù)責(zé)編制風(fēng)險(xiǎn)評(píng)估報(bào)告,風(fēng)險(xiǎn)評(píng)估報(bào)告經(jīng)我行總經(jīng)理辦公會(huì)審核后,報(bào)我行董事會(huì)審議。

第二十四條

風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)包括以下內(nèi)容:1、風(fēng)險(xiǎn)評(píng)估的范圍;2、風(fēng)險(xiǎn)評(píng)估的方法;3、風(fēng)險(xiǎn)清單;4、風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案;

第二十五條

各部門(mén)應(yīng)根據(jù)董事會(huì)批準(zhǔn)的風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行實(shí)施,對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案的執(zhí)行情況進(jìn)行實(shí)時(shí)監(jiān)控,并及時(shí)反饋風(fēng)險(xiǎn)應(yīng)對(duì)、解決的執(zhí)行情況。

第二十六條

內(nèi)部審計(jì)部門(mén)(或協(xié)同風(fēng)險(xiǎn)管理部門(mén)或小組)負(fù)責(zé)定期或不定期檢查具體部門(mén)風(fēng)險(xiǎn)控制措施的實(shí)施、整改情況,形成檢查記錄。

第九章

附則

第二十七條

本制度未盡事宜,按國(guó)家有關(guān)法律、法規(guī)和我行章程的規(guī)定執(zhí)行;如與國(guó)家日后頒布的法律、法規(guī)或經(jīng)合法程序修改后的我行章程相抵觸時(shí),按國(guó)家有關(guān)法律、法規(guī)和我行章程的規(guī)定執(zhí)行,并及時(shí)修訂本制度,報(bào)董事會(huì)審議通過(guò)。

第二十八條

本制度由我行董事會(huì)負(fù)責(zé)解釋。

第二十九條

本制度自我行董事會(huì)審議通過(guò)之日起實(shí)施。

大洼恒豐村鎮(zhèn)銀行

二〇一五年十月十六日

篇6

目前我國(guó)已步入信息化時(shí)代,隨著國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加速,各地政府紛紛建立起基礎(chǔ)網(wǎng)絡(luò)平臺(tái)和重要的信息系統(tǒng),這些網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng),國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)和重要信息系統(tǒng)的依賴(lài)性也越來(lái)越大,網(wǎng)絡(luò)與信息系統(tǒng)自身存在的缺陷、脆弱性以及面臨的威脅,使信息系統(tǒng)的運(yùn)行在客觀上存在著潛在風(fēng)險(xiǎn),信息系統(tǒng)安全的重要性更顯突出,已成為國(guó)家安全的基座。

近年來(lái)我國(guó)政府也開(kāi)始重視信息安全風(fēng)險(xiǎn)評(píng)估工作。2003年7月《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))文件中明確提出:要重視信息安全風(fēng)險(xiǎn)評(píng)估工作,對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估,綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的風(fēng)險(xiǎn)等因素,進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理。

為落實(shí)中辦發(fā)[2003]27號(hào)文件要求,由國(guó)家信息中心、公安部、安全部、信息產(chǎn)業(yè)部、國(guó)家認(rèn)監(jiān)委、國(guó)家標(biāo)準(zhǔn)化委、國(guó)家密碼管理局、國(guó)家保密局等單位聯(lián)合組成課題組先后對(duì)四個(gè)地區(qū)、十幾個(gè)行業(yè)的50多家單位進(jìn)行了調(diào)研考查,制定出《信息安全風(fēng)險(xiǎn)評(píng)估指南》、《信息安全風(fēng)險(xiǎn)管理指南》等標(biāo)準(zhǔn)和規(guī)范。

2004年6月天津市市委辦公廳、市政府辦公廳聯(lián)合轉(zhuǎn)發(fā)了《關(guān)于加強(qiáng)我市信息安全保障工作的意見(jiàn)》(津黨辦發(fā)[2004]15號(hào))文件,成立了天津市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組,加強(qiáng)了對(duì)我市信息安全工作的領(lǐng)導(dǎo)和管理。

二、風(fēng)險(xiǎn)評(píng)估工作內(nèi)容

信息安全風(fēng)險(xiǎn)評(píng)估工作,就是從風(fēng)險(xiǎn)管理角度入手,依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估管理規(guī)范和技術(shù)標(biāo)準(zhǔn),采用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具,運(yùn)用定性及定量的分析方法和手段,系統(tǒng)分析信息化業(yè)務(wù)和信息系統(tǒng)資產(chǎn)所面臨的人為的或自然的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等,準(zhǔn)確了解信息系統(tǒng)安全狀況,綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的風(fēng)險(xiǎn)等因素,確定風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)控制順序,有針對(duì)性地幫助制定抵御威脅的安全策略和防護(hù)措施,指導(dǎo)安全建設(shè)的合理投入。

風(fēng)險(xiǎn)評(píng)估的形式按照評(píng)估實(shí)施者的不同,可將其分為自評(píng)估和檢查評(píng)估二種形式:

自評(píng)估

自評(píng)估就是信息系統(tǒng)擁有者依靠自身力量,依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對(duì)自有網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的活動(dòng)。該網(wǎng)絡(luò)和信息系統(tǒng)的擁有者通過(guò)自評(píng)估隨時(shí)掌握其安全狀況,不斷調(diào)整安全措施,有效地進(jìn)行安全控制。其優(yōu)點(diǎn)是有利于自身系統(tǒng)的保密性,發(fā)揮行業(yè)和本部門(mén)專(zhuān)業(yè)人員的業(yè)務(wù)專(zhuān)長(zhǎng),降低了風(fēng)險(xiǎn)評(píng)估的費(fèi)用,提高了本單位風(fēng)險(xiǎn)評(píng)估能力。

檢查評(píng)估

檢查評(píng)估通常是由政府安全主管機(jī)關(guān)或本單位的上級(jí)主管機(jī)構(gòu)發(fā)起,旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的、具有強(qiáng)制意味的檢查活動(dòng),是經(jīng)過(guò)行政手段加強(qiáng)信息安全的重要措施。其優(yōu)點(diǎn)是這種形式具有權(quán)威性。

自評(píng)估和檢查評(píng)估都可以通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估的服務(wù)機(jī)構(gòu)提供咨詢(xún)、培訓(xùn)及相關(guān)工具,目前建議主要采用自評(píng)估形式,以保證本單位信息的保密性、完整性和可用性。它也是檢查評(píng)估的基礎(chǔ)和必要條件。

按照國(guó)信辦2006年5號(hào)文件的要求,在網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、驗(yàn)收、運(yùn)行維護(hù)階段,以及當(dāng)安全形勢(shì)發(fā)生重大變化或信息系統(tǒng)使命有重大變更時(shí)均應(yīng)及時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

在風(fēng)險(xiǎn)評(píng)估過(guò)程中,應(yīng)以本單位的業(yè)務(wù)為核心,圍繞相關(guān)信息資產(chǎn)(如計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)等)及價(jià)值,對(duì)其所面臨的威脅、所具有的弱點(diǎn)和已有的安全控制措施展開(kāi)分析工作。

風(fēng)險(xiǎn)評(píng)估是信息安全管理體系的基礎(chǔ),信息安全風(fēng)險(xiǎn)管理的主要工作就是要發(fā)現(xiàn)風(fēng)險(xiǎn),并在有限的資源下,進(jìn)行削減風(fēng)險(xiǎn)或控制風(fēng)險(xiǎn)。只有建立信息安全管理體系,并有效地進(jìn)行安全風(fēng)險(xiǎn)管理與控制,才能真正保護(hù)本單位的利益,并在安全事件發(fā)生的時(shí)候,最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。

三、目前需解決的問(wèn)題

目前信息安全風(fēng)險(xiǎn)評(píng)估工作在我國(guó)尚處于起步階段,各地開(kāi)展和重視此項(xiàng)工作的程度也不盡相同,一些單位的網(wǎng)絡(luò)安全還處于亞健康狀態(tài),需要強(qiáng)化信息安全管理意識(shí),并注意解決以下幾方面的問(wèn)題:

1.建立健全管理體制

依據(jù)國(guó)家在信息安全管理方面的法律、法規(guī)、標(biāo)準(zhǔn)和規(guī)范,建立安全管理制度,通過(guò)對(duì)安全評(píng)估和實(shí)施整改等各環(huán)節(jié)的監(jiān)督管理,層層落實(shí)安全管理責(zé)任制,形成完善的信息安全管理體系。

2.保障資金投入

努力保障信息安全資金的投入,充分發(fā)揮信息安全保障資金的使用效益,認(rèn)真分析信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果,既要保障安全,又不能因保護(hù)過(guò)度造成資金浪費(fèi)。

3.聚集技術(shù)和管理人才

注意聚集和培養(yǎng)熟悉并有能力進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)人員,尤其是注意吸收那些既懂管理又懂技術(shù)的專(zhuān)業(yè)風(fēng)險(xiǎn)評(píng)估人才,形成一支信息安全風(fēng)險(xiǎn)評(píng)估專(zhuān)業(yè)隊(duì)伍。

篇7

【 關(guān)鍵詞 】 物聯(lián)網(wǎng);信息安全;檢測(cè)體系

1 引言

隨著國(guó)家信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本完成,信息化應(yīng)用全面展開(kāi),物聯(lián)網(wǎng)廣泛應(yīng)用于公共事業(yè)/服務(wù)、交通運(yùn)輸、個(gè)人用戶(hù)、批發(fā)零售、工業(yè)、制造業(yè)、商業(yè)、服務(wù)業(yè)、農(nóng)業(yè)、建筑業(yè)、金融業(yè)等。目前來(lái)看,物聯(lián)網(wǎng)雖然給人們帶來(lái)便利,但物聯(lián)網(wǎng)在信息安全方面還存在一定的局限性。一是存在信號(hào)受到干擾的可能。如果安置在物品上的傳感設(shè)備信號(hào)受到惡意干擾,很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過(guò)了相關(guān)安全技術(shù)的防范,對(duì)物聯(lián)網(wǎng)的授權(quán)管理進(jìn)行惡意操作,掌控他人的物品,就會(huì)造成對(duì)用戶(hù)隱私權(quán)的侵犯。如果爆炸物、槍支等危險(xiǎn)物品被其它人掌控,后果會(huì)十分嚴(yán)重。因此,物聯(lián)網(wǎng)安全問(wèn)題如果得不到有效解決,將嚴(yán)重阻礙物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。由于物聯(lián)網(wǎng)感知節(jié)點(diǎn)和傳輸設(shè)備具有能量低、計(jì)算能力差、運(yùn)行環(huán)境惡劣、通信協(xié)議龐雜等特點(diǎn),使得傳統(tǒng)安全技術(shù)無(wú)法直接應(yīng)用于物聯(lián)網(wǎng),由此引發(fā)物聯(lián)網(wǎng)特有的安全問(wèn)題,而物聯(lián)網(wǎng)安全技術(shù)和安全狀況缺乏有效的檢測(cè)和評(píng)價(jià)手段。

我國(guó)政策環(huán)境較好,物聯(lián)網(wǎng)已成為國(guó)家發(fā)展戰(zhàn)略,初步明確了未來(lái)發(fā)展方向和重點(diǎn)領(lǐng)域。國(guó)家高度重視物聯(lián)網(wǎng)安全建設(shè)。2013年初,國(guó)務(wù)院了《關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)[2013]7號(hào))中明確提出以工業(yè)和信息化部、發(fā)展改革委、公安部牽頭承擔(dān)物聯(lián)網(wǎng)安全保障專(zhuān)項(xiàng)行動(dòng)計(jì)劃:提高物聯(lián)網(wǎng)信息安全管理與數(shù)據(jù)保護(hù)水平,建立健全監(jiān)督、檢查和安全評(píng)估機(jī)制。加強(qiáng)物聯(lián)網(wǎng)重要應(yīng)用和系統(tǒng)的安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全防護(hù)工作。加快物聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)、檢測(cè)、認(rèn)證等公共服務(wù)建設(shè),完善支撐服務(wù)體系,有效保障物聯(lián)網(wǎng)信息采集、傳輸、處理、應(yīng)用等各環(huán)節(jié)的安全可控。

2 物聯(lián)網(wǎng)一體化安全檢測(cè)體系

各類(lèi)物聯(lián)網(wǎng)示范工程進(jìn)行大規(guī)模應(yīng)用之前,應(yīng)充分考慮和評(píng)測(cè)其安全性,從源頭保證物聯(lián)網(wǎng)安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護(hù)評(píng)估。在建設(shè)實(shí)施階段,將所有的安全功能模塊(產(chǎn)品)集成為一個(gè)完整的系統(tǒng)后,需要檢查集成出的系統(tǒng)是否符合要求,測(cè)試并評(píng)估安全措施在整個(gè)系統(tǒng)中實(shí)施的有效性,跟蹤安全保障機(jī)制并發(fā)現(xiàn)漏洞,完成系統(tǒng)的運(yùn)行程序和全生命期安的安全風(fēng)險(xiǎn)評(píng)估報(bào)告。在運(yùn)行維護(hù)階段,要定期進(jìn)行安全性檢測(cè)和風(fēng)險(xiǎn)評(píng)估以保證系統(tǒng)的安全水平在運(yùn)行期間不會(huì)下降,包括檢查產(chǎn)品的升級(jí)和系統(tǒng)打補(bǔ)丁情況,檢測(cè)系統(tǒng)的安全性能,檢測(cè)新安全攻擊、新威脅以及其它與安全風(fēng)險(xiǎn)有關(guān)的因素,評(píng)估系統(tǒng)改動(dòng)對(duì)安全系統(tǒng)造成的影響。

物聯(lián)網(wǎng)關(guān)鍵安全問(wèn)題:一是感知設(shè)備安全;二是物聯(lián)網(wǎng)系統(tǒng)安全和風(fēng)險(xiǎn)評(píng)估,重點(diǎn)是接入問(wèn)題;三是業(yè)務(wù)應(yīng)用安全。目前,各行業(yè)均提出了相應(yīng)的安全防護(hù)體系,如智能電網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。本文依據(jù)相關(guān)的安全防護(hù)體系提出物聯(lián)網(wǎng)一體化安全檢測(cè)體系,即“一中心、兩庫(kù)、五平臺(tái)”,如圖1所示。即開(kāi)放式場(chǎng)景檢測(cè)支撐平臺(tái)、感知設(shè)備安全檢測(cè)服務(wù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)服務(wù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)平臺(tái)、物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺(tái)、物聯(lián)網(wǎng)安全檢測(cè)標(biāo)準(zhǔn)及指標(biāo)庫(kù)、物聯(lián)網(wǎng)信息安全漏洞與補(bǔ)丁庫(kù)以及一體化安全檢測(cè)管理中心。在此基礎(chǔ)上,結(jié)合物聯(lián)網(wǎng)具體業(yè)務(wù)需求,進(jìn)行物聯(lián)網(wǎng)安全檢測(cè)方法、規(guī)范、指標(biāo)體系、專(zhuān)業(yè)化檢測(cè)技術(shù)研究與積累。同時(shí),形成一支服務(wù)于物聯(lián)網(wǎng)安全檢測(cè)的多層次、復(fù)合型、專(zhuān)業(yè)化人才隊(duì)伍,全面保障物聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運(yùn)行。

3 “五平臺(tái)”

“五平臺(tái)”提供檢測(cè)、檢查和評(píng)估三類(lèi)專(zhuān)業(yè)化服務(wù),其中物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺(tái)可作為獨(dú)立平臺(tái)對(duì)外提供檢查服務(wù);開(kāi)放式場(chǎng)景檢測(cè)支撐平臺(tái)為感知設(shè)備安全檢測(cè)服務(wù)平臺(tái)與物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)服務(wù)平臺(tái)提供安全符合性檢測(cè)環(huán)境,此三個(gè)平臺(tái)提供技術(shù)檢測(cè)服務(wù);物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)平臺(tái)在前述四個(gè)平臺(tái)基礎(chǔ)上,關(guān)聯(lián)外在威脅,分析自身脆弱性,提供風(fēng)險(xiǎn)評(píng)估服務(wù)。“五平臺(tái)”結(jié)構(gòu)關(guān)系如圖2所示,“五平臺(tái)”既可獨(dú)立提供檢測(cè)服務(wù),也可互為補(bǔ)充,為用戶(hù)提供定制化的檢測(cè)服務(wù),形成開(kāi)放式檢測(cè)服務(wù)體系架構(gòu)。

3.1 開(kāi)放式場(chǎng)景檢測(cè)支撐平臺(tái)

開(kāi)放式場(chǎng)景檢測(cè)支撐平臺(tái)實(shí)現(xiàn)物聯(lián)網(wǎng)感知設(shè)備、接入系統(tǒng)、業(yè)務(wù)應(yīng)用三層檢測(cè)環(huán)境,如圖3所示。通過(guò)多部件的靈活組建,實(shí)現(xiàn)其感、傳、知、用的安全功能檢測(cè),靈活支持用戶(hù)個(gè)性化的檢測(cè)需求。

3.2 感知設(shè)備安全檢測(cè)服務(wù)平臺(tái)

感知設(shè)備安全檢測(cè)服務(wù)平臺(tái)實(shí)現(xiàn)一個(gè)通用的感知設(shè)備安全檢測(cè)系統(tǒng),由開(kāi)放式場(chǎng)景檢測(cè)支撐平臺(tái)為被測(cè)設(shè)備提供運(yùn)行檢測(cè)環(huán)境,其從感知操作安全、感知數(shù)據(jù)處理安全、感知數(shù)據(jù)存儲(chǔ)安全和感知節(jié)點(diǎn)設(shè)備安全、感知節(jié)點(diǎn)通信安全等五方面檢測(cè)安全功能和性能,其檢測(cè)框架如圖4所示。

3.3 物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)服務(wù)平臺(tái)

物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)服務(wù)平臺(tái)以系統(tǒng)、整體的視角對(duì)智能感知層訪問(wèn)控制、身份認(rèn)證等策略配置進(jìn)行符合性測(cè)試;對(duì)接入傳輸層的AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證等進(jìn)行檢測(cè);對(duì)業(yè)務(wù)應(yīng)用層數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)和網(wǎng)站安全、應(yīng)用系統(tǒng)穩(wěn)定性、業(yè)務(wù)連續(xù)性等進(jìn)行符合性和有效性檢測(cè)。檢測(cè)框架如圖5所示。

3.4 物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)平臺(tái)

物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)平臺(tái)對(duì)可能遭受到的威脅和自身脆弱性進(jìn)行安全分析,然后根據(jù)安全事件的可能性以及安全事件造成的損失計(jì)算出風(fēng)險(xiǎn)值、對(duì)安全事件進(jìn)行風(fēng)險(xiǎn)等級(jí)定級(jí),最后結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)物聯(lián)網(wǎng)系統(tǒng)造成的影響。風(fēng)險(xiǎn)評(píng)估框架如圖6所示。

3.5 集成化安全管理檢查服務(wù)平臺(tái)

集成化安全管理檢查服務(wù)基于物聯(lián)網(wǎng)多類(lèi)型終端、多網(wǎng)融合、海量數(shù)據(jù)處理和全面感知等特點(diǎn)。從防范阻止、檢測(cè)發(fā)現(xiàn)、應(yīng)急處置、審計(jì)追查和集中管控五個(gè)方面,對(duì)物聯(lián)網(wǎng)系統(tǒng)智能感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層的安全管理情況進(jìn)行檢查,其安全管理檢查框架如圖7所示。

4 “兩庫(kù)”

4.1 標(biāo)準(zhǔn)及指標(biāo)庫(kù)

基礎(chǔ)庫(kù)“標(biāo)準(zhǔn)及指標(biāo)庫(kù)”通過(guò)構(gòu)建物聯(lián)網(wǎng)安全檢測(cè)標(biāo)準(zhǔn)子庫(kù)與指標(biāo)子庫(kù)為“五平臺(tái)”提供支撐。標(biāo)準(zhǔn)子庫(kù)建設(shè)來(lái)源:一是從物聯(lián)網(wǎng)國(guó)際標(biāo)準(zhǔn)組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國(guó)際最新標(biāo)準(zhǔn),研究制訂適合國(guó)情的物聯(lián)網(wǎng)標(biāo)準(zhǔn);二是從國(guó)內(nèi)標(biāo)準(zhǔn)組織:WGSN、CCSA和RFID標(biāo)準(zhǔn)工作組獲取最新標(biāo)準(zhǔn);三是隨著業(yè)務(wù)開(kāi)展,編制了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)一體化安全檢測(cè)標(biāo)準(zhǔn)體系框架,按照標(biāo)準(zhǔn)服務(wù)性質(zhì)的區(qū)分,分為物聯(lián)網(wǎng)產(chǎn)品安全檢測(cè)標(biāo)準(zhǔn)、物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)標(biāo)準(zhǔn)、物聯(lián)網(wǎng)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)以及集成化安全管理檢查標(biāo)準(zhǔn)。其框架如圖8所示。

指標(biāo)庫(kù)為各種類(lèi)型的被測(cè)設(shè)備和系統(tǒng)提供相應(yīng)的檢測(cè)指標(biāo)項(xiàng)目,同時(shí)支持用戶(hù)自定義新的檢測(cè)指標(biāo)。指標(biāo)庫(kù)依據(jù)各服務(wù)平臺(tái)檢測(cè)內(nèi)容劃分四類(lèi),即物聯(lián)網(wǎng)產(chǎn)品檢測(cè)指標(biāo)、物聯(lián)網(wǎng)系統(tǒng)安全檢測(cè)指標(biāo)、物聯(lián)網(wǎng)風(fēng)險(xiǎn)評(píng)估指標(biāo)以及集成化管理檢查指標(biāo)。其涵蓋功能檢測(cè)、性能檢測(cè)、抗毀性檢測(cè)、符合性檢測(cè)、有效性檢測(cè)和可用性檢測(cè)等指標(biāo)。

4.2 漏洞與補(bǔ)丁庫(kù)

漏洞與補(bǔ)丁庫(kù)采用云存儲(chǔ)方式,包括海量數(shù)據(jù)融合漏洞,TinyOS操作系統(tǒng)漏洞,異構(gòu)網(wǎng)絡(luò)認(rèn)證協(xié)議漏洞,感知信息傳輸協(xié)議漏洞等。 漏洞與補(bǔ)丁庫(kù)一方面為產(chǎn)品、系統(tǒng)檢測(cè),風(fēng)險(xiǎn)評(píng)估、安全檢查提供支撐服務(wù),另一方面對(duì)外提供咨詢(xún)服務(wù),網(wǎng)上漏洞信息,定制客戶(hù)漏洞處理方案,提供漏洞補(bǔ)丁和專(zhuān)用殺毒工具下載等。

5 “一中心”

一體化安全檢測(cè)管理中心完成上述“二庫(kù)、五平臺(tái)”的互聯(lián)互通和信息共享,實(shí)現(xiàn)檢測(cè)項(xiàng)目統(tǒng)一管理,檢測(cè)數(shù)據(jù)統(tǒng)一匯總,檢測(cè)結(jié)果統(tǒng)一判定,形成感知設(shè)備檢測(cè)報(bào)告、物聯(lián)網(wǎng)系統(tǒng)檢測(cè)報(bào)告、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告以及集成化安全管理檢查報(bào)告等。

一體化安全檢測(cè)管理中心由項(xiàng)目管理、場(chǎng)景管理、感知設(shè)備檢測(cè)、系統(tǒng)檢測(cè)、風(fēng)險(xiǎn)評(píng)估、集成化安全管理檢查、工具集、基礎(chǔ)庫(kù)管理八個(gè)核心模塊組成,整個(gè)平臺(tái)由項(xiàng)目庫(kù)、標(biāo)準(zhǔn)及指標(biāo)庫(kù)、方法庫(kù)、漏洞與補(bǔ)丁庫(kù)四個(gè)數(shù)據(jù)庫(kù)支撐,管理中心框架設(shè)計(jì)如圖9所示。

6 技術(shù)特點(diǎn)

(1)提供開(kāi)放式檢測(cè)環(huán)境

物聯(lián)網(wǎng)應(yīng)用的廣泛性和復(fù)雜性,僅依賴(lài)單一場(chǎng)景無(wú)法滿(mǎn)足客戶(hù)的多層次需求,通過(guò)開(kāi)放式檢測(cè)環(huán)境,可實(shí)現(xiàn)感知設(shè)備、接入方式、業(yè)務(wù)應(yīng)用的檢測(cè)環(huán)境,使得檢測(cè)手段更豐富、更精準(zhǔn)。

(2)提供多類(lèi)型、多元化的檢測(cè)

一體化安全檢測(cè)體系通過(guò)感知設(shè)備檢測(cè)、系統(tǒng)檢測(cè)、風(fēng)險(xiǎn)評(píng)估、管理檢查的一體化檢測(cè)服務(wù),提品檢測(cè)和系統(tǒng)檢測(cè)、實(shí)驗(yàn)室檢測(cè)和現(xiàn)場(chǎng)檢測(cè)服務(wù),滿(mǎn)足物聯(lián)網(wǎng)復(fù)雜多變的檢測(cè)需求,使得安全檢測(cè)更全面性,幫助客戶(hù)準(zhǔn)確評(píng)估物聯(lián)網(wǎng)安全性。

(3)提供技術(shù)與管理全方位檢測(cè)

物聯(lián)網(wǎng)安全包含技術(shù)與管理兩方面,技術(shù)與管理并重,本體系通過(guò)“五平臺(tái)”實(shí)現(xiàn)產(chǎn)品、系統(tǒng)技術(shù)類(lèi)檢測(cè)/風(fēng)險(xiǎn)評(píng)估與安全管理檢查,全方位、整體評(píng)估物聯(lián)網(wǎng)安全性。

(4)提供技術(shù)符合性和關(guān)聯(lián)外在風(fēng)險(xiǎn)評(píng)估相支撐的檢測(cè)

物聯(lián)網(wǎng)安全問(wèn)題是動(dòng)態(tài)發(fā)展的,在安全技術(shù)符合性檢測(cè)的基礎(chǔ)上,提供適用于動(dòng)態(tài)評(píng)估物聯(lián)網(wǎng)工程的風(fēng)險(xiǎn)評(píng)估服務(wù)。風(fēng)險(xiǎn)評(píng)估旨在通過(guò)關(guān)聯(lián)外在風(fēng)險(xiǎn),結(jié)合自身脆弱性評(píng)估系統(tǒng)和工程的安全性,與技術(shù)符合性檢測(cè)相支撐。

(5)提供一體化服務(wù)模式

提供一個(gè)靈活、規(guī)范的信息組織管理平臺(tái)和全網(wǎng)范圍的網(wǎng)絡(luò)協(xié)作環(huán)境,實(shí)現(xiàn)集成的信息采集、內(nèi)容管理、信息搜索,能夠直接組織各類(lèi)共享信息和內(nèi)部業(yè)務(wù)基礎(chǔ)信息,實(shí)現(xiàn)信息整合應(yīng)用,同時(shí)也提供管理中心支撐下的統(tǒng)一項(xiàng)目管理、統(tǒng)一數(shù)據(jù)匯總、統(tǒng)一結(jié)果判定的一體化服務(wù)系統(tǒng)。

7 結(jié)束語(yǔ)

目前,我國(guó)政策環(huán)境好,物聯(lián)網(wǎng)已成為國(guó)家發(fā)展戰(zhàn)略,初步明確了未來(lái)發(fā)展方向和重點(diǎn)領(lǐng)域,但產(chǎn)業(yè)和行業(yè)標(biāo)準(zhǔn)正在建立,是機(jī)遇也是挑戰(zhàn)。經(jīng)濟(jì)環(huán)境上,中國(guó)企業(yè)正在隨著國(guó)家的快速發(fā)展,持續(xù)提升競(jìng)爭(zhēng)力和國(guó)際影響力,對(duì)物聯(lián)網(wǎng)安全性的需求逐步增強(qiáng),企業(yè)對(duì)物聯(lián)網(wǎng)安全問(wèn)題的認(rèn)知提高,經(jīng)濟(jì)支付能力也在增強(qiáng)。通過(guò)對(duì)各行業(yè)物聯(lián)網(wǎng)建設(shè)方面的調(diào)查發(fā)現(xiàn),當(dāng)前已有的物聯(lián)網(wǎng)應(yīng)用對(duì)其安全性的檢測(cè)和技術(shù)支持需求十分迫切,物聯(lián)網(wǎng)安全檢測(cè)產(chǎn)業(yè)市場(chǎng)前景樂(lè)觀。

上述“一中心、二庫(kù)、五平臺(tái)”形成專(zhuān)業(yè)的平臺(tái),加上精專(zhuān)的人才、全面的服務(wù)內(nèi)容和敏捷的反應(yīng),構(gòu)建物聯(lián)網(wǎng)一體化安全檢測(cè)專(zhuān)業(yè)化服務(wù)體系架構(gòu)。從而提升價(jià)值、方便客戶(hù)、節(jié)約成本、提高效率,滿(mǎn)足物聯(lián)網(wǎng)安全檢測(cè)集成化、規(guī)模化的需求。

參考文獻(xiàn)

[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.

[2] 范紅, 邵華等. 物聯(lián)網(wǎng)安全技術(shù)體系研究[J].第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì),2011(09),5-8.

[3] 譚建平, 柔衛(wèi)國(guó)等. 基于物聯(lián)網(wǎng)的一體化安全防范技術(shù)體系研究[J].湖南理工學(xué)院學(xué)報(bào), 2011,第24卷 第4期 46-51.

[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.

[5] 郎為民,楊德鵬,李虎生.智能電網(wǎng)WCSN安全體系架構(gòu)研究[J].信息網(wǎng)絡(luò)安全,2012,(04):19-22.

[6] 余勇,林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全,2012,(05):74-77.

基金項(xiàng)目:

國(guó)家863高技術(shù)研究發(fā)展計(jì)劃資助項(xiàng)目(2009AA01Z437)和國(guó)家863高技術(shù)研究發(fā)展計(jì)劃資助項(xiàng)目(2009AA01Z439)。

篇8

【 關(guān)鍵詞 】 煙草;工業(yè)控制系統(tǒng);信息安全;風(fēng)險(xiǎn)評(píng)估;脆弱性測(cè)試

1 引言

隨著工業(yè)化和信息化進(jìn)程的加快,越來(lái)越多的計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)通信技術(shù)應(yīng)用到煙草自動(dòng)化生產(chǎn)過(guò)程中。在這些技術(shù)提高了企業(yè)管理水平和生產(chǎn)效率的同時(shí),也帶來(lái)了病毒和惡意代碼、信息泄露和篡改等網(wǎng)絡(luò)信息安全問(wèn)題。當(dāng)前,煙草企業(yè)所建成的綜合自動(dòng)化系統(tǒng)基本可以分為三層結(jié)構(gòu):上層為企業(yè)資源計(jì)劃(ERP)系統(tǒng);中間層為制造執(zhí)行系統(tǒng)(MES);底層為工業(yè)控制系統(tǒng)。對(duì)于以ERP為核心的企業(yè)管理系統(tǒng),信息安全防護(hù)相對(duì)已經(jīng)成熟,煙草企業(yè)普遍采用了防火墻、網(wǎng)閘、防病毒、防入侵等防護(hù)措施。而隨著MES技術(shù)在煙草企業(yè)的廣泛實(shí)施,越來(lái)越多企業(yè)開(kāi)始考慮在底層的工業(yè)控制系統(tǒng)進(jìn)行信息安全防護(hù)工作。近年來(lái),全球工業(yè)控制系統(tǒng)經(jīng)歷了“震網(wǎng)”、“Duqu”、“火焰”等病毒的攻擊,這些安全事件表明,一直以來(lái)被認(rèn)為相對(duì)封閉、專(zhuān)業(yè)和安全的工業(yè)控制系統(tǒng)已經(jīng)成為了黑客或不法組織的攻擊目標(biāo)。對(duì)于煙草企業(yè)的工業(yè)控制系統(tǒng),同樣也面臨著信息安全問(wèn)題。

與傳統(tǒng)IT系統(tǒng)一樣,在工業(yè)控制系統(tǒng)的信息安全問(wèn)題研究中,風(fēng)險(xiǎn)評(píng)估是其重要基礎(chǔ)。在工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方面,國(guó)外起步較早,已經(jīng)建立了ISA/IEC 62443、NIST800-82等一系列國(guó)際標(biāo)準(zhǔn)和指南;而國(guó)內(nèi)也相繼了推薦性標(biāo)準(zhǔn)GB/T 26333-2010:工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范和GB/T30976.1~.2-2014:工業(yè)控制系統(tǒng)信息安全(2個(gè)部分)等。當(dāng)前,相關(guān)學(xué)者也在這方面進(jìn)行了一系列研究,但國(guó)內(nèi)外還沒(méi)有一套公認(rèn)的針對(duì)工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方法,而且在煙草行業(yè)的應(yīng)用實(shí)例也很少。

本文基于相關(guān)標(biāo)準(zhǔn),以制絲線控制系統(tǒng)為對(duì)象進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估方法研究,并實(shí)際應(yīng)用在某卷煙廠制絲集控系統(tǒng)中,為后續(xù)的安全防護(hù)工作打下了基礎(chǔ),也為煙草工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作提供了借鑒。

2 煙草工業(yè)控制系統(tǒng)

煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)中的工控系統(tǒng)大致分成四種類(lèi)型:制絲集控、卷包數(shù)采、高架物流、動(dòng)力能源,這四個(gè)流程,雖工藝不同,相對(duì)獨(dú)立,但它們的基本原理大體一致,采用的工具和方法大致相同。制絲集控系統(tǒng)在行業(yè)內(nèi)是一種典型的工業(yè)控制系統(tǒng),它的信息安全情況在一定程度上體現(xiàn)了行業(yè)內(nèi)工業(yè)控制系統(tǒng)的信息安全狀態(tài)。

制絲集控系統(tǒng)主要分為三層:設(shè)備控制層、集中監(jiān)控層和生產(chǎn)管理層。設(shè)備控制層有工業(yè)以太網(wǎng)連接控制主站以及現(xiàn)場(chǎng)I/O站。集中監(jiān)控層網(wǎng)絡(luò)采用光纖環(huán)形拓?fù)浣Y(jié)構(gòu),將工藝控制段的可編程控制器(PLC)以及其他相關(guān)設(shè)備控制段的PLC接入主干網(wǎng)絡(luò)中,其中工藝控制段包括葉片處理段、葉絲處理段、梗處理段、摻配加香段等,然后與監(jiān)控計(jì)算器、I/O服務(wù)器、工程師站和實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器等共同組成了集中監(jiān)控層。生產(chǎn)管理層網(wǎng)絡(luò)連接了生產(chǎn)現(xiàn)場(chǎng)的交換機(jī),與管理計(jì)算機(jī)、管理服務(wù)器等共同組成了生產(chǎn)管理層。

制絲車(chē)間的生產(chǎn)采用兩班倒的方式運(yùn)行,對(duì)生產(chǎn)運(yùn)行的實(shí)時(shí)性、穩(wěn)定性要求非常嚴(yán)格;如直接針對(duì)實(shí)際系統(tǒng)進(jìn)行在線的掃描等風(fēng)險(xiǎn)評(píng)估工作,會(huì)對(duì)制絲生產(chǎn)造成一定的影響,存在影響生產(chǎn)的風(fēng)險(xiǎn)。而以模擬仿真平臺(tái)為基礎(chǔ)的系統(tǒng)脆弱性驗(yàn)證和自主可控的測(cè)評(píng)是當(dāng)前制絲線控制系統(tǒng)信息安全評(píng)估的一種必然趨勢(shì)。

3 工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法

在風(fēng)險(xiǎn)評(píng)估方法中,主要包括了資產(chǎn)識(shí)別、威脅評(píng)估、脆弱性評(píng)估、綜合評(píng)估四個(gè)部分,其中脆弱性測(cè)試主要以模擬仿真平臺(tái)為基礎(chǔ)進(jìn)行自主可控的測(cè)評(píng)。

風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性,導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性,即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險(xiǎn)評(píng)估模型主要包含信息資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值,脆弱性的屬性是脆弱性被威脅利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)重程度,威脅的屬性是威脅發(fā)生的可能性,風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)發(fā)生的后果。

3.1 資產(chǎn)識(shí)別

首先進(jìn)行的是對(duì)實(shí)際生產(chǎn)環(huán)境中的信息資產(chǎn)進(jìn)行識(shí)別,主要包括服務(wù)器、工作站、下位機(jī)、工業(yè)交換設(shè)備、工控系統(tǒng)軟件和工業(yè)協(xié)議的基本信息。其中,對(duì)于服務(wù)器和工作站,詳細(xì)調(diào)查其操作系統(tǒng)以及所運(yùn)行的工控軟件;對(duì)于下位機(jī),查明PLC主站和從站的詳細(xì)型號(hào);對(duì)于交換設(shè)備,仔細(xì)查看其配置以及連接情況;對(duì)于工控系統(tǒng)軟件,詳細(xì)調(diào)查其品牌以及實(shí)際安裝位置;對(duì)于工業(yè)協(xié)議,則詳細(xì)列舉其通信兩端的對(duì)象。

3.2 威脅評(píng)估

威脅評(píng)估的第一步是進(jìn)行威脅識(shí)別,主要的任務(wù)是是識(shí)別可能的威脅主體(威脅源)、威脅途徑和威脅方式。

威脅主體:分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī),人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然災(zāi)害和設(shè)施故障。

威脅途徑:分為間接接觸和直接接觸,間接接觸主要有網(wǎng)絡(luò)訪問(wèn)、指令下置等形式;直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn)。

威脅方式:主要有傳播計(jì)算機(jī)病毒、異常數(shù)據(jù)、掃描監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊(后門(mén)、漏洞、口令、拒絕服務(wù)等)、越權(quán)或?yàn)E用、行為抵賴(lài)、濫用網(wǎng)絡(luò)資源、人為災(zāi)害(水、火等)、人為基礎(chǔ)設(shè)施故障(電力、網(wǎng)絡(luò)等)、竊取、破壞硬件、軟件和數(shù)據(jù)等。

威脅識(shí)別工作完成之后,對(duì)資產(chǎn)所對(duì)應(yīng)的威脅進(jìn)行評(píng)估,將威脅的權(quán)值分為1-5 五個(gè)級(jí)別,等級(jí)越高威脅發(fā)生的可能性越大。威脅的權(quán)值主要是根據(jù)多年的經(jīng)驗(yàn)積累或類(lèi)似行業(yè)客戶(hù)的歷史數(shù)據(jù)來(lái)確定。等級(jí)5標(biāo)識(shí)為很高,表示該威脅出現(xiàn)的頻率很高(或≥1 次/周),或在大多數(shù)情況下幾乎不可避免,或可以證實(shí)經(jīng)常發(fā)生過(guò)。等級(jí)1標(biāo)識(shí)為很低,表示該威脅幾乎不可能發(fā)生,僅可能在非常罕見(jiàn)和例外的情況下發(fā)生。

3.3 脆弱性測(cè)試

脆弱性評(píng)估需從管理和技術(shù)兩方面脆弱性來(lái)進(jìn)行。管理脆弱性評(píng)估方面主要是按照等級(jí)保護(hù)的安全管理要求對(duì)現(xiàn)有的安全管理制度的制定和執(zhí)行情況進(jìn)行檢查,發(fā)現(xiàn)了其中的管理漏洞和不足。技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)環(huán)境、主機(jī)系統(tǒng)、中間件系統(tǒng)和應(yīng)用系統(tǒng)五個(gè)層次,主要是通過(guò)遠(yuǎn)程和本地兩種方式進(jìn)行手工檢查、工具掃描等方式進(jìn)行評(píng)估,以保證脆弱性評(píng)估的全面性和有效性。

傳統(tǒng)IT 系統(tǒng)的技術(shù)脆弱性評(píng)測(cè)可以直接并入到生產(chǎn)系統(tǒng)中進(jìn)行掃描檢測(cè),同時(shí)通過(guò)交換機(jī)的監(jiān)聽(tīng)口采集數(shù)據(jù),進(jìn)行分析。而對(duì)工控系統(tǒng)的脆弱性驗(yàn)證和測(cè)評(píng)服務(wù),則以實(shí)際車(chē)間工控系統(tǒng)為藍(lán)本,搭建一套模擬工控系統(tǒng),模擬系統(tǒng)采用與真實(shí)系統(tǒng)相同或者相近的配置,最大程序反映實(shí)際工控系統(tǒng)的真實(shí)情況。評(píng)估出的模擬系統(tǒng)工控系統(tǒng)安全情況,經(jīng)過(guò)分析與演算,可以得出真實(shí)工控系統(tǒng)安全現(xiàn)狀。

對(duì)于工控系統(tǒng)主要采用的技術(shù)性測(cè)試方法。

(1)模擬和數(shù)字控制邏輯測(cè)試方法。該方法針對(duì)模擬系統(tǒng)中的控制器系統(tǒng)進(jìn)行測(cè)試。采用如圖1的拓?fù)湫问?,通過(guò)組態(tài)配置PLC輸出方波數(shù)字信號(hào)和階梯模擬信號(hào),通過(guò)監(jiān)測(cè)控制信號(hào)的邏輯以判別控制系統(tǒng)的工作狀態(tài)。

(2)抓包測(cè)試方法。該方法可以對(duì)模擬系統(tǒng)中的各種設(shè)備進(jìn)行測(cè)試。采用圖2的拓?fù)湫问?,通過(guò)抓包方式,獲取車(chē)間現(xiàn)場(chǎng)運(yùn)行的正常網(wǎng)絡(luò)數(shù)據(jù)包;將該數(shù)據(jù)進(jìn)行模糊算法變異,產(chǎn)生新的測(cè)試用例,將新數(shù)據(jù)發(fā)送到測(cè)試設(shè)備上進(jìn)行漏洞挖掘。該測(cè)試方法既不影響工作現(xiàn)場(chǎng),又使得模擬系統(tǒng)的測(cè)試數(shù)據(jù)流與工作現(xiàn)場(chǎng)相同。

(3)橋接測(cè)試方法。該方法針對(duì)模擬系統(tǒng)中的工業(yè)通信協(xié)議進(jìn)行測(cè)試。測(cè)試平臺(tái)接收到正常的數(shù)據(jù)包后,對(duì)該數(shù)據(jù)包進(jìn)行模糊算法變異,按照特定的協(xié)議格式,由測(cè)試平臺(tái)向被測(cè)設(shè)備發(fā)送修改后的數(shù)據(jù),進(jìn)行漏洞挖掘測(cè)試。采用的拓?fù)湫问骄褪菆D2中去除了虛線框中的內(nèi)容后的形式。

(4)點(diǎn)對(duì)點(diǎn)測(cè)試方法。該方法針對(duì)通信協(xié)議進(jìn)行測(cè)試。采用與圖1相同拓?fù)湫问?,按照所面?duì)的協(xié)議的格式,由測(cè)試平臺(tái)向被測(cè)設(shè)備發(fā)送測(cè)試用例,進(jìn)行健壯性的測(cè)試。

(5)系統(tǒng)測(cè)試方法。該方法對(duì)裝有工控軟件的被測(cè)設(shè)備進(jìn)行測(cè)試。該方法采用如圖3的拓?fù)湫问剑C合了前幾種方式,在系統(tǒng)的多個(gè)控制點(diǎn)同時(shí)進(jìn)行,模糊測(cè)試數(shù)據(jù)在不同控制點(diǎn)之間同時(shí)傳輸,對(duì)整個(gè)工業(yè)控制環(huán)境進(jìn)行系統(tǒng)級(jí)的漏洞挖掘。

3.4 綜合分析

在完成資產(chǎn)、威脅和脆弱性的評(píng)估后,進(jìn)入安全風(fēng)險(xiǎn)的評(píng)估階段。在這個(gè)過(guò)程中,得到綜合風(fēng)險(xiǎn)評(píng)估分析結(jié)果和建議。根據(jù)已得到的資產(chǎn)、威脅和脆弱性分析結(jié)果,可以得到風(fēng)險(xiǎn)以及相應(yīng)的等級(jí),等級(jí)越高,風(fēng)險(xiǎn)越高。

4 應(yīng)用實(shí)例

本文以某卷煙廠制絲車(chē)間的制絲集控系統(tǒng)為例進(jìn)行風(fēng)險(xiǎn)評(píng)估研究。

4.1 資產(chǎn)識(shí)別

首先對(duì)該制絲集控系統(tǒng)進(jìn)行了資產(chǎn)的識(shí)別,得到的各類(lèi)資產(chǎn)的基本信息。資產(chǎn)的簡(jiǎn)單概述:服務(wù)器包括GR 服務(wù)器、監(jiān)控實(shí)時(shí)服務(wù)器、AOS 服務(wù)器、文件服務(wù)器、管理應(yīng)用服務(wù)器、管理數(shù)據(jù)庫(kù)服務(wù)器和管理實(shí)時(shí)服務(wù)器等;工作站包括工程師站、監(jiān)控計(jì)算機(jī)和管理計(jì)算機(jī);下位機(jī)包括西門(mén)子PLC S7-300、PLC S7-400 和ET200S;網(wǎng)絡(luò)交換設(shè)備主要以西門(mén)子交換機(jī)和思科交換機(jī)為主;工控系統(tǒng)軟件主要有Wonderware 系列軟件、西門(mén)子STEP7、KEPServerEnterprise等。

4.2 威脅評(píng)估

依據(jù)威脅主體、威脅途徑和威脅方式對(duì)制絲集控系統(tǒng)進(jìn)行了威脅的識(shí)別,隨后對(duì)卷煙廠制絲集控系統(tǒng)的威脅分析表示,面臨的威脅來(lái)自于人員威脅和環(huán)境威脅,威脅方式主要有計(jì)算機(jī)病毒、入侵等。其中等級(jí)較高的威脅(等級(jí)≥3)其主體主要是互聯(lián)網(wǎng)/辦公網(wǎng)以及內(nèi)部辦公人員威脅。

4.3 脆弱性評(píng)估

搭建的模擬系統(tǒng)與真實(shí)網(wǎng)絡(luò)層次結(jié)構(gòu)相同,拓?fù)鋱D如圖4所示。

基于工控模擬環(huán)境,對(duì)設(shè)備控制層、工控協(xié)議、工控軟件、集中監(jiān)控設(shè)備進(jìn)行評(píng)估。

對(duì)設(shè)備控制層的控制設(shè)備通訊流程分為五條路徑進(jìn)行歸類(lèi)分析,即圖4中的路徑1到5,通信協(xié)議均為西門(mén)子S7協(xié)議。一方面采用模擬和數(shù)字控制邏輯測(cè)試方法以及抓包測(cè)試方法對(duì)控制器進(jìn)行測(cè)試,另一方面采用橋接測(cè)試方法對(duì)S7協(xié)議進(jìn)行漏洞挖掘,結(jié)果表明結(jié)果未發(fā)現(xiàn)重大設(shè)備硬

件漏洞。

除了S7 協(xié)議外,圖4中所標(biāo)的剩余通信路徑中,路徑6為OPC協(xié)議,路徑7為ProfiNet協(xié)議,路徑8為ProfiBus協(xié)議,路徑9為Modbus TCP協(xié)議。對(duì)于這些工控協(xié)議,采用點(diǎn)對(duì)點(diǎn)測(cè)試方法進(jìn)行健壯性測(cè)試,結(jié)果發(fā)現(xiàn)了協(xié)議采用明文傳輸、未對(duì)OPC端口進(jìn)行安全防范等問(wèn)題。

采用系統(tǒng)測(cè)試方法,對(duì)裝有工控軟件的以及集中設(shè)備進(jìn)行測(cè)試,發(fā)現(xiàn)了工控軟件未對(duì)MAC 地址加固,無(wú)法防止中間人攻擊,賬號(hào)密碼不更新,未進(jìn)行認(rèn)證等數(shù)據(jù)校驗(yàn)諸多問(wèn)題。

然后對(duì)制絲集控系統(tǒng)進(jìn)行的脆弱性分析發(fā)現(xiàn)了兩個(gè)方面的問(wèn)題非常值得重視。一是工控層工作站可通過(guò)服務(wù)器連通Internet,未進(jìn)行任何隔離防范,有可能帶來(lái)入侵或病毒威脅;攻擊者可直接通過(guò)工作站攻擊內(nèi)網(wǎng)的所有服務(wù)器,這帶來(lái)的風(fēng)險(xiǎn)極大。二是工控協(xié)議存在一定威脅,后期需要采取防護(hù)措施。

4.4 綜合評(píng)估

此次對(duì)制絲集控系統(tǒng)的分析中,發(fā)現(xiàn)了一個(gè)高等級(jí)的風(fēng)險(xiǎn):網(wǎng)絡(luò)中存在可以連接Internet的服務(wù)器,未對(duì)該服務(wù)器做安全防護(hù)。還有多個(gè)中等級(jí)的風(fēng)險(xiǎn),包括網(wǎng)絡(luò)分域分區(qū)的策略未細(xì)化、關(guān)鍵網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)服務(wù)器安全配置不足、設(shè)備存在緊急風(fēng)險(xiǎn)漏洞、工控協(xié)議存在安全隱患、PLC 應(yīng)用固件缺乏較完善的認(rèn)證校驗(yàn)機(jī)制等。

4.5 防護(hù)建議

根據(jù)制絲集控系統(tǒng)所發(fā)現(xiàn)的風(fēng)險(xiǎn)和不足,可以采取幾項(xiàng)防護(hù)措施:對(duì)于可連到Internet的服務(wù)器,采用如堡壘機(jī)模式等安全防護(hù)措施,加強(qiáng)分區(qū)分域管理;對(duì)主機(jī)設(shè)備和網(wǎng)絡(luò)交換機(jī)加強(qiáng)安全策略,提高安全等級(jí);對(duì)存在緊急風(fēng)險(xiǎn)漏洞的設(shè)備,及時(shí)打補(bǔ)丁;對(duì)于工控協(xié)議存在的安全隱患,控制器缺乏驗(yàn)證校驗(yàn)機(jī)制等風(fēng)險(xiǎn),采用工業(yè)安全防護(hù)設(shè)備對(duì)其檢測(cè)審計(jì)與防護(hù)阻斷。

5 結(jié)束語(yǔ)

隨著信息化的不斷加強(qiáng),煙草企業(yè)對(duì)于工業(yè)控制系統(tǒng)信息安全越來(lái)越重視,而風(fēng)險(xiǎn)評(píng)估可以說(shuō)是信息安全工作的重要基礎(chǔ)。本文提出基于模擬系統(tǒng)和脆弱性測(cè)試的風(fēng)險(xiǎn)評(píng)估方法,采用資產(chǎn)識(shí)別、威脅評(píng)估、以模擬系統(tǒng)評(píng)測(cè)為主的脆弱性評(píng)估、綜合評(píng)估等步驟,對(duì)煙草制絲線控制系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。而在脆弱性測(cè)試中采用了模擬和數(shù)字控制邏輯測(cè)試、抓包測(cè)試、系統(tǒng)測(cè)試等多種方法,對(duì)工業(yè)控制系統(tǒng)技術(shù)上的脆弱性進(jìn)行測(cè)試。這些步驟和方法在某卷煙廠的制絲集控系統(tǒng)應(yīng)用中取得了良好的成果:發(fā)現(xiàn)了工控系統(tǒng)中存在的一些信息安全問(wèn)題及隱患,并以此設(shè)計(jì)了工業(yè)安全防護(hù)方案,將工控網(wǎng)絡(luò)風(fēng)險(xiǎn)控制到可接受范圍內(nèi)。

本次所做的煙草工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估工作,可以為同類(lèi)的煙草企業(yè)工控信息安全防護(hù)建設(shè)提供一定的借鑒。但同時(shí),也要看到,本次的風(fēng)險(xiǎn)評(píng)估工作中對(duì)于風(fēng)險(xiǎn)等內(nèi)容的定級(jí)對(duì)于經(jīng)驗(yàn)的依賴(lài)程度較高,不易判斷,這也是以后研究的方向之一。

參考文獻(xiàn)

[1] 李燕翔,胡明淮.煙草制造企業(yè)工業(yè)控制網(wǎng)絡(luò)安全淺析[J].中國(guó)科技博覽,2011,(34): 531-2.

[2] 李鴻培, 忽朝儉,王曉鵬. 2014工業(yè)控制系統(tǒng)的安全研究與實(shí)踐[J]. 計(jì)算機(jī)安全,2014,(05): 36-59,62.

[3] IEC 62443―2011, Industrial control network &system security standardization[S].

[4] SP 800-82―2008, Guide to industrial control systems(ICS) security[S].

[5] GB/T 26333―2011, 工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].

[6] GB/T 30976.1―2011, 工業(yè)控制系統(tǒng)信息安全 第1部分:評(píng)估規(guī)范[S].

[7] GB/T 30976.2―2011, 工業(yè)控制系統(tǒng)信息安全 第2部分:驗(yàn)收規(guī)范[S].

[8] 盧慧康, 陳冬青, 彭勇,王華忠.工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估量化研究[J].自動(dòng)化儀表, 2014 (10): 21-5.

[9] 彭杰,劉力.工業(yè)控制系統(tǒng)信息安全性分析[J].自動(dòng)化儀表, 2012, 33(12): 36-9.

作者簡(jiǎn)介:

李威(1984-),男,河南焦作人,西安交通大學(xué),碩士,浙江中煙工業(yè)有限責(zé)任公司,工程師;主要研究方向和關(guān)注領(lǐng)域:信息安全與網(wǎng)絡(luò)管理。

湯堯平(1974-),男,浙江諸暨人,浙江中煙工業(yè)有限責(zé)任公司,工程師;主要研究方向和關(guān)注領(lǐng)域:煙草生產(chǎn)工業(yè)控制。

篇9

關(guān)鍵詞:無(wú)人直升機(jī);場(chǎng)站;火情;預(yù)防

通過(guò)對(duì)無(wú)人直升機(jī)場(chǎng)站火情風(fēng)險(xiǎn)分析評(píng)估,制定場(chǎng)站火情風(fēng)險(xiǎn)控制措施,可以一定程度上預(yù)防場(chǎng)站的火災(zāi)事故的發(fā)生,并在火災(zāi)事故發(fā)生時(shí)采取有效的控制措施將損失降至最低,促進(jìn)企業(yè)試飛安全體系的持續(xù)優(yōu)化,提高無(wú)人直升機(jī)的場(chǎng)站防火水平及運(yùn)營(yíng)安全。

1場(chǎng)站防火的管理

具體研究思路如下:第一步,對(duì)無(wú)人直升機(jī)場(chǎng)站曾經(jīng)出現(xiàn)過(guò)的火災(zāi)事故和可能出現(xiàn)的火災(zāi)隱患案例進(jìn)行統(tǒng)計(jì)分類(lèi)分析;第二步,運(yùn)用航空工業(yè)直升機(jī)所建立的試飛安全體系中關(guān)于風(fēng)險(xiǎn)管理的方法對(duì)各案例進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估;第三步,參考現(xiàn)有的消防救援措施和預(yù)防措施,通過(guò)人防、物防和技防等風(fēng)險(xiǎn)控制途徑,確定場(chǎng)站火情的緩解或解決方法,以降低潛在后果的嚴(yán)重性、降低火情發(fā)生的可能性,或者通過(guò)減少火情風(fēng)險(xiǎn)的影響來(lái)降低火情風(fēng)險(xiǎn)的水平。

1.1確定火情風(fēng)險(xiǎn)等級(jí)

航空工業(yè)直升機(jī)所試飛安全體系和安全生產(chǎn)管理要求中明確了風(fēng)險(xiǎn)的可接受水平、危險(xiǎn)性等級(jí)的確定方法、風(fēng)險(xiǎn)矩陣的建立方法以及風(fēng)險(xiǎn)控制措施的制定策略。本文參考該危險(xiǎn)等級(jí)劃分和風(fēng)險(xiǎn)矩陣方法,并通過(guò)火情風(fēng)險(xiǎn)等級(jí)評(píng)判方法、火情風(fēng)險(xiǎn)評(píng)估方法和火情風(fēng)險(xiǎn)控制方法的分析,為場(chǎng)站防火管理提供詳細(xì)的、科學(xué)的依據(jù)。航空工業(yè)直升機(jī)所相關(guān)部門(mén)根據(jù)火情的危害嚴(yán)重性等級(jí)(表1)和可能性等級(jí)(表2)對(duì)場(chǎng)站發(fā)生火情的危險(xiǎn)性進(jìn)行定性或定量分析,評(píng)估系統(tǒng)發(fā)生火情的嚴(yán)重程度及其可能性。

1.2火情風(fēng)險(xiǎn)評(píng)估

綜合火情發(fā)生所造成的后果及影響(S),出現(xiàn)火情后果的概率(P),計(jì)算風(fēng)險(xiǎn)值(R),R=S×P,建立風(fēng)險(xiǎn)矩陣,如表3所示。根據(jù)風(fēng)險(xiǎn)值的大小,風(fēng)險(xiǎn)劃分為可接受的、可容忍的和不可接受的三類(lèi):(1)風(fēng)險(xiǎn)值在淺色劃線區(qū)域的為可接受的;(2)風(fēng)險(xiǎn)值在空白區(qū)域的為緩解后可接受的;(3)風(fēng)險(xiǎn)值在深色方格區(qū)域的為不可接受的。

1.3火情風(fēng)險(xiǎn)緩解或解決原則

根據(jù)火情風(fēng)險(xiǎn)評(píng)估結(jié)果,采取相應(yīng)的控制措施。風(fēng)險(xiǎn)越大,緊急程度越高,火情風(fēng)險(xiǎn)等級(jí)及緩解原則如表4所示?;鹎轱L(fēng)險(xiǎn)控制主要通過(guò)減小潛在后果的嚴(yán)重性、降低火情發(fā)生的可能性,或者通過(guò)減少該風(fēng)險(xiǎn)的影響來(lái)降低火情風(fēng)險(xiǎn)的水平。在防火管理層面上,可以依據(jù)不同的過(guò)程進(jìn)行火情控制措施的制定,比如,場(chǎng)站飛行組織與實(shí)施過(guò)程的防火可以根據(jù)試飛安全體系的思維確定控制措施,場(chǎng)站其他方面的防火可以根據(jù)安全生產(chǎn)管理的思維確定控制措施。根據(jù)不同的火情風(fēng)險(xiǎn)等級(jí),可以采取技術(shù)改造、建立健全的規(guī)章制度、制定場(chǎng)站操作規(guī)程、加強(qiáng)場(chǎng)站防火、進(jìn)行監(jiān)督和檢查、提高場(chǎng)站操作人員防火技能等措施,有效控制風(fēng)險(xiǎn)。

2場(chǎng)站防火的風(fēng)險(xiǎn)應(yīng)對(duì)

2.1火情風(fēng)險(xiǎn)識(shí)別

火情危險(xiǎn)辨識(shí)和風(fēng)險(xiǎn)管理的范圍應(yīng)覆蓋無(wú)人直升機(jī)場(chǎng)站運(yùn)營(yíng)的全過(guò)程,根據(jù)表1、表2和圖1的判定標(biāo)準(zhǔn)劃分出風(fēng)險(xiǎn)等級(jí),確定火情危險(xiǎn)點(diǎn)、可能產(chǎn)生火情的作業(yè)活動(dòng)。場(chǎng)站人員在進(jìn)行場(chǎng)站運(yùn)營(yíng)時(shí),對(duì)涉及火情的危險(xiǎn)進(jìn)行識(shí)別,火情危險(xiǎn)識(shí)別包括事件和地點(diǎn)兩個(gè)維度。第一個(gè)維度:對(duì)可能產(chǎn)生火情的作業(yè)活動(dòng)中潛在的人為因素、機(jī)械因素、環(huán)境因素、管理因素進(jìn)行辨識(shí),辨識(shí)對(duì)象包括所有設(shè)備設(shè)施、場(chǎng)地和所有進(jìn)入場(chǎng)站的人員。上述四類(lèi)因素的具體內(nèi)容為:(1)人為因素,因?yàn)槿说牟僮髟蛑苯訉?dǎo)致失火,包括安全意識(shí)不強(qiáng)、操作人員失誤、人為縱火。(2)機(jī)械因素,因?yàn)闄C(jī)械設(shè)備故障或操作不當(dāng)直接導(dǎo)致失火,包括零部件損壞、電氣故障/老化、設(shè)備接地不良(靜電)、燃油泄漏/起火、切割鉆孔火花/高溫。(3)環(huán)境因素,因?yàn)榄h(huán)境的因素直接導(dǎo)致失火,包括雷擊、天氣干燥、靜電火花、通風(fēng)不良。(4)管理因素,包括應(yīng)急處置能力不足、安全培訓(xùn)不到位、檢查監(jiān)督不到位等直接或間接導(dǎo)致的火情,或未將火情撲滅在萌芽階段。第二個(gè)維度:根據(jù)火情可能發(fā)生的場(chǎng)所進(jìn)行劃分,分別按照跑道、機(jī)庫(kù)、維修間、充電間、塔臺(tái)等區(qū)域進(jìn)行火情風(fēng)險(xiǎn)識(shí)別。航空工業(yè)直升機(jī)所無(wú)人直升機(jī)場(chǎng)站運(yùn)營(yíng)過(guò)程中油品的存儲(chǔ)是委托就近的加油站管理,因此場(chǎng)站火情可能發(fā)生的場(chǎng)所不包含油庫(kù)。通過(guò)經(jīng)驗(yàn)教訓(xùn)總結(jié)、系統(tǒng)分析等途徑,按照火情可能發(fā)生的原因和場(chǎng)地進(jìn)行火情風(fēng)險(xiǎn)因素識(shí)別,識(shí)別結(jié)果如表5所示。2.

2火情風(fēng)險(xiǎn)應(yīng)對(duì)

2.2.1燃燒的三要素和火災(zāi)的種類(lèi)火災(zāi)的發(fā)生都必須同時(shí)具備三個(gè)方面條件,分別是可燃物的存在、熱源和空氣的供給。根據(jù)國(guó)家標(biāo)準(zhǔn)《火災(zāi)分類(lèi)》(GB/T-4968-2008)中的規(guī)定[1],火災(zāi)類(lèi)型分類(lèi)如下:A類(lèi)火災(zāi):固體物質(zhì)火災(zāi);B類(lèi)火災(zāi):液體或可熔化的固體物質(zhì)火災(zāi);C類(lèi)火災(zāi):氣體火災(zāi);D類(lèi)火災(zāi):金屬火災(zāi);E類(lèi)火災(zāi):帶電火災(zāi);F類(lèi)火災(zāi):烹飪器具內(nèi)的烹飪物(如動(dòng)植物油脂)火災(zāi)。對(duì)無(wú)人直升機(jī)場(chǎng)站飛行運(yùn)營(yíng)區(qū)域進(jìn)行火情風(fēng)險(xiǎn)識(shí)別,發(fā)現(xiàn)其可燃物因素主要是雜物干草等固體物質(zhì)、油等可燃液體、電路老化和電火花等失火,暫不存在C類(lèi)(可燃液體揮發(fā)的氣體和電池充放電產(chǎn)生的氫氣等可燃?xì)怏w量較少,只存在點(diǎn)燃情況)、D類(lèi)和F類(lèi)火災(zāi)。2.2.2具體措施從降低或火情發(fā)生的危害嚴(yán)重性和可能性出發(fā),制定相應(yīng)的無(wú)人直升機(jī)場(chǎng)站火情風(fēng)險(xiǎn)控制措施。(1)降低火情危害嚴(yán)重性通過(guò)限制、防止不適當(dāng)行動(dòng)或減輕火情后果的物體和方法等途徑降低火情危害嚴(yán)重性。①設(shè)施配置:設(shè)置靜電消除裝置、絕緣套裝、漏電保護(hù)裝置、警報(bào)裝置;②人員防護(hù):避免穿著容易產(chǎn)生靜電的服裝,并配置防靜電服、絕緣套裝;③合理配置滅火器:由于不同火災(zāi)類(lèi)型的引發(fā)物質(zhì)不同,各類(lèi)火災(zāi)對(duì)滅火器的要求也不盡相同[2],具體要求如下:A類(lèi)火災(zāi)對(duì)應(yīng)的物質(zhì)往往具有有機(jī)物性質(zhì),一般在燃燒時(shí)產(chǎn)生灼熱的余燼,如棉、紙、干草等,最好用水或水類(lèi)滅火器滅火,這種滅火器能把燃燒物冷卻到燃點(diǎn)以下。若A類(lèi)火災(zāi)附近有帶電設(shè)施設(shè)備,應(yīng)考慮使用E類(lèi)火災(zāi)的滅火器。B類(lèi)火災(zāi)對(duì)應(yīng)的有柴油、汽油、酒精(如冷卻液等),用二氧化碳、鹵代烴和干化學(xué)物品滅火器撲滅,所有這類(lèi)滅火器均能隔絕空氣中的氧氣,因而停止燃燒。泡沫滅火器對(duì)B類(lèi)火的熄滅是有效的,尤其是大量使用的時(shí)候。水對(duì)B類(lèi)火無(wú)效,反而會(huì)使火焰擴(kuò)散。E類(lèi)火災(zāi)場(chǎng)所應(yīng)選擇磷酸銨鹽干粉滅火器、碳酸氫鈉干粉滅火器、鹵代烷滅火器或二氧化碳滅火器,但是不得選用裝有金屬喇叭噴筒的二氧化碳滅火器(滅火瓶?jī)?nèi)放出的二氧化碳若通過(guò)金屬喇叭管時(shí)會(huì)產(chǎn)生靜電,又將重新點(diǎn)燃起火;金屬喇叭管如果與電流接觸,會(huì)把電流傳到使用滅火器的操作人員身上)。分析發(fā)現(xiàn),無(wú)人直升機(jī)場(chǎng)站的失火,可能包括其中之一或者全部的類(lèi)型,因此,無(wú)人直升機(jī)場(chǎng)站防火必須考慮滅火器的適用性和經(jīng)濟(jì)性。用于A類(lèi)火情的滅火器不適用于B類(lèi)或者C類(lèi)火情,對(duì)于B類(lèi)或者C類(lèi)火情有效的滅火器,對(duì)A類(lèi)火情會(huì)有某些效果,但卻不是最有效的,也是不經(jīng)濟(jì)的。綜上所述,無(wú)人直升機(jī)場(chǎng)站防火配置滅火器的配備要求為:在跑道配置泡沫和干粉滅火器(實(shí)際為機(jī)庫(kù)門(mén)口配置泡沫滅火器推車(chē)和干粉滅火器,無(wú)人直升機(jī)使用期間隨時(shí)攜帶這兩種滅火器),機(jī)庫(kù)、維修間、充電間配置干粉滅火器,塔臺(tái)配置二氧化碳滅火器,并進(jìn)行定期檢查、維修或更換,以保持滅火器的可用性。④加強(qiáng)應(yīng)急預(yù)案的演練管理:海恩法則指出[3]:每一起嚴(yán)重事故背后,必然有29次輕微事故和300起未遂先兆以及1000起事故隱患。法則強(qiáng)調(diào)兩點(diǎn)(引用):一是事故的發(fā)生是量的積累的結(jié)果;二是強(qiáng)調(diào)人的素質(zhì)及責(zé)任心,再優(yōu)秀的技術(shù),再?lài)?yán)格的制度,在實(shí)際操作層面上,也無(wú)法取代人的自身素質(zhì)和責(zé)任心。按照海恩法則分析,任何不安全事件都是可以預(yù)防的,當(dāng)火情發(fā)生后,我們?cè)谔幚砘鹎楸旧淼耐瑫r(shí),還要及時(shí)對(duì)同類(lèi)問(wèn)題的“征兆”和“苗頭”進(jìn)行排查處理,舉一反三,及時(shí)解決火情再次發(fā)生的隱患,把問(wèn)題解決在萌芽階段。事故從隱患(征兆)演變?yōu)槭鹿室话銜r(shí)間很短,從而導(dǎo)致場(chǎng)站工作人員的應(yīng)急處置時(shí)間也很短,事故發(fā)生后所造成的后果是人無(wú)法主動(dòng)控制的,一旦發(fā)生事故會(huì)立即造成相應(yīng)的后果。而場(chǎng)站火災(zāi)事故的不同之處在于,火災(zāi)造成的損害程度和事故的應(yīng)急處置效率有極大的聯(lián)系。對(duì)于火災(zāi)而言,火災(zāi)發(fā)生前期范圍一般都比較小,這時(shí)相關(guān)人員開(kāi)始進(jìn)行應(yīng)急處置,火災(zāi)從初期階段到發(fā)展階段再到猛烈階段有一個(gè)相對(duì)比較長(zhǎng)的時(shí)間,而這個(gè)時(shí)間完全夠人員進(jìn)行應(yīng)急處置,如果應(yīng)急處置得當(dāng),那么火情造成的損害程度將會(huì)大大降低。實(shí)際火情發(fā)生時(shí)力求在初期撲滅,若初期無(wú)法撲滅,應(yīng)立即聯(lián)絡(luò)當(dāng)?shù)鼗鹁#?)降低火情發(fā)生可能性通過(guò)制定相應(yīng)的規(guī)章制度、程序或措施來(lái)降低火情發(fā)生的可能性,火情風(fēng)險(xiǎn)控制措施前后風(fēng)險(xiǎn)等級(jí)對(duì)比如表6所示。①完善和落實(shí)無(wú)人直升機(jī)場(chǎng)站運(yùn)營(yíng)安全規(guī)章制度定期修訂試飛安全體系程序文件和作業(yè)文件,制定并布置工作流程卡、崗位紅線卡,落實(shí)崗位責(zé)任制;及時(shí)更新火情危險(xiǎn)源庫(kù),設(shè)置火情危險(xiǎn)源通告看板、火情危險(xiǎn)警告標(biāo)志;優(yōu)化操作流程:如加油/放油作業(yè)過(guò)程中確認(rèn)機(jī)體是否固定,是否接地良好,考慮地面風(fēng)向,放油后禁止在跑道周邊傾倒廢油;場(chǎng)務(wù)人員定期清理跑道周邊的干草,注意加油車(chē)、發(fā)電車(chē)的停放位置,定期檢查跑道周邊用電設(shè)施的可靠性,驅(qū)趕場(chǎng)站周?chē)貏e是吸煙的圍觀人員;用電開(kāi)合閘注意避免電火花的產(chǎn)生等。②人員的管理加強(qiáng)防火用電專(zhuān)項(xiàng)培訓(xùn)和制度宣貫;定期進(jìn)行技能考核;嚴(yán)格監(jiān)督,以減少人為差錯(cuò);嚴(yán)禁疲勞、酒后或者服用興奮劑、藥物之后進(jìn)行作業(yè),保證人員具備良好的精神狀態(tài);優(yōu)化人員配置:合理分配不同時(shí)段人員職責(zé),落實(shí)崗位責(zé)任制,如安保人員負(fù)責(zé)場(chǎng)站及機(jī)庫(kù)等位置防火巡查,場(chǎng)務(wù)人員負(fù)責(zé)場(chǎng)道及周界防火,機(jī)務(wù)人員負(fù)責(zé)無(wú)人直升機(jī)設(shè)備防火等。但航空工業(yè)直升機(jī)所無(wú)人直升機(jī)場(chǎng)站未形成較大規(guī)模,現(xiàn)階段場(chǎng)站運(yùn)營(yíng)人力資源不足,普遍存在一人多崗的兼職情況。為減少人為差錯(cuò)的發(fā)生,切忌一人同時(shí)承擔(dān)多崗位職責(zé)。允許兼職的作業(yè)禁止同一人同時(shí)進(jìn)行,如專(zhuān)業(yè)性較強(qiáng)的崗位,僅風(fēng)險(xiǎn)較低的作業(yè)允許兼職,保證有火情風(fēng)險(xiǎn)作業(yè)的崗位人員以良好的精力和注意力進(jìn)行作業(yè),如機(jī)務(wù)的飛行前通電操作檢查允許飛行操作員兼職,場(chǎng)務(wù)的電源車(chē)、加油車(chē)等的駕駛允許機(jī)務(wù)兼職,場(chǎng)務(wù)的風(fēng)速風(fēng)向氣溫等的測(cè)量和記錄允許塔臺(tái)或者測(cè)控站操作人員兼職。③系統(tǒng)優(yōu)化完善機(jī)庫(kù)防火設(shè)計(jì);加強(qiáng)無(wú)人直升機(jī)防火設(shè)計(jì)(無(wú)人直升機(jī)平臺(tái)發(fā)生火情主要原因是熱表面、電火花、排氣和爆炸,均與燃油或機(jī)載鋰電池相關(guān),因此機(jī)載鋰電池必須具備過(guò)充保護(hù)功能)等。完善擴(kuò)充,加強(qiáng)燃油動(dòng)力系統(tǒng)和電氣系統(tǒng)的防火設(shè)計(jì)工作。

3展望

無(wú)人直升機(jī)場(chǎng)站的防火是一項(xiàng)長(zhǎng)期的工作,需要在運(yùn)營(yíng)過(guò)程中不斷完善。文章中無(wú)人直升機(jī)場(chǎng)站防火的管理主要結(jié)合航空工業(yè)直升機(jī)所無(wú)人直升機(jī)的使用經(jīng)驗(yàn)展開(kāi)分析,后續(xù)需要不斷吸取行業(yè)內(nèi)外的經(jīng)驗(yàn)教訓(xùn),提高自身火情預(yù)警水平,并定期修訂規(guī)定和制度,加強(qiáng)人員培訓(xùn)和應(yīng)急預(yù)案演練,保障無(wú)人直升機(jī)的飛行安全。

參考文獻(xiàn):

[1]GB/T4968-2008,火災(zāi)分類(lèi)[S].[2]GB50140-2005,建筑滅火器配置設(shè)計(jì)規(guī)范[S].

篇10

【 關(guān)鍵詞 】 中小商業(yè)銀行;等級(jí)保護(hù);信息科技風(fēng)險(xiǎn)管理;信息安全體系框架

1 中小銀行等級(jí)保護(hù)咨詢(xún)服務(wù)的背景

隨著信息技術(shù)的不斷進(jìn)步與發(fā)展,信息系統(tǒng)的安全建設(shè)顯得尤為重要。2012年6月29日人民銀行下發(fā)了“銀發(fā)【2012】163號(hào)”文件,為進(jìn)一步落實(shí)《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕 43號(hào)文印發(fā)),加強(qiáng)對(duì)銀行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo),結(jié)合近年來(lái)銀行業(yè)信息安全等級(jí)保護(hù)工作開(kāi)展情況,人民銀行給出了銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)的指導(dǎo)意見(jiàn),至此,正式的拉開(kāi)了中小商業(yè)銀行等級(jí)保護(hù)建設(shè)和整改工作的序幕。

2 等級(jí)保護(hù)咨詢(xún)服務(wù)的項(xiàng)目目標(biāo)

國(guó)內(nèi)中小銀行在信息安全的發(fā)展程度,大部分處于自我認(rèn)知的階段,一邊忙于業(yè)務(wù)發(fā)展的保障需要,一邊又要應(yīng)對(duì)上級(jí)監(jiān)管部門(mén)的監(jiān)督檢查,對(duì)于安全建設(shè)來(lái)說(shuō),大部分沒(méi)有納入到戰(zhàn)略的層面來(lái)考慮。因此,借助于等級(jí)保護(hù)咨詢(xún)服務(wù)來(lái)建立的這樣一套信息安全體系,必須同時(shí)滿(mǎn)足公安部等級(jí)保護(hù)基本要求、人民銀行等級(jí)保護(hù)的測(cè)評(píng)要求和銀監(jiān)會(huì)關(guān)于IT風(fēng)險(xiǎn)管理的要求。這些目標(biāo)相輔相承,互為補(bǔ)充。只有將通用的要求、標(biāo)準(zhǔn)、規(guī)范落實(shí)到自己IT風(fēng)險(xiǎn)管理體系的各方面,建立適合自己業(yè)務(wù)特點(diǎn)與發(fā)展需求的信息安全體系,才能達(dá)到有效管理風(fēng)險(xiǎn)、進(jìn)行IT治理的目的,并最終通過(guò)等級(jí)測(cè)評(píng)。

3 等級(jí)保護(hù)咨詢(xún)服務(wù)的總體思路

中小銀行在咨詢(xún)服務(wù)項(xiàng)目需要主動(dòng)地全面的考量自身情況,綜合分析人民銀行、銀監(jiān)會(huì)和等級(jí)保護(hù)的要求,在現(xiàn)有的安全工作基礎(chǔ)之上,建立統(tǒng)一的信息安全體系,同時(shí)滿(mǎn)足這些主要的監(jiān)管要求。這樣面臨檢查時(shí),只要客觀反映出當(dāng)前狀態(tài)就可以,有效降低臨時(shí)的材料組織工作。

同時(shí)滿(mǎn)足三方面監(jiān)管要求的信息安全體系,這個(gè)信息安全體系將以公安部的等級(jí)保護(hù)《基本要求》、人民銀行的《等保測(cè)評(píng)指南》和銀監(jiān)會(huì)《管理指引》為主要依據(jù)來(lái)搭建起框架,以各專(zhuān)項(xiàng)監(jiān)管指引為各個(gè)領(lǐng)域的具體工作指導(dǎo),以ISO27000為代表的國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)為補(bǔ)充。

4 等級(jí)保護(hù)咨詢(xún)服務(wù)的內(nèi)容

等級(jí)保護(hù)的咨詢(xún)服務(wù)具體實(shí)施過(guò)程可參考公安部下發(fā)的《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》,“指南”中將等級(jí)保護(hù)工作分為了定級(jí)備案、規(guī)劃設(shè)計(jì)、建設(shè)整改和等級(jí)測(cè)評(píng)四大過(guò)程。

4.1 系統(tǒng)定級(jí)

系統(tǒng)定級(jí)階段需要完成的工作。

1) 等級(jí)保護(hù)的導(dǎo)入培訓(xùn):在進(jìn)行咨詢(xún)服務(wù)之前,需要對(duì)銀行相關(guān)科室信息人員進(jìn)行等級(jí)保護(hù)的內(nèi)容培訓(xùn)。只要講清楚等保是什么,需要各級(jí)人員配合的工作點(diǎn)是什么就可以了。

2) 系統(tǒng)業(yè)務(wù)安全域劃分:這個(gè)階段需要進(jìn)行信息搜集和資產(chǎn)調(diào)研。明確業(yè)務(wù)系統(tǒng)的范圍、邊界、功能、以及重要性等。

3) 編寫(xiě)系統(tǒng)定級(jí)報(bào)告和備案表:定級(jí)報(bào)告和備案表都是按照公安部等保辦公室的通用模版來(lái)編寫(xiě)的,內(nèi)容包含了系統(tǒng)功能描述、網(wǎng)絡(luò)拓?fù)洹⒍?jí)的理由和依據(jù)等。

4) 召開(kāi)專(zhuān)家評(píng)審會(huì)、獲得備案證明:召開(kāi)專(zhuān)家評(píng)審會(huì)并獲得備案證明可視為一個(gè)里程碑式的階段性成果,因?yàn)槎?jí)和備案是等級(jí)保護(hù)工作開(kāi)展的前提,如果級(jí)別定錯(cuò)了,或者專(zhuān)家有不同的評(píng)審意見(jiàn),則后續(xù)的設(shè)計(jì)方案、整改方案均無(wú)法執(zhí)行。同時(shí),對(duì)于銀行信息科技部門(mén)的領(lǐng)導(dǎo)而言,服務(wù)工作做的怎么樣無(wú)法量化,但是備案證書(shū)是看的見(jiàn),摸的著的,如果能在評(píng)審會(huì)現(xiàn)場(chǎng)當(dāng)場(chǎng)頒發(fā),則意義更加重大。

4.2 規(guī)劃與設(shè)計(jì)

規(guī)劃與設(shè)計(jì)階段的主要工作就是進(jìn)行等級(jí)差距分析和風(fēng)險(xiǎn)評(píng)估。

1) 技術(shù)層面可直接參考人民銀行關(guān)于金融行業(yè)的“測(cè)評(píng)指南”來(lái)完成,可操作性較強(qiáng)。可分物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個(gè)層面進(jìn)行差距評(píng)估,同時(shí)對(duì)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)協(xié)議進(jìn)行簡(jiǎn)單的分析,通過(guò)漏洞掃描設(shè)備、配置核查設(shè)備、滲透工具等進(jìn)行風(fēng)險(xiǎn)分析,輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和技術(shù)層面的差距評(píng)估報(bào)告。

2) 管理層面上,等保的管理要求相對(duì)薄弱,集中體現(xiàn)在運(yùn)維管理等方面,如果要達(dá)到人民銀行和銀監(jiān)會(huì)的標(biāo)準(zhǔn),還有很多需要加強(qiáng)和補(bǔ)充的地方,可以對(duì)現(xiàn)有的制度文檔進(jìn)行一個(gè)簡(jiǎn)單的梳理,用最短的時(shí)間完成等保的管理制度調(diào)研。

4.3 實(shí)施與整改

實(shí)施與整改階段需要按照規(guī)劃階段的設(shè)計(jì)方案進(jìn)行實(shí)施,以滿(mǎn)足等級(jí)保護(hù)安全體系的建設(shè)要求。

1) 組織體系整改:安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組、具體信息安全職能部門(mén)負(fù)責(zé)日常工作的組織模式。可參考已成立的《等保領(lǐng)導(dǎo)小組》設(shè)立模式,但應(yīng)具體到管理員崗位。

2) 管理體系整改:按照等級(jí)保護(hù)的要求補(bǔ)充或重新制定管理制度,根據(jù)咨詢(xún)方提供的制度模版,銀行可根據(jù)自身的實(shí)際業(yè)務(wù)需求進(jìn)行修改,并經(jīng)內(nèi)部討論修訂后,下文試運(yùn)行。

3) 技術(shù)體系整改:技術(shù)體系整改應(yīng)從三個(gè)層面進(jìn)行考慮。

制定技術(shù)規(guī)范:包括windows、AIX、Informix、tuxedo、cisco等主流設(shè)備的安全配置規(guī)范;可考慮聘請(qǐng)專(zhuān)業(yè)安全公司進(jìn)行咨詢(xún)服務(wù),制定適合銀行長(zhǎng)期發(fā)展的安全策略和技術(shù)安全規(guī)范。

安全配置加固:根據(jù)已制定的技術(shù)規(guī)范進(jìn)行主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的全面的安全加固。

安全設(shè)備采購(gòu):在安全技術(shù)體系的具體實(shí)現(xiàn)過(guò)程中,需要落實(shí)安全技術(shù)詳細(xì)設(shè)計(jì)方案中的具體技術(shù)要求,將先進(jìn)的信息安全技術(shù)落實(shí)到具體安全產(chǎn)品中,形成合理、有效、可靠的安全防護(hù)體系。

4.4 等級(jí)測(cè)評(píng)

根據(jù)人民銀行的《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》選擇具有資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng),一般當(dāng)?shù)毓矙C(jī)關(guān)會(huì)指定2-3家評(píng)估中心進(jìn)行等級(jí)測(cè)評(píng),如果銀行自行聯(lián)系省外的測(cè)評(píng)機(jī)構(gòu),可能需要事先跟當(dāng)?shù)厥」矎d取得聯(lián)系,確保該測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)報(bào)告在本省是受到認(rèn)可的。

實(shí)際上做了咨詢(xún)服務(wù)之后,等級(jí)測(cè)評(píng)的工作就變的非常簡(jiǎn)單,因?yàn)樽稍?xún)方會(huì)在規(guī)劃與設(shè)計(jì)階段就會(huì)與測(cè)評(píng)中心取得聯(lián)系,確保其設(shè)計(jì)方案和整改實(shí)施方案得到專(zhuān)家和測(cè)評(píng)中心的認(rèn)可,保障其順利實(shí)施。所以在等級(jí)測(cè)評(píng)的時(shí)候,測(cè)評(píng)師從進(jìn)場(chǎng)到出具評(píng)測(cè)報(bào)告大概只需一周左右的時(shí)間。

5 結(jié)束語(yǔ)

關(guān)于金融業(yè)等級(jí)保護(hù)的建設(shè)工作,是今后兩年的一個(gè)重點(diǎn)工作,尤其是中小銀行可借助合規(guī)要求,由信息科技部門(mén)立項(xiàng),向行內(nèi)申請(qǐng)更多的資源來(lái)完善自身的安全體系建設(shè)工作。

參考文獻(xiàn)

[1] 武冬立.銀行業(yè)安全防范建設(shè)指南.長(zhǎng)安出版社,2008-11-1.

[2]李宗怡. 中國(guó)銀行安全網(wǎng)構(gòu)建基礎(chǔ)研究.經(jīng)濟(jì)管理出版社,2006-6-1.

[3] 劉志友.商業(yè)銀行安全問(wèn)題研究.中國(guó)金融出版社, 2010-3-1.

[4] 曹子建,趙宇峰,容曉峰.網(wǎng)絡(luò)入侵檢測(cè)與防火墻聯(lián)動(dòng)平臺(tái)設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全,2012,(09):12-14.

[5] 傅慧.動(dòng)態(tài)包過(guò)濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡(luò)安全,2012,(12):12-14.