浅谈石化企业信息系统的安全风险评估.pdfVIP

安全专题·声音 浅谈石化企业信息系统 的安全风险评估 ■ 于慧龙 2003年9月，中共中央办公厅、国 等级的安全建设和管理。”可见国家对 虫等时时刻刻都可能对这些系统造成重 务院办公厅转发 《国家信息化领导小 信息安全风险评估工作的重视，更进 大的破坏和影响。因此，石油化工企业 组关于加强信息安全保障工作的意见》 一步明确了信息安全风险评估在国家 信息系统的安全和稳定成为支持整个行 （简称27号文）。27号文在分析了我国 信息安全保障工作中的重要地位。 业生产和办公等业务正常运转的基础。 当前信息安全保障工作基本状况的基 石油化工是国民经济的重要领域， 作为国家信息安全保障重点要求的对象 础上，提出了针对基础信息网络和重 其信息技术的应用一直随着社会和技术 之一，如何真正做好“积极防御，综合 要信息系统加强信息安全保障工作的 的进步处于变革和发展之中。近几年 防范”？如何选择有效的安全措施进行 总体要求和主要原则，并对下一步信 来，国内的大型石油化工企业为了提高 防护？首先对信息系统进行安全风险评 息安全保障工作做了全面部署，信息 自己的竞争能力和实力，在全国范围内 估是最佳的选择。 安全风险评估就是其中重要的基础性 建立完成了一系列具有现代化企业特色 工作之一。黄菊副总理也在2004年1月 的信息系统，为自己的生产和经营创造 风险评估的概念及意义 9日召开的《全国信息安全保障》会议 了更好的环境。然而，网络带来效益的 上指出：“要开展信息安全风险评估和 同时也必然面临着网络上存在的各种各 信息系统的安全风险，是指由于 检查，根据风险评估的结果，进行相应 样的威胁，竞争对手、黑客、病毒、蠕 系统本身存在的脆弱性、人为或自然 1420 04 .10/数字化工 安全专题·声音 威胁所导致的安全事件发生的可能性 供了严谨的安全理论依据，为决策者 因此存在的安全漏洞较其他层次少， 及其造成的影响。信息安全风险评估 制定网络安全策略、构架安全体系以 但是由于网络层是整个网络的传输基 （以下简称：风险评估），则是指依据有 及确定有效的安全措施、选择可靠的 础，一旦存在脆弱性而被威胁者所利 关信息安全技术标准，对信息系统（及 安全产品、建立全面的安全防护层次 用，其带来问题通常是全网或大量设 由其处理、传输和存储的信息）的保密 提供了一套完整、规范的指导模型。 备的可用性普遍下降，所以这一层面 性、完整性和可用性等安全属性进行 拒绝服务攻击、数据窃听等风险往往 科学评价的过程，它要评估信息系统 风险评估的内容 很集中。 的脆弱性、信息系统面临的威胁以及 *系统层：主要表现为操作系统 脆弱性被威胁源利用后所产生的实际 石油化工企业信息系统具有业务系 本身的不安全因素和操作系统的安全 负面影响，并根据安全事件发生的可 统多、区域分布广、网络系统复杂、上 配置两方面问题，这个问题也是系统 能性和负面影响的程度来识别信 息系 下级关系较多等特点，因此存在的安全 安全问题中最严重的问题。由于任何 统的安全风险。 问题与其他行业信息系统不太一样，涉 产品都不可避免的存在Bug，包括安 信息安全是一个动态的复杂过程， 及物理环境、组织机构、操作流程、人 全方面的缺陷，因此系统本身的漏洞 它贯穿于信息资产和信息系统的整个 员、管理、硬件、软件及通讯设施等各 是不可能完全避免的，只能在一定时 生命周期。信息安全的威胁来自于内 个方面，这些都可能被各种安全威胁所 间内减少和降低危害。这些安全问题 部破坏、外部攻击、内外勾结进行的破 利用来侵害和破坏企业内所保护的资 的存在，使得黑客、病毒、蠕虫等入侵 坏以及自然危害。必须按照风险管理 产，特