安全防护项目风险管理实例.pdfVIP

科 学论坛 l■ 安全防护项 目风险管理实例 陶曼丽 (同济大学 上海 200092) 要] 项目管理中 任何活动都不可避免的存在不确定性，因而也就存在着各种各样的风险 本文以增值业务系统安全防护项 目为背景， 介绍项 目中的 … ． 风险管理，风险识别，风险分析，风险应对及风险监控。 [关键词]风险管理；安全防护；增值业务 中图分类号：X92 文献标识码 ：A 文章编号：1009—914X(2015)05—0092～01 1、增值业务网系统安全防护项目概述 合规性检查分数不低于85分，完成时间7fl31目。此次合规性检查需要升级 根据电信网和互联网安全防护体系的要求，将智能网安全防护内容分为安 iiunx系统26台，HPUNIX系统27台，网络设备18台，数据库9套，总计设备总数 全等级保护 、 80个。6月底之前，运营商无法提供合规性验证系统给维护方使用，维护方只能 安全风险评估、灾难备份及恢复等三个部分，其中安全风险评估主要包括 根据运营商反馈的合规陛检查结果，进行分析、加固。由于设备均为现网设备， 资产识别、脆弱性识别、威胁识别、已有安全措施的确认、安全风险分析、安全风 维护方系统支撑部提供的各个系统加固方案，直接部署到现网，存在一定的风 险评估文件处理等，本标准仅对智能网进行资产分析、脆弱性分析、威胁分析， 险。5月底到6Yl底分2批操作，每批各抽取一个系统的1—2台设备进行加固，加 在智能网安全风险评估过程中确定各个资产 、脆弱性 、威胁的具体值。资产、脆 固后观察l_2周，观察加固效果及系统的影响，期间对LIUNX~6户锁定策略及 弱性、威胁的赋值方法及资产价值、风险值的计算方法参见YD／T1730—2008 web, join的fvrP服务进行了还原。7月份，运营商提供合规陛验证平台，以及前 《电信网和互联网安全风险评估实施指南》； 期加固系统的稳定运行。2013年7月8日到2013年7月22日经过6次加固升级 ，基 2、项 目风险管理 本符合合规性检查加固预期。 2．1风险识别与分析 应用漏洞修补： 风险识别就是确定风险的来源、风险产生的条件、描述其风险特征和确定 2013年6月7日至8月23日，运营商进行了7个批次的漏洞扫描，不断的发现 哪些风险事件有可能影响项 目，并将其特性记载成文的管理活动。风险识别的 新的问题，累计发现漏洞l6个，低危链接11个，维护方进行了8次升级操作，因不 步骤分三步：1)收集材料，2)风险形式估计，3)根据直接或间接的症状将潜在的 具备立即验证升级效果的条件，2次升级未达到预期效果，经过调整，最终满足 风险识别出来。风险识别的具体方法包括 ：德尔菲技术、头脑风暴法，SWOTS]~ 了运营商的要求。其中apachestruts，apache，tomcat 都在一个月的时间 析法、图解技术、检查表等。 内连续进行了2次大的版本升级。由于运营商有考核压力，不断的催促维护方尽 风险分析分为定性风险分析和定量风险分析 。定性风险分析指通过考虑风 快解决扫描出来的漏洞 ，仅紧急升级就进行了4次，特别是在维护方高温假期 险发生的概率，风险发生后对项目目标及其他因素的影响，对已识别风险的优 间，没有足够人员支撑的情况下，运营商强制紧急升级2次，第1次因现网环境与 先级进行评估。定性风险分析的技术方法有风险概率与影响评估法、概率和影 实验室环境差异较大，被迫导回，第二次因时间紧急，维护方研发代码修改后， 响矩阵、风险紧迫