- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第三届电力安全论坛 2008年第5辑
论文集(第四分册发电安全) (总第119辑)
发电企业管理信息系统风险评估及安全防范研究
王锋
(华能南京电厂。江苏省南京市210035)
摘 要:以数据库为基础的发电企业管理信息系统其安全性直接关系到用户数据安全,对企业的利益有很
大的影响。本文以华能南京电厂管理信息系统为研究对象,采取信息系统风险评估分析法对发电企业管理
信息系统进行了评估分析,并根据风险分析结果制定了相应的安全防范策略,使发电企业管理信息系统得
到了较好的安全保障。
关键词:管理信息系统;风险评估;安全策略
随着发电企业信息化建设步伐的加快,越来越多的发电企业开发了管理信息系统,然而管理信息系统
在给人们带来各种便利的同时,其脆弱的安全性也同时带来了烦恼。如入侵者窃取管理信息系统中的数据
使企业的一些商业秘密被公开等。如何提高企业管理信息系统的安全性,保护企业的信息安全,已经成为
一个紧迫的任务。本文主要采用信息系统风险评估分析法对发电企业管理信息系统进行了评估分析,并根
据风险分析结果,针对不同的影响因素和不同的资产制订了相应的安全防范策略,有效地提高了管理信息
系统的安全性。
1 风险评估要素关系、原理和过程
在进行发电企业管理信息系统风险评估前需要先熟悉风险评估要素、关系、原理及风险评估过程。
(1)风险评估的要素关系
风险评估的基本要素包括:资产、安全措施、脆弱性、威胁、风险等,如图l所示。这些要素具有许多
相关属性,如图1中的椭圆部分,这些要素之间存在一些关系,如图l中一些连线。它们之间的主要关系表
现为:
1)业务管理依赖于资产去完成;资产拥有价值,业务管理越重要,对资产的依赖度越高,资产的价值
则就越大;
2)资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;
威胁都要利用弱点,弱点越大则风险越大;
3)弱点使资产暴露,是未被满足的安全需求,威胁要通过利用弱点来危害资产,从而形成风险;资产
的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;
4)安全措施可以抗击威胁,降低风险,减弱安全事件的影响;
5)风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险;一部分残余风险来自
于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全
的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;
36
发电企业管理信息系统风险评估及安全防范研究
6)残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
@
图1风险评估各要素关系图
(2)风险计算模型
在风险评估中,最主要一个计算模型是风险计算模型,如图2所示,其主要计算过程包括:
1)对资产进行识别,并对资产的价值进行赋值;
2)对威胁进行识别,并对威胁出现的频率赋值;
3)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
4)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;
6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即
风险值。
图2风险计算模型
(3)风险评估过程
风险评估过程是围绕上述基本要素,并充分考虑业务管理、资产价值、安全事件、残余风险等与这些
基本要素相关的各类关系,汇总计算出风险值,最后对不可接受的风险选择适当的处理方式及控制措施的
过程,如图3所示。
37
第三
您可能关注的文档
最近下载
- 2025至2030全球及中国普拉提和瑜伽馆行业市场深度研究及发展前景投资可行性分析报告.docx VIP
- 极速60秒.ppt VIP
- 中国宠物行业白皮书.doc VIP
- 项目插花艺术-全校公选课.doc VIP
- 极速60秒的图片.ppt VIP
- 展频IC规格书之 SSDCI1108AF _REV3.1.pdf VIP
- 2024 CCF非专业级别软件能力认证(CSP-S)第一轮真题.pdf VIP
- TCFNA6104-2022 食品安全-月桂叶(香叶).pdf VIP
- 人美版(2024)小学美术一年级上册《欢快流畅的线》教学设计 .pdf VIP
- 三水平立井多绳摩擦式提升机提升钢丝绳更换安全技术措施:.doc VIP
文档评论(0)