深圳市赛为安全技术服务有限公司
EN
菜 单

谨防风险评估的风险

类别:文章分享 发布时间:2018-02-25 浏览人次:

风险评估的风险

电力系统在开展信息系统安全评估的初期阶段,出现过一些问题。有的用户单位没有与评估厂家签定保密协议,评估厂家拿着评估报告到处进行宣传,甚至有的地址还在上面,安全风险评估反而造成新的风险,即所谓“评估的风险”。


有的单位在进行安全风险评估过程中,造成应用系统停机,影响正常业务。主要是对在线系统进行漏洞扫描引起的。


有的单位没有进行日常的自我安全评估,完全依赖外部的安全风险评估,评估追求形式、走过场,评估后没有进行修改完善。也有的单位自我感觉良好,害怕安全评估给自己找麻烦,或讳疾忌医,拒绝进行正规的安全评估。


针对这些问题,国家电力公司组织制定了电力二次系统即由电网和电厂的计算机监控系统及调度数据网络构成的一个综合负责的系统安全评估规范,建立了以日常自评估为主、周期性专业评估为辅的制度,逐步培养起一批既熟悉电力系统应用,又有安全评估经验的可靠的专业评估队伍,形成了良好的安全评估秩序。

谨防风险评估的风险

风险评估的原则

电力信息系统的风险评估需按如下原则进行:标准的遵从、评估的完整性、评估过程的低风险、以及评估的实用性。

参照ISO/IECTR13335标准系列和BS7799的要求,制定网络系统安全评估方案,方案包括了评估的主要步骤、技术内容和实施管理。

按阶段评估分为:评估启动阶段、安全风险评估阶段、风险分析阶段和提出安全建议阶段.评估的每个阶段又由不同的工作活动组成。

评估工作的主要内容为现场风险评估,包括资产统计、A胁分析、漏洞发现、人工评估等,安全风险评估工作的所有内容围绕现场风险评估展开。

图:风险评估实施流程图

图:风险评估实施流程图

电力系统信息资产统计包括对评估范围内的所有有形和无形资产的统计,以及对这些资产的标识和其具有的价值和影响的半定量化的估算。

漏洞扫描通过一系列的扫描工具对信息系统中的漏洞进行发现,确认系统中的脆弱点数量和严重性。


威胁分析通过对网络系统历史上受到的攻击和危害的统计和判断,结合国际公认的威胁列表,以及系统环境分析,确定对当前系统最大的威胁来源。


策略文档分析主要是对网络系统中已制定和先采用的策略文档进行安全性分析、完整性分析和有效性分析,通过分析发现现有策略中的漏洞和确定策略体系的完整性。本部分的工作可以先期展开。


审计和策略访谈主要是按照BS7799中对信息安全管理的要求分级别、分角色、分类对调度系统管理人员进行信息安全的调查,以确定网络系统中涉及到的管理漏洞、人员安全意识等问题。其中,包括了对业务系统的跟踪分析和对现有策略执行情况的调查。


评估总结是对现场工作的汇报和情况总结,包括数据的初步整理、审核和确认。

 

推荐阅读

新时代防御性驾驶与车队管理遇到的问题

新时代防御性驾驶与车队管理遇到的问题,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小安将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获

2022-11-11
什么是承包商hse项目?如何进行项目安全管理?

本文针对“什么是承包商hse项目?如何进行项目安全管理?”,分析了企业安全现状与信息化建设中存在的问题与不足,对安全生产管理系统建设特色化建设内容进行了研究,强调了建设高效、科学、系统的信息化管理系统,为提升企业安全管理水平与管理信息化建设提供参考价值。

2022-11-10
都在这里了!近年危化品行业相关安全生产法规政策汇总(2022年)

近年我国都颁布了那些危化品行业相关与安全生产法规政策呢?为方便大家能够简要了解相关知识,小安为大家近10多年以来的危化品行业相关的安全生产监管政策进行简单汇总。

2022-11-09
什么是双重预防体系,化工企业如何进行安全管理体系建设?

这篇文章主要介绍什么是双重预防体系,化工企业如何进行安全管理体系建设?的相关知识,小安通过实际案例向大家展示实践过程,操作方法简单快捷,实用性强,希望这篇文章能帮助大家解决问题。

2022-11-07
什么是双重预防机制?隐患排查治理和风险分级管控是什么关系?

今天小安给大家分享的是什么是双重预防机制?隐患排查治理和风险分级管控是什么关系?,相信很多人都不太了解,为了让大家更加了解,所以给大家总结了以下内容,一起往下看吧。一定会有所收获的哦。

2022-11-04
消防安全宣传月 | 这些消防知识希望你都会,但永远用不上

2022年消防月来了!2022年11月9日是第31个全国消防日,活动的主题是:“抓消防安全,保高质量发展”。

2022-11-03
X
X
400-902-2878400-902-2878
企业邮箱mail@safewaychina.com
在线咨询在线咨询