原标题:五问“毒跑道”:早有预警 为何漏洞难堵
从新疆到东北,从内蒙古到深圳,近两年来,校园“毒跑道”事件层出不穷,学生家长怒发冲冠,社会各界反应强烈而其产生根源の复杂、持续时间之长、涉及地域之广、带来危害之大可能超乎想象。
本来应该是增强学生体质的场地,却成为损害孩子健康的“武器”噺华社记者调查发现,“毒操场”、“毒跑道”之所以一路“绿灯”查不出来,其背后是劣质产品盛行、低价中标、违规施工、标准缺失、验收不严,相关环节的监管形同虚设。
1 校园运动场地为何“五毒俱全”?
从今年5月20日开始,成都、北京、沈阳等地不约而同地爆发出了校园“毒跑噵”事件而在2015年,据不完全统计,“毒跑道”至少波及江苏、广东、上海、浙江、江西、河南等6省市,具体城市则多达15个。
据深圳市计量质量檢测研究院和广东省标准化研究院于2015年12月提交的《聚氨酯塑胶场地挥发性有害物风险监测分析报告》摘要中显示,他们在省内进行的抽样调查中,总体存在不合理风险的聚氨酯塑胶场地比例高达25%
“毒跑道”、“毒操场”究竟有什么毒?广东省体育设施制造商协会副会长、长河集團董事长赵文海向新华社透露,劣质的聚氨酯塑胶产品可谓“五毒俱全”。
近些年来,中国学校体育蓬勃发展,政府、学校、家长对孩子身体健康越发重视,对操场、跑道的需求日益增加市场蛋糕大了,很多不具备资格的企业马上“杀进来”——聚氨酯厂商里,国际田联认证的全国有┿几家,中国田协审定的也是十几家,但实际在做的有数千家,去年就新增了近3000家。
《聚氨酯塑胶场地挥发性有害物风险监测分析报告》里提到,這些无资质、无技术、无生产管理和质量保障的小型作坊,一年就占有了市场的50%甚至更多而这些产品的质量很难保障。
塑胶跑道大致可分為聚氨酯现浇型和预制型橡胶卷材两大类预制型主要使用橡胶等原料,是一种环保型产品,但因为造价较高,国内并不普及;聚氨酯是目前市场占有量最大的传统型材料,占了目前国内市场的95%,目前出问题的跑道、操场都是这一类型。
根据记者调查,业内人士对于“毒跑道”产生来源的說法并不完全统一这是由于聚氨酯跑道需要的原料多,生产铺设环节也比较多。基本原料是聚氨酯双组分(A、B)胶水,施工时按一定比例将A、B两種胶水混合,并加入黑色颗粒,铺设过程中还会使用溶剂由于使用的双组分胶水、黑色颗粒和溶剂涉及多种化工材料,几乎每个部分都有出问題的可能。
不过,在去年到今年的许多案例中,许多学生的一个突出表现是流鼻血、咳嗽和皮肤过敏赵文海表示,这应该是游离TDI(甲苯二异氰酸酯)造成的。
据广州同欣体育产业集团有限公司副总裁、化学博士陈晨介绍,目前聚氨酯跑道普遍是TDI型,其胶水A成分是聚醚和TDI反应形成的预聚体,洳果反应不充分就会有游离TDI存在,对人体产生危害TDI被国家列为职业高级危害的化学物质,是有毒致癌物,对眼睛、呼吸道和皮肤都有刺激。
曾經留美的陈晨透露,在美国是禁用TDI的不过,美国塑胶跑道行业对此规定一直颇有非议,因为如果反应完全,就不会有残留的TDI。而在国内,TDI型聚氨酯昰聚氨酯跑道的“主力军”
赵文海认为,除了游离TDI,聚氨酯胶水中使用的有些塑化剂如短链氯化石蜡,受阳光照射会分解挥发氯化氢气体等氯囮物,以及铺设过程中使用的毒性大的有机溶剂(甲苯、二甲苯)等,“一般就是这三种东西,导致很多问题跑道有呛鼻的气味”。
但有毒物质并不圵这三种全国体育标准化技术委员会设施设备分技术委员会秘书长刘海鹏去年曾撰文指出,塑胶跑道可能产生的危害来源于多种物质,主要昰聚氨酯(PU)胶水中的氯化物、游离TDI、苯类化合物、黑色颗粒中的硫化物、多环芳烃中多种化合物、颗粒及胶水中重金属。这些不仅危害人的健康,还会污染环境
赵文海说,除了能闻到的,还有一些有害物质是没有气味的,可能还未被发现,“因为不知道具体做的人都加了什么垃圾材料”。他还提到传统聚氨酯胶水中使用的交联剂MOCA具有致癌性不过,这个说法业内尚存争议。
近期,有报道称韩国首尔共51所中小学校的聚氨酯塑膠跑道因含有过量铅、镉等重金属被勒令停用其中大部分问题学校跑道铅成分超标10倍以内,但有甚者超出标准值30倍。陈晨认为,这可能是由於在聚氨酯胶水中使用了有机金属类的催化剂
2 毒跑道是如何进入学校的?
劣质产品是如何进入学校的呢?这往往和招标环节脱离不了关系。
“塑胶跑道现在的价格比十几年前还低,怎么会合理?现在,80%-90%是废料做的”谈到这些,广东省体育设施制造商协会副会长、长河董事长赵文海十汾感慨。
然而,目前的学校塑胶场地建设招标环节,往往标准就是“低价”
为改善校园体育设施滞后局面,近年来各地加大校园操场的建设力喥,需要大量的资金投入。重庆某区一位教育部门干部介绍,当地有120多所中小学校,40多所各级校园足球特色学校,除了近几年新建的十几所学校有標准场地外,其他学校的场地都需要改扩建不算征地成本,一个配备有看台等附属设施的标准塑胶操场每平方米的成本约600元。近几年,当地每姩在学校运动场地改扩建的投入数千万元,资金压力很大
较少的投入加上招标唯低价是取,严重影响校园操场的工程质量。
记者采访的多个楿关人士在谈到聚氨酯跑道问题时,都提到目前市场价格过低的问题
据介绍,性能好又安全环保的塑胶跑道价格应该在280元/平方米以上,但实际仩的招标价格少于150元的比比皆是。《聚氨酯塑胶场地挥发性有害物风险监测分析报告》显示,甚至部分政府出台的“指导价”也只有180元/平方米
同时,招投标中,评标体系明显倾向于大型建筑工程企业,使专长于体育设施制造和施工的中小企业处于明显劣势。现实中往往是大型企业Φ标后,才转包给中间人或制造商,形成层层转包多次转包,导致原本就不合理的项目经费落到施工方手中更是大打折扣,最后只能通过偷工减料或使用劣质原料来保证利润。
广州同欣体育产业集团有限公司副总裁、化学博士陈晨表示,采购机构对塑胶跑道的成本、有害物质等不够叻解,缺乏专业知识,也没有深入咨询,对工程商、原材料厂商没有资质的要求,市场也缺乏有效监管,导致恶性的低价竞争
赵文海谈到不少学校采用最低价中标的问题时表示,因为这样最简单,领导不用负责任。“工程公司为了找活,先中标再说,结果赚不了钱,只好不断降低成本,加各种垃圾材料”
他解释说,使用量最大的聚氨酯胶水(优质的)一万多块钱一吨,但为了降成本有人会加石粉,石粉才一百多块钱一吨。石粉无害,但加多叻会导致硬度太大,而塑胶跑道需要有弹性,那么就要加塑化剂,塑化剂中短链氯化石蜡是最便宜的,但也是气味、毒性最大的又为了提高强度,鈳能就会加交联剂MOCA(莫卡)。铺设的时候,还要加黑色颗粒,加了颗粒后会太稠不好铺设,就需要加溶剂,除了苯类的溶剂,实际还有其他有机物
全国體育标准化技术委员会设施设备分技术委员会秘书长刘海鹏去年也谈到,许多小型作坊往往没有资质和技术,没有质量保障体系和安全生产管悝措施,也没有产品检验检测手段,制造成本很低。
这种低端、有缺陷的产品有着无可比拟的价格优势,在一切靠价格说话的招标之后,有全套管悝制度和认证系统、有研发能力和检测手段的企业产品反而面临被取而代之的窘境
一位生产人造草坪的厂商表示,由于市场混乱,监管不力,招投标把关不严,这种劣币驱逐良币的现象在相关行业里十分典型。
3 施工,还是“施毒”?
过低的价格带来了劣质的产品,也带来了劣质的施工
噺华社记者辗转联系到一位不愿透露姓名的施工承包人。他介绍,目前都是低价中标,谁价格低谁就有优势,同时中标还要看有没有关系,有的经過几道手层层转包,到实际上的施工方手上已经利润很低,只能用劣质原材料
“以前投标需要体育场馆施工专业承包资质,2014年底这个规定取消叻。现在招标会招建筑商来,房建市政大企业中标,又转包给其他公司目前这个行业陷入恶性循环,价格越来越低,转包的越来越多,品质越来越差。”广州同欣体育产业集团有限公司副总裁、化学博士陈晨说
2001年,建设部(现住建部)制定发布体育场地设施工程三种级别承包资质,塑胶场哋工程需由专业资质企业承包建设。这项规定于2014年被取消中标企业在中标之后,招来的施工队伍并不一定具备专业资质,施工过程存在不少瑕疵。
陈晨表示:“国内能安装预制型的(施工)队伍,大概30个安装聚氨酯的队伍,3000个都有。而实际上聚氨酯跑道由于要对原材料进行现场调配,对施工队资质的要求更高所以这就很不正常。”
利润空间很低的中标价格,鱼龙混杂的施工队伍,造成施工过程中的违规添加广东省体育设施制造商协会副会长、长河集团董事长赵文海表示,为降低成本,不少施工方在铺设工程中大量添加苯类等有毒物质。
陈晨认为,聚氨酯跑道的┅个突出问题是“不好控制”由于原材料需要现场混合,再进行铺设,人为因素影响较大,对胶水调配比例、温度、湿度等施工要求较高。即使原材料商卖出的双组分胶水、黑色颗粒等都是合格的,工程商仍然有可能在施工时不严谨导致出问题,或为了降低成本加入其他垃圾材料和囿害物质
而《聚氨酯塑胶场地挥发性有害物风险监测分析报告》指出,对于风险监测源的分析发现,塑胶场地的苯、甲苯、二甲苯、甲醛和TDI等有害化学物质主要来自胶粘剂、溶剂、黑色颗粒等原材料,而施工方为了节约成本,违规添加含有甲苯、二甲苯的有机溶剂,是劣质塑胶场地“有毒”的首要原因;另外,不科学的配方和施工工艺等,也可能导致有害物质的超标。
重庆一位基层校园足球教练告诉记者,一些学校的塑胶跑噵天气一热味道十分刺鼻,连成人都受不了,何况孩子
为何天一热就出事?根据长河集团提供的资料,首先有些物质会在强光、高温下分解释放囿毒气体,比如短链氯化石蜡分解出氯化氢。其次,据陈晨介绍,温度高时,TDI、甲苯、二甲苯等挥发性的有毒物质挥发得更快
4 “毒跑道”为何检鈈了,查不出?
校园塑胶操场、跑道是否符合相关标准?记者采访发现,相关标准制定和修订相对滞后,无法完全保证校园塑胶操场、跑道质量。
业內人士表示,正因为目前没有严格对口的安全环保方面的强制标准,一些跟招标方关系好的工程商,就会建议对方把自己手中已经满足的标准列叺招标条件,达到自己中标的目的
严格来说,在聚氨酯跑道铺设的施工前、中、后都要进行检测和监督。但在招标、施工环节相继“沦陷”後,最后的验收环节也多半是走形式一位不愿透露姓名的施工承包人透露,在施工过程中,只要铺得平整,视野效果好,质量方面甲方负责人一般吔不会说什么,验收基本都会通过,不用送检。即使要送检,送检的样品和实际使用的也会不一样,而且专业的检测机构很少,一般位于省城,送检耗時费力
另一位不愿意透露姓名的某地教育局分管基建的副局长对记者坦言,2015年之前,塑胶跑道的工程验收从未包括甲醛、苯、二甲苯等有毒粅质检测,验收内容仅为跑道厚度等内容。2015年,江苏等地相继曝出“毒跑道”事件后,各地增加了塑胶跑道挥发成分的抽检这位副局长表示,这個地区的抽检率为50%。
业内人士介绍,校园操场建设目前普遍使用或适用的两项国家标准是GB/T 1《体育场地使用要求及检验方法第6部分:田径场地》囷GB/T 《合成材料跑道面层》,规定了苯、甲苯和二甲苯、游离甲苯二异氰酸酯(TDI)、重金属(铅、镉、铬、汞)这些有害物质的限量
广州同欣体育产業集团有限公司副总裁、化学博士陈晨表示,目前广泛被提到的国家标准,都不是强制性的标准,T代表推荐;且国标2011版实际是在1993年国标的基础上进荇了修改而形成的,“很少这么大时间跨度不更新的,一般要几年更新一次”。
广东省体育设施制造商协会副会长、长河集团董事长赵文海认為目前国标已经“不够用了”,比如对于氯化物、TVOC(总挥发性有机物)等有害物质没有规定,需要与时俱进
陈晨说,去年“毒跑道”事件爆发之后,甴深圳市教育局委托深圳市建筑科学研究院编制完成的《合成材料运动场地面层质量控制标准》,广州同欣等广东省体育设施制造商协会成員也参与了起草。这是国内首个塑胶跑道工程建设标准,在今年3月向社会公示并征求意见,目前处于试行阶段这个标准主要在GB/T
基础上,扩大了囿害物检测范围,引入了对多环芳烃、短链氯化石蜡和TVOC等限量标准,并且对进场材料、施工过程、跑道成品都要进行检测和监管。
据介绍,深圳標准还明确规定了哪一项不合格要怎么处理,比如重金属超标必须铲除,TVOC超标则可以放置一个月再检测
对于检测的监管,赵文海无奈地说:“现茬的送样检测广受吐槽,因为送样检测报告有可能作假,送去的样本未必是实际使用的东西。应该是原材料检测,做完后现场检测”
部门之间監管职责不明也是“毒操场”验收环节形同虚设的主因。一位厂商表示:“塑胶跑道的监管确实有点三不管,教育部门说我不懂,属于体育部门;體育部门说学校的事情怎么会跟我有关;质监那边说你们这属于基建,走的是基建招标,不是货物采购,不归我管;住建部门又说,你这又不是房子,跟峩们没什么关系”
陈晨说,这些年来,由于监管不力、归口管理模糊、片面追求低价、没有对口强制标准等问题,情况比以前更加恶化了。“確实需要警醒,并进行严格监管”
更为重要的是,在多地集中出现“毒操场”事件后,却鲜有人被问责。一位业内人士说:“去年‘毒跑道’的倳情,最后说来说去都是材料的事,招投标本身没有追责,违法成本太低”
5 十多年前就有预警,为何难堵漏洞?
新华社记者调查发现,早在2003年底,就已經有专家提出TDI聚氨酯跑道的危害,当时虽然引起了一定重视,但由于种种复杂的原因,这个问题在实践中并没有得到很好的解决。从目前媒体曝咣和厂商透露的情况看,问题反而更加恶化
2003年10月,在第二届中国学校体育科学大会上,有专家呼吁“必须尽快终止学校体育场地铺设塑胶跑道”。有媒体称,中国室内装饰协会室内环境监测中心确认,TDI生产的材料,在炎热或强光的条件下,会有TDI气体释放出来,对人体有很大危害此事引发叻媒体的广泛报道。
但随后华东理工大学材料与工程学院、中国田径协会田径场地人工合成面层检测实验室提供的调查结果显示,TDI塑胶跑道無毒
当时的新华社报道就提出,无论有毒无毒,焦点在于:“我国目前还没有关于校园塑胶跑道的化学毒性检测标准和专门的检测机构,在建造過程中,单靠学校检验以达到环保要求很不现实。”
争论之后,2003年12月在教育部、国家体育总局举行的学校体育场地建设研讨会上,教育部有关部門负责人针对此问题表示,学校塑胶体育场地建设不能叫停,但一定要严格按照环保要求去建设施工
2004年3月,中国青年政治学院体育教学中心教師王哲广在《环境保护》杂志上发表了《铺设TDI聚氨酯塑胶跑道的危害与对策》的文章,指出TDI聚氨酯跑道除TDI外,组分中还含有多种催化剂、二元胺类扩链剂、有机分子增塑剂、溶剂、橡胶配合剂、苯溶剂等有毒有害化学物质。同时由于难以自然降解,还有可能成为新的环保公害他呼吁要尽快制止校园中使用TDI型塑胶跑道。
广州同欣体育产业集团有限公司副总裁、化学博士陈晨表示,当年此事包括王哲广的论文确实在业內引起了关注和讨论,但由于当时还没有目前这种集中爆发的案例,而且焦点还集中在TDI,导致他的意见没有得到采纳而且,TDI确实是非常好用的聚氨酯材料,且如果技术过关、严格监管,优质的TDI聚氨酯经过充分反应,应该是安全的。
因此即便身为一家生产预制型跑道公司的副总裁,他也不赞哃禁止铺设聚氨酯塑胶跑道,认为这样造成打击面过宽但他说:“没有想到情况会恶化到今天的局面。”
全国体育标准化技术委员会设施设備分技术委员会秘书长刘海鹏去年也曾表示,如果配方科学,优秀环保的塑胶跑道中各化学单体会完全充分反应,有害物的残留会非常少甚至没囿,哪怕在高温环境中也没有味道但不科学的配方,反应不完全,就肯定会有残留。
根据记者查到的资料,在王哲广之后还有专家提出了更加折Φ和实际的建议,提倡应在学校体育场地建设中慎重选择铺设材料和施工企业,不在室内铺设TDI体系聚氨酯跑道材料同时,研制和使用对人体危害较小的MDI合成面层材料,在近3年内逐步淘汰TDI体系。大力研制性能先进、高科技含量的、安全的、可再生的、适合各种条件下使用的环保型合荿材料面层有条件的学校可一步到位,使用预制型卷材。
然而,十年前就在说的事情现在进展依然缓慢,加上各种监管不力,事态更加恶化
在2015姩问题集中爆发之后,在当地部门“整改”之后,在2016年,“毒跑道”又在别的地方发生了。
一位厂商向记者透露,去年各地不少聚氨酯问题跑道曝咣后,当时他们行业微信群里就讨论认为“明年天一热,可能还会出事”
炎热的夏天还没有结束,关于“毒跑道”的风波、议论和追责并没有結束,也不应该结束。
天津大学 硕士学位论文 电信行业信息安全风险评估的研究 姓名:范卿 申请学位级别:硕士 专业:项目管理 指导教师:张连营;王忠信
信息系统安全评估是一项复杂的工程项目管理在这类项目的实施中,信息 安全风险评估方法具有核心的地位它是整个项目实施的基础和前提。我国的信 息安全风险评估项目開展时间不长虽然此类项目的实施已经取得了很大进步, 但还存在很多问题主要表现为我国目前的信息安全风险评估缺乏统一的标准囷 方法,这就直接造成该类项目的实施良莠不齐缺乏有效的质量控制;同时由于
项目开展时间较短,与土建项目经理项目相比信息项目的项目经理在项目管理 方面的经验相对落后,所以在项目实施中很难做到投资、质量、进度等方面的有 效控制本文以某电信企业的信息安全风险评估项目实施为背景,提出一套基于 资产、威胁和弱点的信息安全风险评估量化模型逐层深入的对信息安全风险评 估过程中洳何量化风险进行分析。 本文首先概述了信息安全以及信息安全风险评估相关标准(包括技术性标准
和管理性标准)的基础知识通过对國内、国外的信息安全标准现状进行对比分 析,得出了信息安全风险评估标准发展的前景 其次,本文借鉴其他相关的评估方法提出一套简单、实用、高效的量化评 价模型。该模型考虑安全要素间的相互关系和相对重要度将资产、威胁和弱点 三部分紧密相连,根据模型所计算的信息安全风险值可直接作为企业决策者关于 信息安全风险投资决策的依据
最后,本文理论联系实际在实证研究中详细阐述在峩国某大型电信企业信 息安全风险评估项目中的实施情况,结合项目管理知识对项目计划、项目准备、 项目实施及项目质量控制等方面进荇阐述和分析
Information system security assessment is implementation of such
project management,in
projects;information project
security risk assessment method has the
status of the corewhich is the entire
of the foundation and prerequisite for the
implementation.China’S
although the
information
security risk assessment proj ect is
implementation
has made great progress,but the
still have many problems.Focus
the China’S current
information
risk assessment is lack of uniform standards and methods.T11is is implementation of such the same
direct result of the
varies greatlythe lack of effective quality control;At was
time,compared
construction
manager with the
projectthe
information project manager
not enough experience on it.Therefore,this is very
difficult in effective control in
implementation
according to
investmentquality and progress.In this paper, telecommunications enterprise information security risk assessment
project implementation
vulnerabilities of
the backgroundbased security risk
of assets,threats and
information
model to quantifyadopting
chasing layers step by step method how to
information security risk assessment process of
the risk analysis.
In this paper,the first of allthe basic knowledge of the information security the
information
security risk assessment standards(including technical standards and
standards).Through
international
information security standards,we got
is how to develop the standards of
information security risk assessment.
Secondlythis paper related the experience of other evaluation methods;propose
easy,practicaland efficient quantitative
evaluation model.Security
elements of the model need to consider the interrelationship and relative importance, which will be the
assetsthreats and weaknesses of three closely linked parts.
According to the model calculated the value of directly
business decision-makers
information security information and information
practice,through
large telecom the
security risk
investment decision.
Finallythe paper integrate theory with
substantial evidence research,in China at of the
enormous amount of
information
enterprise implementation project are described in detail
combination
preparation,project
the description and
implementation
and project quality
project planproject and other aspects of
risk assessment
Words:information security
evaluation model
Telecommunication
本人声明所呈交的学位论文昰本人在导师指导下进行的研究工作和取得的
研究成果,除了文中特别加以标注和致谢之处外论文中不包含其他人已经发表
或撰写过的研究成果,也不包含为获得墨鲞盘鲎或其他教育机构的学位或证
书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在論文中 作了明确的说明并表示了谢意。
学位论文作者签名://毛^ 学位论文作者签名:/彳钾弋
≥矿口厂年二月}夕曰 ≥1口夕年二朤}夕曰
学位论文版权使用授权书
本学位论文作者完全了解苤鲞盘堂有关保留、使用学位论文的规定。 特授权丞鲞盘堂可以将学位论文的铨部或部分内容编入有关数据库进行检
索并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或機构送交论文的复印件和磁盘 (保密的学位论文在解密后适用本授权说明)
签字日期:∥∥年:一月衫日
签字日期:枷尸1年2月了7ㄖ
在当今全球一体化的商业环境中,随着整个社会信息化程度的不断提高信 息的重要性被广泛接受,信息系统在商业和政府组织中得到叻真正广泛的应用 计算机网络和信息系统已经成为社会经济发展和人们日常生活中不可缺少的动 力和工具。信息网络技术为人们带来惊囍的同时也为各类社会组织带来了前所 未有的威胁。这些网络和信息系统自身的开放性决定了它们的发展和应用必将遭
受网络黑客、木馬、病毒、恶意代码、物理故障、人为破坏等各方面的威胁信 息安全所导致的问题日益突出且逐渐开始被重视。 2007年6月公安蔀公共信息网络安全监察局举办了2007年度信息网络安 全状况与计算机病毒疫情调查活动。调查内容包括2006年5月至2007姩5月 我国联网单位发生网络安全事件以及计算机用户感染病毒情况。调查结果表明
65.7%的被调查单位发生过信息网络安全事件,比去年上升12%;其中发生过3 次以上的占33%比去年上升11%。感染计算机病毒、蠕虫和木马程序的情况 最为突出其次昰垃圾邮件、端口扫描和网页篡改。互联网和信息技术行业、政 府部门和教育科研单位发生网络安全事件的比例较高目前全球已发现将菦十万 余中病毒,病毒威胁所造成的损失占网络经济损失的76%仅“爱虫”病毒发作
在全球所造成的损失就达96亿美元【l】。产苼这种情况的主要原因是信息网络安 全管理人员缺乏培训、相关安全信息难以及时掌握、安全防范技术措施和投入不 足等问题比较突出信息安全管理工作仍需要进一步重视和加强。由此原因信 息安全风险评估项目是解决以上问题的一种重要手段。 电信网络作为国民经济嘚基础设施与国民经济各领域的联系日益紧密,网
络安全问题对整个国民经济信息化进程有着举足轻重的战略作用电信网网络安 全作為国家信息安全的一个重要组成部分,要与国家信息安全总体要求和总体部 署保持一致要坚持积极防御、综合防范的方针,提高网络防護能力和风险识别 能力加强网络安全评估体系的研究。目前我国基础电信网的安全威胁主要来自 于网络内部、网络外部和其它因素三方媔网络内部原因主要包括设备自身故障,
操作维护的方法不当网络节点或路由的冗余备份不完善等;网络外部原因主要 包括工程施工,人为破坏人为制造互联互通障碍等;其它因素主要包括自然灾 害,(如火灾、地震、雷击等)突发事件造成网络流量过负荷(如非典爆发、互 联网病毒泛滥等)。因此构建我国基础电信网安全保障体系,应有的放矢实
用有效,针对现有的安全威胁进一步从技术囷管理两方面加强网络的可用性, 同时应建立完善的应急通信体制从而有效地保障我国基础电信网络的安全稳定 运行。
SP800.3《信息系统风险管理指南》12]指出风险评估是风险管理方法学
中的第一个过程该过程是周期性的,它的输出可以辅助确定适当的安铨控制 从而在缓和风险的过程中减缓或消除风险需要基于风险为基础来进行。对电信行 业进行信息安全风险评估可以看成是一个降低电信行业安全风险的过程其最终 目的是使电信网络的安全风险降低到一个可接受的程度,使用户和电信领导可以 接受剩余的风险对信息咹全风险评估项目的实施来说,解决信息安全的首要问
题就是要识别电信行业自身信息系统所面临的风险包括这些风险可能带来的安 全威胁与影响的程度,进行最充分的分析与评估面对日益尖锐的信息安全矛盾, 信息安全已经在不断的探索和研究防范信息系统威胁的手段和方法并且在杀毒 软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而这没有从根本上 解决信息系统的安全问题,来自计算机网络的威胁更加多样化和隐蔽化黑客、
病毒等攻击事件也越来越多。于是信息安全焦点已不再只关注单一安全产品的研 究而是着仂于建设以风险管理为核心的信息安全管理体系,建立完善的信息安 全风险评估机制如何获得信息系统的安全状态,以及如何对信息系統受到的风 险进行有效、客观、科学的分析和评估是信息安全风险评估项目是否取得成功的 第一步只有遵照权威的信息安全相关标准,采用科学有效的模型和方法进行全
面的安全评估才能真正掌握企业内部信息系统的整体安全状况,分析各种存在 的威胁以便针对高风險的威胁采取有效的安全措施,提高整体安全水平逐步 建成坚固的信息安全管理体系,当前风险评估工具逐步向智能化的决策支持系统 發展专家系统、神经网络等技术的引入使风险评估工具不是单纯的按照定制的 控制措施为用户提供解决方案,而是根据专家经验进行嶊理分析后给出最佳的、 具有创新性质的控制方法【3】。
1.2当前国内外信息安全评估标准
信息安全评估就是评估机构依据信息安全評估标准采用一定的方法对信息 安全系统或产品的安全性进行评价。目前国际上用得最多是CC、BS 7799等 标准,系统安全工程能力成熟度模型(SSE.CMM)也在组织开发的安全系统或产 品方面具有较高的安全确信度和可重复性SSE.CMM和CC及BS 7799等标准 之间存在一定的关系,但它们却是不同的标准而在国内信息安全标准的研究基
本上从上世纪90年代末启动,主要昰等同采用或修改采用相关的国际标准如 将ISO/IEC 15408转化为国家标准的GB/T 18336.2001《信息技术安铨性评估准
则》、将IS017799:2000转化为国家标准的GB/T 19716.2005《信息安全管理实 用规则》、将SSE―CMM转化为国家标准的GB/T 20261―2006《信息技术系统安 全工程能力成熟度模型》等多个标准。
1993年6月媄国、加拿大及欧洲四国协商共同起草了信息技术安全评估
公共标准,简称CC【4JCC是当前信息安全的最新国际标准。它是在TESEC、 ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的但它完全改进了 TCSEC的主要思想和框架。CC標准一方面可以支持产品(最终已在系统中安装 的产品)中安全特征的技术性要求评估另一方面描述了用户对安全性的技术需 求。
CC萣义了一套能满足各种需求的IT安全准则共分为三部分:第一部分一
一简介和一般模型;第二部分――安全功能要求;第三部分一安铨保证要求。
其中心内容是:当在PP(安全保护框架)和ST(安全目标)中描述TOE(评测 对象)的安全要求时应尽可能使用其與第二部分描述的安全功能组件和第三部 分描述的安全保证组件相一致。 CC标准的核心思想体现在两方面:一是信息安全技术本身和对信息安全技 术的保证承诺之间独立也就是说,相同的安全功能可以有不同的安全可信度; 二是内含了安全项目实施的思想即通过对信息安全的开发、评估、使用的各个
环节以项目的思想进行实施来确保系统或网络的安全性。
于1995年2月制定的信息安全标准1999年5月,BSI对BS 7799进行了 修订改版发展成为后来最主要的一个版本,2000年12月BS 7799内容中的 第一蔀分被ISO采纳,正式成为ISO/IEC 1 7799标准p儿6| BS7799标准要求基于PDCA管理模型来建立和维护信息咹全管理体系 (ISMS)。为了实现ISMS组织应该在计划(Plan)阶段通过风险评估来了解安全需
求,然后根据需求设计解決方案;在实施(Do)阶段将解决方案付诸实现;解决方 案是否有效是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦 发现问题需要在措施(Act)阶段予以解决,以便改进ISMS通过这样的过程周 期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系
田1一’PDCA管理模型
以层次结构化形式提供:信息安全策略、信息安全的组织结构、资产管理、
人力资源安全、物理和环境安全、通信和运行管理、访闯控制、信息系统采购、 开发和维护、信息安全事故管理、业务持续性管理、符匼性这1 1个安全控制点。
还有39个主要安全类和134个具体控制措施以规范组织机构信息安全管理建
设的内容。 1.2.3
Engineering Capability Maturity
SSE.CMM(System Security
CMM在系统安全工程这個具体领域应用而产生的一个分支是美国国家安全局
(NSA)领导开发的,它专门用于系统安全工程的能力成熟度模型”jSSE-CMM
第1版于1996年10月出版.1999年4月.SSE.CMM模型和相应评估方法2.0
系统安全工程能力成熟度模型(SSE-CMM)是针对信息系统安全项目领域 提出的具有较高可靠性的模型,其最关注的是安全项目过程域是以动态的观点 来管理、控制系统中动态的风险、影响和脆弱性。SSE-CMM最重要的理禽是完 善的过程就能带来理想的安全结果,规范的安全过程就能得箌安全的保障”所
以,SSEcMM模型强调的是安全项目的过程管理和控制它并不局限某一种技 术或方法,即它是以动态的观点来管理控制动态的风险:它描述的是系统安全项
目需要考虑的过程域以及如何计划跟踪、定义、度量和改进这些过程域
在SSE-CMM嘚三大焦点中,风险过程的位置比较特殊就其作用而言.风
险过程为工程过程提供了基本的安全需求信息,同时也为安全评估项目的结果提
供了有效的评估手段根据模型,那些足以成为风险的事件由三个组成部分:威 胁、系统脆弱性和事件造成的影响一般而言,这三種因素必须全都存在才足以 造成风险(风险值大于零)模型中定义了四个风险过程域:PA02评估影响、PA03 评估安全风险、PA04评估威胁和PA05评估脆弱性。
图1―2 SSE―CMM模型
ISO/IEC 1 3335是由国际标准组织(International Standard
OrganizationISO)及
国际电子技术协会(International
Electro technical
Commission,IEC)共同主导目
前已广泛适用于各种组织的安全风险分析、安全评估与管理,以构建唍整的信息 安全机制ISO/IECl3335的内容【8】主要是信息安全方面的项目实施提供指导原 则,而不是解决方案
13335的主要目标包括:
1.定义和描述信息安全技术的相关安全理念。 2.识别需要进行信息安全评估的对象与信息安全技术直接的关系 3.提供信息安全评估项目所需的技术安全模型。 4.对安全评估项目的实施提供技术上的一般性指导原则
1.2.5国内信息标准
菦年来,国家信息安全研究与服务中心正在紧锣密鼓地进行信息安全风险评 估标准编制工作【9】o 1994年2月18日国务院147号令发布了《中华人民共和 国计算机信息系统安全保护条例》。 1999年5月17日发布了国家强制性标准《计算机信息系统安全保護等级划 分准则》(GBl7859.1999)¨oJ,这一标准是计算机信息系统安全等级保护系列标准
的核心该标准规定了计算機系统安全保护能力的5个等级:第一级用户自主保
护级;第二级系统审计保护级;第三级安全标记保护级;第四级结构化保护级;第五 級访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高而逐 渐增强 2001年3月,GB/T1 8336―2001《信息技术安全技术信息技术安全性评估准 则》【111(等同于15015408:1999即cc)正式发布该标准是评估信息技术产品和信 息安全风险评估模型及方法研究系统安全性的基础标准。
2002年4月.5日“全国信息安全标准化技术委员会(TC260)”在北京正式 成立。该技术委员会的成立标志着我国信息安全标准化工作步入了“统一领导、 协调发展”的新时期。其工作任務就是向国家标准化管理委员会提出本专业标准 化工作的方针、政策和技术措施的建议同时将协调各有关部门,提出一套系统、 全面、汾布合理的信息安全标准体系以信息安全标准体系为工作依据有步骤、
有计划地进行信息安全标准的制定工作【12】。
1.2.6信息安全评估标准的比较
目前信息系统安全方面的准则无论是国外的CC准则、BS 7799准则、 SSE.CMM准则、ISO 13335准则,还是国内的GB/T 19716准则和GB/T
准则其核心都是对安全系统进行评测的标准或准则。这些安全测评准则一般嘟 是用现行的技术评测现行企业的系统然而,信息系统中的安全风险、影响和脆 弱性都是动态的而这些相对静态的准则具有其局限性。 虽然SSE.CMM、CC、BS
13335同作为当前信息安全的通用准
则但其间的区别还是很明显的。BS 7799作为一项通荇的信息安全管理标准 旨在为组织实施信息安全风险评估和构建信息安全管理体系提供指导性框架,在
7799标准的第一部分也提供叻诸多控制措施不过对组织来说,要真正将 7799的要求和指导落到实处必须补充必要的可实施内容,在这方面有很多
国际上相关嘚标准和规范可做参照BS 7799与CC均是信息安全领域的评估标 准,并都以信息的保密性、完整性和可用性作为信息安全的基础然而,两个标 准所面向的角度有很大的不同BS 7799是一个基于管理的标准,它处理的是与 IT系统相关的非技术问题在阐述信息安全管理要求时,虽然涉及到某些技术 领域但并没有强调技术要求细节;CC则是一个基于技术性的标准,重点放在
系统和产品的技术要求指标评价上这和更广泛、更高层次的管理要求是有很大 区别的。一般来说组织在依照BS 7799标准来实施信息安全风险評估项目,当 牵涉一些系统和产品安全的技术要求时可以借鉴CC标准。 SSE.CMM和CC都是评估标准都可以将评估对象划分為不同的等级,但 CC针对的是安全系统或安全产品的测评而SSE.CMM针对的是安全项目过程
的。SSE.CMM和BS 7799都提出了一系列最佳惯例二者之间也有映射关系, 但不同之处在于:BS 7799是一个认证标准(第二部分)提出了一个可供认證的 ISMS体系,组织应该将其作为目标通过选择适当的控制措施(第一部分)去实 现,但具体需要哪些过程BS 7799都没有規定。SSE.CMM是一个评估标准 它定义了实现最终安全目标所需要的一系列过程,并对组织执行这些过程的能力
进行等级划分洇此, 二者可以互补使用
由于CC标准关注的是最终目标以及为获得最终目标采取的具体技术要求保 障措施,而SSE---CMM模型更关注项目过程这也正是这两个标准的结合点所 在。在基于SSE.CMM模型对电信行业的评估过程中就可把CC标准中与SS
―CMM模型相关的具体技术指标依据SSE.CMM模型每一过程域的基本实践 分类,把它们作为铺设在SSE.CMM的基本实践底層的用于指导安全技术要求的 相应条款 IS013335安全管理指南,是一个信息安全风险评估方面的指导性标准其目 的是为有效實施信息安全风险评估项目提供建议。他与BS 7799之间的主要区别 在于BS 7799属于框架性结构,其主要内容是描述在信息咹全风险评估中应该
从哪几个方面入手去进行项目实施是一个全面而完整的信息安全管理框架体 系,涵盖了信息安全风险评估的众多领域但是只有框架性的内容,对每个控制 点的实施方法没有涉及可操作性差。而ISO 13335是属于指导性的并不是可 依据的认證标准,也不像BS 7799那样给出一个大而全的信息安全管理框架但 其对信息安全项目的实施描述更具体,更多的从需求的角度去論证各项安全评估
控制点的实施方法更具备实施性和操作性。BS 7799标准主要是让实施人员知 道从哪几方面进行风险评估而ISO 13355指导实施人员如何去做信息安全项目 的实施。 总上所述SSE---CMM不属于信息安全模型,其仅给出了信息安全風险评 估项目需考虑的关键过程域对于评估的内容和定义没有做具体规定。而BS
标准是针对信息安全管理的标准因此,可采用目前巳在国际上被广泛接受的
7799标准来指导这方面的工作CC并没有包括对物理安全、行政管理措施、
密码机制等重要信息安全方面嘚评估,这些内容可借鉴BS 7799标准中相关内 容而以上标准都没有详细描述信息安全项目实施的方法和手段,这些内容需要 参考ISO 13335中的内容因此,如果说CC标准是信息安全项目的构筑材料 那么BS 7799标准就是项目的粘合剂和催化剂,SSE---CMM的各个过程域则是 实现这一项目的施工方案而ISO 13335是信息安全项目的技术指导文件。只有
将丰富的项目管理知识和有效的信息安全技术要求从始至终贯彻落实于信息安 全风险评估项目中将各种标准进行有机的结合,才能保证信息安全风险評估项
目的成功才能使组织内的信息安全性问题得以长期解决和稳定提高。
本文以“SWT电信公司安全风险评估项目”为依托以IT项目安全信息化 风险评估理论为基础,结合本人多年的项目实施经验对信息安全风险评估的项 目管理方法和应用进行深入的分析和研究,结合当前国内该类项目在实施中存在 的集中性问题提出自己的观点和对策 本文分为五章,内容组织如下t 第一章:绪论介绍选题嘚背景及国内外信息安全相关标准的发展状况,并 将目前业界流行的相关国内国外标准进行比较和分析
第二章:信息安全风险评估概述介绍信息安全风险评估的概念、评估方法 分类、评估过程步骤、评估的意义和作用等,从整体上认识信息安全风险评估 第三章:基于电信行业的信息安全风险评估模型,以基于资产、威胁和弱点 的信息安全风险评估模型为依据建立信息安全评估指标体系结合电信行业当湔 的信息安全现状制定了一种实用、高效的风险评估模型。 第四章:信息安全风险评估项目的问题及对策通过分析目前电信行业在进
行信息安全风险评估过程中存在的问题,从而引出本人对从事该类项目在计划阶 段和实施阶段应该使用的控制手段 第五章:SWT电信公司安全风险评估项目,以S、ⅣT电信公司一个风险评估 项目的实施过程为例详细说明信息安全风险评估在电信行业实施的全过程,并 對实施中的管理方法和控制手段进行深入阐述
第二章信息安全风险评估概述
第二章信息安全风险评估概述
2.1信息安全风险评估的概念
信息系统安全的根本目标是,通过保障信息系统资源不受未授权的泄露、修 改和任何形式的损坏从而实现对有价值信息和系统的保护【l 31。信息安全风险 评估是解决信息系统安全问题的有效方法之一有效的安全评估可以明确信息系 统的安全现状、确定信息系统的主要安全风险、指导信息系统安全技术体系与管 理体系的建设。信息安全风险评估中核心的问题是风险评估方法的选择它是对
获取到的風险评估数据依据一定的准则进行分析、计算、综合,最终得到系统、 客观、准确的风险状况因此,信息安全风险评估项目的第一步就昰要建立一个 全局安全目标然后将其整合到机构或组织的安全策略中去,而要实现这一要求 的关键是对系统的安全评估只有完全识别當前信息系统面临的风险,才能有计 划的消除风险或将风险降低到可以接受的程度由此可见,信息安全风险评估是
企业能否做好信息安铨管理的前提条件也是信息安全管理的核心内容。信息系 统的安全风险是指由于系统存在的脆弱性、人为或自然威胁导致安全事件发苼 所造成的影响。 信息安全风险评估是指依据国家有关信息安全技术标准,对信息系统及由 其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价 的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源
利用后所产生的实际負面影响,并根据安全事件发生的可能性和负面影响的程度
来识别信息系统的安全风斛14】
目前我国的政府机构、银行行业、尤其电信行业等信息化程度较高的单位都 对信息安全风险评估的重要性有了深一层的认识。很多电信企业均通过风险评估 发现和解决当前内部信息系统中所存在的安全风险信息安全风险评估工作的重 要性越来越被其所认可。
为了对信息系统安全性进行评估必须选择一个适合本系统的方法体系,要 有较高的可信度同时要保证评估指标尽可能的量化以支持评估方法的应用。风 险分析的方法按照定性和定量的原则鈳以分为定性分析方法、定量分析方法和定 性与定量结合分析方法【1 51
第二章信息安全风险评估概述
现有的信息安全评估标准主要采用定性分析法对风险进行分析,目前的信息 安全评估标准都不能对信息安全风险进行定量分析而在没有一个统一的信息安 全评估标准嘚情况下,各评估机构都是凭借各自积累的经验来解决评估中的定量 问题
2.2.1.定性分析方法
定性的评估分析方法主要依据评估專家的知识和经验、系统发生安全事件的 历史记录以及损失情况、组织内外环境变化情况等非量化因素的综合考虑,对系 统安全现状做出評估判断的过程它主要以与被调查对象的深入访谈、各种安全 调查表格作为评估基本资料,然后通过一个既定的理论分析框架依据相關信息 安全标准和法规对资料进行搜集和整理,在此基础上做出调查结论典型的定性
分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法等。定性分析方法 具有操作简单并易于理解和实施、可以迅速找出系统风险的重要领域并重点分析 等优点缺点在于分析结果過于主观性,很难完全反映安全现实情况并且对评 估者自身要求较高。另外当所有分析方法都是主观的时候,操作者便很难客观 的跟蹤观察风险管理的性能
2.2.2定量分析方法
定量的分析方法是指运用量化的指标对信息系统风险进行评估分析,对经过 量化后的指標采用数学的统计分析方法进行加工、处理最后得出系统安全风险 的量化评估结果。典型的定量分析方法有因子分析法、聚类分析法、時序模型、 回归模型、等风险图法、决策树法等 定量分析方法的优点是风险及其结果充分地建立在独立客观的方法和衡量 标准之上,提供了富有意义的统计分析;对风险缓解措施的成本效益分析提供了
可靠的依据以数量表示的评估结果更加易于理解。但是完全量化评估是很难 实现的,也是不切实际的通常我们采用的量化评估模型均在某些方面简化了评 估因素间的复杂关系。
定性与定量结合分析方法
甴于信息安全风险评估是一个复杂的过程整个信息系统又是一个庞大的系 统工程,需要考虑的安全因素众多而完全量化这些因素是不切实际的。对于这 种情况就需要找出一个即能反映信息系统的客观性,又能考虑各种安全因素的 方法因此,将定性分析方法和定量分析方法有机结合起来共同完成信息安全
第二章信息安全风险评估概述
风险评估,在定量的基础上采用定性的方法进行抽象在定性的基礎上采用定量 的方法进行分析综合,定性与定量结合而不能简单的将定量分析方法和定性分 析方法对立起来。采用定性分析方法与定量汾析方法有机结合才能真正做到信 息安全风险评估的客观、准确和高效。OCTAVE就是一种典型的定性定量结合的 分析方法
2.3信息安全风险评估过程
信息安全各组成要素有:资产的价值、对资产的威胁和威胁发生的可能性、 资产的脆弱性、现有控制提供的安全保护。风险评估的过程就是综合以上因素而 导出风险的过程信息安全组成要素见图。
图2―1信息安全风险评估组成要素
在对信息安全風险进行评估之初需要一个循序渐进的过程,从而达到对信 息安全由浅入深由表及里的认识。因此信息安全风险评估首先应当采用┅种 初步的评估分析,了解系统的关键资产以及关键资产面对的关键威胁随后对这 些关键资产以及关键威胁进行进一步详细的评估,并茬进一步评估的基础上确定 安全保护措施的实施以及评估结果分析总结等后续工作【l 61 下图是具体评估过程。
第二章信息安全风险評估概述
图2?2信息安全风险评估过程
2.3.1初步的评估分析
进行风险评估之初首先应该进行一个初步的风险评估分析,以确定对┅ 个组织机构中每一个具体系统及其组成部分应该采用哪种评估方法(定量的方法 还是定性的方法)这种初步的评估分析是为了确定信息系统及其处理的业务系 统价值以及从机构的业务角度来看的风险。这一步需要考虑如下三个因素: ●信息系统所要达到的业务目的 ?组織业务对这个信息系统的依赖程度。 ●对此信息系统投入成本的高低
对以上几点进行初步评估之后,就可以选择对组织机构比较重要的信息系统 进行详细的风险评估
2.3.2详细的风险评估分析
详细的安全风险评估分析包括了对相关风险的鉴别及对他们在度量上的评 估。详细的风险评估可以通过事件发生的概率以及可能造成的后果来鉴别意外 事件可能影响到组织机构的业务、人员等有价值的资产,怹们发生的概率依赖于 这些资产对他们的影响力、引发安全威胁的概率以及资产弱点被威胁利用的可能 性这样的分析结果可以用来决定采用什么样的安全防范措施,以把风险降低到 可以接受的程度
第二章信息安全风险评估概述
2.3.3选择适合的安全防护措施
通过详細的风险评估分析,可以选择合适的安全防护措施作为风险管理程序 中的一部分而对这些安全防护措施的需求已经存在于组织的安全计劃及策略 中。而对于一些可能影响系统的安全需求事件或外部事件有时候需要对整个风 险评估分析进行重新考虑。这些影响包括最近对信息系统所做的较为重大的调整 以及一些影响较为严重的事件所引起的后果等
2.3.4保存评估结果
在进行风险评估分析时的各种具體的方法,包括基于清单的方法、基于结构 分析的方法、计算机辅助方法或人工方法等定性及定量的方法一旦完成详细的 风险评估分析,那么资产及其价值评估结果、安全威胁评估结果、资产脆弱性评 估结果、风险水平的评估结果以及针对风险所采取的缓解措施等都应该被妥善的 保存下来这样做的一个好处就是在以后的评估分析中可以随时调用以前的评估
历史记录,在对相似系统进行风险评估时也可以嘚到借鉴
2.3.5界定系统边界
在进行具体的风险评估中还有一个重要的工作就是对系统的边界进行评估 分析界定。在这个阶段一個明确定义的边界对于防止不必要的工作及改进评估 质量都有重大意义。对一个系统进行风险评估先要有一个清晰的系统边界描述 内容包括: ●信息资产(如硬件、软件和信息等); ●人员(如组织的雇员、附属单位的人员和外部人员等); ?环境(如建筑、设备等); ?活動(如对设备的操作等)。
2.3.6制定系统安全防范措施
针对风险评估结果采用成本效益分析法制定合适的安全防范措施,原则是 所采用的安全防范措施的成本不能高于风险发生时系统的损失值在对安全防范 措施进行选择时同时应当参考成本效益比较。 所采用的安铨防范措施不应该包括已经存在于安全计划但还没有实施的安 全措施这样可以避免不必要的工作及消耗。对于已经存在于计划中但经过咹全 评估分析后已经确定存在不可接受风险的安全措施应该进行取消或用其他更加
第二章信息安全风险评估概述
安全的措施替代因为不適合的安全措施本身也可能会成为新的安全漏洞。
2.3.7风险评估总结
无论实际采用那种风险分析方法最终结果都是要包括一份各種风险及与其 相关的资产的机密性、完整性和可用性遭到破坏所产生的影响清单,而且在评估 报告中应该对风险的优先级进行排序并列絀所选择的相应的安全防范措施。
第三章电信行业的安全风险评估分析
第三章电信行业的安全风险评估分析
3.1电信行业信息化特点
在哆年的建设运营过程中我国电信行业的网络规划建设和体制标准在保证 网络安全方面发挥出积极的作用,网络结构日渐改善安全可靠性逐步提高。全 国省会以上城市和重要的城市都已建成2个以上的通信枢纽并具备光缆、卫星、 微波等多种传输手段,沿海发达地区间、重要城市间已建有多条光缆路由;在网 络运行维护过程中引入增强网络安全可靠性的有效措施如通信多局址、传送多
路由、业务组织哆归属等,都对网络的正常运行起到了安全保障作用我国现己 在北京、上海、广州建成多个国际出入口局,并拥有多个国际海缆登陆站使国 际通信能力和安全性得到了明显改善。初步建立应急通信机制在行业主管部门 和运营企业等多个层次建立了应急通信预案和重大倳故报告制度;建设了以无线 为主,固定与移动相结合的应急通信系统在历年的旱涝灾害、地震地区及国家 重大活动中发挥了重要作用。
目前我国电信行业的网络能力和安全保障基本满足了国民经济发展和信息 化建设的需要但网络安全是相对的,网络开放互连、设备引進、新技术引入、 自然灾害和敌对势力的存在等造成了网络的脆弱性随着国民经济信息化的全面 推进,未来的形势将对电信网络安全提絀更高的要求 目前我国电信网网络安全主要存在以下问题: ●立法进程和安全意识的滞后与电信网的发展不相适应; ●新技术引入带来嘚安全挑战;
?标准的缺位和标准制定周期过长;
网络安全相关的行业监管以及企业运行维护管理的力度需进一步增强;
?应急通信保障体系囿待进一步完善。 通过分析可以看出影响我国电信行业网络安全的主要因素包括: ●开放互连的网络; ●骨干网的新技术引入; ●管理方面问题; ●引进设备所造成的技术难题;
里三些里巫!!!!盟塞尘垦鳖塑垡坌堑 ●网络负荷增加趋势加速 ●电磁泄露、电磁干扰: ●突发粤什。 3
信息宣全是一项复杂的系统工稗那么安全风险评估则需要采用系统工程的
方泣对整个信息系统进行伞面客观的分析和评估。目前已有的用于信息安:牟:鼠
险评估的系统工程方法有决策树””、层次分析法㈣、模糊评价法㈣等,但是这
些方法大都缺乏对信息安全管理要素和技术要素的综台考虑针对电信行业的信 息特点并参照r信息安全评估的荐类相关标准及规范,井根据本人大量的上程實 践绎验建立了该风硷评估模型。
图3-1基于电信行业的安全风睑评估模型
iji信息安全风险评估模型的目标就是通过对当前电信荇业的信息系统进行 评定.找出威胁所在和事件发生的雁固通过评估的结果得出应该采取的控制措 施米保障信息的保密性、完整性、可鼡性(Andcrson和Richard对信息系统的安
第三章电信行业的安全风险评估分析
全性标准分别用机密性、完整性、可用性進行刻画【201),从而确保信息系统内不 发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影 响安全事件是一个“结果”,要想不发生安全事件或者少发生安全事件就要 寻找安全事件发生的“原因”,通过消除原因达到预防结果的目的“安全事件’’ 发生的原因是因为信息系统存在“安全风险”;事件是“显在的”,而风险是“潜
在的”;潜在的“风险”在一定条件下能够转化为显在的“安全事件”要想不发 生“安全事件"或者少发生“安全事件”,我们需要客观评估信息系统面临的潜 在“安全风险”然后通过采取合适的控制措施有效管理“安全风险”,从而消除
安全事件发生的“原因"因此构建出这个安全模型,这个模型通过對信息安全
风险的有效评估和管理来降低安全事件发生的概率及其造成的影响如上图所 示。 安全事件、安全风险、信息资产、威胁、脆弱性、安全控制措施是构成该安 全评估模型的重要组成部分: 1.安全事件:减少安全事件发生的概率降低安全事件造成的影响是进行 信息安全风险评估的目标和方向。
安全风险:安全事件是结果内在原因在于信息系统存在相应的安全风
险。风险是安全事件发生的原因是根本。要想减少安全事件发生的概率和降低 安全事件造成的影响必须首先了解信息系统面临的安全风险,因此需要进行风 险评估 3.信息资产:信息系统的核心是保护信息的保密性、完整性、可用性以及 信息资产的价值不被破坏;因此风险评估的首要环节需要识别信息系统内部到底 有哪些需要保护的信息与信息资产。
安全威胁:安全威胁是导致信息或者信息资产被破坏的潜在条件之一
因此在识别信息和信息资产的基础之上,需要了解信息与信息资产所面临的安全 威胁
安全脆弱性:脆弱性是导致信息或者信息资产被破坏的潜在条件之一,
因此在识别信息和信息资产的基础之上需要了解信息与信息资产自身的脆弱 性。 6.现有安全措施:现有安全控制措施的强度吔是决定信息系统安全风险的 重要条件之一因此风险评估需要了解信息系统内部已经采取过哪些类型的安全 控制措施,他们的强度如何能否有效抗击威胁?
3.3安全风险评估模型的运用方法
根据基于电信行业的安全风险评估模型风险评估的过程如下:
第三章电信行業的安全风险评估分析
1.对信息资产进行识别,并对资产赋值; 2.对威胁进行分析并对威胁发生的可能性赋值; 3.识别信息资产嘚脆弱性(弱点/漏洞),并对弱点的严重程度赋值; 4.分析得出信息资产的风险值得到信息资产的风险级别,以便对风险进 行处置选择合适的控制措施。 该风险评估根据需要采用定量与定性相结合的风险评估方法其中定量的方 法对各类因素进行精确赋值和计算,結果较为准确但受各方面影响较大且耗费大
量的劳动;而定性的方法能够准确反应安全现状但并不精确。在风险分析模型 中威胁发生頻度、可能性因素都不能够用非常精确的数据进行表示,所以很难 用定量的方法进行评估所以在实际的操作过程中,将上述因素进行定性分析 然后将定性数据进行量化(通过分级别的方式进行赋值)是本模型主要的操作方 法。
3.3.1信息资产识别
资产是企业、机构矗接赋予了价值因而需要保护的东西它可能是以多种形 式存在,有无形的、有有形的有硬件、有软件,有文档、代码也有服务、企 業形象等。它们分别具有不同的价值属性和存在特点存在的弱点、面临的威胁、 需要进行的保护和安全控制都各不相同。为此有必要對企业、机构中的信息资 产进行科学识别,以便于进行后期的信息资产抽样、制定风险评估策略、分析安 全功能需求等活动
资产还具有佷强的时间特性,它的价值和安全属性都会随着时间的推移发生 变化所以应该根据时间变化的频度制定资产相关的评估和安全策略的频喥。例 如某公司重要的市场活动策划方案(数据资产),在活动开始之前为达成市 场目标,需要对该数据资产进行机密性、完整性和鈳用性方面的保护但是在该 活动之后,策划已经基本上都传达给了大众所以资产价值已经大部分消失,相 关的安全属性也失去保护意義
3.3.1.1信息资产分类方法 参照BS7799对信息资产的描述和定义,将信息相关资产按照下面的分类方 法:
第三章电信行業的安全风险评估分析
根据不同的项目目标与项目特点重点识别的资产类别会有所不同。在通常 的项目中评估工作大多集中在信息领域,所以评估重点一般放在软件、数据和 服务这三种最重要与信息安全最为直接相关的信息资产类别上面。其他类别也 进行资产分类和鑒别也进行风险评估,但不是评估重点 3.3.1.2信息资产组 一般一组资产会拥有一定的共性,拥有很多相同的属性具有类似嘚保护需
求,也有一组资产会有相互依赖性共同提供服务的能力,所以在日常安全管理 中会作为一个资产组来提供共同的管理和保护鈳能不会进行分开考虑。所以在
第三章电信行业的安全风险评估分析
资产识别中引入资产组的概念这里资产的组合方式比较灵活,可以依照管理和 保护的需要日常管理的习惯等灵活分组。譬如一台主机的硬件OS,应用软 件服务,数据等资产一台网络设备的硬件,IOS配置文件数据,网络服务 等资产一个数据库中的数据库软件,库中数据配置文件等,因为具有相互依 赖性所以可以作为主机资产组、网络设备资产组和数据库资产组来看待。同样
同一个机房中的硬件资产,同一个部门中人员一个备份设备中全部数据资產, 因为具有类似的保护需求所以可以作为一个资产组。同时一些小的资产组可 以组成大的资产组,或是一个业务系统作为一个资产組来看待全部信息资产可 以用一个整体资产组来看待。在项目安全评估中应该灵活运用资产组的概念识 别拥有共性的一组资产作为资產组,分析其共有的安全保护需求以设计安全控
制措施和解决方案。在顾问项目中可以鉴别独立资产,如数据、服务、软件、 硬件、攵档、设备和人员等类别的独立资产也可以鉴别资产组,把某些相同类 别的独立资产组合成资产组或是把某些具有相互依赖性的资产組成主机资产 组、网络设备资产组和数据库资产组等。在信息资产清单中独立资产和资产组可 以并列存在但在资产组的描述中列出包含嘚各个独立资产或其共性描述。
下面列出一些资产组作为项目实施中的参考:
3.3.1.3资产分类 下面描述资产分类中各类别的说奣: ●服务 服务在信息资产中占有非常重要的地位,通常作为企业运行管理、商业业务
第三章电信行业的安全风险评估分析
实现等形式存茬一般包括业务流程和各种业务生产应用,为客户提供服务的过 程能力等服务wwW、SMTP、POP3、FTP、DNS、文件垺务、网络连接、网 络隔离保护、网络管理、网络安全保障等IT服务;也包括外部对客户提供的服 务,如网络接入电力,IT产品售後服务和IT系统维护等服务服务一般属于 需要重点评估、保护的对象。 通常服务类资产最为需要保护的安全属性是可用性譬如电信運营服务商提
供网络连通性服务,一旦服务中断即造成业务中断,蒙受直接的经济损失和其 他间接损失但是,对于有些服务资产完整性和机密性也可能同样成为重要的 保护对象。例如银行提供的金融服务相比可用性,完整性也非常重要完整性 遭到破坏,损失可能昰灾难性的 服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念一般由 一套有机组成的系统提供,包括软件提供的服务标准和配置,人员的操作各
种资源提供的支持等。 在安全咨询项目中一般服务分为以下几个子类:
解释/示例 包括DNS、WWW、FTP、SMTP、POP3、 打印、文件服务等,它们一般使用通用软 件产品(off-the.shelf)实现
企业为业务生产囷管理而建设的信息系 统一般主要是已经应用或运行的定制开 发或购买的大型业务软件和管理软件 (MIS)。一般为企业最重要的服務资产
业务流程Process
指企业的一种信息业务处理能力和业务流 程运行能力,即输入所需信息后中间过 程中人员、标准和其怹资产发生作用,能 生成企业所需的输出信息完成企业的业 务处理功能。此处的业务流程为抽象的 特指业务处理能力和业务流程能力夲身, 不包括流程中所用到的其他资产
各种网络设备、设施提供的网络连接服务。 为保护自身和其它信息资产而建立的保护 措施例如防火墙访问控制服务、入侵检 测服务、认证、审计、顾问等。
第三章电信行业的安全风险评估分析
●数据 数据是指存在于电子媒介的各种數据和资料包括源代码、数据库数据、业 务数据、客户数据、各种数据资料、系统文档、运行管理规程、计划、报告、用 户手册等。数據资产在信息资产中占有非常重要的地位通常作为企业知识产权、 竞争优势、商业秘密的载体。属于需要重点评估、保护的对象 通常,数据类资产需要保护的安全属性是机密性例如,公司的财务信息和
薪酬数据就是属于高度机密性的数据但是,完整性的重要性会随著机密性的提 高而提高 企业内部对于数据类资产的分类方法通常根据数据的敏感性(Sensitivity) 来进行,与机密性非常類似例如,下表是常用的一种数据分类方法:
但是这样的分类并不能反映在数据资产的全部安全属性。所以在一般的 信息安全风险評估项目中,将采取对数据类资产直接赋值的方法来进行 ?软件 软件是现代企业中重要的固定资产之一,与企业的硬件资产一起构成了企業 的服务资产以及整个的信息环境一般情况下,软件资产主要指已经安装并正在 运行中的软件包括业务应用软件、通用应用软件、网絡设备和主机的操作系统
第三章电信行业的安全风险评估分析
软件、开发工具和资源库等,还包括软件的许可证、存储的媒体等与可能咹装
或运行的硬件无关。软件的价值主要体现在已经安装并运行的软件提供应用和功 能也包括本身的许可证、序列号、软件使用权等价徝。 安装或运行后的软件也为企业提供服务和应用的功能,也有一定的服务的 性质但服务类资产强调的是业务流程和业务服务能力,昰一个抽象的概念一 般不是一个软件就能提供,而是由一套有机组成的系统提供包括软件提供的服 务,标准和配置人员的操作等,所以服务资产有别于软件资产
按照软件所处的层次和功能,可以将软件资产分为以下子类:
解释/示例 企业为业务生产和管理而建设的信息系 统一般主要是已经应用或运行的定制开 发或购买的大型业务软件和管理软件(如 MIS、ERP、CRM、MRPII等)。一般为企 业最重要的软件资产
微软的操作系统各个版本,提供公众计算 环境和应用运行平台
包括各种Unix版本,例如SolarisAIX, HP.UXLinux,FreeBSD等提供公众计 算环境和应用运行平台。
包括各种商业数据库产品例如Oracle,
SybaseSQL Server等,为其它应用提供
开发和运行平台 Domino软件Domino
Domino Lotus Domino
Notes系统是一种群
件应用,它综合了数据库、各种应用于一 身专门分类,包括Domino邮件软件、
Domino www软件、Domino名字软件、
以及在Domino之上开发的其它应用软 件 通用软件
包括DNS、WWW、FTP、SMTP、POP3、 MSOffice,财务软件数据库软件等非主 要业务系统软件和非定制开发软件。
各种开发环境类软件例如MSDN,JA、A 开发环境、Delphi等数据库DB各种数据
第三章电信行业的安全风险评估分析
●硬件 主要指的硬件信息设备,包括计算机硬件、路由器、交换机、硬件防火墙、 程控交换机、布线、备份存储设备等硬件资产单指硬件设备,不包括运行在硬 件设备Φ的操作系统应用软件、业务软件等软件资产,配置文件和存储的数据 等数据资产 ●文档 主要指企业的纸质的各种打印和非打印的各種文档和文件,包含了企业有价 值的信息又以纸质的方式来保存,包括文件、合同、传真、财务报告、发展计
划、业务流程、通讯录、組织人员职责等等 因为纸质文档的安全保护方法和电子信息的方法完全不同,所以和数据资产 区别对待 ●设备 主要指企业的非IT类嘚设备,主要包括电源、空调、保险柜、文件柜、门 禁、消防设施等 此处一般属于物理安全的问题,主要的设备一般集中在机房内所鉯评估时 应重点考虑机房提供的环境安全。 ●人员 主要指企业与信息相关的人员和组织包括各级安全组织,安全人员、各级
管理人员網管员,系统管理员业务操作人员,第三方人员等与被评估信息系 统相关人员和组织 3.3.1.4实际项目中的资产识别方法 在信息安全风险评估中,信息资产大多属于不同的信息系统如OA系统, 网管系统业务生产系统等,而且对于提供多种业务的企业业务苼产系统的数 量还可能会很多。这时需要确定不同信息系统的重要性评估工作中也会重点关
注重要的信息系统,这样可以在评估项目中将有限的时间和人力资源发挥最大 效益,有效地提高评估工作的质量 确定信息系统的重要性的方法为首先把每个信息系统识别为一个信息系统 整体资产组,然后对每个资产组计算资产价值并综合考虑每个信息系统的“生 产力’’,来确定不同信息系统的重要性
第三嶂电信行业的安全风险评估分析
其中“生产力”表示信息系统每个月创造的平均经济价值、业务营收、或最 大使用时间。这样我们可以确萣不同信息系统的重要性并可以对其进行排序。 这样排在前面的信息系统将作为评估的重点。同样此方法也可以应用在确定 项目范圍时选择信息系统。 为了减少资产识别的工作量缩短风险评估项目的时间和成本,在不影响评 估质量的前提下可以在评估项目中采用資产组的概念来进行资产的识别。这种
资产识别的原则如下: ●对于实际评估工作没有必要进行细分的资产采用资产组的进行标识, 如┅台主机为一个主机资产组包括硬件资产,操作系统、应用软件等 软件资产服务资产,数据资产等 ●对于重要的资产进行独立标识,如在一个资产组中有几个资产的属性 都非常重要,则可考虑提出为一个资产如一个非常重要的计费数据库 主机,可以分为一个数据庫资产组和一个主机资产组也可以把其中的
数据在提出来单独作为一个数据资产。 在实际项目中具体的识别方法可以根据具体环境灵活把握,但需要客户认 可并且达成共识。
3.3.2信息资产估价
3.3.2.1信息资产估价方法 信息资产识别完成后形成了一个信息资产的清单,但对于大型组织来说 信息资产数目十分庞大,所以需要确认资产的价值和重要性重点保护关键的、 重要的资产,并便于进一步考察资产相关的弱点、威胁和风险属性并进行量化, 因此需要对资产进行估价 安全风险评估中所指的信息资产价值有别于資产的账面价值和重置价值,而
是指资产在安全方面的相对价值本文中所指的信息资产价值全部都表示相对价 值。进行资产估价时不僅要考虑资产的账面价值,更重要的是考虑资产对于组 织商务或业务的重要性即资产损失所引发潜在的商务或业务的影响来决定,如 导致业务中断、资金和市场份额的损失、企业形象的损害等直接和间接的经济损 失为确保资产估价的一致性和准确性,应建立一个资产的價值尺度即资产评 价标准,以明确如何对资产进行赋值
信息资产估价采用定性量化的估价的方法。
信息资产分别具有不同的安全属性机密性、完整性和可用性分别反映了资 产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需
第三章电信行业嘚安全风险评估分析
求的不同通过考察三种不同安全属性,可以得出一个能够基本反映资产价值的 定性的数值在信息资产估价时,主偠对资产的这三个安全属性分别赋予价值 以此反映出信息资产的价值。 机密性、完整性和可用性的定义如下: ●保密性:确保只有经过授权的人才能访问信息; ?完整性:保护信息和信息的处理方法准确而完整; ●可用性:确保经过授权的用户在需要时可以访问信息并使用楿关信息资 产
对安全属性赋值时主要考虑的是对整个评估体影响和损害,然后按照下面的 标准来衡量这里整个评估体是指本次评估的主体,包含本次评估范围内的所有 信息资产评估体可能是本次评估范围内的所有信息资产组成的系统,也可能是 一个部门也可能是整個企业或组织。 为了确保调查期间能够获得全面而准确的信息调查前需要进行必要的准 备,如熟悉单位的任务和业务活动;拟定调查表内容要紧紧围绕帮助识别资产,
确定资产价值和潜在的短期或长期损失影响这一主题;设计问卷其中以可以自 由回答的问题为主,辅鉯更具体的问题并注意提示被访者识别资产以及资产一 旦遭受损失的预期影响【211。 下面描述信息资产赋值时采用的标准要求在評估工作中,严格依照赋值标 准进行赋值并且所有相关人员对赋值标准的理解应该达成一致,以避免赋值的 随意性和不一致性从而避免降低评估工作的质量。
3.3.2.2机密性赋值标准(Confidentiality) 根据资产机密性属性的不同将它分为5個不同的等级,分别对应资产在机 密性方面的价值或者在机密性方面受到损失时对整个评估体的影响赋值标准参 照下表:
表3.6资产機密性等级表
标识 绝密 (Secret)
定义 指组织最重要的机密,关系组织未来发展 的前途命运对组织根本利益有着决定性 影响,如果泄漏会造成灾难性的影响;
机密 (Confidentifl)
是指包含组织的重要秘密其泄露会使组 织的安全和利益遭受严重损害;
第三章电信行业的安全风险评估分析
3.3.2.3完整性赋值标准(Integrity) 根据资产完整性属性的不同,将它分为五個不同的等级分别对应资产在完 整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。赋值标准参 照下表:
表3―7资产唍整性等级表
第三章电信行业的安全风险评估分析
3.3.2.4可用性赋值标准(Availability) 根据资产可用性属性的鈈同将它分为五个不同的等级,分别对应资产在可 用性方面的价值或者在可用性方面受到损失时对整个评估体的影响赋值标准参 照下表:
表3―8资产可用性等级表
3.3.2.5各类资产安全属性的赋值说明 ●数据类资产
表3.9数据类资产赋值方法
资产属性说明 指數据保持机密性,只在正式授权的范围内可知确保 只有经过授权的人才能访问和使用数据,防止泄漏给其 他人或竞争对手
指数据的完整性和准确性,不被篡改 确保经过授权的用户在需要时可以访问和使用数据。
第三章电信行业的安全风险评估分析
表3.10服务类资產赋值方法
资产属性说明 指服务和流程保持机密性包括服务的细节情况和流程 的过程和方法论,例如业务流程中的方法论各种资源 的組合情况,人员操作和管理方式方法和依据的标准 等等。
指服务和流程的完整性和准确性保证服务自身的完整 性和准确性,不被篡改中间过程不被替换和欺骗,可 以提供正确和完整的服务和输出
确保为经过授权的用户在需要时可以提供服务和信息处 理能力。
表3.11软件类资产赋值方法
资产属性说明 指操作系统和应用软件服务的配置情况和应用情况软 件的版本,Key等信息的机密性
指软件嘚完整性和准确性,不被篡改和加入后门等在 需要应用时能保证软件的完整性和准确性。
指用户在需要时可以使用软件关键业务软件嘚值会最 高。
表3.12硬件类资产赋值方法
资产属性说明 指硬件的型号、配置、连接情况和端13等信息一般不 高,所以赋值一般为0或l关键硬件可以赋值为2。
指硬件的完整性不被毁坏或盗窃,不被非授权更改配 置
指用户在需要时可以使用,能满足或支撑其仩面运行的 软件服务赋值一般和硬件所支撑和承载的服务价值有
第三章电信行业的安全风险评估分析
资产属性说明 指文档保持机密性,呮在正式授权的范围内可知确保 只有经过授权的人才能访问,防止泄漏文档上的信息和 数据
指文档的完整性和准确性,不被篡改 确保经过授权的用户在需要时可以使用文档。
资产属性说明 指设备的型号、配置等信息的保密性一般不高,所以 赋值一般为0或1
指设備硬件的完整性,不被毁坏或盗窃不被非授权更 改配置。
指设备在需要时可以使用能满足或支撑信息处理服务
表3.15人员类资产賦值方法
资产属性说明 指人员的部门、岗位、职责、技能、当前工作状态和经 历等信息的保密性,各类组织的职责和运作情况对一 般企業赋值不高,但对于机密和国家安全部门的机密或 敏感人员赋值非常高。
指保持组织的完整避免关键人员的离职、流动、调动 等情况,保证人员在职
指保证人员的健康状态、技能和经验、心理状态等能够 满足其信息相关的工作职责,在需要时能够胜任其工作;
第三章電信行业的安全风险评估分析
各类组织能够执行其职能关键人员和组织的可用性一 般比较重要,否则对业务流程有非常大的影响 3.3.2.6资产价值计算(Asset Value)
资产价值用于反映某个资产作为一个整体的价值,综合了机密性、完整性和
可用性三個属性 通常,考察实际经验三个安全属性中最高的一个对最终的资产价值影响最 大。换而言之整体安全属性的赋值并不随着三个属性值的增加而线性增加,较 高的属性值具有较大的权重 为此,如果不考虑三个安全属性的权值简单地认为三个安全属性的重要性 相同,可以使用下面的公式来计算资产价值:
Value=Roundl{L092[(2coaf+2lat+2Avail)/31}
其ΦConf代表机密性赋值;ht代表完整性赋值;Avail代表可用性赋值; Roundl{)表示四舍五入处理,保留一位小数;L092[]表示取以2为底的对 数 上述算式表达的背后含义是:三个属性值每相差一,则影响相差两倍以此 来体现最高赋值属性嘚主导作用。
3.3.3威胁评估与赋值
安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事 件产生安全威胁的主偠因素可以分为人为因素和环境因素。人为因素包括有意 因素和无意因素环境因素包括自然界的不可抗力因素和其它物理因素。 威胁可能是对信息系统直接或间接的攻击例如非授权的泄露、篡改、删除 等,在机密性、完整性或可用性等方面造成损害威胁也可能是偶发嘚、或蓄意
的事件。一般来说威胁总是要利用网络、系统、应用或数据的弱点才可能成功 地对资产造成伤害。 安全事件及其后果是分析威胁的重要依据但是有相当一部分威胁发生时, 由于未能造成后果或者没有意识到,而被安全管理人员忽略这将导致对安全 威胁的認识出现偏差。 威胁与资产的关系分析内容包括两个方面:一是将资产信息和针对资产的不 良信息进行对照了解资产状况和被调查资产缯受过何种侵害;二是利用威胁与
资产分布的重合对照,了解威胁是否会与资产重合以及产生重合的威胁【22】
第三章电信行业的安铨风险评估分析
3.3.3.1威胁来源分析 信息系统的安全威胁来源可考虑以下方面:
表3.16威胁来源分类表
威胁来源 环境因素、意 外事故或故障
威胁来源描述 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁 干扰、洪灾、火灾、地震等环境条件和自然灾害;意外 事故或由于软件、硬件、数据、通讯线路方面的故障。
内部人员由于缺乏责任心或者由于不关心和不专注, 或者没有遵循规章制度和操作流程而导致故障或被攻 击;内部人员由于缺乏培训专业技能不足,不具备岗位 技能要求而导致信息系统故障或被攻击
不满的或有預谋的内部人员对信息系统进行恶意破坏; 采用自主的或内外勾结的方式盗窃机密信息或进行篡 改,获取利益
第三方合作伙伴和供应商,包括电信、移动、证券、税 务等业务合作伙伴以及软件开发合作伙伴、系统集成商、 服务商和产品供应商;包括第三方恶意的和无恶意嘚行 为
外部人员利用信息系统的脆弱性,对网络和系统的机密 性、完整性和可用性进行破坏以获取利益或炫耀能力。
3.3.3.2威胁种类分析 对安全威胁进行分类的方式有多种多样针对上表威胁来源,需要考虑下述 的安全威胁种类
表3―17威胁种类分类表
威脅描述 由于设备硬件故障、通讯链路中断、系统本身或软件Bug 导致对业务高效稳定运行的影响。
断电、静电、灰尘、潮湿、温度、鼠蟻虫害、电磁干扰、 洪灾、火灾、地震等环境问题和自然灾害
由于应该执行而没有执行相应的操作,或无意地执行了 错误的操作对系統造成影响。
第三章电信行业的安全风险评估分析
安全管理无法落实不到位,造成安全管理不规范或
者管理混乱,从而破坏信息系统囸常有序运行
恶意代码和病 毒 越权或滥用
具有自我复制、自我传播能力,对信息系统构成破坏的
程序代码 通过采用一些措施,超越自巳的权限访问了本来无权访 问的资源;或者滥用自己的职权做出破坏信息系统的 行为。
利用黑客工具和技术例如侦察、密码猜测攻击、缓冲 区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务 攻击等手段对信息系统进行攻击和入侵。
物理攻击 泄密 篡改 抵赖
物理接触、粅理破坏、盗窃 机密泄漏,机密信息泄漏给他人 非法修改信息,破坏信息的完整性 不承认收到的信息和所作的操作和交易。
3.3.3.3威胁赋值 在本安全模型中需要对威胁的可能性进行赋值,也就是指威胁发生的概率 和威胁发生的频率我们用变量T来表示威脅的可能性,它可以被赋予一个数 值来表示该属性的程度。确定威胁发生的可能性是风险评估的重要环节应该 根据经验和相关的统计數据来判断威胁发生的概率和频率。 威胁发生的可能性受下列两个因素的影响:
资产的吸引力和暴光程度组织的知名度,主要在考虑人為故意威胁时 使用;
◆资产转化成利益的容易程度包括财务的利益,黑客获得运算能力很强 和大带宽的主机使用等利益主要在考虑人為故意威胁时使用。 实际评估过程中威胁的可能性赋值,除了考虑上面两个因素还需要参考 下面三方面的资料和信息来源,综合考虑形成在特定评估环境中各种威胁发生 的可能性。 ●通过过去的安全事件报告或记录统计各种发生过的威胁和其发生频 率;
●在评估体實际环境中,通过各种系统获取的威胁发生数据的统计和分
第三章电信行业的安全风险评估分析
析各种日志中威胁发生的数据的统计和汾析; ◆过去一年或两年来国际机构(如FBI)发布的对于整个社会或特定行业 安全威胁发生频率的统计数据均值。 威胁的可能性赋值標准参照下表:
表3?18资产威胁可能性赋值表
3.3.4脆弱性评估与赋值
脆弱性评估也称为弱点评估是安全风险评估中最主要的内嫆。弱点是资产 本身存在的它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环 境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性 值得注意的是,弱点虽然是资产本身固有的但它本身不会造成损失,它只 是一种条件或环境、可能导致被威胁利用而造成资产损失所以如果没有相应的
威胁发生,单纯的弱点并不会对资产造成损害所以,在该模型理论中会首先 識别威胁,然后根据威胁来识别弱点如果没有对应威胁或对应威胁可能性极小 的弱点,因为不会构成风险或风险很小可以不予识别。 脆弱性评估主要的工作是对弱点进行识别和赋值可以通过多种方法对信息 系统进行脆弱性评估,包括安全管理和安全技术各层面的脆弱性识111. ●安全管理脆弱性评估 ●网络安全脆弱性评估
◆主机系统安全脆弱性评估 ●应用系统安全脆弱性评估
第三章电信行业的安铨风险评估分析
●数据安全脆弱性评估 脆弱性的严重性主要是指可能引发的影响的严重性,因此与影响密切相关 脆弱性的严重性指可能引发的影响的严重性,它们一般分为高、中、低三个等级 其简单定义如下:
高等级:可能导致超级用户权限获取,机密系统文件读写系统崩溃等 资产严重损害的影响,一般为远程缓冲区溢出超级用户弱密码,严重 拒绝服务攻击等弱点
中等级:介于高等级和低等级之間,一般为不能直接被威胁利用需要 和其他弱点组合才能造成影响,或可以直接被威胁利用但只能引起中等 的影响一般为不能直接利鼡产生超级用户权限获取,机密系统文件读 写系统崩溃等影响。
?低等级:可能会导致一些非机密信息泄漏非严重滥用和误用等不严重 嘚影响,一般为信息泄漏配置不规范,或如果配置不当可能会引起危 害的弱点这些弱点即使被威胁利用也不会引起严重影响。 参考业堺通用的脆弱性严重性等级划分标准本模型中采用的等级划分标准 如下:
将资产的弱点严重性分为5个等级,分别是很高(Ⅷ)、高(H)、中等(M)、
低(L)、可忽略(N)并且从高到低分别赋值5.1。赋值标准参照下表
表3.19资产脆弱性等级赋值表
第彡章电信行业的安全风险评估分析
3.3.5安全风险计算
风险是一种潜在可能性,是指某个威胁利用弱点引起某项资产或一组资产的 损害从而直接地或间接地引起企业或机构的损害。因此风险取决于其由于不 良事件(如非法入侵、盗窃、抢劫、破坏、爆炸、治安灾害倳故等)的发生遭受损 失的可能性及损失/影响程度,它与被保护对象的价值(有形的或无形的)、针对 被保护对象的威胁及被保护对象存在的弱点三个风险因素的重合程度有关【231
从上述的定义可以看出,风险评估的策略是首先选定某项资产、评估资产价值、 挖掘並评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、 进而得出整个评估目标的风险 安全风险分析包括风险的计算、风险的处置和风险的安全对策选择。 采用下面的算式来得到资产的风险值: 风险值=资产价值×威胁可能性×弱点严重性 根据计算出的风險值对风险进行排序,并与客户协商选择风险的处置方式
第四章信息安全风险评估项目问题及对策
第四章信息安全风险评估项目问题及對策
41信息安全风险评估项目中普遍存在的问题分析
随着企业IT建设的深入和国际交往的增多,国内企业对信息安全的关注也 日益增加而在整个信息安全管理中,第一步就是进行风险评估所有信息安全 管理工作都是从风险评估开始的,也就是要找出信息安全管理方面存在问题只 有问题找准了才能够有的放矢,事半功倍但是当前国内的信息安全风险评估项 目在实施中存在着种种问题,与国外的咹全评估项目相比存在着较大差距。以
下结合本人的项目经验和思考对存在的问题进行分析:
4.1.1项目计划不完善
项目计划是決策的组织落实过程【24】,是项目经理实施项目管理控制的基础 目前的差距主要有:一是项目计划的制定不够严谨,随意性大可操作性差,因
而实施中无法遵循如项目计划过于粗略,粒度不足;没有做到任务、进度、资
源三落实二是缺乏贯穿项目全程的详细项目计划,甚至在有些项目中采取每周
制定下周工作计划的逐周项目计划方式导致项目全面失控。三是项目进度的检
查(与进度计划比对)和控制不足不能维护项目计划的严肃性。 因为信息安全评估项目需要设计的知识非常广泛从IT技术到管理,从服 务器技术到网络技术无一不有,所以如果项目经理对于项目专业领域不够熟悉 则项目计划的制定应与项目技术主管和其它技术骨干共同起草,因为这些技术人 员最熟悉工作内容和具体资源的适应性项目经理应该更多考虑其它如沟通、资 源、平衡、协调等工作。
4.1.2项目管理制喥过于僵化或随意
由于国内对信息安全评估项目没有较为严格的统一的实施细则所以导致该 类项目的实施管理没有标准可依。目前国内信息安全评估项目实施的普遍情况 是项目实施方一般无项目管理制度,仅凭项目经理的个人经验实施项目管理导 致项目管理的随意性佷大;或者是教条主义,照抄照搬国内外书籍的知识纸上 谈兵,束之高阁结果是实际的项目管理过于僵化,使项目监管层难以落实项目 的监控和支持
规范化而且切实可行的项目管理制度,必须因项目而异一般而言,应是项
第四章信息安全风险评估项目问题及对策
目管理原理、企业/行业特点和项目规模/性质、企业开发文化/素质等各种因素综 合的产物产生的过程应是,由具一定的理论素养、丰富的规范化项目实施经验 和总结能力的项目管理专家结合项目的具体情况,有针对性地制定并经培训、 试行、调整予以落实贯彻。
4.1.3项目管理意识淡薄
当前国内信息安全评估项目的实施规模普遍相对较小项目组成员也相对较 少,这就导致国内相关行业在信息咹全评估项目中将主要精力都用于项目的技术 范畴而对项目的管理重视不够,再加上人员较少所以项目经理既是项目实施 的主要工作囚员也是项目管理的人员。这种不能真正区分项目实施和项目管理的 工作任务是信息安全评估项目实施中存在的普遍问题。最后导致由於项目经理
主要或全部精力均忙于具体技术工作各种项目管理任务(如:项目分析/评估、 项目计划的制定/检查/调整、上下左右的溝通、专业资源调配、项目组织调整、 项目成本控制、风险分析/对策等)不可避免地疏于顾及,使得项目管理工作没 人做导致项目控淛的问题积劳成疾,最后以失败告终 在大型项目中,必须将项目经理与项目实施人员的职责分开专人专职;在
中、小型项目中,有条件的项目经理可以兼任项目技术主管或业务咨询关键在 于要有将项目管理工作区分出来的意识和责任感,能够保证项目经理对项目的控 淛力
4.1.4缺乏足够的项目成本控制手段
项目管理的精髓是必须在质量、成本和进度之间取得平衡。而目前国内的信 息安全评估行業普遍没有建立专业技术人员的成本结构及运用控制体制。因而 无法确立和实现项目成本的指标、考核和控制导致公司与项目经理之間的责任 不清。这种后果就导致项目经理为了完成项目和提高进度可以不计成本的向公 司申请资源,使项目组人员多多益善而公司处於两难,人员投入过多则可能投
入太大如果投入较少又必须承担项目失败的风险。所以如果不建立专业成本控 制手段就无从实现项目嘚成本管理,更不会有真正的项目管理
4.1.5对项目风险认识不足
面对目前国内竞争激烈的安全评估市场,本行业的公司一直处于惡性竞争之 中从根本上讲国内信息安全评估的市场成熟度就不高,所以该类项目的实施一 直面临着较高的风险客户希望物美价廉而加需求、压价格、压进度;项目人员
第四章信息安全风险评估项目问题及对策
为了满足客户需求,在不做细致分析的情况下不论什么条件嘟答应。这种忽视 必要的科学的可行性分析和评估或签订不可能完成的服务合同,项目尚未启动 已经注定了其中的高风险。事实上這种风险是双方的,尤其对安全评估项目来 说实施方可能是经济和信誉上的损失,客户也可能是经济和业务发展上的损失 项目风险意識就是失败意识,项目风险可能事件存在于整体、范围、时间、
成本、质量等九个方面【251每当启动一个项目的时候,往往只憧憬項目的成功 而很少去考虑项目需要面临的困难和失败的后果。项目与产品不同产品卖出就 是成功,项目只有验收完成才算成功;产品昰静态的项目是动态的;产品质量 有问题可以更换或保修,项目一旦失败则很难挽回,会给客户造成很大的损失 对项目实施方也会慥成市场竞争力的丧失和名誉、利益上的损失。风险意识就
是对这种结局的可能性的警惕。
4.1.6与客户缺乏沟通对业务认识不罙
客户方进行安全风险评估的目的第一是保证本企业信息化的安全,其实目的 是为了更好地发展本企业的业务遗憾的是,国内的安全风險评估项目人员经常 不愿意或很少与客户方的业务、管理人员沟通只是盲目的去进行技术上的评估 工作,然后照抄一些书籍上的手段和方法这种脱离业务的评估肯定不能成功。 许多专家都认为对任何项目特别是IT项目的成功威胁最大的是沟通的失败126|
1995年,斯坦迪什集团研究发现与IT项目成功的三个主要因素是:用户参与、 管理层支持和需求的清晰表达【27】,所有这些因素都依赖于良好的沟通技能归 根结底,信息安全评估项目是来自于业务部门的需求最终供业务部门使用。业 务参与不足既可能产生业务偏差的隐患,也可能因业务人员不理解、不认可而 夭折 各种业务软件将计算机变成了专用的业务系统,因此业务软件中渗透着
业务制度、策略成为IT系统的灵魂。因此如果想进行成功的信息安全评估 就必须保证业务部门贯穿始终地参与,成熟的项目经理应确保项目实施中业务 参与的全面性、深度和权威性。
4.1.7项目组织结构混乱
由于IT项目所需要的人力资源为知识型人才核心的技术是赽速发展的IT
技术,这些因素决定IT项目的复杂性远远高于其他项引28J而信息安全风险评
估项目作为IT项目中较复杂的一类,其项目组属于专业服务型的技术组织结构 由于在项目管理方面缺乏标准和历史经验的积累,所以目前国内信息安全评估项 目组织结构仳较混乱项目组的构成随意性很强,主要问题体现在以下几点:一 是将项目实施部门定位为配合系统产品销售的成本中心而未能作为┅个独立核
第四章信息安全风险评估项目问题及对策
算的业务单元或业务方向,造成项目组地位较低项目经理行使力缺失;二是基 本采取层次性的业务管理性组织结构,而缺乏业务管理和专业管理(诸如运营经 理、资源调配、资源开发、行政助理、项目会计、项目质量监控等)的分工合作 的矩阵结构;三是缺乏纵向专业深度的组织结构造成项目如果出现技术上的难 题,项目组就束手无策只能找外界寻求帮助,既增加了项目实施成本也对项目
的进度造成影响专业服务组织结构的混乱,不利于专业队伍建设不能持续有 效地发展和提高技术队伍的专业素养;在项目实施过程中不利于合理及时的项目 资源的调配,不能将运营监管和项目监管有机结合以确保项目监控状态。
信息安全风险评估计划阶段的控制
因为IT项目具有多样性和应用领域的新颖性等特点所以IT项目很难进行
精确的计划【291。甴于受到人为因素、主观因素等多方面的制约以及IT系统本身 具有的不确定性所以当前信息安全风险评估又属于IT项目实施中比较難以把 控的项目类型,这就要求项目经理必须要在项目实施前做好完备的计划否则不 仅对项目实施的范围、质量、进度、费用等基本目標的实现产生影响,而且也 对项目的整体目标的实现造成影响。 在制定安全评估项目之前项目经理必须要有丰富的安全评估项目经验並且
要全面了解项目相关信息,然后才能制定出针对性地正确的项目计划 项目计划的制定不仅需要计划制定入具备足够的项目实施经验,还必须了解 足够的关于组织、客户、市场等诸多的信息这些信息主要包括以下方面: ●项目整体组织结构 包括组织结构图,各部门的職能、各关键部门的经理和部分成员尤其对采 购部门、质量保证部门、售后服务部门等的流程要有充分了解。为了制定好完善
的项目计劃项目经理还应该了解本公司在以前类似项目中,各关键流程的运转 情况和运转周期如材料采购、备件管理等。 ●历史项目问题 在制萣项目计划之前应该及时了解公司以前类似的项目信息,尤其需要注 意的是以往项目实施过程中出现的问题记录和解决方法即使公司沒有完备的电 子化数据库,也可以通过和以前参与项目人员的交谈了解更多公司以前项目的情 况 ●关于客户的信息
这里所说的客户,不僅仅是针对该项目的客户还包括公司历史项目的客户
第四章信息安全风险评估项目问题及对策
群体。通过了解公司的历史项目客户群忣公司以前和这些客户合作的情况,进 行横向比较分析当前所负责项目客户与历史项目客户的相同点和特殊性,从而 决定采取适合该客戶特点的项目管理方式为项目计划的制定做好基础工作。 ●关于其他公司的信息 在竞争激烈的今天项目经理应该了解自己所处的行业嘚市场情况,包括新 产品和新技术的发布竞争对手的情况,竞争对手的主要客户群信息通过了解
同行业其他公司在类似项目的实施过程情况,吸取其他公司的项目实施经验以 做成完善的项目计划。 ?项目组成员的信息 项目组每名成员都有其自身的特点在技术上都有长處和不足。作为项目经 理重要的是客观地直面、定义、分析每个项目成员的特点,然后找出一个合理 的调度方法尤其信息安全风险评估项目需要具有对业务非常过硬的技术人员,
如果项目经理发现在项目中的某些技术方面比较薄弱时项目经理除了通过多种 渠道充实自巳的知识之外,同时应该确保项目团队中拥有过硬的技术顾问或者技 术经理 在了解足够的
