信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性……,”信息中心安评部信息安全管理专责苏永东对信息安全风险评估这样认识,“通过安全风险评估,可对安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据……”
信息安全风险评估,一直是信息中心安评部工作的重中之重,“这是一种典型的防患于未然的重要举措,要做到让信息安全像阳光和空气一样,尽量让大家在工作中感受不到,我们要做的就是不让其出现缺失……” 信息中心安评部主任周靖这样看待信息安全。
去年开展的信息安全风险评估工作是对云南电网公司现有内网信息系统、新增的对外信息系统以及网络边界展开全面深入的风险评估,最终分析出云南电网公司信息安全风险总体状况。此次风险评估比往年更加注重应用安全,开展了业务流程仿真测试、渗透测试等评估工作。此次现场评估的时间为11个工作日,具体工作内容是系统调研表信息完善及核对、现有安全防护措施识别与分析,网络设备、安全设备及网络边界评估,主机、数据库、中间件、应用、终端核查,业务安全专项测试,漏洞扫描、木马检测,安全管理,渗透测试。
测评工作组通过测评,提出网络层存在20个风险点,应用层存在29个风险点和终端层有4个风险点。随后,中心安全测评部立即组织开展测评的整改工作。通过一个月的努力,在设备管理部、应用技术部和客户服务部的协作下,共同完成了2014年南网一体化风险评估的整改工作,网络层整改风险点20项、应用层整改风险点29项、终端层完成4个风险点的整改。
2015年,测评工作组再次来到信息中心开展回归测试工作。通过对网络设备、安全设备及网络边界,主机、数据库、中间件、应用、终端,漏洞、木马,渗透开展回归核查测试,确认所存在的所有风险点已全部完成整改,中心安全风险评估回归性测试一次性通过。
“通过这次信息安全风险评估、整改及回归性测试,我们全面发现、掌握了云南电网所面临的信息安全风险,进一步提升了信息安全保障能力和防护水平……”信息中心安评部主任周靖这样总结,“信息安全风险管理,就是要迅速、及时地应对所面临的网络安全威胁,将信息安全风险降到最低……”(刘玉婷)