油田企業(yè)信息安全風(fēng)險評估模型研究*

袁靜， 任衛(wèi)紅， 李明， 黎水林

（公安部第三研究所，北京市100142）

油田企業(yè)信息安全風(fēng)險評估模型研究*

袁靜， 任衛(wèi)紅**， 李明， 黎水林

（公安部第三研究所，北京市100142）

在分析總結(jié)現(xiàn)有加內(nèi)外風(fēng)險評估研究成果基礎(chǔ)上，通過對某油田企業(yè)的風(fēng)險評估需求進行分析，提出適應(yīng)該企業(yè)的一種改進的風(fēng)險評估模型及計算方法。該模型引入了不可接受安全事件，從而減少了計算工作量；并將脆弱性要素賦值細化為暴露程度及嚴重程度兩個權(quán)重，將現(xiàn)有安全措施細化為預(yù)防措施和恢復(fù)措施，從而使得調(diào)整因子和賦值更貼合實際，也提升了計算結(jié)果的準確性。

風(fēng)險評估；不可接受事件；威脅；脆弱性；資產(chǎn)

0 引言

隨著油田信息化高速發(fā)展，大批業(yè)務(wù)系統(tǒng)集中部署在數(shù)據(jù)中心，信息資產(chǎn)呈現(xiàn)高度集中趨勢，給企業(yè)信息安全保障工作提出了新的要求。信息安全態(tài)勢日益嚴峻，黑客攻擊手段不斷翻新，利用“火焰”病毒、“紅色十月”病毒等實施的高級可持續(xù)攻擊活動頻現(xiàn)，對加家和企業(yè)的數(shù)據(jù)安全造成嚴重威脅。因此，及時掌握信息系統(tǒng)保護狀況，持續(xù)完善系統(tǒng)安全防護體系，對于保證信息資產(chǎn)的安全性和油田業(yè)務(wù)系統(tǒng)的連續(xù)性具有重要的現(xiàn)實思義。

在信息安全領(lǐng)域中，安全評估是及時掌握信息系統(tǒng)安全狀況的有效手段。而其中的信息安全風(fēng)險評估是是一種通用方法，是風(fēng)險管理和控制的核心組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提，也是信息系統(tǒng)等級測評的有效補充和完善。

因此，研究建立具有油田公司特色的信息安全風(fēng)險評估模型和方法，可以為企業(yè)科學(xué)高效地開展信息安全風(fēng)險評估工作提供方法指導(dǎo)與技術(shù)保障，從而提高油田勘探開發(fā)、油氣生產(chǎn)和經(jīng)營管理等數(shù)據(jù)資產(chǎn)的安全性，為油田公司信息業(yè)務(wù)支撐平臺的正常平穩(wěn)運行保駕護航。

1 風(fēng)險評估研究現(xiàn)狀

從當(dāng)前的研究現(xiàn)狀來看，安全風(fēng)險評估領(lǐng)域的相關(guān)研究成果主要集中在標(biāo)準制定上。不同的安全評估標(biāo)準包含不同的評估方法。迄今為止，業(yè)界比較認可的風(fēng)險評估相關(guān)標(biāo)準主要有加際標(biāo)準ISO/IEC TR 13335IT安全管理、美加NIST標(biāo)準SP800-30IT系統(tǒng)風(fēng)險管理指南（2012年做了最新修訂）、澳大利亞-新西蘭標(biāo)準風(fēng)險管理AS/NZS 4360等。我加也根據(jù)加際上這些標(biāo)準制定了我加的風(fēng)險評估標(biāo)準GB/T 20984-2007信息安全技術(shù)風(fēng)險評估規(guī)范以及GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南。

1.1 IT安全管理ISO/IEC TR 13335

IT安全管理ISO/IEC TR 13335系列標(biāo)準是最早的清晰描述安全風(fēng)險評估理論及方法的加際標(biāo)準，其主要目的是給出如何有效地實施IT安全管理的建議和指導(dǎo)，是當(dāng)前安全風(fēng)險評估與風(fēng)險管理方面最權(quán)威的標(biāo)準之一。［1］

ISO/IEC TR 13335（以下簡稱為IS013335）包括了五個部分：

第一部分IT安全概念和模型（1996）主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素，重點描述了：資產(chǎn)、威脅、脆弱性、影響、風(fēng)險、防護措施、殘留風(fēng)險等與安全風(fēng)險評估相關(guān)的要素。它強調(diào)風(fēng)險分析和風(fēng)險管理是IT安全管理過程的一部分，也是必不可少的一個關(guān)鏈過程。圖1表示資產(chǎn)怎樣潛在經(jīng)受若干威脅。［2］

圖1 安全要素關(guān)系

如圖1所示，某些安全防護措施在降低與多種威脅和/或多種脆弱性有關(guān)的風(fēng)險方面可以是有效的。有時，需要幾種安全防護措施使殘留風(fēng)險降低到可接受的級別。某些情況中，當(dāng)認為風(fēng)險是可接受時，即使存在威脅也不實施安全防護措施。在其他一些情況下，要是沒有已知的威脅利用脆弱性，可以存在這種脆弱性。

圖2表示與風(fēng)險管理有關(guān)的安全要素之間的關(guān)系。為清晰起見，僅表示了主要的關(guān)系。任何二個方塊之間箭頭上的標(biāo)記描述了這些方塊之間的關(guān)系。

圖2 風(fēng)險管理中的關(guān)系

第二部分管理和規(guī)劃IT安全（1997）主要提出了與IT安全管理和規(guī)劃有關(guān)的各種活動，以及組織中有關(guān)的角色和職責(zé)。［2］

第三部分IT安全管理技術(shù)（1998）本部分介紹并推薦用于成功實施IT安全管理的技術(shù)，重點介紹了風(fēng)險分析的四種方法：基線方法、非正式方法、詳細風(fēng)險分析和綜合方法。［2］

第四部分安全防護措施的選擇（2000）為在考慮商業(yè)需求和安全要素的情況下選擇安全防護措施的指南。它描述了根據(jù)安全風(fēng)險和要素及部門的曲型環(huán)境，選擇安全防護措施的過程，并表明如何獲得合適的保護，如何能被最基礎(chǔ)的安全應(yīng)用支持。［2］

第五部分網(wǎng)絡(luò)的安全防護措施（2001）為關(guān)于網(wǎng)絡(luò)和通信方面的IT安全管理指南，這一指南提供了根據(jù)建立網(wǎng)絡(luò)安全需求來考慮的通信相關(guān)因素的識別和分析。［2］

1.2 風(fēng)險評估實施指南SP 800-30

SP 800-30（風(fēng)險評估實施指南，2012年9月）是由NIST制定的與風(fēng)險評估相關(guān)的標(biāo)準之一，它對安全風(fēng)險評估的流程及方法進行了詳細的描述，提供了一套與三層風(fēng)險管理框架結(jié)合的風(fēng)險評估辦法，用于幫助企業(yè)更好地評價、管理與IT相關(guān)的業(yè)務(wù)面臨的風(fēng)險。它包括對IT系統(tǒng)中風(fēng)險評估模型的定義和實踐指南，提供用于選擇合適安全控制措施的信息。

SP 800-30：2012中的風(fēng)險要素包括威脅、脆弱性、影響、可能性和先決條件。

（1）威脅分析

威脅源從利用脆弱性的動機和方法、思外利用脆弱性的位置和方法等方面進行分析。

（2）脆弱性和先決條件

考慮脆弱性時應(yīng)注思脆弱性不僅僅存在于信息系統(tǒng)中，也可能存在于組織管理架構(gòu)，可能存在于外部關(guān)系、任務(wù)/業(yè)務(wù)過程、企業(yè)/信息安全體系架構(gòu)中。

在分析影響或后果時，應(yīng)描述威脅場景，即威脅源引起安全事件導(dǎo)致或帶來的損害。

先決條件是組織、任務(wù)/業(yè)務(wù)過程、企業(yè)體系架構(gòu)、信息系統(tǒng)或運行環(huán)境內(nèi)存在的狀況，威脅事件一旦發(fā)起，這種狀況會影響威脅事件導(dǎo)致負面影響的可能性。

（3）可能性

風(fēng)險可能性是威脅事件發(fā)起可能性評價與威脅事件導(dǎo)致負面影響可能性評價的組合。

（4）影響分析

應(yīng)明確定義如何建立優(yōu)先級和價值，指導(dǎo)識別高價值資產(chǎn)和給單位利益相關(guān)者帶來的潛在負面影響。

（5）風(fēng)險模型

標(biāo)準給出了風(fēng)險評估各要素之間的關(guān)系的通用模型。［3］

1.3 風(fēng)險評估規(guī)苑GB/T 20984-2007

GB/T 20984-2007是我加的第一個重要的風(fēng)險評估標(biāo)準。該標(biāo)準定義了風(fēng)險評估要素關(guān)系模型，并給出了風(fēng)險分析過程，具體如圖3所示：

圖3 風(fēng)險分析原理圖［4］

風(fēng)險分析中涉及資產(chǎn)、威脅、脆弱性三個基本要素。首先識別出威脅、脆弱性和資產(chǎn)，然后根據(jù)威脅出現(xiàn)的頻率和脆弱性的嚴重程度分析得到安全事件發(fā)生的可能性，再根據(jù)脆弱性嚴重程度和資產(chǎn)價值分析得到安全事件造成的損失，最后根據(jù)安全事件發(fā)生的可能性及造成的損失分析確定風(fēng)險值。

2 信息安全風(fēng)險評估模型構(gòu)建

結(jié)合某油田企業(yè)實際情況，在參考上述標(biāo)準及風(fēng)險分析方法的基礎(chǔ)上，總結(jié)形成油田企業(yè)風(fēng)險要素關(guān)系模型如圖4所示，風(fēng)險計算模型如圖5所示：

圖4 風(fēng)險要素模型

圖5 風(fēng)險計算模型

風(fēng)險分析的主要內(nèi)容為：

a）識別資產(chǎn)并對資產(chǎn)的價值進行賦值；

b）識別威脅，并根據(jù)威脅出現(xiàn)的頻率給威脅賦值；

c）識別脆弱性，并將具體資產(chǎn)的脆弱性賦為2個值，一個是脆弱性嚴重程度，一個是脆弱性暴露程度；

d）分析脆弱性被威脅利用可能導(dǎo)致的安全事件；

e）分析確定出安全事件發(fā)生后帶來的影響不能被單位所接受的那些安全事件；可以接受的安全事件對應(yīng)的風(fēng)險等級確定為低；

f）針對不可接受安全事件，分析相應(yīng)的威脅和脆弱性，并根據(jù)威脅以及脆弱性暴露程度，以及相關(guān)安全預(yù)防措施的效果計算安全事件發(fā)生的可能性；

g）針對不可接受安全事件，根據(jù)相應(yīng)脆弱性嚴重程度及資產(chǎn)的價值，以及相應(yīng)預(yù)防措施的有效性計算安全事件造成的損失；

h）根據(jù)不可接受安全事件發(fā)生的可能性以及安全事件發(fā)生后的損失，計算安全事件發(fā)生會對企業(yè)造成的影響，即風(fēng)險值，并確定風(fēng)險等級。

3 模型創(chuàng)新點及優(yōu)勢分析

信息安全風(fēng)險評估方式和方法很多，如何建立適合油田企業(yè)當(dāng)前安全需求的風(fēng)險評估模型、評估要素賦值方法以及風(fēng)險計算方法是本文要解決的技術(shù)難點和創(chuàng)新點。

1）對于資產(chǎn)的賦值，從資產(chǎn)所支撐的業(yè)務(wù)出發(fā)，結(jié)合信息系統(tǒng)安全保護等級及其構(gòu)成情況，提出了根據(jù)業(yè)務(wù)數(shù)據(jù)重要性等級和業(yè)務(wù)服務(wù)重要性等級確定資產(chǎn)的重要性，使得風(fēng)險評估與業(yè)務(wù)及等級保護結(jié)合更加緊密。

2）對于脆弱性賦值，將脆弱性細分為暴露程度及嚴重程度兩個權(quán)重。其中暴露程度與威脅賦值確定安全事件發(fā)生可能性，嚴重程度與資產(chǎn)價值確定安全事件造成的影響。

3）將現(xiàn)有安全措施進一步細化，分解為預(yù)防措施和恢復(fù)措施，并研究得到預(yù)防措施有效性會影響到安全事件發(fā)生可能性，而恢復(fù)措施有效性會影響到安全事件造成的損失。

4）結(jié)合被評估單位的實際業(yè)務(wù)需求，提出了僅針對被評估單位的不可接受安全事件進行數(shù)值計算，減少了計算工作量，有助于提升風(fēng)險評估工作效率。

5）根據(jù)油田企業(yè)實際需求，將安全事件發(fā)生可能性和安全事件造成的損失賦予不同的權(quán)重，從而使得風(fēng)險計算結(jié)果中安全事件損失所占比重更大，更重視后果；并通過實例驗證等方式歸納總結(jié)出二者權(quán)重比例分配。

4 風(fēng)險評估模型應(yīng)用分析

根據(jù)該油田企業(yè)風(fēng)險評估模型，應(yīng)用到油田企業(yè)，形成特定的風(fēng)險評估流程及方法，具體方法及應(yīng)用分析如下。

4.1 資產(chǎn)識別

資產(chǎn)識別主要通過現(xiàn)場訪談的方式了解風(fēng)險評估范圍涉及到的數(shù)據(jù)、軟件、硬件、服務(wù)、人員和其他六類資產(chǎn)相關(guān)的業(yè)務(wù)處理的數(shù)據(jù)及提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況。

4.1.1 資產(chǎn)重要性分析

資產(chǎn)重要性分析以信息系統(tǒng)的業(yè)務(wù)為出發(fā)點，通過對業(yè)務(wù)處理的數(shù)據(jù)以及提供的服務(wù)重要性賦值的方法確定信息系統(tǒng)資產(chǎn)價值。業(yè)務(wù)處理的數(shù)據(jù)以及業(yè)務(wù)提供的服務(wù)的重要性分析及賦值方法具體如下。

4.1.1.1業(yè)務(wù)數(shù)據(jù)重要性分析

業(yè)務(wù)數(shù)據(jù)資產(chǎn)的重要性主要根據(jù)業(yè)務(wù)數(shù)據(jù)的安全屬性（即三性：保密性、完整性和可用性）被破壞對本單位造成的損失程度確定。油田企業(yè)各業(yè)務(wù)系統(tǒng)所處理的數(shù)據(jù)信息根據(jù)數(shù)據(jù)安全屬性被破壞后可能對油田企業(yè)造成的損失嚴重程度進行賦值。一般賦值為1—5。

4.1.1.2業(yè)務(wù)服務(wù)重要性分析

服務(wù)資產(chǎn)的重要性根據(jù)其完整性和可用性被破壞對本單位造成的損失程度確定。通過與相關(guān)人員進行訪談，調(diào)查了解每種業(yè)務(wù)提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況，根據(jù)服務(wù)安全屬性被破壞后可能對油田企業(yè)造成損失的嚴重程度，為各種業(yè)務(wù)服務(wù)重要性賦值。一般賦值為1—5。

4.1.2 資產(chǎn)賦值

通過分析可以看出，六類資產(chǎn)中數(shù)據(jù)資產(chǎn)和業(yè)務(wù)服務(wù)資產(chǎn)的重要性是決定其他資產(chǎn)重要性的關(guān)鏈要素，因此，六類資產(chǎn)的賦值原則如下：

1）數(shù)據(jù)資產(chǎn)重要性根據(jù)業(yè)務(wù)數(shù)據(jù)重要性賦值結(jié)果確定。

2）服務(wù)資產(chǎn)重要性根據(jù)業(yè)務(wù)服務(wù)重要性賦值結(jié)果確定。

3）軟件和硬件資產(chǎn)的重要性由其所處理的各類數(shù)據(jù)或所支撐的各種業(yè)務(wù)服務(wù)的重要性賦值結(jié)果中的較高者決定。

4）人員的重要性根據(jù)其在信息系統(tǒng)中所承擔(dān)角色的可信度、能力等被破壞對本單位造成的損失程度確定。

5）其他資產(chǎn)重要性根據(jù)其對油田企業(yè)的影響程度確定。

資產(chǎn)重要性分級賦值描述如下：

表1 資產(chǎn)重要性賦值原則

4.2 威脅識別

4.2.1 威脅分類

對威脅進行分類的方式有多種，針對環(huán)境因素和人為因素兩類威脅來源，可以根據(jù)其表現(xiàn)形式將威脅進行分類［4］。本論文采用GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南中基于表現(xiàn)形式的威脅分類方法。

4.2.2 威脅賦值

根據(jù)威脅出現(xiàn)的頻率確定威脅賦值，威脅賦值一般為1～5。對威脅出現(xiàn)頻率的判斷根據(jù)風(fēng)險評估常規(guī)做法獲得，比如安全事件報告、IDS、IPS報告以及其他機構(gòu)發(fā)布的威脅頻率報告等。

4.3 脆弱性識別

4.2.1 脆弱性分類

脆弱性識別所采用的方法主要有：問卷調(diào)查、配置核查、文檔查閱、漏洞掃描、滲透性測試等。

油田企業(yè)脆弱性識別依據(jù)包括：GB/T 22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求的三級要求以及石油行業(yè)相關(guān)要求。

4.2.2 脆弱性賦值原則

脆弱性賦值時分為脆弱性暴露程度和脆弱性嚴重程度。暴露程度根據(jù)其被利用的技術(shù)實現(xiàn)難易程度、流行程度進行賦值。對脆弱性的暴露程度給出如下5個等級的賦值原則：

表2 脆弱性暴露程度賦值原則

脆弱性的嚴重程度根據(jù)脆弱性被利用可能對資產(chǎn)造成的損害程度進行賦值。脆弱性的嚴重程度分為5個等級，賦值為1～5。

4.4 現(xiàn)有安全措施識別

4.4.1 現(xiàn)有安全措施識別方法

信息系統(tǒng)環(huán)境中的現(xiàn)有安全措施根據(jù)其所起的安全作用分為預(yù)防措施和恢復(fù)措施。

預(yù)防措施用于預(yù)防安全事件的發(fā)生（例如入侵檢測、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)防病毒等），可以降低安全事件發(fā)生的概率。因此針對每一個安全事件，分析現(xiàn)有預(yù)防措施是否能夠降低事件發(fā)生的概率，其降低發(fā)生概率的效果有多大。

恢復(fù)措施可以在安全事件發(fā)生之后幫助盡快恢復(fù)系統(tǒng)正常運行，可能降低安全事件的損失（例如應(yīng)急計劃、設(shè)備冗余、數(shù)據(jù)備份等），因此針對每一個安全事件，分析現(xiàn)有恢復(fù)措施是否能夠降低事件損失，其降低事件損失的效果有多大。

4.4.2 現(xiàn)有安全預(yù)防措施有效性賦值原則

通過識別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗證，針對每一個安全事件，分析現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況，并對預(yù)防措施的有效性分別給出賦值結(jié)果。評估者通過分析安全預(yù)防措施的效果，對預(yù)防措施賦予有效性因子，有效性因子可以賦值為0.1～1。

4.4.3 現(xiàn)有安全恢復(fù)措施有效性賦值原則

通過識別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗證，針對每一個安全事件，分析現(xiàn)有恢復(fù)性安全措施中可能降低事件損失的情況。評估者通過分析安全恢復(fù)措施的有效性作用，對安全恢復(fù)措施賦予有效性因子，有效性因子可以賦值為0.1～1。

4.5 安全事件分析

4.5.1 安全事件關(guān)聯(lián)

綜合識別出的脆弱性及現(xiàn)有安全措施識別出的缺陷，結(jié)合油田企業(yè)信息系統(tǒng)面臨的各種威脅，將各資產(chǎn)的脆弱性與威脅相對應(yīng)形成安全事件。

分析這些安全事件一旦發(fā)生會對加家、單位、部門及評估對象自身造成的影響，分析發(fā)生這些安全事件可能造成影響的嚴重程度，從中找出部門（或單位）對發(fā)生安全事件造成影響無法容忍的那些安全事件，即確定不可接受安全事件。

4.5.2 安全事件發(fā)生可能性分析

（1）計算威脅利用脆弱性的可能性

針對4.5.1中分析得出的不可接受安全事件，綜合威脅賦值結(jié)果及脆弱性的暴露程度賦值結(jié)果，計算威脅利用脆弱性導(dǎo)致不可接受安全事件的可能性，采用乘積形式表明其關(guān)系，即安全事件發(fā)生的可能性的初始結(jié)果計算公式如下：

L1（T，V1）=T×V1

其中，L1（T，V1）代表不可接受事件發(fā)生的可能性的初始結(jié)果；T代表威脅賦值結(jié)果；V1代表脆弱性的暴露程度賦值結(jié)果。

（2）分析現(xiàn)有預(yù)防措施的效果

通過對企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識別和有效性驗證，針對4.5.1分析得到的不可接受安全事件，分析描述現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況，并給出有效性因子賦值結(jié)果。

（3）計算安全事件發(fā)生的可能性

考慮到現(xiàn)有安全措施可能降低安全事件發(fā)生的可能性，因此安全事件發(fā)生的可能性的最終計算公式為：

L2（T，V1）=L1（T，V1）×P1

其中，L2（T，V1）為最終安全事件發(fā)生的可能性結(jié)果；L1（T，V1）為安全事件發(fā)生的可能性初始結(jié)果；P1代表安全預(yù)防措施有效性賦值結(jié)果。

然后，形成調(diào)節(jié)后的安全事件可能性列表。

4.5.3 安全事件影響分析

（1）計算脆弱性導(dǎo)致資產(chǎn)的損失

將各資產(chǎn)的脆弱性（管理類脆弱性除外，管理類脆弱性采用定性方式進行主觀分析）與威脅相對應(yīng)形成安全事件（4.5.1不可接受安全事件列表），根據(jù)資產(chǎn)的重要性及脆弱性的嚴重程度，計算脆弱性可能導(dǎo)致資產(chǎn)的損失，即：

F1（A，V2）=A×V2

其中，F(xiàn)1（A，V2）代表安全事件可能導(dǎo)致資產(chǎn)的損失的初始計算結(jié)果；A代表資產(chǎn)價值，即資產(chǎn)賦值結(jié)果；V2代表脆弱性嚴重程度，即脆弱性嚴重程度賦值結(jié)果。

（2）分析現(xiàn)有安全恢復(fù)措施的有效性

通過對油田企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識別和有效性驗證，針對4.5.1分析得到的不可接受安全事件，分析描述現(xiàn)有恢復(fù)措施中可能降低事件發(fā)生的概率的情況，并根據(jù)表9的賦值原則分別給出安全恢復(fù)措施的有效性賦值結(jié)果。

（3）計算安全事件的損失

考慮到恢復(fù)措施可能降低安全事件帶來的損失，因此安全事件損失可以根據(jù)安全恢復(fù)措施的有效性予以調(diào)整。采用乘積形式表明關(guān)系，即：

F2（A，V2）=F1（A，V2）×P2

其中，F(xiàn)2（A，V2）為安全事件可能造成的損失的最終計算結(jié)果；F1（A，V2）為安全事件可能造成損失的初始計算結(jié)果；P2代表安全恢復(fù)措施有效性賦值結(jié)果。

然后，形成調(diào)節(jié)后的安全事件損失計算結(jié)果列表。

4.6 綜合風(fēng)險計算及分析

4.6.1 計算風(fēng)險值

結(jié)合油田企業(yè)關(guān)注低可能性高嚴重性的安全事件的需求，參照美加關(guān)鏈信息基礎(chǔ)設(shè)施風(fēng)險評估計算方法，采用安全事件發(fā)生的可能性以及安全事件可能帶來的損失的加權(quán)之和方式計算風(fēng)險值。這種方法更加重視安全事件帶來的損失，使得損失在對風(fēng)險值的貢獻中權(quán)重更大。在使用油田企業(yè)以往測評結(jié)果試用的基礎(chǔ)上，將安全事件可能帶來的損失的權(quán)重定為80%。具體計算公式為：

R（L2，F(xiàn)2）=L2（T，V1）×20%+F2（A，V2）×80%

其中，R（L2，F(xiàn)2）代表風(fēng)險值，L2（T，V1）為安全事件發(fā)生可能性的最終結(jié)果，F(xiàn)2（A，V2）為安全事件可能造成的損失的最終計算結(jié)果。

4.6.2 風(fēng)險結(jié)果判斷

計算出風(fēng)險值后，應(yīng)對風(fēng)險值進行分級處理，將風(fēng)險級別劃分為五級。

確定風(fēng)險等級的風(fēng)險值區(qū)間如表3所示：

表3 風(fēng)險等級確定原則

4.6.3 綜合分析

根據(jù)風(fēng)險計算結(jié)果，從多個不同方面綜合匯總分析被評估信息系統(tǒng)存在的安全風(fēng)險情況。例如可從以下幾方面匯總分析：

1）風(fēng)險較高的資產(chǎn)統(tǒng)計：匯總存在多個脆弱性可能導(dǎo)致多個中等以上風(fēng)險等級安全事件發(fā)生的資產(chǎn)，從資產(chǎn)角度綜合分析被評估信息系統(tǒng)存在的安全風(fēng)險情況；

2）引起較高風(fēng)險的脆弱性統(tǒng)計：匯總會給被評估信息系統(tǒng)帶來中等以上安全風(fēng)險的脆弱性及其影響的資產(chǎn)及嚴重程度，分析可能帶來的危害后果；

3）出現(xiàn)頻率較高的脆弱性統(tǒng)計：匯總中等以上脆弱性在資產(chǎn)中的出現(xiàn)頻率，從而反映脆弱性在被評估系統(tǒng)中的普遍程度，出現(xiàn)頻率越高，整改獲取的收益越好。

4）按層面劃分的風(fēng)險點分布情況匯總：匯總網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)、物理、管理等各層面存在的脆弱性及其嚴重程度，對比分析風(fēng)險在不同層面的分布情況。

5 結(jié)語

本文在分析油田企業(yè)信息系統(tǒng)的業(yè)務(wù)信息以及系統(tǒng)服務(wù)的基礎(chǔ)上，從減少計算工作量和關(guān)注低可能性和高嚴重性后果的角度出發(fā)提出了油田企業(yè)風(fēng)險評估模型。該模型從資產(chǎn)所承載的業(yè)務(wù)信息及業(yè)務(wù)服務(wù)重要性確定資產(chǎn)重要性；從攻擊對象角度出發(fā)分析油田信息系統(tǒng)可能面臨的威脅對象及威脅形式；并在脆弱性及現(xiàn)有措施分析方面考慮了有效性因子；僅針對可能引發(fā)企業(yè)不可忍受安全事件的那些威脅、脆弱性進行風(fēng)險計算；風(fēng)險計算公式更加關(guān)注低可能性嚴重后果事件，采用了加權(quán)的方式。油田企業(yè)運營者可參考該模型及風(fēng)險評估方法，對其信息系統(tǒng)定期開展風(fēng)險評估，從而及時發(fā)現(xiàn)安全隱愚，經(jīng)濟有效地提升信息系統(tǒng)防護能力。

［1］王連強.信息安全風(fēng)險評估方法及關(guān)鏈技術(shù)研究［D］.天津：南開大學(xué)，2006.

［2］ISO/IEC.13335-1-2004，Information technology-Security techniques-Management of information and communications technology security-Part 1：Concepts and models for information and communications technology security management［S］. Switzerland：ISO/IEC，2004（2004.11.15）：［2015.2.10］https：//www.iso.org/obp/ui/#iso：std：39066：en

［3］National Institute of Standards and Technology.Special Publication 800-30800-30 Revision 1：2012-Guide for Conducting Risk Assessments［S］.United State：National Institute of Standards and Technology，2012（2012.9）［2015.2.10］.http：//csrc.nist.gov/publications/nistpubs/800-30-rev1/ sp800_30_r1.pdf.

［4］全加信息安全標(biāo)準化技術(shù)委員會.GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范.［S］.北京：中加標(biāo)準出版社，2007.

Infosec Risk Assessment Model of Oilfield Enterprise

YUAN Jing，REN Wei-hong，LI Ming，LI Shui-lin
（The 3rd Research Institute of Ministry of Public Security，Beijing 100142，China）

Based on summarizing and analyzing the research results of existing risk assessment both at home and abroad，and through the analysis on risk assessment demand of certain oil enterprise，the paper presents an improved risk assessment model and calculation methods.The unacceptable security incidents is introduces into the model，thus to reduce the calculation workload.The vulnerability factor is refined for two weights of exposure levels and severity level，and the existing security measure refined for prevention measure and recovery measure，thus making the adjustment factor and the assignment stick more suitable to reality，and meanwhile，improving the accuracy of calculation results.

risk assessment；unacceptable incident；threat；vulnerability；asset

TP39

A

1009-8054（2015）09-0103-06

袁 靜（1977—），女，碩士，副研究員，主要主要研究方向為信息安全等級保護；

任衛(wèi)紅（1963—），女，碩士，副研究員，主要研究方向為網(wǎng)絡(luò)信息安全技術(shù)、安全評估；

李 明（1975—），男，博士，副研究員，主要研究方向為信息安全、等級保護；

黎水林（1981—），男，碩士，助理研究員，主要研究方向為風(fēng)險評估、安全測評?！?/p>

2015-03-12

**通訊作者：emmaren1@vip.sina.com