油气勘探开发类信息系统安全风险评估方法探析

＜　ＳＹＳ　ＳＥＣＵＲＩＴＹ　系统安全　；由气勘探开发类信息系统安全风险评估方法探析　◆付庆华　朱建力　王卫国仉潮　张忱　摘要：随着计算机技术在勘探开发领域中应用规模的不断增长，承载大　规模并行计算的地震资料处理系统、解释系统的信息安全问题日益突出。识　别系统中存在的运行风险及风险发生时对业务造成的损害，将成为系统主管　部门采取必要安全措施的重要依据。本文借鉴国家信息安全风险评估规范中　的相关要求，结合勘探开发类信息系统自身特点，提出一种风险识别模型与　风险等级计算方法，该方法具有一定的科学性、可操作性及准确性。　关键词：信息安全；信息系统风险；风险评估；地震资料处理系统；地　震解释系统　Ｖａ＝Ｒ＋Ｂ＋Ｃ＋Ｉ＋Ａ　一、引言　Ｖａ为信息等级值，Ｒ为系统使用范围，Ｂ为承载业　勘探开发类信息系统按应用性质可分为以下三类：　１科研生产信息系统，如各类地震资料处理系统、地震　解释系统；２实验、攻关项目信息系统，如地震开发平　台、采油模拟系统；３网络版软件认证系统，如地质成　务的重要性，Ｃ为数据保密性等级，Ｉ；ｇＪ数据完整性等　级，Ａ为系统可用性等级。　系统使用范围按使用人数分为大、中、小三级，　分别赋值为５，３，１；承载业务重要性按集团公司、研　究院、部门三级行政级别和是否为核心业务系统来划分　图认证系统。第一类系统是地质、物探主力生产系统，　该类信息系统数据处理量大，成果数据完整保密，系统　可用性要求较高。第二类系统数据量适中，数据无保　为极高、高、中、低，分别赋值为７、５、３、１；数据保　密性根据集团公司保密规定，分为绝密、秘密、公开三　级，分别赋值５、３、１；数据完整性分为高、中、低，　密，数据完整性要求高，可用性要求较低。第三类系统　数据量小，数据无保密，用户众多且分散，但系统可用　性要求最高。　高级是指未经授权的信息修改或破坏会对研究院业务或　部门核心业务造成重大影响，且较难弥补；中级指未经　识别目前勘探开发类信息系统运行中存在的风险　及隐患，可提示我们采取适当技术和管理措施，降低风　授权的信息修改或破坏会对部门核心业务造成一般影　响，但可以弥补。低级指未经授权的信息修改或破坏会　对研究院或部门辅助业务造成影响，但可以弥补。完整　性赋值分别为５、３、１；数据可用性等级按合法使用者　对信息系统每天使用度百分比来衡量，每天可使用度达　９０％以上为高，达６０％以上为中，达２５％以上为低。　险发生的可能性及造成的损害，进而保护企业信息化投　资，保障科研生产业务的正常有序运行。　二、信息系统重要性识别与等级划分　通常，我们通过信息系统所承载业务信息的保密　例如：科研生产类信息系统中的某地震解释系统，　它的系统使用范围为大，赋值５；承载业务的重要性为　性、完整性、可用性等属性来确定一个信息系统的资产　价值高低，秘密级别高，且完整性、可用性要求高的信　中，赋值３；反映资产价值的数据保密性、完整性、可　息系统资产价值也高，即系统重要性等级也高。但在实　际信息系统等级划分时，我们还综合考虑所承载的业务　范围、业务重要性这两项客观因素。业务范围反映了信　用性赋值分别为１、３、５。根据以上计算公式可得到该　地震解释系统的重要性等级值为１７。因信息系统重要性　等级值是下一步风险值计算中的一个重要指标，因此按　表１再做等级化处理。　通过对信息系统使用者、建设专家、运维部门负责　人沟通访谈、调研分析、横向比较，可得到信息系统５　息系统应用规模，规模大的信息系统，当风险转变成安　全事件时，造成的影响面也广。业务重要性直观反映信　息系统的重要性。所以这两项因素在系统等级评估中占　有重要地位。具体评估与计算方法如下：　７６　信息系统Ｔ程ｌ　２０１３１　２０　项指标的全部赋值，并最终计算出信息系统的重要性等　表１信息系统重要性等级值与等级对应表　等级值　２０　以　１９一ｌ３　１２．６　５　以　上　下　重要性等级　极高　向　一　由　低　重要性等级赋　４　３　２　１　值　级。　三、风险识别模型　信息系统所受到的威胁来自环境因素和人为因素两　方面。脆弱性是资产本身存在的，被威胁所利用，造成　对信息资产的损害。如果信息系统足够强健，威胁不会　导致安全事件发生，并对组织造成损失。即威胁总是要　利用资产的脆弱性才可能造成危害。　信息系统风险是指人为或自然的威胁利用信息系统　及其管理体系中存在的脆弱性对信息资产、企业业务造　成破坏的可能性。参照国家《信息安全技术信息安全风　险评估规范》及《信息系统安全等级保护基本要求》相　关标准，可建立以下勘探开发类信息系统风险识别模型　如图１，该模型从横向与纵向两个维度进行分析，横向　包括管理流程、技术服务、人员安全、系统自身、物理　环境，自然灾害等方面，纵向从系统的设计、开发、实　施、运行等全生命周期进行考量。不同阶段考虑的重点　方向将不同，图中灰色部分标注出不同阶段需重点评估　的角度。例如在信息系统的全生命周期中管理流程中的　风险都是我们要重点评估的方向。按这样的层次设计模　型，有针对性地采用专家访谈、文档检查、技术工具测　评等手段，可全面地识别出信息系统存在的风险。　以某地震解释系统风险识别为例，运用以上方法，　我们识别出系统存在的ｌ３个风险。其中，在设计、开发　阶段系统自身存在以下缺陷：新增或扩容应用系统项目　缺乏详尽的方案设计、可行性论证、信息安全需求、常　规安全策略部署等内容，使系统在架构、软件程序中存　在天然的技术弱点，在以后的运行中逐渐暴露，并带来　故障和不安全隐患。　废弃阶段　运维阶段　实施阶段　开发阶段　设计阶段　管理流程技术服务人员安全系统自身物理环境自然灾害　图１风险识别模型　ＳＹＳ　ＳＥＣＵＲＩＴＹ　系统安全　＞　四、风险等级评估方法　风险等级评估模型如图２，风险等级评估计算中需　充分考虑资产的重要性等级、风险发生的可能性、风险　造成的影响性、现有安全措施的有效性等因素。对这些　因素的不同等级进行量化定义，再经过指标计算公式可　最终评估出风险等级。　４．１风险发生可能性赋值定义。威胁和系统的脆弱　性程度决定了风险转变成信息安全事件的可能性，即　风险发生的可能性。按风险发生可能性的８０％、６０％、　３０％、１０％、０．５％分别赋值５、４、３、２、１。　图２风险等级评估　由具有资深管理经验和技术经验的信息系统专家，　按以上定义对信息系统风险可能性进行赋值。　４．２影响度赋值定义。过去，信息系统损害程度是　根据风险发生的可能性及资产的重要等级经矩阵计算得　出的，该方法繁琐且系统重要性等级对风险值影响效果　体现不明显。为了更加直观地判断损害程度，我们按业　务停顿时间及数据恢复难易来区分业务影响度。而信息　系统的重要性等级将直接作为风险值计算指标。影响度　赋值定义如下：当依赖该系统的业务将全部停止８４，时　以上，并且没有其他替代方法，或系统中数据全部遭到　破坏，且难以恢复时，影响度赋值５；当依赖该系统的　业务将全部停止４小时以上或部分业务停止８ＩＪ，时以上，　并且没有其他替代方法，或系统中的数据部分遭到破　坏，且短时间内难以恢复时，影响度赋值为４；依赖该　系统的非核心业务将停止４小时以上；或系统中的数据　部分遭到破坏，且２４ｓＪ￣时内可以恢复时，影响度赋值为　３；当依赖该系统的非核心业务将停止２小时以上，系统　中的数据部分遭到破坏，且８ＩＪ，时内可以恢复时，影响　度赋值为２；当风险造成系统运行不稳定，有故障隐患　时，影响度赋值为１。　４．３现有措施有效性赋值定义。针对应用系统面临　的各种风险，现在采取了哪些措施，以及这些措施的　有效性如何，按如下定义：措施有效性为８０％，赋值为　ｌ；措施有效性为５０％，赋值２；没有措施，赋值为３。　４．４风险值计算及等级评估。综合分析信息系统重　信息系统工程ｆ　２０１３．１．２Ｏ　７７　＜　。　ＳＹＳ　ＳＥＣＵＲＩＴＹ　系统安全　要性等级、面临威胁发生的可能性、造成的影响及现有　措施的有效性等四方面指标，赋值后的指标相乘即得出　风险值。为了便于组织对不同风险采取不同的安全策　略，对风险值再进一步做等级化处理，如表２。　风险值计算公式如下：　Ｚ＝Ｖａ＊Ｉ＊Ｄ　Ｍ　减小，风险级别也降到了中低以下。　五、结束语　风险评估的结果提示系统主管部门确定风险处置　策略与办法，以降低不可接受的高风险发生的可能性和　影响。油气田勘探开发信息系统按以下原则进行风险处　ｚ为风险值，ｖａ为系统重要性等级，Ｉ为威胁发生的　可能性，Ｄ为造成的影响性，Ｍ为现有措施的有效性。　表２风险值与风险等级对照表　置：科研生产类信息系统的中、高风险将造成核心业务　停顿，是不可接受的风险；实验、攻关项目信息系统与　软件认证类系统的高风险是不可接受风险。这些风险必　须采取有效处置办法。在制定处置办法时应综合考虑风　险控制成本与风险造成的影响，提出一个可接受的风险　范围。　咖　下　风险值　１００以上　９９．７０　６９．４０　３９　以　风险等　极高风　高风险　中风险　低风险　级　险　参考文献　【１］ＧＢ／Ｔ　２０９８４—２００７，信息安全技术信息安全风险评估规范［ｓ】．　还以科研生产类信息系统中某地震解释系统为例，　我们对识别出来的１３个风险进行了可能性、影响度、系　统重要等级及现有措施有效性指标赋值，并计算出各风　求　【２］ＧＢ／Ｔ　２２２３９—２００８，信息系统安全等级保护基本要求【ｓ】．　［３］ＩＳＯ／ＩＥＣ　２００００—１，信息技术服务管理Ｐａｎ１服务管理体系要　［４１４￣维栋．Ｉｓｏ２（）（）０Ｈ０认证与实践【Ｍ】清华大学出版社，２０１０．　险的风险值。其中系统升级及重大变更管理控制缺乏的　风险为极高风险，在历史上都发生过该类信息安全事　件。风险识别后经过管理流程改进，该系统的风险数量　（作者单位：中国石油勘探开发研究院计算所）　（上接８５页）　７．网络及应用系统应急响应方案和体系的建立。在　一的解决方案，建产一个完整的、立体和多层次的安防体　系。当然，就电力企业信息网络安全而言，做到上述这　个安全、可靠的信息网络系统中，必须拥有一套完善　的应急响应方案，并根据方案不定期地模拟各种可能出　些仍是不够的，针对不断出现的新的问题需要我们的不　断研究和改进，通过不断的发现问题、修正问题，信息　网络的安全性也会不断的增强。　参考文献　［１］薛惠锋，邢书宝，吴慧欣，等信息安全系统工程【Ｍ］．国Ｄ＿ｒ－＆出　版社．２００８．　现的故障来进行应急演练，从而发现问题并找到相应的　解决方案，不断提高信息网络的可靠性和安全性。　在当前的电力企业中，部分县级供电企业已建立了　应急响应方案，但均较为笼统，千篇一律，没有反应本　局的实际情况。因此，迫切需要根据本局的实际现状建　酾　立一套符合自身实际情况的应急预案，来提高信息网络　系统的安全性。　［２１张基温信息系统安全原理［Ｍ】冲国水利水电出版社，２００５．　［３】曹天杰．计算机系统安全教程［Ｍ】靖华大学出版社，２０１０．　［４］张世永＿网络安全原理与应用『Ｍ１．科学出版社，２００３．　８．信息机房环境安全。当前电力企业的信息网络机　房大都进行了新建或整改，从总体上来看，机房的环境　要比前几年有较大的改善，但仍存在这较大的不足。这　里所指的信息机房安全主要包括ＵＰＳ供配电系统、空调　新风系统、防雷接地系统、监控系统和安全消防系统。　（作者单位：浙江省电力公司余姚市供电局）　五、总结　本文根据当前县级供电企业的信息网络现状，从　影响信息网络安全的方方面面着手，尝试着提出一整套　７８　信息系统工程｛２０１３．１．２０