论系统的安全风险评估
摘要
2005年3月,我参加了某石化公司的实验室信息管理系统项目的开发工做,该系统做为该石化公司产品质量信息管理平台,
将实验室的自动化分析仪器与计算机网络进行联结,实现自动采集样品分析数据以及对样品检验过程、实验室资源进行严格管
理,实现从原料进厂、生产、中间控制直至成品出厂的全过程质量数据管理,以及全公司范围內质量数据的快速传递与共享.我
做为项目负责人,负责项目实施中的项目管理工做和系统投运后的运行维护工做.
为了作好系统的开发和应用,必须对系统将面临的安全风险进行评估.我在系统的安全风险评估方面釆取了以下措施:分析
现有业务流程和新系统信息流的安全因素,作好安全风险分析;创建安全风险评估标准,对安全风险评估分级、分类;在信息
系统的各个阶段,反复对安全风险进行评估.系统在12月底经过製收,在两年多的运行期间,没有发生重大安全同题,系统建
设、运行中的安全风险评估起了很大做用.
正文
2005年3月,我参加了某石化公司的实验室信息管理系统(如下简称LUIS, Laboratory Information Manaje Bent
System)项目的开发工做,LIHS主要实现四个方面的功能:实装室数据管理;实验室资源管理,实验室自动化仪器联结;检验数
据VEB发布.LIHS项目实施完成后,LUK将做为该石化公司产品质重信息管理平台,经过LIMS将实垃室的自动化分析仪器与计算机
网络进行联结,实现自动采集样品分析数据,按照IS0/IEC 17026实验室管理体系对样品检验过程、建室资源进行严格管理,实
现从原料进厂、生产、中间控制直至成品出厂的全过程质量数据管理,以及全公司范围內质量数据的快速传递与共享
我从系统的可行性分析阶段就参与系统的调研工做,项目立项后做为LIMS项目的项目负责人,主要负责项目管理,同时负责
项目的需求分析、系统集成、系统测试和系统投运后的运行维护工做.
系统拟釆用C/S和B/S混合架构方式,后台数据库釆用Oracle 9i,前端客户端采用Visual C++6.0开发,WEB端采用,ASP .
NET技术开发,B/S和C/S模式均要支持三层架构.
不只要从开发技术上要保证系统的信息安全,也要从管理上预知系统开发过程和运行过程当中的信息安全风险.LIMS自己服务
于石化公司产品源和生产安全,其系统自己更要有好的质量,包括完善的软件功能和投运后的较高的稳定性、可靠性.在网络环
境下运行的信息系统,复杂性更高,在开发系统以前、开发过程当中、系统运行时,都要注意信息系统的安全风险.
信息系统的安全风险,是指因为系统存在的脆弱性,人为或天然的威胁致使安全事件发生的可能性及其.信息安全风险评估
就是从角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和天然的威胁及其存在的脆弱性,
评估安全事件一旦发生可能形成的危害程度,提出有针对性的抵御威胁的防御对策和整改措施,以防范和化解风险,或者将残
余风险控制在可接受的水平,从而最大限度地保障网络与信息安全.
信息安全风险评估是实现信息系统安全必要的步骤,经过信息安全风险评估,能够清楚业务信息系统包含的重要资产、面
临的主要威胁、自己的弱点;哪些威胁出现的可能性较大,形成的影响也较大,提出的安全方案须要多少技术和费用的支持,
分析出信息系统的风险是如何随时间变化的,未来应如何面对这些风险.
信息系统^评估有三种形式,即自我评估、委托评估和检查评估.在LIMS系统中采用了自我评估方式,
在LUS的实施与运行维护中,我首先确立LIMS的安全目标与策略,而后在风险分析中进行风险评估,在方案设计中对刚风
险接受度进行评估,在安全计划实施中进行系统测评,在系统运行与维护中进行平常检查和按期评估,安全风险评估贯穿于信
息系统安全管理的全程,具备极为重要的做用•
在LIIS的安全风险评估工做方面,我釆取了以下措施:
1、分析现有业务流程和新系统信息流的安全因素,作好安全风险分析.为了全面了解新建LIMS系统的安全需求,咱们仔
细分析了现有业务流程各环节的安全因素,并经过对新系统信息流的来源、传输、处理和存储等环节的分析,识别LIMS系统
的安全风险,作好安全风险分析,为下一步的安全风险评估作好准番.
从LIMS数据的来源上看,基础数据来自于两种方式:手工录入;自动釆集.经过各类化验分析仪器,产生了样品的分析数
据,部分数据须要手工录入,部分数据经过釆集器(如色谱采集器)进入系统,数据釆集器的质童和化验员的操做水平会直
接影响最后的分析结果,进而影响石化产品质重的断定,影响产品的出厂.部分化验分析仪器能够直接导出格式文本或Excel
数据,这部分数据能够直接经过程序读取.数据收集过程的安全因素必须是逐个识别和分析的.
从LIIS数据的传输过程上看,网络设备(如HDB、交换机、网线、光紆等)的质量是重要的安全因素,因为化验分析室中
有毒、有害气体对网络设备腐蚀产重,一些重要的设备必须集中到工做环境相对较好的房间,在综合布线时必须考虑.每个
色谱数据采集器都要使用一个IP地址,部分化验分析仪器也要使用IP地址,IP地址的管理不只要考虑办公微机也要考虑数采
设备.网络安全是LIMS系统的重中之重.
从LIMS蟾的处理和存储上看,许多分析计算要在LIMS客户端上完成,服务器上存故中间计算结果和最终结果(如审核过
程和质篁合格证),LIMS査洵机要应用在各生产车间和油品罐区操做室,操做员的素质和LIMS査洵机的安全设置也是不能忽视的安全因素.
新系后,业务流程会发生改变,好比会取消部分纸质台账,审核方式也再也不是人工审核.为了保证系統的正常运行,须要
制定事故预案、应急措施,并要有系统运行管理部门.业务流程改变引起的管理方式改变,会形成许多不肯定的安全因素.
2、创建安全风险评估标准,对安全风险评估进行分级、分类.
识别安全风险以后,就要进行风险评估.在风险评估过程当中全面评估资产、威胁、脆弱性以及现有的安全措施,分析安全
事件发生的可能性以及可能的损失,从而肯定信息系统的风险,并判断风险的优先级,建议处理风险的措施,
风险评估是分级防御和突出重点的具体体现,有些风险能够接受,有些风险则要消除.每一个风险的解决成本是不同的,
必须综合考虑.不存在绝对的安全.也不可能作到绝对的安全,安全是风险与成本的综合平衡.盲目追求安全和彻底回避风险是
不可取的,也不是分扱防御原则所要求的.
咱们参照<信息安全风险评估指南>,结合LIMS项目的实际状况,创建安全风险评估标准,用定性和定重的方法为涉及到
的安全风险进行评估,能够分级,分类,肯定风险等級和优先风险控制顺序,在评估结论中指出全部安全隐患,并给出解决方案
建议,在对LIMS査询机的安全风险分析中,我认为操做员有可能经过WEB上的恶意访问和在LIMS査询机上的非法操做影响LIMS
整个系统的运行,对几个解决方案进行了分析,认为在普通徽机上进行一些安全设宣,屏蔽掉一些多余的功能,比较可行,
成本也低,而采用无盘工做站方式虽然安全效果更好,但成本过高,参照评估标准,选择最优的解决方案.
数据库服务器的安全风险级别较高,咱们采用了双机热备软件,经过镜像引擎将数据由专用的直联线进行实时复制,当
一台服务器发生硬件或软件故障时,自动启用另外一台服务器,保证数据存储的安全和LIMS的长周期运行.
优先解决级别高的风险,是安全风险评估分级的目的.
3、在信息系统的各个阶段,反复对安全风险进行评估.信息系统的安全是一个动态的复杂过程,它贯穿于信息系统的整
个生命周期,对信息系统进行不断的安全风险评估是十分必要的.在LIMS系统规划设计阶段,经过风险评估明确系统建设的安
全需求和安全目标,在验收阶段,经过风险评估验证信息系统安全措施可否实现安全目标;在信息系统运行维护阶段,按期
进行风险评估,检验安全措施的有效性及对安全环境变化的适应性,以保障安全目标的实现.
LIMS系统在12月底经过验收,正式投入运行,在两年多的运行期间,没有发生重大安全问题,LIIS系统的建设、运行中
的安全风险评估起了很大的做用,明确的安全需求,合理的安全体系,严格的安全评估,灵活的安全措施,是系统安全运行
的保障.风险评估在信息安全保障工做中具备不可替代的地位和重要做用,咱们在LIMS安全风险评估中釆用的评估标准来源于
多年信息系统实施和运行中积累的行业经验,并不国家标准,还须要进一步完善,还存在着一些问题须要加以解决,如创建
完善的工做机制、提升评估能力和技术水平等.信息安全风险评估是一项长期的工做,任何何题须要在实践中不断摸索,在理
论中深刻研究加以解决.