- A+
系统安全风险评估范文第1篇
信息系统安全风险分析与评价方法,对于信息安全,以及信息化建设的长远发展战略都有着非常重要的意义,因此,必须保证其科学性、先进性与可行性。为保证信息系统的安全,我们必须了解信息安全所处的环境和状况,这就需要信息系统安全风险系统对其进行评估,并提出相关的解决措施。
关键词:
信息系统管理;风险评估;信息安全
在信息安全风险系统评估中可以采取很多评估方法,来确保有效地评估信息安全风险的内容。在定量评估中,可采用层次分析法来处理出现的问题,并效评估和判断各种风险。
一、信息安全风险在信息系统管理中分析
1.1信息系统与信息安全的关系。通过人与计算机相结合的系统模式,来储存、传输、和采集信息,从而实现具体的应用,在这个过程中,计算机和网络是最重要的部分。信息的可用性、完整性、以及保密性,是信息安全的主要内容。在信息系统中,信息安全主要指的是人、网络、与环境相关的管理安全、技术安全、结构安全等,要确保信息安全的进行传输、处理,还要保证其在过程中的可用性、完整性、保密性。
1.2信息系统的安全风险。在信息系统配置安全运行的过程中,在特定的时间点内,非法人员利用网络窗口中的漏洞,来攻击整个网络系统,盗取访问特定的基本信息的权限,从而造成网络安全风险,致使系统失去保护信息资产特定对象的功能,大量泄露了用户的信息,其后果非常严重。信息系统存在风险,并不表示其不安全,在信息系统管理中将风险控制在可以接受的范围内,信息安全风险的评估方法发挥着非常重要的作用,其技术依据,为系统平稳运行以及安全建设提供了保障。
1.3威胁性。威胁性是指对信息安全造成的一种潜在的危害,组织的资产所引起的恶意破坏从而对资产可能受到的潜在危害进行系统性的评估称为威胁性评估,安全信息的威胁因素包括:人为因素、环境因素,对每一项资产都要做好威胁性分析,关键资产的威胁性分析更是很重要。
二、信息安全风险评估措施
2.1信息安全风险评估内容。评估分析已有安全措施和对资产的威胁性和脆弱性进行评估。在信息安全评估中,信息资产是重点保护对象,它包括软件、硬件、数据、以及人员等一切可对信息资源产生一定利用价值的资源。为有效分析安全风险需求,建立风险防范措施,我们需按照每个资源的可用性、完整性、和保密性,对其进行等级划分包括间接威胁和直接威胁等,对组织系统中资产的威胁性进行评估。
2.2风险评估方法。在信息系统管理中,评估信息安全风险方法有很多,如:定性评估法、人工评估法、定量评估、工具辅助评估等其他评估方法,本文主要分析前两个方法。第一,定性评估法,定性评估法侧重于对风险带来的损失进行评估,而风险的发生频率为得到重视,该方法在主要是通过专业机构或专家来判断分析风险,因此,该评估方法具有较高的主观性;第二,人工评估法,又叫做手工评估法,在整个风险评估的过程中,通过人工作业的形式来评估信息安全风险,通过评估资产、投资成本的风险的安全需求、脆弱性、威胁性、安全措施等,同时结和其风险效益,从而提出有效的解决方案。
2.3层次分析方法。在建立信息安全的评价体系时,可使用运用层次分析法来综合评价风险。为给信息安全的风险评估提供可靠依据,通过运用层次分析法对信息安全风险中包括的所有要素之间的相对重要的权数进行评价,结合所有要素的排序进行横向比较分析,评估信息安全的风险。使用层次分析法评估信息安全风险可提高风险评估的科学性、准确性。在分析评估安全风险中主要分析了以下四个评价指标体系,即安全措施、脆弱性、威胁性、资产,这种一定程度上降低安全风险系数。
结语
降低信息安全风险应采取合理的信息安全风险评估方法,来评估信息安全系统中的风险。通过对各个风险因素进行等级划分,从而准确地判断与评估信息系统中存在的风险,然后结合所有要素的排序,采取有效措施,对信息安全系统中容易出现问题的环节进行安全改进,从而提高信息系统管理中信息系统的安全性。
作者:陈绮琦 单位:广东电网有限责任公司阳江供电局
参考文献
[1]张良乾.信息系统信息安全风险管理方法研究[J].信息通信,2014,05(12):158.
系统安全风险评估范文第2篇
【关键词】电力系统;信息安全;风险;策略
电力系统中信息安全是企业获得经济效益的前提,对于电力系统来说更是如此。电力系统的信息安全,直接关乎到整个企业的前途和命运。近年来,随着我国经济的进一步的发展,对于电力的需求也越来越大,所以在电力的生产过程当中信息安全管理就越来越重要。长期以来,我国的电力系统对于电力系统的安全管理就非常的重视,但是,从目前情况来看,信息安全管理的水平还远远的达不到我国电网所要求的水平。所以加强电力信息安全管理已是势在必行。本文主要从目前我国电力系统的信息安全管理当中存在的风险入手,对症下药,提出切实可行的对策,促进我国电力系统的发展。
1 电力系统生产过程中信息安全存在的风险
信息安全是整个电力系统信息管理的主题,它不仅关系到企业的社会信誉和经济效益,更关系到广大人民群众的生产生活和国民经济的良好健康发展,我国的电力系统对于电力信息安全管理一直较为重视,从目前的情况来看,我国的电力系统当中还存在着很多信息安全的风险,其主要表现在以下几个方面:第一,电力系统当中从领导到员工缺乏基本的信息安全责任意识。在很多的电力系统当中,存在着领导表面上对于生产的信息安全管理工作十分重视,所以必须认识到信息安全风险评估的重要性。但是,这些领导并没有身体力行去电力系统的第一线进行实地的检查、监督,对于生产工作的存在信息安全问题并不了解。同时对于整个信息安全管理工作并没有进行实际的资金投入或是资金投入较少,导致信息安全管理工作困难重重。第二,由于电力系统涉及的范围广、单位多,这就造成了在进行信息安全安全管理工作的过程当中协调难度大,一部分的基层领导对于信息安全风险的认识存在着偏差,对于信息安全管理工作不热心,就造成了信息安全管理的真空地带。第三,在进行信息安全管理的过程当中,监管人员对于信息管理操纵者的习惯性违章行为采取睁一只眼闭一只眼的做法,在出现信息安全事故之后对于事故责任人的处罚不严格,姑息养奸,不能起到有效的警示作用,导致信息安全事故频发。
2 电力系统信息安全风险评估策略
2.1 要制定科学合理的信息安全管理方案
作为供电部门,应该对用户用电情况负责。供电部门应该根据不同的客户的需要,然后制定出满足用户用电需求的方案,通过制定规范的方案,使用户在用电的时候能够合理的进行安排,然而,摆在眼前的问题主要是由于用电用户造成的,供电部门在了解一些用户用电出现问题的时候,他们给予了及时解决的办法,供电部门帮助用户把电路接好,但是接好后的电路被一些用户进行改动了,改动后的线路出现了供电线路互相混淆和交叉的现象,这样给用户用电带来了安全隐患。因此用电监察管理部门应该对用户用电线路进行延伸的问题给予制止,避免不安全的事故发生。字监察的过程要要对电气设备的开关、线路,以及保险丝供电过程中的容量,不能够超过其主要的负荷能力。只有用电监察管理部门做好信息安全管理工作,在日常的生活中要做到严格要求自己,同时还要对用户的用电情况进行了解并且掌握,还要找出出现不安全事故的原因,针对事故出现的原因,对电气信息设备进行及时的维修。
2.2 坚持创新,提高信息管理水平
随着我国经济的不断发展,电力系统的生产安全管理也应该与时俱进,开拓创新,以此来适应市场经济下的电力系统的发展。从目前情况来看,我国的电力系统的安全管理制度,明显处在一个落后的状态,所以对于管理制度的创新已经是势在必行。第一,要对现行的管理制度进行理论上的创新,要树立一个和市场经济体制下的电力系统的发展相适应的管理理念。第二,要进行制度上的创新,制度创新主要是指通过创设新的、更能有效激励人们行为的制度、规范体系来实现社会的持续发展和变革的创新。针对于电力系统的信息安全管理来说就是,重新制定更有利于电力系统发展的规章制度,来确保电力系统的安全进行,从而达到企业的经济和社会效益的最大化。第三,还要加强地理企业内部的机制创新,机制创新主要是体现在深化企业的内部改革,开展多层次的员工培训,提高员工的整体素质,以便于员工能够更好的适应电力系统的信息安全管理。第四,科学技术是第一生产力,所以必须要时刻坚持科技的创新,在管理的过程当中,要大力的发挥高新技术在信息管理过程当中的应用,完善企业的信息化建设,更好的为电力系统的信息安全管理服务。
2.3 加强信息设备管理,建立巡查制度
在电力系统的过程当中由于信息设备的陈旧老化和突发问题引起的安全事故十分普遍,针对于此,就必须要加强信息设备的管理。第一,在产品的选择过程当中,要严格的根据当地的实际情况,选择与之相适应的产品,同时要把好产品质量关。第二,必须要严格的执行报废的制度,就目前来说,我国大部分农村的配电设备使用年限过长而在超期服役现象十分的普遍,这对于整个电力系统的安全来说是一个十分巨大的隐患,所以必须要严格的执行报废制度,对于达到使用年限的设备要及时的进行更换,以免出现问题。同时,对换下的设备,也要严格控制,防止其流出成为其它单位的隐患。第三,要建立定期的巡查制度,建立巡查制度的主要目的是在于更好的保证能够时刻了解设备的现状,以便于在设备出现问题时,能够在最短的时间之内给予检修和更换,尽最大可能的减少损失。
2.4 深入开展反违章活动
在具体的电力系统信息安全管理过程当中,一线的工作人员的习惯性违章,是引发安全事故的最主要的原因。工作人员的习惯性违章主要包括违章操作、违反劳动纪律和违章指挥。习惯性违章具体体现在临时性的作业当中配电工作人员进行无票操作,在操作的过程当中,因为未曾填写修理票而进行修理,导致配电工作人员或群众出现人身触电的事故发生。工作人员的习惯性违章主要是由于管理人员的管理不到位和员工的安全意识较差造成的,所以针对于习惯性违章现象,一是要从领导到基层的安全管理人员严格按照生产管理的规章制度进行操作和管理,对于出现违章的员工一定要按规定进行处理,绝不姑息养奸。二是要树立员工安全意识,彻底杜绝因为一线员工自身原因而引发的信息安全事故。
3 结语
信息管理工作不是一成不变的,而是一项长期的与时俱进的工作。只有在电力系统发展的过程当中,不断对对电力系统的信息安全管理制度进行改革和创新,使之更好的适应社会的发展,最终实现安全管理制度的规范化和标准化。针对于目前我国电力系统当中信息安全存在的风险,必须要把改革创新管理制度和加大监察力度统一进行,严格的执行信息安全的奖惩规定,深入开展反违章工作,确保我国电力信息管理的各项工作能够落到实处。
参考文献:
[1]孟庆臣.试论如何加强电力系统信息管理[J].时代报告(学术版).2011(25).
系统安全风险评估范文第3篇
关键词:风险评估;FMEA;资产价值;威胁;脆弱性;失效影响;风险值
中图分类号:C93 文献标识码:A
原标题:FMEA信息安全风险评估模型在检验检疫系统内的应用
收录日期:2014年8月26日
一、背景
1998年3月,成立了中华人民共和国出入境检验检疫局(国家进出口商品检验局、原农业部动植物检疫局和原卫生部检疫局合并组建)。出入境检验检疫机构全面推行“一次报验、一次取样、一次检验检疫、一次卫生除害处理、一次收费、一次签证放行”六个一的管理模式,对外简化办事手续,避免政出多门、提高工作效率、方便外贸进出口、降低收费、减轻企业负担、强化依法把关力度、促进外贸经济健康发展具有十分重要的意义。
信息化工作是检验检疫业务中一项重要的基础性工作,信息技术的应用提高了检验检疫把关服务能力,为全面履行检验检疫职能提供了强有力的技术支撑和科技保障。在实际工作中,我们看到大量信息技术被应用在检验检疫业务中,如 “预警信息管理系统助力医学媒介生物监测鉴定”、“体温筛查系统助力旅客通关”、“视频监控系统助力口岸防控”、“射频RAID技术助力进出口货物检验检疫跟踪”成为推动检验检疫服务水平与业务高效、创新的重要手段。而在检验检疫系统的内部管理中,“CIQ2000系统数据大集中”、“视频会议系统全覆盖”、“业务无纸化流转”、“政务网站大整合”等,成为提升检验检疫工作质量和工作效率强有力的助推器。
随着检验检疫业务(以下简称“CIQ”业务)对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全管理体系与信息安全等级保护制度建设的重要科学方法之一。
二、风险评估介绍
目前最普遍使用的信息安全风险评估方法就是风险评估的国际标准ISO13335:2005,该标准已被等同转化为中国国家标准《GB/T 20984:2007 信息安全技术 信息安全风险评估规范》(简称《国标GB/T 20984》)。其中,关于风险大小的决定性因素的描述如下:1、业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;2、资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;3、风险是由威胁引发的,资产面临的威胁越多则风险越大;4、资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;5、脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产。
对以上内容进行归纳,总结出风险分析的原理如图1所示。(图1)即,风险的大小是由风险的可能性和严重性决定的,威胁频率和脆弱性决定风险的可能性(L),资产价值和脆弱性决定了风险的严重性(F),通过识别资产价值(A)、威胁(T)和资产脆弱性(V)就可以计算出该资产的风险值。
因此,风险分析的主要内容就是:1、对资产进行识别,并对资产的价值进行赋值;2、对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;3、对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;4、根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;5、根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;6、根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
风险值=R(V,P,W)=R(O(P,W),S (V,W))。(为了与后文统一,在公式中用V、P、W、O、S替换了《GB/T 20984》561章节原文中的对应字母符号)
其中,R表示安全风险计算函数;V表示资产价值;P表示威胁频率;W表示脆弱性;O表示威胁利用资产的脆弱性导致安全事件的可能性;S表示安全事件发生后造成的损失。有以下三个关键计算环节:
(一)计算安全事件发生的可能性。根据威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:安全事件的可能性=L(威胁出现频率,脆弱性)=O (P,W)。
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
(二)计算安全事件发生后造成的损失。根据资产价值及脆弱性严重程度,计算安全事件一旦发生后所造成的损失,即:安全事件造成的损失=F(资产价值,脆弱性严重程度)=S (V,W)。
部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果,对发生可能性极小的安全事件,如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等,可以不计算其损失。
(三)计算风险值。根据计算出的安全事件的可能性以及安全事件造成的损失,计算风险值,即:风险值=R(安全事件的可能性,安全事件造成的损失)=R(O (P,W),S (V,W))。
评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。
三、什么是FMEA风险评估方法
(一)FMEA的起源和背景。国际标准化组织(ISO)于2002年3月公布了一项行业性的质量体系要求,它的全名是“质量管理体系―汽车行业生产件与相关服务件的组织实施ISO9001:2000的特殊要求”,英文为ISO/TS16949。标准中提供了实施必需的五大工具以保障体系的有效落地,它们分别是:产品质量先期策划(APQP)、测量系统分析(MSA)、统计过程控制(SPC)、生产件批准(PPAP)和潜在失效模式与后果分析(FMEA)。
潜在失效模式与后果分析(FMEA),又称为失效模式与影响后果分析、失效模式与效应分析、故障模式与后果分析或故障模式与效应分析等,是一种操作规程,旨在对系统范围内潜在的失效模式加以分析,以便按照严重程度加以分类,或者确定失效对于该系统的影响。FMEA广泛应用于制造行业产品生命周期、质量控制、风险分析等的各个阶段;而且FMEA在服务行业的应用也在日益增多。失效原因是指业务服务、产品加工处理、设计过程中或项目/物品/信息资产项、本身存在的任何错误或缺陷,尤其是那些将会对业务保障(或具体消费者)造成影响的错误或缺陷;失效原因可分为潜在的和实际的。影响分析指的是对于这些失效之处的调查研究。
FMEA是一种过程评价工具,于1950年起源于美国军方和宇航局,它是通过逐一分析过程中的各种组成因素,找出潜在的失效模式,分析可能产生的后果,并评估其风险,从而提前采取措施,以减少失效后的损失,降低发生的几率,所以在本文中引入FMEA的分析方法来解决传统风险评估方法中存在的一些缺陷。
(二)FMEA风险评估的原理。虽然ISO13335是目前全球使用最广泛的信息安全风险评估方法论,但是由于这份标准是2005年制定的,至今已有十余个年头。而这十年是信息技术蓬勃发展的十年,大量新的技术手段涌现并被人们使用。大数据、物联网、云计算等等这些新技术在带来技术革新和应用便利的同时,也带来了新的安全隐患。我们需要关注的风险除了资产本身的风险之外,还需要关注资产失效后的影响衍生出的风险,而传统方法在这一领域又难以有效地准确评价出风险的大小,因此我们需要一种能够更准确反映风险大小的评估方法。
对于风险值大小,我们还是遵循原有的规律,即严重性越高的风险越高;可能性越大的风险越高,即风险与严重性和可能性成正比。如图2所示。(图2)
在测量风险的严重性和可能性方面,相对于ISO13335:2005,我们多引入了一个参数,失效模式的影响(E),这个参数可能会影响到风险的严重性。因此,FMEA的风险评估方法论可以总结为:1、所有资产自身都有一定的脆弱性;2、威胁利用了资产的脆弱性导致了资产的失效;3、由于资产的失效而产生了风险;4、不同失效的程度导致风险的严重程度不同;5、资产价值和资产失效程度影响风险的严重性;6、威胁的频率和弱点被利用的难易程度影响风险的可能性;7、严重性和可能性决定了最终的风险值。
对已上内容进行归纳,总结出风险分析的原理如图3所示。(图3)
四、FMEA风险评估在CIQ的应用
FMEA风险评估方法自2008年首次被开发在信息安全管理体系中应用并于2009年通过国际第三方权威审核机构的ISO27001认证,经过多年的修订和持续研发,目前在中国检验检疫系统内已经有常州出入境检验检疫局、苏州出入境检验检疫局、江阴出入境检验检疫局等分支局在使用,跟检验检疫业务有关联性的海关、口岸等相关单位也有部分落地的案例。
(一)失效影响的赋值。FMEA风险评估方法的核心是引入了“失效模式的影响(E)”这一评估参数使得得到的风险值更加准确。如何对“失效模式的影响(E)”进行赋值,就是FMEA风险评估方法用于实际风险值计算的关键。
在《国标GB/T 20984》中将风险评估的所有参数(资产保密性、资产完整性、资产可用性、资产等级、威胁频率、脆弱性)均分为5个级别进行赋值,1级最低,5级最高。因为在计算风险值时也需要用到以上参数,为了保持与《国标GB/T 20984》的兼容性,我们将“失效模式的影响(E)”也同样分为5个级别,如表1所示。(表1)
为了方便应用,我们将这五个级别分别对应为下列五种失效程度,如表2所示。(表2)
(二)FMEA风险计算的原理。FMEA风险计算是通过资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)四个参数通过数学方法计算得到风险值(RPN)。
1、建立FMEA风险计算的数学模型首先要满足参数对风险值影响的方向:
(1)因为资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)对最终的风险值(RPN)为正向影响,所以V、E、P、W的数值与RPN数值成正比。
(2)V、E、P、W四个参数都大的风险值必然大,即:若V1>V2;E1>E2;P1>P2;W1>W2,则RPN(V1、E1、P1、W1)>RPN(V2、E2、P2、W2)。
(3)若任意三个参数相同,第四个参数大的风险值大,即:若V1>V2,则RPN(V1、E1、P1、W1)>RPN(V2、E1、P1、W1);若E1>E2,则RPN(V1、E1、P1、W1)>RPN(V1、E2、P1、W1);若P1>P2,则RPN(V1、E1、P1、W1)>RPN(V1、E1、P2、W1);若W1>W2,则RPN(V1、E1、P1、W1)>RPN(V1、E1、P1、W2)。
2、为了准确评价数学模型的有效性,应将模型计算值的影响因素减至最少,提供一个不受权重等因素影响的纯净模型,以便于及时调整。
(1)风险计算的四个参数,资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)对最终的风险值(RPN)的影响应该是相同的,即:RPN(V、E、P、W)=RPN(2、3、3、2)=RPN(2、2、3、3)=RPN(3、2、2、3)=RPN(3、3、2、2)。
(2)风险计算的四个参数,资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)的增幅对最终的风险值(RPN)的影响应该是相同的,即:RPN(V1、E1、P1、W1)-RPN(V2、E2、P2、W2)=RPN(5、5、5、5)-RPN(4、4、4、4)=RPN(4、4、4、4)-RPN(3、3、3、3)=RPN(3、3、3、3)-RPN(2、2、2、2)=RPN(2、2、2、2)-RPN(1、1、1、1)。
(3)在纯净风险模型计算结果的基础上,通过对比风险计算结果和实际风险差距,对风险分析的各个维度权重进行调整。
(三)FMEA风险计算公式。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在保密性、完整性、可用性这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性,以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
风险计算方法:1、保密性、完整性和可用性决定资产价值:(1)保密性越高,资产价值越大;(2)完整性越高,资产价值越大;(3)可用性越高,资产价值越大。2、资产价值、资产失效程度决定风险严重性。3、威胁频率和资产脆弱性决定风险可能性。4、风险严重性与风险可能性决定风险值:(1)资产价值越高,资产失效后风险越大;(2)资产失效越严重则风险越大;(3)风险是由威胁引发的,资产面临的威胁越多则风险越大;(4)资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大。
风险计算公式:
资产价值V=
严重性S=
可能性O=
风险值RPN=
RPN=
其中,C、I、A、E、P、W是风险值RPN的计算参数,x、y、z、m、n、i、j、α、β是以上计算参数的权重。
假设权重系数全部为1的情况下,风险计算公式为:
RPN=
若在风险分析中,我们更侧重于某项参数对风险值的影响,则可以调整该参数的权重值,如我们将权重参数设置为x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1,则表示失效影响(E)对风险值的影响更大,我们优先降低失效影响,可以更高效控制风险。
(四)FMEA风险评估在CIQ的应用成果。2012年末,常州出入境检验检疫局顺利通过中国信息安全认证中心(简称ISCCC)的ISO27001信息安全管理体系现场审核,成为国内首家实施信息安全管理体系并通过ISO27001认证的政府机构。2012年中国合格评定国家认可委员会(简称CNAS)信息安全认证专业委员会年会上,该项目被选为推荐案例,并受邀出席会议现场介绍体系建设、推广的成功经验,其中FMEA风险评估法作为该项目的重要创新点,受到与会专家的特别关注,并受到与会专家的一致好评。通过对FMEA风险评估方法论的原理和分析模型的详细介绍,经与会专家论证,均认可该方法的先进性已经超越了ISO13335:2005(国标GB/T 20984:2007),在全球信息安全风险评估方法论的理论研究和实践中处于领先水平。
五、结束语
随着中国加入世贸组织,对外贸易和活动日益频繁,出入境检验检疫业务量激增,对信息系统的依赖程度也越来越大,因此对信息安全的要求也逐年提高,风险评估是信息安全管理的基础,其重要性不言而喻。本文系统地阐述了作者在信息安全风险管理领域的研究成果及在检验检疫系统内单位的实施经验,对检验检疫系统内其他单位在信息安全风险评估方面工作具有很好的参考性。
本文在研究的深度上还有待进一步挖掘。特别是对于如何得到“失效模式的影响(E)”这一参数的精确值,作者设想可以从对“失效时间范围”、“失效空间范围”、“失效方式”、“失效程度”、“失效恢复能力”等方面进行分析,通过一个数学模型计算得到以上失效因素对最终“失效模式的影响(E)”变化的影响,以便于分析结果更精准。
主要参考文献:
[1]嵇国光,王大禹,严庆峰ISO\TS16949五大核心工具应用手册中国标准出版社,2010111
[2]孙远志,吴文忠检验检疫风险管理研究中国计量出版社,201411
[3]GB7826-87系统可靠性分析技术,失效模式和效应分析(FMEA)程序
[4]GB/T 20984-2007信息安全技术、信息安全风险评估规范中国标准出版社,200781
系统安全风险评估范文第4篇
信息安全管理等方面,对档案信息及信息系统进行安全防御,确保档案信息系统安全可靠运行,保障档案信息的保密性、完整性、可用性、真实性、不可否认性、可控性和可追溯性,并具备对档案信息安全动态保护能力的综合性信息系统防护体系。档案信息安全保障体系的构建应与其他信息安全保障体系一样,基于“三个支柱:技术、管理和法规标准”。
然而我国目前档案信息安全保障体系构建主要依赖于信息安全技术,且缺乏有效的安全管理和安全监督机制,档案信息系统随时存在安全风险,只有通过科学、有效的管理和规范才能构建真正的档案信息安全保障体系。
国际国内普遍采用制定法规标准来加强和规范信息安全保障体系建设。国际标准有ISO/IEC17799、ISO/IEC27000系列等信息安全管理和风险评估标准。国内2007年由公安部和国家保密局等四家单位印发了《信息安全等级保护管理办法》(公通字[2007]43号),全国信息安全标准化技术委员会制订了《GB/T22239-2008信息系统安全等级保护基本要求》、《GB/T20984-2007信息安全风险评估规范》等标准,以保障我国信息安全,从此也真正在全国范围内拉开了我国信息安全等级保护和风险评估的序幕。档案信息安全保障体系构建也应依据相应的法规标准。
一、基于信息安全风险评估的档案信息安全保障体系构架
2003年中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,简称“27号文件”),提出“坚持积极防御、综合防范”的方针。同时,27号文件还提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。”27号文件是我国构建国家信息安全保障体系的“宪法性”文件,主要强调了信息安全保障需主动防御而非事后堵漏洞;需从管理、技术和法规多方面开展而非单靠技术;需以系统工程的思想而非简单地构建安全保障体系;需以信息安全风险评估与等级保护作为建设国家信息安全保障体系的基本制度。
“积极防御,就是强调以安全保发展、在发展中求安全,不是被动地就安全抓安全;综合防范,就是综合运用行政、法律、技术等多种手段,强调国家、企业和个人共同的责任,各个部门齐抓共管,用系统工程的思路,用体系建设的思路来抓信息安全。构建档案信息安全保障体系也应遵守“积极防御”,而积极防御的最好体现是对档案信息系统进行风险评估。因为任何信息系统都存在安全风险,这些风险可以被发现、被认识,也可以在一定程度上加以管理。对档案信息安全开展风险评估可达到信息安全事故防患于未然。
构建档案信息安全保障体系同时需遵守“综合防范”,即从技术、管理和法规标准等多方面入手,用技术体系、管理体系和法规标准体系的体系建设思路来构建。目前国内外主要采用信息安全等级保护措施实现对信息安全的“综合防范”。我国于2008年颁布的《GB/T22239-2008信息系统安全等级保护基本要求》中提出了不同安全等级信息系统的基本安全要求,分为基本安全技术要求和基本安全管理要求两大类。
由此可见,采用等级保护制度下的风险评估模式可构建“积极防御、综合防范”的档案信息安全保障体系。等级保护是实现信息系统安全的要求和目标,而风险评估则是对等级保护的检测和监督。在构建档案信息安全保障体系过程中,等级保护定级规范、等级保护基本要求规范和风险评估规范等均属于法规标准体系,在目前我国尚未制定针对档案信息安全相关法规标准体系之前可遵守国家已有相关法规标准。在实现等级保护和风险评估过程中所采取的安全技术属于安全技术体系,采取的安全管理措施则属于安全管理体系。根据上述对档案信息安全保障体系构建的分析,基于信息安全风险评估的档案信息安全保障体系构架如图1所示。档案信息安全保障体系的建设过程中,基于等级保护与风险评估的档案信息安全保障体系构架的实现过程为:根据我国已有等级保护相关标准《GB/T22240-2008信息系统安全等级保护定级指南》和《GB/T22239-2008信息系统安全等级保护基本要求》,结合档案信息系统的重要程度,确定档案信息系统安全等级和安全需求,采取相应的安全技术和安全管理措施,并依据《GB/T20984-2007信息安全风险评估规范》在档案信息系统生命周期的不同阶段进行风险评估,不断完善档案信息安全保障体系,实现动态防御。
二、基于风险评估的档案信息安全保障体系构建流程
信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。信息安全风险评估可以自评估或检查评估的方式进行。
档案信息系统从其分析设计到运行维护等具有完整的生命周期,一般分为分析阶段、设计阶段、实现阶段、运行阶段和废弃阶段。等级保护贯穿信息系统分析、设计、实现、运行维护和废弃的整个生命周期,而风险评估则是对实现等级保护的信息系统定期或不定期的进行安全检测和评估,同样贯穿信息系统的整个生命周期。
档案信息安全保障体系构建需贯穿档案信息系统生命周期全过程,并在不同阶段开展信息安全风险评估。档案信息安全风险评估与等级保护息息相关,评估信息系统安全状况是否达到等级保护要求,也是对等级保护安全技术和安全管理实施后的风险确认,从而构建基于风险评估的档案信息安全保障体系,构建流程如图2所示。
1. 档案信息系统分析阶段风险评估
在系统分析阶段需按照我国已有的《GB/T22240-2008信息系统安全等级保护定级指南》对档案信息系统安全保护等级定级。信息系统安全保护等级是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益等损害客体的危害程度为依据。档案信息系统安全包括档案业务信息安全和档案信息系统服务安全,保护等级由业务信息安全等级和系统服务安全等级的较高者决定。档案信息系统对系统服务连续性要求相对较低,而对档案业务信息安全性要求较高。由于档案业务信息遭到破坏后会涉及到国家安全,而涉及国家安全的系统均需定到三级以上,所以档案信息系统安全等级一般需为三级。按照等级保护三级要求,提出档案信息系统安全技术需求和安全管理需求。在档案信息系统分析阶段的风险评估中,信息资产、脆弱性不需要识别,根据未来系统的应用对象、应用环境、业务状况、操作要求等列出安全威胁,评估安全技术需求和安全管理需求能否抵御安全威胁,如果不能则需调整安全需求。
2. 档案信息系统设计阶段风险评估
从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个层面进行安全技术设计;从安全管理制度、安全管理机构、人员安全管理、管理设计,提出完整的档案信息安全保障体系方案,从而满足系统安全需求。在档案信息设计阶段的风险评估以安全方案评审的方式进行,依据《GB/T20984-2007信息安全风险评估规范》判定安全方案所提供的安全功能与安全技术及安全管理需求是否相符合。如果存在安全风险,则需进行重新安全设计和安全评估。
3. 档案信息系统实现阶段风险评估
系统实现阶段的风险评估是依据《GB/T20984-2007信息安全风险评估规范》对档案信息系统建成后的安全功能进行测试和验证,即评估安全技术和安全管理的实现程度,从而确定依据安全设计方案而实现的安全措施和安全管理能否抵御现有威胁和脆弱性。如果存在安全风险,则需进行重新安全设计、安全实现和风险评估,直至将安全风险降到最低,完全达到三级等级保护所提出的所有安全要求。在档案信息系统实现阶段的风险评估可以在档案信息系统项目预验收或试运行期间进行。如果存在安全风险,则需进行重新安全设计、安全实现和风险评估。通过信息安全风险评估后,档案信息系统才可以正式投入运行。
4. 档案信息系统运行阶段风险评估
档案信息系统自身及其运行环境发生变化时,应评估其安全风险以维持系统的正常运行。因为在档案信息系统运行阶段会不断面临新的安全威胁,不断发现新的安全漏洞,所以应按照《GB/T20984-2007信息安全风险评估规范》对档案信息系统进行定期或不定期安全风险评估,且可按自评估或检査评估的形式开展。
自评估是由档案信息系统所有者自身发起,一般依靠自身力量或委托风险评估服务机构实施。委托第三方评估机构的自评估简称委托评估,是指信息系统所有者委托具有风险评估相应资质的专业评估机构实施的自评估活动。信息安全风险评估机构拥有风险评估的专业人才,具有丰富的风险评估经验,风险评估过程规范、评估结果客观。
检查评估由信息安全主管机关或业务主管机关发起,旨在依据已经颁布的法规或标准检查信息安全风险是否在可接受的范围内,即对档案信息系统安全状况进行监督。检查评估也可以委托风险评估服务机构实施。
对档案信息系统运行阶段的风险评估可采用自评估与检查评估相结合的形式,检查评估一般适合在各档案部门自评估结果的基础上,验证和确认档案信息系统存在的技术、管理、运行风险,以及自评估后采取风险控制措施取得的效果。同时,无论是自评估还是检查评估,如果委托专业评估机构,则需通案信息安全风险评估过程中产生新的安全风险。
5.档案信息系统废弃阶段风险评估
系统安全风险评估范文第5篇
档案信息资产是与档案信息系统有关的所有资产,包括档案信息系统的硬件、软件、数据、人员、服务及组织形象等,是有形和无形资产的总和。脆弱性是档案信息系统自身存在的技术和管理漏洞,可能被外部威胁利用,造成安全事故;威胁是外部存在的、可能导致档案信息系统发生安全事故的潜在因素。威胁、脆弱性及档案信息资产的相互影响造成档案信息系统面临安全风险,最后计算出风险值。
档案信息安全风险评估总体方法
档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。
1 档案信息安全风险评估标准的确定
信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有:《ISO/IEC 13335 信息技术 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理实施指南》、《ISO/IEC27001:2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等,这些标准在国外已得到广泛使用,而我国信息安全风险评估起步较晚,在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB/T 20984-2007信息安全技术信息安全风险评估规范》,并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”,该文件要求国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作,且规定采用《GB/T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统,档案信息安全风险评估也应该采取OB/T 20984-2007标准。
2 档案信息安全风险评估需定性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。
定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。
定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。
3 档案信息安全风险评估需借用辅助评估工具
目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。
4 档案信息安全风险评估需整体评估
信息安全风险评估不仅需进行安全技术评估,更重要的需进行安全管理等评估,我国已将信息系统等级保护作为一项安全制度,对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施,其中包括安全技术措施和安全管理措施,因此评估风险时同样需进行安全技术和安全管理的整体风险评估,档案信息安全风险评估同样如此。
档案信息安全风险评估具体方法
根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。
1 资产识别方法
档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。
(1)资产分类方法
在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。
在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估
都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。
风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。
目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。
按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。
但如果风险评估时按表1进行资产分类时,每个档案信息系统将具有很多资产,这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此,在《信息安全风险评估——概念、方法和实践》一书中提出:“最好的解决办法应该是面对系统的评估”,信息资产安全等级分类的起点可以认为是系统(或子系统),这样可以在资产统计时用资产表现形式进行分类,在资产安全等级分类时按系统或子系统进行大致分类,即同一个系统或子系统中的资产的安全等级相同,这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。
(2)资产赋值方法
由于信息资产价值与安全等级有关,因此对资产赋值应与“很高、高、中等、低、很低”相关,但这是定性的方法,结合定量方法为对应“5、4、3、2、1”五个值,同时将此值称为“资产等级重要度”。
2 威胁识别方法
(1)威胁分类方法
对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类,而常用的为按来源和表现形式分类。按来源可分为:环境因素和人为因素,人为因素又分为恶意和无意两种。基于表现形式可分为:物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大,所以应以分类详细为宗旨,按表现形式方法分类较为合适。
(2)威胁赋值方法
威胁赋值是以威胁出现的频率为依据的,评估者应根据经验或相关统计数据进行判断,综合考虑三个方面:“以往安全事件中出现威胁频率及其频率统计,实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值,即为:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
3 脆弱性识别方法
脆弱性的识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,同时结合已有安全控制措施,对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等,并对脆弱性识别途径主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
(1)脆弱性分类方法
脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
(2)脆弱性赋值方法
根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。
影响等级=暴露系数×资产等级重要度
4 已有控制措施识别方法
(1)识别方法
在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。
同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,
“0”为控制措施基本有效,“5”为控制措施基本无效。
(2)安全事件可能性赋值
安全事件发生的可能性可用以下公式计算:
发生可能性=发生容易度(即威胁赋值)+控制措施
5 风险计算方法
风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:
风险=影响等级×发生可能性
综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。
上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:
影响等级=暴露系数×资产等级重要度=(3/5)*5=3
可能性=容易度(威胁值)+控制措施值=3+3=6
风险=影响等级×可能性=3×6=18
