安全風(fēng)險(xiǎn)評(píng)估與咨詢(xún)

1、如何打造電力信息安全的天羅地網(wǎng)談信息安全技術(shù)的發(fā)展現(xiàn)狀與趨勢(shì)作者：王博趙晶艾小洋2007 - 07如何保證電網(wǎng)運(yùn)行實(shí)時(shí)控制系統(tǒng)、電力營(yíng)銷(xiāo)系統(tǒng)安全、電力管理信 息系統(tǒng)安全、電力外圍運(yùn)營(yíng)系統(tǒng)的安全？不同的分區(qū)、不同的層次都有 著不同的信息安全需求與特點(diǎn)。打造一張電力信息安全的天羅地網(wǎng)，如 果這是我們的全部目標(biāo)，我們當(dāng)如何思考，如何面對(duì)現(xiàn)實(shí)，如何面對(duì)未 來(lái)？電網(wǎng)運(yùn)行實(shí)時(shí)控制系統(tǒng)一旦出問(wèn)題，將有可能影響整個(gè)電網(wǎng)的安全運(yùn)行，電網(wǎng)瓦解 并非聳人聽(tīng)聞，大規(guī)模停電將無(wú)法控制，因此防范措施必須非常嚴(yán)格；電力營(yíng)銷(xiāo)系統(tǒng)安 全涉及到海量的營(yíng)銷(xiāo)數(shù)據(jù)，與每個(gè)企業(yè)用戶(hù)、個(gè)人用戶(hù)息息相關(guān)，由于牽涉到銀行等系 統(tǒng)外結(jié)算系統(tǒng)，因

2、此網(wǎng)絡(luò)安全問(wèn)題不容忽視；管理信息系統(tǒng)與生產(chǎn)信息系統(tǒng)千絲萬(wàn)縷， 與協(xié)同辦公，對(duì)因特網(wǎng)連接評(píng)估篇：安全風(fēng)險(xiǎn)評(píng)估與咨詢(xún)路向何方在建立企業(yè)風(fēng)險(xiǎn)管理的過(guò)程中，信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)重要環(huán)節(jié)，企業(yè)需要清晰 明確網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)中面臨的弱點(diǎn)、威脅和風(fēng)險(xiǎn)，采用相應(yīng)的安全控制措施降低、轉(zhuǎn)移 和承受風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)處于可控和可以接受的水平。風(fēng)險(xiǎn)評(píng)估是對(duì)信息及信息處理設(shè)施的 威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程， 即利用定性或定量的方法，借助于風(fēng)險(xiǎn)評(píng)估工具，確定信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn) 控制。在電力信息化建設(shè)進(jìn)程中，信息安全評(píng)估工作一直是電力信息主管一項(xiàng)重要工作， 兩大電網(wǎng)、五大

3、發(fā)電集團(tuán)分別出臺(tái)了用于本企業(yè)的信息安全評(píng)估辦法，隨著電力信息化 的發(fā)展和信息系統(tǒng)外延的擴(kuò)大以及電力企業(yè)體制改革引起的企業(yè)業(yè)務(wù)重心轉(zhuǎn)移，電力系 統(tǒng)每年都要對(duì)信息安全進(jìn)行評(píng)估，借用一位電力信息主管的原話(huà)：“信息安全評(píng)估不能 一勞永逸?！蹦敲磸募夹g(shù)層面上，有哪些先進(jìn)的安全評(píng)估方法論來(lái)支持評(píng)估工作？有哪 些先進(jìn)的評(píng)估工具來(lái)進(jìn)行信息資產(chǎn)的量化和確定風(fēng)險(xiǎn)等級(jí)？電力企業(yè)如何借助安全評(píng)估 工作來(lái)建立自己安全防護(hù)體系？評(píng)估結(jié)果是否可以直觀(guān)的、量化的呈現(xiàn)給決策者等等一 系列話(huà)題有待于我們?nèi)パ芯亢退妓靼踩L(fēng)險(xiǎn)評(píng)估作為信息安全管理體系建設(shè)的基礎(chǔ)，它的成功實(shí)施對(duì)整 個(gè)安全管理體系建設(shè)有哪些重要的意義和作用呢？肖立昕（啟

4、明星辰信息技術(shù)有限公司泰合中心技術(shù)總監(jiān)）：國(guó)信辦20065號(hào)文件 指出：信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程。在網(wǎng)絡(luò)與信息系 統(tǒng)的設(shè)計(jì)、驗(yàn)收及運(yùn)行維護(hù)階段均應(yīng)當(dāng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。如在網(wǎng)絡(luò)與信息系統(tǒng)規(guī) 劃設(shè)計(jì)階段，應(yīng)通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)一步明確安全需求和安全目標(biāo)。我們通常所說(shuō) 的安全風(fēng)險(xiǎn)評(píng)估一般都指的是信息系統(tǒng)運(yùn)維階段的風(fēng)險(xiǎn)評(píng)估，安全風(fēng)險(xiǎn)評(píng)估是對(duì)企業(yè)存 在的威脅進(jìn)行評(píng)估、對(duì)安全措施有效性進(jìn)行評(píng)估、以及對(duì)系統(tǒng)漏洞被利用的可能性進(jìn)行 評(píng)估后的綜合結(jié)果，是風(fēng)險(xiǎn)管理的重要組成部分，是信息安全工作中的重要一環(huán)。成功 實(shí)施安全風(fēng)險(xiǎn)評(píng)估可以準(zhǔn)確了解企業(yè)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀，明晰企業(yè)的安

5、全需求，在此基礎(chǔ)上制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略以及企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全 解決方案，指導(dǎo)企業(yè)下一步的安全建設(shè)和投入，最終建立企業(yè)的安全管 理框架。王曉東（同有賽博副總經(jīng)理）：信息安全管理體系建設(shè)是一個(gè)系統(tǒng) 性的長(zhǎng)期建設(shè)，而風(fēng)險(xiǎn)評(píng)估工作的重要性在于，風(fēng)險(xiǎn)評(píng)估工作始終貫穿 于整個(gè)信息安全管理體系的建設(shè)中。從信息安全管理體系的建立標(biāo)準(zhǔn)、 同有賽博的經(jīng)驗(yàn)、和企業(yè)的實(shí)踐中得知，風(fēng)險(xiǎn)評(píng)估這種貫穿是因?yàn)樾畔?安全風(fēng)險(xiǎn)管理工作的實(shí)際要求而形成。在COBIT、ISO27001等標(biāo)準(zhǔn)中，多處提到風(fēng)險(xiǎn)評(píng) 估。風(fēng)險(xiǎn)評(píng)估工作的成功實(shí)施對(duì)于安全管理體系建設(shè)的意義主要的有以下四點(diǎn)。一、使 企業(yè)的安全建設(shè)投入更有效。通過(guò)風(fēng)險(xiǎn)評(píng)

6、估，使企業(yè)全面了解和明確信息系統(tǒng)所面臨的 風(fēng)險(xiǎn)、威脅和脆弱性。給企業(yè)決策者們對(duì)其信息系統(tǒng)的安全建設(shè)或安全改造思路提供有 效的參考數(shù)據(jù)，最終產(chǎn)生該信息系統(tǒng)的安全策略，針對(duì)信息系統(tǒng)當(dāng)前的安全風(fēng)險(xiǎn)狀況， 提出安全建議，構(gòu)架安全體系，建立安全防護(hù)層次，選擇可靠的安全產(chǎn)品，制定有效的 安全運(yùn)維措施。二、使企業(yè)的風(fēng)險(xiǎn)管理工作落到實(shí)處。風(fēng)險(xiǎn)評(píng)估是建立信息安全管理體系和信息安 全風(fēng)險(xiǎn)管理的重要環(huán)節(jié)，安全評(píng)估后，以安全評(píng)估的結(jié)果為基礎(chǔ)，結(jié)合所選擇的信息安 全管理體系的標(biāo)準(zhǔn)，確認(rèn)風(fēng)險(xiǎn)管理工作的控制點(diǎn)和有效測(cè)量值的定義。使到風(fēng)險(xiǎn)管理工 作更有針對(duì)性，更有效果。簡(jiǎn)單來(lái)說(shuō)，就是運(yùn)用標(biāo)準(zhǔn)和最佳實(shí)踐，實(shí)現(xiàn)風(fēng)險(xiǎn)控制 預(yù)防 響

7、應(yīng)恢復(fù)。三、風(fēng)險(xiǎn)評(píng)估是信息安全工作的核查手段，實(shí)現(xiàn)主動(dòng)管理和主動(dòng)防御的有效方法。 安全建設(shè)目標(biāo)實(shí)現(xiàn)、保障有效性和適用性、調(diào)整技術(shù)和管理，都依賴(lài)于風(fēng)險(xiǎn)評(píng)估的結(jié)論。 風(fēng)險(xiǎn)評(píng)估的數(shù)據(jù)，不但可使用于企業(yè)內(nèi)部，通過(guò)制訂一套有效的風(fēng)險(xiǎn)管理工作流程，變 被動(dòng)防御為主動(dòng)防御，從被動(dòng)管理轉(zhuǎn)為主動(dòng)管理。而且，可做為對(duì)引入的專(zhuān)業(yè)安全服務(wù) 公司水平的考量數(shù)據(jù)，引入合適的專(zhuān)業(yè)安全保障服務(wù)，協(xié)助實(shí)現(xiàn)主動(dòng)防御和主動(dòng)管理。四、風(fēng)險(xiǎn)評(píng)估能夠協(xié)助實(shí)現(xiàn)DPCA信息安全管理模式。在安全風(fēng)險(xiǎn)評(píng)估周期中分為幾個(gè)步驟？安全風(fēng)險(xiǎn)評(píng)估的重點(diǎn)是什么？ 結(jié)合電力行業(yè)特性，針對(duì)不同評(píng)估單位如電源、電網(wǎng)、電建，不同的單位 級(jí)別如集團(tuán)級(jí)/電廠(chǎng)級(jí)或國(guó)家級(jí)

8、、省級(jí)、地市級(jí)，是否應(yīng)該采取不同的方 法和偏重不同的重點(diǎn)？肖立昕（啟明星辰信息技術(shù)有限公司泰合中心技術(shù)總監(jiān)）：提到周期，從安全風(fēng)險(xiǎn) 評(píng)估的實(shí)施上講，分為風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和降低風(fēng)險(xiǎn)三個(gè)階段，通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別 風(fēng)險(xiǎn)大小，通過(guò)制定信息安全方針；采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制； 逐步降低風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個(gè)可被接受的水平。其中風(fēng)險(xiǎn)評(píng)估又可以 劃分為評(píng)估環(huán)境準(zhǔn)備、資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、風(fēng)險(xiǎn)分析、安全策略和解決 方案制定等幾個(gè)部分。安全風(fēng)險(xiǎn)評(píng)估的重點(diǎn)在于獲得對(duì)目標(biāo)系統(tǒng)安全風(fēng)險(xiǎn)的清楚認(rèn)知， 有了正確的風(fēng)險(xiǎn)評(píng)估結(jié)果才能指導(dǎo)安全工作有效的進(jìn)行。安全風(fēng)險(xiǎn)評(píng)估的重心在于信息

9、安全，不同行業(yè)的信息系統(tǒng)有一定的差異，但是總的分析方法和手段差異不大，對(duì)于電 力行業(yè)來(lái)說(shuō)，由于電源、電網(wǎng)、電建的業(yè)務(wù)不同，其信息系統(tǒng)的建設(shè)也各不相同，在與 業(yè)務(wù)相關(guān)的部分，可以采用選擇性調(diào)整分析方法，如對(duì)業(yè)務(wù)的威脅分析時(shí)可以考慮安全 數(shù)據(jù)流方法，針對(duì)復(fù)雜業(yè)務(wù)系統(tǒng)交互關(guān)系帶來(lái)的影響進(jìn)行分析。不同的單位級(jí)別可能對(duì) 信息系統(tǒng)規(guī)模造成影響，增加系統(tǒng)的復(fù)雜性，一般來(lái)說(shuō)越復(fù)雜的信息系統(tǒng)所需要考慮的 問(wèn)題越多，相比之下，低級(jí)別的單位注重解決現(xiàn)實(shí)的安全問(wèn)題，高級(jí)別的單位更注重整 體的信息系統(tǒng)安全。王曉東（同有賽博副總經(jīng)理）：通常的安全評(píng)估可分為確定評(píng)估范圍、資產(chǎn)的識(shí)別 和估價(jià)、威脅評(píng)估、脆弱性評(píng)估、風(fēng)險(xiǎn)分析及

10、風(fēng)險(xiǎn)控制等6個(gè)步驟。風(fēng)險(xiǎn)評(píng)估的重點(diǎn)在 于，通過(guò)風(fēng)險(xiǎn)評(píng)估把風(fēng)險(xiǎn)管理工作日?；?。對(duì)于不同評(píng)估單位如電源、電網(wǎng)、電建，不 同的單位級(jí)別如集團(tuán)級(jí)、電廠(chǎng)級(jí)或者國(guó)家級(jí)、省級(jí)、地市級(jí)，安全評(píng)估應(yīng)該采取不同的 方法和偏重不同的重點(diǎn)?？梢苑譃橥ǔ５娜箢?lèi)：基本的風(fēng)險(xiǎn)評(píng)估、詳細(xì)的風(fēng)險(xiǎn)評(píng)估、 綜合的風(fēng)險(xiǎn)評(píng)估。對(duì)于不同的評(píng)估單位，由于風(fēng)險(xiǎn)管理的要求和業(yè)務(wù)的側(cè)重點(diǎn)不一樣， 評(píng)估服務(wù)提供商應(yīng)針對(duì)企業(yè)不同的安全管理需求，制訂安全評(píng)估的方法、范圍、目標(biāo)。 同有通過(guò)用以下三大點(diǎn)來(lái)衡量確定：確定安全評(píng)估范圍需求：了解企業(yè)的管理要求和業(yè) 務(wù)流程，幫助企業(yè)分析、確認(rèn)根本需求和目標(biāo)需求；確認(rèn)合法合規(guī)性的需求：確定企業(yè) 戰(zhàn)略發(fā)展對(duì)企業(yè)的

11、安全管理要求，選擇適合的評(píng)估指導(dǎo)標(biāo)準(zhǔn)；制訂評(píng)估輸出的目標(biāo)：從 方法和重點(diǎn)的不一樣，確定相應(yīng)的評(píng)估輸出。在整個(gè)安全風(fēng)險(xiǎn)評(píng)估周期中都要借助哪些評(píng)估工具？他們各有什么特 點(diǎn)？使用這些評(píng)估工具后能夠獲得哪些效果？肖立昕（啟明星辰信息技術(shù)有限公司泰合中心技術(shù)總監(jiān)）：在現(xiàn)階段，安全風(fēng)險(xiǎn)評(píng) 估目前仍有大量工作需要依賴(lài)手工進(jìn)行，靠安全專(zhuān)家來(lái)完成信息整合，比較常用的工具 包括漏洞掃描系統(tǒng)、入侵檢測(cè)系統(tǒng)、安全審計(jì)系統(tǒng)、安全知識(shí)庫(kù)、安全管理平臺(tái)等。漏 洞掃描系統(tǒng)在脆弱性評(píng)估階段使用，用于對(duì)系統(tǒng)進(jìn)行脆弱性分析，在較高要求的環(huán)境下 還需要和人工控制臺(tái)審計(jì)相結(jié)合才能提供完整的脆弱性評(píng)估結(jié)論，入侵檢測(cè)系統(tǒng)和安全 審計(jì)系統(tǒng)用

12、于威脅評(píng)估階段，數(shù)據(jù)結(jié)果在與專(zhuān)家分析結(jié)論結(jié)合后形成威脅評(píng)估結(jié)論，安 全知識(shí)庫(kù)用于存儲(chǔ)資產(chǎn)數(shù)據(jù)以及威脅評(píng)估、脆弱性評(píng)估的結(jié)論，安全管理平臺(tái)是新的技 術(shù)工具，一般內(nèi)置安全知識(shí)庫(kù)，并能在線(xiàn)獲取漏洞掃描、入侵檢測(cè)、安全審計(jì)以及其它 安全設(shè)備的數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行在線(xiàn)分析，自動(dòng)生成報(bào)告。目前的安全管理平臺(tái)在 安全風(fēng)險(xiǎn)評(píng)估中一般用于風(fēng)險(xiǎn)控制和降低風(fēng)險(xiǎn)階段，在風(fēng)險(xiǎn)評(píng)估階段中的使用還在嘗試、 摸索和改進(jìn)中。除此之外，市場(chǎng)上還有風(fēng)險(xiǎn)自評(píng)估的工具，可以幫助用戶(hù)完成相對(duì)較低 要求的風(fēng)險(xiǎn)評(píng)估工作。王曉東（同有賽博副總經(jīng)理）：在安全評(píng)估項(xiàng)目中，會(huì)用到問(wèn)卷調(diào)查、手動(dòng)檢查、 工具掃描、漏洞掃描、滲透測(cè)試等評(píng)估工具。由于評(píng)

13、估服務(wù)提供商的方法論和所使用的 自動(dòng)化工具的不同，特點(diǎn)和效果會(huì)有很大的出入。對(duì)于掃描和測(cè)試，不管使用的是自主 開(kāi)發(fā)的工具還是專(zhuān)業(yè)廠(chǎng)商的工具，服務(wù)提供商對(duì)攻擊手段的理解和能夠模擬實(shí)現(xiàn)攻擊者 的攻擊手段是最重要的。同友認(rèn)為，風(fēng)險(xiǎn)是矛和盾的關(guān)系，能防得住可能有的攻擊，才 是最好的防御，所以，對(duì)于評(píng)估工具的效果，主要決定于服務(wù)商對(duì)攻、防的理解和所掌 據(jù)的攻防手段。取決于服務(wù)提供商對(duì)工具的運(yùn)用。電力企業(yè)對(duì)于自身信息安全評(píng)估制定自己的管理辦法和行業(yè)法規(guī)，那 么安全風(fēng)險(xiǎn)評(píng)估在與電力法規(guī)遵從性上如何結(jié)合？肖立昕（啟明星辰信息技術(shù)有限公司泰合中心技術(shù)總監(jiān)）：目前安全風(fēng)險(xiǎn)評(píng)估的國(guó) 家標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估指南和信息

14、安全風(fēng)險(xiǎn)管理指南經(jīng)過(guò)數(shù)年的努力，目前 已經(jīng)在報(bào)批階段，即將發(fā)布，電力企業(yè)可以參照國(guó)家標(biāo)準(zhǔn)制定自己的管理辦法和行業(yè)法 規(guī)。王曉東（同有賽博副總經(jīng)理）：安全風(fēng)險(xiǎn)評(píng)估在與電力法規(guī)遵從性的結(jié)合可從二個(gè) 方面去做：一是主要與電力行業(yè)法規(guī)中有關(guān)風(fēng)險(xiǎn)管理和審計(jì)要求相結(jié)合。企業(yè)的戰(zhàn)略發(fā) 展策略是企業(yè)的根本，在企業(yè)的戰(zhàn)略發(fā)展策略中，風(fēng)險(xiǎn)管理和IT治理非常重要。目前企 業(yè)的信息系統(tǒng)支撐著企業(yè)業(yè)務(wù)的發(fā)展是不可置疑的，因而風(fēng)險(xiǎn)評(píng)估應(yīng)遵從企業(yè)的管理辦 法和行業(yè)法規(guī)，幫助企業(yè)運(yùn)用標(biāo)準(zhǔn)，為風(fēng)險(xiǎn)管理提供數(shù)據(jù)，為審計(jì)提供素材，以符合企 業(yè)的戰(zhàn)略發(fā)展中的相應(yīng)要求。二是主要與企業(yè)要實(shí)現(xiàn)的信息安全管理體系相結(jié)合。企業(yè) 的信息安全管理

15、體系是一個(gè)系統(tǒng)工程，風(fēng)險(xiǎn)評(píng)估應(yīng)結(jié)合企業(yè)不同階段的風(fēng)險(xiǎn)管理要求和 企業(yè)的風(fēng)險(xiǎn)管理水平，現(xiàn)狀，與企業(yè)的信息安全管理體系建設(shè)相結(jié)合。電力信息安全評(píng)估的周期應(yīng)該為多長(zhǎng)時(shí)間？電力信息安全評(píng)估業(yè)務(wù)是 否可以外包？外包的好處有哪些？在這點(diǎn)上，國(guó)外電力企業(yè)是如何做的？ 此項(xiàng)業(yè)務(wù)在我國(guó)開(kāi)展得如何？存在哪些困難？肖立昕（啟明星辰信息技術(shù)有限公司泰合中心技術(shù)總監(jiān)）：從理論上講，企業(yè)應(yīng)該 能隨時(shí)了解自身的安全狀況，但是以目前的風(fēng)險(xiǎn)評(píng)估實(shí)施能力，無(wú)論自行實(shí)施還是外包 實(shí)施都不可能做到，參考國(guó)內(nèi)其它行業(yè)，比如金融行業(yè)，人行的要求是每2年一次，電 力行業(yè)可以根據(jù)自身的情況來(lái)制定關(guān)于評(píng)估周期的要求，考慮到電力企業(yè)業(yè)務(wù)高度實(shí)時(shí)

16、 性的特點(diǎn)，也可以采用安全管理平臺(tái)，建設(shè)實(shí)時(shí)的安全評(píng)估系統(tǒng)。安全評(píng)估業(yè)務(wù)外包無(wú) 論在國(guó)內(nèi)還是國(guó)外都是比較普遍的行為，外包可以有效的降低成本，獲得專(zhuān)業(yè)公司提供 的安全服務(wù)，但是外包也可能帶來(lái)額外風(fēng)險(xiǎn)，外包風(fēng)險(xiǎn)的控制對(duì)于國(guó)內(nèi)電力企業(yè)來(lái)說(shuō)還 是一個(gè)比較新的問(wèn)題，需要積累經(jīng)驗(yàn)，建立相關(guān)的管理制度，也需要相關(guān)法律法規(guī)的支 持。王曉東（同有賽博副總經(jīng)理）：電力信息系統(tǒng)全面專(zhuān)業(yè)的安全評(píng)估的周期應(yīng)該一年 一次，以免影響信息系統(tǒng)業(yè)務(wù)的運(yùn)行。但從風(fēng)險(xiǎn)管理工作的要求來(lái)看，企業(yè)應(yīng)建立自我 評(píng)估體系，不定期的根據(jù)實(shí)際情況進(jìn)行自我評(píng)估。電力信息安全評(píng)估業(yè)務(wù)可以外包。因 為風(fēng)險(xiǎn)評(píng)估畢竟是一個(gè)專(zhuān)業(yè)性很強(qiáng)的業(yè)務(wù)，需要對(duì)標(biāo)準(zhǔn)的理

17、解和釋放，需要專(zhuān)業(yè)經(jīng)驗(yàn)和 水平。另外，專(zhuān)業(yè)的風(fēng)險(xiǎn)評(píng)估和自我評(píng)估還是有很大的區(qū)別。風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)在國(guó)內(nèi)開(kāi)展 了很長(zhǎng)一段時(shí)間，以我個(gè)人感覺(jué)來(lái)說(shuō)，大多數(shù)的風(fēng)險(xiǎn)評(píng)估都會(huì)遵從國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)的標(biāo) 準(zhǔn)，其結(jié)果是與企業(yè)的需求結(jié)合得并不緊密，所以，企業(yè)在進(jìn)行完風(fēng)險(xiǎn)評(píng)估后，對(duì)其效 果，不同安全管理水平的不同企業(yè)會(huì)有不同的感受。如何使得風(fēng)險(xiǎn)評(píng)估貼近企業(yè)的安全 管理需求，實(shí)現(xiàn)企業(yè)的風(fēng)險(xiǎn)管理目標(biāo)，而不是給客戶(hù)提供一堆文檔，要求進(jìn)行安全產(chǎn)品 的建設(shè)，把風(fēng)險(xiǎn)評(píng)估后的安全產(chǎn)品建設(shè)變成風(fēng)險(xiǎn)評(píng)估的成果。這是值得風(fēng)險(xiǎn)評(píng)估服務(wù)提 供商深思的。貴公司的信息安全評(píng)估工作有哪些特色？借助了何種評(píng)估工具？在電 力領(lǐng)域?qū)⑷绾伟l(fā)展？肖立昕（啟明星

18、辰信息技術(shù)有限公司泰合中心技術(shù)總監(jiān)）：?jiǎn)⒚餍浅绞菄?guó)內(nèi)信息安 全評(píng)估行業(yè)的領(lǐng)導(dǎo)企業(yè)，在信息安全評(píng)估方面的知識(shí)、經(jīng)驗(yàn)、理論、方法、工具和人才 都有非常深厚的積累，經(jīng)過(guò)多年的積淀，融合信息安全評(píng)估的主流標(biāo)準(zhǔn)和技術(shù)，開(kāi)發(fā)了 漏洞掃描、入侵檢測(cè)、安全審計(jì)、安全自評(píng)估系統(tǒng)、安全管理平臺(tái)等一系列評(píng)估工具和 產(chǎn)品，建立了安全評(píng)估所需要的知識(shí)庫(kù)、工具庫(kù)和漏洞庫(kù)，培養(yǎng)了強(qiáng)大的技術(shù)人才梯隊(duì)， 形成了有自身特色的安全評(píng)估技術(shù)體系。啟明星辰愿意把自己的成功經(jīng)驗(yàn)與電力行業(yè)分 享，支持電力行業(yè)安全評(píng)估工作的順利開(kāi)展，為電力行業(yè)提供貫穿信息系統(tǒng)生命周期的 安全服務(wù)，提供全系列的安全產(chǎn)品和解決方案。王曉東（同有賽博副總經(jīng)理）：同有賽博的安全評(píng)估特點(diǎn)主要表現(xiàn)在以下方面：1、 同有賽博的安全評(píng)估特點(diǎn)在于充分重視企業(yè)的安全管理需求，使評(píng)估不單單停留在文檔 輸出方面，而是運(yùn)用一套貼近企業(yè)安全管理需求的評(píng)估方法，讓信息安全管理體系標(biāo)準(zhǔn) 在企業(yè)的實(shí)踐中體現(xiàn)其價(jià)值。2、同有賽博的安全評(píng)估的目標(biāo)是幫助企業(yè)把風(fēng)險(xiǎn)管理工作 實(shí)現(xiàn)日?；?，建立起風(fēng)險(xiǎn)管理工作流程。3、同有賽博非常愿意對(duì)企業(yè)進(jìn)行知識(shí)轉(zhuǎn)移，會(huì) 在風(fēng)險(xiǎn)評(píng)估的不同階