安全管理 -145- 关于网络与信息安全风险管理与 智能化管理融合的思考 上海核工程研究设计院有限公司，魏国华、程懿、陈丽鹏、刘海永、许上鉴、高志刚 摘 要：本文首先介绍了网络与信息安全风险管理的基础理论以及在核能行业管理要求下的管理要求与近年行业风 险管理工作的发展趋势。提出了通过 SIEM（安全信息和事件管理）的管理模式依托 OSSIM 及安全态势感知系统构建一套 智能化的网络与信息安全风险管理平台的设想。系统采用基于 Linux 底层技术的开源 OSSIM 系统，通过 B/S 架构模式实 现，利用 Snort、Rrd、Nmap、Nessus 及 Ntop 等开源系统安全软件构建安全信息管理系统，在开放式架构体系环境下， 通过小范围开发，实现与基于 FEMA 方法为基础的风险评估方法的系统集成。实现风险评估过程中的资产管理、脆弱性管 理、威胁管理、风险与残余风险管理、安全事件和风控措施实施统筹管理等，尝试通过与安全态势感知系统建立接口实 现风险基线预警，实现整个管理活动生命周期的数据化与自动化管理。促进核电设计行业网络与信息安全风险管理能力 与标准化建设与发展。 关键词：网络安全；信息安全；风险管理；自动化 1.1 风险管理的定义 在信息化活动中，各类应用系统及其赖以运行 的基础网络、处理的数据和信息，由于其可能存在 的软硬件缺陷、系统集成缺陷等，以及信息安全管 理中潜在的薄弱环节，而导致的不同程度的安全风险。 1.2 风险评估 信息安全风险评估是从风险管理的角度，运用 科学的手段，系统的分析网络与信息系统所面临的 威胁及其存在的脆弱性，评估安全事件一旦发生可 能造成的危害程度，为防范和化解信息安全风险， 或者将风险控制在可以接受的水平，制定有针对性 的抵御威胁的防护对策和整改措施以最大限度的保 障网络和信息安全提供科学依据。 1.3 核电行业风险管理现状 现阶段我国核电行业的信息化技术不断发展， 已由初级阶段的电子化、对数据进行记录、保存和 处理，替代人工化记录和传统文档阶段向中高级阶 段的数据仓库和业务数据工作流转处理实现业务流 程的信息化甚至知识化智能化的阶段发展。随之而 来的是基础架构与运算环境、网络环境的不断向高 度复杂化的发展，伴随技术革新而来的除了业务信 息化带来的便利与高效化，更多的安全问题隐秘在 复杂的环境中，但行业内的风险管理工作未能紧随 信息化发展的速度发展到智能化阶段，普遍仍采取 传统工具或少量数据管理工具实现，由于网络与信 息安全风险知识体系广度及深度在不断加大，传统 方法将导致风险评估覆盖范围缺失以及边际和关联 风险问题的遗漏。因此，风险管理方法及其采用的 措施有效性已成为风险管理范畴中最严重的风险。 基于前述对风险管理方法与工具落后的问题， 我们亟待构建一套适应现阶段管理需要、满足基础 架构风险复杂化、边际化、关联化特点的适用风险 管理的方法体系和工具。