信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性……，”信息中心安評(píng)部信息安全管理專責(zé)蘇永東對(duì)信息安全風(fēng)險(xiǎn)評(píng)估這樣認(rèn)識(shí)，“通過安全風(fēng)險(xiǎn)評(píng)估，可對(duì)安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障信息安全提供科學(xué)依據(jù)……” 

 

信息安全風(fēng)險(xiǎn)評(píng)估，一直是信息中心安評(píng)部工作的重中之重，“這是一種典型的防患于未然的重要舉措，要做到讓信息安全像陽光和空氣一樣，盡量讓大家在工作中感受不到，我們要做的就是不讓其出現(xiàn)缺失……” 信息中心安評(píng)部主任周靖這樣看待信息安全。

 

去年開展的信息安全風(fēng)險(xiǎn)評(píng)估工作是對(duì)云南電網(wǎng)公司現(xiàn)有內(nèi)網(wǎng)信息系統(tǒng)、新增的對(duì)外信息系統(tǒng)以及網(wǎng)絡(luò)邊界展開全面深入的風(fēng)險(xiǎn)評(píng)估，最終分析出云南電網(wǎng)公司信息安全風(fēng)險(xiǎn)總體狀況。此次風(fēng)險(xiǎn)評(píng)估比往年更加注重應(yīng)用安全，開展了業(yè)務(wù)流程仿真測(cè)試、滲透測(cè)試等評(píng)估工作。此次現(xiàn)場(chǎng)評(píng)估的時(shí)間為11個(gè)工作日，具體工作內(nèi)容是系統(tǒng)調(diào)研表信息完善及核對(duì)、現(xiàn)有安全防護(hù)措施識(shí)別與分析，網(wǎng)絡(luò)設(shè)備、安全設(shè)備及網(wǎng)絡(luò)邊界評(píng)估，主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用、終端核查，業(yè)務(wù)安全專項(xiàng)測(cè)試，漏洞掃描、木馬檢測(cè)，安全管理，滲透測(cè)試。

 

測(cè)評(píng)工作組通過測(cè)評(píng)，提出網(wǎng)絡(luò)層存在20個(gè)風(fēng)險(xiǎn)點(diǎn)，應(yīng)用層存在29個(gè)風(fēng)險(xiǎn)點(diǎn)和終端層有4個(gè)風(fēng)險(xiǎn)點(diǎn)。隨后，中心安全測(cè)評(píng)部立即組織開展測(cè)評(píng)的整改工作。通過一個(gè)月的努力，在設(shè)備管理部、應(yīng)用技術(shù)部和客戶服務(wù)部的協(xié)作下，共同完成了2014年南網(wǎng)一體化風(fēng)險(xiǎn)評(píng)估的整改工作，網(wǎng)絡(luò)層整改風(fēng)險(xiǎn)點(diǎn)20項(xiàng)、應(yīng)用層整改風(fēng)險(xiǎn)點(diǎn)29項(xiàng)、終端層完成4個(gè)風(fēng)險(xiǎn)點(diǎn)的整改。

 

2015年，測(cè)評(píng)工作組再次來到信息中心開展回歸測(cè)試工作。通過對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備及網(wǎng)絡(luò)邊界，主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用、終端，漏洞、木馬，滲透開展回歸核查測(cè)試，確認(rèn)所存在的所有風(fēng)險(xiǎn)點(diǎn)已全部完成整改，中心安全風(fēng)險(xiǎn)評(píng)估回歸性測(cè)試一次性通過。

 

“通過這次信息安全風(fēng)險(xiǎn)評(píng)估、整改及回歸性測(cè)試，我們?nèi)姘l(fā)現(xiàn)、掌握了云南電網(wǎng)所面臨的信息安全風(fēng)險(xiǎn)，進(jìn)一步提升了信息安全保障能力和防護(hù)水平……”信息中心安評(píng)部主任周靖這樣總結(jié)，“信息安全風(fēng)險(xiǎn)管理，就是要迅速、及時(shí)地應(yīng)對(duì)所面臨的網(wǎng)絡(luò)安全威脅，將信息安全風(fēng)險(xiǎn)降到最低……”（劉玉婷）