摘要:本篇文章是一篇 電力論文 ,發(fā)表在《 吉林電力 》上,雜志是經(jīng)國(guó)家新聞出版總署正式批準(zhǔn),面向國(guó)內(nèi)外公開(kāi)發(fā)行的國(guó)家期刊,《中國(guó)核心期刊(遴選)數(shù)據(jù)庫(kù)》、《中國(guó)期刊全文數(shù)據(jù)庫(kù)
本篇文章是一篇電力論文,發(fā)表在《吉林電力》上,雜志是經(jīng)國(guó)家新聞出版總署正式批準(zhǔn),面向國(guó)內(nèi)外公開(kāi)發(fā)行的國(guó)家期刊,《中國(guó)核心期刊(遴選)數(shù)據(jù)庫(kù)》、《中國(guó)期刊全文數(shù)據(jù)庫(kù)》、《中文科技期刊數(shù)據(jù)庫(kù)》、《中國(guó)期刊網(wǎng)》等數(shù)據(jù)庫(kù)全文收錄期刊,雜志集權(quán)威性、理論性與專(zhuān)業(yè)性于一體,具有很高的學(xué)術(shù)價(jià)值,是作者科研、晉級(jí)等方面的權(quán)威依據(jù),歡迎廣大作者積極撰寫(xiě)論文,踴躍投稿。
論文摘要:本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是一個(gè)多專(zhuān)家評(píng)估系統(tǒng),主要模塊分為風(fēng)險(xiǎn)評(píng)估管理端、系統(tǒng)評(píng)估端、信息庫(kù)管理端和知識(shí)庫(kù)管理端,嚴(yán)格按照《指南》的風(fēng)險(xiǎn)評(píng)估流程進(jìn)行評(píng)估,使評(píng)估結(jié)果更全面更客觀。
論文關(guān)鍵詞:信息安全,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)分析,電力論文
一、前言
電力系統(tǒng)越來(lái)越依賴電力信息網(wǎng)絡(luò)來(lái)保障其安全、可靠、高效的運(yùn)行,該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問(wèn)題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行,因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1,2]。風(fēng)險(xiǎn)評(píng)估具體的評(píng)估方法從早期簡(jiǎn)單的純技術(shù)操作,逐漸過(guò)渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn),以威脅為觸發(fā),以技術(shù)、管理、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型[3]。
二、信息安全風(fēng)險(xiǎn)評(píng)估
在我國(guó),風(fēng)險(xiǎn)評(píng)估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國(guó)試點(diǎn)工作階段,國(guó)信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》[4](簡(jiǎn)稱《指南》)得到了較好地實(shí)踐。本文設(shè)計(jì)的工具是基于《指南》的,涉及內(nèi)容包括:
(一)風(fēng)險(xiǎn)要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開(kāi),在對(duì)基本要素的評(píng)估過(guò)程中,需要充分考慮業(yè)務(wù)倡議、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與基本要素相關(guān)的各類(lèi)屬性。
(二)風(fēng)險(xiǎn)分析原理。資產(chǎn)的屬性是資產(chǎn)價(jià)值;威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。
(三)風(fēng)險(xiǎn)評(píng)估流程。包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)消減[5]。
三、電力信息網(wǎng)風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn),設(shè)計(jì)階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風(fēng)險(xiǎn)評(píng)估工具。系統(tǒng)采用C/S結(jié)構(gòu),是一個(gè)多專(zhuān)家共同評(píng)估的風(fēng)險(xiǎn)評(píng)估工具。分為知識(shí)庫(kù)管理端、信息庫(kù)管理端、系統(tǒng)評(píng)估端、評(píng)估管理端。其中前兩個(gè)工具用于更新知識(shí)庫(kù)和信息庫(kù)。后兩個(gè)工具是風(fēng)險(xiǎn)評(píng)估的主體。下面對(duì)系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹:
(一)評(píng)估管理端。評(píng)估管理端控制風(fēng)險(xiǎn)評(píng)估的進(jìn)度,綜合管理系統(tǒng)評(píng)估端的評(píng)估結(jié)果。具體表現(xiàn)在:開(kāi)啟評(píng)估任務(wù);分配風(fēng)險(xiǎn)評(píng)估專(zhuān)家;對(duì)準(zhǔn)備階段、資產(chǎn)識(shí)別階段、威脅識(shí)別階段、脆弱性識(shí)別階段、已有控制措施識(shí)別階段、風(fēng)險(xiǎn)分析階段、選擇控制措施階段這七個(gè)階段多個(gè)專(zhuān)家的評(píng)估進(jìn)行確認(rèn),對(duì)多個(gè)專(zhuān)家的評(píng)估數(shù)據(jù)進(jìn)行綜合,得到綜合評(píng)估結(jié)果。
(二)系統(tǒng)評(píng)估端。系統(tǒng)評(píng)估端由多個(gè)專(zhuān)家操作,同時(shí)開(kāi)展評(píng)估。系統(tǒng)評(píng)估端要經(jīng)歷如下階段:a.準(zhǔn)備階段:評(píng)估系統(tǒng)中CIA的相對(duì)重要性;b.資產(chǎn)識(shí)別階段;c.威脅識(shí)別階段;d.脆弱性識(shí)別階段;e.已有控制措施識(shí)別階段;f.風(fēng)險(xiǎn)分析階段;g.控制措施選擇階段。在完成了風(fēng)險(xiǎn)評(píng)估的所有階段之后,和評(píng)估管理端一樣,可以瀏覽、導(dǎo)出、打印評(píng)估的結(jié)果—風(fēng)險(xiǎn)評(píng)估報(bào)表系列。
(三)信息庫(kù)管理端。信息庫(kù)管理端由資產(chǎn)管理,威脅管理,脆弱點(diǎn)管理,控制措施管理四部分組成。具體功能是:對(duì)資產(chǎn)大類(lèi)、小類(lèi)進(jìn)行管理;對(duì)威脅列表進(jìn)行管理;對(duì)脆弱點(diǎn)大類(lèi)、列表進(jìn)行管理;對(duì)控制措施列表進(jìn)行管理。
(四)知識(shí)庫(kù)管理端。知識(shí)庫(kù)的管理分為系統(tǒng)CIA問(wèn)卷管理,脆弱點(diǎn)問(wèn)卷管理,威脅問(wèn)卷管理,資產(chǎn)屬性問(wèn)卷管理,控制措施問(wèn)卷管理,控制措施損益問(wèn)卷管理六部分。
四、總結(jié)
信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)新興的領(lǐng)域,本文在介紹了信息安全風(fēng)險(xiǎn)評(píng)估研究意義的基礎(chǔ)之上,詳細(xì)闡述了信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的結(jié)構(gòu)設(shè)計(jì)和系統(tǒng)主要部分的功能描述。測(cè)試結(jié)果表明系統(tǒng)能對(duì)已有的控制措施進(jìn)行識(shí)別,分析出已有控制措施的實(shí)施效果,為風(fēng)險(xiǎn)處理計(jì)劃提供依據(jù)。
參考文獻(xiàn):
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估中幾個(gè)重要問(wèn)題的認(rèn)識(shí)[J].計(jì)算機(jī)安全,2004,7:64-66
[4]國(guó)務(wù)院信息辦.信息安全風(fēng)險(xiǎn)評(píng)估指南[S].2006
