電力企業(yè)信息安全風(fēng)險(xiǎn)評估的方法探討

信息安全風(fēng)險(xiǎn)評估，是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施。并為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。

電力企業(yè)信息安全的風(fēng)險(xiǎn)分析

基礎(chǔ)設(shè)施風(fēng)險(xiǎn)分析

基礎(chǔ)設(shè)施安全是信息系統(tǒng)安全的必要前提。目前電力系統(tǒng)在機(jī)房基礎(chǔ)設(shè)施建設(shè)的訪問管理存在缺陷，亟待解決。比如樓層交換機(jī)的機(jī)柜位置及其不安全，非運(yùn)維管理人員可以隨時(shí)接觸，給內(nèi)部攻擊和竊密提供方便。

信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

部分電力企業(yè)用戶由于工作需要涉及互聯(lián)網(wǎng)，這給信息內(nèi)網(wǎng)帶來安全隱患；局域網(wǎng)及廣域網(wǎng)內(nèi)部用戶有意或者無意地對信息系統(tǒng)發(fā)起攻擊和泄密行為。此外企業(yè)內(nèi)部人員技術(shù)水平，信息設(shè)備性能等各方面的制約，使得整個(gè)電力信息網(wǎng)絡(luò)的外部邊界保護(hù)能力存在一定差異，均降低整個(gè)信息系統(tǒng)安全防護(hù)能力。

其他設(shè)備的安全風(fēng)險(xiǎn)分析

沒有完整的備份策略，備份不及時(shí)或者沒有應(yīng)急預(yù)案；移動(dòng)介質(zhì)管理不規(guī)范，對備份介質(zhì)沒有做領(lǐng)取、使用等方面的記錄。災(zāi)難恢復(fù)水平低，沒有有關(guān)災(zāi)難恢復(fù)的管理制度等。

管理風(fēng)險(xiǎn)分析

隨著信息技術(shù)日新月異的發(fā)展，近些年來，電力企業(yè)在信息化應(yīng)用方面的要求也在逐步提高，但其中安全意識(shí)薄弱，管理制度不健全以及缺乏可操作性等都可能引起安全管理的風(fēng)險(xiǎn)。

圖1 風(fēng)險(xiǎn)計(jì)算流程圖

電力企業(yè)信息安全的風(fēng)險(xiǎn)計(jì)算

結(jié)合電力企業(yè)實(shí)際情況，從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的手段，對信息資產(chǎn)存在的脆弱性、面臨的威脅以及脆弱性被威脅利用會(huì)產(chǎn)生的負(fù)面影響和危害事件發(fā)生的可能性，進(jìn)行科學(xué)評價(jià)的過程。力圖通過最優(yōu)的風(fēng)險(xiǎn)管理策略，把信息系統(tǒng)上客觀存在的風(fēng)險(xiǎn)，逐步降低到一個(gè)可以接受的程度。由于電力企業(yè)目前受到的威脅涉及環(huán)境威脅、內(nèi)部人員威脅、外部人員威脅以及環(huán)境威脅四個(gè)方面，脆弱性涵蓋管理脆弱性、運(yùn)維脆弱性以及技術(shù)脆弱性三個(gè)環(huán)節(jié)。根據(jù)風(fēng)險(xiǎn)評估的關(guān)鍵要素：資產(chǎn)、威脅和脆弱性，風(fēng)險(xiǎn)計(jì)算流程如圖1所示：

采用Z=f（x，y）=x*y公式計(jì)算風(fēng)險(xiǎn)值，函數(shù)f可以采用矩陣法。矩陣法的原理是：x={x1，x2，…，xi，…，xm}，1≦i≦m，xi為正整數(shù)，

y={y1，y2，…，yi，…，yn}，1≦y≦n，yj為正整數(shù)，

表1 信息系統(tǒng)威脅等級示意圖

圖2 防范措施流程圖

以要素x和要素y的取值構(gòu)建一個(gè)二維矩陣，矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值。矩陣內(nèi)m×n個(gè)值即為要素z的取值，z={z11，z12，…，zij，…，zmn}，1≤i≤m，1≤j≤n，zij為正整數(shù)。

信息安全風(fēng)險(xiǎn)值=安全事件發(fā)生可能性*安全事件損失

其中，安全事件發(fā)生可能性=威脅發(fā)生頻率*脆弱性嚴(yán)

重程度；安全事件損失=資產(chǎn)價(jià)值*脆弱性嚴(yán)重程度；經(jīng)過計(jì)算，將風(fēng)險(xiǎn)等級劃分如下：

通過防范措施實(shí)施后如圖2所示，信息系統(tǒng)威脅等級如圖1所示。

通過技術(shù)手段加管理手段等有效的防范措施，同時(shí)借助信息安全常態(tài)防護(hù)機(jī)制和不定期督查機(jī)制，使得信息安全風(fēng)險(xiǎn)得到大幅度的降低。

總結(jié)

隨著信息技術(shù)的廣泛應(yīng)用和國際互聯(lián)網(wǎng)的不斷發(fā)展，信息安全問題也越來越復(fù)雜和多樣化，信息系統(tǒng)安全風(fēng)險(xiǎn)評估也日益得到人們的重視，在電力企業(yè)內(nèi)部建立健全信息安全體系的同時(shí)，制定相應(yīng)的安全管理措施，定期對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估以及審計(jì)，確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，為電力企業(yè)創(chuàng)造更加美好的未來。

10.3969/j.issn.1001- 8972.2016.20.022