◆關(guān)天龍

（山東新潮信息技術(shù)有限公司 山東 250000）

電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

◆關(guān)天龍

（山東新潮信息技術(shù)有限公司 山東 250000）

隨著信息技術(shù)的廣泛應(yīng)用和迅速發(fā)展，信息安全問(wèn)題涉及的領(lǐng)域越來(lái)越多，做好信息安全工作是保障國(guó)家經(jīng)濟(jì)建設(shè)持續(xù)健康發(fā)展的當(dāng)務(wù)之急。2003年9月，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）指出要“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)”，此后國(guó)家不斷加大信息安全工作力度，先后發(fā)布了很多加強(qiáng)信息安全保障工作的政策。

風(fēng)險(xiǎn)評(píng)估；評(píng)估工具；評(píng)估系統(tǒng)；風(fēng)險(xiǎn)評(píng)估知識(shí)庫(kù)；風(fēng)險(xiǎn)評(píng)估量化方法

0 引言

黨的十七大報(bào)告中指出“發(fā)展現(xiàn)代產(chǎn)業(yè)體系，大力推進(jìn)信息化與工業(yè)化融合”，這一方針對(duì)信息安全保障工作提出了更高要求?！吨腥A人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十一個(gè)五年規(guī)劃綱要》中指出，“積極推進(jìn)信息化，要堅(jiān)持以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化，提高經(jīng)濟(jì)社會(huì)信息化水平”。要“強(qiáng)化信息安全保障”，“積極防御、綜合防范，提高信息安全保障能力；強(qiáng)化安全監(jiān)控、應(yīng)急響應(yīng)、密鑰管理、網(wǎng)絡(luò)信任等信息安全基礎(chǔ)設(shè)施建設(shè)；加強(qiáng)基礎(chǔ)信息網(wǎng)絡(luò)和國(guó)家重要信息系統(tǒng)的安全防護(hù)；推進(jìn)信息安全產(chǎn)品產(chǎn)業(yè)化；發(fā)展咨詢、測(cè)評(píng)、災(zāi)備等專業(yè)化信息安全服務(wù)；健全安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和安全準(zhǔn)入制度”。

電力行業(yè)信息系統(tǒng)尤其是電力監(jiān)控系統(tǒng)作為國(guó)家的重要基礎(chǔ)信息系統(tǒng)的安全性應(yīng)受到高度重視，電力監(jiān)控系統(tǒng)覆蓋全國(guó)的國(guó)家、省、市、地、縣的電網(wǎng)調(diào)度中心，各級(jí)變電站，各類電廠總數(shù)超過(guò)萬(wàn)個(gè)，建設(shè)廠家覆蓋廣，采用的基礎(chǔ)環(huán)境種類多，系統(tǒng)環(huán)境復(fù)雜。如何高效、準(zhǔn)確、統(tǒng)一的對(duì)電力監(jiān)控次系統(tǒng)的安全防護(hù)能力進(jìn)行評(píng)估成為各級(jí)安全責(zé)任單位的重中之重。

1 國(guó)內(nèi)外研究動(dòng)態(tài)

1.1 國(guó)外風(fēng)險(xiǎn)評(píng)估概況

從美國(guó)國(guó)防部1985年發(fā)布著名的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC起世界各國(guó)根據(jù)自己的研究進(jìn)展和實(shí)際情況相繼發(fā)布了一系列有關(guān)安全評(píng)估準(zhǔn)則和標(biāo)準(zhǔn)如美國(guó)的TCSEC;英、法、德、荷等國(guó)20世紀(jì)90年代初發(fā)布的信息信息技術(shù)安全評(píng)估準(zhǔn)則ITSEC；由6國(guó)7方加拿大、法國(guó)、德國(guó)、荷蘭、英國(guó)、美國(guó)NIST及美國(guó)NSA于20世紀(jì)90年代中期提出的信息技術(shù)安全性評(píng)估通用準(zhǔn)則CC由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)BSI制定的信息安全管理標(biāo)準(zhǔn)BS7 79ISO17799以及最近得到ISO認(rèn)可SSE-CMMISO/IEC21827:2002等。

目前，常用的風(fēng)險(xiǎn)評(píng)估方法總體可以分為定量分析方法和定性分析方法。定量分析方法是指根據(jù)一定的數(shù)據(jù)建立數(shù)學(xué)模型然后計(jì)算分析各項(xiàng)指標(biāo)的一種方法；常見(jiàn)的定量分析方法有時(shí)序序列分析法、Markov分析法、因子分析法、聚類分析法、決策樹(shù)法、熵權(quán)系數(shù)法等。定性分析方法是主要依賴于分析者的經(jīng)驗(yàn)、直覺(jué)等一些非量化的指標(biāo)來(lái)對(duì)系統(tǒng)進(jìn)行分析的一種方法；常見(jiàn)的定性分析方法有德?tīng)柗品?、OCTAV方法，即可操作的關(guān)鍵威脅、資產(chǎn)和脆弱評(píng)估方法等。

定量分析方法就是對(duì)度量風(fēng)險(xiǎn)的所有要素賦予一定的數(shù)值，這樣就把整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程和結(jié)果量化，然后通過(guò)這些被量化的數(shù)值對(duì)信息系統(tǒng)進(jìn)行評(píng)估判定，簡(jiǎn)單地說(shuō)定量分析就是用數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。

定性分析不需要嚴(yán)格量化各個(gè)屬性，只是采用人為的判斷，主觀性很強(qiáng)，對(duì)評(píng)估者的要求很高，可以挖掘出一些蘊(yùn)藏很深的思想，使評(píng)估結(jié)論更全面、更深刻。在定性評(píng)估時(shí)并不使用具體的數(shù)據(jù)，而是指定期望值，利用這樣一種非量化形式對(duì)信息系統(tǒng)做出判斷。定性分析的評(píng)估方法比如德?tīng)柗品?，也稱為專家預(yù)測(cè)法，是通過(guò)背對(duì)背群體決策咨詢的方法各自獨(dú)立工作然后以系統(tǒng)的、獨(dú)立的方式綜合他們的判斷，它隔絕了群體成員間的相互影響，使評(píng)估更加準(zhǔn)確、客觀。定性分析是目前運(yùn)用最為廣泛的一種風(fēng)險(xiǎn)評(píng)估方法，定性分析可貫穿整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程。首先，在進(jìn)行資產(chǎn)識(shí)別時(shí)，通過(guò)咨詢調(diào)查等方式就信息系統(tǒng)的保密性、完整性和可用性分析來(lái)確定資產(chǎn)的價(jià)值；同理，在對(duì)威脅和脆弱性識(shí)別時(shí)也是利用一些非量化的指標(biāo)對(duì)信息系統(tǒng)進(jìn)行判斷，最后，根據(jù)風(fēng)險(xiǎn)評(píng)估計(jì)算公式得出風(fēng)險(xiǎn)值。

1.2 國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估概況

國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估可以按照高、中、低端簡(jiǎn)單地分類國(guó)內(nèi)高端市場(chǎng)往往網(wǎng)絡(luò)安全評(píng)估涵蓋在他們的整個(gè)審計(jì)體系之下中端市場(chǎng)上風(fēng)險(xiǎn)評(píng)估項(xiàng)目從最初對(duì)某證券公司進(jìn)行的純粹漏洞掃描、人工審計(jì)、滲透測(cè)試這種類型的純技術(shù)操作到套用 BS7799到采用OCTAVE方法再到最終形成自己的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的方法論、操作模型低端廠商往往只是通過(guò)簡(jiǎn)單的漏洞掃描、病毒查殺等方式操作他們的目標(biāo)客戶群體是小型企業(yè)不會(huì)為評(píng)估花費(fèi)太多的精力和金錢安全也只需要簡(jiǎn)單達(dá)到某一基線即可。

我國(guó)的GB-T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估指南是根據(jù)CC標(biāo)準(zhǔn)改進(jìn)來(lái)的。風(fēng)險(xiǎn)評(píng)估是圍繞著資產(chǎn)、風(fēng)險(xiǎn)、脆弱性這些基本要素展開(kāi)的每個(gè)要素都有各自的屬性資產(chǎn)的屬性是資產(chǎn)的價(jià)值其中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量而是由資產(chǎn)在保密性、完整性、可用性這三個(gè)安全屬性的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析原理圖如圖1所示。

圖1 風(fēng)險(xiǎn)分析原理圖

進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)由于安全屬性達(dá)到程度的不同將使資產(chǎn)具有不同的價(jià)值而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)到程度產(chǎn)生影響。首先對(duì)組織中資產(chǎn)進(jìn)行識(shí)別那么根據(jù)資產(chǎn)的表現(xiàn)形式可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。對(duì)資產(chǎn)分類后我們需要分別從保密性、完整性、可用性方面來(lái)確定資產(chǎn)的價(jià)值。其次對(duì)威脅進(jìn)行識(shí)別威脅可通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述造成威脅的因素可從人為因素和非人為因素分析判斷威脅在保密性、完整性和可用性方面造成的損害。接著對(duì)脆弱性的識(shí)別脆弱性是資產(chǎn)本身存在的如果沒(méi)有被相應(yīng)的威脅利用單純的脆弱本身不會(huì)對(duì)資產(chǎn)造成損害。也就是說(shuō)威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性所以對(duì)其進(jìn)行識(shí)別也是最困難的部分同時(shí)也是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層等各個(gè)層面的技術(shù)安全問(wèn)題。最后根據(jù)風(fēng)險(xiǎn)評(píng)估計(jì)算公式得出風(fēng)險(xiǎn)值。

1.3 評(píng)估工具的發(fā)展現(xiàn)狀

國(guó)信辦《信息安全風(fēng)險(xiǎn)評(píng)估指南》將風(fēng)險(xiǎn)評(píng)估的工具分為安全管理評(píng)價(jià)工具、系統(tǒng)軟件評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具三類。三類工具在評(píng)估活動(dòng)中分別側(cè)重不同的方面，對(duì)完成信息安全風(fēng)險(xiǎn)評(píng)估工作起到不同的作用。

安全管理評(píng)價(jià)工具側(cè)重的是安全管理方面。對(duì)信息所面臨的安全風(fēng)險(xiǎn)進(jìn)行全面的考慮，最后給出相應(yīng)的控制措施和解決辦法。這類評(píng)估工具通常基于某種模型之上。根據(jù)模型進(jìn)行相應(yīng)的資產(chǎn)、威脅、脆弱點(diǎn)識(shí)別，或者基于專家系統(tǒng)，利用專家經(jīng)驗(yàn)進(jìn)行風(fēng)險(xiǎn)分析。最后給出結(jié)論。該類工具比較著名的有CRAMM，COBRA等。

系統(tǒng)軟件評(píng)估工具側(cè)重的是發(fā)現(xiàn)系統(tǒng)中軟件和硬件中已知的安全漏洞。然后根據(jù)這些漏洞是否容易受到攻擊，確定系統(tǒng)的脆弱點(diǎn)．最后建立或修改系統(tǒng)相應(yīng)的安全策略。該類工具包括漏洞掃描工具和滲透性測(cè)試工具。典型的有Nessus、ISS、CyberCop Scanner等。

風(fēng)險(xiǎn)評(píng)估輔助工具側(cè)重收集評(píng)估所需要的數(shù)據(jù)和資料。建立相應(yīng)的信息庫(kù)、知識(shí)庫(kù)。這類工具在評(píng)估過(guò)程中不可缺少，其中建立的信息庫(kù)和知識(shí)庫(kù)是風(fēng)險(xiǎn)評(píng)估不可或缺的支持手段。

1.4 評(píng)估工具的發(fā)展方向

評(píng)估工具整合多種安全技術(shù)。風(fēng)險(xiǎn)評(píng)估過(guò)程中要用到多種技術(shù)手段，如入侵檢測(cè)、系統(tǒng)審計(jì)、漏洞掃描等，將這些技術(shù)整合到一起，提供綜合的風(fēng)險(xiǎn)分析工具，不僅解決了數(shù)據(jù)的多元獲取問(wèn)題，而且為整個(gè)信息安全管理創(chuàng)造良好的條件。

風(fēng)險(xiǎn)評(píng)估工具應(yīng)實(shí)現(xiàn)功能的集成。風(fēng)險(xiǎn)評(píng)估工具應(yīng)具有狀態(tài)分析、趨勢(shì)分析和預(yù)見(jiàn)性分析等功能。同時(shí)，風(fēng)險(xiǎn)評(píng)估工具應(yīng)提供對(duì)系統(tǒng)及管理方面漏洞的修復(fù)和補(bǔ)償辦法?？梢哉{(diào)動(dòng)其他安全設(shè)施如防火墻、IDS等配置功能，使網(wǎng)絡(luò)安全設(shè)備可以聯(lián)動(dòng)。風(fēng)險(xiǎn)分析是動(dòng)態(tài)的分析過(guò)程，又是管理人員進(jìn)行控制措施選擇的決策支持手段，因此，全面完備的風(fēng)險(xiǎn)分析功能是避免安全事件的前提條件。

風(fēng)險(xiǎn)評(píng)估工具逐步向智能化的決策支持系統(tǒng)發(fā)展。專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)等技術(shù)的引入使風(fēng)險(xiǎn)評(píng)估工具不是單純的按照定制的控制措施為用戶提供解決方案，而是根據(jù)專家經(jīng)驗(yàn)，進(jìn)行推理分析后給出最佳的、具有創(chuàng)新性質(zhì)的控制方法。智能化的風(fēng)險(xiǎn)評(píng)估工具具有學(xué)習(xí)能力，可以在不斷地使用中產(chǎn)生新的知識(shí)，解決不斷出現(xiàn)的新問(wèn)題。智能化的決策支持能夠?yàn)槠胀ㄓ脩粼诿鎸?duì)各種安全現(xiàn)狀的情況下提供專家級(jí)的解決方案。

風(fēng)險(xiǎn)分析工具向定量化方向發(fā)展。目前的風(fēng)險(xiǎn)分析工具主要通過(guò)對(duì)風(fēng)險(xiǎn)的排序，來(lái)提示用戶重大風(fēng)險(xiǎn)需要首先處理，而沒(méi)有計(jì)算出重大風(fēng)險(xiǎn)會(huì)給組織帶來(lái)多大的經(jīng)濟(jì)損失。而組織管理人員所關(guān)心的正是經(jīng)濟(jì)損失的問(wèn)題，因?yàn)樗麄円延邢薜馁Y金用于信息安全管理，同時(shí)權(quán)衡費(fèi)用與價(jià)值比。因此，人們?cè)絹?lái)越傾向于一個(gè)量化的風(fēng)險(xiǎn)預(yù)測(cè)。

2 課題研究?jī)?nèi)容

2.1 評(píng)估系統(tǒng)功能實(shí)現(xiàn)和各模塊之間的關(guān)聯(lián)研究

系統(tǒng)包括評(píng)估模塊、數(shù)據(jù)庫(kù)模塊和評(píng)估結(jié)果處理模塊。其中評(píng)估模塊包括評(píng)估準(zhǔn)備模塊和評(píng)估過(guò)程模塊，控制從評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、輔助工具掃描結(jié)果、問(wèn)卷調(diào)查、威脅識(shí)別、脆弱性識(shí)別、風(fēng)險(xiǎn)分析、控制措施建議與選擇到最后殘余風(fēng)險(xiǎn)評(píng)估的整個(gè)評(píng)估流程，其中還包括專家的帳戶管理、掛起和繼續(xù)評(píng)估任務(wù)、根據(jù)安全策略的范圍自定義問(wèn)卷調(diào)查表。數(shù)據(jù)模塊由信息庫(kù)管理、電力行業(yè)典型場(chǎng)景知識(shí)庫(kù)管理兩部分組成。其中信息庫(kù)管理包括對(duì)資產(chǎn)、威脅源、威脅行為、脆弱點(diǎn)等數(shù)據(jù)庫(kù)的管理，知識(shí)庫(kù)包括電力行業(yè)典型環(huán)境的資產(chǎn)識(shí)別、危險(xiǎn)賦值和脆弱性賦值等數(shù)據(jù)庫(kù)的管理。專家登錄后可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行查看、添加和刪除等操作。評(píng)估結(jié)果處理模塊包括報(bào)表生成和評(píng)估結(jié)果保存模塊，包括評(píng)估報(bào)表的生成和打印。保存評(píng)估結(jié)果到XML文件的功能。登錄后，再將新開(kāi)始的或者之前掛起的評(píng)估完成之后，就可以進(jìn)入到評(píng)估結(jié)果處理模塊，生成存在的威脅報(bào)表、存在的脆弱點(diǎn)報(bào)表、已有的控制措施報(bào)表、風(fēng)險(xiǎn)結(jié)果報(bào)表和建議采用的控制措施報(bào)表；最后可以將本次評(píng)估的結(jié)果保存到XML文件。其中通過(guò)多少功能模塊實(shí)現(xiàn)上述功能，和各功能模塊之間的關(guān)聯(lián)關(guān)系將是本次系統(tǒng)設(shè)計(jì)研究的重點(diǎn)。

2.2 電力監(jiān)控系統(tǒng)風(fēng)險(xiǎn)評(píng)估知識(shí)庫(kù)研究

本次研究還計(jì)劃通過(guò)大量的調(diào)研和分析，對(duì)各級(jí)電網(wǎng)企業(yè)、各級(jí)變電站、各類電廠面臨的威脅和脆弱性進(jìn)行分析，完成典型案例的賦值，并作為數(shù)據(jù)共系統(tǒng)調(diào)用，可解決在風(fēng)險(xiǎn)評(píng)估過(guò)程中因各測(cè)評(píng)人員理解不同造成在測(cè)評(píng)結(jié)果上的差異。

2.3 電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估量化方法

為了能更好的量化風(fēng)險(xiǎn)評(píng)估結(jié)果，使其更為直觀的展現(xiàn)信息安全風(fēng)險(xiǎn)將給企業(yè)帶來(lái)的損失，供企業(yè)決策者參考和比對(duì)，研究現(xiàn)有風(fēng)險(xiǎn)計(jì)算方法，研究一種可直觀簡(jiǎn)單的計(jì)算方式，并采用量化方式顯示結(jié)果，作為系統(tǒng)評(píng)估報(bào)表展示的主要依據(jù)。

3 研究方案、工作特色及難點(diǎn)

3.1 研究方案

（1）充分調(diào)研，分析研究，完成電力行業(yè)典型環(huán)境的資產(chǎn)識(shí)別、危險(xiǎn)賦值和脆弱性賦值，建立電力行業(yè)典型場(chǎng)景知識(shí)庫(kù)、信息庫(kù)；

（2）結(jié)合電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估特點(diǎn)和信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范制定信息安全工作流程；

（3）梳理各模塊數(shù)據(jù)庫(kù)之間的關(guān)聯(lián)關(guān)系，識(shí)別關(guān)鍵數(shù)據(jù)；

（4）完成電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估量化計(jì)算方法的設(shè)計(jì)；

（5）建立電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估模型。

3.2 工作特色

（1）依據(jù)國(guó)家標(biāo)準(zhǔn)規(guī)定的風(fēng)險(xiǎn)評(píng)估流程，自動(dòng)生成風(fēng)險(xiǎn)評(píng)估報(bào)告；

（2）實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的網(wǎng)絡(luò)化集成管理；

（3）建立智能型評(píng)估知識(shí)庫(kù)；

（4）一種電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估量化方法；

（5）定量計(jì)算信息系統(tǒng)的安全風(fēng)險(xiǎn)值；

（6）提高工作效率簡(jiǎn)化工作要素。

3.3 工作難點(diǎn)

設(shè)計(jì)一種電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估量化方法。

4 預(yù)期成果和可能的創(chuàng)新點(diǎn)

4.1 預(yù)期成果

（1）開(kāi)發(fā)電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)；

（2）建立電力監(jiān)控系統(tǒng)風(fēng)險(xiǎn)評(píng)知識(shí)庫(kù)；

（3）設(shè)計(jì)一種電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估量化方法。

4.2 可能的創(chuàng)新點(diǎn)

根據(jù)國(guó)網(wǎng)信息安全配置合規(guī)性要求，規(guī)范信息安全配置管理，建立安全配置操作與檢查基準(zhǔn)的風(fēng)險(xiǎn)評(píng)估知識(shí)庫(kù)，實(shí)現(xiàn)用統(tǒng)一的安全配置標(biāo)準(zhǔn)來(lái)規(guī)范技術(shù)人員的日常操作和風(fēng)險(xiǎn)評(píng)估，同時(shí)將安全配置作為IT內(nèi)控機(jī)制固化到日常運(yùn)維工作流程中。

本次對(duì)電力監(jiān)控系統(tǒng)常見(jiàn)的脆弱性整理出配置要求形成知識(shí)庫(kù)，針對(duì)各個(gè)廠家的不同品牌設(shè)備或系統(tǒng)分別制訂針對(duì)性的配置操作表單。

5 結(jié)語(yǔ)

本文探討了電力行業(yè)信息安全風(fēng)評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，分別在信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)功能實(shí)現(xiàn)和風(fēng)險(xiǎn)評(píng)估各模塊之間的聯(lián)系，電力監(jiān)控系統(tǒng)風(fēng)險(xiǎn)評(píng)估知識(shí)庫(kù)以及電力行業(yè)信息拿權(quán)風(fēng)險(xiǎn)評(píng)估量化方法等方面闡述了如何構(gòu)建電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)。通過(guò)電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)對(duì)電力監(jiān)控系統(tǒng)的安全評(píng)估，可以有效的杜絕人員的誤操作對(duì)電力監(jiān)控系統(tǒng)的影響，以及可以更為準(zhǔn)確的掌握電力監(jiān)控系統(tǒng)的這是客戶安全狀況，為日后電力監(jiān)控系統(tǒng)的安全防護(hù)與安全加固提供了客觀的依據(jù)，從根本上解決了傳統(tǒng)風(fēng)險(xiǎn)評(píng)估在電力監(jiān)控系統(tǒng)的弊端。

[1] 國(guó)務(wù)院信息化辦公室．信息安全風(fēng)險(xiǎn)評(píng)估指南，2006．

[2] 王英梅．信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)手段綜述[G]2004年中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)年會(huì)．張家界，2004．

[3] 張基溫．信息系統(tǒng)安全原理[M]．北京：中國(guó)水電出版社，2000．

[4] 孫強(qiáng)．信息安全管理[M]．北京：清華大學(xué)出版社，2004．

[5] 方勇．信息系統(tǒng)安全導(dǎo)論[M]．北京：電子工業(yè)出版社，2003．

[6] 中國(guó)信息協(xié)會(huì)．中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)年會(huì)文集[C]．北京：[出版者不詳]，2004．

[7] 李輝．計(jì)算機(jī)安全學(xué)[M]．北京：機(jī)械工業(yè)出版社，2005．

[8] (美)Christorpher Akbes Audrey Dorofee．信息安全管理[M]．北京：清華大學(xué)出版社，2004．

[9] 方勇．信息系統(tǒng)安全導(dǎo)論[M]．北京：電子工業(yè)出版社，2003．

[10] 姚小蘭．網(wǎng)絡(luò)安全管理與技術(shù)防護(hù)[M]．北京：北京理工大學(xué)出版社，2002．

[11] (美)DeterGolrnan．計(jì)算機(jī)安全[M]．北京：人民郵電出版社，2004．

[12] 張紅旗，王新呂，楊英杰．信息安全管理[M]．北京：人民郵電出版社，2008．

[13] 黨興華，黃正超，趙巧艷．基于風(fēng)險(xiǎn)矩陣的風(fēng)險(xiǎn)投資項(xiàng)目風(fēng)險(xiǎn)評(píng)估[J]．科技進(jìn)步與對(duì)策，2006．

[14] 施峰．信息安全保密基礎(chǔ)教程[M]．北京：北京理工大學(xué)出版社，2008．

[15] 孫強(qiáng)．信息安全風(fēng)險(xiǎn)評(píng)估模型的定性與定量對(duì)比研究[J]．微電子學(xué)與計(jì)算機(jī)，2010．

[16] GB-T20984-2007．信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S]．

[17] 趙冬梅．信息安全風(fēng)險(xiǎn)評(píng)估量化方法研究[D]．西安：西安電子科技大學(xué)，2007．

[18] 馮登國(guó)，張陽(yáng)，張玉清．信息安全風(fēng)險(xiǎn)評(píng)估綜述[J]．通信學(xué)報(bào)，2004．

[19] 沈浩．信息安全風(fēng)險(xiǎn)評(píng)估方法與技術(shù)研究[D]．北京：中國(guó)人民公安大學(xué)，2009．