◆關天龍

（山東新潮信息技術有限公司 山東 250000）

電力行業(yè)信息安全風險評估系統(tǒng)的設計與實現(xiàn)

◆關天龍

（山東新潮信息技術有限公司 山東 250000）

隨著信息技術的廣泛應用和迅速發(fā)展，信息安全問題涉及的領域越來越多，做好信息安全工作是保障國家經濟建設持續(xù)健康發(fā)展的當務之急。2003年9月，中共中央辦公廳、國務院辦公廳轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）指出要“要重點保護基礎信息網(wǎng)絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)”，此后國家不斷加大信息安全工作力度，先后發(fā)布了很多加強信息安全保障工作的政策。

風險評估；評估工具；評估系統(tǒng)；風險評估知識庫；風險評估量化方法

0 引言

黨的十七大報告中指出“發(fā)展現(xiàn)代產業(yè)體系，大力推進信息化與工業(yè)化融合”，這一方針對信息安全保障工作提出了更高要求。《中華人民共和國國民經濟和社會發(fā)展第十一個五年規(guī)劃綱要》中指出，“積極推進信息化，要堅持以信息化帶動工業(yè)化，以工業(yè)化促進信息化，提高經濟社會信息化水平”。要“強化信息安全保障”，“積極防御、綜合防范，提高信息安全保障能力；強化安全監(jiān)控、應急響應、密鑰管理、網(wǎng)絡信任等信息安全基礎設施建設；加強基礎信息網(wǎng)絡和國家重要信息系統(tǒng)的安全防護；推進信息安全產品產業(yè)化；發(fā)展咨詢、測評、災備等專業(yè)化信息安全服務；健全安全等級保護、風險評估和安全準入制度”。

電力行業(yè)信息系統(tǒng)尤其是電力監(jiān)控系統(tǒng)作為國家的重要基礎信息系統(tǒng)的安全性應受到高度重視，電力監(jiān)控系統(tǒng)覆蓋全國的國家、省、市、地、縣的電網(wǎng)調度中心，各級變電站，各類電廠總數(shù)超過萬個，建設廠家覆蓋廣，采用的基礎環(huán)境種類多，系統(tǒng)環(huán)境復雜。如何高效、準確、統(tǒng)一的對電力監(jiān)控次系統(tǒng)的安全防護能力進行評估成為各級安全責任單位的重中之重。

1 國內外研究動態(tài)

1.1 國外風險評估概況

從美國國防部1985年發(fā)布著名的可信計算機系統(tǒng)評估準則TCSEC起世界各國根據(jù)自己的研究進展和實際情況相繼發(fā)布了一系列有關安全評估準則和標準如美國的TCSEC;英、法、德、荷等國20世紀90年代初發(fā)布的信息信息技術安全評估準則ITSEC；由6國7方加拿大、法國、德國、荷蘭、英國、美國NIST及美國NSA于20世紀90年代中期提出的信息技術安全性評估通用準則CC由英國標準協(xié)會BSI制定的信息安全管理標準BS7 79ISO17799以及最近得到ISO認可SSE-CMMISO/IEC21827:2002等。

目前，常用的風險評估方法總體可以分為定量分析方法和定性分析方法。定量分析方法是指根據(jù)一定的數(shù)據(jù)建立數(shù)學模型然后計算分析各項指標的一種方法；常見的定量分析方法有時序序列分析法、Markov分析法、因子分析法、聚類分析法、決策樹法、熵權系數(shù)法等。定性分析方法是主要依賴于分析者的經驗、直覺等一些非量化的指標來對系統(tǒng)進行分析的一種方法；常見的定性分析方法有德爾菲法、OCTAV方法，即可操作的關鍵威脅、資產和脆弱評估方法等。

定量分析方法就是對度量風險的所有要素賦予一定的數(shù)值，這樣就把整個風險評估的過程和結果量化，然后通過這些被量化的數(shù)值對信息系統(tǒng)進行評估判定，簡單地說定量分析就是用數(shù)量指標來對風險進行評估。

定性分析不需要嚴格量化各個屬性，只是采用人為的判斷，主觀性很強，對評估者的要求很高，可以挖掘出一些蘊藏很深的思想，使評估結論更全面、更深刻。在定性評估時并不使用具體的數(shù)據(jù)，而是指定期望值，利用這樣一種非量化形式對信息系統(tǒng)做出判斷。定性分析的評估方法比如德爾菲法，也稱為專家預測法，是通過背對背群體決策咨詢的方法各自獨立工作然后以系統(tǒng)的、獨立的方式綜合他們的判斷，它隔絕了群體成員間的相互影響，使評估更加準確、客觀。定性分析是目前運用最為廣泛的一種風險評估方法，定性分析可貫穿整個風險評估的過程。首先，在進行資產識別時，通過咨詢調查等方式就信息系統(tǒng)的保密性、完整性和可用性分析來確定資產的價值；同理，在對威脅和脆弱性識別時也是利用一些非量化的指標對信息系統(tǒng)進行判斷，最后，根據(jù)風險評估計算公式得出風險值。

1.2 國內風險評估概況

國內風險評估可以按照高、中、低端簡單地分類國內高端市場往往網(wǎng)絡安全評估涵蓋在他們的整個審計體系之下中端市場上風險評估項目從最初對某證券公司進行的純粹漏洞掃描、人工審計、滲透測試這種類型的純技術操作到套用 BS7799到采用OCTAVE方法再到最終形成自己的網(wǎng)絡安全風險評估的方法論、操作模型低端廠商往往只是通過簡單的漏洞掃描、病毒查殺等方式操作他們的目標客戶群體是小型企業(yè)不會為評估花費太多的精力和金錢安全也只需要簡單達到某一基線即可。

我國的GB-T20984-2007信息安全風險評估指南是根據(jù)CC標準改進來的。風險評估是圍繞著資產、風險、脆弱性這些基本要素展開的每個要素都有各自的屬性資產的屬性是資產的價值其中資產的價值不是以資產的經濟價值來衡量而是由資產在保密性、完整性、可用性這三個安全屬性的達成程度或者其安全屬性未達成時所造成的影響程度來決定的威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等脆弱性的屬性是資產弱點的嚴重程度。風險分析原理圖如圖1所示。

圖1 風險分析原理圖

進行風險評估時由于安全屬性達到程度的不同將使資產具有不同的價值而資產面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產安全屬性的達到程度產生影響。首先對組織中資產進行識別那么根據(jù)資產的表現(xiàn)形式可將資產分為數(shù)據(jù)、軟件、硬件、服務、人員等類型。對資產分類后我們需要分別從保密性、完整性、可用性方面來確定資產的價值。其次對威脅進行識別威脅可通過威脅主體、資源、動機、途徑等多種屬性來描述造成威脅的因素可從人為因素和非人為因素分析判斷威脅在保密性、完整性和可用性方面造成的損害。接著對脆弱性的識別脆弱性是資產本身存在的如果沒有被相應的威脅利用單純的脆弱本身不會對資產造成損害。也就是說威脅總是要利用資產的脆弱性才可能造成危害。資產的脆弱性具有隱蔽性所以對其進行識別也是最困難的部分同時也是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別主要從技術和管理兩個方面進行技術脆弱性涉及物理層、網(wǎng)絡層、傳輸層、應用層等各個層面的技術安全問題。最后根據(jù)風險評估計算公式得出風險值。

1.3 評估工具的發(fā)展現(xiàn)狀

國信辦《信息安全風險評估指南》將風險評估的工具分為安全管理評價工具、系統(tǒng)軟件評估工具、風險評估輔助工具三類。三類工具在評估活動中分別側重不同的方面，對完成信息安全風險評估工作起到不同的作用。

安全管理評價工具側重的是安全管理方面。對信息所面臨的安全風險進行全面的考慮，最后給出相應的控制措施和解決辦法。這類評估工具通?；谀撤N模型之上。根據(jù)模型進行相應的資產、威脅、脆弱點識別，或者基于專家系統(tǒng)，利用專家經驗進行風險分析。最后給出結論。該類工具比較著名的有CRAMM，COBRA等。

系統(tǒng)軟件評估工具側重的是發(fā)現(xiàn)系統(tǒng)中軟件和硬件中已知的安全漏洞。然后根據(jù)這些漏洞是否容易受到攻擊，確定系統(tǒng)的脆弱點．最后建立或修改系統(tǒng)相應的安全策略。該類工具包括漏洞掃描工具和滲透性測試工具。典型的有Nessus、ISS、CyberCop Scanner等。

風險評估輔助工具側重收集評估所需要的數(shù)據(jù)和資料。建立相應的信息庫、知識庫。這類工具在評估過程中不可缺少，其中建立的信息庫和知識庫是風險評估不可或缺的支持手段。

1.4 評估工具的發(fā)展方向

評估工具整合多種安全技術。風險評估過程中要用到多種技術手段，如入侵檢測、系統(tǒng)審計、漏洞掃描等，將這些技術整合到一起，提供綜合的風險分析工具，不僅解決了數(shù)據(jù)的多元獲取問題，而且為整個信息安全管理創(chuàng)造良好的條件。

風險評估工具應實現(xiàn)功能的集成。風險評估工具應具有狀態(tài)分析、趨勢分析和預見性分析等功能。同時，風險評估工具應提供對系統(tǒng)及管理方面漏洞的修復和補償辦法?？梢哉{動其他安全設施如防火墻、IDS等配置功能，使網(wǎng)絡安全設備可以聯(lián)動。風險分析是動態(tài)的分析過程，又是管理人員進行控制措施選擇的決策支持手段，因此，全面完備的風險分析功能是避免安全事件的前提條件。

風險評估工具逐步向智能化的決策支持系統(tǒng)發(fā)展。專家系統(tǒng)、神經網(wǎng)絡等技術的引入使風險評估工具不是單純的按照定制的控制措施為用戶提供解決方案，而是根據(jù)專家經驗，進行推理分析后給出最佳的、具有創(chuàng)新性質的控制方法。智能化的風險評估工具具有學習能力，可以在不斷地使用中產生新的知識，解決不斷出現(xiàn)的新問題。智能化的決策支持能夠為普通用戶在面對各種安全現(xiàn)狀的情況下提供專家級的解決方案。

風險分析工具向定量化方向發(fā)展。目前的風險分析工具主要通過對風險的排序，來提示用戶重大風險需要首先處理，而沒有計算出重大風險會給組織帶來多大的經濟損失。而組織管理人員所關心的正是經濟損失的問題，因為他們要把有限的資金用于信息安全管理，同時權衡費用與價值比。因此，人們越來越傾向于一個量化的風險預測。

2 課題研究內容

2.1 評估系統(tǒng)功能實現(xiàn)和各模塊之間的關聯(lián)研究

系統(tǒng)包括評估模塊、數(shù)據(jù)庫模塊和評估結果處理模塊。其中評估模塊包括評估準備模塊和評估過程模塊，控制從評估準備、資產識別、輔助工具掃描結果、問卷調查、威脅識別、脆弱性識別、風險分析、控制措施建議與選擇到最后殘余風險評估的整個評估流程，其中還包括專家的帳戶管理、掛起和繼續(xù)評估任務、根據(jù)安全策略的范圍自定義問卷調查表。數(shù)據(jù)模塊由信息庫管理、電力行業(yè)典型場景知識庫管理兩部分組成。其中信息庫管理包括對資產、威脅源、威脅行為、脆弱點等數(shù)據(jù)庫的管理，知識庫包括電力行業(yè)典型環(huán)境的資產識別、危險賦值和脆弱性賦值等數(shù)據(jù)庫的管理。專家登錄后可以對數(shù)據(jù)庫進行查看、添加和刪除等操作。評估結果處理模塊包括報表生成和評估結果保存模塊，包括評估報表的生成和打印。保存評估結果到XML文件的功能。登錄后，再將新開始的或者之前掛起的評估完成之后，就可以進入到評估結果處理模塊，生成存在的威脅報表、存在的脆弱點報表、已有的控制措施報表、風險結果報表和建議采用的控制措施報表；最后可以將本次評估的結果保存到XML文件。其中通過多少功能模塊實現(xiàn)上述功能，和各功能模塊之間的關聯(lián)關系將是本次系統(tǒng)設計研究的重點。

2.2 電力監(jiān)控系統(tǒng)風險評估知識庫研究

本次研究還計劃通過大量的調研和分析，對各級電網(wǎng)企業(yè)、各級變電站、各類電廠面臨的威脅和脆弱性進行分析，完成典型案例的賦值，并作為數(shù)據(jù)共系統(tǒng)調用，可解決在風險評估過程中因各測評人員理解不同造成在測評結果上的差異。

2.3 電力行業(yè)信息安全風險評估量化方法

為了能更好的量化風險評估結果，使其更為直觀的展現(xiàn)信息安全風險將給企業(yè)帶來的損失，供企業(yè)決策者參考和比對，研究現(xiàn)有風險計算方法，研究一種可直觀簡單的計算方式，并采用量化方式顯示結果，作為系統(tǒng)評估報表展示的主要依據(jù)。

3 研究方案、工作特色及難點

3.1 研究方案

（1）充分調研，分析研究，完成電力行業(yè)典型環(huán)境的資產識別、危險賦值和脆弱性賦值，建立電力行業(yè)典型場景知識庫、信息庫；

（2）結合電力行業(yè)信息安全風險評估特點和信息安全技術信息安全風險評估規(guī)范制定信息安全工作流程；

（3）梳理各模塊數(shù)據(jù)庫之間的關聯(lián)關系，識別關鍵數(shù)據(jù)；

（4）完成電力行業(yè)信息安全風險評估量化計算方法的設計；

（5）建立電力行業(yè)信息安全風險評估模型。

3.2 工作特色

（1）依據(jù)國家標準規(guī)定的風險評估流程，自動生成風險評估報告；

（2）實現(xiàn)信息系統(tǒng)風險評估的網(wǎng)絡化集成管理；

（3）建立智能型評估知識庫；

（4）一種電力行業(yè)信息安全風險評估量化方法；

（5）定量計算信息系統(tǒng)的安全風險值；

（6）提高工作效率簡化工作要素。

3.3 工作難點

設計一種電力行業(yè)信息安全風險評估量化方法。

4 預期成果和可能的創(chuàng)新點

4.1 預期成果

（1）開發(fā)電力行業(yè)信息安全風險評估系統(tǒng)；

（2）建立電力監(jiān)控系統(tǒng)風險評知識庫；

（3）設計一種電力行業(yè)信息安全風險評估量化方法。

4.2 可能的創(chuàng)新點

根據(jù)國網(wǎng)信息安全配置合規(guī)性要求，規(guī)范信息安全配置管理，建立安全配置操作與檢查基準的風險評估知識庫，實現(xiàn)用統(tǒng)一的安全配置標準來規(guī)范技術人員的日常操作和風險評估，同時將安全配置作為IT內控機制固化到日常運維工作流程中。

本次對電力監(jiān)控系統(tǒng)常見的脆弱性整理出配置要求形成知識庫，針對各個廠家的不同品牌設備或系統(tǒng)分別制訂針對性的配置操作表單。

5 結語

本文探討了電力行業(yè)信息安全風評估系統(tǒng)的設計與實現(xiàn)，分別在信息安全風險評估系統(tǒng)功能實現(xiàn)和風險評估各模塊之間的聯(lián)系，電力監(jiān)控系統(tǒng)風險評估知識庫以及電力行業(yè)信息拿權風險評估量化方法等方面闡述了如何構建電力行業(yè)信息安全風險評估系統(tǒng)。通過電力行業(yè)信息安全風險評估系統(tǒng)對電力監(jiān)控系統(tǒng)的安全評估，可以有效的杜絕人員的誤操作對電力監(jiān)控系統(tǒng)的影響，以及可以更為準確的掌握電力監(jiān)控系統(tǒng)的這是客戶安全狀況，為日后電力監(jiān)控系統(tǒng)的安全防護與安全加固提供了客觀的依據(jù)，從根本上解決了傳統(tǒng)風險評估在電力監(jiān)控系統(tǒng)的弊端。

[1] 國務院信息化辦公室．信息安全風險評估指南，2006．

[2] 王英梅．信息安全風險評估技術手段綜述[G]2004年中國信息協(xié)會信息安全專業(yè)委員會年會．張家界，2004．

[3] 張基溫．信息系統(tǒng)安全原理[M]．北京：中國水電出版社，2000．

[4] 孫強．信息安全管理[M]．北京：清華大學出版社，2004．

[5] 方勇．信息系統(tǒng)安全導論[M]．北京：電子工業(yè)出版社，2003．

[6] 中國信息協(xié)會．中國信息協(xié)會信息安全專業(yè)委員會年會文集[C]．北京：[出版者不詳]，2004．

[7] 李輝．計算機安全學[M]．北京：機械工業(yè)出版社，2005．

[8] (美)Christorpher Akbes Audrey Dorofee．信息安全管理[M]．北京：清華大學出版社，2004．

[9] 方勇．信息系統(tǒng)安全導論[M]．北京：電子工業(yè)出版社，2003．

[10] 姚小蘭．網(wǎng)絡安全管理與技術防護[M]．北京：北京理工大學出版社，2002．

[11] (美)DeterGolrnan．計算機安全[M]．北京：人民郵電出版社，2004．

[12] 張紅旗，王新呂，楊英杰．信息安全管理[M]．北京：人民郵電出版社，2008．

[13] 黨興華，黃正超，趙巧艷．基于風險矩陣的風險投資項目風險評估[J]．科技進步與對策，2006．

[14] 施峰．信息安全保密基礎教程[M]．北京：北京理工大學出版社，2008．

[15] 孫強．信息安全風險評估模型的定性與定量對比研究[J]．微電子學與計算機，2010．

[16] GB-T20984-2007．信息安全技術信息安全風險評估規(guī)范[S]．

[17] 趙冬梅．信息安全風險評估量化方法研究[D]．西安：西安電子科技大學，2007．

[18] 馮登國，張陽，張玉清．信息安全風險評估綜述[J]．通信學報，2004．

[19] 沈浩．信息安全風險評估方法與技術研究[D]．北京：中國人民公安大學，2009．