電網(wǎng)基線安全評(píng)估分析

摘 要：電網(wǎng)系統(tǒng)在運(yùn)行中會(huì)出現(xiàn)很多的突發(fā)情況，這樣情況在發(fā)現(xiàn)過程中是沒有有效的安全評(píng)估機(jī)制和方法，這樣就使得電網(wǎng)系統(tǒng)在運(yùn)行的時(shí)候安全不能得到很好的保證，為了更好的保證電網(wǎng)系統(tǒng)的運(yùn)行，一定要有安全評(píng)估機(jī)制，同時(shí)對(duì)安全評(píng)估方法進(jìn)行探討。

關(guān)鍵詞：信息安全；安全評(píng)估機(jī)制；分析

信息化的不斷發(fā)展，使得互聯(lián)網(wǎng)在人們的生活和工作中得到了廣泛的使用。在現(xiàn)在，人們對(duì)信息越來越重視，信息的安全性和保密性也成為了非常敏感的問題。對(duì)于信息使用者來說，信息不但要安全，同時(shí)也要做到完整，可用性也要非常高。信息通過互聯(lián)網(wǎng)可以實(shí)現(xiàn)在線傳輸，這樣就使得信息的傳遞更加的方便。為了更好的保證人們的生活和工作不受到影響，電網(wǎng)業(yè)務(wù)提供商要保證提供的服務(wù)可以更好的為人們服務(wù)，電網(wǎng)運(yùn)營(yíng)商的網(wǎng)絡(luò)和業(yè)務(wù)是國(guó)家基礎(chǔ)設(shè)施建設(shè)的重要組成部分。現(xiàn)在，人們對(duì)電力信息化的要求越來越高，這樣就使得信息系統(tǒng)在發(fā)展的過程中要不斷提高技術(shù)水平，使得信息的價(jià)值得到更好的體現(xiàn)。信息在安全方面也是存在著很大的隱患，這樣就使得信息資產(chǎn)受到的威脅在不斷提高，信息的價(jià)值是非常重要的，因此其帶來的損失也將是非常大的。對(duì)于信息安全來說一定要保證電網(wǎng)系統(tǒng)中信息安全評(píng)價(jià)問題。電網(wǎng)終端系統(tǒng)是重要的信息系統(tǒng)，是由很多復(fù)雜的部件構(gòu)成的，在運(yùn)行的時(shí)候?qū)π畔踩u(píng)估也是有很大的幫助的。電網(wǎng)終端在安全評(píng)估方面主要針對(duì)的是安全漏洞和安全配置問題，在系統(tǒng)工作中，可以依靠漏洞管理對(duì)安全漏洞問題進(jìn)行解決，但是，對(duì)于安全配置方面存在的問題還是停留在人工管理階段，這樣就給安全管理問題帶來了很大的問題。

1 細(xì)化安全評(píng)估內(nèi)容

1.1 安全保障性目標(biāo)

系統(tǒng)評(píng)估體系有著其特有的特征，可以根據(jù)一組功能的需求，從而定義系統(tǒng)和產(chǎn)品的安全功能；在描述系統(tǒng)和產(chǎn)品的時(shí)候可以為了滿足其需求采取若干的措施，需求是為了更好的保證安全的證據(jù)。確定產(chǎn)品或者系統(tǒng)是否滿足功能的方法一定要建立在安全的基礎(chǔ)上，對(duì)安全的評(píng)估結(jié)果，一定要有度量的標(biāo)準(zhǔn)，這樣才能更好地保證產(chǎn)品或者是系統(tǒng)的安全程度。在安全保障體系中，產(chǎn)品從設(shè)計(jì)到最終的使用都是要有詳細(xì)的評(píng)估的，同時(shí)安全保證需求是描述產(chǎn)品安全保障的證據(jù)。對(duì)信息安全系統(tǒng)進(jìn)行安全評(píng)估，國(guó)際上有著專有的評(píng)估方法，在功能需求、安全保障需求和安全評(píng)估級(jí)別方面都是有著詳細(xì)的規(guī)定的。安全評(píng)估通常要經(jīng)過很長(zhǎng)的時(shí)間，同時(shí)在種類和范圍上也有嚴(yán)格的要求，在進(jìn)行安全評(píng)估時(shí)，實(shí)時(shí)的評(píng)估是非常不客觀的，同時(shí)也是不符合實(shí)際情況的。在安全保障目標(biāo)下，要驗(yàn)證的是組件的評(píng)估結(jié)果而不是組件的相對(duì)屬性。安全保障是為了更好的保證驗(yàn)證的速度，同時(shí)也是為了更好的保證驗(yàn)證結(jié)果的客觀性。將經(jīng)過權(quán)威驗(yàn)證的評(píng)測(cè)組件在企業(yè)范圍內(nèi)進(jìn)行應(yīng)用，對(duì)信息的安全進(jìn)行評(píng)估，可以更好的為了企業(yè)的信息安全驗(yàn)證服務(wù)，同時(shí)在終端平臺(tái)安全保障方面也是有利的。

1.2 策略符合性目標(biāo)

在某個(gè)任務(wù)中，策略是任務(wù)的上下文，因此，策略符合性目標(biāo)在應(yīng)用的時(shí)候，就要將策略上下文中的證據(jù)進(jìn)行提取，這樣在系統(tǒng)或者是網(wǎng)絡(luò)訪問中，才能更好的制定出相關(guān)的策略，將策略中所需要的屬性進(jìn)行全部的提煉，這樣才能更好的從屬性方面更好的為系統(tǒng)提供依據(jù)。在策略制定方面，可以以訪問控制策略為例子，在策略中會(huì)出現(xiàn)規(guī)定的訪問主體、客體和訪問的方式、時(shí)間，這樣就需要屬性方面提供訪問者的身份信息，同時(shí)要將整個(gè)訪問中的相關(guān)信息進(jìn)行進(jìn)行了解。

1.3 風(fēng)險(xiǎn)評(píng)估性目標(biāo)

在系統(tǒng)中，資產(chǎn)、系統(tǒng)組件以及安全策略在進(jìn)行評(píng)估的時(shí)候都是要進(jìn)行風(fēng)險(xiǎn)評(píng)估的，在不同的信息系統(tǒng)中，要面臨的風(fēng)險(xiǎn)也是不同的，這樣就使得風(fēng)險(xiǎn)評(píng)估的范圍也是不同的，在進(jìn)行評(píng)估的時(shí)候提供的屬性要求也是不同的。對(duì)于具體的風(fēng)險(xiǎn)評(píng)估來說，評(píng)估的內(nèi)容和方式一旦確定下來就要對(duì)相關(guān)的屬性進(jìn)行確定，在對(duì)應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)評(píng)估的時(shí)候，要對(duì)應(yīng)用程序的安裝平臺(tái)的環(huán)境和終端的環(huán)境都進(jìn)行考慮，同時(shí)對(duì)內(nèi)部的環(huán)境也要進(jìn)行考慮，檢查系統(tǒng)是否存在著漏洞，這樣可以更好的進(jìn)行風(fēng)險(xiǎn)評(píng)估，同時(shí)可以將系統(tǒng)的風(fēng)險(xiǎn)降到最低。

2 電網(wǎng)終端信息安全評(píng)估系統(tǒng)

2.1 安全評(píng)估系統(tǒng)結(jié)構(gòu)

目前，國(guó)內(nèi)電力行業(yè)對(duì)信息安全評(píng)估主要側(cè)重于風(fēng)險(xiǎn)分析、安全方案等，尚沒有對(duì)電網(wǎng)終端進(jìn)行信息安全自動(dòng)化評(píng)估的工具和產(chǎn)品。根據(jù)國(guó)信辦《信息安全風(fēng)險(xiǎn)評(píng)估指南》對(duì)風(fēng)險(xiǎn)評(píng)估工具的分類，將其分為安全管理評(píng)價(jià)工具、系統(tǒng)軟件評(píng)估工具和風(fēng)險(xiǎn)評(píng)估輔助工具。這三類工具在評(píng)估活動(dòng)中分別側(cè)重不同的方面，對(duì)完成信息安全風(fēng)險(xiǎn)評(píng)估工作起到不同的作用。我們?cè)诨跇I(yè)務(wù)安全評(píng)估的基礎(chǔ)上，充分考慮了行業(yè)的現(xiàn)狀和行業(yè)最佳實(shí)踐，并參考了電網(wǎng)運(yùn)營(yíng)商下發(fā)的各類安全政策文件和行業(yè)規(guī)范，繼承和吸收了國(guó)家等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)成果，形成一套基于業(yè)務(wù)系統(tǒng)的安全評(píng)估結(jié)構(gòu)。其中，安全管理評(píng)價(jià)工具側(cè)重的是安全管理方面，對(duì)信息所面臨的安全風(fēng)險(xiǎn)進(jìn)行全面的考慮，最后給出相應(yīng)的控制措施和解決方法。系統(tǒng)軟件評(píng)估工具側(cè)重的是發(fā)現(xiàn)系統(tǒng)中軟件和硬件中已知的安全漏洞，然后根據(jù)這些漏洞是否容易受到攻擊，確定系統(tǒng)的脆弱點(diǎn)，最后建立或修改系統(tǒng)相應(yīng)的安全策略。風(fēng)險(xiǎn)評(píng)估輔助工具側(cè)重收集評(píng)估所需要的數(shù)據(jù)和資料，建立相應(yīng)的信息庫(kù)、知識(shí)庫(kù)。運(yùn)用安全評(píng)估結(jié)構(gòu)，在深入了解業(yè)務(wù)系統(tǒng)安全需求的基礎(chǔ)上構(gòu)建不同業(yè)務(wù)系統(tǒng)的安全評(píng)估要求，然后將安全評(píng)估要求分解到最底層一即系統(tǒng)實(shí)現(xiàn)層，系統(tǒng)實(shí)現(xiàn)層中安全評(píng)估要求，主要是由漏洞評(píng)估、補(bǔ)丁評(píng)估以及異常事件評(píng)估的檢查項(xiàng)構(gòu)成，這些檢查項(xiàng)的覆蓋面、有效性就成為了安全評(píng)估實(shí)現(xiàn)的關(guān)鍵。應(yīng)用系統(tǒng)實(shí)現(xiàn)層的安全評(píng)估要求，可以對(duì)目標(biāo)業(yè)務(wù)系統(tǒng)展開合規(guī)安全檢查，以找出不符合的項(xiàng)并選擇和實(shí)施安全措施來控制安全風(fēng)險(xiǎn)。

2.2 安全評(píng)估系統(tǒng)實(shí)現(xiàn)

終端信息安全評(píng)估工具將是一個(gè)自動(dòng)化的檢查工具，只需要輸入被檢查設(shè)備的IP地址、登錄用戶名和密碼，該核查工具就通過加密通道登錄到被檢查設(shè)備，執(zhí)行系列的檢查內(nèi)容，將檢查結(jié)果與定義的標(biāo)準(zhǔn)進(jìn)行比對(duì)并最終形成一套報(bào)告呈現(xiàn)在用戶面前。檢查過程是自動(dòng)化并且快速的，通常不超過3分鐘就可以完成對(duì)設(shè)備或系統(tǒng)的檢查。首先在Web界面模塊，通過Web界面提供的系統(tǒng)管理子模塊，可以對(duì)檢查配置進(jìn)行選擇和輸入。在檢查配置完成后并啟動(dòng)任務(wù)管理模塊后，檢查配置信息就會(huì)傳送到系統(tǒng)的掃描引擎中，引擎首先會(huì)調(diào)用相對(duì)應(yīng)的工作進(jìn)程，通過Telnet/SSH/SMB等連接方式登錄被檢查目標(biāo)設(shè)備或系統(tǒng)，同時(shí)調(diào)度引擎將調(diào)用不同的進(jìn)程從檢查目標(biāo)處獲取相對(duì)應(yīng)的信息，并將獲取到的信息傳回到系統(tǒng)的數(shù)據(jù)分析模塊。

3 結(jié)束語(yǔ)

在對(duì)安全評(píng)估進(jìn)行流程制定的時(shí)候，要對(duì)制定的需求、確認(rèn)的目標(biāo)、細(xì)化的內(nèi)容、評(píng)估的機(jī)制和評(píng)估的結(jié)果進(jìn)行更加細(xì)化的規(guī)定，這樣才能更好的確保流程的每個(gè)環(huán)節(jié)，同時(shí)更好的實(shí)現(xiàn)安全評(píng)估的目標(biāo)。對(duì)安全評(píng)估的目標(biāo)進(jìn)行細(xì)化，才能更好的制定安全評(píng)估的模型。使用層次化的分析方法對(duì)安全評(píng)估的目標(biāo)進(jìn)行權(quán)重關(guān)系的比較，同時(shí)對(duì)評(píng)估的結(jié)果進(jìn)行量化，在這樣的基礎(chǔ)上能更好的實(shí)現(xiàn)自動(dòng)化安全評(píng)估工具的制定。

參考文獻(xiàn)

[1]劉哲，張為群，肖魏娜.一種基于模糊評(píng)估分層模型的構(gòu)件可測(cè)試性評(píng)價(jià)方法[J].計(jì)算機(jī)科學(xué)，2011，38（5）：113-115.

[2]國(guó)家信息中心.信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[Z].2006.