淺談電力系統中信息安全風險評估的技術應用

摘 要：文章對當前電力系統中的信息安全的實際情況做了深入研究，對信息安全風險評估的相關技術進行了系統的分析，然后在此基礎上，結合客觀實際需要，進一步探討了電力系統信息安全風險評估技術。

關鍵詞：電力系統；信息安全；風險評估

1 信息安全風險評估原理

針對風險評估，它是對信息安全的狀態進行系統的認知。就目前現有的信息資源和安全控制條件為依托，對于之后可能會出現的信息安全事件進行科學性的預測。風險評估通過采集必要的信息，對這些信息資產的威脅、弱點、影響以及已經采取的控制和事件發生的可能性等。對于這些信息來說，其是否能夠滿足實際需要，是否準確，對于風險評估的結果有著非常重要的影響。在采集信息相同的背景下，因評估模型存在不足，也會對評估的結果造成影響。與此同時，風險和風險要素是存在著一定的關系。通過有效應用相應的安全措施，可以達到有效控制風險的目標。而對每項資產來講，其勢必存在著一些威脅，會在弱點環節帶來相應的影響。

2 信息安全風險評估方法

對于新型安全風險評估方法來講，它主要有以下三種方法。

2.1 定性分析

定性分析法是一種典型的模糊分析方法，在研究者的知識和經驗等非量化資料的基礎上對系統的風險作出相應的判斷。分析其特點可以發現，其能夠提供更為細致的評估結論。但是也存在著主觀性強的問題，因此，評估者的準入門檻非常高。

2.2 定量分析

定量分析在數量指標的有效引導下，對風險進行有效評估。這種方法能夠在一定程度上很好地分析出風險發生的概率，也能夠有效地判斷這些風險的實際危害程度的大小，這無疑極大地提升了運行機制及可操作性。分析其特點可知，該種方法通過應用數據來表達評估的結果，結果更加直觀，能夠被人容易掌握。但值得一提的是，該種方式在量化的過程中卻存在一定的困難，對于定量數據的獲取較為復雜，沒有系統的數據作為基礎，在這種情況下，往往讓一些結果變得不清晰，實際作用不強。

2.3 定性和定量相結合

對于信息安全問題來說，在實際應用過程中，并不是所有的指標都可以定量化，一些指標是達不到這一要求的。在這種情況下，當需要對不同的指標進行比較研究時，往往得不到有效支持。因此只能夠在經驗的基礎上做人為的判斷。也正因為如此，單獨應用定性和定量的方式，往往并不能夠實現整體最優的目標，因此也無法做出更為系統的評價。想要達到最優的評價結果，就需要充分結合定性和定量的方法來進行評估和判斷。

3 電力系統中信息安全風險評估的技術應用流程分析

3.1 確定評估范圍

第一，電力系統主機和信息網絡等設施需要進行深入評估，對相關的網絡和系統配置進行評估。

第二，對電力系統和應用系統服務進行評估，對系統的配置和管理進行深入評估，無論是生產階段還是經營階段，或是決策階段，這些環節的系統設計都需要進行評估，要保障系統的有效運行，從系統的配置到接口端，都需要進行必要的評估。

第三，對電力系統信息安全技術進行評估。在評估過程中，要全方位進行把控，對防火墻的設置、病毒的檢測技術和檢測情況等都需要進行評估。

第四，對現有的電力系統信息安全管理措施進行評估。應全面評估當前電力系統的相關管理機構，對相關人員和相關制度也要進行深入評估。

3.2 資產的評估

第一，要識別資產。在該過程中，會對信息資產進行分類標記，并且參照ISO/IEC13334和ISO/IECTR 17799等標準進行定義。

第二，要對資產進行賦值。對于信息資產來說，其自身具備有機密性、完整性和可用性的屬性，要在深入分析了這三種屬性之后，對其價值進行挖掘和探討，能夠有效固定資產的價值。與此同時，不同的資產其賦值會存在一定的差別，這樣就可以有效表現出安全措施需求的異同。

3.3 對風險進行分析

第一，對威脅電力系統信息安全風險進行評估。通過應用技術手段、統計數據和經驗來更為深入地判斷信息系統是否存在威脅。一方面，要有效判斷威脅源所在；另一方面，要對這一威脅源的危害程度進行判斷，同時要對發生的頻率也要進行確定。與此同時，要對威脅的賦值進行全方位的考慮，對威脅的影響和可能性進行深入研究。

第二，對電力系統信息安全脆弱性進行評估。在對信息系統的脆弱性進行判斷時，要明確查明其是否存在漏洞，這些漏洞既包括技術性的漏洞，也包括管理方面的漏洞。當展開相應的技術漏洞評估工作時，可以通過利用網絡進行掃描，也可以通過使用主機安全人工審核的方式，以此來有效保證評估工作的有效進行。而當對管理漏洞進行評估時，此時可以采用人工訪談和調查問卷的模式來開展。而漏洞的賦值則在國際通用的賦值方法下開展。從實際情況來看，在應用過程中可以深入分析不同的信息系統情況，然后深入探究漏洞的嚴重程度以及其被利用的可能性，然后以此為基礎，分析實際應用的方式，然后做出必要的調整。在此過程中，脆弱的程度是在時間的變化中而也在變化。一個漏洞在技術革新的背景下，有可能會被利用。另外，不同的威脅源，其漏洞也是不同的，嚴重程度也存在差別。

第三，對當前現有的電力系統安全措施進行識別。從目前情況來看，當前的安全措施評估是對已經部署好的安全措施進行評估，同時也對正處于規劃狀態的安全措施進行評估。通過采用必要的評估方式，分析這些安全措施是否有效，是否能夠滿足預期的目標。在評估過程中，對其使用的真實情況進行審核，是基本的審核方式。

第四，對整體電力系統信息風險計算與評價進行分析。當資產識別和威脅分析以及脆弱性評價工作完成之后，可以通過應用風險計算的方法進行計算，對不同資產面臨的風險進行評估。對于表現出來的風險值來說，其表現的是某一種資產在當前系統環境下存在的風險以及風險的大小。對于分析的結果來說，其能夠真實表現出信息系統整體安全狀態，然后通過深入綜合的研究，對風險進行分析和探討，有效確定風險的處理方式。

3.4 對風險的控制

在對風險進行必要的控制過程中，第一，要以風險分析的結論為依托，對當前資產面臨的風險進行研究，然后根據風險的大小來進行排序。第二，深入確定資產的機密性和完整性，同時對其可用性進行進一步明確。第三，通過深入分析資產存在的不同威脅，然后在確定了實際的安全漏洞之后，采用更有針對性的安全措施，有效解決漏洞問題。第四，在以上環節完成后，對風險進行最終的分析和總結，對安全措施間的相互影響進行分析，然后根據客觀實際的需要，更為合理的部署。在得出結論后，形成系統完善的建議。

4 結束語

在我國網絡技術和信息技術不斷發展的背景下，電力系統也在不斷提升自身的信息化水平。網絡與信息系統已經成為了電力系統運行和發展的重要基礎。但隨之而來的是一系列的信息安全風險，如何有效對其進行評估成為了重要問題，而通過系統的信息安全風險評估技術的應用，能夠有效發現問題，為完善電力系統提供必要的支持。

參考文獻

[1]孫嘉興.廣州供電局安全生產風險管理評估及提升策略研究[D].華南理工大學，2014.

[2]周升進.信息安全風險評估研究及應用[D].北京郵電大學，2014.