電網(wǎng)企業(yè)信息安全風(fēng)險評估方法研究

易明 余時芬

摘要：電網(wǎng)是現(xiàn)代能源體系的重要組成部分，智能電網(wǎng)是未來電網(wǎng)的發(fā)展方向;建設(shè)新型電力系統(tǒng)，是貫徹落實(shí)“碳達(dá)峰、碳中和”這一重大國策的關(guān)鍵舉措。智能電網(wǎng)涵蓋大量的信息系統(tǒng)，沒有信息系統(tǒng)安全就沒有電網(wǎng)的安全。通過電網(wǎng)企業(yè)信息安全風(fēng)險評估方法研究，制定信息安全風(fēng)險定級的方法，旨在全面識別電網(wǎng)企業(yè)生產(chǎn)經(jīng)營活動中信息安全風(fēng)險，制定管控措施，針對風(fēng)險逐一建檔，形成風(fēng)險管控庫，采取風(fēng)險分級管控工作機(jī)制，推進(jìn)安全生產(chǎn)的關(guān)口前移，從隱患排查治理前移到安全風(fēng)險管控，整體提升電網(wǎng)企業(yè)信息安全管理水平。

關(guān)鍵詞：信息安全;風(fēng)險評估;風(fēng)險定級;研究

目前，電網(wǎng)企業(yè)內(nèi)有不少信息安全風(fēng)險評估的方法，但沒有信息安全風(fēng)險定級的標(biāo)準(zhǔn)。本文從資產(chǎn)（A）識別、威脅（T）識別、脆弱性（V）識別等角度得出了信息安全事件可能性及信息安全事件造成的損失，最終可以計(jì)算出信息安全風(fēng)險等級。電網(wǎng)企業(yè)信息安全風(fēng)險評估方法研究，制訂了電網(wǎng)信息安全風(fēng)險定級的標(biāo)準(zhǔn)，提出了電網(wǎng)信息安全風(fēng)險評估的評估方法、評估內(nèi)容、實(shí)施流程及其在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)，適用于電網(wǎng)企業(yè)開展的信息安全風(fēng)險評估工作。

一、評估方法

1.1資產(chǎn)分類

識別電網(wǎng)企業(yè)所存在的所有系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、設(shè)備、人員等評估對象，如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)、邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等可能對信息安全帶來風(fēng)險的所有資產(chǎn)。

將資產(chǎn)可分為軟件、數(shù)據(jù)、硬件、服務(wù)、人員、其他等六大類。

1.2風(fēng)險識別

1.2.1資產(chǎn)識別（A）

結(jié)合資產(chǎn)分類對資產(chǎn)及其組成進(jìn)行識別，識別其子類。

1.2.1.2資產(chǎn)賦值

開展風(fēng)險識別時，先對風(fēng)險點(diǎn)進(jìn)行分析，然后明確資產(chǎn)的類別，再對資產(chǎn)進(jìn)行賦值。從保密性、完整性和可用性對資產(chǎn)進(jìn)行賦值。

（1）保密性賦值（A）

根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級：“很高”賦值5、“高”賦值4、“中等”賦值3、“低”賦值2、“很低”賦值1，分別對應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時對整個組織的影響。

（2）完整性賦值

根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級：“很高”賦值5、“高”賦值4、“中等”賦值3、“低”賦值2、“很低”賦值1，分別對應(yīng)資產(chǎn)在完整性上缺失時對整個組織的影響。

（3）可用性賦值

根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級：“很高”賦值5、“高”賦值4、“中等”賦值3、“低”賦值2、“很低”賦值1，分別對應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。

（4）資產(chǎn)的重要性等級（T）

選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果。

T=Max（保密性賦值，完整性賦值，可用性賦值）

根據(jù)最終賦值將資產(chǎn)劃分為五級：“很高”賦值5、“高”賦值4、“中等”賦值3、“低”賦值2、“很低”賦值1，級別越高表示資產(chǎn)越重要。

1.2.2威脅識別（T）

威脅是指可能對信息系統(tǒng)造成直接或間接攻擊，導(dǎo)致資產(chǎn)在保密性、完整性和可用性等方面造成損害各種潛在因素。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅的來源分為環(huán)境因素、惡意人員和非惡意人員，基于表現(xiàn)形式的威脅分類軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴。

根據(jù)威脅頻率來考慮威脅賦值。

在評估中，需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：

（1）以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì);

（2）實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì);

（3）近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。

對威脅出現(xiàn)的頻率進(jìn)行分級，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。標(biāo)識“很高”等級5、標(biāo)識“高”等級4、標(biāo)識“中等”等級3、標(biāo)識“低”等級2、標(biāo)識“很低”等級1。

1.2.3脆弱性識別（V）

脆弱性識別是指從物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)等技術(shù)脆弱性和安全管理制度、安全管理機(jī)構(gòu)、人員、信息安全管理、安全工作機(jī)制等管理脆弱性兩大層面來分析時間對資產(chǎn)的影響。

根據(jù)脆弱性對資產(chǎn)的暴力程度、實(shí)數(shù)實(shí)現(xiàn)的難以程度、流行程度等，采用等級方式對已識別的脆弱性嚴(yán)重程度進(jìn)行賦值，等級值越大，脆弱性嚴(yán)重程度越高。

1.3風(fēng)險分析與計(jì)算

在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。

此處采用相乘法計(jì)算風(fēng)險值。

1.3.1計(jì)算安全事件發(fā)生的可能性（L）

根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：

安全事件的可能性=L（威脅，脆弱性）=f（T，V）=T*V

1.3.2計(jì)算安全事件發(fā)生后造成的損失（F）

根據(jù)資產(chǎn)價值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后造成的損失，即：安全事件造成的損失=F（資產(chǎn)價值，脆弱性）=f（A，V）=A*V

1.3.3計(jì)算風(fēng)險值（R）

根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失，計(jì)算風(fēng)險值，即：

風(fēng)險值=R（安全事件的可能性，安全事件造成的損失）=f（L，F(xiàn)）=L*F

二、風(fēng)險結(jié)果的判定

為實(shí)現(xiàn)對風(fēng)險的控制與管理，對風(fēng)險評估的結(jié)果進(jìn)行等級化處理，可將風(fēng)險劃分為五級，等級越高，風(fēng)險越高。

某項(xiàng)獨(dú)立的信息系統(tǒng)可由該系統(tǒng)安全風(fēng)險評估中的最大風(fēng)險等級確定。

結(jié)語

隨著電網(wǎng)企業(yè)信息安全風(fēng)險評估方法的廣泛運(yùn)用，各電網(wǎng)企業(yè)開展信息安全風(fēng)險評估工作，找出了各個系統(tǒng)中不同風(fēng)險安全等級，編制了信息安全評估的報(bào)告。最后根據(jù)辨識出的風(fēng)險應(yīng)依據(jù)脆弱性制定風(fēng)險處理計(jì)劃，明確風(fēng)險對策措施建議、責(zé)任部門（責(zé)任人）、及處理時限等。

參考文獻(xiàn)：

[1]葉婉琦.大數(shù)據(jù)環(huán)境下電網(wǎng)信息安全技術(shù)分析[J].電子技術(shù)與軟件工程，2020（15）：233-234.

[2]易明.大數(shù)據(jù)環(huán)境下電網(wǎng)信息安全技術(shù)分析[J].建筑工程，2020（16）：190.

[3]周圣力，顏瑋康.關(guān)于智能電網(wǎng)信息安全技術(shù)的分析[J].通訊世界，2014（23）：122-123.

[4]易明.淺談電網(wǎng)企業(yè)信息通信及電力監(jiān)控安全管理體系研究[J].電力與能源系統(tǒng)學(xué)報(bào)，2020（15）：26.