信息安全風險評估技術在電力系統的研究與應用

王旭 陳濤 張建業 李峰

新疆電力科學研究院 新疆 830000

0 引言

信息系統在支撐國網公司“三集五大”建設發揮重要的支撐作用，信息安全除了關系信息系統自身外還關系到公司的安全生產，是安全生產的重要組成部分。信息安全風險評估(以下簡稱“評估”)是對公司一體化企業級信息系統的潛在威脅、薄弱環節、防護措施等進行分析評估，以識別信息安全風險，發現信息網絡、信息系統的脆弱性和薄弱環節，提出有針對性的信息安全整改工作建議，提高信息系統整體防護水平。

信息安全風險評估是依據國家有關的政策法規及信息技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估的活動過程。它要評估信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響，并根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險。

從另一角度，持續的風險評估工作可以成為檢查信息系統本身乃至信息系統擁有單位的績效的有力手段，風險評估的結果能夠供相關主管單位參考，并使主管單位通過行政手段對信息系統的立項、投資、運行產生影響，促進信息系統擁有單位加強信息安全建設。

1 新疆電力公司信息安全風險評估方法

風險評估中要涉及資產、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容為(圖1)。

圖1 風險分析過程

1.1 資產評估與賦值

資產評估是對資產在機密性、完整性和可用性三個安全屬性的要求進行評估的過程，對資產各屬性賦值按如下規定進行(表 1)。

表1 資產賦值表

續表

資產價值由資產的機密性、可用性和完整性的最大值決定，因此

資產價值A=MAX{（機密性（C），可用性（I），完整性（A）}

1.2 威脅評估

威脅評估的重要內容是對威脅進行賦值，為風險分析提供確定的等級數據，確保風險分析結果的科學性(表2)。

表2 威脅賦值表

續表

S代表威脅的嚴重程度，F代表威脅的可能性賦值，T代表資產面臨某一種威脅值

TC代表涉及機密性的威脅，TI完整性的威脅，TA代表涉及可用性的威脅，

資產最終威脅T=MAX{TC,TI,TA}

1.3 脆弱性評估

脆弱性是資產本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害。而且如果系統足夠強健，嚴重的威脅也不會導致安全事件發生，并造成損失。

脆弱性嚴重程度可以進行等級化處理，不同的等級分別代表資產脆弱性嚴重程度的高低。等級數值越大，脆弱性嚴重程度越高。脆弱性嚴重程度賦值表(表3)。

表3 脆弱性賦值表

用V代表資產脆弱性，

對于網絡與安全設備資產,V等于資產所有脆弱性賦值的平均值：

對于應用系統，VO代表操作系統脆弱性，VI代表中間件脆弱性，VD代表數據庫脆弱性，VM 代表應用系統本身的脆弱性，則V=VO+VI+VD+VM，其中：

1.4 風險計算

根據以上賦值和計算結果可得分別得到每個資產的資產值(A)、威脅值(T)、脆弱性值(V)，根據GB/T 20984-2007信息安全風險評估規范A2.1節所說相乘法計算，則：

風險值=資產重要性(A)×資產面臨的威脅(T)×資產脆弱性(V)

2 新疆電力公司信息安全風險評估開展情況

根據國家電網公司信息技術[2007]16號“關于印發2007年信息安全風險評估工作部署會議紀要的通知”，新疆電力公司從 2007年起開始開展信息安全評估工作。在 2007和2008兩年中通過和中國電科院密切合作，完成了新疆電力公司第一輪信息安全風險評估工作。

在第一輪的工作開展過程中，在圓滿完成評估工作的同時，新疆電科院也同時培養了自己的評估隊伍，也體會到評估工作需要常態化，從2009年起，將公司本部及所屬20家單位按照三年一個周期編排了每年完整評估計劃，目前已完成2009至2011年第一個周期的所有單位的評估，2012年開始進行第二個周期的評估工作，新疆電力公司嚴格按照計劃持續開展評估和整改工作，將評估作為信息安全的一個抓手，強化信息安全各個環節工作(圖2)。

圖2 新疆電力公司信息安全風險評估計劃表

為了保證評估工作的水平和質量，新疆電科院在 2010年建設了信息安全實驗室，配備了包括便攜式漏洞掃描器、數據庫弱點掃描器、Web脆弱性掃描工具等評估工具。評估范圍涉及包括各單位所有信息資產評估、資產面臨的威脅分析與評估以及資產本身的脆弱性評估，除了對網絡構架脆弱性、設備配置脆弱性、主機、數據庫、中間件，對于新疆電力公司各單位自建業務系統，新疆電科院通過各種評估工具以及手工等方式進行，進行專業的滲透測試，并發現了大量的SQL注入及XXS等安全漏洞。

風險評估工作是一項費時、需要人力支持以及相關專業或業務知識支持的工作，隨著工作的持續進行積累了大量信息、數據和報告，為加強管理、減輕報告編制的壓力，我們編寫了一鍵式采集腳本工具，自主開發了一套信息安全風險評估管理平臺，用于管理目標信息系統的資產信息，分析面臨的威脅及存在的脆弱性，通過可能性和影響程度來自動計算系統風險，同時可以自動生成評估報告，為風險評估工作的規范化、流程化、自動化實施提供全面的技術支撐，并大大的縮短了整體評估工作時間，以下為開發使用風險評估管理平臺前后平均工作時間對比。

3 持續開展評估的工作體會

3.1 公司重視與大力支持是持續開展的必要條件

新疆電力公司科信部門充分認識到持續開展評估工作的重要性，認為持續性的評估和整改可以不斷降低各單位信息安全風險，要求電科院嚴格按照每三年一個周期持續開展評估工作，切實將信息安全風險評估落到實處，同時加強評估過程管理和質量管理，周密安排，精心組織，每年將評估報告報公司科信部備案。并要求嚴格按照相關保密管理要求，加強對信息安全風險評估過程和結果的保密管理。電科院要有效指導各單位持續低、系統地開展信息安全防護體系建設和安全整改加固工作。

這幾年來，我們的評估工作達到了很好的效果，各單位都把評估和整改工作作為常規性的日常工作來進行，風險值不斷得到下降。

3.2 隊伍建設達到滿意效果

評估工作對剛步入工作崗位的年輕員工是很好的鍛煉和提高機會，可以迅速的將學校學到的理論知識與實際系統、設備聯系起來，通過評估工作，新疆電科院目前培養了一支優秀的信息安全服務隊伍，對評估所涉及軟硬件在安全檢查、安全配置、安全加固等方面的技能得到質的提高。

3.3 評估工作與等保測評的緊密結合

等級保護是指導我國信息安全保障體系總體建設的基礎管理原則，是圍繞信息安全保障全過程的一項基礎性管理制度，其核心內容是對信息安全分等級、按標準進行建設、管理和監督。

在開展評估過程中對檢查表的內容設計充分考慮了等級保護的要求，甚至從充分挖掘風險的出發點，很多檢查項的要求都高于等級保護測評的要求。這樣就會保證了對風險評估發現的問題進行充分整改后，同時可以達到等級保護的相關要求，從而達到同步完成等保測評的目的。

3.4 評估工作與信息安全督查共同保障信息安全

新疆電力公司在日常的評估工作中，全面地分析了信息系統的安全現狀和面臨的主要安全風險，在分析風險原因的基礎上為信息系統的建設、運行、維護、使用和改進提供了安全性建議，同時將評估工作中發現的信息安全風險及安全隱患納入信息安全督查整改計劃，督促問題單位及時整改，按照“發現-評估-報告-治理-驗收-銷號”的流程進行問題進行閉環管理，各類風險及安全隱患按整改要求實行“一患一檔”，確定整改完成時間和責任人，同時每月將各單位安全問題整改情況進行通報，建立風險隱患監督考核機制，督促問題完成整改。既以評估工作為出發點，以安全整改為落腳點，一手緊抓評估工作，一手督促問題整改，來保障信息系統安全。

4 結束語

風險評估是一項需要持續開展，并且要長期堅持的工作，是當前電力公司信息化工作的迫切需要和客觀的需求，是風險理論和方法在信息系統中的運用，只有通過對信息系統安全的潛在威脅、薄弱環節、防護措施等進行全面分析評估，并實施有效的整改工作，才能確保信息系統安全穩定運行。

[1]王濤,陳金仕.信息安全風險評估策略研究[J].現在電子技術.2012.

[2]Wang-Tao,Chen Jin-shi.Fechnique Research on strategy of information security risk assessment[J].Modern Electronics.2012.

[3]張聞，孫歆.信息安全風險評估在浙江省電力公司的應用[J].浙江電力.2011.

[4]Zhang-Wen,Sun-Xin.Application of Information Security Risk Assessment in Zhejiang Electric Power Corporation [J].Zhejiang Electric Power.2011.

[5]王芙艷.信息安全風險評估在核電企業的有效應用[J].電力信息化.2011.

[6]Wang Fu-yan,Effective Application of Information Security Risk Assessment to Nuclear Enterprises[J]. Electric Power It.2011.

[7]汪兆成.基于.云計算模式的信息安全風險評估研究[J].信息網絡安全.2011.

[8]Wang Zhang-cheng. Research on Information Security Risk Assessment Based on Cloud Computing Model[J].Netinfo Security.2011.

[9]趙英杰,李鵬輝.信息化建設中的信息安全風險評估[J].信息安全與通信保密.2011.

[10]Zhao Yingjie,Li Peng-hui.Information Security Risk Assessment in Building Information System [J].China information security.2011.