基于SSE-CMM的電力信息通信安全評估模型構(gòu)建與應(yīng)用

吳海濤 王芬 李雪 劉陽

【摘要】 本文應(yīng)用SSE-CMM理論，結(jié)合公司信息通信系統(tǒng)的實際情況，構(gòu)建了信息通信風(fēng)險評估模型，并針對模型在實際中的具體應(yīng)用，采取推動信息通信業(yè)務(wù)安全協(xié)調(diào)、強化市縣信息通信一體化安全管理等一系列措施，對電力系統(tǒng)信息通信安全風(fēng)險評估有一定的指導(dǎo)意義和工程實用價值。

【關(guān)鍵詞】 SSE-CMM 電力信息通信 安全評估

隨著國家電網(wǎng)公司“三集五大”等管理體系的建立，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等信息通信技術(shù)的發(fā)展，信息通信涵蓋于各個分支的數(shù)據(jù)網(wǎng)建設(shè)中，在各級電力信息通信人員緊缺的情況下，需要考慮電力企業(yè)的通信信息系統(tǒng)建設(shè)和運維工作中，采用怎樣的管理模式、怎樣配置資源、如何建立有效的管理流程，才能更好地適應(yīng)智能電網(wǎng)及電力自動化發(fā)展，如何使公司的信息通信安全管理逐步從對電網(wǎng)和企業(yè)經(jīng)營管理單一的技術(shù)服務(wù)支撐，向更深層次的融合發(fā)展與智能引領(lǐng)轉(zhuǎn)變，如何才能滿足新形勢下信息通信專業(yè)支撐保障安全需求，也是信息通信專業(yè)安全發(fā)展必須面對的問題。

一、基于SSE-CMM構(gòu)建信息通信風(fēng)險評估模型

1、SSE-CMM的概念。SSE-CMM是系統(tǒng)安全工程能力成熟模型的縮寫，它起源于1993年4月美國國家安全局（NSA）。它描述了一個組織的安全工程過程必須包含的本質(zhì)特征，這些特征是完善的安全工程保證，它的設(shè)計是可在整個安全工程范圍內(nèi)決定安全工程組織的成熟性。這個體系結(jié)構(gòu)的目標(biāo)是清晰地從管理和制度化特征中分離出安全工程的基本特征，為了保證這種分離，這個模型是兩維的，分別稱為“域”和“能力”，域維是所有定義安全工程的實施構(gòu)成，這些實施稱為“工程域”，能力維代表過程管理和制度化能力的實施[1]。

2、信息通信風(fēng)險信息識別。結(jié)合SSE-CMM“風(fēng)險過程”部分和電力信息信息網(wǎng)絡(luò)的實際情況，對電力信息通信系統(tǒng)暴露的威脅、脆弱性及對系統(tǒng)安全的影響進行風(fēng)險識別。風(fēng)險一般是某種未預(yù)見的事情發(fā)生并對系統(tǒng)造成威脅的可能性。根據(jù)SSE-CMM模型，這些足以成為風(fēng)險的事件有三個部分組成：包括威脅、系統(tǒng)脆弱性和事件的影響[2]。

3、風(fēng)險評估模型構(gòu)建過程。對照SSE-CMM模型的過程域，安全能力評估模型建立過程如下：（1）結(jié)合電力信息通信系統(tǒng)暴露的威脅、脆弱性及對系統(tǒng)安全的影響，為工程域建立一個基本實施表，并將其映射到淮南信息通信系統(tǒng)基本實施中。（2）對公司信息通信系統(tǒng)及資源進行統(tǒng)計。識別并評估信息通信資源，針對每一項的資源潛在的威脅進行評估分析，并對確定為風(fēng)險信息的進行逐項確認(rèn)。（3）對風(fēng)險信息進行分解評價，并根據(jù)工程域?qū)?yīng)建立積分評價積分表，計算每一個工程域最終積分。（4）數(shù)據(jù)整理與計算。根據(jù)安全能力級別與積分對應(yīng)表，進行數(shù)據(jù)定量分析與計算，確定過程域?qū)?yīng)安全能力成熟度等級。

二、風(fēng)險評估模型的具體應(yīng)用

2.1淮南電力信息通信系統(tǒng)安全能力評估

應(yīng)用評估模型，對淮南電力信息通信系統(tǒng)的工程過程域進行安全能力評估，生成淮南電力信息通信安全能力級別表，從中我們知道PA07協(xié)調(diào)安全、PA08檢測安全狀態(tài)、PA09提供安全解決方案三個過程域能力級別均較低，安全能力級別評估表為信息通信系統(tǒng)安全的優(yōu)化整改工作的給出了指引，讓系統(tǒng)管理者可以在后續(xù)工作中，更有針對性地開展信息通信系統(tǒng)安全管理工作。

2.2針對安全能力評估開展安全治理與管控

（1）結(jié)合安全評估模型中反映的PA07協(xié)調(diào)安全、PA09提供安全解決方案的不足，采取系列措施，建立信息通信安全聯(lián)絡(luò)員機制，梳理信息通信安全管理流程，建立安全指標(biāo)管控實施對策表，并結(jié)合公司信息通信安全考核指標(biāo)體系，建立淮南公司管控實施對策表。（2）結(jié)合安全評估模型中反映的PA08檢測安全狀態(tài)評價不足，和對信息通信系統(tǒng)的安全監(jiān)控與數(shù)據(jù)挖掘需求，采取對公司外部和內(nèi)部兩方面都進行監(jiān)控措施，利用信息通信網(wǎng)管系統(tǒng)市縣共同部署的方式，將縣公司信息通信系統(tǒng)及網(wǎng)絡(luò)設(shè)備納入統(tǒng)一監(jiān)控，實現(xiàn)對市縣信息通信網(wǎng)絡(luò)、設(shè)備、業(yè)務(wù)系統(tǒng)、終端、安全、機房環(huán)境和動力等環(huán)節(jié)的全過程運行監(jiān)控。

通過針對評估報告表的不足開展相應(yīng)整改與管控措施后，淮南電力信息通信安全達(dá)到新的級別，其中PA07：協(xié)調(diào)安全過程域，PA08：監(jiān)視安全態(tài)勢，PA09提供安全解決方案三個過程域均達(dá)到最高能力級別5，取得良好效果。

三、結(jié)論

本文分析了當(dāng)前電力信息通信面臨的挑戰(zhàn)與問題，基于SSE-CMM的理論，結(jié)合淮南供電公司信息通信系統(tǒng)實際情況，構(gòu)建了信息通信安全評估模型，并針對模型在實際中應(yīng)用反映出的問題，采取一系列措施，建立高效的安全管理模式。本文提出的信息通信風(fēng)險評估模型，對電力系統(tǒng)信息通信安全風(fēng)險評估有一定的指導(dǎo)意義和工程實用價值。

參 考 文 獻(xiàn)

[1]李偉英；基于SSE-CMM的安全評估工程過程的研究[J]；電力系統(tǒng)通信；2005年

[2]陳建明.基于SSE-CMM的信息系統(tǒng)安全工程模型.計算機工程，2003