電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估方法研究

易明 余時(shí)芬

摘要：電網(wǎng)是現(xiàn)代能源體系的重要組成部分，智能電網(wǎng)是未來(lái)電網(wǎng)的發(fā)展方向;建設(shè)新型電力系統(tǒng)，是貫徹落實(shí)“碳達(dá)峰、碳中和”這一重大國(guó)策的關(guān)鍵舉措。智能電網(wǎng)涵蓋大量的信息系統(tǒng)，沒(méi)有信息系統(tǒng)安全就沒(méi)有電網(wǎng)的安全。通過(guò)電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估方法研究，制定信息安全風(fēng)險(xiǎn)定級(jí)的方法，旨在全面識(shí)別電網(wǎng)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中信息安全風(fēng)險(xiǎn)，制定管控措施，針對(duì)風(fēng)險(xiǎn)逐一建檔，形成風(fēng)險(xiǎn)管控庫(kù)，采取風(fēng)險(xiǎn)分級(jí)管控工作機(jī)制，推進(jìn)安全生產(chǎn)的關(guān)口前移，從隱患排查治理前移到安全風(fēng)險(xiǎn)管控，整體提升電網(wǎng)企業(yè)信息安全管理水平。

關(guān)鍵詞：信息安全;風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)定級(jí);研究

目前，電網(wǎng)企業(yè)內(nèi)有不少信息安全風(fēng)險(xiǎn)評(píng)估的方法，但沒(méi)有信息安全風(fēng)險(xiǎn)定級(jí)的標(biāo)準(zhǔn)。本文從資產(chǎn)（A）識(shí)別、威脅（T）識(shí)別、脆弱性（V）識(shí)別等角度得出了信息安全事件可能性及信息安全事件造成的損失，最終可以計(jì)算出信息安全風(fēng)險(xiǎn)等級(jí)。電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估方法研究，制訂了電網(wǎng)信息安全風(fēng)險(xiǎn)定級(jí)的標(biāo)準(zhǔn)，提出了電網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估的評(píng)估方法、評(píng)估內(nèi)容、實(shí)施流程及其在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)，適用于電網(wǎng)企業(yè)開(kāi)展的信息安全風(fēng)險(xiǎn)評(píng)估工作。

一、評(píng)估方法

1.1資產(chǎn)分類

識(shí)別電網(wǎng)企業(yè)所存在的所有系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、設(shè)備、人員等評(píng)估對(duì)象，如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)、邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等可能對(duì)信息安全帶來(lái)風(fēng)險(xiǎn)的所有資產(chǎn)。

將資產(chǎn)可分為軟件、數(shù)據(jù)、硬件、服務(wù)、人員、其他等六大類。

1.2風(fēng)險(xiǎn)識(shí)別

1.2.1資產(chǎn)識(shí)別（A）

結(jié)合資產(chǎn)分類對(duì)資產(chǎn)及其組成進(jìn)行識(shí)別，識(shí)別其子類。

1.2.1.2資產(chǎn)賦值

開(kāi)展風(fēng)險(xiǎn)識(shí)別時(shí)，先對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析，然后明確資產(chǎn)的類別，再對(duì)資產(chǎn)進(jìn)行賦值。從保密性、完整性和可用性對(duì)資產(chǎn)進(jìn)行賦值。

（1）保密性賦值（A）

根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)：“很高”賦值5、“高”賦值4、“中等”賦值3、“低”賦值2、“很低”賦值1，分別對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。

（2）完整性賦值

根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)：“很高”賦值5、“高”賦值4、“中等”賦值3、“低”賦值2、“很低”賦值1，分別對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響。

（3）可用性賦值

根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)：“很高”賦值5、“高”賦值4、“中等”賦值3、“低”賦值2、“很低”賦值1，分別對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。

（4）資產(chǎn)的重要性等級(jí)（T）

選擇對(duì)資產(chǎn)保密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果。

T=Max（保密性賦值，完整性賦值，可用性賦值）

根據(jù)最終賦值將資產(chǎn)劃分為五級(jí)：“很高”賦值5、“高”賦值4、“中等”賦值3、“低”賦值2、“很低”賦值1，級(jí)別越高表示資產(chǎn)越重要。

1.2.2威脅識(shí)別（T）

威脅是指可能對(duì)信息系統(tǒng)造成直接或間接攻擊，導(dǎo)致資產(chǎn)在保密性、完整性和可用性等方面造成損害各種潛在因素。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅的來(lái)源分為環(huán)境因素、惡意人員和非惡意人員，基于表現(xiàn)形式的威脅分類軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴。

根據(jù)威脅頻率來(lái)考慮威脅賦值。

在評(píng)估中，需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：

（1）以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì);

（2）實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì);

（3）近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。

對(duì)威脅出現(xiàn)的頻率進(jìn)行分級(jí)，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。標(biāo)識(shí)“很高”等級(jí)5、標(biāo)識(shí)“高”等級(jí)4、標(biāo)識(shí)“中等”等級(jí)3、標(biāo)識(shí)“低”等級(jí)2、標(biāo)識(shí)“很低”等級(jí)1。

1.2.3脆弱性識(shí)別（V）

脆弱性識(shí)別是指從物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)等技術(shù)脆弱性和安全管理制度、安全管理機(jī)構(gòu)、人員、信息安全管理、安全工作機(jī)制等管理脆弱性兩大層面來(lái)分析時(shí)間對(duì)資產(chǎn)的影響。

根據(jù)脆弱性對(duì)資產(chǎn)的暴力程度、實(shí)數(shù)實(shí)現(xiàn)的難以程度、流行程度等，采用等級(jí)方式對(duì)已識(shí)別的脆弱性嚴(yán)重程度進(jìn)行賦值，等級(jí)值越大，脆弱性嚴(yán)重程度越高。

1.3風(fēng)險(xiǎn)分析與計(jì)算

在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。

此處采用相乘法計(jì)算風(fēng)險(xiǎn)值。

1.3.1計(jì)算安全事件發(fā)生的可能性（L）

根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：

安全事件的可能性=L（威脅，脆弱性）=f（T，V）=T*V

1.3.2計(jì)算安全事件發(fā)生后造成的損失（F）

根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后造成的損失，即：安全事件造成的損失=F（資產(chǎn)價(jià)值，脆弱性）=f（A，V）=A*V

1.3.3計(jì)算風(fēng)險(xiǎn)值（R）

根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失，計(jì)算風(fēng)險(xiǎn)值，即：

風(fēng)險(xiǎn)值=R（安全事件的可能性，安全事件造成的損失）=f（L，F(xiàn)）=L*F

二、風(fēng)險(xiǎn)結(jié)果的判定

為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理，可將風(fēng)險(xiǎn)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。

某項(xiàng)獨(dú)立的信息系統(tǒng)可由該系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中的最大風(fēng)險(xiǎn)等級(jí)確定。

結(jié)語(yǔ)

隨著電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估方法的廣泛運(yùn)用，各電網(wǎng)企業(yè)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，找出了各個(gè)系統(tǒng)中不同風(fēng)險(xiǎn)安全等級(jí)，編制了信息安全評(píng)估的報(bào)告。最后根據(jù)辨識(shí)出的風(fēng)險(xiǎn)應(yīng)依據(jù)脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃，明確風(fēng)險(xiǎn)對(duì)策措施建議、責(zé)任部門（責(zé)任人）、及處理時(shí)限等。

參考文獻(xiàn)：

[1]葉婉琦.大數(shù)據(jù)環(huán)境下電網(wǎng)信息安全技術(shù)分析[J].電子技術(shù)與軟件工程，2020（15）：233-234.

[2]易明.大數(shù)據(jù)環(huán)境下電網(wǎng)信息安全技術(shù)分析[J].建筑工程，2020（16）：190.

[3]周圣力，顏瑋康.關(guān)于智能電網(wǎng)信息安全技術(shù)的分析[J].通訊世界，2014（23）：122-123.

[4]易明.淺談電網(wǎng)企業(yè)信息通信及電力監(jiān)控安全管理體系研究[J].電力與能源系統(tǒng)學(xué)報(bào)，2020（15）：26.