电力企业信息安全风险评估的方法探讨

电力企业信息安全风险评估的方法探讨

信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据。

电力企业信息安全的风险分析

基础设施风险分析

基础设施安全是信息系统安全的必要前提。目前电力系统在机房基础设施建设的访问管理存在缺陷，亟待解决。比如楼层交换机的机柜位置及其不安全，非运维管理人员可以随时接触，给内部攻击和窃密提供方便。

信息网络安全风险分析

部分电力企业用户由于工作需要涉及互联网，这给信息内网带来安全隐患；局域网及广域网内部用户有意或者无意地对信息系统发起攻击和泄密行为。此外企业内部人员技术水平，信息设备性能等各方面的制约，使得整个电力信息网络的外部边界保护能力存在一定差异，均降低整个信息系统安全防护能力。

其他设备的安全风险分析

没有完整的备份策略，备份不及时或者没有应急预案；移动介质管理不规范，对备份介质没有做领取、使用等方面的记录。灾难恢复水平低，没有有关灾难恢复的管理制度等。

管理风险分析

随着信息技术日新月异的发展，近些年来，电力企业在信息化应用方面的要求也在逐步提高，但其中安全意识薄弱，管理制度不健全以及缺乏可操作性等都可能引起安全管理的风险。

图1 风险计算流程图

电力企业信息安全的风险计算

结合电力企业实际情况，从风险管理的角度，运用科学的手段，对信息资产存在的脆弱性、面临的威胁以及脆弱性被威胁利用会产生的负面影响和危害事件发生的可能性，进行科学评价的过程。力图通过最优的风险管理策略，把信息系统上客观存在的风险，逐步降低到一个可以接受的程度。由于电力企业目前受到的威胁涉及环境威胁、内部人员威胁、外部人员威胁以及环境威胁四个方面，脆弱性涵盖管理脆弱性、运维脆弱性以及技术脆弱性三个环节。根据风险评估的关键要素：资产、威胁和脆弱性，风险计算流程如图1所示：

采用Z=f（x，y）=x*y公式计算风险值，函数f可以采用矩阵法。矩阵法的原理是：x={x1，x2，…，xi，…，xm}，1≦i≦m，xi为正整数，

y={y1，y2，…，yi，…，yn}，1≦y≦n，yj为正整数，

表1 信息系统威胁等级示意图

图2 防范措施流程图

以要素x和要素y的取值构建一个二维矩阵，矩阵行值为要素y的所有取值，矩阵列值为要素x的所有取值。矩阵内m×n个值即为要素z的取值，z={z11，z12，…，zij，…，zmn}，1≤i≤m，1≤j≤n，zij为正整数。

信息安全风险值=安全事件发生可能性*安全事件损失

其中，安全事件发生可能性=威胁发生频率*脆弱性严

重程度；安全事件损失=资产价值*脆弱性严重程度；经过计算，将风险等级划分如下：

通过防范措施实施后如图2所示，信息系统威胁等级如图1所示。

通过技术手段加管理手段等有效的防范措施，同时借助信息安全常态防护机制和不定期督查机制，使得信息安全风险得到大幅度的降低。

总结

随着信息技术的广泛应用和国际互联网的不断发展，信息安全问题也越来越复杂和多样化，信息系统安全风险评估也日益得到人们的重视，在电力企业内部建立健全信息安全体系的同时，制定相应的安全管理措施，定期对信息系统进行风险评估以及审计，确保信息系统安全稳定运行，为电力企业创造更加美好的未来。

10.3969/j.issn.1001- 8972.2016.20.022