电力论文电力信息网风险评估

来源：职称论文发表咨询网作者：王编辑时间：2016-03-04 16:26

　　本篇文章是一篇电力论文，发表在《吉林电力》上，杂志是经国家新闻出版总署正式批准，面向国内外公开发行的国家期刊，《中国核心期刊(遴选)数据库》、《中国期刊全文数据库》、《中文科技期刊数据库》、《中国期刊网》等数据库全文收录期刊，杂志集权威性、理论性与专业性于一体，具有很高的学术价值，是作者科研、晋级等方面的权威依据，欢迎广大作者积极撰写论文，踊跃投稿。

　　论文摘要：本文设计的信息安全风险评估辅助系统是一个多专家评估系统，主要模块分为风险评估管理端、系统评估端、信息库管理端和知识库管理端，严格按照《指南》的风险评估流程进行评估，使评估结果更全面更客观。

　　论文关键词：信息安全,风险评估,风险分析,电力论文

　　一、前言

　　电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行，该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行，因此电力信息网络的安全保障工作刻不容缓[1，2]。风险评估具体的评估方法从早期简单的纯技术操作，逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法，充分体现以资产为出发点，以威胁为触发，以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。

　　二、信息安全风险评估

　　在我国，风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段，国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的，涉及内容包括：

　　(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。

　　(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。

　　(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。

　　三、电力信息网风险评估辅助系统设计与实现

　　本文设计的信息安全风险评估辅助系统是基于《指南》的标准，设计阶段参考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构，是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍：

　　(一)评估管理端。评估管理端控制风险评估的进度，综合管理系统评估端的评估结果。具体表现在：开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认，对多个专家的评估数据进行综合，得到综合评估结果。

　　(二)系统评估端。系统评估端由多个专家操作，同时开展评估。系统评估端要经历如下阶段：a.准备阶段：评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后，和评估管理端一样，可以浏览、导出、打印评估的结果—风险评估报表系列。

电力论文