摘 要：文章對當(dāng)前電力系統(tǒng)中的信息安全的實際情況做了深入研究，對信息安全風(fēng)險評估的相關(guān)技術(shù)進(jìn)行了系統(tǒng)的分析，然后在此基礎(chǔ)上，結(jié)合客觀實際需要，進(jìn)一步探討了電力系統(tǒng)信息安全風(fēng)險評估技術(shù)。

關(guān)鍵詞：電力系統(tǒng)；信息安全；風(fēng)險評估

1 信息安全風(fēng)險評估原理

針對風(fēng)險評估，它是對信息安全的狀態(tài)進(jìn)行系統(tǒng)的認(rèn)知。就目前現(xiàn)有的信息資源和安全控制條件為依托，對于之后可能會出現(xiàn)的信息安全事件進(jìn)行科學(xué)性的預(yù)測。風(fēng)險評估通過采集必要的信息，對這些信息資產(chǎn)的威脅、弱點、影響以及已經(jīng)采取的控制和事件發(fā)生的可能性等。對于這些信息來說，其是否能夠滿足實際需要，是否準(zhǔn)確，對于風(fēng)險評估的結(jié)果有著非常重要的影響。在采集信息相同的背景下，因評估模型存在不足，也會對評估的結(jié)果造成影響。與此同時，風(fēng)險和風(fēng)險要素是存在著一定的關(guān)系。通過有效應(yīng)用相應(yīng)的安全措施，可以達(dá)到有效控制風(fēng)險的目標(biāo)。而對每項資產(chǎn)來講，其勢必存在著一些威脅，會在弱點環(huán)節(jié)帶來相應(yīng)的影響。

2 信息安全風(fēng)險評估方法

對于新型安全風(fēng)險評估方法來講，它主要有以下三種方法。

2.1 定性分析

定性分析法是一種典型的模糊分析方法，在研究者的知識和經(jīng)驗等非量化資料的基礎(chǔ)上對系統(tǒng)的風(fēng)險作出相應(yīng)的判斷。分析其特點可以發(fā)現(xiàn)，其能夠提供更為細(xì)致的評估結(jié)論。但是也存在著主觀性強(qiáng)的問題，因此，評估者的準(zhǔn)入門檻非常高。

2.2 定量分析

定量分析在數(shù)量指標(biāo)的有效引導(dǎo)下，對風(fēng)險進(jìn)行有效評估。這種方法能夠在一定程度上很好地分析出風(fēng)險發(fā)生的概率，也能夠有效地判斷這些風(fēng)險的實際危害程度的大小，這無疑極大地提升了運行機(jī)制及可操作性。分析其特點可知，該種方法通過應(yīng)用數(shù)據(jù)來表達(dá)評估的結(jié)果，結(jié)果更加直觀，能夠被人容易掌握。但值得一提的是，該種方式在量化的過程中卻存在一定的困難，對于定量數(shù)據(jù)的獲取較為復(fù)雜，沒有系統(tǒng)的數(shù)據(jù)作為基礎(chǔ)，在這種情況下，往往讓一些結(jié)果變得不清晰，實際作用不強(qiáng)。

2.3 定性和定量相結(jié)合

對于信息安全問題來說，在實際應(yīng)用過程中，并不是所有的指標(biāo)都可以定量化，一些指標(biāo)是達(dá)不到這一要求的。在這種情況下，當(dāng)需要對不同的指標(biāo)進(jìn)行比較研究時，往往得不到有效支持。因此只能夠在經(jīng)驗的基礎(chǔ)上做人為的判斷。也正因為如此，單獨應(yīng)用定性和定量的方式，往往并不能夠?qū)崿F(xiàn)整體最優(yōu)的目標(biāo)，因此也無法做出更為系統(tǒng)的評價。想要達(dá)到最優(yōu)的評價結(jié)果，就需要充分結(jié)合定性和定量的方法來進(jìn)行評估和判斷。

3 電力系統(tǒng)中信息安全風(fēng)險評估的技術(shù)應(yīng)用流程分析

3.1 確定評估范圍

第一，電力系統(tǒng)主機(jī)和信息網(wǎng)絡(luò)等設(shè)施需要進(jìn)行深入評估，對相關(guān)的網(wǎng)絡(luò)和系統(tǒng)配置進(jìn)行評估。

第二，對電力系統(tǒng)和應(yīng)用系統(tǒng)服務(wù)進(jìn)行評估，對系統(tǒng)的配置和管理進(jìn)行深入評估，無論是生產(chǎn)階段還是經(jīng)營階段，或是決策階段，這些環(huán)節(jié)的系統(tǒng)設(shè)計都需要進(jìn)行評估，要保障系統(tǒng)的有效運行，從系統(tǒng)的配置到接口端，都需要進(jìn)行必要的評估。

第三，對電力系統(tǒng)信息安全技術(shù)進(jìn)行評估。在評估過程中，要全方位進(jìn)行把控，對防火墻的設(shè)置、病毒的檢測技術(shù)和檢測情況等都需要進(jìn)行評估。

第四，對現(xiàn)有的電力系統(tǒng)信息安全管理措施進(jìn)行評估。應(yīng)全面評估當(dāng)前電力系統(tǒng)的相關(guān)管理機(jī)構(gòu)，對相關(guān)人員和相關(guān)制度也要進(jìn)行深入評估。

3.2 資產(chǎn)的評估

第一，要識別資產(chǎn)。在該過程中，會對信息資產(chǎn)進(jìn)行分類標(biāo)記，并且參照ISO/IEC13334和ISO/IECTR 17799等標(biāo)準(zhǔn)進(jìn)行定義。

第二，要對資產(chǎn)進(jìn)行賦值。對于信息資產(chǎn)來說，其自身具備有機(jī)密性、完整性和可用性的屬性，要在深入分析了這三種屬性之后，對其價值進(jìn)行挖掘和探討，能夠有效固定資產(chǎn)的價值。與此同時，不同的資產(chǎn)其賦值會存在一定的差別，這樣就可以有效表現(xiàn)出安全措施需求的異同。

3.3 對風(fēng)險進(jìn)行分析

第一，對威脅電力系統(tǒng)信息安全風(fēng)險進(jìn)行評估。通過應(yīng)用技術(shù)手段、統(tǒng)計數(shù)據(jù)和經(jīng)驗來更為深入地判斷信息系統(tǒng)是否存在威脅。一方面，要有效判斷威脅源所在；另一方面，要對這一威脅源的危害程度進(jìn)行判斷，同時要對發(fā)生的頻率也要進(jìn)行確定。與此同時，要對威脅的賦值進(jìn)行全方位的考慮，對威脅的影響和可能性進(jìn)行深入研究。

第二，對電力系統(tǒng)信息安全脆弱性進(jìn)行評估。在對信息系統(tǒng)的脆弱性進(jìn)行判斷時，要明確查明其是否存在漏洞，這些漏洞既包括技術(shù)性的漏洞，也包括管理方面的漏洞。當(dāng)展開相應(yīng)的技術(shù)漏洞評估工作時，可以通過利用網(wǎng)絡(luò)進(jìn)行掃描，也可以通過使用主機(jī)安全人工審核的方式，以此來有效保證評估工作的有效進(jìn)行。而當(dāng)對管理漏洞進(jìn)行評估時，此時可以采用人工訪談和調(diào)查問卷的模式來開展。而漏洞的賦值則在國際通用的賦值方法下開展。從實際情況來看，在應(yīng)用過程中可以深入分析不同的信息系統(tǒng)情況，然后深入探究漏洞的嚴(yán)重程度以及其被利用的可能性，然后以此為基礎(chǔ)，分析實際應(yīng)用的方式，然后做出必要的調(diào)整。在此過程中，脆弱的程度是在時間的變化中而也在變化。一個漏洞在技術(shù)革新的背景下，有可能會被利用。另外，不同的威脅源，其漏洞也是不同的，嚴(yán)重程度也存在差別。

第三，對當(dāng)前現(xiàn)有的電力系統(tǒng)安全措施進(jìn)行識別。從目前情況來看，當(dāng)前的安全措施評估是對已經(jīng)部署好的安全措施進(jìn)行評估，同時也對正處于規(guī)劃狀態(tài)的安全措施進(jìn)行評估。通過采用必要的評估方式，分析這些安全措施是否有效，是否能夠滿足預(yù)期的目標(biāo)。在評估過程中，對其使用的真實情況進(jìn)行審核，是基本的審核方式。

第四，對整體電力系統(tǒng)信息風(fēng)險計算與評價進(jìn)行分析。當(dāng)資產(chǎn)識別和威脅分析以及脆弱性評價工作完成之后，可以通過應(yīng)用風(fēng)險計算的方法進(jìn)行計算，對不同資產(chǎn)面臨的風(fēng)險進(jìn)行評估。對于表現(xiàn)出來的風(fēng)險值來說，其表現(xiàn)的是某一種資產(chǎn)在當(dāng)前系統(tǒng)環(huán)境下存在的風(fēng)險以及風(fēng)險的大小。對于分析的結(jié)果來說，其能夠真實表現(xiàn)出信息系統(tǒng)整體安全狀態(tài)，然后通過深入綜合的研究，對風(fēng)險進(jìn)行分析和探討，有效確定風(fēng)險的處理方式。

3.4 對風(fēng)險的控制

在對風(fēng)險進(jìn)行必要的控制過程中，第一，要以風(fēng)險分析的結(jié)論為依托，對當(dāng)前資產(chǎn)面臨的風(fēng)險進(jìn)行研究，然后根據(jù)風(fēng)險的大小來進(jìn)行排序。第二，深入確定資產(chǎn)的機(jī)密性和完整性，同時對其可用性進(jìn)行進(jìn)一步明確。第三，通過深入分析資產(chǎn)存在的不同威脅，然后在確定了實際的安全漏洞之后，采用更有針對性的安全措施，有效解決漏洞問題。第四，在以上環(huán)節(jié)完成后，對風(fēng)險進(jìn)行最終的分析和總結(jié)，對安全措施間的相互影響進(jìn)行分析，然后根據(jù)客觀實際的需要，更為合理的部署。在得出結(jié)論后，形成系統(tǒng)完善的建議。

4 結(jié)束語

在我國網(wǎng)絡(luò)技術(shù)和信息技術(shù)不斷發(fā)展的背景下，電力系統(tǒng)也在不斷提升自身的信息化水平。網(wǎng)絡(luò)與信息系統(tǒng)已經(jīng)成為了電力系統(tǒng)運行和發(fā)展的重要基礎(chǔ)。但隨之而來的是一系列的信息安全風(fēng)險，如何有效對其進(jìn)行評估成為了重要問題，而通過系統(tǒng)的信息安全風(fēng)險評估技術(shù)的應(yīng)用，能夠有效發(fā)現(xiàn)問題，為完善電力系統(tǒng)提供必要的支持。

參考文獻(xiàn)

[1]孫嘉興.廣州供電局安全生產(chǎn)風(fēng)險管理評估及提升策略研究[D].華南理工大學(xué)，2014.

[2]周升進(jìn).信息安全風(fēng)險評估研究及應(yīng)用[D].北京郵電大學(xué)，2014.