電力系統(tǒng)越來越依賴電力信息網(wǎng)絡(luò)來保障其安全、可靠、高效的運(yùn)行，該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩，本文設(shè)計的信息安全風(fēng)險評估輔助系統(tǒng)是一個多專家評估系統(tǒng)，主要模塊分為風(fēng)險評估管理端、系統(tǒng)評估端、信息庫管理端和知識庫管理端，嚴(yán)格按照《指南》的風(fēng)險評估流程進(jìn)行評估，使評估結(jié)果更全面更客觀。

　　《電力電子技術(shù)》是我國唯一的國家級電力電子刊物，也是電力電子學(xué)會的會刊，面向國內(nèi)外公開發(fā)行。它創(chuàng)刊于1967年，經(jīng)過四十多年來的風(fēng)風(fēng)雨雨，在社會各界同仁的關(guān)懷下，已成長為我國電力電子領(lǐng)域里，集理論與應(yīng)用于一體，具有較高知名度的權(quán)威性刊物，它對我國電力電子技術(shù)發(fā)展起到至關(guān)重要的傳播、引導(dǎo)與推廣作用。被國家定為“中文核心期刊”和“學(xué)位與研究生教育中文重要期刊”。

　　一、前言

　　風(fēng)險評估具體的評估方法從早期簡單的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)，以威脅為觸發(fā)，以技術(shù)、管理、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型[3]。

　　二、信息安全風(fēng)險評估

　　在我國，風(fēng)險評估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國試點(diǎn)工作階段，國信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險評估指南》[4](簡稱《指南》)得到了較好地實(shí)踐。本文設(shè)計的工具是基于《指南》的，涉及內(nèi)容包括：

　　(一)風(fēng)險要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與基本要素相關(guān)的各類屬性。

　　(二)風(fēng)險分析原理。資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

　　(三)風(fēng)險評估流程。包括風(fēng)險評估準(zhǔn)備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認(rèn)、風(fēng)險分析、風(fēng)險消減[5]。

　　三、電力信息網(wǎng)風(fēng)險評估輔助系統(tǒng)設(shè)計與實(shí)現(xiàn)

　　本文設(shè)計的信息安全風(fēng)險評估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn)，設(shè)計階段參考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等風(fēng)險評估工具。系統(tǒng)采用C/S結(jié)構(gòu)，是一個多專家共同評估的風(fēng)險評估工具。分為知識庫管理端、信息庫管理端、系統(tǒng)評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風(fēng)險評估的主體。下面對系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹：

　　(一)評估管理端。評估管理端控制風(fēng)險評估的進(jìn)度，綜合管理系統(tǒng)評估端的評估結(jié)果。具體表現(xiàn)在：開啟評估任務(wù);分配風(fēng)險評估專家;對準(zhǔn)備階段、資產(chǎn)識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風(fēng)險分析階段、選擇控制措施階段這七個階段多個專家的評估進(jìn)行確認(rèn)，對多個專家的評估數(shù)據(jù)進(jìn)行綜合，得到綜合評估結(jié)果。

　　(二)系統(tǒng)評估端。系統(tǒng)評估端由多個專家操作，同時開展評估。系統(tǒng)評估端要經(jīng)歷如下階段：a.準(zhǔn)備階段：評估系統(tǒng)中CIA的相對重要性;b.資產(chǎn)識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風(fēng)險分析階段;g.控制措施選擇階段。在完成了風(fēng)險評估的所有階段之后，和評估管理端一樣，可以瀏覽、導(dǎo)出、打印評估的結(jié)果—風(fēng)險評估報表系列。

　　(三)信息庫管理端。信息庫管理端由資產(chǎn)管理，威脅管理，脆弱點(diǎn)管理，控制措施管理四部分組成。具體功能是：對資產(chǎn)大類、小類進(jìn)行管理;對威脅列表進(jìn)行管理;對脆弱點(diǎn)大類、列表進(jìn)行管理;對控制措施列表進(jìn)行管理。

　　(四)知識庫管理端。知識庫的管理分為系統(tǒng)CIA問卷管理，脆弱點(diǎn)問卷管理，威脅問卷管理，資產(chǎn)屬性問卷管理，控制措施問卷管理，控制措施損益問卷管理六部分。

　　四、總結(jié)

　　信息安全風(fēng)險評估是一個新興的領(lǐng)域，本文在介紹了信息安全風(fēng)險評估研究意義的基礎(chǔ)之上，詳細(xì)闡述了信息安全風(fēng)險評估輔助工具的結(jié)構(gòu)設(shè)計和系統(tǒng)主要部分的功能描述。測試結(jié)果表明系統(tǒng)能對已有的控制措施進(jìn)行識別，分析出已有控制措施的實(shí)施效果，為風(fēng)險處理計劃提供依據(jù)。

　　參考文獻(xiàn)：

　　[1]Huisheng Gao,Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.

　　[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.

　　[3]左曉棟等.對信息安全風(fēng)險評估中幾個重要問題的認(rèn)識[J].計算機(jī)安全,2004,7:64-66

　　[4]國務(wù)院信息辦.信息安全風(fēng)險評估指南[S].2006