电力行业信息安全风险评估系统的设计与实现

2017-11-17关天龙

网络安全技术与应用 2017年11期

关键词：电力行业脆弱性信息安全

◆关天龙

（山东新潮信息技术有限公司山东 250000）

电力行业信息安全风险评估系统的设计与实现

◆关天龙

（山东新潮信息技术有限公司山东 250000）

随着信息技术的广泛应用和迅速发展，信息安全问题涉及的领域越来越多，做好信息安全工作是保障国家经济建设持续健康发展的当务之急。2003年9月，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）指出要“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”，此后国家不断加大信息安全工作力度，先后发布了很多加强信息安全保障工作的政策。

风险评估；评估工具；评估系统；风险评估知识库；风险评估量化方法

0 引言

党的十七大报告中指出“发展现代产业体系，大力推进信息化与工业化融合”，这一方针对信息安全保障工作提出了更高要求。《中华人民共和国国民经济和社会发展第十一个五年规划纲要》中指出，“积极推进信息化，要坚持以信息化带动工业化，以工业化促进信息化，提高经济社会信息化水平”。要“强化信息安全保障”，“积极防御、综合防范，提高信息安全保障能力；强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设；加强基础信息网络和国家重要信息系统的安全防护；推进信息安全产品产业化；发展咨询、测评、灾备等专业化信息安全服务；健全安全等级保护、风险评估和安全准入制度”。

电力行业信息系统尤其是电力监控系统作为国家的重要基础信息系统的安全性应受到高度重视，电力监控系统覆盖全国的国家、省、市、地、县的电网调度中心，各级变电站，各类电厂总数超过万个，建设厂家覆盖广，采用的基础环境种类多，系统环境复杂。如何高效、准确、统一的对电力监控次系统的安全防护能力进行评估成为各级安全责任单位的重中之重。

1 国内外研究动态

1.1 国外风险评估概况

从美国国防部1985年发布著名的可信计算机系统评估准则TCSEC起世界各国根据自己的研究进展和实际情况相继发布了一系列有关安全评估准则和标准如美国的TCSEC;英、法、德、荷等国20世纪90年代初发布的信息信息技术安全评估准则ITSEC；由6国7方加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA于20世纪90年代中期提出的信息技术安全性评估通用准则CC由英国标准协会BSI制定的信息安全管理标准BS7 79ISO17799以及最近得到ISO认可SSE-CMMISO/IEC21827:2002等。

目前，常用的风险评估方法总体可以分为定量分析方法和定性分析方法。定量分析方法是指根据一定的数据建立数学模型然后计算分析各项指标的一种方法；常见的定量分析方法有时序序列分析法、Markov分析法、因子分析法、聚类分析法、决策树法、熵权系数法等。定性分析方法是主要依赖于分析者的经验、直觉等一些非量化的指标来对系统进行分析的一种方法；常见的定性分析方法有德尔菲法、OCTAV方法，即可操作的关键威胁、资产和脆弱评估方法等。

定量分析方法就是对度量风险的所有要素赋予一定的数值，这样就把整个风险评估的过程和结果量化，然后通过这些被量化的数值对信息系统进行评估判定，简单地说定量分析就是用数量指标来对风险进行评估。

定性分析不需要严格量化各个属性，只是采用人为的判断，主观性很强，对评估者的要求很高，可以挖掘出一些蕴藏很深的思想，使评估结论更全面、更深刻。在定性评估时并不使用具体的数据，而是指定期望值，利用这样一种非量化形式对信息系统做出判断。定性分析的评估方法比如德尔菲法，也称为专家预测法，是通过背对背群体决策咨询的方法各自独立工作然后以系统的、独立的方式综合他们的判断，它隔绝了群体成员间的相互影响，使评估更加准确、客观。定性分析是目前运用最为广泛的一种风险评估方法，定性分析可贯穿整个风险评估的过程。首先，在进行资产识别时，通过咨询调查等方式就信息系统的保密性、完整性和可用性分析来确定资产的价值；同理，在对威胁和脆弱性识别时也是利用一些非量化的指标对信息系统进行判断，最后，根据风险评估计算公式得出风险值。

1.2 国内风险评估概况

国内风险评估可以按照高、中、低端简单地分类国内高端市场往往网络安全评估涵盖在他们的整个审计体系之下中端市场上风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用 BS7799到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型低端厂商往往只是通过简单的漏洞扫描、病毒查杀等方式操作他们的目标客户群体是小型企业不会为评估花费太多的精力和金钱安全也只需要简单达到某一基线即可。

我国的GB-T20984-2007信息安全风险评估指南是根据CC标准改进来的。风险评估是围绕着资产、风险、脆弱性这些基本要素展开的每个要素都有各自的属性资产的属性是资产的价值其中资产的价值不是以资产的经济价值来衡量而是由资产在保密性、完整性、可用性这三个安全属性的达成程度或者其安全属性未达成时所造成的影响程度来决定的威胁的属性可以是威胁主体、影响对象、出现频率、动机等脆弱性的属性是资产弱点的严重程度。风险分析原理图如图1所示。

图1 风险分析原理图

进行风险评估时由于安全属性达到程度的不同将使资产具有不同的价值而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达到程度产生影响。首先对组织中资产进行识别那么根据资产的表现形式可将资产分为数据、软件、硬件、服务、人员等类型。对资产分类后我们需要分别从保密性、完整性、可用性方面来确定资产的价值。其次对威胁进行识别威胁可通过威胁主体、资源、动机、途径等多种属性来描述造成威胁的因素可从人为因素和非人为因素分析判断威胁在保密性、完整性和可用性方面造成的损害。接着对脆弱性的识别脆弱性是资产本身存在的如果没有被相应的威胁利用单纯的脆弱本身不会对资产造成损害。也就是说威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性所以对其进行识别也是最困难的部分同时也是风险评估中最重要的一个环节。脆弱性识别主要从技术和管理两个方面进行技术脆弱性涉及物理层、网络层、传输层、应用层等各个层面的技术安全问题。最后根据风险评估计算公式得出风险值。

1.3 评估工具的发展现状

国信办《信息安全风险评估指南》将风险评估的工具分为安全管理评价工具、系统软件评估工具、风险评估辅助工具三类。三类工具在评估活动中分别侧重不同的方面，对完成信息安全风险评估工作起到不同的作用。

安全管理评价工具侧重的是安全管理方面。对信息所面临的安全风险进行全面的考虑，最后给出相应的控制措施和解决办法。这类评估工具通常基于某种模型之上。根据模型进行相应的资产、威胁、脆弱点识别，或者基于专家系统，利用专家经验进行风险分析。最后给出结论。该类工具比较著名的有CRAMM，COBRA等。

系统软件评估工具侧重的是发现系统中软件和硬件中已知的安全漏洞。然后根据这些漏洞是否容易受到攻击，确定系统的脆弱点．最后建立或修改系统相应的安全策略。该类工具包括漏洞扫描工具和渗透性测试工具。典型的有Nessus、ISS、CyberCop Scanner等。

风险评估辅助工具侧重收集评估所需要的数据和资料。建立相应的信息库、知识库。这类工具在评估过程中不可缺少，其中建立的信息库和知识库是风险评估不可或缺的支持手段。

1.4 评估工具的发展方向

评估工具整合多种安全技术。风险评估过程中要用到多种技术手段，如入侵检测、系统审计、漏洞扫描等，将这些技术整合到一起，提供综合的风险分析工具，不仅解决了数据的多元获取问题，而且为整个信息安全管理创造良好的条件。

风险评估工具应实现功能的集成。风险评估工具应具有状态分析、趋势分析和预见性分析等功能。同时，风险评估工具应提供对系统及管理方面漏洞的修复和补偿办法。可以调动其他安全设施如防火墙、IDS等配置功能，使网络安全设备可以联动。风险分析是动态的分析过程，又是管理人员进行控制措施选择的决策支持手段，因此，全面完备的风险分析功能是避免安全事件的前提条件。

风险评估工具逐步向智能化的决策支持系统发展。专家系统、神经网络等技术的引入使风险评估工具不是单纯的按照定制的控制措施为用户提供解决方案，而是根据专家经验，进行推理分析后给出最佳的、具有创新性质的控制方法。智能化的风险评估工具具有学习能力，可以在不断地使用中产生新的知识，解决不断出现的新问题。智能化的决策支持能够为普通用户在面对各种安全现状的情况下提供专家级的解决方案。

风险分析工具向定量化方向发展。目前的风险分析工具主要通过对风险的排序，来提示用户重大风险需要首先处理，而没有计算出重大风险会给组织带来多大的经济损失。而组织管理人员所关心的正是经济损失的问题，因为他们要把有限的资金用于信息安全管理，同时权衡费用与价值比。因此，人们越来越倾向于一个量化的风险预测。

2 课题研究内容

2.1 评估系统功能实现和各模块之间的关联研究

系统包括评估模块、数据库模块和评估结果处理模块。其中评估模块包括评估准备模块和评估过程模块，控制从评估准备、资产识别、辅助工具扫描结果、问卷调查、威胁识别、脆弱性识别、风险分析、控制措施建议与选择到最后残余风险评估的整个评估流程，其中还包括专家的帐户管理、挂起和继续评估任务、根据安全策略的范围自定义问卷调查表。数据模块由信息库管理、电力行业典型场景知识库管理两部分组成。其中信息库管理包括对资产、威胁源、威胁行为、脆弱点等数据库的管理，知识库包括电力行业典型环境的资产识别、危险赋值和脆弱性赋值等数据库的管理。专家登录后可以对数据库进行查看、添加和删除等操作。评估结果处理模块包括报表生成和评估结果保存模块，包括评估报表的生成和打印。保存评估结果到XML文件的功能。登录后，再将新开始的或者之前挂起的评估完成之后，就可以进入到评估结果处理模块，生成存在的威胁报表、存在的脆弱点报表、已有的控制措施报表、风险结果报表和建议采用的控制措施报表；最后可以将本次评估的结果保存到XML文件。其中通过多少功能模块实现上述功能，和各功能模块之间的关联关系将是本次系统设计研究的重点。

2.2 电力监控系统风险评估知识库研究

本次研究还计划通过大量的调研和分析，对各级电网企业、各级变电站、各类电厂面临的威胁和脆弱性进行分析，完成典型案例的赋值，并作为数据共系统调用，可解决在风险评估过程中因各测评人员理解不同造成在测评结果上的差异。

2.3 电力行业信息安全风险评估量化方法

为了能更好的量化风险评估结果，使其更为直观的展现信息安全风险将给企业带来的损失，供企业决策者参考和比对，研究现有风险计算方法，研究一种可直观简单的计算方式，并采用量化方式显示结果，作为系统评估报表展示的主要依据。

3 研究方案、工作特色及难点

3.1 研究方案

（1）充分调研，分析研究，完成电力行业典型环境的资产识别、危险赋值和脆弱性赋值，建立电力行业典型场景知识库、信息库；

（2）结合电力行业信息安全风险评估特点和信息安全技术信息安全风险评估规范制定信息安全工作流程；

（3）梳理各模块数据库之间的关联关系，识别关键数据；

（4）完成电力行业信息安全风险评估量化计算方法的设计；

（5）建立电力行业信息安全风险评估模型。

3.2 工作特色

（1）依据国家标准规定的风险评估流程，自动生成风险评估报告；

（2）实现信息系统风险评估的网络化集成管理；

（3）建立智能型评估知识库；

（4）一种电力行业信息安全风险评估量化方法；

（5）定量计算信息系统的安全风险值；

（6）提高工作效率简化工作要素。

3.3 工作难点

设计一种电力行业信息安全风险评估量化方法。

4 预期成果和可能的创新点

4.1 预期成果

（1）开发电力行业信息安全风险评估系统；

（2）建立电力监控系统风险评知识库；

（3）设计一种电力行业信息安全风险评估量化方法。

4.2 可能的创新点

根据国网信息安全配置合规性要求，规范信息安全配置管理，建立安全配置操作与检查基准的风险评估知识库，实现用统一的安全配置标准来规范技术人员的日常操作和风险评估，同时将安全配置作为IT内控机制固化到日常运维工作流程中。

本次对电力监控系统常见的脆弱性整理出配置要求形成知识库，针对各个厂家的不同品牌设备或系统分别制订针对性的配置操作表单。

5 结语

本文探讨了电力行业信息安全风评估系统的设计与实现，分别在信息安全风险评估系统功能实现和风险评估各模块之间的联系，电力监控系统风险评估知识库以及电力行业信息拿权风险评估量化方法等方面阐述了如何构建电力行业信息安全风险评估系统。通过电力行业信息安全风险评估系统对电力监控系统的安全评估，可以有效的杜绝人员的误操作对电力监控系统的影响，以及可以更为准确的掌握电力监控系统的这是客户安全状况，为日后电力监控系统的安全防护与安全加固提供了客观的依据，从根本上解决了传统风险评估在电力监控系统的弊端。

[1] 国务院信息化办公室．信息安全风险评估指南，2006．

[2] 王英梅．信息安全风险评估技术手段综述[G]2004年中国信息协会信息安全专业委员会年会．张家界，2004．

[3] 张基温．信息系统安全原理[M]．北京：中国水电出版社，2000．

[4] 孙强．信息安全管理[M]．北京：清华大学出版社，2004．

[5] 方勇．信息系统安全导论[M]．北京：电子工业出版社，2003．

[6] 中国信息协会．中国信息协会信息安全专业委员会年会文集[C]．北京：[出版者不详]，2004．

[7] 李辉．计算机安全学[M]．北京：机械工业出版社，2005．

[8] (美)Christorpher Akbes Audrey Dorofee．信息安全管理[M]．北京：清华大学出版社，2004．

[9] 方勇．信息系统安全导论[M]．北京：电子工业出版社，2003．

[10] 姚小兰．网络安全管理与技术防护[M]．北京：北京理工大学出版社，2002．

[11] (美)DeterGolrnan．计算机安全[M]．北京：人民邮电出版社，2004．

[12] 张红旗，王新吕，杨英杰．信息安全管理[M]．北京：人民邮电出版社，2008．