内蒙古电力信息系统风险评估的探索与启示

【 摘 要 】 本文探讨了电力信息系统风险评估的相关内容，并根据信息系统风险评估的基本方法，介绍了内蒙古电力公司电力信息系统在风险评估方面做出的探索和给我们的启示，为电力信息系统风险评估工作做出了有益的探索。

【 关键词 】 内蒙古电力公司信息系统；信息安全；风险评估；探索与思考

The Exploration and Inspiration of Risk Assessment on Information Systems

in Inner Mongolia Power （Group） Co.， Ltd.

Ao Wei 1 Zhuang Su-shuai 2

（1.Information Communication Branch of the Inner Mongolia Power （Group）Co.， Ltd Inner MongoliaHohhot 010020；

2.Beijing Certificate Authority Co.， Ltd Beijing 100080）

【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power （Group） Co. Ltd.， we analyzed the general methods of risk assessment on power information systems. Besides， we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power （Group） Co. Ltd.， whose exploration provides valuable inspiration to information security in electric power industry.

【 Keywords 】 information systems of Inner Mongolia Power （Group） Co.， Ltd.； information security； risk assessment； exploration and inspiration

1 引言

目前，电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面，缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略，文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论，但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容；文献[8]讨论了一种基于模糊数学的电力信息安全评估模型，这种模型本质上依赖于专家的经验，带有主观性；文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法，但是并未对安全风险的评估模型进行具体分析。

本文介绍了内蒙古电力信息系统风险评估的相关工作，并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。

2 内蒙古电力信息安全风险评估工作

随着电网规模的日益扩大，内蒙古电力信息系统日益复杂，电网运行对信息系统的依赖性不断增加，对电力系统信息安全的要求也越来越高。因此，在电力行业开展信息安全风险评估工作，研究电力信息安全问题，显得尤为必要。

根据国家关于信息安全的相关标准与政策，并根据实际业务情况，内蒙古电力公司委托北京数字认证股份有限公司（BJCA）对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面，以解决电力信息系统面临的的安全风险。

3 电力系统信息安全风险评估的解决方案

通过对内蒙古电力信息系统的风险评估工作，我们可以总结出电力信息系统风险评估的解决方案。

4 电力信息系统风险评估的流程

电力信息系统风险评估的一般流程。

（1） 前期准备阶段。本阶段为风险评估实施之前的必需准备工作，包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。

（2） 现场调查阶段：实施人员对评估信息系统进行详细调查，收集数据信息，包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。

（3） 风险分析阶段：根据现场调查阶段获得的相关数据，选择适当的分析方法对目标信息系统的风险状况进行综合分析。

（4） 策略制定阶段：根据风险分析结果，结合目标信息系统的安全需求制定相应的安全策略，包括安全管理策略、安全运行策略和安全体系规划。

5 数据采集

在风险评估实践中经常使用的数据采集方式主要有三类。

（1） 调查表格。根据一定的采集目的而专门设计的表格，根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。

（2） 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性，并确认已有安全技术措施是否发挥作用。

（3） 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如：系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。

a） 分析方法

风险评估的关键在于根据所收集的资料，采取一定的分析方法，得出信息系统安全风险的结论，因此，分析方法的正确选择是风险评估的核心。

结合内蒙电力信息系统风险评估工作的实践，我们认为电力行业信息安全风险分析的方法可以分为三类。

定量分析方法是指运用数量指标来对风险进行评估，在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值，典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。

定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中，可以通过调查表和合作讨论会的形式进行风险分析，分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。

综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法，而在其他情况下定性的评估方法更能满足组织需求。

表1概括介绍了定量和定性方法的优点与缺点。

b） 质量保证

鉴于风险评估项目具有一定的复杂性和主观性，只有进行完善的质量控制和严格的流程管理，才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性，质量保障活动需要在评估项目实施中提供足够的可见性，确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中，设立质量监督员（或聘请独立的项目监理担任）是一个有效的方法。质量监督员依照相应各阶段的实施标准，通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。

6 内蒙古电力信息安全风险评估的启示

为了更好地开展风险评估工作，可以采取以下安全措施及管理办法。

6.1 建立定期风险评估制度

信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度，适时开展风险评估工作，或建立风险评估的长效机制，将风险评估工作与信息系统的生命周期和安全建设联系起来，让风险评估成为信息安全保障工作运行机制的基石。

6.2 编制电力信息系统风险评估实施细则

由于所有的信息安全风险评估标准给出的都是指导性文件，并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等，因此建议在国标《信息安全风险评估指南》的框架下，编制适合电力公司业务特色的实施细则，根据选用的或自定义的风险计算方法，，制各种模板，以在电力信息系统实现评估过程和方法的统一。

6.3 加强风险评估基础设施建设，统一选配风险评估工具

风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法，选择配套的专业风险评估工具，向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具，及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。

6.4 统一组织实施核心业务系统的评估

由于评估过程本身的风险性，对于重要的实时性强、社会影响大的核心业务系统的评估，由电力公司统一制定评估方案、组织实施、指导加固整改工作。

6.5 以自评估为主，自评估和检查评估相结合

自评估和检查评估各有优缺点，要发挥各自优势，配合实施，使评估的过程、方法和风险控制措施更科学合理。自评估时，通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析，得出风险判断。

6.6 风险评估与信息系统等级保护应结合起来

信息系统等级保护若与风险评估结合起来，则可相互促进，相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义，而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后，根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考，检验网络与信息系统的防护水平是否符合等级保护的要求。

参考文献

[1] 魏晓菁， 柳英楠， 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全，2004，6.

[2] 魏晓菁，柳英楠，来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化，2004，2（1）.

[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化，2004，2（7）.

[4] 梁运华，李明，谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化，2003，2（1）.

[5] 周亮，刘开培，李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术，2004，28（23）.

[6] 陈其，陈铁，姚林等. 电力系统信息安全风险评估策略研究. 计算机安全，2007，6.

[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全，2003（4）.

[8] 丛林，李志民，潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化，2004，28（12）.

[9] 胡炎，谢小荣，辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化，2005，29（10）.

作者简介：

奥伟（1980-），男，毕业于内蒙古工业大学计算机科学与技术专业，内蒙古电力信通中心，工程师，专业从事信息安全工作。

庄肃帅（1985-），男，北京数字认证股份有限公司。