电网基线安全评估分析

摘 要：电网系统在运行中会出现很多的突况，这样情况在发现过程中是没有有效的安全评估机制和方法，这样就使得电网系统在运行的时候安全不能得到很好的保证，为了更好的保证电网系统的运行，一定要有安全评估机制，同时对安全评估方法进行探讨。

关键词：信息安全；安全评估机制；分析

信息化的不断发展，使得互联网在人们的生活和工作中得到了广泛的使用。在现在，人们对信息越来越重视，信息的安全性和保密性也成为了非常敏感的问题。对于信息使用者来说，信息不但要安全，同时也要做到完整，可用性也要非常高。信息通过互联网可以实现在线传输，这样就使得信息的传递更加的方便。为了更好的保证人们的生活和工作不受到影响，电网业务提供商要保证提供的服务可以更好的为人们服务，电网运营商的网络和业务是国家基础设施建设的重要组成部分。现在，人们对电力信息化的要求越来越高，这样就使得信息系统在发展的过程中要不断提高技术水平，使得信息的价值得到更好的体现。信息在安全方面也是存在着很大的隐患，这样就使得信息资产受到的威胁在不断提高，信息的价值是非常重要的，因此其带来的损失也将是非常大的。对于信息安全来说一定要保证电网系统中信息安全评价问题。电网终端系统是重要的信息系统，是由很多复杂的部件构成的，在运行的时候对信息安全评估也是有很大的帮助的。电网终端在安全评估方面主要针对的是安全漏洞和安全配置问题，在系统工作中，可以依靠漏洞管理对安全漏洞问题进行解决，但是，对于安全配置方面存在的问题还是停留在人工管理阶段，这样就给安全管理问题带来了很大的问题。

1 细化安全评估内容

1.1 安全保障性目标

系统评估体系有着其特有的特征，可以根据一组功能的需求，从而定义系统和产品的安全功能；在描述系统和产品的时候可以为了满足其需求采取若干的措施，需求是为了更好的保证安全的证据。确定产品或者系统是否满足功能的方法一定要建立在安全的基础上，对安全的评估结果，一定要有度量的标准，这样才能更好地保证产品或者是系统的安全程度。在安全保障体系中，产品从设计到最终的使用都是要有详细的评估的，同时安全保证需求是描述产品安全保障的证据。对信息安全系统进行安全评估，国际上有着专有的评估方法，在功能需求、安全保障需求和安全评估级别方面都是有着详细的规定的。安全评估通常要经过很长的时间，同时在种类和范围上也有严格的要求，在进行安全评估时，实时的评估是非常不客观的，同时也是不符合实际情况的。在安全保障目标下，要验证的是组件的评估结果而不是组件的相对属性。安全保障是为了更好的保证验证的速度，同时也是为了更好的保证验证结果的客观性。将经过权威验证的评测组件在企业范围内进行应用，对信息的安全进行评估，可以更好的为了企业的信息安全验证服务，同时在终端平台安全保障方面也是有利的。

1.2 策略符合性目标

在某个任务中，策略是任务的上下文，因此，策略符合性目标在应用的时候，就要将策略上下文中的证据进行提取，这样在系统或者是网络访问中，才能更好的制定出相关的策略，将策略中所需要的属性进行全部的提炼，这样才能更好的从属性方面更好的为系统提供依据。在策略制定方面，可以以访问控制策略为例子，在策略中会出现规定的访问主体、客体和访问的方式、时间，这样就需要属性方面提供访问者的身份信息，同时要将整个访问中的相关信息进行进行了解。

1.3 风险评估性目标

在系统中，资产、系统组件以及安全策略在进行评估的时候都是要进行风险评估的，在不同的信息系统中，要面临的风险也是不同的，这样就使得风险评估的范围也是不同的，在进行评估的时候提供的属性要求也是不同的。对于具体的风险评估来说，评估的内容和方式一旦确定下来就要对相关的属性进行确定，在对应用程序进行风险评估的时候，要对应用程序的安装平台的环境和终端的环境都进行考虑，同时对内部的环境也要进行考虑，检查系统是否存在着漏洞，这样可以更好的进行风险评估，同时可以将系统的风险降到最低。

2 电网终端信息安全评估系统

2.1 安全评估系统结构

目前，国内电力行业对信息安全评估主要侧重于风险分析、安全方案等，尚没有对电网终端进行信息安全自动化评估的工具和产品。根据国信办《信息安全风险评估指南》对风险评估工具的分类，将其分为安全管理评价工具、系统软件评估工具和风险评估辅助工具。这三类工具在评估活动中分别侧重不同的方面，对完成信息安全风险评估工作起到不同的作用。我们在基于业务安全评估的基础上，充分考虑了行业的现状和行业最佳实践，并参考了电网运营商下发的各类安全政策文件和行业规范，继承和吸收了国家等级保护、风险评估的经验成果，形成一套基于业务系统的安全评估结构。其中，安全管理评价工具侧重的是安全管理方面，对信息所面临的安全风险进行全面的考虑，最后给出相应的控制措施和解决方法。系统软件评估工具侧重的是发现系统中软件和硬件中已知的安全漏洞，然后根据这些漏洞是否容易受到攻击，确定系统的脆弱点，最后建立或修改系统相应的安全策略。风险评估辅助工具侧重收集评估所需要的数据和资料，建立相应的信息库、知识库。运用安全评估结构，在深入了解业务系统安全需求的基础上构建不同业务系统的安全评估要求，然后将安全评估要求分解到最底层一即系统实现层，系统实现层中安全评估要求，主要是由漏洞评估、补丁评估以及异常事件评估的检查项构成，这些检查项的覆盖面、有效性就成为了安全评估实现的关键。应用系统实现层的安全评估要求，可以对目标业务系统展开合规安全检查，以找出不符合的项并选择和实施安全措施来控制安全风险。

2.2 安全评估系统实现

终端信息安全评估工具将是一个自动化的检查工具，只需要输入被检查设备的IP地址、登录用户名和密码，该核查工具就通过加密通道登录到被检查设备，执行系列的检查内容，将检查结果与定义的标准进行比对并最终形成一套报告呈现在用户面前。检查过程是自动化并且快速的，通常不超过3分钟就可以完成对设备或系统的检查。首先在Web界面模块，通过Web界面提供的系统管理子模块，可以对检查配置进行选择和输入。在检查配置完成后并启动任务管理模块后，检查配置信息就会传送到系统的扫描引擎中，引擎首先会调用相对应的工作进程，通过Telnet/SSH/SMB等连接方式登录被检查目标设备或系统，同时调度引擎将调用不同的进程从检查目标处获取相对应的信息，并将获取到的信息传回到系统的数据分析模块。

3 结束语

在对安全评估进行流程制定的时候，要对制定的需求、确认的目标、细化的内容、评估的机制和评估的结果进行更加细化的规定，这样才能更好的确保流程的每个环节，同时更好的实现安全评估的目标。对安全评估的目标进行细化，才能更好的制定安全评估的模型。使用层次化的分析方法对安全评估的目标进行权重关系的比较，同时对评估的结果进行量化，在这样的基础上能更好的实现自动化安全评估工具的制定。

参考文献

[1]刘哲，张为群，肖魏娜.一种基于模糊评估分层模型的构件可测试性评价方法[J].计算机科学，2011，38（5）：113-115.

[2]国家信息中心.信息安全风险评估规范[Z].2006.