欢迎来到天天文库
浏览记录
ID:46275995
大小:1.57 MB
页数:4页
时间:2019-11-22
《信息安全风险评估技术在电力系统的研究与应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、信息安全风险评估技术在电力系统的研究与应用Ij旭陈涛张建业拿峰新疆电,J科学研究院新疆830000摘要:信息系统在电力安全生产中发挥着越来越匝要的作用,信息安全风险评估Ij作通过对信息系统安全的潜在威胁、薄弱环节、防护措施等进fj分析评估,发现信息安令风险,并提出解决方案,以确保关键业务资产安全。本文介绍了信息安伞风险评估红新疆电力公司实践经验,供广大电力员Tj参考和借鉴。关键词:信息;安伞;风险评估()弓I高‘信息系统征支撑国网公司“三集五人”建设发挥匝要的_支撑作用,信息安全除r荚系信息系统门
2、身外还关系到公t订的安全生产,是安全生产的羲要组成部分。信息安伞恨险评估(以下简称“评估”)是对公司一体化企业级信息系统的潜在威胁、薄弱环节、防护措施等进行分析评估,以识别信息安令风险,发现信息网络、信息系统的脆弱性和薄弱环节,提出有针对性的信息安全整改1二作建议,提高信息系统整体防护水平。信息安伞风险评估是依据国家有关的政策法规及信息技术标准,对信息系统及由其处理、传输和仔储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。.它要评估信息系统的脆弱性、信息系统面临的威胁
3、以及脆弱性被威胁源利用后所产乍的变际负面影响,并根据安全事件发生的町能性和负面影响的程度束识别信息系统的安全风险。从另一角度,持续的风险砰估I:作nT以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险i'fq占的结果能够供相关主管单位参考,并使ii管单f征通过行政手段对信息系统的立项、投资、运行产牛影响,促进信息系统拥有单位加强信息安全建设。l新疆电力公riJ信息安全风险砰估办法风险评估中要涉及资产、威胁、脆弱性-二个基本要素。傅个要素柯各自的擒性,资产的属性足资产价值;威胁的属性可
4、以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为(图1)。图1风险分析过程】,1资产评估勺赋值资产评估是对资产在机密性、完整性和可用性三个安全橇性的要求进行评估的过程,对资产各属性赋值按如下规定进行(表1)。表1资产赋值表资产安资产标全属性赋值识定义}诞包含电力氽业最重要的秘密,关系未来发展5的前途命运,对电力企业橄奉利益囱着决定f“J性影响,如粜泄漏会造成灾难性的损害机鬻悱包禽I乜力企业的重簦秘密,其泄露会使电力4f¨J企业的安全年II利益遭受严重
5、损害电力企业的一般州:秘密,其泄露会使电力企3£}1、【k的安全和利益受刮损害2013.4鸸安宝技7It与应用71续表资产安资产标全属性赋值识定义仅能在电力企业内部或在电力企业某一部2低门内部公开的信息,向外扩散有可能对电力机密性企业的利益造成轻微损害很可对社会公开的信息,公用的信息处理设备l低和系统资源等很完整性价值非常关键,未经授权的修改或破5坏会对电力企业造成重大的或无法接受的高影响完整性价值较高,未经授权的修改或破坏会4高对电力企业造成重大影响完整性完整性价值中等,未经授权的修改或破坏会3
6、由对电力企业造成影响完整性价值较低,未经授权的修改或破坏会2低对电力企业造成轻微影响很完整性价值非常低,未经授权的修改或破坏l低对电力企业造成的影响可以忽略很可用性价值非常高,授权用户对信息及信息5系统的可用度要求达到年度99,9%以上,或高系统不允许中断可用性价值较高,授权用户对信息及信息系4高统的可用度要求达到每天90%以上,或系统允许中断时间小于10分钟可用性价值中等,授权用户对信息及信息系可用性3由统的可用度要求在正常工作时间达到70%以上,或系统允许中断时间小于30分钟可用性价值较低,授
7、权用户对信息及信息系2低统的可用度要求在正常工作时问达到25%以上,或系统允许中断时间小于60分钟很可用性价值可以忽略,授权用户对信息及信l息系统的可用度要求在正常工作时间低于低25%资产价值由资产的机密性、可用性和完整性的最大值决定,因此资产价值A=MAX{(机密性(C),可用性(I),完整性(A)}1.2威胁评估威胁评估的重要内容是对威胁进行赋值,为风险分析提供确定的等级数据,确保风险分析结果的科学性(表2)。表2威胁赋值表威胁标识定义■性赋值5很大威胁发生几乎不可避免威胁4大威胁发生可能性大
8、可能3由威胁有可能发生性(F)2小威胁发生的可能性小1很小威胁发生可能性很威胁属性赋值标识定义威胁后果所产生的负面影响无法容忍,5很大难以接受4大威胁后果所产生的负面影响很严重,损威胁失难以弥补严重威胁后果所产生的负面影响较大,但损3出性(s)失可以弥补威胁后果所产生的负面影响可以容忍,2小损失较容易弥补l很小威胁后果产生不了什么负面影响S代表威胁的严重程度,F代表威胁的可能性赋值,T代表资产面临某一种威胁值则T=S+FTC代表涉及机密性的威胁,TI完整性的威胁,TA代表涉及可用性
此文档下载收益归作者所有