电力信息网络风险量化评估探析.doc

电力信息网络风险量化评估探析 　　摘 要 电力信息?W络风险量化评估是指依据一定的电力信息安全管理标准，选择和运用科学适宜的数学分析模式，分析电力信息网络系统所面临的各种风险，根据当前先进的电力信息网络风险评估理论和量化计算模型，对电力信息网络系统所面临的重要风险进行量化评估，然后进行决策的过程 【关键词】电力 信息网络安全 风险评估 改革开放以来，我国社会经济得到了长足的发展，人民物质文化生活水平不断提高，用电量亦直线增涨，电力行业获得了前所未有的发展机遇。随着电力行业的不断发展壮大和信息网络技术日新月异的发展，电力行业和电力企业也面临着一系列的挑战，电力信息网络风险管理和防御显得日益重要，信息网络风险量化评估成为重中之重。由于我国电力信息化技术起步较晚，发展也比较滞后，电力信息网络风险管理与风险防御是一个新的课题，电力信息网络风险量化评估在最近几年才被重视，所以存在不少的问题急待完善 1 电力信息网络风险量化评估的必要性 随着信息技术的不断发展，电力信息网络存在的风险越来越大，电力企业不得不提高信息网络风险防控意识，重视电力信息网络的风险评估工作。进行电力系统信息网络风险量化评估意义体现在许多方面，可以提高电力企业管理层和全体员工的信息网络安全意识，促进电力企业不断完善电力信息网络技术的研发与提升，防范广大电力用户个人信息泄露，为电力企业今后的良好发展保驾护航。近年来，电力企业迎来了黄金发展时期，电力网络覆盖面不断扩大，电力企业管理理念也不断提升，电力系统也随之步入了数字化时代，信息网络安全防范成为当务之急。目前电力系统信息网络安全防范一般为安装防病毒软件、部署防火墙、进行入侵检测等基础性的安全防御，缺乏完整有效的信息安全保障体系。风险量化评估技术能够准确预测出电力信息网络可能面临的各种威胁，及时发现系统安全问题，进行风险分析和评估，尽最大可能地协助防御电力系统安全威胁 2 电力系统信息网络安全风险评估中存在的问题 我国电力信息网络安全风险评估是近几年才开始的，发展相对滞后，目前针对电力信息网络安全风险评估的相关研究特别少。2008年电力行业信息标准化技术委员会才讨论通过了《电力行业信息化标准体系》，因此电力信息网络安全风险评估中存在不少的问题和难题有待解决 2.1 电力信息网络系统的得杂性 电力行业，电力企业，各电网单位因为工作性质不同，对电力信息网络安全风险的认识各不相同，加上相关标准体系的不健全，信息识别缺乏参考，电力信息网络安全风险识别存在较大的困难。此外电力信息网络安全风险评估对象难以确定，也给评估工作带来了很大的困难 2.2 电力信息网络安全风险量化评估方法缺乏科学性 我国部分电力企业的信息网络安全风险评估方法比较落后简单，其主要方式是组织专家、管理人员、用户代表根据一些相关的信息数据开会研讨，再在研讨的基础上进行人为打分，形成书面的文字说明和统计表格来评定电力信息网络系统可能面临的各种风险，这种评估方法十分模糊，缺乏科学的分析，给风险防范决策带来了极大风险，实在不可取 2.3 传统的电力信息网络安全风险评估方法过于主观 目前用于电力信息网络安全风险分析计算的传统方法很多，如层次分析、模糊理论等方法。可是因为电力网络安全信息的复杂性、不确定性和人为干扰等原因，传统分析评估方法比较主观，影响评估结果。在评估的实际工作中存在很多干扰因素，如何排除干扰因素亦是一大难点。电力信息网络安全风险量化评估要面对海量的信息数据，如何采用科学方法进行数据筛选，简约数据简化评估流程是当前的又一重大课题 3 电力信息网络所面临的风险分析 电力信息网络系统面临的风险五花八门，影响电力信息网络系统的因素错综复杂，需要根据实际情况建立一个立体的安全防御体系。要搞好电力信息网络系统安全防护工作首先要分析电力信息网络系统面临的风险类别，然后才能各个突破，有效防范。电力信息网络系统面临的安全风险主要有两面大类别：安全技术风险和安全管理风险 3.1 电力信息网络安全技术风险 3.1.1 物理性安全风险 是指信息网络外界环境因素和物理因素，导致设备及线路故障使电力信息网络处于瘫痪状态，电力信息系统不能正常动作。如地震海啸、水患火灾，雷劈电击等自然灾害；人为的破坏和人为信息泄露；电磁及静电干扰等，都能够使电力信息网络系统不能正常工作 3.1.2 网络安全风险 是指电力信息系统内网与外网之间的防火墙不能有效隔离，网络安全设置的结构出现问题，关键设备处理业务的硬件空间不够用，通信线缆和信息处理硬件等级太低，电力信息网络速度跟不上等等 3.1.3 主机系统本身存在的安全风险 是指系统本身安全防御不够完善，存在系统漏洞，电力企业内部人员和外部人员都可以利