电力通信项目风险度预估方法分析.docVIP

　　电力通信项目风险度预估方法分析 第一章绪论 1.1选题背景 现代电网所有监测、控制、管理工作的顺利完成，均强烈依赖于可靠的通信手段。为了能够保证安全稳定合理的发供电，和及时处理电力系统发生的事故，电力通信网作为电力系统重要的基础设施，是保障电网安全稳定运行的重要支撑平台。近年来，随着电网的不断建设和完善，电力通信网也在不断发展，规模更大，复杂程度更高。并且随着通信技术的进步，电力系统对电力通信网的要求也在不断延伸。从最初仅仅要求信息传输的可用性，发展到要求保障信息的完整性、准确性和快速性，进而又发展为防(防范)、测(检测)、控(控制)、管(管理)、评(评估)等多种功能相结合的综合通信平台。电网通信安全与否对电网安全的影响十分巨大。为了保障电力通信网的安全可靠运行，保障电力通信业务的正常承载传输，目前，针对电力通信网可靠性、安全性、风险性等方面的优化研究己逐渐开展。电力通信网性能评估是优化研究的重要组成部分，而风险评估又是性能评估的重要组成部分，本文选题正是在这样的背景下提出来的。 1.2国内外研究现状 风险评估是指依据一定的标准，基于网络或系统中的资产、面临的威胁、存在的脆弱性、采取的措施等要素，定性或定量地评估网络或系统的风险状况，判断危险事件发生的可能性和危险事件带来的损失。目前，对于运行中的通信网进行风险评估的研究不多，对电力通信网的风险评估亦少。国内外相关领域的风险评估研究，主要注重于对信息安全的风险评估，注重于对硬件可靠性的风险评估。 (1)国外研究现状 国外的研究始于20世纪70年代，侧重于安全风险的评估，主要针对信息系统领域，美国、欧洲、亚太和工S0等国际组织均在该领域积极进行探索并取得了显著效果，研究成果包括标准、模型、方法和工具等。 .风险评估标准方面:20世纪80年代至90年代，美、英、法、德、荷兰、加拿大等国提出了一系列风险评价准则，如美国的TCSEC，英、法、德、荷4国的工TSEC，加拿大的CTCPEC等。1996年加、英、法、德、荷、美国家标准与技术研究院提出了《通用信息技术安全评估标准》。这些评价标准各有侧重，其中TCSEC，CTCPEC，TSEC侧重于技术方面的实现;CC着重提倡安全工程的思想，从安全功能和安全保证两方面在各个环节确保产品的安全，是目前相对比较全面的评估准则;BS7799影响面较广、被接受程度较高，标准中涵盖内容很广。今风险评估模型方面: (2)国内研究情况 我国对网络和信息安全保障工作高度重视，发布了中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发[2006]n号《2006-2020年国家信息化发展战略》等文件，部署安全风险评估等安全工作。我国关于安全风险评估研究起步的较晚，目前整体处于跟踪国际标准和借鉴阶段。在安全风险评估的标准研究方面:国家质量技术监督局于2001年依据国际标准CC颁布了GB/T18336《信息技术安全技术信息技术安全性评估准则》。针对电信网的特点，及各种专业网络(如固定通信网、移动通信网、增值业务网等)的资产、威胁、脆弱性、安全措施等要素，工业和信息化部组织研究并制定了电信网安全风险评估相关的系列标准，提高了电信网安全风险评估的可操作性。在安全风险评估模型、方法和工具方面，国内已经有一些相关的文章和专著，多侧重于对已有国际模型、方法和工具的分析和借鉴。以上多为通信公网相关领域的研究，对电力通信专网及专网业务传输进行的风险评估方法及工具的研究和开发少见提及。随着建设智能电网的提出，电力通信网的安全性、可靠性问题越来越得到各方面的重视，对于电力通信网风险的评估研究也开始被提上了日程。 第二章电力通信网风险评估概述 2.1风险 风险(risk)一词在日常生活中被解释为可能发生的危险。在风险管理理论中有四种相近的有关风险的定义，一是将风险定义为损失发生的可能性;二是将风险定义为损失的不确定性;三是认为风险是实际结果与预期结果的偏差;四是认为风险是实际结果偏离预期结果的概率。从四种定义可以看出，风险与不确定性密切相关，而不确定形式可以用概率来表示的。风险还与损失有关，损失又与预期结果有关。因此，这四种定义可以认为是一致的，风险就是损失的不确定性，这种定义具有一般性。一般来说，与风险相关的要素有三个，分别为:资产、威胁、脆弱性。 ①资产(Asset):对单位具有价值的东西。 ②脆弱性(vulnerability):资产或资产中称被威胁利用的弱点。脆弱性本身并不对资产造成损害，只有在一定条件得以满足时(被威胁利用)才会对资产产生影响。脆弱性一般分为组织脆弱性和技术脆弱性。组织脆弱性是指组织的政策或实践中可能导致未授权行为的弱点。技术脆弱性是指系统、设备和直接导致未授权行为的弱点。 ③威胁(Threat):可能对资产或单位造成损害的事