浅析信息安全风险评估在供电企业的实践.pdfVIP

浅析信息安全风险评估 在供电企业的实践 杨小宁。李晓娥(宝鸡供电局。陕西宝鸡721004) 摘要：介绍了信息安全风险评估的基本概念，通过本次风险评估。对宝鸡供 电局的网络．业务应用系统、基础数据以及现有的安全措施等方面进行数据采 集．分析，发现信息系统中存在的安全风险，并针对存在的这些安全隐患和风 险等脆弱性方面进行信息安全加固，以保障电力系统信息的安全稳定运行。 关键词：风险评估；资产；脆弱性 0引言 l风险评估概念，流程及评 提供建议。 随着整个社会信息化的迅速发 估工具 资产：对组织具有价值的信息 展，国家信息化战略的实施，电力信 资产，包括计算机硬件、通信设 息化取得了长足的进展，也取得了一 1．1风险评估中的相关概念 施、数据库、文档信息、软件、信 系列成果。电力信息化系统已经成为 风险评估：是对信息资产及其 息服务和人员等，进行妥善保护。 电力企业生产和管理离不开的有效工 价值，面临的威胁，存在的弱点， 资产评估：是确定资产的信息 具。如果说过去10年电力信息技术 以及三者综合作用而带来风险的大 安全属性(机密性、完整性、可用 的发展主要致力于如何实现互联， 小或水平的评估。风险评估是通过 性等)受到破坏而对信息系统造成 那么未来10年电力信息技术的发展 脆弱点发现、威胁分析等手段对信 的影响的评估过程。在风险评估 将侧重于安全防护。 息系统的安全风险状况进行掌握和 中，资产评估包含信息资产识别、 随着电力信息化建设的日益深 了解的过程。其主要目的是发现系 资产赋值等内容。 入，信息系统覆盖整个企业生命周 统现有的安全风险，并对风险数据 威胁：可能对资产或组织造成 期是不争的未来趋势，信息安全工 进行合理分析和判断的基础上提出 损害的某种安全事件发生的潜在原 作将只有起点，没有终点。为了适 解决方法，为提高系统的安全水平 因，需要识别出威胁源或威胁代理。 应国家电网公司一体化企业信息系 提供基础数据依据和实施指导。通 统安全防护的要求，宝鸡供电局 过评估掌握并一定程度量化信息系 威胁评估：分为威胁识别和威 遵循《国家电网公司信息安全风 统安全现状和存在的各种安全风 胁赋值2部分内容。威胁识别通常 险评估指南》进行了信息系统安 险，在风险数据分析的基础上，对 依据威胁列表对历史事件进行分析 全风险评估。 改进与完善信息系统现有安全水平 和判断获得。 2010年第8卷第2期 口ELECTRICPOWERIT 万方数据 漏洞：在信息系统，系统安全程 卷、检查列表、人员访谈，手动检查 具检查2种方式进行。评估中对 序、管理控制、物理设计、内部控 和工具扫描等，本次评估用到的工具 制