电力生产信息系统风险评估辅助测评工具计算机技术专业论文.docxVIP

独 创 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得 的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含未获得 （注： 如没有其他需要特别声明的，本栏可空）或其他教育机构的学位或证书使用 过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示谢意。 学位论文作者签名： 签字日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人授权学校可以将学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。同时授权 中国科学技术信息研究所将本学位论文收录到《中国学位论文全文数据库》， 并通过网络向社会公众提供信息服务。（保密的学位论文在解密后适用本授权 书） 学位论文作者签名： 导师签字： 签字日期： 年 月 日 签字日期： 年 月 日 电力生产信息系统风险评估辅助测评工具 摘要 随着近几年电力行业信息化建设工作的推进，信息技术在电力行业中的 应用越来越广，越来越多的电力应用借助于电力信息管理系统及电力二次系 统完成。但是，计算机及网络技术自身的开放性也给信息系统带来了多方面 的威胁，电力行业作为国家的重要基础设施产业，关系到国家安全及公共服 务活动的正常运行，电力行业信息系统的安全保护尤为重要。 信息安全风险评估是信息安全防护的重要手段，能及时发现系统中的潜 在风险，是电力行业信息安全防护的重要手段之一。 目前，电力行业信息安全风险评估工作主要以人工评估为主，人工评估 不仅效率低下，而且难以发现系统中的隐蔽脆弱性，也难以避免评估人员的 主观性，最终影响评估结果的准确性。针对上述问题，参照《电力二次系统 安全防护规定》，设计实现了电力生产信息系统风险评估测评工具。 评估工具对风险评估流程中的资产、威胁、脆弱性等风险要素的分类工 作做了软件实现，实现了测评项目管理、资产识别、威胁识别、脆弱性识别、 风险评估计算、评估报告生成等功能。针对当前电力行业风险评估过程中人 工方式难以发现隐蔽脆弱性的不足，在评估工具中加入了脆弱性扫描检测功 能，实现对目标资产的漏洞扫描。针对扫描出的漏洞信息风险判定问题，研 发了风险自动判定功能，实现了基于贝叶斯定理的扫描结果自动判定算法， 对扫描出的漏洞信息进行判定，输出到评估工具威胁信息及脆弱性信息分类 库中，辅助完成风险要素识别工作。评估工具依据风险评估公式，对信息系 统风险属性赋值及关联性参数赋值进行计算，得出系统的风险量化值及系统 风险预损失值，并生成风险评估报告，以帮助系统管理员直观了解系统的安 全状态。 经测试，使用评估工具对电力生产信息系统进行风险评估，可合理地描 述和量化系统的安全现状，更好地规范评估流程，提高评估效率，能够对信 息系统整体安全状态做出科学的评价，对电力生产信息系统的安全防护水平 提升有积极的推动作用。 关键词：电力二次系统安全防护；风险评估；脆弱性检测；自动风险判定 I II II PAGE PAGE III The Risk Assessment Assistant Tool For Power Production Information System Abstract With the development of information construction of electric power industry, information technology is increasingly used in electric power industry in recent years. More and more electrical work has been completed with the help of electricity information management systems and electric power secondary systems. However, the openness of computer and network technology has brought various threats to the information system. Electricity industry, as one of national basic establishment industries, is related to the normal operation of the national security and p