基于通用评估准则的电力行业信息终端信息安全研究--正文.docVIP

基于通用评估准则的敏感行业信息终端安全评估研究 摘 要　针对目前电网系统缺乏有效的信息安全评估机制和方法，根据敏感行业信息终端系统的特点，提出一套基于通用评估准则的安全评估模型，对安全评估的整体机制进行了研究和探讨，该模型能够刻画安全评估的需求、目标和细化内容；利用评估对象TOE对敏感行业信息终端安全评估的过程和组件结构进行了详细讨论，最后在此基础上实现了对敏感行业信息终端进行信息安全自动化安全评估工具。 关键词　信息安全，敏感行业信息终端，通用评估准则，评估对象 Research on grid system information security evaluation model and application Abstract: Currently, grid system is lack of effective information security evaluation mechanisms and practical methods, according to the grid system attributes, this paper put forward a comprehensive security evaluation model based on common criteria and discussed security evaluation mechanism. The model can describe the demand for security evaluation, objectives and context, and use hierarchical analysis model to determine the weights of each component, and calculate evaluation function results for the grid system. Finally, we realized the automated security evaluation tool for grid system. Key Words: information security; grid terminal; common criteria; evaluating object 引言 随着信息化建设的广泛普及，越来越多的单位、团体、公司开始以互联网来完成办公、管理、商务、通信和协作。作为当前经济生活所不可或缺的电网业务提供商，电网运营商的网络和业务是整个国家关键基础设施不可分割的一部分，而随着电力信息化需求程度的提高，业务逻辑与流程体系对于信息系统的依赖程度不断增加，不断推动信息价值的显露和提升，其信息安全的盲点和隐患也日渐凸现，因此，对电网系统进行信息安全评估已经成为事关国家安全的急迫问题。 敏感行业信息终端作为一个复杂的由众多软硬件构成的信息系统终端节点，对其进行安全评估存在着较大的挑战。目前敏感行业信息终端安全评估的主要对象是安全漏洞和安全配置，在安全漏洞方面的风险管理主要依靠漏洞管理和补丁分发，但在配置安全方面，还停留在依靠人工管理的阶段，这给风险管理工作造成了很大的不便。美国国家标准技术协会NIST(National Institute of Standards and Technology)于2007年提出了信息安全自动化计划ISAP(Information Security Automation Program, ISAP)，该计划的目标是让漏洞、配置的管理和安全测试及符合性能够自动化，NIST同时也提出了一个配套的安全内容自动化协议SCAP(Security Content Automation Protocol, SCAP)，该协议通过明确的、标准化的模式使得漏洞管理、安全检测和政策符合性与信息安全管理办法的要求一致起来。同时，在安全评估框架研究方面，文献 REF _Ref300868918 \n \h [1]提出了根据脆弱性影响的严重程度和脆弱性可利用性来评佑脆弱性危险程度的分析框架，文献 REF _Ref300868928 \n \h [2]提出了一个基于模糊评估分层模型的构件可测试性评价方法。 本文根据敏感行业信息终端应用特点，提出一套基于通用评估准则的安全评估模型，对安全评估的整体机制进行了研究和探讨，并根据安全评估模型实现了自动化评估工具。 通用评估准则CC CC概述 通用评估准则CC(Common Criteria)是一系列对评估准则开发的努力的结果，这些准则用于评估在国际团体内应用广泛的IT安全性。1999 年12 月国际标准化组织(ISO)正式公布CC,对应的国际标准ISO/IEC 15408《信息技术安全性评估