浅析信息安全风险评估在供电企业的实践

浅析信息安全风险评估在供电企业的实践作者：杨小宁，李晓娥作者单位：宝鸡供电局,陕西宝鸡,721004刊名：电力信息化英文刊名：ELECTRICPOWERINFORMATIONTECHNOLOGY年，卷(期)：2010，8(2)引用次数：0次参考文献(1条)1.王红,刘明峰,刘明.信息安全评估在青岛重大活动电力保障中的应用[J].电力信息化,2009(3):32-36.相似文献(10条)1.学位论文马睿面向企业的信息资产风险评估——以钢铁企业为例2009随着社会信息化程度的不断提高，信息在国家的政治、军事和经济等领域中被广泛应用，也成为了社会发展和人们日常生活中不可或缺的动力和工具。而信息资产作为企业的一项特殊资产，对其日常生产经营活动发挥越来越重要的作用。信息资产利用得好、保护得好，就能更好地保障企业的稳定运行和业务流程的顺利实施；若信息资产面临风险，则会给企业造成损失，甚至导致企业破产等不可挽回的后果。因此，对企业信息资产进行风险评估，从而选择有效的防范措施，对企业而言尤为重要。第一部分，论文介绍了信息资产的定义和特征，以及与信息资产风险评估相关的标准、基本原理和方法。第二部分，以风险评估的基本原理为依据，从威胁发生概率和脆弱点被威胁利用概率两个方面，建立基于制造业的信息资产风险评估指标体系。第三部分，从威胁和资产价值两个角度，分别建立信息资产风险评估模型，并以研究生阶段参与的宝钢股份风险管理项目作为案例分析，对这两种模型分别进行了应用和验证。对于第一个模型，即从威胁事件的角度对企业信息资产的风险进行量化评估，该模型较适用于资产价值很难或无法准确衡量的情况。首先，利用所构建的风险评估指标体系，针对某一特定的威胁事件，应用AHP(层次分析法)得到各威胁发生可能性的相对权重；然后进行可能性度量等级的划分，采用模糊评价法得到威胁发生的可能性。依据上述方法，同理可以得到脆弱点被威胁利用的概率。由此，得到风险发生可能性的综合评判。对于风险发生损失的量化，选取了信息资产发生风险事件给企业带来损失最重要的四个方面，利用AHP得到其权重，同时参照《信息安全风险评估指南》对风险等级的划分方法，给出了这四个方面的相应等级。风险发生可能性和风险发生损失共同决定了信息资产的风险值。第二个模型从资产价值角度建立，是对某一个特定资产在未来一定时期内所面临的风险进行整体度量，该方法较适用于具有绝对价值的信息资产。论文在模型中引入了金融风险度量领域常用的风险价值模型，即VaR模型，并根据威胁事件的发生是相对独立的，且可以看作服从随机分布，所以采用。Poisson分布和正态分布(在一定历史时期威胁发生频率较高时近似使用)模拟威胁事件发生的频率。同时，对于威胁的曝光系数，本文通过等级描述的方法进行了量化分析，在不同的等级下，相应地给出了脆弱点对信息资产的暴露程度以及对企业的影响。本模型采用实际资产损失值表示信息安全风险值，即使用信息资产的价值、威胁发生频率和威胁曝光系数相乘，得到某一信息资产在一定时间内所面临的风险值。同时，还可以通过信息资产安全性风险投资平衡分析，作为企业决策者关于信息资产风险管理投资决策的依据。最后，结合前期参与的宝钢股份信息资产风险减值点管理系统设计项目，对上述两个模型分别进行了案例研究。通过对风险值的绝对量化，直观地反映出企业信息资产所面临的风险大小，并且评估方法较为客观、实用。同时，通过风险投资平衡分析，对企业如何降低信息资产的风险提供了分析依据和方法。2.期刊论文赵杨引入OCTAVE方法的企业信息资产风险评估研究-科技进步与对策2006,23(4)OCTAVE是一种系统的、操作性强的风险评估方法,能帮助企业有效实现对信息资产的风险评估.从风险评估对企业信息资产的重要性出发,介绍了OCTAVE方法的基本定义和其在信息资产风险评估中所具备的优势,然后详细论述了OCTAVE方法在企业信息资产风险评估中的具体应用.3.学位论文刘海峰基于CORAS的信息安全风险评估技术研究与应用2007信息安全风险评估是考察信息系统安全性的一个重要环节。在国家深入推进信息安全风险评估工作，并将颁布国家标准《信息安全风险评估规范》以指导风险评估工作实施的背景下，研究国外成熟的风险评估框架结合国家标准的应用问题，特别是研究探讨中小型组织风险自评估技术及其应用，对信息安全风险评估的广泛开展具有重要意义。论文首先分析比较了国内外主要风险评估方法和工具，从不同的角度重点分析了基于模型的信息安全风险评估CORAS框架的理论技术特征，比较研究了CORAS框架和《信息安全风险评估规范》的兼容性，说明了国内中小型组织应用CORAS框架实施风险评估的可行性；针对CORAS框架应用时存在的风险计算的主观性问题，分析总结了风险要素中威胁、脆弱性和资产的结合关系，提出和定义了元风险及资产风险树等相关概念，解决了确定风险计算粒度和区分不同性质风险对资产的重要程度问题，在此基础上，优化设计了适用于中小型组织的基于元风险和资产风险树的风险评估算法；同时，设计和开发了基于CORAS的风险评估辅助系统e-CORAS，从系统包图、类图、用例图和系统时序图等方面阐述了系统建模分析与设计，给出了风险评估算法的详细设计，从数据库访问模式、结构模型图和表结构等方面对系统数据库进行了详细设计和实现；最后通过具体的评估实例说明了算法和系统应用过程及有效性。4.期刊论文赵锋.赵首花一种实用可行的信息资产登记及风险评估方法研究-情报杂志2009,28(11)信息资产的识别、评估是信息安全风险评估和信息系统运行维护管理的基础.简述信息资产层级关系的标识、登记,全面概述信息资产的公共管理属性,进而实现对信息资产的关联管理.基于信息系统的业务安全需求分析,研究每项信息资产在业务系统中的重要程度等级,据此分析整个系统的安全需求和信息资产对其贡献程度,计算该信息资产的的安全需求,并对其进行自身脆弱性分析和威胁分析,从而计算信息资产的风险值并进行风险控制.5.期刊论文马歆.刘涌.侯志俭.蒋传文考虑旋转备用的发电商运行资产价值的实物期权模型及短期风险评估(二)-继电器2004,32(24)在电力市场中,电量价格、备用价格和燃料价格比管制情况下存在着更大的不确定性.本文在前一部分所建立的发电商运行资产价值的实物期权模型的基础上,给出了模型的求解方法,通过实例研究了一定时间段内机组的技术约束条件对发电商运行资产价值的影响,然后引入了VaR风险价值的概念,定量地对短时期内发电商运行资产价值进行了风险评估,提出了一个在市场环境下评估发电商运行资产价值的新的方法与思路.6.学位论文杨洁基于业务流程的层次化信息安全风险评估方法研究2005信息安全风险评估是对特定信息系统目前的安全状况，以及该系统所拥有的信息资产的价值给予定性或定量的评估。它是信息系统安全风险管理的前提和基础。风险评估方法的合理性、准确性直接影响着需求分析结果和安全策略的准确性。没有信息安全风险评估过程，或者没有恰当的风险评估方法，就不可能实现系统安全风险控制的最优化。因此，随着信息化进程的发展,信息安全风险评估作为技术应用基础研究课题，在信息安全领域的前列有着越来越重要的意义。系统的风险评估工作包括了管理和技术两大方面，然而怎样将两方面有效地结合起来是目前风险评估中的一大难题。现在通用的风险评估方法和工具总是存在管理和技术结合不紧密的缺陷，从总体上可以将他们划分为两大类：偏向技术类和偏向管理类。偏向技术类的方法和工具不能全面有效的识别各种隐藏在系统管理组织、人员安全等方面的安全风险，同时，其风险评估的结果也缺乏可比性；偏向管理类的方法和工具缺乏技术指导和支持，其评估结果也缺乏准确性和有效性。因此，目前风险评估领域内的研究热点是建立一种管理与技术相结合的具体的风险评估方法，该方法需要具有通用性和普遍性。为解决上述问题，本文建立了一个独立完整的风险评估方法——基于业务流程的层次化信息安全风险评估方法。该方法通过对被评估系统进行层次化分解，建立层次化系统特征描述模型，将系统中涉及的各种因素（组织管理、应用系统、基础设施等）进行抽象化地描述，并根据系统具体的业务流程进行层次化地风险分析，结合信息资产价值量的评价实现对系统可能存在的种种风险的整体预测和评估。其中层次化系统特征描述模型是实现管理和技术结合的关键，它将系统的组织管理部分纳入了被评估的范畴，并用纯技术的手段进行风险分析，因此使评估过程最终实现了两个方面的量化和有效结合，促进了国内信息安全风险评估工作的发展。本文根据上述方法完成的风险评估工具提供了一个以安全标准ISO/IEC17799作为控制措施的参考库，参考库易于扩充，可以包含更多的评估标准和策略，提高了针对各种对象的风险评估工作的效率和结果的可信度与可比性。7.学位论文华通下一代电信网资产评估系统的设计与实现2009随着下一代电信网的发展，各种协议、设备及业务的种类数量不断激增，网络环境变得越来越复杂和不安全，这就引出了下一代电信网的一系列安全问题，而为了避免安全事件的发生，对网络进行风险评估就有着重要的意义。资产评估是风险评估中最基础的一个环节。在风险评估的发展过程中，近年来国内外对于信息系统的资产评估研究已经初具成果，但是在下一代网络的风险评估领域中，资产评估的研究仍然是空白。本文首先在总结传统信息安全风险评估中的资产评估的流程方法和研究现状的基础上，分析了传统资产评估方案在应用于下一代电信网的特殊环境时的不足之处，并且有针对性地重新设计了一套基于业务价值的资产评估方法。该方法吸收了传统资产评估方案的流程框架，在实施细节上创新性地提出了根据下一代电信网的业务价值以及资产和业务的关系推导出资产价值的解决方案，并给出了相应的数学计算模型，使原本以定性分析为主的的资产评估过程，优化成为条理清晰、可操作性强和定性分析和定量分析结合的资产评估过程。之后，论文介绍了一个实现上述下一代电信网资产评估方法的系统的设计与实现。该系统在设计上充分考虑了易用性，优化了界面交互的流程，并提供自动化辅助工具，极大地提高了资产评估的效率。在实现上，该系统采用基于轻量级J2EE开发的Web平台，在兼顾系统的可扩展性的同时给用户带来了较好的使用体验。论文最后对该系统进行了测试，验证了系统的可行性。8.期刊论文杨刚.傅建明.YANGGang.FUJian-ming电子商务安全风险评估中的资产风险计算-阜阳师范学院学报（自然科学版）2006,23(1)在分析电子商务信息系统安全现状的基础上,构造一种包括信息资产、脆弱性、威胁等模型,通过信息资产风险的量化分析进而确定风险等级和可接受的风险等级.9.学位论文靳小泉外汇交易系统安全风险评估2008随着计算机技术的发展,任何企业的信息系统都可能面临着包括计算机辅助欺诈、黑客侵入、阴谋破坏、火灾、水灾等各方面的安全威胁。对信息系统的安全性进行评估的必要性日益显著。风险评估发展到现在,出现的风险评估方法有很多种,主要分为定量和定性以及定量定性共同使用的三种方法。这些方法对信息系统所面临的风险进行科学评估,各自都有突出的优点和缺点,所适用的评估对象也存在很大差异。如何选取最适合信息系统的评估方法,如何使得评估准确度提高,是现在风险评估面临的难题。为了能够更好的对信息系统进行风险评估,本文从信息系统风险管理理论角度出发,对信息系统风险评估进行研究,选取了定量和定性相结合的方法,从不同的角度对信息系统的资产所面临的风险进行了量化,对系统资产所面临的脆弱性、系统面临的威胁及其发生的可能性,以及脆弱性被威胁点利用的可能性,以及利用后所产生的负面影响的进行总体量化评估。本文根据对信息系统安全风险评估方法的研究,在基本理论基础上,从两个方面进行了评估量化模型构造,以适用于不同情况的风险评估。第一个模型,是从相对单一的角度,对某一个特定的资产,在未来一定时期内所面临的风险进行整体的度量。根据历史经验以及风险理论的研究,对于脆弱点暴露资产的程度,文章通过等级描述的方法进行了量化分析,在不同的利用等级下,相应的给出了脆弱点对资产暴露程度以及对信息系统的影响。根