本發(fā)明公開了一種基于區(qū)塊鏈的信息安全工作量化評估系統(tǒng)及方法，包括區(qū)塊鏈身份認(rèn)證鑒權(quán)模塊、資產(chǎn)安全風(fēng)險分析模塊和安全工作量化評估模塊；區(qū)塊鏈身份認(rèn)證鑒權(quán)模塊，用于對電力資產(chǎn)安全督查工作中明確身份識別與責(zé)任認(rèn)定，進(jìn)行信息溯源；資產(chǎn)安全風(fēng)險分析模塊，用于對電力資產(chǎn)進(jìn)行安全滲透和排查識別，將資產(chǎn)識別結(jié)果與督查鏈上資產(chǎn)數(shù)據(jù)比對；安全工作量化評估模塊，用于根據(jù)人員工作成果、完成時間、處置安全隱患等級等信息建立工作成果可信量化指標(biāo)。本發(fā)明通過引入?yún)^(qū)塊鏈督查工作量化體系架構(gòu)，信息資產(chǎn)臺帳鏈上存儲結(jié)構(gòu)，以及節(jié)點之間臺帳信息更新的共識機制，使得系統(tǒng)安全和人員工作質(zhì)量評估明確可溯源。

技術(shù)領(lǐng)域

本發(fā)明屬于電力信息安全領(lǐng)域，尤其涉及一種基于區(qū)塊鏈的信息安全工作量化評估系統(tǒng)及方法。

背景技術(shù)

安全督查是信息安全領(lǐng)域一項基礎(chǔ)性工作。隨著能源互聯(lián)網(wǎng)的建設(shè)，工業(yè)物聯(lián)網(wǎng)、人工智能、NBIoT、區(qū)塊鏈、大數(shù)據(jù)等現(xiàn)代信息技術(shù)在電力系統(tǒng)中的應(yīng)用，各類終端設(shè)備的廣泛互聯(lián)與人機交互，使得現(xiàn)有安全防護(hù)體系很難從容面對。近年來網(wǎng)絡(luò)攻擊手段演化加速、定向持續(xù)威脅攻擊屢見不鮮，電力關(guān)鍵基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)戰(zhàn)首要目標(biāo)。電力體系開展安全督查工作已近10年，在隱患排查、信息防泄露、重大事件安防、網(wǎng)絡(luò)安全梯隊人才培養(yǎng)等方面發(fā)揮了重要作用。以集中式關(guān)系型數(shù)據(jù)庫為存儲中心的安全督查系統(tǒng)，通過工作票表單，網(wǎng)絡(luò)空間測繪與自動化滲透核查機制，有效地解決了督查臺賬無序的問題，且性能表現(xiàn)優(yōu)異。

隨著督查系統(tǒng)向信息通信、調(diào)度、運檢、營銷等領(lǐng)域全面覆蓋，各類信息系統(tǒng)的建設(shè)與網(wǎng)絡(luò)設(shè)備投放頻次加快，安全督查工作已經(jīng)涉及管理部門、督查單位、運維單位、研發(fā)單位等多個主體，系統(tǒng)間的數(shù)據(jù)交互、作業(yè)人員呈線性增加，進(jìn)而帶來跨區(qū)域系統(tǒng)交互帶來的數(shù)據(jù)安全溯源問題和督查工作執(zhí)行可信量化問題，同時在安全督查工作執(zhí)行過程中也逐漸暴露出諸如“督查臺賬不清晰、作業(yè)標(biāo)準(zhǔn)化程度低、工作執(zhí)行效率低、督查紅隊定位不清晰”等突出問題。

現(xiàn)有安全督查工作中的漏洞通報、整改反饋等信息發(fā)布主要以公示或通知為主，無法與督查系統(tǒng)結(jié)果聯(lián)動核查，評判督查執(zhí)行效果，中心化系統(tǒng)存在督查事件生命周期信息作偽的風(fēng)險，進(jìn)而形成的督查人員工作成果量化指標(biāo)不具備信服力。因此，有必要實現(xiàn)安全督查工作聯(lián)動閉環(huán)，建立工作成果可信量化指標(biāo)。

發(fā)明內(nèi)容

發(fā)明目的：針對以上問題，本發(fā)明提出一種基于區(qū)塊鏈的信息安全工作量化評估系統(tǒng)及方法，通過引入?yún)^(qū)塊鏈督查工作量化體系架構(gòu)，信息資產(chǎn)臺帳鏈上存儲結(jié)構(gòu)，以及節(jié)點之間臺帳信息更新的共識機制，使得系統(tǒng)安全和人員工作質(zhì)量評估明確可溯源。

技術(shù)方案：為實現(xiàn)本發(fā)明的目的，本發(fā)明所采用的技術(shù)方案是：一種基于區(qū)塊鏈的信息安全工作量化評估系統(tǒng)，包括區(qū)塊鏈身份認(rèn)證鑒權(quán)模塊、資產(chǎn)安全風(fēng)險分析模塊和安全工作量化評估模塊；區(qū)塊鏈身份認(rèn)證鑒權(quán)模塊，用于對電力資產(chǎn)安全督查工作中明確身份識別與責(zé)任認(rèn)定，進(jìn)行信息溯源；資產(chǎn)安全風(fēng)險分析模塊，用于對電力資產(chǎn)進(jìn)行安全滲透和排查識別，將資產(chǎn)識別結(jié)果與督查鏈上資產(chǎn)數(shù)據(jù)比對；安全工作量化評估模塊，用于根據(jù)人員工作成果、完成時間、處置安全隱患等級等信息建立工作成果可信量化指標(biāo)。

進(jìn)一步地，區(qū)塊鏈身份認(rèn)證鑒權(quán)模塊中，賬戶體系核心由賬戶名稱、非對稱加密秘鑰、賬戶權(quán)限組成，使用非對稱加密技術(shù)對身份、賬戶以及權(quán)限進(jìn)行綁定，用戶保存私鑰進(jìn)行數(shù)據(jù)授權(quán)簽名。

進(jìn)一步地，資產(chǎn)安全風(fēng)險分析模塊中，當(dāng)資產(chǎn)信息不一致或發(fā)現(xiàn)安全隱患時，自動觸發(fā)安全隱患智能處置合約，自動派發(fā)工作票給運維單位及人員，完成后自動驗證整改結(jié)果；資產(chǎn)信息發(fā)生變更，自動將變更后的資產(chǎn)臺帳信息寫入?yún)^(qū)塊鏈中。

進(jìn)一步地，安全工作量化評估模塊中，每個系統(tǒng)存在單獨評價積分，當(dāng)發(fā)現(xiàn)漏洞或者發(fā)生信息安全事件，扣除相應(yīng)積分，當(dāng)積分不足時，強制下線整改；對運維人員采用積分激勵，形成安全效益評價。

一種基于區(qū)塊鏈的信息安全工作量化評估方法，包括步驟：