摘要：针对如何对工业控制系统进行信息安全评估的问题,本文结合信息系统安全等级保护基本要求,提出了一种基于攻击树的信息安全风险评估方法。该方法运用攻击树对系统进行建模,根据系统的信息安全状态、部署的等级保护措施来计算各个节点的风险值,进而得到系统的信息安全风险评估。通过一个风电工业控制系统的案例分析表明,依托该模型风险评估,专家能够识别系统中安全薄弱环节和评估不同的信息安全等级保护策略对系统安全的影响。

关键词：信息安全风险评估 信息安全等级保护 工业控制系统 信息系统安全等级保护 信息安全评估 

单位：中国电建集团贵阳勘测设计研究院有限公司