基于模糊綜合評判的電力風(fēng)險評估方法的研究

陳連棟,呂春梅

(1.河北省電力研究院 信息運維中心,河北 石家莊 050000;2.華北電力大學(xué) 控制與計算機工程學(xué)院,河北 保定 071003)

基于模糊綜合評判的電力風(fēng)險評估方法的研究

陳連棟1,呂春梅2

(1.河北省電力研究院 信息運維中心,河北 石家莊 050000;2.華北電力大學(xué) 控制與計算機工程學(xué)院,河北 保定 071003)

風(fēng)險評估技術(shù)能夠檢測信息系統(tǒng)面臨的風(fēng)險,是實現(xiàn)信息系統(tǒng)等級保護的重要基礎(chǔ)和依據(jù)。文中以信息安全管理標(biāo)準(zhǔn) ISO/IEC 27000系列為基礎(chǔ)構(gòu)建電力系統(tǒng)信息安全風(fēng)險評估指標(biāo)體系,建立電力系統(tǒng)風(fēng)險評估模型,并且采用多層次模糊綜合評判算法計算風(fēng)險值。首先確定信息系統(tǒng)的保護級別,然后利用ISO/IEC 27005劃分信息安全風(fēng)險因素指標(biāo),構(gòu)建多層次風(fēng)險因素,設(shè)定不同權(quán)重和評判集,計算出風(fēng)險值,并且給出了應(yīng)用實例驗證算法。

電力信息安全;風(fēng)險評估;模糊綜合評判;模糊理論

0 引 言

隨著信息化的快速發(fā)展,計算機網(wǎng)絡(luò)與信息技術(shù)在電力行業(yè)得到了廣泛應(yīng)用。對信息系統(tǒng)進(jìn)行風(fēng)險分析和評估,找出信息系統(tǒng)中存在的問題,進(jìn)行控制和管理,己成為電力信息系統(tǒng)安全運行的重點。

風(fēng)險評估技術(shù)能夠確定信息資產(chǎn)的價值,檢測信息系統(tǒng)潛在的威脅、安全漏洞和脆弱性,可以識別系統(tǒng)面臨的安全風(fēng)險并確定風(fēng)險等級,是實現(xiàn)信息系統(tǒng)等級保護的重要基礎(chǔ)和依據(jù)[1]。信息安全目標(biāo)是消減并控制風(fēng)險,保持業(yè)務(wù)操作的連續(xù)性,并將風(fēng)險造成的損失和影響降低到最低程度。電力系統(tǒng)的信息安全評估是對電力網(wǎng)絡(luò)結(jié)構(gòu)、物理環(huán)境、管理制度、硬件、網(wǎng)絡(luò)接口、系統(tǒng)配置、防火墻的策略配置等進(jìn)行全面的安全分析,并提出安全風(fēng)險分析報告和改進(jìn)建議書[2]。采用先進(jìn)的評估技術(shù),對電力信息系統(tǒng)安全至關(guān)重要。本文采用 ISO/IEC27000來建立信息安全風(fēng)險評估體系[3],結(jié)合等級保護來提高信息安全管理水平。

1 標(biāo)準(zhǔn)原理

風(fēng)險評估按照風(fēng)險范疇中設(shè)定的相關(guān)準(zhǔn)則進(jìn)行評估計算,同時結(jié)合信息安全管理和等級保護要求來實施?，F(xiàn)在越來越注重將安全等級策略和風(fēng)險評估技術(shù)相結(jié)合的辦法進(jìn)行信息系統(tǒng)安全風(fēng)險評估,國內(nèi) 2007年下發(fā) 《信息安全等級保護管理辦法》,規(guī)范了信息安全等級保護的管理。ISO/IEC 27000是英國標(biāo)準(zhǔn)協(xié)會發(fā)布的一個關(guān)于信息安全管理的標(biāo)準(zhǔn)[3],以 ISO/IEC 27000系列標(biāo)準(zhǔn)為認(rèn)證目標(biāo)的信息安全管理體系實施活動正在國際和國內(nèi)盛行起來。

1.1 等級保護劃分

信息安全等級保護是指對信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中發(fā)生的信息安全事件等分等級響應(yīng)、處置,對設(shè)備設(shè)施、運行環(huán)境、系統(tǒng)軟件以及網(wǎng)絡(luò)系統(tǒng)按等級管理。確定信息系統(tǒng)安全等級的基本方法是通過確定系統(tǒng)保密性、完整性和可用性三個方面的安全等級來綜合確定系統(tǒng)的安全等級。

計算機等級保護總體原則 《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859)將信息系統(tǒng)安全等級分為 5個級別[4],各級的保護能力逐漸增強,保護范圍逐漸擴大。

第 1級：用戶自主保護級,通過隔離用戶和數(shù)據(jù),對用戶實施訪問控制,以免其他用戶對數(shù)據(jù)的非法讀寫和破壞,本級是基礎(chǔ)級。

第 2級：系統(tǒng)審計保護級,使用機制來鑒別用戶身份,阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。

第 3級：安全標(biāo)記保護級,提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強制訪問控制的非形式化描述。

第 4級：結(jié)構(gòu)化保護級,將第三級的自主和強制訪問控制擴展到所有的主體和客體。加強鑒別機制,系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。

第 5級：訪問驗證保護級。訪問監(jiān)控器仲裁主體對客體的全部訪問,具有極強的抗?jié)B透能力。

電力系統(tǒng)信息安全風(fēng)險評估是建立在等級保護的基礎(chǔ)上,對不同規(guī)模的電力企業(yè),區(qū)分屬于保護級別和應(yīng)達(dá)到標(biāo)準(zhǔn),然后進(jìn)行風(fēng)險評估。

1.2 ISO 27000標(biāo)準(zhǔn)

ISO/IEC 27000信息安全管理體系 (IS MS)標(biāo)準(zhǔn)族在不斷地制定發(fā)布,該系列標(biāo)準(zhǔn)族的主要標(biāo)準(zhǔn)是 ISO/IEC27001,其它成員的制訂是按照它建立、實施和改進(jìn)信息安全管理體系指南及支持[3]。

ISO27001是建立 IS MS的一套需求規(guī)范,其中詳細(xì)說明了建立、實施和維護信息安全管理體系的要求,指出實施機構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn),規(guī)定了為適應(yīng)不同組織及其下屬部門的需要而定制的安全控制措施的實施要求。

ISO27002是信息安全管理實施細(xì)則,從 11個方面闡述了 133項控制措施,給負(fù)責(zé)安全的人員作為參考文檔使用,作為組織的安全標(biāo)準(zhǔn)和有效的安全管理實施指南。

ISO/IEC 27003是為支持 IS MS過程的策劃和實施提供實施指南。標(biāo)準(zhǔn) ISO/IEC 27005為風(fēng)險管理指南標(biāo)準(zhǔn),信息安全風(fēng)險管理過程是信息安全管理過程模式 (PDCA)的一個關(guān)鍵組成部分。

2 風(fēng)險評估模型

2.1 電力系統(tǒng)風(fēng)險關(guān)系模型

電力系統(tǒng)風(fēng)險評估內(nèi)容應(yīng)覆蓋電力系統(tǒng)的網(wǎng)絡(luò),應(yīng)用系統(tǒng)、業(yè)務(wù)流程以及相關(guān)管理制度[5]。電力系統(tǒng)的信息安全風(fēng)險劃分分為：(1)信息系統(tǒng)缺陷和脆弱性帶來的安全風(fēng)險;(2)外部網(wǎng)絡(luò)等帶來的風(fēng)險;(3)電力企業(yè)環(huán)境的安全風(fēng)險。

根據(jù)風(fēng)險的三個關(guān)鍵要素：資產(chǎn)、威脅與脆弱點,參照 ISO/IEC27001建立風(fēng)險評估各要素之間的關(guān)系風(fēng)險模型見圖 1。

圖1 風(fēng)險評估各要素之間的關(guān)系Fig.1 Relationshipo f risk assessm ent factors

從圖中可以看出三要素對信息安全的影響,要素之間的聯(lián)系,風(fēng)險評估是從這些方面,以信息安全評估標(biāo)準(zhǔn) CIA三元組的目標(biāo),即保密性、完整性和可用性,進(jìn)行評估。CIA是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則[6]。

2.2 電力系統(tǒng)風(fēng)險計算模型

信息安全與各種因素有關(guān),總體概括為 3個方面,風(fēng)險計算如下所描述：

式中：R是安全評估風(fēng)險的函數(shù);A是資產(chǎn);T是威脅;V是脆弱性[7]。

風(fēng)險計算模型如圖 2所示。劃分評估要素,結(jié)合等級保護要求和相關(guān)規(guī)范,采用定量綜合方法計算,計算出風(fēng)險值,確定風(fēng)險等級,也就是資產(chǎn)遭受威脅的攻擊或破壞后可能造成的損失程度。

圖2 風(fēng)險計算模型Fig.2 Modelof risk calculation

2.3 電力系統(tǒng)風(fēng)險評估模型

信息安全風(fēng)險管理過程是一個循環(huán)的過程,評估結(jié)果達(dá)不到要求就需要循環(huán)進(jìn)行風(fēng)險評估和風(fēng)險處置活動。參照 ISO/IEC 27005建立電力系統(tǒng)信息安全風(fēng)險處理過程[2]。

如圖 3所示,首先確定風(fēng)險評估目標(biāo)和范疇,然后進(jìn)行風(fēng)險因素識別和風(fēng)險估計,在風(fēng)險分析階段結(jié)束后,進(jìn)行風(fēng)險評估。

圖3 風(fēng)險評估處理過程Fig.3 Process of risk assessment

如果評估結(jié)果符合要求,則進(jìn)行相關(guān)的風(fēng)險處理,否則繼續(xù)進(jìn)行下一輪風(fēng)險評估。如果處理結(jié)果符合要求可以接受,即將風(fēng)險降低到可接受級別,則進(jìn)行風(fēng)險溝通和風(fēng)險監(jiān)控與評審階段,風(fēng)險評估任務(wù)結(jié)束。如溝通信息不夠充分,則進(jìn)行重新進(jìn)行目標(biāo)范疇的修訂和風(fēng)險評估的循環(huán),也可能是整個范圍內(nèi)或部分內(nèi)容進(jìn)行循環(huán)。

3 多層次模糊綜合評判

3.1 風(fēng)險要素的提取與量化

要素的提取與量化是等級保護風(fēng)險評估中的重要依據(jù)與指導(dǎo)原則,它必須參照相關(guān)標(biāo)準(zhǔn)進(jìn)行。首先確定系統(tǒng)安全屬性,然后進(jìn)行風(fēng)險因素的層次劃分,第一層是對風(fēng)險因素的大框架進(jìn)行劃分,再進(jìn)一步對每部分內(nèi)容進(jìn)行細(xì)分,確定每一層次風(fēng)險要素的相對權(quán)重。

3.2 多層次模糊綜合評判

模糊綜合評價是以模糊數(shù)學(xué)為基礎(chǔ)的一種定量評價模型。它運用模糊集合中隸屬度的理論,對系統(tǒng)中多因素的制約關(guān)系進(jìn)行數(shù)學(xué)抽象,建立一個反映其本質(zhì)特征的數(shù)學(xué)評價模式[8-10]。模糊綜合評判的基本步驟如下。

(1)建立因素集。因素集是以影響評價對象的各種因素所組成的一個集合,A={a1,a2,…,an},其中 ai(i=1,2,…,n)分別代表各風(fēng)險要素。

(2)建立權(quán)重集。定義權(quán)重集為 B={b1,b2,…,bn},文中采用專家估測來確定各因素權(quán)重,因素集A,現(xiàn)有是k個專家各自獨立給出每個因素的權(quán)重,設(shè)第 j個專家對 ai估測為 bij,則權(quán)重：

其中：j=1,2,…,k,實際應(yīng)用中要求 bi滿足非負(fù)性和歸一化。

(3)建立評判集。評價集包含所有可能出現(xiàn)的對評價對象的評語。由專家對各個風(fēng)險因素逐個給出風(fēng)險程度評語,將其分為 m個等級,評判集為 V={v1,v2,…,vm}。

(4)單因素模糊評價。單因素模糊評價是從單一因素出發(fā)進(jìn)行評價,以確定評價因素集中每一個因素指標(biāo)在評語集 V中的隸屬度,構(gòu)造模糊映射 f：A→F(V),映射 f表示風(fēng)險因素 ai對評判集中各評語的支持程度。令風(fēng)險因素對評判集的隸屬向量 Ri={ri1,ri2,…,rim},i=1,2,…,n。于是得到隸屬度矩陣 R。

(5)一級模糊綜合評判。一級模糊綜合評判是按每個因素的各個等級進(jìn)行評價,記評價結(jié)果向量為Di,則 Di=Bi＊Ri=[di1,di2,…,din],采用加權(quán)平均方法,即：

(6)多層次模糊綜合評判。多層次模糊綜合評判是在一級模糊綜合評判的基礎(chǔ)之上,將結(jié)果向量 Di,經(jīng)過歸一化處理后合成矩陣 D,同時使用模糊映射 f確定下一層評價指標(biāo)對上一層評價因素的權(quán)重 B,再根據(jù)公式E=B＊R計算最終的評價向量 E,以得到最終的風(fēng)險因素的評價值。

4 應(yīng)用實例

4.1 風(fēng)險分析

風(fēng)險分析根據(jù)資產(chǎn)的重要性、脆弱點的范圍以及與組織相關(guān)的事件,而進(jìn)行的不同的具體深度分析。估算方法根據(jù)條件,可以是定性的、定量的或者是兩者的組合。通常采用定性估算以獲得一般性的風(fēng)險級別指示和發(fā)現(xiàn)重大風(fēng)險。

參照標(biāo)準(zhǔn) ISO/IEC 27002中的 11個方面作為評估的輸入提取的安全要素。分別是：A1.安全策略 A2.組織信息安全 A3.資產(chǎn)管理 A4.人力資源管理A5.物理和環(huán)境安全 A6.通信和操作管理 A7.訪問控制 A8.信息系統(tǒng)獲取、開發(fā)和維護 A9.信息安全事件管理 A10.業(yè)務(wù)連續(xù)性管理 A11.符合性。

4.2 風(fēng)險評估因素提取

本文以三層模糊綜合評判為例,將電力信息系統(tǒng)安全風(fēng)險因素劃分為三個層次,不再繼續(xù)細(xì)化。第一層是信息系統(tǒng)屬性,第二層為風(fēng)險的三個關(guān)鍵要素,即資產(chǎn)、威脅與脆弱。

A={A1,A2,A3}={資產(chǎn),脆弱點,威脅}

第三層是參照 ISO/IEC 27005風(fēng)險管理指南標(biāo)準(zhǔn)要求[2]。首先需要識別資產(chǎn)重要性,其次是脆弱點,脆弱性存在本身不會形成損害,但它能夠被某個威脅所利用。最后將威脅分為兩部分,非人為威脅和人為威脅。

A1={a11,a12,a13,a14,a15,a16}={硬件,軟件 ,網(wǎng)絡(luò),人員,場所,組織架構(gòu)};

A2={a21,a22,a23,a24,a25,a26,a27,a28}={組織架構(gòu),過程和程序,管理慣例,人員,物理環(huán)境,系統(tǒng)配置,硬件,軟件或通訊設(shè)備,對外部的依賴};

A3={a31,a32,a33,a34,a35,a36,a37,a38,a39,a310}={物理損壞,自然災(zāi)難,基礎(chǔ)服務(wù)失效,輻射干擾,技術(shù)故障,未經(jīng)授權(quán)的活動,功能受損,黑客,行業(yè)間諜,內(nèi)部人員};

4.3 建立權(quán)重集和評判集

用專家意見法確定主因素集權(quán)重系數(shù)并設(shè)定二級權(quán)重系數(shù)。定義 A1,A2和 A3的權(quán)重集為 B={B1,B2,B3}={0.3,0.3,0.4}

4.4 綜合計算

分別代表優(yōu)秀、好、一般、差、很差。計算風(fēng)險值 V＊=E＊V=2.996 05,說明此電力信息系統(tǒng)總體安全水平處于一般狀態(tài),需要加強安全防范措施。

5 結(jié)束語

本文以信息 ISO/IEC27000系列安全管理標(biāo)準(zhǔn)構(gòu)建電力信息系統(tǒng)風(fēng)險評估體系,給出了風(fēng)險因素關(guān)系,建立風(fēng)險評估計算模型和評估過程模型,采用層次模糊綜合評判計算出風(fēng)險值,通過實例驗證,該風(fēng)險評估技術(shù)確實可以評估電力信息系統(tǒng)安全等級。風(fēng)險評估的結(jié)果有助于指導(dǎo)和決定適當(dāng)?shù)墓芾硇袨?、確定風(fēng)險的優(yōu)先級,以及實現(xiàn)所選的用以防范風(fēng)險的控制措施,因此對信息系統(tǒng)定時進(jìn)行的風(fēng)險評估具有重要意義。

[1]余勇,林為民.電力系統(tǒng)的信息安全評估框架 [J].計算機安全,2004,(6)：10-12.

[2]王志強,李建剛,顏立.基于 ISO/IEC 27001標(biāo)準(zhǔn)的信息安全管理體系建設(shè) [J].浙江電力,2008,27(4)：47-48.

Wang Zhiqiang,Li Jiangang,Yan Li.Construction information security management system based on ISO/IEC 27001 standard[J].Zhejiang Electric Power,2008,27(4)：47-48.

[3]ISO27000.信息安全管理標(biāo)準(zhǔn) [S].2005.

[4]GB17859.計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則[S].1999.

[5]劉童娜,高會生,張謙.防火墻技術(shù)與電力企業(yè)網(wǎng)絡(luò)安全 [J].電力科學(xué)與工程,2002,(4)：46-48.

Liu Tongna,Gao Huisheng,Zhang Qian.Firewall and network security in electric power systems[J].Electric power Secience and Engineering,2002,(4)：46-48.

[6]高會生,郭愛玲,于曉東.基于區(qū)間層次分析法的網(wǎng)絡(luò)安全風(fēng)險評估 [J].電力科學(xué)與工程,2009,25(3)：64-67.

Gao Huisheng,Guo Ailing,Yu Xiaodong.Network security risk assessment based on interval analytical hierarchy process[J].Electric power Secience and Engineering,2009,25(3)：64-67.

[7]梁丁相,陳曦.基于模糊綜合評判理論的電力信息系統(tǒng)安全風(fēng)險評估模型及應(yīng)用 [J].電力系統(tǒng)保護與控制,2009,37(5)：61-64.

Liang Dingxiang,Chen Xi.Safety assessment model of electric power information system based on fuzzing synthetical theory and its applitation[J].Power System Protection and Control,2009,37(5)：61-64.

[8]王霞,律方成.一種基于模糊綜合評判的變壓器故障診斷方法 [J].電力科學(xué)與工程,2009,25(1)：27-29.

Wang Xia,Lu Fangcheng.Transformer Fault Diagnosis Method Based on Fuzz Integrated Judging[J].Electric power Secience and Engineering,2009,25(1)：27-29.

[9]馮小安,解鴻斌,劉艷平.基于模糊綜合評判法的電力網(wǎng)絡(luò)信息系統(tǒng)安全評估 [J].電網(wǎng)技術(shù),2008,32(23)：40-43.

Feng Xiaoan,Xie Hongbin,Liu Yanping.Security E-valuation of Power Network In formation Systems Based on Fuzzy Comprehensive Judgement[J].Power System Technology,2008,32(23)：40-43.

[10]陳其,陳鐵,姚林,等.電力系統(tǒng)信息安全風(fēng)險評估策略研究 [J].計算機安全,2007,(6)：40-42.

Chen Qi,Chen Tie,Yao Lin,et al.Security risk assessment strategy of power system information[J].Network and Computer Security,2007,(6)：40-42.

Study on Risk Assessment Technology of Power System Based on Fuzzy Comprehensive Evaluation

Chen Liandong1,Lu Chunmei2
(1.Information Operation Center,Hebei Electric Power Research Institute,Shi Jiazhuang 05000,China;2.School Control and Computer Engineering,North China Electric Power University,Baoding 071003,China)

Risk assessment technology can detectpotential security risks of information systems,which is important to achieve the requirement of information system classified protection.Based on the information security management standards ISO/IEC 27000,it set upa risk assessment index system on power system information security.Combined with classified security protection,propose a model of risk assessment,and use multi-level fuzzy algorithm to calculate the risk.First,confirm the classified protection level,then use the ISO/IEC 27005 to divide risk index,buildmulti-level risk factors,set different weight and judge sets,calcu late the risk value,at last,give an application example.

power information security;risk assessment;fuzzy comprehensive evaluation;fuzzy theory

T M73

A

2010-06-23。

陳連棟 (1987-),男,助理工程師,主要從事信息安全、信息綜合管理方面的工作,E-mail：51250035@163.com。