基于电力系统的信息安全风险评估机制探析

孙毓鸿

（北京送变电有限公司，北京 102401）

0 引言

当前，电力行业在生产和操作环节中会产生大量的数据，电力系统是我国重要的基础性工程，在建设环节中常面临着各类威胁。电力系统信息安全建设标准还不够成熟。电力系统的信息安全风险的评估机制还没有完全的建立，在对风险的评估环节中，其精确度有待于进一步完善[1]。

1 信息安全风险评估现状分析

信息安全风险评估是在相关信息技术应用基础上，完善对信息的处理、传输和储存，实现信息的加密处理。资产评估常常会受到安全威胁，要对安全事故涉及的内容进行分析，对资产价值进行合理判断，分析安全事件对整个组织产生的影响。

在对信息系统进行安全风险评估的环节中，要完善系统风险的评估。在进行风险分析中，主要是结合资产、产生的主要威胁和安全策略进行。风险分析中要结合风险的属性和资产的性质进行。威胁分析是对威胁的对象进行分析，资产的属性主要包括资产的价值。脆弱性的属性结合资产保护中产生的盲区，和资产破坏的严重程度[2-3]。

在进行信息安全评估中，国际上也做出了相关的标准，美国计算机系统评价准则中将计算机安全等级划分成四个，结合了完整性和保密性。我国信息安全风险评估出台比较晚，但是近年来我国对这项内容非常重视，现在已经出台了很多规范，相关的评价机制也越来越规范。

2 相关概念

2.1 AHP方法

AHP方法是对目标和准则进行分析，按照层次分析的方式进行决策，对数据进行定性和定量分析。AHP方法现在使用非常频繁，但在电力系统信息安全评估中，本方法存在不足。在传统的风险评估环节中，进行定性分析的评价方式比较单一，仅仅是结合专家的单方面经验进行评估，但各类专家的知识领域存在很大的不同，如果仅仅采用专家评价的方式，就会导致数据信息不全面，也会导致各类风险因子评价环节中的精确性下降。在对相关的评估机制进行分析中，发现AHP方法结合模糊数学，可以有效提升风险评估的可靠性[4]。

2.2 模糊数学

采用模糊数学，可以针对现实中界限不是特别清楚的对象进行分析，采用模糊逻辑的方式，使事物的分析更加有层次感。在电力系统信息安全风险评估机制的研究中，在应用AHP方法的同时，还结合模糊数据方式，在进行系统分析中，首先建立了构造层次模型，针对风险评估的主要内容，从而建立满足实际应用需求的评价指标，将指标划分成三个不同的层次，其一是目标层，其二是指标层，其三是规范层，从而在评价中可以更加客观和精确。

在相同的层次中，各个因子可以获得可观的权重，从而使各个因子之间的关系更加密切，形成上下层所属的关系，下层因子对上层因子起到很好的约束效果[5]。

其次，可以建立三角模糊数学互补计算矩阵的方式，结合模糊逻辑理论，对计算矩阵进行建立。假设三角模糊计算矩阵，然后对各个因子的重要程度进行对比，根据专家提出的经验，计算出对比关系。

再次，确定好单层因子模糊权重，在本环节中，对单层因子的信息进行分析，从而计算出目标权重。最后，结合公式，建立符合度比较矩阵，结合各个因子的权重和模糊数值，建立矩阵。

3 AF-RA风险评估模型

3.1 风险评估和定量分析

在进行风险评估中，主要是结合资产、脆弱性和威胁三个方面进行，对电力系统的安全风险机制进行定量分析。

（1）核心资产。在进行核心资产分析的环节中，评估项目组应该先对相关的资料进行调研，从而将整个系统的信息获取，对信息的整体情况进行把握。其二，对信息资料进行分析，通过列举和划分的方式，将资料中的核心资产信息进行分析。在整体资产信息分析中，应该完善核心资产的评估，确保资产的类别非常清晰，从而对资产信息进行详细的分析。

在信息系统应用环节中，其主要的目的在于提升资产的价值，在资产价值提升中，要了解资产的归属特征，从而对资产信息充分的了解。在资产评估环节中，才层次分析的方式，结合行业专家的经验，对归属特征进行分析，对核心资产的评分进行分析。按照项目组的情况，采用三个层次和三角模糊数学的方式构建矩阵[6]。

（2）安全威胁。在电力系统信息安全风险评估的环节中，应该找到关键的银子，在进行威胁的评估和定量分析的环节中，应该找到主要的威胁点，从而完善层次分析。按照威胁评估的层次结构进行分析，专家对相关的概率进行赋分，建立三个不同的矩阵。

（3）系统脆弱性。在信息系统核心资产的固态特征分析中，脆弱性常与外界风险因子有密切联系，在进行强制性操作环节中，如果核心资产受到波动，就会导致资产出现不稳定，在电力系统信息安全风险评估环节中，这个因素被定为最关键的。应从管理和技术两个方面对系统的脆弱性进行分析，脆弱性不仅仅包括物理层和传输层，也包括应用层和管理层等。在进行项目评估的环节中，应该结合电力系统的实际情况对信息进行调研，从而列举脆弱性清单[7]。

在进行脆弱性层次评估环节中，其一，要对评估对象的弱点因子进行分析，找出脆弱点，并且分析脆弱点的严重程度。其二，要对评估对象面临的外界影响进行评估，评估威胁在脆弱点产生了哪些破坏。其三，针对电力系统实际的运行情况，对各个脆弱点进行分析。

借助层分析的方式，对脆弱性进行深入分析，准确分析脆弱点发生的概率，专家对其进行估分。

3.2 风险计算

在对电力系统稳定性分析的基础上，要结合核心资产、安全威胁和脆弱性等特征，确保各个层次结构相互联系，各个结构密不可分。在对风险计算结构构架的环节中，要结合资产和脆弱性等分析，找出安全价值和风险参数，并且对参数进行计算，找到核心资产的风险因子，从而可以对整体风险进行评估。对不同的风险因子结合的基础上，结合专家赋分信息，借助公式对安全风险参数值进行分析，结合多值数据，找到风险集合[8-10]。

3.3 风险级别的确定

在对风险计算的环节中要结合各类核心资产的风险数据，对风险按照重要程度进行排序，按照风险评估结果的分析，结合电力系统的安全应用特征，对安全风险级别进行处理，从而减少系统脆弱点。

4 结语

本文针对电力系统特征，结合安全性要求，结合模糊数学方式，建立信息安全风险评价机制，完善风险评估模型的制定。