電力信息系統動態風險評估方法研究

摘 要： 信息系統風險評估是對信息系統的資產面臨的威脅、存在的弱點、造成的影響，以及三者總和作用而帶來風險的可能性的評估，是實施信息系統風險管理的基礎。為了對電力信息系統的安全性能進行動態評價，結合實體行為對系統風險的影響，對現有的靜態風險評估算法進行了改進，給出了基于電力信息系統的一種動態風險計算方法，理論分析和結果表明，改進方法提高了評估結果的可靠性和時效性。

關鍵詞： 電力信息系統； 動態風險評估； 風險管理； 理論分析

中圖分類號： TN915.853?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2016）14?0162?04

Study on dynamic risk assessment method for electric power information system

JIN Dan1， MA Zhicheng1， YANG Peng1， ZHANG Xuefeng2， DING Litong2

（1. Information Communication Company， Gansu Electronic Power Company of State Grid， Lanzhou 730050， China；

2. Xi’an University of Posts and Telecommunications， Xi’an 710121， China）

Abstract： The information system risk assessment is used to assess the asset threat， weakness and impact of information system， and risk probability of the three items. It is the basis to implement risk management of the information system. In order to dynamically evaluate the safety of the electric power information system， the available static risk assessment algorithm was improved in combination with the impact of entity behavior on the system risk， and a dynamic risk computing method based on electric power information system is given. The theoretical analysis and results show that the improved method can enhance the reliability and timeliness of the assessment result.

Keywords： electric power information system； dynamic risk assessment； risk management； theoretical analysis

0 引 言

隨著信息技術的快速發展和網絡的日益普及，信息技術與人們的日常工作、學習和生活聯系日益緊密，越來越多的行業也開始依托信息平臺開展多種多樣的業務[1]。電力設施作為國家的基礎設施，其信息化建設工作日益重要，隨著電力企業中多種信息系統被廣泛使用，行業信息化程度不斷提高。當前，該行業存在著多種信息系統并存，安全性能亟待改善等問題，急需綜合運用多種安全手段，提高電力信息系統的安全性[2?6]。

本文采用動態風險評估方法，通過實時對采集到的信息進行處理、識別，動態地確認系統的安全狀態，計算并分析系統面臨的風險，使得評估結果具有更好的實時性。

1 風險評估方法

風險因素實時監控包括日志審查、流量監控和系統掃描等多種形式。風險評估對系統當前的安全現狀進行評價，具體通過資產的識別與賦值、漏洞掃描、威脅判斷、現有安全措施有效性監控以及風險分析等環節，為制定改善安全措施提供依據[7?9]。

1.1 系統分析

對現有系統的拓撲結構、網絡規模、運行環境和用戶的安全需求進行調查分析。具體的調查分析內容包括：

（1） 目標： 確定進行風險評估的目的。

（2） 范圍和邊界：既定的風險評估可能只針對網絡的全部資產的一個子集。

（3） 系統描述：進行風險評估的一個先決條件就是對受評估系統的需求、操作概念和系統資產特性有一個清晰的認識。

（4）風險接受標準：事先明確能夠接受的風險水平或等級。

1.2 威脅分析

通過對威脅的分析，建立相應的威脅知識庫，以便在動態風險實時分析過程中實現對威脅事件的實時識別和監控。威脅發生的可能性需要結合威脅源的內因，弱點和控制這兩個外因來綜合評價。對于單一威脅事件有兩種可能的情況，即發生或者不發生；所以威脅的發生次數是一個Poisson分布。常數[λ]可以通過類似于政府發布或網絡自身的統計報告獲得，則進一步可得到某威脅在一定時期內發生的次數。為了準確地計算威脅對信息系統可能造成的風險，還需要考慮到威脅可能的擴散程度。對于不同的威脅，其擴散程度一般也不同，擴散函數可以定義為一個包含時間變量的函數。

1.3 漏洞識別和掃描

識別系統漏洞的途徑有很多，在此主要通過以下兩種途徑來進行：對信息系統脆弱點的調查分析和實時漏洞掃描。

在信息系統中，漏洞主要表現為技術性弱點，具體體現在以下幾個方面：網絡中的安全缺陷；各種軟件自身存在的漏洞；網絡的結構隱患。

1.4 安全措施確認

在對系統漏洞進行識別的基礎上，應對信息系統已經采取的安全措施的有效性進行調研分析和掃描確認。一般來說，安全措施的有效性將減少系統技術或管理上的弱點，從而降低系統面臨的風險。

1.5 風險計算

綜合安全事件所作用的資產價值及漏洞的嚴重程度，判斷安全事件造成的損失對信息系統的影響，即安全風險[10?12]。對信息系統進行風險計算的原理如下：

[風險值=R（A，T，V）=RL（T，V），F（Ia，Va）] （1）

式中：[R]表示安全風險計算函數；[A]表示信息系統的資產價值；[T]表示信息系統面臨的威脅；[V]表示信息系統存在的漏洞；[Ia]表示受影響的資產價值；[Va]表示信息系統中漏洞嚴重程度；[L]表示威脅發生的可能性；[F]表示導致的損失。

2 動態風險評估模型

評估動態風險的關鍵因素是威脅對資產可能造成的影響和威脅發生的可能性。動態風險評估模型包含三個基本集合，具體如下：

漏洞集合：

威脅集合：

影響集合：

考慮到信息系統的很多威脅具有一定的擴散性，在給出以上集合的基礎上，進一步給出威脅擴散程度的集合：

[S（t）={S1（t），S2（t），…，Sm（t）}]

式中：[Sj（t）]為[t]時刻威脅[Tj]的擴散程度；[m]為信息系統可能存在的威脅的個數。

風險評估模型的計算公式為：

3 電力信息系統動態風險評估方法

電力信息系統的動態風險分析主要是通過歸納、分析、比較、綜合等方法進行總結分析。需根據電力信息系統的拓撲結構，提出一種動態風險分析方法。

3.1 電力信息系統網絡的拓撲結構

首先要明確電力信息系統采用的拓撲結構，然后根據網絡的拓撲結構來計算整個電力信息系統面臨的綜合風險。

3.2 主要符號及變量

電力信息系統的動態風險評估模型解釋了動態風險評估的基本過程，同時呈現了風險評估所需的基本變量，變量如下：

[P={P1，P2，…，Pl}]：電力信息系統中的安全域，即整個電力信息系統包含的局域網集合；

[T（t）={T1（t），T2（t），…，Tm（t）}]：電力信息系統可能會遭受的威脅集合；

[S（t）={S1（t），S2（t），…，Sm（t）}]：威脅擴散程度集合；

[V（t）={V1（t），V2（t），…，Vn（t）}]：電力信息系統可能存在的漏洞集合；

[αk（t）]：漏洞[Vk]的取值，該取值范圍為[{0，1}]，通過實時掃描得到；

[βj（t）]：威脅[Tj]的權重，取值范圍為[（0，1）]；

[nj]：威脅[Tj]利用漏洞的個數；

[Pt（t）={Pt1（t），Pt2（t），…，Ptn（t）}]：與漏洞集合對應的電力信息系統應該采取的安全保護措施集合；

[A（t）={A1（t），A2（t），…，Al（t）}]：電力信息系統中的安全域對應的價值；

[F0（Tj）]：[Tj]的初始發生頻率的估計值；

[F（Tj（t））]：威脅[Tj]在[t]時刻的實際發生概率；

[Ii，j（t）]：一個二進制函數；

[W（t）={W1（t），W2（t），…，Wm（t）}]：威脅對安全域造成的損失；

[R（t）={R1（t），R2（t），…，Rl（t）}]：電力信息系統中安全域在[t]時刻面臨的風險值；

[Risk]：整個系統面臨的總風險值；

[B（Sk）]：實施[Sk]后帶來的利益；

[C（Sk）]：實施安全保護措施[Sk]的成本；

Profit：整個電力信息系統的效益；

[ak]：脆弱性[vk]的級別，取值范圍為0～1之間；

[Ef（tj，Sk）]：安全保護措施[Sk]對威脅[tj]的初始發生頻率的降低比率；

[Ri]：系統中安全域[Pi]面臨的風險值。

3.3 電力信息系統中威脅發生的可能性

采用以下變量來辨認威脅：

（1） 威脅的來源（Source）

如果威脅[tj]來自系統之外則Source（[tj]）=1；如果威脅[tj]來自系統的內部則Source（[tj]）=0.8。

（2） 威脅要求的訪問（Access）

如果威脅[tj]的實施通過遠程訪問則Access（[tj]）=1； 如果威脅[tj]的實施通過內部訪問則Access（[tj]）=0.6。

（3） 威脅[tj]要求的技術水平（Skill）

無組織無技術的，Skill（[tj]）=1；無組織有技術的，Skill（[tj]）=0.9；有組織無技術的，Skill（[tj]）=0.8；有組織有技術的，Skill（[tj]）=0.25。因此，威脅[tj]發生的初始概率[F0（tj）]：

威脅[tj]的實際發生概率[Ftj]為：

3.4 安全事件發生后對系統造成的損失

威脅[Tj（t）]對安全域[Pi]造成的實時損失[W（Tj（t））]可以表示為：

式中威脅[Tj]的權重[βj]可以由漏洞的級別來表征，即：

式中：

[γi（t）=log22α1（t）+2α2（t）+…+2αni（t）ni]

3.5 安全域的風險值計算

用一個二進制函數[Ii，j（t）]表示該安全域是否受到威脅[Tj]的攻擊，這樣該安全域的動態風險為：

因此，整個電力信息系統的總風險值[Risk]：

已實施的安全保護措施的成本一般應該是總資產價值的20%，即：

安全保護措施產生的利益可以認為是未實施安全措施系統面臨的總風險與安全措施實施之后系統面臨的總風險之差，即：

因此，電力系統的效益Profit：

可以根據一些具體指標對Profit是否在接受范圍之內進行確認。

3.6 風險等級劃分

劃分風險等級比較常用的方法就是風險矩陣方法，即先對威脅產生的影響劃分具體的等級并將威脅產生的影響作為矩陣的列；對威脅發生的可能性大小劃分出可能性等級作為矩陣的行。但是，風險矩陣方法主要采用的是定性的方法，結果比較主觀，沒有足夠的說服力。

定量與定性相結合的風險評估方法不僅可以比較精確地得到整個電力信息系統面臨的風險值，而且可以確定風險的最大值[max=i=1lAi]和最小值[min=0]。因此，按照由大到小的順序，將區間（0， max）平均劃分為5個小區間，就可以粗略地得到電力信息系統的5個風險等級，分別定義5個風險等級為高、較高、中、較低、低。具體劃分依據如表1所示。

利用上述方法可得到一個確定的數值，也就是將風險等級進一步量化，因此具有更強的說服力，且方法的可操作性也很強。但需要注意的是，這里的一些權值大都是經驗值或是由實驗得到的數值，而且劃分的方法也很粗略。因此，在實際應用時，各個定級取值范圍的邊界值應該根據實際情況而定。

4 結 論

隨著技術的發展，電力信息系統涵蓋的范圍越來越廣，保障網絡和業務的安全面臨著更加嚴峻的形勢。由于電力系統是國家非常重要的基礎設施，與人們的工作、生活息息相關，而對電力信息系統進行風險評估的最終目的就是了解電力信息系統的總體安全現狀。通過風險評估可以及時發現系統中存在的安全隱患，從而采取相應的安全措施將風險控制在可接受的范圍內，以減少各種風險對系統造成的損失。

參考文獻

[1] HOWARD M， PINCUS J， WING J M. Measuring relative attack surfaces [M]// Anon. Computer securing in the 21st century. Berlin： Springer， 2005： 109?137.

[2] Joint Technical Committee. Australia and New Zealand Standard： risk management AS/NZS 4360 [S]. Sydney： Joint Technical Committee， 2004.

[3] British Standards Institution. Risk management guidelines： BS 7799?3： 2006 [S]. London： British Standards Institution， 2006.

[4] National Institute of Standards and Technology. Risk management guide for information technology systems： special publication 800?30 [R]. US： National Institute of Standards and Technology， 2001.

[5] 楊曉明，羅衡峰，王佳昊，等.評價風險評估方法有效性的DEA模型[J].電子科技大學學報，2014，3（4）：581?584.

[6] 朱圣才，徐御，金銘彥，等.基于等級保護策略的云計算安全風險評估[J].計算機安全，2013（5）：39?42.

[7] 王楨珍，姜欣，武小悅，等.信息安全風險概率計算的貝葉斯網絡模型[J].電子學報，2010，38（z1）：18?22.

[8] 鄭雷雷，宋麗華，郭銳，等.故障樹分析法在信息安全風險評估中的應用[J].計算機科學，2011（z1）：106?108.

[9] 亓峰，李琪，韓騫，等.基于神經網絡的電力通信網風險評估方法[J].北京郵電大學學報，2014，37（1）：90?93.

[10] 李偉明，雷杰，董靜，等.一種優化的實時網絡安全風險量化方法[J].計算機學報，2009，32（4）：793?804.

[11] 喬佩利，張海霞，王艷麗.一種基于隱馬爾可夫模型的實時安全評估方法[J].哈爾濱理工大學學報，2008，13（6）：42?45.

[12] 張潤蓮，武小年，周勝源，等.一種基于實體行為風險評估的信任模型[J].計算機學報，2009，32（4）：688?698.