基于模糊神經網絡的電力系統信息安全風險評估

◆葉 衛

（國網浙江電力公司信息通信分公司 浙江 310007）

基于模糊神經網絡的電力系統信息安全風險評估

◆葉 衛

（國網浙江電力公司信息通信分公司 浙江 310007）

隨著科技的發展，電子信息可謂無處不在，龐大的網絡深受各界人士的喜愛，電力系統也不例外，電力系統信息安全進行風險評估可以避免意外及不必要的損失，但評估起來比較復雜且存在許多不確定性因素，采用模糊神經網絡的方式可以對不確定性因素進行模糊處理，將其量化，模糊理論與網絡相結合。本文對模糊神經網絡的電力系統信息安全風險評估做出分析。

模糊神經網絡；信息安全；風險評估

0 前言

目前我國對電力的需求是越來越大，無論是生活、商業、企業、工廠等都理不開電力設備，因此，電力系統就更加要保證供電質量與穩定性。電力系統對信息安全采用風險評估的方式以外部硬件、網絡接口和配置為主，降低了風險幾率，提高了安全性能，我國早在十幾年前就建立了《信息安全管理系統》，其中明確規定了從建立到實施再到維護的風險評估標準，不同環境有不同方案，好安全工作是工作也是責任。

1 信息安全風險評估原理

（1）信息安全風險評估原理

信息安全風險評估其主要是從風險方面入手，使用科學的技術手段，從多方面獲取網絡和信息所存在的潛在風險及它的弱點，根據這些去推斷和評估將來有可能發生的危害，提前做出預防措施，并將風險程度控制到最低，從而在最大程度上保障網絡和信息安全。評估一般有定性和定量的方式，也有二者合一的方式，其方法主要有層次法、決策法與幾率法等。信息安全風險評估是非常復雜的，隨時可能出現不確定性因素，傳統的風險評估模式存在局限性已不能適應現代化社會的發展，傳統的評估方法有很大的主管隨意性和模糊性、而且會把操作進行了復雜化，進而使自學能力降低[1]。而人工神經網絡擁有傳統方法所不存在的智能特點，好比人的大腦，可以分析和處理不確定的問題，而且有可以自己學習從而獲取知識的特點，并可妥善處理不容易解決的非線性問題。

（2）信息安全風險評估過程

通過GB／T20984-2007（1）中對風險評估的描述，我們可以把風險評估分為幾分步驟，首先對信息安全、潛在危險和其弱點進行評估，然后對其危險進行改善，對其弱點進行補救，最后，對危險的發生及時處理并做出總結。在資產評估方面分為識別和估價兩大類，資產識別主要對組織或企業的資產進行確定，確定這個資產是否屬于企業本身，是否與其它企業共同擁有，如果共同擁有，那它占的份額是多少，對其進行確定。資產估價就是對組織或企業所擁有的資產進行確定以后，再根據市場價格和資產的使用價值及其使用數量進行估算，給出相應的價格。潛在危險主要是指對信息資產可能具有危害性的分析，一般我們從這幾個方面入手，危害的源頭，危害的方式方法，危害的目的，受到危害后的損失等幾個方面，但危害不一定都是直接的也會存在一些間接性的，比如：在企業中人員較多，企業的信息資產有可能被泄露、篡改和刪除等現象，無論是有意的還是無意的，企業的資產受損，保密性工作做的不到位，都會對企業造成相當大的損失。弱點評估主要是指通過多種渠道去掌握和了解企業信息資產中的缺點和不足，這些缺點有時會使不法分子或者別有用心之人對資產信息進行破壞或非法買賣，只要存在缺點就會有威脅發生，但所有的系統又不是十分完美的，多多少少會存在一些不足之處，只有對這些不足之處，及時做出預防和改善措施，才能確保企業的資產信息得到更高的安全保障。風險是一種看不見摸不著的東西，是一種潛在事件，如果信息安全風險評估做的不到位就會引導某項信息的泄露，導致企業或者組織結構的生存發展受到損害。

2 模糊神經網絡信息安全評估模型

（1）信息安全風險評估指標的模糊處理

信息安全風險評估存在復雜性與不規律性，而模糊神經網絡恰巧可以滿足這一復雜與不規律性，模糊系統通常是容易被人接受和理解的，神經網絡對環境的適應力很強，模糊神經網絡就是兩者的結合。主要體現在將已有的神經網絡進行模糊分類和通過現有的模糊理論去創造一個神經網絡等兩種方法。一般使用較多的是第一種方法，主要有BP神經網絡構成，它包括輸入層、隱含層與輸出層。信息需要進行量化處理后才可輸入，再由BP神經網絡進行計算，要反復計算后才能得出準確度較高的值。

（2）BP神經網絡算法

BP是非常人性化的反向傳播神經網絡，它包括輸入、隱含和輸出三層網絡，是最基本的也是目前運用非常廣泛的網絡之一，它的優勢就是不怕復雜，再復雜的模式它都能夠清晰的識別，它的信號不僅可以正著走還可以反過來走，不是只能從輸入層輸入，輸出層輸出，如果輸出層的數據達不到滿意的效果，可以從輸出層輸入數據，數據接到信號會原路返回，不夠精確的輸入不會影響整體系統，在得到反復修改后，使其誤差降到最低。

BP神經網絡算法適用于復雜性較強，多元化神經的網絡系統，但它的使用必須要有梯度下降模式才可使用，假如我們設定一個網絡但不知道它有多少層，設它為X層，那么X層就是輸出層，第1層就是我們能看到的，可以輸入數據的，所以叫輸入層，其它層次因為看不到所以叫隱含層，那么第X層（x=1.2.……X）的神經元個數為nx，要想把信息輸入到第x層的第y個神經里其計算方式為wxyj(y=1.2.…….nx;j1.2.…….nx-1)，通過這種方式來學習函數的輸入和輸出，BP網絡非常便捷，如果輸入到一半發現少輸入了一些，還可以使用插值功能，直接輸進去，不需要重新輸入。

（3）模糊神經網絡的信息安全具體評估過程

模糊神經網絡對信息安全的評估主要采用BP神經網絡對數據的輸入存在模糊性，對于確定性因素BP神經網絡就無法處理，但風險及大可能是不能那么確定的，如果是確定性風險我們就會及時發現及時處理，就會省去評估的環節，而模糊評估就是對潛在風險，存有安全隱患的風險把它找出來，可以通過資產信息的弱點；模糊神經網絡對信息安全的評估方法；對企業需要進行風險評估的進行登記，讓專業人士對其進行風險評價評價的不同會對企業造成直接影響，所以，要對評價值進行計算，如果計算值在0和1之間，那么它就可以做為BP神經網絡的定量值進行輸入[3]。

3 電力系統風險評估體系的建立

（1）評估的主要形式

開展安全風險評估的最終目的是從社會主義公共安全的角度出發，擔當起監管的責任和義務，把控好整個系統的較為薄弱的環節進行調整，從而降低風險度。所以，評估體系的建立也要從利于政府工作的角度開始思考，制定出一套科學完美的具有實際操作性的評估活動[2]。

（2）評估系統的主要結構

電力系統對信息安全進行風險評估其結構主要體現在，評估要以什么樣的方式進行，評估的目的及預防措施，對于評估的結果是否可以及時做出改善。評估工作的組織形式可以依照政府的有關規定；評估的目的要看其結構、技術和設備等方面對電力系統進行評估；評估的主要方法是采用故事樹的方法進行計算；對于評估結果，重點分析電力系統的薄弱環節，并提出針對薄弱環節的整改措施，以將風險降到最低。

（3）評估指標的改造原則

在確定評估的目的和對象之后就可以從技術、設備等方面入手，如果電力設備超出所能承受的范圍就會產生負荷，這就會直接出現危險，還有一些間接危險，需要不斷觀察和總結，每個地區的電力結構情況可能不盡相同，所以，要根據當地實際情況，制定出相關指標，做好風險評估和預防措施，提高安全意識。

4 結論

綜上所述，電力系統對信息安全進行風險評估時，采用模糊神經網絡方法非常實用，該模糊神經網絡模型以BP神經網絡為主，采用的是非線性的處理方法，絕不帶有個人的主觀成分和人為因素。人工神經網絡如果經過進一步的訓練，不僅可以實時實地的對風險級別進行評估，亦可以使組織機構免受風險帶來的疾苦。

[1] 葉夏明．電力信息物理系統通信網絡性能分析及網絡安全評估[D]．浙江大學，2015．

[2] 張坤．基于 AHP和 BP的信息安全風險評估研究[D]．河北工程大學，2016．

[3] 王姣，范科峰，莫瑋．基于模糊集和 DS證據理論的信息安全風險評估方．