基于模糊綜合評判法的電力系統安全評估

王凱　李婉卿　白雨欣

摘要：通過提出一種以模糊綜合評判為基礎的信息系統安全風險評估的模型和方法來更好地實現量化信息系統和降低安全風險的目標。只有有效地確定整個信息系統內部安全風險因素、安全風險指標和權重系數等內容才能夠建立一個有效的安全風險模糊評估的綜合矩陣，并在之后有效地運用電力信息系統中的Web組件來更好地進行風險評估。由于電力信息系統在使用的過程中很容易受到外部環境、系統本身和自然界的安全威脅，因此建立一個有效的信息系統安全評估模型顯得尤為重要，它不僅能夠有效地劑量信息系統內部web組件的安全風險，還能夠為管理部門提供更加有效的防護技術和管理措施。

關鍵詞：模糊綜合評判法；電力系統；安全評估

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2019）01-0065-01

1 模糊綜合評價法簡介

模糊綜合評價法（fuzzy comprehensive evaluation method）是模糊數學中最基本的數學方法之一，該方法的模糊界限是以隸屬度來描述的。

由于信息系統評價因素的復雜性、評價指標中存在較大的模糊性以及評價影響因素的不確定性、定性指標難以定量化等問題，使得人們難以準確地描述信息系統安全性，經常存在著模糊的現象。

2 指標權重的確立

2.1 確定系統的安全風險因素集

先將S設定為信息系統內部所有安全風險因素的集合，并在之后將性質相近的因素分成一組。如果S集合內部的因素都被分成1組，則結果如下：

S={S1，S2，S3……，Sn}

而Si中所代表的則是第i組的因素。針對每個Si內部都有n個風險因素的集合，將會被表示成Si={Si1，Si2，Si3……，Sin}這樣的集合，并將整個安全風險因素的集合分成多個層次的集合。

2.2 定義安全風險的指標

將安全風險指標定位為V，這充分表示信息系統在發生安全風險時所產生的后果，以及這一后果對信息系統的影響程度。其式子如下：

V={v1，v2，v3……，vm}

而本式子中的m表示風險指標集的數目，而v1則表示整個安全風險的指標，i=1，2，…，m。

2.3 全面確定安全風險因素中的權重

上一節定義了安全風險的指標。但是Si內部的各個因素都是相對于安全風險指標集V中的權重而言的。而整體系數可以用矩陣來這樣進行表示：

Ai=[ai1，ai2，ai3……，ain]

上述式子中所描述的ai1+ai2+ai3……+ain=1。整體也可以根據Si內部的各種因素來全面界定安全風險所造成的影響。

3 信息系統安全評估實際案例

某電力信息系統是由Web服務器支持其整體運作的，完全可以充分利用已經建立的綜合評估模型來評估Web服務器的安全風險[2]。一般而言，影響Web服務器安全的風險因素主要為S={S1，S2，S3，S4，S5}。而這個矩陣內部的內容主要是由數據庫管理系統、Web服務器操作系統、Web服務器應用系統和通信設備等一起組成的。

這5組風險因素分別代表以下幾類不同類型的風險因素。

S1={S11，S12，S13，S14}。而這內部的五個因素主要代表五種錯誤：數據文件被破壞，查詢過程出現錯誤，數據修改過程出現錯誤，刪除過程出現錯誤。

S2={S22，S23，S24，S25，S26}。而這里面主要表示如下的幾種故障：數據從緩沖區中溢出，寄存器內部的構造被破壞，文件結構和目錄內容被破壞，用戶帳戶優先重寫順序出錯，不同的應用程序之間存在諸多類型的沖突。

S3={S33，S34，S35，S36}。而這個式子中表示的主要故障主要有如下幾種：內部功能出現了錯誤；遇到問題時不能夠訪問所需要的資源；非法數據入侵；使用過程中與操作系統的版本發生沖突。

S4={S43，S44，S45，S46，S47}，內部對應的幾個元素分別標明系統的內部出現了如下故障：系統內部的內存出現了故障；計算機內部的CPU出現了故障；硬件驅動的過程出現了故障；電源使用的過程出現了故障；總線使用出現了故障。

S5={S53，S54，S55}，這個集合中三個元素分別表示出現如下故障：網絡硬件的接口在使用的過程中出現了故障；通信協議在使用的過程中出現了故障；路由器在使用的過程中出現了故障。

由于篇幅所限將會省略計算的過程，之后可以得知如下的結論：一旦Web服務器發生了安全故障，則會對系統的安全產生不良的影響，這一影響值為0.36305。按照同樣的矩陣計算方法也可以計算其他工作站和數據庫系統內部的安全風險。

4 結語

綜上所述，電力信息系統本身會受到系統本身、外部環境和自然環境的影響。本文通過提出一種基于模糊數學理論的信息安全風險評估模型來計算出電力信息系統組件所代表的安全風險值，以便相關部門能夠采取更加有效的防護技術和管理措施，并在之后更好地增強系統的安全性。

參考文獻

[1] 張李義.信息系統開發的動態風險模糊估測方法[J].系統工程理論與實踐，2015（2）：129-132.

[2] 李鶴田，劉云，何德全.信息系統安全工程可靠性的風險評估方法[J].北京交通大學學報，2016（3）：25-29.

[3] 余勇，林為民.電力信息系統安全保障體系[J].電力信息化，2016（2）：59-63.

Abstract：This paper proposes a model and method of information system security risk assessment based on fuzzy comprehensive evaluation to better achieve the goal of quantifying information system and reducing security risk. Only by effectively determining the internal security risk factors， security risk indicators and weight coefficients of the whole information system， can an effective comprehensive matrix of security risk fuzzy assessment be established， and then the Web components in the power information system can be effectively used to better carry out risk assessment. Because the power information system is vulnerable to external environment， system itself and nature security threats in the process of using， it is particularly important to establish an effective information system security assessment model. It can not only effectively dose the security risks of the internal web components of the information system， but also can be raised for the management department. For more effective protection technology and management measures.

Key words：fuzzy comprehensive evaluation method； electric system； safety assessment