摘 要： 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是對(duì)信息系統(tǒng)的資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者總和作用而帶來風(fēng)險(xiǎn)的可能性的評(píng)估，是實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的基礎(chǔ)。為了對(duì)電力信息系統(tǒng)的安全性能進(jìn)行動(dòng)態(tài)評(píng)價(jià)，結(jié)合實(shí)體行為對(duì)系統(tǒng)風(fēng)險(xiǎn)的影響，對(duì)現(xiàn)有的靜態(tài)風(fēng)險(xiǎn)評(píng)估算法進(jìn)行了改進(jìn)，給出了基于電力信息系統(tǒng)的一種動(dòng)態(tài)風(fēng)險(xiǎn)計(jì)算方法，理論分析和結(jié)果表明，改進(jìn)方法提高了評(píng)估結(jié)果的可靠性和時(shí)效性。

關(guān)鍵詞： 電力信息系統(tǒng)； 動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估； 風(fēng)險(xiǎn)管理； 理論分析

中圖分類號(hào)： TN915.853?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）14?0162?04

Study on dynamic risk assessment method for electric power information system

JIN Dan1， MA Zhicheng1， YANG Peng1， ZHANG Xuefeng2， DING Litong2

（1. Information Communication Company， Gansu Electronic Power Company of State Grid， Lanzhou 730050， China；

2. Xi’an University of Posts and Telecommunications， Xi’an 710121， China）

Abstract： The information system risk assessment is used to assess the asset threat， weakness and impact of information system， and risk probability of the three items. It is the basis to implement risk management of the information system. In order to dynamically evaluate the safety of the electric power information system， the available static risk assessment algorithm was improved in combination with the impact of entity behavior on the system risk， and a dynamic risk computing method based on electric power information system is given. The theoretical analysis and results show that the improved method can enhance the reliability and timeliness of the assessment result.

Keywords： electric power information system； dynamic risk assessment； risk management； theoretical analysis

0 引 言

隨著信息技術(shù)的快速發(fā)展和網(wǎng)絡(luò)的日益普及，信息技術(shù)與人們的日常工作、學(xué)習(xí)和生活聯(lián)系日益緊密，越來越多的行業(yè)也開始依托信息平臺(tái)開展多種多樣的業(yè)務(wù)[1]。電力設(shè)施作為國家的基礎(chǔ)設(shè)施，其信息化建設(shè)工作日益重要，隨著電力企業(yè)中多種信息系統(tǒng)被廣泛使用，行業(yè)信息化程度不斷提高。當(dāng)前，該行業(yè)存在著多種信息系統(tǒng)并存，安全性能亟待改善等問題，急需綜合運(yùn)用多種安全手段，提高電力信息系統(tǒng)的安全性[2?6]。

本文采用動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估方法，通過實(shí)時(shí)對(duì)采集到的信息進(jìn)行處理、識(shí)別，動(dòng)態(tài)地確認(rèn)系統(tǒng)的安全狀態(tài)，計(jì)算并分析系統(tǒng)面臨的風(fēng)險(xiǎn)，使得評(píng)估結(jié)果具有更好的實(shí)時(shí)性。

1 風(fēng)險(xiǎn)評(píng)估方法

風(fēng)險(xiǎn)因素實(shí)時(shí)監(jiān)控包括日志審查、流量監(jiān)控和系統(tǒng)掃描等多種形式。風(fēng)險(xiǎn)評(píng)估對(duì)系統(tǒng)當(dāng)前的安全現(xiàn)狀進(jìn)行評(píng)價(jià)，具體通過資產(chǎn)的識(shí)別與賦值、漏洞掃描、威脅判斷、現(xiàn)有安全措施有效性監(jiān)控以及風(fēng)險(xiǎn)分析等環(huán)節(jié)，為制定改善安全措施提供依據(jù)[7?9]。

1.1 系統(tǒng)分析

對(duì)現(xiàn)有系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)規(guī)模、運(yùn)行環(huán)境和用戶的安全需求進(jìn)行調(diào)查分析。具體的調(diào)查分析內(nèi)容包括：

（1） 目標(biāo)： 確定進(jìn)行風(fēng)險(xiǎn)評(píng)估的目的。

（2） 范圍和邊界：既定的風(fēng)險(xiǎn)評(píng)估可能只針對(duì)網(wǎng)絡(luò)的全部資產(chǎn)的一個(gè)子集。

（3） 系統(tǒng)描述：進(jìn)行風(fēng)險(xiǎn)評(píng)估的一個(gè)先決條件就是對(duì)受評(píng)估系統(tǒng)的需求、操作概念和系統(tǒng)資產(chǎn)特性有一個(gè)清晰的認(rèn)識(shí)。

（4）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)：事先明確能夠接受的風(fēng)險(xiǎn)水平或等級(jí)。

1.2 威脅分析

通過對(duì)威脅的分析，建立相應(yīng)的威脅知識(shí)庫，以便在動(dòng)態(tài)風(fēng)險(xiǎn)實(shí)時(shí)分析過程中實(shí)現(xiàn)對(duì)威脅事件的實(shí)時(shí)識(shí)別和監(jiān)控。威脅發(fā)生的可能性需要結(jié)合威脅源的內(nèi)因，弱點(diǎn)和控制這兩個(gè)外因來綜合評(píng)價(jià)。對(duì)于單一威脅事件有兩種可能的情況，即發(fā)生或者不發(fā)生；所以威脅的發(fā)生次數(shù)是一個(gè)Poisson分布。常數(shù)[λ]可以通過類似于政府發(fā)布或網(wǎng)絡(luò)自身的統(tǒng)計(jì)報(bào)告獲得，則進(jìn)一步可得到某威脅在一定時(shí)期內(nèi)發(fā)生的次數(shù)。為了準(zhǔn)確地計(jì)算威脅對(duì)信息系統(tǒng)可能造成的風(fēng)險(xiǎn)，還需要考慮到威脅可能的擴(kuò)散程度。對(duì)于不同的威脅，其擴(kuò)散程度一般也不同，擴(kuò)散函數(shù)可以定義為一個(gè)包含時(shí)間變量的函數(shù)。

1.3 漏洞識(shí)別和掃描

識(shí)別系統(tǒng)漏洞的途徑有很多，在此主要通過以下兩種途徑來進(jìn)行：對(duì)信息系統(tǒng)脆弱點(diǎn)的調(diào)查分析和實(shí)時(shí)漏洞掃描。

在信息系統(tǒng)中，漏洞主要表現(xiàn)為技術(shù)性弱點(diǎn)，具體體現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)中的安全缺陷；各種軟件自身存在的漏洞；網(wǎng)絡(luò)的結(jié)構(gòu)隱患。

1.4 安全措施確認(rèn)

在對(duì)系統(tǒng)漏洞進(jìn)行識(shí)別的基礎(chǔ)上，應(yīng)對(duì)信息系統(tǒng)已經(jīng)采取的安全措施的有效性進(jìn)行調(diào)研分析和掃描確認(rèn)。一般來說，安全措施的有效性將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，從而降低系統(tǒng)面臨的風(fēng)險(xiǎn)。

1.5 風(fēng)險(xiǎn)計(jì)算

綜合安全事件所作用的資產(chǎn)價(jià)值及漏洞的嚴(yán)重程度，判斷安全事件造成的損失對(duì)信息系統(tǒng)的影響，即安全風(fēng)險(xiǎn)[10?12]。對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)計(jì)算的原理如下：

[風(fēng)險(xiǎn)值=R（A，T，V）=RL（T，V），F(xiàn)（Ia，Va）] （1）

式中：[R]表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；[A]表示信息系統(tǒng)的資產(chǎn)價(jià)值；[T]表示信息系統(tǒng)面臨的威脅；[V]表示信息系統(tǒng)存在的漏洞；[Ia]表示受影響的資產(chǎn)價(jià)值；[Va]表示信息系統(tǒng)中漏洞嚴(yán)重程度；[L]表示威脅發(fā)生的可能性；[F]表示導(dǎo)致的損失。

2 動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型

評(píng)估動(dòng)態(tài)風(fēng)險(xiǎn)的關(guān)鍵因素是威脅對(duì)資產(chǎn)可能造成的影響和威脅發(fā)生的可能性。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型包含三個(gè)基本集合，具體如下：

漏洞集合：

威脅集合：

影響集合：

考慮到信息系統(tǒng)的很多威脅具有一定的擴(kuò)散性，在給出以上集合的基礎(chǔ)上，進(jìn)一步給出威脅擴(kuò)散程度的集合：

[S（t）={S1（t），S2（t），…，Sm（t）}]

式中：[Sj（t）]為[t]時(shí)刻威脅[Tj]的擴(kuò)散程度；[m]為信息系統(tǒng)可能存在的威脅的個(gè)數(shù)。

風(fēng)險(xiǎn)評(píng)估模型的計(jì)算公式為：

3 電力信息系統(tǒng)動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估方法

電力信息系統(tǒng)的動(dòng)態(tài)風(fēng)險(xiǎn)分析主要是通過歸納、分析、比較、綜合等方法進(jìn)行總結(jié)分析。需根據(jù)電力信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，提出一種動(dòng)態(tài)風(fēng)險(xiǎn)分析方法。

3.1 電力信息系統(tǒng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

首先要明確電力信息系統(tǒng)采用的拓?fù)浣Y(jié)構(gòu)，然后根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來計(jì)算整個(gè)電力信息系統(tǒng)面臨的綜合風(fēng)險(xiǎn)。

3.2 主要符號(hào)及變量

電力信息系統(tǒng)的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型解釋了動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的基本過程，同時(shí)呈現(xiàn)了風(fēng)險(xiǎn)評(píng)估所需的基本變量，變量如下：

[P={P1，P2，…，Pl}]：電力信息系統(tǒng)中的安全域，即整個(gè)電力信息系統(tǒng)包含的局域網(wǎng)集合；

[T（t）={T1（t），T2（t），…，Tm（t）}]：電力信息系統(tǒng)可能會(huì)遭受的威脅集合；

[S（t）={S1（t），S2（t），…，Sm（t）}]：威脅擴(kuò)散程度集合；

[V（t）={V1（t），V2（t），…，Vn（t）}]：電力信息系統(tǒng)可能存在的漏洞集合；

[αk（t）]：漏洞[Vk]的取值，該取值范圍為[{0，1}]，通過實(shí)時(shí)掃描得到；

[βj（t）]：威脅[Tj]的權(quán)重，取值范圍為[（0，1）]；

[nj]：威脅[Tj]利用漏洞的個(gè)數(shù)；

[Pt（t）={Pt1（t），Pt2（t），…，Ptn（t）}]：與漏洞集合對(duì)應(yīng)的電力信息系統(tǒng)應(yīng)該采取的安全保護(hù)措施集合；

[A（t）={A1（t），A2（t），…，Al（t）}]：電力信息系統(tǒng)中的安全域?qū)?yīng)的價(jià)值；

[F0（Tj）]：[Tj]的初始發(fā)生頻率的估計(jì)值；

[F（Tj（t））]：威脅[Tj]在[t]時(shí)刻的實(shí)際發(fā)生概率；

[Ii，j（t）]：一個(gè)二進(jìn)制函數(shù)；

[W（t）={W1（t），W2（t），…，Wm（t）}]：威脅對(duì)安全域造成的損失；

[R（t）={R1（t），R2（t），…，Rl（t）}]：電力信息系統(tǒng)中安全域在[t]時(shí)刻面臨的風(fēng)險(xiǎn)值；

[Risk]：整個(gè)系統(tǒng)面臨的總風(fēng)險(xiǎn)值；

[B（Sk）]：實(shí)施[Sk]后帶來的利益；

[C（Sk）]：實(shí)施安全保護(hù)措施[Sk]的成本；

Profit：整個(gè)電力信息系統(tǒng)的效益；

[ak]：脆弱性[vk]的級(jí)別，取值范圍為0～1之間；

[Ef（tj，Sk）]：安全保護(hù)措施[Sk]對(duì)威脅[tj]的初始發(fā)生頻率的降低比率；

[Ri]：系統(tǒng)中安全域[Pi]面臨的風(fēng)險(xiǎn)值。

3.3 電力信息系統(tǒng)中威脅發(fā)生的可能性

采用以下變量來辨認(rèn)威脅：

（1） 威脅的來源（Source）

如果威脅[tj]來自系統(tǒng)之外則Source（[tj]）=1；如果威脅[tj]來自系統(tǒng)的內(nèi)部則Source（[tj]）=0.8。

（2） 威脅要求的訪問（Access）

如果威脅[tj]的實(shí)施通過遠(yuǎn)程訪問則Access（[tj]）=1； 如果威脅[tj]的實(shí)施通過內(nèi)部訪問則Access（[tj]）=0.6。

（3） 威脅[tj]要求的技術(shù)水平（Skill）

無組織無技術(shù)的，Skill（[tj]）=1；無組織有技術(shù)的，Skill（[tj]）=0.9；有組織無技術(shù)的，Skill（[tj]）=0.8；有組織有技術(shù)的，Skill（[tj]）=0.25。因此，威脅[tj]發(fā)生的初始概率[F0（tj）]：

威脅[tj]的實(shí)際發(fā)生概率[Ftj]為：

3.4 安全事件發(fā)生后對(duì)系統(tǒng)造成的損失

威脅[Tj（t）]對(duì)安全域[Pi]造成的實(shí)時(shí)損失[W（Tj（t））]可以表示為：

式中威脅[Tj]的權(quán)重[βj]可以由漏洞的級(jí)別來表征，即：

式中：

[γi（t）=log22α1（t）+2α2（t）+…+2αni（t）ni]

3.5 安全域的風(fēng)險(xiǎn)值計(jì)算

用一個(gè)二進(jìn)制函數(shù)[Ii，j（t）]表示該安全域是否受到威脅[Tj]的攻擊，這樣該安全域的動(dòng)態(tài)風(fēng)險(xiǎn)為：

因此，整個(gè)電力信息系統(tǒng)的總風(fēng)險(xiǎn)值[Risk]：

已實(shí)施的安全保護(hù)措施的成本一般應(yīng)該是總資產(chǎn)價(jià)值的20%，即：

安全保護(hù)措施產(chǎn)生的利益可以認(rèn)為是未實(shí)施安全措施系統(tǒng)面臨的總風(fēng)險(xiǎn)與安全措施實(shí)施之后系統(tǒng)面臨的總風(fēng)險(xiǎn)之差，即：

因此，電力系統(tǒng)的效益Profit：

可以根據(jù)一些具體指標(biāo)對(duì)Profit是否在接受范圍之內(nèi)進(jìn)行確認(rèn)。

3.6 風(fēng)險(xiǎn)等級(jí)劃分

劃分風(fēng)險(xiǎn)等級(jí)比較常用的方法就是風(fēng)險(xiǎn)矩陣方法，即先對(duì)威脅產(chǎn)生的影響劃分具體的等級(jí)并將威脅產(chǎn)生的影響作為矩陣的列；對(duì)威脅發(fā)生的可能性大小劃分出可能性等級(jí)作為矩陣的行。但是，風(fēng)險(xiǎn)矩陣方法主要采用的是定性的方法，結(jié)果比較主觀，沒有足夠的說服力。

定量與定性相結(jié)合的風(fēng)險(xiǎn)評(píng)估方法不僅可以比較精確地得到整個(gè)電力信息系統(tǒng)面臨的風(fēng)險(xiǎn)值，而且可以確定風(fēng)險(xiǎn)的最大值[max=i=1lAi]和最小值[min=0]。因此，按照由大到小的順序，將區(qū)間（0， max）平均劃分為5個(gè)小區(qū)間，就可以粗略地得到電力信息系統(tǒng)的5個(gè)風(fēng)險(xiǎn)等級(jí)，分別定義5個(gè)風(fēng)險(xiǎn)等級(jí)為高、較高、中、較低、低。具體劃分依據(jù)如表1所示。

利用上述方法可得到一個(gè)確定的數(shù)值，也就是將風(fēng)險(xiǎn)等級(jí)進(jìn)一步量化，因此具有更強(qiáng)的說服力，且方法的可操作性也很強(qiáng)。但需要注意的是，這里的一些權(quán)值大都是經(jīng)驗(yàn)值或是由實(shí)驗(yàn)得到的數(shù)值，而且劃分的方法也很粗略。因此，在實(shí)際應(yīng)用時(shí)，各個(gè)定級(jí)取值范圍的邊界值應(yīng)該根據(jù)實(shí)際情況而定。

4 結(jié) 論

隨著技術(shù)的發(fā)展，電力信息系統(tǒng)涵蓋的范圍越來越廣，保障網(wǎng)絡(luò)和業(yè)務(wù)的安全面臨著更加嚴(yán)峻的形勢。由于電力系統(tǒng)是國家非常重要的基礎(chǔ)設(shè)施，與人們的工作、生活息息相關(guān)，而對(duì)電力信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的最終目的就是了解電力信息系統(tǒng)的總體安全現(xiàn)狀。通過風(fēng)險(xiǎn)評(píng)估可以及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，從而采取相應(yīng)的安全措施將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，以減少各種風(fēng)險(xiǎn)對(duì)系統(tǒng)造成的損失。

參考文獻(xiàn)

[1] HOWARD M， PINCUS J， WING J M. Measuring relative attack surfaces [M]// Anon. Computer securing in the 21st century. Berlin： Springer， 2005： 109?137.

[2] Joint Technical Committee. Australia and New Zealand Standard： risk management AS/NZS 4360 [S]. Sydney： Joint Technical Committee， 2004.

[3] British Standards Institution. Risk management guidelines： BS 7799?3： 2006 [S]. London： British Standards Institution， 2006.

[4] National Institute of Standards and Technology. Risk management guide for information technology systems： special publication 800?30 [R]. US： National Institute of Standards and Technology， 2001.

[5] 楊曉明，羅衡峰，王佳昊，等.評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估方法有效性的DEA模型[J].電子科技大學(xué)學(xué)報(bào)，2014，3（4）：581?584.

[6] 朱圣才，徐御，金銘彥，等.基于等級(jí)保護(hù)策略的云計(jì)算安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)安全，2013（5）：39?42.

[7] 王楨珍，姜欣，武小悅，等.信息安全風(fēng)險(xiǎn)概率計(jì)算的貝葉斯網(wǎng)絡(luò)模型[J].電子學(xué)報(bào)，2010，38（z1）：18?22.

[8] 鄭雷雷，宋麗華，郭銳，等.故障樹分析法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J].計(jì)算機(jī)科學(xué)，2011（z1）：106?108.

[9] 亓峰，李琪，韓騫，等.基于神經(jīng)網(wǎng)絡(luò)的電力通信網(wǎng)風(fēng)險(xiǎn)評(píng)估方法[J].北京郵電大學(xué)學(xué)報(bào)，2014，37（1）：90?93.

[10] 李偉明，雷杰，董靜，等.一種優(yōu)化的實(shí)時(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化方法[J].計(jì)算機(jī)學(xué)報(bào)，2009，32（4）：793?804.

[11] 喬佩利，張海霞，王艷麗.一種基于隱馬爾可夫模型的實(shí)時(shí)安全評(píng)估方法[J].哈爾濱理工大學(xué)學(xué)報(bào)，2008，13（6）：42?45.

[12] 張潤蓮，武小年，周勝源，等.一種基于實(shí)體行為風(fēng)險(xiǎn)評(píng)估的信任模型[J].計(jì)算機(jī)學(xué)報(bào)，2009，32（4）：688?698.