康勇

摘 要 電力信息網絡風險量化評估是指依據一定的電力信息安全管理標準，選擇和運用科學適宜的數學分析模式，分析電力信息網絡系統(tǒng)所面臨的各種風險，根據當前先進的電力信息網絡風險評估理論和量化計算模型，對電力信息網絡系統(tǒng)所面臨的重要風險進行量化評估，然后進行決策的過程。

【關鍵詞】電力 信息網絡安全 風險評估

改革開放以來，我國社會經濟得到了長足的發(fā)展，人民物質文化生活水平不斷提高，用電量亦直線增漲，電力行業(yè)獲得了前所未有的發(fā)展機遇。隨著電力行業(yè)的不斷發(fā)展壯大和信息網絡技術日新月異的發(fā)展，電力行業(yè)和電力企業(yè)也面臨著一系列的挑戰(zhàn)，電力信息網絡風險管理和防御顯得日益重要，信息網絡風險量化評估成為重中之重。由于我國電力信息化技術起步較晚，發(fā)展也比較滯后，電力信息網絡風險管理與風險防御是一個新的課題，電力信息網絡風險量化評估在最近幾年才被重視，所以存在不少的問題急待完善。

1 電力信息網絡風險量化評估的必要性

隨著信息技術的不斷發(fā)展，電力信息網絡存在的風險越來越大，電力企業(yè)不得不提高信息網絡風險防控意識，重視電力信息網絡的風險評估工作。進行電力系統(tǒng)信息網絡風險量化評估意義體現在許多方面，可以提高電力企業(yè)管理層和全體員工的信息網絡安全意識，促進電力企業(yè)不斷完善電力信息網絡技術的研發(fā)與提升，防范廣大電力用戶個人信息泄露，為電力企業(yè)今后的良好發(fā)展保駕護航。近年來，電力企業(yè)迎來了黃金發(fā)展時期，電力網絡覆蓋面不斷擴大，電力企業(yè)管理理念也不斷提升，電力系統(tǒng)也隨之步入了數字化時代，信息網絡安全防范成為當務之急。目前電力系統(tǒng)信息網絡安全防范一般為安裝防病毒軟件、部署防火墻、進行入侵檢測等基礎性的安全防御，缺乏完整有效的信息安全保障體系。風險量化評估技術能夠準確預測出電力信息網絡可能面臨的各種威脅，及時發(fā)現系統(tǒng)安全問題，進行風險分析和評估，盡最大可能地協(xié)助防御電力系統(tǒng)安全威脅。

2 電力系統(tǒng)信息網絡安全風險評估中存在的問題

我國電力信息網絡安全風險評估是近幾年才開始的，發(fā)展相對滯后，目前針對電力信息網絡安全風險評估的相關研究特別少。2008年電力行業(yè)信息標準化技術委員會才討論通過了《電力行業(yè)信息化標準體系》，因此電力信息網絡安全風險評估中存在不少的問題和難題有待解決。

2.1 電力信息網絡系統(tǒng)的得雜性

電力行業(yè)，電力企業(yè)，各電網單位因為工作性質不同，對電力信息網絡安全風險的認識各不相同，加上相關標準體系的不健全，信息識別缺乏參考，電力信息網絡安全風險識別存在較大的困難。此外電力信息網絡安全風險評估對象難以確定，也給評估工作帶來了很大的困難。

2.2 電力信息網絡安全風險量化評估方法缺乏科學性

我國部分電力企業(yè)的信息網絡安全風險評估方法比較落后簡單，其主要方式是組織專家、管理人員、用戶代表根據一些相關的信息數據開會研討，再在研討的基礎上進行人為打分，形成書面的文字說明和統(tǒng)計表格來評定電力信息網絡系統(tǒng)可能面臨的各種風險，這種評估方法十分模糊，缺乏科學的分析，給風險防范決策帶來了極大風險，實在不可取。

2.3 傳統(tǒng)的電力信息網絡安全風險評估方法過于主觀

目前用于電力信息網絡安全風險分析計算的傳統(tǒng)方法很多，如層次分析、模糊理論等方法?？墒且驗殡娏W絡安全信息的復雜性、不確定性和人為干擾等原因，傳統(tǒng)分析評估方法比較主觀，影響評估結果。在評估的實際工作中存在很多干擾因素，如何排除干擾因素亦是一大難點。電力信息網絡安全風險量化評估要面對海量的信息數據，如何采用科學方法進行數據篩選，簡約數據簡化評估流程是當前的又一重大課題。

3 電力信息網絡所面臨的風險分析

電力信息網絡系統(tǒng)面臨的風險五花八門，影響電力信息網絡系統(tǒng)的因素錯綜復雜，需要根據實際情況建立一個立體的安全防御體系。要搞好電力信息網絡系統(tǒng)安全防護工作首先要分析電力信息網絡系統(tǒng)面臨的風險類別，然后才能各個突破，有效防范。電力信息網絡系統(tǒng)面臨的安全風險主要有兩面大類別：安全技術風險和安全管理風險。

3.1 電力信息網絡安全技術風險

3.1.1 物理性安全風險

是指信息網絡外界環(huán)境因素和物理因素，導致設備及線路故障使電力信息網絡處于癱瘓狀態(tài)，電力信息系統(tǒng)不能正常動作。如地震海嘯、水患火災，雷劈電擊等自然災害；人為的破壞和人為信息泄露；電磁及靜電干擾等，都能夠使電力信息網絡系統(tǒng)不能正常工作。

3.1.2 網絡安全風險

是指電力信息系統(tǒng)內網與外網之間的防火墻不能有效隔離，網絡安全設置的結構出現問題，關鍵設備處理業(yè)務的硬件空間不夠用，通信線纜和信息處理硬件等級太低，電力信息網絡速度跟不上等等。

3.1.3 主機系統(tǒng)本身存在的安全風險

是指系統(tǒng)本身安全防御不夠完善，存在系統(tǒng)漏洞，電力企業(yè)內部人員和外部人員都可以利用一定的信息技術盜取用戶所有的權限，竊走或破壞電力信息網絡相關數據。電力信息網絡安全風險有兩種：一是因操作不當，安裝了一些不良插件，使電力信息網絡系統(tǒng)門戶大開，被他人輕而易舉地進行網絡入侵和攻擊；二是因為主機硬件出故障使數據丟失無法恢復，以及數據庫本身存在不可修復的漏洞導致數據的丟失。

3.2 電力信息網絡安全管理中存在的風險

電力信息網絡是一個龐大復雜的網絡，必須要重視安全管理。電力信息網絡安全管理風險來源于電力企業(yè)的內部，可見其風險威脅性之大。電力信息網絡安全管理中存在風險的原因主要是企業(yè)內部管理混亂，權責劃分不清晰，操作人員業(yè)務技能不過關，工作人員責任心缺乏，最主要還是管理層對電力信息網絡安全管理中存在的風險意識薄弱，風險管理不到位所致。

4 電力信息網絡風險評估的量化分析

4.1 電力信息網絡風險評估標準

目前我國一般運用的電力信息網絡風險評估標準是：GB/T 20984-2007《信息安全技術：信息安全風險評估規(guī)范》，該標準定義了信息安全風險評估的相關專業(yè)術語，規(guī)范了信息安全風險評估流程，對信息網絡系統(tǒng)各個使用壽命周期的風險評估實施細節(jié)做出了詳細的說明和規(guī)定。

4.2 電力信息網絡安全風險計算模型

學界認為電力信息網絡的安全風險與風險事件發(fā)生概率與風險事件發(fā)生后造成的可能損失存在較高的相關性。所以電力信息系統(tǒng)總體風險值的計算公式如下：

R（x）=f（p，c）

其中 R（x）為系統(tǒng)風險總值，p代表概率，c為風險事件產生的后果。

由此可知，利用科學的計算模式來量化風險事件發(fā)生的概率，和風險事件發(fā)生后可能產生的后果，即可演算出電力信息網絡安全的風險總值。

4.3 電力信息網絡安全風險量化評估的方法

4.3.1 模糊綜合評判法

模糊綜合評判法采用模糊數學進行電力信息網絡安全風險量化評估的一種方法，利用模糊數學的隸屬度理論，把對風險的定性評估轉化成定量評估，一般運用于復雜龐大的電力信息網絡安全防御系統(tǒng)的綜全性評估。利用模糊綜合評判法時，要確定好因數集、評判集、權重系數，解出綜合評估矩陣值。模糊綜合評判法是一種線性分析數學方法，多用于化解風險量化評估中的不確定因素。

4.3.2 層次分析法

電力信息網絡風險量化評估層次分析法起源于美國，是將定性與定量相結合的一種風險量化評估分析方法。層次分析法是把信息網絡風險分成不同的層次等級，從最底層開始進行分析、比較和計算各評估要素所占的權重，層層向上計算求解，直到計算出最終矩陣值，從而判斷出信息網絡風險終值。

4.3.3 變精度粗糙集法

電力信息網絡風險量化評估變精度粗糙集法是一種處理模糊和不精確性問題的數學方法，其核心理念是利用問題的描述集合，用可辨關系與不可辨關系確定該問題的近似域，在數據中尋找出問題的內在規(guī)律，從而獲得風險量化評估所需要的相關數據。在實際工作中，電力信息網絡風險量化評估分析會受到諸多因素的影響和干擾，變精度粗糙集法可以把這些干擾因素模糊化，具有強大的定性分析功能。

電力信息網絡風險量化評估是運用數學工具把評估對象進行量化處理的一種過程。在現實工作中，無論采用哪種信息網絡風險評估的量化分析方法，其目的都是為了更好地進行風險防控，為電力企業(yè)的發(fā)展保駕護航。

5 總結

電力信息網絡安全對保證人民財產安全和電力企業(yè)的日常營運都具有非常重要的意義，電力企業(yè)領導層必須要加以重視，加大科研投入，定向培養(yǎng)相關的專業(yè)人才，強化電力信息網絡安全風險評估工作，為電力企業(yè)的良好發(fā)展打下堅實的基礎。

參考文獻

[1]龐霞，謝清宇.淺議電力信息安全運行維護與管理[J].科技與企業(yè)，2012（07）：28.

[2]王申華，蔣健.電力信息安全運行維護及管理探討[J].信息與電腦（理論版），2014（11）：45.

[3] 黃兆光.淺談電力信息安全運行維護和管理[J].信息通信，2014（11）：166-167.