范海東

（1.浙江浙能技術(shù)研究院有限公司，浙江 杭州 311121；2.浙江大學(xué)能源工程學(xué)院，浙江 杭州 310027；3.浙江省浙能工業(yè)信息工程省級(jí)重點(diǎn)企業(yè)研究院，浙江 杭州 311121）

0 引 言

信息技術(shù)已經(jīng)成為各個(gè)行業(yè)發(fā)展中的必要技術(shù)條件?；ヂ?lián)網(wǎng)技術(shù)的進(jìn)步為企業(yè)發(fā)展帶來了便利的云存儲(chǔ)平臺(tái)、物聯(lián)網(wǎng)技術(shù)和人工智能控制等技術(shù)，而發(fā)電企業(yè)在此過程中實(shí)現(xiàn)了巨大進(jìn)步。在信息技術(shù)應(yīng)用的同時(shí)，不可避免出現(xiàn)了各類信息安全問題，直接影響發(fā)電企業(yè)的正常工作。嚴(yán)重的安全風(fēng)險(xiǎn)會(huì)直接影響電力系統(tǒng)的正常應(yīng)用，因此研究發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)具有現(xiàn)實(shí)意義。根據(jù)存在的風(fēng)險(xiǎn)建立風(fēng)險(xiǎn)評(píng)估模型，提出相關(guān)控制措施，對(duì)發(fā)電企業(yè)乃至是電力行業(yè)的安全意義重大。

1 信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型建立

1.1 評(píng)價(jià)指標(biāo)體系建立

發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系是構(gòu)建模型的關(guān)鍵內(nèi)容。體系構(gòu)建的科學(xué)合理可以保證模型的準(zhǔn)確，從而準(zhǔn)確評(píng)價(jià)發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)水平，保證發(fā)電企業(yè)信息安全的完整性和適用性，促進(jìn)發(fā)電企業(yè)信息安全工作的順利進(jìn)行。

在發(fā)電企業(yè)信息安全評(píng)價(jià)指標(biāo)體系構(gòu)建中，主要以發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)分類內(nèi)容為依據(jù)。發(fā)電企業(yè)的信息安全風(fēng)險(xiǎn)可以分為管理風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、人員風(fēng)險(xiǎn)和物理風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分類結(jié)構(gòu)如圖1所示。

圖1 發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)類型結(jié)構(gòu)

在指標(biāo)體系建立中，需要對(duì)發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)的各個(gè)類型進(jìn)行綜合分析，了解其中不同項(xiàng)目風(fēng)險(xiǎn)因素的影響情況和相關(guān)關(guān)系。根據(jù)發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)因素類型及其組成部分，對(duì)其進(jìn)行詳細(xì)分析。在指標(biāo)構(gòu)建中選定風(fēng)險(xiǎn)類型為關(guān)鍵指標(biāo)項(xiàng)目，并從企業(yè)員工、系統(tǒng)安全、物理方面以及管理方面進(jìn)行綜合分析[1]。

發(fā)電企業(yè)員工是影響企業(yè)信息安全的重要因素之一，特別是發(fā)電企業(yè)的人員構(gòu)成及相關(guān)工作內(nèi)容。員工的影響因素確定為員工安全意識(shí)、工作操作規(guī)范、安全培訓(xùn)情況以及信息化技術(shù)水平，因?yàn)橐陨弦蛩貙?duì)發(fā)電企業(yè)的信息安全風(fēng)險(xiǎn)影響較為顯著。員工方面中還會(huì)涉及到外部影響因素，其中主要包含外部委托維修和廠家因素，需要特別注意。

管理工作也是影響信息安全的重要內(nèi)容。在分析管理風(fēng)險(xiǎn)的組成情況時(shí)，將發(fā)電企業(yè)信息安全的管理因素重點(diǎn)確定為管理制度、操作流程管理、企業(yè)職責(zé)劃分以及發(fā)電企業(yè)組織結(jié)構(gòu)情況[2]。

系統(tǒng)安全因素會(huì)直接影響發(fā)電企業(yè)信息安全。分析系統(tǒng)風(fēng)險(xiǎn)組成情況，將其確定為系統(tǒng)防火墻技術(shù)、系統(tǒng)訪問控制技術(shù)、病毒預(yù)防技術(shù)、系統(tǒng)身份是被、漏洞防護(hù)、系統(tǒng)加密、系統(tǒng)網(wǎng)絡(luò)隔離以及風(fēng)險(xiǎn)備份幾個(gè)關(guān)鍵因素。為了更加有效地判斷系統(tǒng)安全項(xiàng)目中的風(fēng)險(xiǎn)，本研究將其分為系統(tǒng)安全和運(yùn)行安全。其中，系統(tǒng)安全主要包含局域網(wǎng)通信技術(shù)、身份識(shí)別、系統(tǒng)加密、產(chǎn)品部署以及系統(tǒng)日志檢查工作等；運(yùn)行安全主要為發(fā)電企業(yè)中的設(shè)備運(yùn)行情況、數(shù)據(jù)庫建設(shè)情況以及風(fēng)險(xiǎn)預(yù)案設(shè)置情況等相關(guān)運(yùn)行信息[3]。

發(fā)電企業(yè)信息安全相關(guān)物理風(fēng)險(xiǎn)主要產(chǎn)生于企業(yè)信息化設(shè)備安全和機(jī)房安全。物理安全不僅與發(fā)電企業(yè)內(nèi)部因素有關(guān)，還與企業(yè)的外部因素有著較為密切的聯(lián)系。其中，電力行業(yè)整體的信息安全情況以及第三方維修人員的技術(shù)水平和第三方設(shè)備性能都會(huì)產(chǎn)生直接的影響。

上文對(duì)發(fā)電企業(yè)信息安全中可能產(chǎn)生風(fēng)險(xiǎn)隱患的主要因素進(jìn)行綜合分析，其中主要包含物理安全、系統(tǒng)安全、運(yùn)行安全、管理安全、人員安全以及外部安全。本次研究根據(jù)上述內(nèi)容建立指標(biāo)。發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系如表1所示。

表1 信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系

1.2 風(fēng)險(xiǎn)評(píng)估模型建立

上文已經(jīng)對(duì)發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)的影響因素進(jìn)行了集中分析，確定了風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)，依據(jù)指標(biāo)體系可以建立發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型。企業(yè)通過風(fēng)險(xiǎn)模型可以明確企業(yè)發(fā)展中存在的風(fēng)險(xiǎn)等級(jí)情況[4]。本文研究確定的發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估模型，如圖2所示。

1.3 基于AHP法的指標(biāo)權(quán)重確定

在指標(biāo)權(quán)重確定中需要根據(jù)層次分析法的相關(guān)步驟開展工作。本次研究邀請(qǐng)專業(yè)學(xué)者和發(fā)電公司工作管理人員共計(jì)20名。參與權(quán)重確定的學(xué)者和工作人員對(duì)本次確定的風(fēng)險(xiǎn)指標(biāo)進(jìn)行打分，以此確定不同指標(biāo)的群眾情況。在指標(biāo)打分過程中會(huì)對(duì)指標(biāo)體系中的一二級(jí)指標(biāo)分別打分，完成后通過計(jì)算確定指標(biāo)體系中一級(jí)指標(biāo)和二級(jí)指標(biāo)的權(quán)重情況[5]。根據(jù)計(jì)算結(jié)果進(jìn)行最終排序，由此確定不同指標(biāo)的綜合權(quán)重值。在工作人員和學(xué)者打分后，對(duì)所有得分取平均值，最終得到了一級(jí)指標(biāo)評(píng)價(jià)矩陣，如圖3所示。

圖2 發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估模型

圖3 一級(jí)指標(biāo)評(píng)價(jià)矩陣

通過圖3矩陣數(shù)據(jù)可以確定其中的最大特征值為λmax=6.018。指標(biāo)體系中的一級(jí)指標(biāo)權(quán)重分別為0.27、0.27、0.15、0.08、0.08、0.15。根據(jù)分層分析法計(jì)算確定CI為：

因?yàn)镃R＜0.1，說明一級(jí)指標(biāo)評(píng)價(jià)矩陣有效，權(quán)重有效且比較合理，可以進(jìn)行應(yīng)用[6]。

以下分別對(duì)一級(jí)指標(biāo)中的二級(jí)指標(biāo)進(jìn)行打分計(jì)算。6項(xiàng)二級(jí)指標(biāo)的評(píng)價(jià)矩陣如圖4所示。

圖4 二級(jí)指標(biāo)評(píng)價(jià)矩陣a

通過圖4矩陣數(shù)據(jù)可以確定其中的最大特征值為λmax=4.004 1，其中二級(jí)指標(biāo)權(quán)重Wa分別為0.28、0.52、0.10、0.10。根據(jù)層次分析法計(jì)算確定CI為0.001 38，其中的CR為0.001 2，小于0.1，確定矩陣合理有效，可以使用[7]。

通過圖5矩陣數(shù)據(jù)可以確定其中的最大特征值為λmax=4.103 8，其中二級(jí)指標(biāo)權(quán)重Wb分別為0.27、0.10、0.13、0.50。根據(jù)層次分析法計(jì)算確定CI為0.034 6，其中的CR為0.030 89，小于0.1，確定矩陣合理有效，可以使用。

通過圖6矩陣數(shù)據(jù)可以確定其中的最大特征值為λmax=2，其中二級(jí)指標(biāo)權(quán)重Wc分別為0.75、0.25。根據(jù)層次分析法計(jì)算確定CI為0，其中的CR為0，小于0.1，確定矩陣合理有效，可以使用。

圖5 二級(jí)指標(biāo)評(píng)價(jià)矩陣b

圖6 二級(jí)指標(biāo)評(píng)價(jià)矩陣c

通過圖7矩陣數(shù)據(jù)可以確定其中的最大特征值為λmax=4.421 9，其中二級(jí)指標(biāo)權(quán)重Wd分別為0.33、0.18、0.12、0.37。根據(jù)層次分析法計(jì)算確定CI為0.140 4，其中的CR為0.012 55，小于0.1，確定矩陣合理有效，可以使用。

圖7 二級(jí)指標(biāo)評(píng)價(jià)矩陣d

通過圖8矩陣數(shù)據(jù)可以確定其中的最大特征值為λmax=4.043 3，其中二級(jí)指標(biāo)權(quán)重We分別為0.15、0.39、0.39、0.07。根據(jù)層次分析法計(jì)算確定CI為0.014 6，其中的CR為0.012 96＜0.1，確定矩陣合理有效，可以使用。

圖8 二級(jí)指標(biāo)評(píng)價(jià)矩陣e

通過圖9矩陣數(shù)據(jù)可以確定其中的最大特征值為λmax=2，其中二級(jí)指標(biāo)權(quán)重Wf分別為0.75、0.25。根據(jù)層次分析法計(jì)算確定CI為0，其中的CR為0，小于0.1，確定矩陣合理有效，可以使用[8]。

圖9 二級(jí)指標(biāo)評(píng)價(jià)矩陣f

本次構(gòu)建的信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型的最終權(quán)重情況如表2所示。

表2 權(quán)重向量合成情況及威脅性

在完成權(quán)重打分工作后，確定發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)指標(biāo)中不同指標(biāo)的權(quán)重情況。權(quán)重確定后，需要構(gòu)建發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型，根據(jù)權(quán)重標(biāo)準(zhǔn)對(duì)表2中指標(biāo)進(jìn)行打分，以此確定發(fā)電企業(yè)的信息安全情況，最終確定企業(yè)信息安全風(fēng)險(xiǎn)的綜合評(píng)價(jià)結(jié)果[9]。由此確定的發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)調(diào)查表如表3所示。

本次研究主要通過評(píng)分方法對(duì)發(fā)電企業(yè)的風(fēng)險(xiǎn)情況進(jìn)行判定。打分中根據(jù)二級(jí)指標(biāo)內(nèi)容確定分?jǐn)?shù)，分?jǐn)?shù)大小為1～5分[10]。本文將指標(biāo)打分的集合確定為S，最終結(jié)果為矩陣相乘，而最終評(píng)價(jià)結(jié)果Y=S*W，從而確定發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估中指標(biāo)安全水平結(jié)果為：

根據(jù)確定的Y值情況可以確定發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)等級(jí)，詳細(xì)等級(jí)劃分如表4所示。

表3 信息安全風(fēng)險(xiǎn)調(diào)查表

表4 發(fā)電企業(yè)風(fēng)險(xiǎn)等級(jí)

2 發(fā)電企業(yè)信息安全控制策略

2.1 企業(yè)人員方面控制策略

針對(duì)發(fā)電企業(yè)信息安全風(fēng)險(xiǎn)中的員工因素，企業(yè)需要與員工簽署協(xié)議合同，保證企業(yè)員工離職后企業(yè)的保密信息不外泄。根據(jù)不同工作任務(wù)的需要對(duì)企業(yè)員工進(jìn)行全面考核，保證企業(yè)員工具備專業(yè)技術(shù)水平，可以順利完成發(fā)電企業(yè)中的工作任務(wù)[11]。根據(jù)崗位情況，發(fā)電企業(yè)需要制定專門的培訓(xùn)計(jì)劃，重點(diǎn)對(duì)安全知識(shí)、設(shè)備操作等內(nèi)容進(jìn)行培訓(xùn)。對(duì)新員工進(jìn)行崗前培訓(xùn)，保證全體員工具備較高的安全工作意識(shí)和一定的崗位知識(shí)。發(fā)電企業(yè)作為我國(guó)的重點(diǎn)行業(yè)，因此在日常工作中要特別注意到員工的操作規(guī)范問題，做好崗位操作規(guī)范管理工作，保證不同崗位的員工在工作中能夠遵循相關(guān)工作制度，做好企業(yè)值班安排工作，對(duì)發(fā)電系統(tǒng)和設(shè)備進(jìn)行全面監(jiān)控，保證發(fā)電系統(tǒng)的正常運(yùn)行。

2.2 企業(yè)管理方面控制策略

發(fā)電企業(yè)在管理工作中做好制度完善工作，制定企業(yè)信息安全工作的工作方針對(duì)相關(guān)工作內(nèi)容和目標(biāo)方向、管理范圍進(jìn)行明確標(biāo)注說明。明確不同崗位工作人員的崗位職責(zé)，保證企業(yè)內(nèi)部分工明確，做好崗位分離和崗位監(jiān)督工作。對(duì)于企業(yè)內(nèi)部的關(guān)鍵性崗位工作應(yīng)由多位工作人員共同任職。企業(yè)在日常運(yùn)作中需要根據(jù)管理工作需求建立企業(yè)業(yè)務(wù)流程數(shù)據(jù)信息路，為工作人員提供工作專業(yè)指導(dǎo)。此外，需要成立專門的信息化小組，對(duì)不同工作崗位的工作情況進(jìn)行調(diào)查監(jiān)督，保證管理工作在發(fā)電企業(yè)內(nèi)部產(chǎn)生實(shí)際效果[12]。

2.3 企業(yè)外部方面控制策略

發(fā)電企業(yè)在日常生產(chǎn)工作中必然會(huì)與外部環(huán)境進(jìn)行溝通產(chǎn)生聯(lián)系，此情況下發(fā)電企業(yè)需要及時(shí)關(guān)注外部環(huán)境的影響問題。在采購專業(yè)設(shè)備時(shí)通過招標(biāo)方式選取最優(yōu)供應(yīng)商，提高企業(yè)設(shè)備系統(tǒng)的安全技術(shù)水平。此外，企業(yè)需要為系統(tǒng)設(shè)備建立專門的維護(hù)管理制度，以保證設(shè)備系統(tǒng)的正常使用，最大程度地減少外部維護(hù)工作次數(shù)。

2.4 企業(yè)系統(tǒng)方面控制策略

發(fā)電企業(yè)的關(guān)鍵組成部分的實(shí)際情況將會(huì)對(duì)企業(yè)運(yùn)營(yíng)產(chǎn)生直接影響。因此，為了保障信息安全，發(fā)電企業(yè)需要做好網(wǎng)絡(luò)隔離工作，為系統(tǒng)提供專業(yè)的隔離，綜合使用正反結(jié)合的隔離裝置提高隔離效果。使用系統(tǒng)時(shí)需要及時(shí)跟新應(yīng)用軟件，以保證應(yīng)用軟件可以滿足發(fā)電企業(yè)的工作需求。此外，需要定期定時(shí)檢查系統(tǒng)的防護(hù)情況，通過審查防護(hù)日志了解系統(tǒng)的安全情況，還需要在系統(tǒng)內(nèi)部部署大量的安全防護(hù)系統(tǒng)[13]。

2.5 企業(yè)運(yùn)行方面控制策略

發(fā)電企業(yè)信息系統(tǒng)在運(yùn)行中可以會(huì)因?yàn)楦黝愑绊懸蛩爻霈F(xiàn)安全風(fēng)險(xiǎn)問題，因此企業(yè)需要提前做好應(yīng)急預(yù)案，根據(jù)發(fā)電企業(yè)信息系統(tǒng)的實(shí)際情況和可能出現(xiàn)的各類問題提前做好準(zhǔn)備工作。企業(yè)的管理工作部門需要及時(shí)監(jiān)管控制系統(tǒng)中的各類設(shè)備，保證各類設(shè)備的安全穩(wěn)定運(yùn)行。系統(tǒng)用戶登錄中的身份識(shí)別工作是保證信息安全必不可少的關(guān)鍵工作，在用戶登錄時(shí)需要準(zhǔn)確識(shí)別用戶身份，確保每位工作登錄人員具有唯一的識(shí)別標(biāo)識(shí)[14]。此外，系統(tǒng)運(yùn)行中要定期對(duì)系統(tǒng)進(jìn)行防護(hù)，開展系統(tǒng)漏洞掃描工作，及時(shí)發(fā)現(xiàn)系統(tǒng)存在的漏洞并及時(shí)進(jìn)行修復(fù)，防止因?yàn)槁┒磫栴}影響信息安全。

2.6 企業(yè)物理方面控制策略

電力企業(yè)信息安全的物理控制方面應(yīng)主要做好配套設(shè)施的完善工作和相關(guān)硬件設(shè)施的完善工作。企業(yè)需組織專人定期清掃系統(tǒng)設(shè)備機(jī)房，保證環(huán)境整潔，同時(shí)應(yīng)定期檢查專門的保障設(shè)備，如滅火器、空調(diào)設(shè)備等，有效保護(hù)企業(yè)中的關(guān)鍵硬件設(shè)備，為設(shè)備增加保護(hù)裝置，同時(shí)及時(shí)更換到期設(shè)備[15]。

3 結(jié) 語

發(fā)電企業(yè)信息安全直接影響企業(yè)的日常經(jīng)營(yíng)與發(fā)展，因此企業(yè)需要針對(duì)信息安全風(fēng)險(xiǎn)建立專門的風(fēng)險(xiǎn)評(píng)價(jià)模型。本文從6個(gè)主要因素方面建立了企業(yè)信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型，結(jié)合AHP對(duì)模型中的各項(xiàng)指標(biāo)權(quán)重進(jìn)行評(píng)價(jià)，最終提出了發(fā)電企業(yè)信息安全指標(biāo)評(píng)價(jià)表。實(shí)際中，發(fā)電企業(yè)在風(fēng)險(xiǎn)評(píng)價(jià)中需要根據(jù)自身的實(shí)際發(fā)展情況及時(shí)進(jìn)行調(diào)整。此外，企業(yè)需要針對(duì)風(fēng)險(xiǎn)問題制定專門的控制措施，以保證發(fā)電企業(yè)信息的安全穩(wěn)定。