电力系统信息安全风险评估机制
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力系统信息安全风险评估机制电力系统信息安全关乎重大,对于传统的电力系统有非常深刻的影响,下面小编就为大家带来了电力系统信息安全风险评估机制,感兴趣的朋友可以看一看哦!
摘要:对传统的电力系统信息安全风险进行评估中,传统的评估方式的精确度有待于进一步提升,且效率低下。本文建立层次分析法,在风险的评估中结合模糊数学,设计新型的信息安全风险评估模型,并且对模型的内容进行详细的表述。这类模型建立完善的评估结构,并且对系统发生故障的概率进行分析,借助综合评分的方式,通过资产、威胁和脆弱性评估结合的方式,从而对整体风险进行把握。
引言
当前,电力行业在生产和操作环节中会产生大量的数据,电力系统是我国重要的基础性工程,在建设环节中常面临着各类威胁。电力系统信息安全建设标准还不够成熟。电力系统的信息安全风险的评估机制还没有完全的建立,在对风险的评估环节中,其精确度有待于进一步完善[1]。
1信息安全风险评估现状分析
信息安全风险评估是在相关信息技术应用基础上,完善对信息的处理、传输和储存,实现信息的加密处理。资产评估常常会受到安全威胁,要对安全事故涉及的内容进行分
析,对资产价值进行合理判断,分析安全事件对整个组织产生的影响。在对信息系统进行安全风险评估的环节中,要完善系统风险的评估。在进行风险分析中,主要是结合资产、产生的主要威胁和安全策略进行。风险分析中要结合风险的属性和资产的性质进行。威胁分析是对威胁的对象进行分析,资产的属性主要包括资产的价值。脆弱性的属性结合资产保护中产生的盲区,和资产破坏的严重程度[2-3]。在进行信息安全评估中,国际上也做出了相关的标准,美国计算机系统评价准则中将计算机安全0信息技术等级划分成四个,结合了完整性和保密性。我国信息安全风险评估出台比较晚,但是近年来我国对这项内容非常重视,现在已经出台了很多规范,相关的评价机制也越来越规范。
2相关概念
方法
AHP方法是对目标和准则进行分析,按照层次分析的方式进行决策,对数据进行定性和定量分析。AHP方法现在使用非常频繁,但在电力系统信息安全评估中,本方法存在不足。在传统的风险评估环节中,进行定性分析的评价方式比较单一,仅仅是结合专家的单方面经验进行评估,但各类专家的知识领域存在很大的不同,如果仅仅采用专家评价的方式,就会导致数据信息不全面,也会导致各类风险因子评价环节中的精确性下降。在对相关的评估机制进行分析中,发
现AHP方法结合模糊数学,可以有效提升风险评估的可靠性[4]。
模糊数学
采用模糊数学,可以针对现实中界限不是特别清楚的对象进行分析,采用模糊逻辑的方式,使事物的分析更加有层次感。在电力系统信息安全风险评估机制的研究中,在应用AHP方法的同时,还结合模糊数据方式,在进行系统分析中,首先建立了构造层次模型,针对风险评估的主要内容,从而建立满足实际应用需求的评价指标,将指标划分成三个不同的层次,其一是目标层,其二是指标层,其三是规范层,从而在评价中可以更加客观和精确。在相同的层次中,各个因子可以获得可观的权重,从而使各个因子之间的关系更加密切,形成上下层所属的关系,下层因子对上层因子起到很好的约束效果[5]。其次,可以建立三角模糊数学互补计算矩阵的方式,结合模糊逻辑理论,对计算矩阵进行建立。假设三角模糊计算矩阵,然后对各个因子的重要程度进行对比,根据专家提出的经验,计算出对比关系。再次,确定好单层因子模糊权重,在本环节中,对单层因子的信息进行分析,从而计算出目标权重。最后,结合公式,建立符合度比较矩阵,结合各个因子的权重和模糊数值,建立矩阵。
3AF-RA风险评估模型
风险评估和定量分析
在进行风险评估中,主要是结合资产、脆弱性和威胁三个方面进行,对电力系统的安全风险机制进行定量分析。(1)核心资产。在进行核心资产分析的环节中,评估项目组应该先对相关的资料进行调研,从而将整个系统的信息获取,对信息的整体情况进行把握。其二,对信息资料进行分析,通过列举和划分的方式,将资料中的核心资产信息进行分析。在整体资产信息分析中,应该完善核心资产的评估,确保资产的类别非常清晰,从而对资产信息进行详细的分析。在信息系统应用环节中,其主要的目的在于提升资产的价值,在资产价值提升中,要了解资产的归属特征,从而对资产信息充分的了解。在资产评估环节中,才层次分析的方式,结合行业专家的经验,对归属特征进行分析,对核心资产的评分进行分析。按照项目组的情况,采用三个层次和三角模糊数学的方式构建矩阵[6]。(2)安全威胁。在电力系统信息安全风险评估的环节中,应该找到关键的银子,在进行威胁的评估和定量分析的环节中,应该找到主要的威胁点,从而完善层次分析。按照威胁评估的层次结构进行分析,专家对相关的概率进行赋分,建立三个不同的矩阵。(3)系统脆弱性。在信息系统核心资产的固态特征分析中,脆弱性常与外界风险因子有密切联系,在进行强制性操作环节中,如果核心资产受到波动,就会导致资产出现不稳定,在电力系统信息安全风险评估环节中,这个因素被定为最关键的。应从管
理和技术两个方面对系统的脆弱性进行分析,脆弱性不仅仅包括物理层和传输层,也包括应用层和管理层等。在进行项目评估的环节中,应该结合电力系统的实际情况对信息进行调研,从而列举脆弱性清单[7]。在进行脆弱性层次评估环节中,其一,要对评估对象的弱点因子进行分析,找出脆弱点,并且分析脆弱点的严重程度。其二,要对评估对象面临的外界影响进行评估,评估威胁在脆弱点产生了哪些破坏。其三,针对电力系统实际的运行情况,对各个脆弱点进行分析。借助层分析的方式,对脆弱性进行深入分析,准确分析脆弱点发生的概率,专家对其进行估分。
风险计算
在对电力系统稳定性分析的基础上,要结合核心资产、安全威胁和脆弱性等特征,确保各个层次结构相互联系,各个结构密不可分。在对风险计算结构构架的环节中,要结合资产和脆弱性等分析,找出安全价值和风险参数,并且对参数进行计算,找到核心资产的风险因子,从而可以对整体风险进行评估。对不同的风险因子结合的基础上,结合专家赋分信息,借助公式对安全风险参数值进行分析,结合多值数据,找到风险集合[8-10]。
风险级别的确定
在对风险计算的环节中要结合各类核心资产的风险数据,对风险按照重要程度进行排序,按照风险评估结果的分