基于模糊综合评判的电力风险评估方法的研究
2010-02-08陈连栋吕春梅
陈连栋,吕春梅
(1.河北省电力研究院 信息运维中心,河北 石家庄 050000;2.华北电力大学 控制与计算机工程学院,河北 保定 071003)
基于模糊综合评判的电力风险评估方法的研究
陈连栋1,吕春梅2
(1.河北省电力研究院 信息运维中心,河北 石家庄 050000;2.华北电力大学 控制与计算机工程学院,河北 保定 071003)
风险评估技术能够检测信息系统面临的风险,是实现信息系统等级保护的重要基础和依据。文中以信息安全管理标准 ISO/IEC 27000系列为基础构建电力系统信息安全风险评估指标体系,建立电力系统风险评估模型,并且采用多层次模糊综合评判算法计算风险值。首先确定信息系统的保护级别,然后利用ISO/IEC 27005划分信息安全风险因素指标,构建多层次风险因素,设定不同权重和评判集,计算出风险值,并且给出了应用实例验证算法。
电力信息安全;风险评估;模糊综合评判;模糊理论
0 引 言
随着信息化的快速发展,计算机网络与信息技术在电力行业得到了广泛应用。对信息系统进行风险分析和评估,找出信息系统中存在的问题,进行控制和管理,己成为电力信息系统安全运行的重点。
风险评估技术能够确定信息资产的价值,检测信息系统潜在的威胁、安全漏洞和脆弱性,可以识别系统面临的安全风险并确定风险等级,是实现信息系统等级保护的重要基础和依据[1]。信息安全目标是消减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。电力系统的信息安全评估是对电力网络结构、物理环境、管理制度、硬件、网络接口、系统配置、防火墙的策略配置等进行全面的安全分析,并提出安全风险分析报告和改进建议书[2]。采用先进的评估技术,对电力信息系统安全至关重要。本文采用 ISO/IEC27000来建立信息安全风险评估体系[3],结合等级保护来提高信息安全管理水平。
1 标准原理
风险评估按照风险范畴中设定的相关准则进行评估计算,同时结合信息安全管理和等级保护要求来实施。现在越来越注重将安全等级策略和风险评估技术相结合的办法进行信息系统安全风险评估,国内 2007年下发 《信息安全等级保护管理办法》,规范了信息安全等级保护的管理。ISO/IEC 27000是英国标准协会发布的一个关于信息安全管理的标准[3],以 ISO/IEC 27000系列标准为认证目标的信息安全管理体系实施活动正在国际和国内盛行起来。
1.1 等级保护划分
信息安全等级保护是指对信息系统分等级实行安全保护,对信息系统中发生的信息安全事件等分等级响应、处置,对设备设施、运行环境、系统软件以及网络系统按等级管理。确定信息系统安全等级的基本方法是通过确定系统保密性、完整性和可用性三个方面的安全等级来综合确定系统的安全等级。
计算机等级保护总体原则 《计算机信息系统安全保护等级划分准则》(GB17859)将信息系统安全等级分为 5个级别[4],各级的保护能力逐渐增强,保护范围逐渐扩大。
第 1级:用户自主保护级,通过隔离用户和数据,对用户实施访问控制,以免其他用户对数据的非法读写和破坏,本级是基础级。
第 2级:系统审计保护级,使用机制来鉴别用户身份,阻止非授权用户访问用户身份鉴别数据。
第 3级:安全标记保护级,提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。
第 4级:结构化保护级,将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制,系统具有相当的抗渗透能力。
第 5级:访问验证保护级。访问监控器仲裁主体对客体的全部访问,具有极强的抗渗透能力。
电力系统信息安全风险评估是建立在等级保护的基础上,对不同规模的电力企业,区分属于保护级别和应达到标准,然后进行风险评估。
1.2 ISO 27000标准
ISO/IEC 27000信息安全管理体系 (IS MS)标准族在不断地制定发布,该系列标准族的主要标准是 ISO/IEC27001,其它成员的制订是按照它建立、实施和改进信息安全管理体系指南及支持[3]。
ISO27001是建立 IS MS的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。
ISO27002是信息安全管理实施细则,从 11个方面阐述了 133项控制措施,给负责安全的人员作为参考文档使用,作为组织的安全标准和有效的安全管理实施指南。
ISO/IEC 27003是为支持 IS MS过程的策划和实施提供实施指南。标准 ISO/IEC 27005为风险管理指南标准,信息安全风险管理过程是信息安全管理过程模式 (PDCA)的一个关键组成部分。
2 风险评估模型
2.1 电力系统风险关系模型
电力系统风险评估内容应覆盖电力系统的网络,应用系统、业务流程以及相关管理制度[5]。电力系统的信息安全风险划分分为:(1)信息系统缺陷和脆弱性带来的安全风险;(2)外部网络等带来的风险;(3)电力企业环境的安全风险。
根据风险的三个关键要素:资产、威胁与脆弱点,参照 ISO/IEC27001建立风险评估各要素之间的关系风险模型见图 1。
图1 风险评估各要素之间的关系Fig.1 Relationshipo f risk assessm ent factors
从图中可以看出三要素对信息安全的影响,要素之间的联系,风险评估是从这些方面,以信息安全评估标准 CIA三元组的目标,即保密性、完整性和可用性,进行评估。CIA是信息安全的基本要素和安全建设所应遵循的基本原则[6]。
2.2 电力系统风险计算模型
信息安全与各种因素有关,总体概括为 3个方面,风险计算如下所描述:
式中:R是安全评估风险的函数;A是资产;T是威胁;V是脆弱性[7]。
风险计算模型如图 2所示。划分评估要素,结合等级保护要求和相关规范,采用定量综合方法计算,计算出风险值,确定风险等级,也就是资产遭受威胁的攻击或破坏后可能造成的损失程度。
图2 风险计算模型Fig.2 Modelof risk calculation
2.3 电力系统风险评估模型
信息安全风险管理过程是一个循环的过程,评估结果达不到要求就需要循环进行风险评估和风险处置活动。参照 ISO/IEC 27005建立电力系统信息安全风险处理过程[2]。
如图 3所示,首先确定风险评估目标和范畴,然后进行风险因素识别和风险估计,在风险分析阶段结束后,进行风险评估。
图3 风险评估处理过程Fig.3 Process of risk assessment
如果评估结果符合要求,则进行相关的风险处理,否则继续进行下一轮风险评估。如果处理结果符合要求可以接受,即将风险降低到可接受级别,则进行风险沟通和风险监控与评审阶段,风险评估任务结束。如沟通信息不够充分,则进行重新进行目标范畴的修订和风险评估的循环,也可能是整个范围内或部分内容进行循环。
3 多层次模糊综合评判
3.1 风险要素的提取与量化
要素的提取与量化是等级保护风险评估中的重要依据与指导原则,它必须参照相关标准进行。首先确定系统安全属性,然后进行风险因素的层次划分,第一层是对风险因素的大框架进行划分,再进一步对每部分内容进行细分,确定每一层次风险要素的相对权重。
3.2 多层次模糊综合评判
模糊综合评价是以模糊数学为基础的一种定量评价模型。它运用模糊集合中隶属度的理论,对系统中多因素的制约关系进行数学抽象,建立一个反映其本质特征的数学评价模式[8-10]。模糊综合评判的基本步骤如下。
(1)建立因素集。因素集是以影响评价对象的各种因素所组成的一个集合,A={a1,a2,…,an},其中 ai(i=1,2,…,n)分别代表各风险要素。
(2)建立权重集。定义权重集为 B={b1,b2,…,bn},文中采用专家估测来确定各因素权重,因素集A,现有是k个专家各自独立给出每个因素的权重,设第 j个专家对 ai估测为 bij,则权重:
其中:j=1,2,…,k,实际应用中要求 bi满足非负性和归一化。
(3)建立评判集。评价集包含所有可能出现的对评价对象的评语。由专家对各个风险因素逐个给出风险程度评语,将其分为 m个等级,评判集为 V={v1,v2,…,vm}。
(4)单因素模糊评价。单因素模糊评价是从单一因素出发进行评价,以确定评价因素集中每一个因素指标在评语集 V中的隶属度,构造模糊映射 f:A→F(V),映射 f表示风险因素 ai对评判集中各评语的支持程度。令风险因素对评判集的隶属向量 Ri={ri1,ri2,…,rim},i=1,2,…,n。于是得到隶属度矩阵 R。
(5)一级模糊综合评判。一级模糊综合评判是按每个因素的各个等级进行评价,记评价结果向量为Di,则 Di=Bi*Ri=[di1,di2,…,din],采用加权平均方法,即:
(6)多层次模糊综合评判。多层次模糊综合评判是在一级模糊综合评判的基础之上,将结果向量 Di,经过归一化处理后合成矩阵 D,同时使用模糊映射 f确定下一层评价指标对上一层评价因素的权重 B,再根据公式E=B*R计算最终的评价向量 E,以得到最终的风险因素的评价值。
4 应用实例
4.1 风险分析
风险分析根据资产的重要性、脆弱点的范围以及与组织相关的事件,而进行的不同的具体深度分析。估算方法根据条件,可以是定性的、定量的或者是两者的组合。通常采用定性估算以获得一般性的风险级别指示和发现重大风险。
参照标准 ISO/IEC 27002中的 11个方面作为评估的输入提取的安全要素。分别是:A1.安全策略 A2.组织信息安全 A3.资产管理 A4.人力资源管理A5.物理和环境安全 A6.通信和操作管理 A7.访问控制 A8.信息系统获取、开发和维护 A9.信息安全事件管理 A10.业务连续性管理 A11.符合性。
4.2 风险评估因素提取
本文以三层模糊综合评判为例,将电力信息系统安全风险因素划分为三个层次,不再继续细化。第一层是信息系统属性,第二层为风险的三个关键要素,即资产、威胁与脆弱。
A={A1,A2,A3}={资产,脆弱点,威胁}
第三层是参照 ISO/IEC 27005风险管理指南标准要求[2]。首先需要识别资产重要性,其次是脆弱点,脆弱性存在本身不会形成损害,但它能够被某个威胁所利用。最后将威胁分为两部分,非人为威胁和人为威胁。
A1={a11,a12,a13,a14,a15,a16}={硬件,软件 ,网络,人员,场所,组织架构};
A2={a21,a22,a23,a24,a25,a26,a27,a28}={组织架构,过程和程序,管理惯例,人员,物理环境,系统配置,硬件,软件或通讯设备,对外部的依赖};
A3={a31,a32,a33,a34,a35,a36,a37,a38,a39,a310}={物理损坏,自然灾难,基础服务失效,辐射干扰,技术故障,未经授权的活动,功能受损,黑客,行业间谍,内部人员};
4.3 建立权重集和评判集
用专家意见法确定主因素集权重系数并设定二级权重系数。定义 A1,A2和 A3的权重集为 B={B1,B2,B3}={0.3,0.3,0.4}
4.4 综合计算
分别代表优秀、好、一般、差、很差。计算风险值 V*=E*V=2.996 05,说明此电力信息系统总体安全水平处于一般状态,需要加强安全防范措施。
5 结束语
本文以信息 ISO/IEC27000系列安全管理标准构建电力信息系统风险评估体系,给出了风险因素关系,建立风险评估计算模型和评估过程模型,采用层次模糊综合评判计算出风险值,通过实例验证,该风险评估技术确实可以评估电力信息系统安全等级。风险评估的结果有助于指导和决定适当的管理行为、确定风险的优先级,以及实现所选的用以防范风险的控制措施,因此对信息系统定时进行的风险评估具有重要意义。
[1]余勇,林为民.电力系统的信息安全评估框架 [J].计算机安全,2004,(6):10-12.
[2]王志强,李建刚,颜立.基于 ISO/IEC 27001标准的信息安全管理体系建设 [J].浙江电力,2008,27(4):47-48.
Wang Zhiqiang,Li Jiangang,Yan Li.Construction information security management system based on ISO/IEC 27001 standard[J].Zhejiang Electric Power,2008,27(4):47-48.
[3]ISO27000.信息安全管理标准 [S].2005.
[4]GB17859.计算机信息系统安全保护等级划分准则[S].1999.
[5]刘童娜,高会生,张谦.防火墙技术与电力企业网络安全 [J].电力科学与工程,2002,(4):46-48.
Liu Tongna,Gao Huisheng,Zhang Qian.Firewall and network security in electric power systems[J].Electric power Secience and Engineering,2002,(4):46-48.
[6]高会生,郭爱玲,于晓东.基于区间层次分析法的网络安全风险评估 [J].电力科学与工程,2009,25(3):64-67.
Gao Huisheng,Guo Ailing,Yu Xiaodong.Network security risk assessment based on interval analytical hierarchy process[J].Electric power Secience and Engineering,2009,25(3):64-67.
[7]梁丁相,陈曦.基于模糊综合评判理论的电力信息系统安全风险评估模型及应用 [J].电力系统保护与控制,2009,37(5):61-64.
Liang Dingxiang,Chen Xi.Safety assessment model of electric power information system based on fuzzing synthetical theory and its applitation[J].Power System Protection and Control,2009,37(5):61-64.
[8]王霞,律方成.一种基于模糊综合评判的变压器故障诊断方法 [J].电力科学与工程,2009,25(1):27-29.
Wang Xia,Lu Fangcheng.Transformer Fault Diagnosis Method Based on Fuzz Integrated Judging[J].Electric power Secience and Engineering,2009,25(1):27-29.
[9]冯小安,解鸿斌,刘艳平.基于模糊综合评判法的电力网络信息系统安全评估 [J].电网技术,2008,32(23):40-43.
Feng Xiaoan,Xie Hongbin,Liu Yanping.Security E-valuation of Power Network In formation Systems Based on Fuzzy Comprehensive Judgement[J].Power System Technology,2008,32(23):40-43.
[10]陈其,陈铁,姚林,等.电力系统信息安全风险评估策略研究 [J].计算机安全,2007,(6):40-42.
Chen Qi,Chen Tie,Yao Lin,et al.Security risk assessment strategy of power system information[J].Network and Computer Security,2007,(6):40-42.
Study on Risk Assessment Technology of Power System Based on Fuzzy Comprehensive Evaluation
Chen Liandong1,Lu Chunmei2
(1.Information Operation Center,Hebei Electric Power Research Institute,Shi Jiazhuang 05000,China;2.School Control and Computer Engineering,North China Electric Power University,Baoding 071003,China)
Risk assessment technology can detectpotential security risks of information systems,which is important to achieve the requirement of information system classified protection.Based on the information security management standards ISO/IEC 27000,it set upa risk assessment index system on power system information security.Combined with classified security protection,propose a model of risk assessment,and use multi-level fuzzy algorithm to calculate the risk.First,confirm the classified protection level,then use the ISO/IEC 27005 to divide risk index,buildmulti-level risk factors,set different weight and judge sets,calcu late the risk value,at last,give an application example.
power information security;risk assessment;fuzzy comprehensive evaluation;fuzzy theory
T M73
A
2010-06-23。
陈连栋 (1987-),男,助理工程师,主要从事信息安全、信息综合管理方面的工作,E-mail:51250035@163.com。