包同岗，赵捷琴，祁之强

（1.国网山西省电力公司晋中供电公司，山西晋中030600；2.华北电力大学，北京102206）

基于突变理论电网企业信息安全风险管理模型研究

包同岗1，赵捷琴1，祁之强2

（1.国网山西省电力公司晋中供电公司，山西晋中030600；2.华北电力大学，北京102206）

当代信息技术的快速发展使得电网企业面临着更为错综复杂的信息安全威胁，信息安全风险管理的作用也显得更加重要。因此，结合电网企业的特性，针对其信息安全风险管理进行了深入的研究与分析。首先，结合电网企业内外部信息环境的特点，对信息安全的风险进行了科学合理的归类识别；其次，首次结合突变理论构建信息安全风险评估模型，并结合其风险评估的结果设定阈值制定了风险应对的措施；此外，为增加电网企业信息安全的稳定性和可靠性，提出了多维度和多层次的风险防范措施；最后，通过将其方法应用到电网企业信息安全风险管理的实例验证了该方法的有效性和合理性。

电网企业信息安全；风险管理；突变理论；风险应对措施；风险防范措施

0 引言

随着当前信息技术以及全球互联网络日新月异的更新变化，电网企业的信息化水平发展也不断取得巨大的进步，但同时也使得电网企业面临着更多、更复杂的信息安全风险威胁。而电网企业所涉及的信息资料和数据都是关乎国计民生的重要内容，当信息安全风险一旦发生，将会对企业的生产运营、企业管理以及未来发展产生巨大的影响[1-3]。因此，构建一套有效的电网企业信息安全风险管理模型对电网企业防范潜在风险、应对风险发生，减少不必要的经济损失有着极为重要的作用。

1 突变理论

突变理论是由法国数学家托姆（Rene Thom)于1972年研究突变现象时产生的一个现代新兴数学分支。该理论是关于系统状态变量特征对控制变量依从关系的数学理论。它结合了奇点理论、拓扑等价、结构稳定性、势函数与剖分引理等数学理论对自然界和社会现象中存在的多种形态、结构的非连续突变进行了研究，因此，该理论曾被普遍视为混沌理论的一部分[4]。

在突变理论中，突变系统的热函数为f（x），它的所有临界点集合成一平衡曲面，通过对f（x）求一阶倒数，即可得平衡曲面方程。在此基础上，通过二阶倒函数便可以得到该平衡曲面的奇点集，即得到用来反映状态变量与各控制变量间关系的以分解形式呈现的分歧方程。其中奇点的突变类型可以分为：折叠、尖点、燕尾、蝴蝶、椭圆脐，双曲脐这7种。其中应用较多的为前4种类型，具体突变模型及特征如表1所示[5]。

表1 突变模型及其特性

在表1中，势函数V（x）表示突变系统中状态变量和控制变量之间的关系，其中a，b，c，d为系统的控制变量，x表示系统的状态变量，可以反映状态变量与控制变量见分解形式的分歧集方程；归一化方程是将系统内部指标不同的质态归化为同一种质态，利用其对系统进行递归运算，求出各控制变量的突变值，最终获得表征系统状态特征的总突变隶属函数值[6]。

2 电网企业信息安全风险管理

结合电网企业信息安全的特点，依据完整的风险管理流程，本文构建的电网企业信息安全风险管理体系主要包括风险识别、风险评估和风险应对与防范措施这三部分主要内容，为更加清晰地看出电网企业信息安全风险管理模型主要方法和步骤，本文在图1中对风险管理模型的结构进行了说明。

2.1 电网企业信息安全风险识别

由于当前电网企业内外部信息环境的复杂性，使得电网企业所面临的信息安全风险是多层次、多方面的，具体面临的信息安全风险威胁主要包括以下几个方面，内容如表2所示[7]。

表2 电网企业信息安全风险因素类型

表1是通过外部威胁和内部隐患这两个类别对信息安全中存在的风险进行了识别，文献[8]通过信息自身、信息载体和信息环境这三个类别对信息安全的风险进行了识别。不同的识别方法具有各自识别的原理，管理专家应结合企业实际情形，划分类别进行识别。

2.2 电网信息安全风险评估

信息安全的风险评估模型是电网企业进行风险管理的核心环节，是进行风险应对和建立信息安全风险防范机制以及措施发挥作用的前提保证。构建一套综合、全面的风险评估模型能够有效的避免风险发生或将影响降低到最小。因此，针对信息安全的风险评估，本文采用专家打分制的形式利用突变理论对风险以群评估形式建立模型进行分析和说明。

为体现出企业信息安全风险管理流程中风险评估的作用，本文结合各个环节的关系，对其流程进行梳理，在图2中进行了说明。

图1 电网企业信息安全风险管理模型结构图

图2 电网企业信息安全风险管理流程思路图

2.3 风险应对及防范措施

电网企业面临的信息安全风险是多方面的，是动态的随时变化的，在建立一套全面的风险评估模型后，还需要结合建立的风险评估模型构建相应的电网企业防范机制与应对措施，从而进一步提高电网企业信息安全风险控制的有效性。因此，本文针对风险应对和风险防范分别从不同的方面和层级进行介绍。

2.3.1 风险应对

依据上述步骤得出在企业信息安全风险评估的基础上，则需企业管理者根据对其的承受能力制定规避、接受、降低和分担等相应的风险应对计划。其中在制定风险应对策略时应主要考虑可规避性、可转移性、可缓解性、可接受性这四个影响因素。因此，本文通过设定风险评估的阈值制定出了相应的四种风险应对措施。

当电网信息安全的整体风险水平小于0.2时，整体风险水平较低，由于很难做到零风险的水平，因此企业可以不采取任何行动，接受风险的风险应对措施；当风险水平大于0.2且小于0.45时，企业整体风险水平中等，则管理者可采取降低风险的应对措施，通过政策或内部调整，将风险的整体水平降到可接受的程度；当风险水平大于0.45且小于0.6时，企业整体风险水平偏高，则企业应采取借鉴外界资源来分担风险的应对措施；当风险水平大于0.6时，企业整体很高，则企业管理者应采取重新调整战略或是政策来规避风险的应对措施。

2.3.2 风险防范措施

针对电网企业信息安全风险防范措施，本文分别从宏观角度与微观层面、部门机构与员工个体、外部学习与内部沟通和企业管理与信息技术这四个方面进行介绍，其框架结构如图3所示。

图3 电网企业信息安全风险防范措施结构图

2.3.2.1 宏观角度与微观层面

宏观角度：电网企业需要从战略层面对信息安全的风险管理与防范给予极大的重视，企业必须从大局出发认识信息安全的重要性，需要从战略布局、远景规划、长远发展等方面制定出应对信息安全风险的指导原则和防范意识。

微观层面：主要是指电网企业防范和应对风险发生的具体操作行为。首先，建立健全完整的信息安全风险管理制度，以对可知的、潜在的信息安全风险因素有效预防，对发生的风险进行及时控制等；其次，形成合理、科学的风险应对标准体系，保证风险防范工作的规范性；此外，还需要不断创建营造浓厚的电网企业风险应对文化氛围，企业文化对于组织内部和员工的影响才是最为深刻和长远的，优秀的信息安全风险文化氛围能够有效提高所有员工的防范意识。

2.3.2.2 部门机构与员工个体

部门机构：成立专门的电网企业风险管理部门，对企业的内外部环境存在的各类风险时刻进行动态监测，对企业的信息系统、网络连接、数据库等时刻监视其工作行为，是否有发生信息泄露或者外界风险入侵的威胁。对于电网企业的不同业务部门进行定期和不定期检查，避免业务交流和行为活动产生的信息安全风险。

员工个体：指的是组成专门的信息安全风险管理部门的构成人员，部门的组成人员必须包括专业IT技术人员、信息系统管理人员、网络维护人员、病毒防护人员，同时需要引入一些相关的业务人员，提高员工构成的综合性和全面性。

2.3.2.3 外部学习与内部沟通

外部学习：当前的信息技术和互联网络随时都在以飞跃的速度发生着变化，同时也使得信息安全的风险内容不断更新改变，电网企业需要不断地学习、引入先进的信息技术设备来提高本身的信息化水平，增强应对新型风险的防范处理能力。组织企业的部门员工与其他优秀的企业进行学习交流，扩展风险处理的思维视野，形成综合包容性的风险应对机制。

内部沟通：电网企业的信息安全风险管理部门和其他的业务部门需要定期、不定期地进行沟通交流，企业的高层管理者组织会议讨论、专题活动、定期总结等形式及时了解企业的整体和局部信息安全风险管理工作，发现存在的不足和缺陷，提高企业风险总体应对能力。

2.3.2.4 企业管理与信息技术

企业管理：电网企业对于组织的管理办法、防范机制、组织结构等不断进行调整完善，使其与企业的信息安全风险管理模型能够有机配合，保证风险管理模型、风险防范机制和信息技术设备发挥风险应对的作用。

信息技术：从硬件设施、信息系统、互联网络、数据库等技术层面提高电网企业的信息安全风险管理效率，信息技术的风险防范是电网企业信息安全风险防范机制的重中之重。必须经常对企业的信息系统、数据库等进行更新升级，随时进行安全性检查。

3 案例及结果分析

依据文献[9]中建立的企业信息安全风险识别体系，针对电网企业信息安全的风险因素通过不同层级进行了识别，如表3所示。在此基础上，结合电网企业信息安全风险的特性，请5位专家E1，E2，E3，E4，E5通过比较各个层级下的风险因素以打分制的形式对电网企业信息安全中的各个风险因素进行评估，如表4所示。

依据表3和4中电网信息化安全的风险识别和风险评估表，即可利用突变理论对电网信息安全的整体风险进行评估，其具体步骤如下所示。

b）根据突变理论中的突变模型及相应的归一化公式，计算出各专家的二层指标风险突变数值。在二层指标中，通信与操作指标的5个指标应用棚屋模型，访问控制的4个指标应用蝴蝶模型，资产的两个指标应用尖点型模型。以访问控制指标为例来计算其风险突变值。

依据步骤a）的标准化处理和突变理论的蝴蝶模型，得出访问控制指标的风险突变值，如表5和表6所示。

按“大中取小”的“非互补”原则，得到5个专家的访问控制指标的风险突变值为：（0.654 7，0.707 1，0.614 8，0，0.721 1）。同理可计算其他二级指标的风险突变值，如表7所示。

c）依据各专家的二层指标风险突变值和“互补”原则，即可得出各专家电网信息安全的整体风险突变值，如表8所示。

d）由于各专家均是积累了丰富的理论知识和实战经验，因此，将各专家的电网信息安全的整体风险值取平均作为最后风险值，经计算得0.445 2。

通过上述风险评估的步骤，得出电网信息安全的整体风险为0.445 2，其整体风险为中等水平，依据相应风险阈值即可采取通过政策或是内部调整的措施来降低风险水平，使其达到可接受的风险水平。此外，在采取相应风险应对措施的基础上，电网企业管理者应加强实施4种风险防范措施，使得企业风险始终达到稳定较低的水平。

表3 信息安全风险识别体系

表4 信息安全风险评估表

表5 访问控制指标标准化数据

表6 访问控制各指标的突变值

表7 电网信息安全之间指标风险突变值

表8 各专家电网信息安全的整体风险突变值

4 总结

针对电网企业信息安全的风险管理，在对电网企业面临的内外部环境中的不同风险威胁进行了详细归类和说明的基础上，首次利用突变理论构建了信息安全风险评估模型，并结合模型得出的风险评估结果设定阈值制定了相应的风险应对措施；此外，为更近一步保证企业信息安全的稳定性和可靠性，提出了多维度、多层次的信息安全风险防范措施。最后，结合电网企业实际案例验证了所提方法合理性和有效性。这为电网企业信息安全风险管理提供了一套新的思路和解决方法。

［1］樊凯.电力企业重大事件信息安全保障体系的构建与实现［J］.现代计算机，2012，33（21）：67-71.

［2］牛增祥.信息系统信息安全风险管理的发展趋势分析与方法［J］.信息技术，2012（28）：317-318.

［3］王甜，徐晖，魏理豪，等.电力信息安全保障体系建设研究［J］.广东电力，2010，23（5）：38-42.

［4］凌复华.突变理论及其应用［M］.上海：上海交通大学出版社，1987.

［5］史志富，张安，刘海燕，等.基于突变理论与模糊集的复杂系统多准则决策［J］.系统工程与电子技术，2006（07）：1010-1013.

［6］梁洪涛，康凤举，翟楠楠.基于突变理论与梯形模糊数的海洋视景仿真逼真度综合评定［J］.江苏大学学报（自然科学版），2014（01）：50-55.

［7］张浩，詹辉红，钱洪珍.电网企业信息安全管理体系建设中的风险管理实践［J］.电力信息技术，2010，8（6）：21-24.

［8］吴世忠.信息安全风险管理的动态与趋势［J］.计算机安全，2007（04）：1-7.

［9］朱静，高会生，李聪聪.基于D-S证据理论的信息安全风险评估［J］.华北电力大学学报（自然科学版），2008（04）：102-108.

Research on Catastrophe-theory-based Information Security Risk M anagement M odel of Power Enterprises

BAO Tong-gang1，ZHAO Jie-qin1，QIZhi-qiang2
（1.State Grid Jinzhong Power Supp ly Com pany of SEPC，Jinzhong，Shanxi 030600，China；2.North China Electric Power University，Beijing 102206，China）

The rapid development ofmodern information technology makes the grid enterprises facemore complex information security threats，thus，the role of information security riskmanagement ismore important.The information security riskmanagementhas been researched and analyzed according to the characteristic of the power enterprise in thispaper.Firstly，combined with the environment characteristics of power enterprises internally and externally,the information security risks are classified and identified scientifically and reasonably.Besides，a risk assessmentmodelof information security is constructed for the first time，and the risk reactionmeasures are worked outby applying the assessment result to set threshold value.What’smore,in order to increase the information security stability of power enterprise，multi-level and multi-dimensional risk countermeasures are proposed.Finally，the efficiency and rationality of this method are verified by applying thismethod toa powerenterprise.

information security ofpowerenterprise；riskmanagement；catastrophe theory；risk countermeasures；risk preventive measures

TP309

A

1671-0320（2014）04-0045-05

2014-03-10，

2014-05-27

包同岗（1963-），男，山西榆次人，2006年毕业于太原理工大学工业电气与自动化专业，高级工程师，从事信息通信工作；

赵捷琴（1960-），女，山西榆次人，1997年毕业于山西广播电视大学档案专业，工程师，从事科技管理工作；

祁之强（1989-），男，青海海东人，2012届华北电力大学管理科学与工程专业在读硕士。