姜政伟，王 栋，王怀宇，杨泽明，刘宝旭

（1.中国科学院 高能物理研究所计算中心，北京100049；2.国家电网公司信息通信分公司，北京100761；3.中国科学院大学 信息科学与工程学院，北京100049；4.网络安全防护技术北京市重点实验室，北京100049）

0 引 言

电力智能终端是位于用户侧的智能电子装置，其功能包括用电计量、事件报警、质量监测等。随着智能电网建设的推进，智能表计、分布式清洁能源终端等大量接入电网中，但相对缺乏统一标准[1]，定制性过强，作业平台种类繁多，智能电网边界终端滋生的内部安全威胁已成为普遍存在的问题[2]。这种现状使得电力智能终端系统对信息安全风险的评估和等级保护提出了新的、迫切的要求。另一方面，国际大电网组织JWG－D2／B3／C2－01工作组的电力系统信息与通信系统安全研究报告指出，“信息安全风险评估是电力安全防御中不可缺少的部分”，国际电工委员会IEC TC57制定的IEC 62351－1标准强调 “安全风险评估是需要执行在任意安全配置之上的关键安全功能”[3]。

目前，针对电力智能终端安全评估的研究不多，文献[4]建立了一个四层的网络终端安全状况评估指标体系，主要面向微机与工作站，并不适用于电力系统的智能终端。文献[5]设计了基于等级保护的电力移动终端安全防护体系，文献[6]提出了电网终端信息安全评估模型，但存在信息获取与评判较为片面的缺点，并且未提供电网终端的具体评估指标体系。

本文研究电力智能终端安全评估方法，以国际信息安全风险评估规范为依据，基于国家等级保护的要求，设计了电力智能终端安全评估的指标体系，评估流程中根据需要分别采取定性和定量的方法进行赋值与计算，通过序关系分析法确定各指标的权重，利用模糊综合评判完成安全级别判断，得出权重与安全级别合成的量化计算结果。

1 电力智能终端安全评估模型

1.1 电力智能终端安全评估指标体系设计

图1 电力智能终端安全评估指标体系g－c－i

由于电力智能终端安全评估涉及面很广，不确定因素很多，仅凭几名决策者无法完成分析与设计任务，必须借助各方面专家的知识与经验完成。因此，本文利用德尔菲法[7]来建立电力智能终端安全评估指标体系。基本流程如下:

第一步，选择风险评估、电力科学、社会管理等领域的多名专家。以 《GB／T 22239－2008信息安全等级保护测评要求》及 《电力行业信息系统安全等级保护基本要求》为基础，借鉴 《YD－T 1699－2007移动终端信息安全技术要求》中对终端安全的分解思路，结合电力设备配置的实践经验，设计电力智能终端安全评估指标体系调查表，进行多轮的信息收集与框架修改，直到大多数专家认为所构建的指标体系符合系统性与差异性、层次性与独立性、代表性与可操作性的指标设计原则[8]。

基于等级保护的电力智能终端安全评估指标体系最终结构如图1所示。

该指标体系共有三层:目标层goal，准则层criterion，指标层indicator，把电力智能终端安全评估分为硬件安全，网络安全，系统安全，应用安全，管理安全五大准则，这5个准则又细分为21个指标项，涵盖了电力智能终端安全评估的主要因素。

设计的指标体系在等级保护指标架构的基础上进行裁剪、增添、修改以满足电力智能终端安全评估的需要。其中，硬件安全包括了五项:开机认证的安全性，例如密码复杂性，是否结合了指纹，USB Key等；一致性校验即终端启动后对操作系统的引导程序、内核、硬件配置等进行验证，这用于评估终端在完整性、一致性方面的安全程度；防水、防火及温湿度控制是硬件安全性的物理体现；电力智能终端处于电力、磁场情况复杂的环境中，电气防护能力显得尤为重要；电力智能终端可能通过物理接口与其它设备交互，也需要进行安全性评估。网络安全包括了三项:网络访问控制，通过网络访问终端设备应该要通过一定安全级别的授权；网络攻击防护，要有防范来自网络的攻击如恶意代码，非法远程控制的能力；通信加密，终端应提供基于硬件或软件加解密的算法，根据我国智能电网安全防护要求，前者可以使用SM1算法，后者可以用SM2算法，以实现对通信过程中数据的机密性和完整性保护。系统安全包括五项:终端身份鉴别，即登录系统时应该要有足够安全级别的账号认证；操作系统安全审计，即应满足等级保护的相关要求，实施相应级别的安全审计粒度；终端数据库安全，部署在终端上的数据库有可能来自不同供应商，但都必须支持安全的数据读写、备份与恢复，保证系统数据的稳定、可靠；安全域隔离，智能终端应该将系统资源与其它数据进行安全隔离，如从硬件上对终端的物理存储空间进行划分，从逻辑上实施进程隔离等。应用安全，终端承载的应用如安全生产、营销、应急指挥或来自第三方的软件，其安全性可从应用程序的访问控制机制、软件容错性，数据分级保护，源代码及程序接口的调用几个角度来评估安全性。安全管理，这体现在终端的相关机构的设置合理性，规章制度完善性，设备管理状况及人员管理几方面；其中设备管理就包括了终端信息的存档与更新操作；人员管理包括了人员考核、安全意识培训、第三方人员访问的审核等。

1.2 序关系分析与模糊综合评价算法

使用1.1节构建的层次化的指标体系进行评估前，需要确定各指标项的权重。在层次化的权重决策分析中，比较常见的是层次分析法AHP，但它主要用于对影响因素的重要性排序，并不保证计算出的权值准确性，而且一致性检验的计算量较大[9]，为此，选用郭亚军教授提出的序关系分析法[10]，它是AHP的改进，规避了相应的缺点。此外，电力智能终端各指标项的安全评级过程是一个模糊的、复杂的分析过程，模糊综合评价方法[11]使用模糊关系合成原理，对具有多种属性，属性间边界不清，难以定量的事物进行综合与总体评判，因此也被应用于电力智能终端各具体指标项的安全级别评判中。

1.2.1 序关系分析法计算步骤

为避免权重计算的片面性，增强稳定性，将序关系分析法与德尔菲法结合，主要包括以下三步:

（1）确定序关系。请专家对同层的所有指标x1，x2，...，xm进行群体认可的排序如下

式中:——｛xi｝按前者重要于后者的序关系“ ”排定后的第i个评价指标。以下为表示方便，仍以xk表示。

（2）给出xk－1与xk之间的相对重要程度的比较判断。设专家群体对评价指标xk－1与xk的重要程度之比为rk

rk的赋值见表1。

表1 rk赋值参考

（3）计算权重系数wm

wm即相应项的权重。

1.2.2 模糊综合评价法步骤

模糊综合评价的一个关键概念是隶属度，表示某一元素与模糊子集的关系，它用闭区间[0，1]间的一个数字表示，隶属度值越接近1，则表示当前元素对模糊子集的隶属程度越高。

模糊综合评价的基本步骤如下:

（1）建立因素集。可以结合待分析的层次结构，以其中的准则层集合为因素集U＝｛c1，c2，...，cm｝，其中各单因素子集ci又包括若干元素。

（2）建立评价集。评判者对评价对象作出的评价结果集合V＝｛V1，V2，...，Vk｝，取各区间的中值作为等级参数，则对应的评价等级参数列向量为

（3）评判具体对象各指标所属的级别，建立模糊关系矩阵。由不同专家根据本领域专业知识对各指标进行评价，将定性指标的实际情况定级，然后统计专家对各指标的不同级别评语的频数，即得出各子集Ci的单因素评价矩阵Ri。

（4）单因素评价。将已通过序关系分析法算出的各单因素ci的权重系数向量Wi与单因素评价矩阵Ri进行合成运算

（5）多因素综合评判。重复第 （4）步，可得到U中各子集的综合评价矩阵

如此，逐层向上，直到求出准则层相对于目标的模糊综合评价结果

E是因素集U的一个隶属度结果向量，而最终评价结果是E和评价等级参数列向量相乘得到的代数值

式中:Z——评估对象的整体安全指数结果。

2 实例计算

这部分工作主要是通过德尔菲法收集多位专家对图1中各指标的重要性排序，使用序关系分析法计算出21个指标项的权重，之后对国家电网信通公司白广路机房区电力智能终端整体情况进行实例计算与分析。

评估实施过程综合使用了访谈及列表检查、自动扫描3种方法以获取各评估项的实际情况，以给专家的判断提供较为全面的原始数据。为提高评估效率，保证精确性，使用Matlab编程来计算数据。

2.1 各指标项权重计算

对图1所示的g－c－i层次模型，使用序关系分析法计算各层的指标。以 “硬件安全”为例，c1项的6个子指标项重要性排序为

对其重要程度予以赋值，结果见表2。

表2 硬件安全子评估项的赋值

根据式 （2）计算i1项的权重系数wi1

类似的，计算出同层其它指标项的权重系数，得到硬件安全6个子指标项的权重向量为Wc1＝（0.2084，0.1894，0.1457，0.1457，0.1894，0.1214）T。

同样，计算出c2，c3，c4，c5各自子指标项及准则层相对于目标的序关系分析主观权重向量依次如下:

由于权重的重要性排序与计算过程结合了德尔菲法与G1法，是自我验证的，因而计算出的权值可以重用。

2.2 终端安全指数计算

以g－c－i层次模型中的准则层因素构造安全模糊集U1＝｛c1，c2，c3，c4，c5｝，该模糊集的单因素子集中共有21个元素；确定电力智能终端安全评语集V＝｛很差，差，一般，好，很好｝＝｛v1，v2，v3，v4，v5｝；评语集与分数对照依次为:[0，30），[30，60），[60，70），[70，90），[90，100），对应的评价等级参数列向量为＝（15，40，65，80，95）。

邀请8名具有相关经验的专家，参照电力智能终端安全模糊集中的5个子集，根据采集到的数据，对机房区电力智能终端的安全状况进行评价，统计21个元素的评价等级频数分布表，见表3。

对准则项c1所关联的i1～i6频数分布做归一化处理，可得模糊关系矩阵Rc1

表3 评价等级频数分布表 （N＝8）

由式 （4）得c1的单因素评价结果Bc1:Bc1＝Wc1Rc1＝（0，0.0152，0.2190，0.6013，0.1645）。

同理可得Bc2，Bc3，Bc4，Bc5。将单因素评价结果综合起来，构成总的模糊关系矩阵

因此，安全综合评价向量E为:E＝Wg－cR＝（0，0.0592，0.3163，0.5487，0.0758）。

由式 （7）得该区域的电力智能终端的整体安全指数

Z数值落在评语集中v4的区间内，评分结果反映该区域电力终端整体安全级别为 “好”，而向量E中评语为 “一般”的比例也达到了0.3163，根据隶属度概念，说明仍存在不小的安全改进空间。这与使用文献[6]提出的模型进行评估的结论类似，但评估指标更具针对性，多种方法的综合保证了获取的信息更全面，分步实施的流程提供了更好的扩展性。

3 结束语

目前，对电力智能终端安全状况的评估尚未形成统一指标，构建电力智能终端安全指标体系，既可以用于安全评估，也可以用于电力智能终端的建设参考。本文将电力智能终端评估指标具体化，使评估范围及程度更加全面、深入，实现了评估对象的安全水平量化，可与文献[7]的模型进行综合，以增加电力智能终端安全评估的合理性。下一步的计划是，对设计的指标体系进行修改，以便适用于更多典型的电力智能终端，并增强评估过程的自动化能力。

[1]Wang Yong，Ruan Da，Gu Dawu，et al.Analysis of smart grid security standards[C]／／Piscataway，NJ:IEEE，2011:697－701.

[2]ZHU Kuan.The design and implementation of intranet terminals security management system[D].Shanghai:Fudan University，2009（in Chinese）.[朱宽.内网终端安全管理系统的设计与实现[D].上海:复旦大学，2009.]

[3]LIU Nian.Assessment methods and communication mechanisms of information security in electric power systems[D].Beijing:North China Electric Power University，2009 （in Chinese）.[刘念.电力系统信息安全评估方法与安全通信机制[D].北京:华北电力大学，2009.]

[4]LIAO Hui，LING Jie.Research on network terminal security assessment index system[J].Computer Engineering and Design，2010，31 （5）:961－964 （in Chinese）.[廖辉，凌捷.网络终端安全状况评估指标体系的研究[J].计算机工程与设计，2010，31 （5）:961－964.]

[5]ZHANG Tao，LING Weimin，QIN Chao.et al.The design of power mobile terminal information security and protection system based on classified protection[J].Electric Power Information Technology，2010，8 （7）:34－36 （in Chinese）.[张涛，林为民，秦超，等.基于等级保护的电力移动终端安全防护体系设计[J].电力信息化，2010，8 （7）:34－36.]

[6]YANG Shan，CAO Bo.Grid terminal information security evaluation model[J].Computer Engineering，2012，38（13）:125－127 （in Chinese）.[杨杉，曹波.电网终端信息安全评估模型[J].计算机工程，2012，38 （13）:125－127.]

[7]Hsu Yu Lung，Lee Cheng Haw，Kreng V B.The Application of fuzzy Delphi method and fuzzy AHP in lubricant regenerative technology selection[J].Expert Systems with Applications，2010，17 （1）:419－425.

[8]DU Dong，PANG Qinghua，WU Yan.Modern comprehensive evaluation method and classic cases[M].Beijing:Tsinghua University Press，2008:4－6 （in Chinese）.[杜栋，庞庆华，吴炎.现代综合评价方法与案例精选[M].北京:清华大学出版社，2008:4－6.]

[9]JING Zhaoxia，ZENG Li.Analysis on urgency degree of distribution network reconstruction scheme based on advanced AHP[J].Automation of Electric Power Systems，2011，35 （4）:92－95（in Chinese）.[荆朝霞，曾丽.基于改进层次分析法的配电网中压改造项目迫切度分析[J].电力系统造化，2011，35 （4）:92－95.]

[10]GUO Yajun.Comprehensive evaluation theory，methods and extensions[M].Beijing:Science Press，2012 （in Chinese）.[郭亚军.综合评价理论、方法及扩展[M].北京:科学出版社，2012:62－75.]

[11]Qi Yuguo，Wen Fushuan，Wang Ke，et al.A fuzzy comprehensive evaluation and entropy weighty decision－making based method for power network structure assessment[J].International Journal of Engineering，Science and Technology，2010，2 （5）:92－99.