孙 歆， 戴 桦， 李沁园， 吕 磅

(国网浙江省电力有限公司 电力科学研究院， 杭州 310014)

国家电网公司采用专用的隔离装置将信息网划分为信息外网和信息内网，来保证电网信息网络与业务系统的安全稳定运行[1].然而，各种移动终端和移动通信技术在电力企业营销管理系统、安全生产系统、物资管理系统以及应急指挥系统中的广泛使用，对电网信息安全造成了巨大威胁[2-3].如何在该形式下结合实际情况对电网移动终端进行安全评估是一个重要的研究方向[4].

根据所属网络及面向对象的不同，可将国网公司移动应用分为内网移动作业类、外网移动协作类和互联网移动服务类[5-6]三种，其中，内网移动作业类主要包括运维检修、营销作业、物资盘点等移动业务，面向公司内部员工，使用专控终端，以无线虚拟专网或APN[7]为网络通道接入公司内网[8]；外网移动协作类主要包括企信、PMS2.0外网移动作业等不涉及公司商业秘密的外网移动业务，面向公司内部员工和外围作业人员，以员工个人智能手机(终端)为载体[9]，使用互联网通道接入公司外网；互联网移动服务类主要包括95598、国网商城、电力交易、金融财险等互联网业务，面向社会大众，使用社会大众个人智能手机终端，通过互联网通道(部分敏感业务采用外网安全交互平台)接入公司信息外网，并由外网移动交互平台提供支撑[10].

针对电力移动终端业务场景复杂和数据敏感的特点，本文提出了一种基于层次分析法[11]的电力移动终端安全评估方法，从硬件、系统、应用、数据等方面对移动终端进行安全评估.首先，结合电力移动终端的特点及其业务场景将安全现状细分为自身安全与安全管控两部分，以保证分析的完备性，基于分析结果提炼出不同类型移动终端的典型安全威胁；其次，根据安全威胁分析的结果，从电力移动终端防御应对的角度设计提出安全指标体系，并对指标体系进行分类、量化，形成可支持安全评估的数值信息；再次，基于层次分析法及模糊综合分析[12]技术，形成电力移动终端安全评估方法；最后，选取某电力企业移动终端实际应用场景论证所提出的安全评估方法的有效性.

1 电力移动终端安全威胁

电力移动终端面临的安全威胁包括普遍面临的安全威胁(共性安全威胁)[13]和不同的业务场景以及不同的终端类型所特有的安全威胁(个性安全威胁)[14]两方面.本文使用威胁识别、确定威胁后果属性、威胁概率分析及后果属性计算进行威胁分析.该安全威胁分析过程的输出为电力移动终端面临的威胁列表，后续安全评估过程即是对该列表中的威胁进行安全指标提取和量化，最终，评估出电力移动终端的安全等级.

1.1 威胁识别

移动终端面临的安全威胁示意图如图1所示.本文基于目前已知的系统安全漏洞或采用漏洞挖掘工具，不仅分析了硬件和操作系统两方面共性安全威胁，并且对外围接口、应用软件、数据安全等个性安全威胁进行分析.

图1 移动终端安全威胁示意图Fig.1 Schematic safety threat of mobile terminals

共性安全威胁包括以下两方面：

1) 硬件安全.即移动终端所使用的自带芯片、射频芯片和处理器芯片等核心器件存在的安全漏洞.

2) 操作系统安全.Android和IOS是当今主流的终端操作系统，其主要存在的安全问题包括系统的安全漏洞、系统潜在的脆弱性、系统的完整性和系统固件安全性等.

在进行安全威胁分析时，根据终端的类型和业务场景侧重考虑不同的安全威胁：对于只在内网使用的终端需要侧重于外围接口控制；对于信息外网终端需要侧重于数据访问控制；对于互联网终端需要侧重系统安全加固、软件安全防护等.具体包括以下几方面：

1) 外围接口安全.电力移动终端(如智能手机、PDA、便携电脑等)设备通常支持多种开放的对外接口、无线接口(如WiFi、3G、蓝牙、红外等)和有线接口(如USB)，这些外围接口可能造成隐私信息的泄露和恶意代码的传播.

2) 应用软件安全.各类应用软件在终端的安装使用给系统的管理维护等带来便利的同时，也带来了较大的安全威胁，例如管理员滥用权限进行恶意或非法操作、非法用户冒充合法用户进入系统等.

3) 数据安全.移动终端的数据安全威胁主要可从数据的完整性、机密性和可用性3个方面进行分析，例如对用户数据的非法获取和非法篡改.

1.2 威胁概率分析及后果属性计算

首先确定移动终端的威胁后果属性，按照其损害结果分为m类后果属性，使用W表示各属性所对应的权重.

2 电力移动终端安全评估指标体系

为了更好地判断出典型威胁，需根据电力移动终端真实的应用场景，从可能影响移动终端安全的关键因素出发，准确提取多项有效评估指标，并进行量化处理以支持后续安全评估.图2为本文提出的电力移动终端安全评估指标体系示意图.

图2 电力移动终端安全评估指标体系示意图Fig.2 Schematic diagram of safety assessment index system for power mobile terminals

2.1 安全评估指标提取

本文在考虑硬件类、系统类、应用类和数据类等通用移动终端安全评估指标体系的同时，为了能够充分利用电力移动终端所具备的智能感知与边缘处置能力实现安全协同处置，增加了感知类和管理类评估指标.其中，感知类指标体现电力移动终端对自身状态信息的感知收集能力；管理类指标体现电力移动终端对于自身安全事件的处置响应能力.这6类指标具体描述如下：

1) 硬件类指标是指终端设备的硬件状况、组成、型号等.硬件是终端设备良好运行的基础，其可通过硬件的完整性校验、是否有安全芯片、设备的访问控制机安全性、硬件版本等指标来进行评估.

2) 系统类指标是指终端设备操作系统的运行状况.操作系统会对设备的所有硬件进行有效管理，在硬件健康和性能正常的基础上，操作系统的正常运行也是保证终端安全的重要因素.而操作系统的正常运行与系统的版本、是否有漏洞、是否升级等情况息息相关，故本文将这些指标作为系统类的指标.另外，操作系统是否具有抵御来自外部的威胁能力也可以作为评价操作系统的指标.而通常安全杀毒软件、威胁检测软件是抵御外部威胁的重要方法，故本文也将是否安装杀毒软件、杀毒软件的病毒库版本等作为系统类的指标.

3) 应用类指标是指终端上安装应用的安全情况.应用程序直接与用户进行交互，是针对使用者的某种应用目的所撰写的软件.运行在终端上的应用程序可分为正常的和恶意的，恶意应用可能会对终端的安全带来巨大隐患，因此，应用类指标是评价终端安全性必不可少的一项.本文选取应用来源、应用版本及是否经过认证作为应用类的评估指标.

4) 数据类指标用于评估终端保护所存储数据的能力.移动终端上存储了大量的用户数据，电力移动终端上的数据涉及电力内网数据，尤为重要.而数据的防护可以分为安全存储、备份、访问控制等几个方面，本文选用数据是否加密、是否有重要数据备份、是否有敏感数据防泄漏机制等作为数据类的评估指标.

5) 感知类指标体现电力移动终端对自身状态信息的感知收集能力.随着终端设备技术的不断发展，其自身的信息感知能力也在不断增强，具有良好的感知能力可加强终端的安全性，故可以根据终端是否能够感知其所在地点、所处环境温度、所连接网络设备的型号等信息作为感知类的评估指标.

6) 管理类指标体现电力移动终端对于自身安全事件的处置响应能力.若终端处置威胁的能力弱，终端的安全性也无法得到保障.本文选取是否具有遥毁能力、异常使用报告能力、软件自动升级能力、配置自动更新能力、管理端通信能力等作为管理类的评估指标.

通过获取以上6个方面的指标，可以比较充分掌握电力移动终端的安全性.本文从3个方面获取上述指标：

1) 通过编写Agent调用系统的编程接口(API)及系统命令来获取系统的信息；

2) 通过现有的工具APP获取相应指标；

3) 通过已有的终端资料数据库来获取信息.

2.2 安全评估指标量化

由于电力移动终端的每一类评估指标体系包含多项指标，为保证评估的科学性和准确性，需要对所有指标进行量化处理.即通过数学变换统一指标评价值的趋势，以消除原始指标量纲的影响.

指标量化过程包括3个步骤：指标同趋势化、变异指标的标识和无量纲转化.其中，指标的同趋势化是为了统一各评估指标对评估结果影响的一致性，例如评估结果分数越高表示越危险；变异指标是为了选择变异程度而进行的标识；无量纲化则为消除量纲和量纲单位的处理过程.

设多指标综合评价问题中指标集矩阵为X={x1，x2，…，xn}，转换后的标准值集矩阵为Z={z1，z2，…，zn}.量化过程中具体内容及方法如下：

1) 指标同趋势化.本文将指标值越小评价越好的逆向指标与指标值越接近某个值越好的适度指标转化为指标值越大评价越好的正向指标，即指标的同趋势化.逆向指标同趋势化方法为

(1)

适度指标同趋势化方法为

(2)

式中，b为评价阈值.

2) 变异指标的标识.变异指标综合反映总体各单位标志值的差异程度或离散程度.变异指标越大，表明数据越分散；变异指标越小，表明数据越集中，变动范围越小.对每个指标xj进行经验判断，需要专家或根据经验标识出该指标是否需要消除指标变异程度上的差异，以便为后续指标的无量纲转化方法的选择提供依据.当需要消除时，采用标准化方法；当不能消除变异时，采用均值法.

3) 无量纲转化.为了消除量纲与量纲单位的影响，在构建综合指标时需将不同单位量纲表示的指标进行转换.需要考虑指标变异程度时，采取均值法进行量化；当不考虑指标变异程度时，采取标准化方法进行量化.

3 终端安全评估

为了更准确地评估移动终端的安全等级，本文提出了基于层次分析法和模糊综合评价法的电力移动终端安全评估方法.先使用层次分析法动态生成权重矩阵，然后使用模糊综合评价法进行风险等级结果判定.

3.1 权重矩阵动态生成框架

本节使用上文介绍的安全评估指标体系建立了如图3所示的层次分析模型，该模型从上而下分为目标层、准则层和指标层.针对不同应用场景的安全需求与评估指标各有侧重的特点，使用安全指标量化方法生成不同的准则层和指标层判断矩阵，并结合相关专家经验确定各威胁的后果属性，对其求和及归一化处理后，得出不同的准则层及指标层权重向量，再将指标层权重向量组合生成指标层权重矩阵，与准则层权重向量一起计算得到各个应用场景下的分层权重矩阵.

图3 电力移动终端安全评估层次分析模型图Fig.3 AHP model for safety assessment of power mobile terminals

3.2 构建综合评价模型

本文根据层次分析模型的评价集D={高，较高，中，较低，低}和影响因素集U={u1，u2，…，um}对移动终端及其接入的网络环境进行测试.请多位行业专家对各指标Cij具有的风险等级进行评判，得到权重矩阵W.

专家对特性中各个指标的模糊评判结果表示为

Ci=(Nijk)4×5

(i=1，2，…，6；j=1，2，…，4；k=1，2，…，5)

(3)

为了保证本文获取的权重矩阵能反映移动终端安全的实际情况，使用以下步骤进行一致性检验：

1) 计算权重矩阵W的最大特征值λmax及其对应的特征向量wi首先按列规范化W，即

然后按行规范化W，其表达式为

最后得出规范化表达式

计算得到最大特征根为

由矩阵U、D、R可以计算得到综合评价值

(s1，Λ，sn)

4 实验评估

为了验证本文提出的基于层次分析法的电力移动终端安全评估方法的有效性，本文使用图4所示的指标采集流程选取了内网移动作业类和外网移动协作类移动终端进行评价测试.根据专家经验选取硬件类、系统类、应用类、数据类、感知类与管理类评估指标作为本文的指标参数.使用层次分析方法可以计算求得各层权重，具体各层权重归类如表1所示.

分别对内网移动作业类与外网移动协作类移动终端进行评估，准则层得分分别为(0.13，0.202 3，0.226 4，0.567 1，0.438 2，0.809 9)和(0.809 9，0.16，0.16，0.426，0.75，0.220 9).由此可知，对该信息内网终端需要加强硬件类的访问控制；而对该信息外网终端需要加强管理类控制，及时更新所安装的软件版本.

为了进一步验证分析方法的有效性，本文分别邀请了10位电力终端开发工程师和10位电力终端用户根据电力移动终端的使用风险情况对各评价指标进行隶属度分析.表2、3分别为安装安全软件和不安装安全软件时各评价等级的频数分布表.

图4 指标采集获取流程Fig.4 Flow chart for acquisition of index collection 表1 层次分析模型各层权重Tab.1 Weight of each layer in AHP model

准则层指标权重硬件类0.035系统类0.065应用类0.108数据类0.353感知类0.207管理类0.231指标层指标权重硬件的完整性校验0.3669是否有安全芯片0.1352设备的访问控制机安全性0.4979系统的版本0.4800病毒库的版本0.2509是否安装杀毒软件0.2691应用的来源0.6144应用的版本0.2684是否经过认证0.1172数据是否加密0.7089是否有重要数据备份0.1786是否有敏感数据防泄漏机制0.1125终端是否能够感知其所在地点0.6133所处环境温度0.1658所连接网络设备的型号0.2209异常使用报告能力0.3109软件自动升级能力0.2187管理端通信能力0.4704

表2 安装安全软件时各评价等级的频数分布Tab.2 Frequency distribution of each assessment level with installing safety software

分别对表2、3中数据进行归一化和综合评价计算可得到其评价结果分别为(0.071，0.28，0.352，0.132，0.144，0.041)和(0.271，0.214，0.184，0.133，0.069，0.29)，对所得结果进行处理可得各移动终端的评分值分别为0.331和0.824，表明安装安全软件能明显提升移动终端的安全等级.

表3 不安装安全软件时各评价等级的频数分布Tab.3 Frequency distribution of each assessment level without installing safety software

5 结 论

本文提出了一种基于层次分析法的电力移动终端安全评估方法，从硬件、系统、应用、数据等方面对移动终端进行安全评估.该评估方法根据专家经验选取硬件类、系统类、应用类、数据类、感知类和管理类共6类评估指标作为本文的指标参数，并使用层次分析法构建评估分析模型.对内网移动作业类与外网移动协作类移动终端的实验测试结果表明，所提出的方法能有效发现移动终端所存在的安全风险，且评估结果更接近实际情况.