基于模糊综合评判理论的电力信息系统安全风险评估模型应用.pdfVIP

基于模糊综合评判理论的电力 信息系统安全风险评估模型及应用 陈 曦 (保定供电公司，河北保定071000) 摘要：提出一种基于模糊综合评判理论的信息系统安全风险综合评估模型与方法，实现量化信息系统安全 风险的目标。通过确定信息系统的安全风险因素集、指标集以及因素的权重系数集，建立安全风险模糊综合 评估矩阵，并应用于电力信息系统Web组件的安全风险评估。电力信息系统受到来自系统本身、外部环境以 及人为和自然界的安全威胁。应用建立的信息系统安全风险评估模型定量计算电力信息系统Web组件的安 全风险值，为系统管理与使用部门采取相应的防护技术和管理措施提供理论依据。 关键词：电力信息系统；信息系统安全；风险评估；模糊数学 赋予每种威胁风险指标值，利用模糊评估矩阵运 0 引言 算，获得量化的信息系统安全风险的严重程度，对 随着电力信息化的快速发展，计算机网络与信 影响信息系统安全性的多种风险因素做出总体 评价。 息技术在电力行业得到了广泛应用。各电力企业 建立了涵盖生产、管理及营销等各个环节的应用系 1．1确定系统的安全风险因素集 统，网络与信息系统的基础性、全局性作用日益增 设Js为信息系统的所有安全风险因素集，将性 强，但网络与信息安全的问题也随之而来，网络与 质相近的因素分在一组，假定S中的因素分为f 信息安全已成为电力安全生产的重要组成部分。 组，即： 在电力企业的综合信息管理系统中，必须从网络、 操作系统、应用程序和业务需求等各方面来保证系 S={．s。，S：，S，，…S。} (1) 统的安全，提高信息系统整体安全水平。本文提出 式中：．s。代表5中的第i组因素，i=1，2，…，f，．s f 一种基于模糊综合评判理论的信息系统安全风险 =U．Si。 ‘2I 综合评估模型与方法，对电力信息系统中Web组件 针对每个Si有几个风险因素集，表示成S。= 的安全性进行风险评估，量化安全风险。 {Js¨．s恐，S∞…S讯}这样，将安全风险因素集合分为 多层次集合。 1 安全风险综合评估模型 1．2定义安全风险指标 信息系统安全风险评估是指依据有关信息安 全技术与管理标准，对信息系统及由其处理、传输 安全风险指标y，表示信息系统安全风险发生 和存储的信息的机密性、完整性和可用性等安全属 时产生的后果对信息系统的影响程度。 性进行评价的过程。信息系统的安全风险与资产、 V={秽l，秽2，凹3，…秽。。} (2) 威胁、脆弱性这三大要素相关。其中，威胁是触发 式中：m表示风险指标集的数目；秽j表示安全风 信息系统安全风险的主导因素，而信息系统面临的 险指标，，=1，2，…，m。 威胁分为人为的威胁和自然的威胁。人为的威胁 1．3确定安全风险因素的权重系数．si中各 包括偶然的人为操作失误、蓄意的计算机网络攻击