基于模糊綜合評(píng)判法的電力系統(tǒng)安全評(píng)估

王凱　李婉卿　白雨欣

摘要：通過提出一種以模糊綜合評(píng)判為基礎(chǔ)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的模型和方法來(lái)更好地實(shí)現(xiàn)量化信息系統(tǒng)和降低安全風(fēng)險(xiǎn)的目標(biāo)。只有有效地確定整個(gè)信息系統(tǒng)內(nèi)部安全風(fēng)險(xiǎn)因素、安全風(fēng)險(xiǎn)指標(biāo)和權(quán)重系數(shù)等內(nèi)容才能夠建立一個(gè)有效的安全風(fēng)險(xiǎn)模糊評(píng)估的綜合矩陣，并在之后有效地運(yùn)用電力信息系統(tǒng)中的Web組件來(lái)更好地進(jìn)行風(fēng)險(xiǎn)評(píng)估。由于電力信息系統(tǒng)在使用的過程中很容易受到外部環(huán)境、系統(tǒng)本身和自然界的安全威脅，因此建立一個(gè)有效的信息系統(tǒng)安全評(píng)估模型顯得尤為重要，它不僅能夠有效地劑量信息系統(tǒng)內(nèi)部web組件的安全風(fēng)險(xiǎn)，還能夠?yàn)楣芾聿块T提供更加有效的防護(hù)技術(shù)和管理措施。

關(guān)鍵詞：模糊綜合評(píng)判法；電力系統(tǒng)；安全評(píng)估

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）01-0065-01

1 模糊綜合評(píng)價(jià)法簡(jiǎn)介

模糊綜合評(píng)價(jià)法（fuzzy comprehensive evaluation method）是模糊數(shù)學(xué)中最基本的數(shù)學(xué)方法之一，該方法的模糊界限是以隸屬度來(lái)描述的。

由于信息系統(tǒng)評(píng)價(jià)因素的復(fù)雜性、評(píng)價(jià)指標(biāo)中存在較大的模糊性以及評(píng)價(jià)影響因素的不確定性、定性指標(biāo)難以定量化等問題，使得人們難以準(zhǔn)確地描述信息系統(tǒng)安全性，經(jīng)常存在著模糊的現(xiàn)象。

2 指標(biāo)權(quán)重的確立

2.1 確定系統(tǒng)的安全風(fēng)險(xiǎn)因素集

先將S設(shè)定為信息系統(tǒng)內(nèi)部所有安全風(fēng)險(xiǎn)因素的集合，并在之后將性質(zhì)相近的因素分成一組。如果S集合內(nèi)部的因素都被分成1組，則結(jié)果如下：

S={S1，S2，S3……，Sn}

而Si中所代表的則是第i組的因素。針對(duì)每個(gè)Si內(nèi)部都有n個(gè)風(fēng)險(xiǎn)因素的集合，將會(huì)被表示成Si={Si1，Si2，Si3……，Sin}這樣的集合，并將整個(gè)安全風(fēng)險(xiǎn)因素的集合分成多個(gè)層次的集合。

2.2 定義安全風(fēng)險(xiǎn)的指標(biāo)

將安全風(fēng)險(xiǎn)指標(biāo)定位為V，這充分表示信息系統(tǒng)在發(fā)生安全風(fēng)險(xiǎn)時(shí)所產(chǎn)生的后果，以及這一后果對(duì)信息系統(tǒng)的影響程度。其式子如下：

V={v1，v2，v3……，vm}

而本式子中的m表示風(fēng)險(xiǎn)指標(biāo)集的數(shù)目，而v1則表示整個(gè)安全風(fēng)險(xiǎn)的指標(biāo)，i=1，2，…，m。

2.3 全面確定安全風(fēng)險(xiǎn)因素中的權(quán)重

上一節(jié)定義了安全風(fēng)險(xiǎn)的指標(biāo)。但是Si內(nèi)部的各個(gè)因素都是相對(duì)于安全風(fēng)險(xiǎn)指標(biāo)集V中的權(quán)重而言的。而整體系數(shù)可以用矩陣來(lái)這樣進(jìn)行表示：

Ai=[ai1，ai2，ai3……，ain]

上述式子中所描述的ai1+ai2+ai3……+ain=1。整體也可以根據(jù)Si內(nèi)部的各種因素來(lái)全面界定安全風(fēng)險(xiǎn)所造成的影響。

3 信息系統(tǒng)安全評(píng)估實(shí)際案例

某電力信息系統(tǒng)是由Web服務(wù)器支持其整體運(yùn)作的，完全可以充分利用已經(jīng)建立的綜合評(píng)估模型來(lái)評(píng)估Web服務(wù)器的安全風(fēng)險(xiǎn)[2]。一般而言，影響Web服務(wù)器安全的風(fēng)險(xiǎn)因素主要為S={S1，S2，S3，S4，S5}。而這個(gè)矩陣內(nèi)部的內(nèi)容主要是由數(shù)據(jù)庫(kù)管理系統(tǒng)、Web服務(wù)器操作系統(tǒng)、Web服務(wù)器應(yīng)用系統(tǒng)和通信設(shè)備等一起組成的。

這5組風(fēng)險(xiǎn)因素分別代表以下幾類不同類型的風(fēng)險(xiǎn)因素。

S1={S11，S12，S13，S14}。而這內(nèi)部的五個(gè)因素主要代表五種錯(cuò)誤：數(shù)據(jù)文件被破壞，查詢過程出現(xiàn)錯(cuò)誤，數(shù)據(jù)修改過程出現(xiàn)錯(cuò)誤，刪除過程出現(xiàn)錯(cuò)誤。

S2={S22，S23，S24，S25，S26}。而這里面主要表示如下的幾種故障：數(shù)據(jù)從緩沖區(qū)中溢出，寄存器內(nèi)部的構(gòu)造被破壞，文件結(jié)構(gòu)和目錄內(nèi)容被破壞，用戶帳戶優(yōu)先重寫順序出錯(cuò)，不同的應(yīng)用程序之間存在諸多類型的沖突。

S3={S33，S34，S35，S36}。而這個(gè)式子中表示的主要故障主要有如下幾種：內(nèi)部功能出現(xiàn)了錯(cuò)誤；遇到問題時(shí)不能夠訪問所需要的資源；非法數(shù)據(jù)入侵；使用過程中與操作系統(tǒng)的版本發(fā)生沖突。

S4={S43，S44，S45，S46，S47}，內(nèi)部對(duì)應(yīng)的幾個(gè)元素分別標(biāo)明系統(tǒng)的內(nèi)部出現(xiàn)了如下故障：系統(tǒng)內(nèi)部的內(nèi)存出現(xiàn)了故障；計(jì)算機(jī)內(nèi)部的CPU出現(xiàn)了故障；硬件驅(qū)動(dòng)的過程出現(xiàn)了故障；電源使用的過程出現(xiàn)了故障；總線使用出現(xiàn)了故障。

S5={S53，S54，S55}，這個(gè)集合中三個(gè)元素分別表示出現(xiàn)如下故障：網(wǎng)絡(luò)硬件的接口在使用的過程中出現(xiàn)了故障；通信協(xié)議在使用的過程中出現(xiàn)了故障；路由器在使用的過程中出現(xiàn)了故障。

由于篇幅所限將會(huì)省略計(jì)算的過程，之后可以得知如下的結(jié)論：一旦Web服務(wù)器發(fā)生了安全故障，則會(huì)對(duì)系統(tǒng)的安全產(chǎn)生不良的影響，這一影響值為0.36305。按照同樣的矩陣計(jì)算方法也可以計(jì)算其他工作站和數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)部的安全風(fēng)險(xiǎn)。

4 結(jié)語(yǔ)

綜上所述，電力信息系統(tǒng)本身會(huì)受到系統(tǒng)本身、外部環(huán)境和自然環(huán)境的影響。本文通過提出一種基于模糊數(shù)學(xué)理論的信息安全風(fēng)險(xiǎn)評(píng)估模型來(lái)計(jì)算出電力信息系統(tǒng)組件所代表的安全風(fēng)險(xiǎn)值，以便相關(guān)部門能夠采取更加有效的防護(hù)技術(shù)和管理措施，并在之后更好地增強(qiáng)系統(tǒng)的安全性。

參考文獻(xiàn)

[1] 張李義.信息系統(tǒng)開發(fā)的動(dòng)態(tài)風(fēng)險(xiǎn)模糊估測(cè)方法[J].系統(tǒng)工程理論與實(shí)踐，2015（2）：129-132.

[2] 李鶴田，劉云，何德全.信息系統(tǒng)安全工程可靠性的風(fēng)險(xiǎn)評(píng)估方法[J].北京交通大學(xué)學(xué)報(bào)，2016（3）：25-29.

[3] 余勇，林為民.電力信息系統(tǒng)安全保障體系[J].電力信息化，2016（2）：59-63.

Abstract：This paper proposes a model and method of information system security risk assessment based on fuzzy comprehensive evaluation to better achieve the goal of quantifying information system and reducing security risk. Only by effectively determining the internal security risk factors， security risk indicators and weight coefficients of the whole information system， can an effective comprehensive matrix of security risk fuzzy assessment be established， and then the Web components in the power information system can be effectively used to better carry out risk assessment. Because the power information system is vulnerable to external environment， system itself and nature security threats in the process of using， it is particularly important to establish an effective information system security assessment model. It can not only effectively dose the security risks of the internal web components of the information system， but also can be raised for the management department. For more effective protection technology and management measures.

Key words：fuzzy comprehensive evaluation method； electric system； safety assessment