电力信息系统建模和定量安全评估

电力信息系统建模和定量安全评估

卢彦飞

国网内蒙古东部电力有限公司敖汉旗供电分公司内蒙古赤峰市024300

摘要：提出一种用于电力信息系统安全设计的建模语言和定量化评估方法。设计了安全体系设计迹语言,统一描述系统结构、系统业务、安全策略、攻击行为和安全措施等;构造了风险自动分析算法,以获得电力信息系统的攻击迹;基于攻击迹提出相对安全度概念,用于定量评估安全体系的安全性;通过实例验证了所述方法的有效性。该方法可用于定量评估各类安全措施的控制效果,如增加新的安全功能、调整系统自身结构和用户业务需求等,减少了选择安全措施的主观性。

关键词：电力信息系统；建模；定量安全评估

一、关于电力信息系统建模事项的相关的解读

（1）水电站运行管理方面的工作效率以及发电能力的建设水平，都是直接影响企业经济利益的关键性因素，由于水电开发有限公司都面临着同行业的激烈竞争，越来越多的水电开发有限公司更加注重提高本企业水电站运行管理工作的效率以及提高发电能力水平，并以此为竞争优势，在日趋激烈的市场经济中，获得生存与发展的新空间。本文主要是关于电力信息系统建模的相关事项的分析以及对其安全评估方面工作的简单分析，旨在促进水电开发企业的健康、可持续发展。

（2）电力信息系统安全体系的设计需要分步骤逐次的进行。电力信息系统存在着复杂的交换行为以及大量的异步操作。也因此，在其建模语言中系统常常被抽象为一组存在交换关系的通信实体。通常情况下，将其角色的定义为通信实体并用相关动作表示存在的交互关系，再用执行动作引发的事件顺序表示与其系统安全性相关的行为。

二、电力信息系统风险的特征

2.1客观性和不确定性

由于电力信息系统风险是客观存在的事实，是不以人的意志为转移的，所以发生在整个电力信息系统发展周期中风险是时刻存在的，但又因其独有的不确定性，在实际工作的处理方面存在着一定的难度；

2.2多层次性和多样性

信息系统风险包括物理安全、逻辑安全和安全管理等多层次风险。物理安全包括周界控制、区域访问控制及区内设施安全三大要素。逻辑安全包括信息的保密性、完整性和可用性。安全管理包括人员角色管理、系统管理、应急管理等，因而所面临的风险多样。然而可变性和动态性使电力信息系统风险，随信息技术发展而呈现动态性、可变性。在电力信息系统的发展和运行过程中，由于采用了及时有效的措施而消除了某些风险。有的风险实际发生并得到处理，甚至发生次要风险增大跃升为主要风险的状况。在每一个新阶段都可能出现新的风险。

2.3可测性、不确定性成为风险的本质

这种不确定性不等于对风险的全然不知。任何一种具体的风险发生都是诸多风险因素和其他因素共同作用的结果。通过对大量风险事件资料的观察和统计分析，可以发现其运动规律。由于信息系统风险的多层次性和动态性，难以建立一个覆盖全部安全问题的安全体系，同时考虑到安全投入费用与被保护的资产价值保持应有的一个恰当的比例，因此只能建立一个适度的安全准则。

三、建模语言

我们一般来说，要设计一个完整的安全体系，第一步就是要建立电力信息系统的抽象模型。SecurityNews，ACMSLGSACReview一书中，把安全系统定义为："onewhichdoeswhatyouwantitdoandneverdoeswhatyoudonotwanttodo."从这句话中来看，建模的关键是描述与安全相关的且有可执行性的系统行为。

3.1角色。角色是电力信息系统中的通信实体。如同主机、数据、人员、业务系统等系统中的实体终端我们都称之为通讯实体。角色具有属性，而这种属性的不同取值表示了角色的各种不同状态。角色的状态可以改变，通过执行与通讯实体相关的系统动作可以实现状态的改变。角色有子类型，它继承了相对应的父类型的属性。

3.2动作。如前所言，动作时通信实体即角色之间的交互关系。如存储、输入、显示、处理、连接等等。动作时角色之间的交互关系，则必定与几个相关的角色相关联，而不可能单独出现。我们有类和对象表示动作的类型和动作的具体事例。和角色一样，动作也是有属性的，属性各不相同，但与角色不同的是，这种属性是不支持继承的。动作表达的系统能够完成的基本功能，为了能够使动作表达更加复杂和庞大的系统行为我们定义了四种动作运算--顺序、选择、并行、循环。在这里并不分开来说。

3.3事件。事件是动作的具体运作产生的，一次动作我们称之为一个事件。他是表述系统行为的一个单位，而且是最小的一个单位。在复杂的系统行为中，我们有六种事件运算来表述整个过程。这六种运算不得不用符号来表示，但我们同样还是力求简洁。这些运算表述的是两个事件间的放生关系，我们分表将两个事件定义为E1和E2，展开来说：①E1：E2--两个事件均发生，且E1先发生。②E1&E2--两个事件均发生，并且两个事件谁先发生并不影响运算。③E1|E2--两件事件中有一个事件发生。④E1，E2--两个事件发生，并且E2紧跟在E1之后发生，中间没有其他事件发生。⑤n（E1)=E1，E1，E1...E1--表示事件E1联系发生n次。⑥!E1：E2--表示E2发生，并且E2发生前没有E1发生。

3.4迹。迹有两种形式，一种指的是所有事件，另一种指的是上述6中事件的运算得到的表达式。简单的来说，迹是由于事件发生而带来的整个体系的变动和结果，它可以表示为算符文法。总的来说，安全体系设计迹语言所定义的系统，其本质是基于事件触发和系统行为的因果系统。他的运行结果是事件历史，他的建模原理是基于所有系统行为是有原因和必要性的。

四、电力信息系统的安全评估

4.1评估电力信息系统的确定性原则。

4.1.1充分性原则：在选择安全评价方法之前，应该充分分析评价的系统，掌握足够多的安全评价方法，并充分了解各种安全评价方法的优缺点、适应条件和范围，同时为安全评价工作准备充分的资料。也就是说，在选择安全评价方法之前，应准备好充分的资料，供选择时参考和使用。

4.1.2适应性原则：选择的安全评价方法应该适应被评价的系统。被评价的系统可能是由多个子系统构成的复杂系统，评价的重点各子系统可能有所不同，各种安全评价方法都有其适应的条件和范围，应该根据系统和子系统、工艺的性质和状态，选择适应的安全评价方法。

4.1.3系统性原则：安全评价方法与被评价的系统所能提供安全评价初值和边值条件应形成一个和谐的整体，也就是说，安全评价方法获得的可信的安全评价结果，是必须建立真实、合理和系统的基础数据之上的，被评价的系统应该能够提供所需的系统化数据和资料。

4.1.4针对性原则：所选择的安全评价方法应该能够提供所需的结果。由于评价的目的不同，需要安全评价提供的结果可能是危险有害因素识别、事故发生的原因、事故发生概率、事故后果、系统的危险性等，安全评价方法能够给出所要求的结果才能被选用。

4.1.5合理性原则：在满足安全评价目的、能够提供所需的安全评价结果的前提下，应该选择计算过程最简单、所需基础数据最少和最容易获取的安全评价方法，使安全评价工作量和要获得的评价结果都是合理的，不要使安全评价出现无用的工作和不必要的麻烦。

4.2电力信息系统安全评估的方法

电力信息系统安全评估的方法极为繁杂而且方法很多。主要有：安全检查表、事件数分析法、作业条件危险评价、概率危险评价技术、预先危险性分析、故障类型和影响分析、故障树分析、指数评价法、前因后果分析法、危险和可操作性研究、风险矩阵分析法、人为因素分析法等等。

参考文献：

[1]胡炎,谢小荣,辛耀中.电力信息系统安全—建模和定量评估[C]//2004全国电力系统自动化学术交流研讨大会.2004.

[2]梁丁相,陈曦.基于模糊综合评判理论的电力信息系统安全风险评估模型及应用[J].电力系统保护与控制,2009,37(5):61-64.

[3]胡炎,谢小荣,辛耀中.电力信息系统建模和定量安全评估[J].电力系统自动化,2005,29(10):30-35.