基于模糊综合评判法的电力系统安全评估

王凯　李婉卿　白雨欣

摘要：通过提出一种以模糊综合评判为基础的信息系统安全风险评估的模型和方法来更好地实现量化信息系统和降低安全风险的目标。只有有效地确定整个信息系统内部安全风险因素、安全风险指标和权重系数等内容才能够建立一个有效的安全风险模糊评估的综合矩阵，并在之后有效地运用电力信息系统中的Web组件来更好地进行风险评估。由于电力信息系统在使用的过程中很容易受到外部环境、系统本身和自然界的安全威胁，因此建立一个有效的信息系统安全评估模型显得尤为重要，它不仅能够有效地剂量信息系统内部web组件的安全风险，还能够为管理部门提供更加有效的防护技术和管理措施。

关键词：模糊综合评判法；电力系统；安全评估

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2019）01-0065-01

1 模糊综合评价法简介

模糊综合评价法（fuzzy comprehensive evaluation method）是模糊数学中最基本的数学方法之一，该方法的模糊界限是以隶属度来描述的。

由于信息系统评价因素的复杂性、评价指标中存在较大的模糊性以及评价影响因素的不确定性、定性指标难以定量化等问题，使得人们难以准确地描述信息系统安全性，经常存在着模糊的现象。

2 指标权重的确立

2.1 确定系统的安全风险因素集

先将S设定为信息系统内部所有安全风险因素的集合，并在之后将性质相近的因素分成一组。如果S集合内部的因素都被分成1组，则结果如下：

S={S1，S2，S3……，Sn}

而Si中所代表的则是第i组的因素。针对每个Si内部都有n个风险因素的集合，将会被表示成Si={Si1，Si2，Si3……，Sin}这样的集合，并将整个安全风险因素的集合分成多个层次的集合。

2.2 定义安全风险的指标

将安全风险指标定位为V，这充分表示信息系统在发生安全风险时所产生的后果，以及这一后果对信息系统的影响程度。其式子如下：

V={v1，v2，v3……，vm}

而本式子中的m表示风险指标集的数目，而v1则表示整个安全风险的指标，i=1，2，…，m。

2.3 全面确定安全风险因素中的权重

上一节定义了安全风险的指标。但是Si内部的各个因素都是相对于安全风险指标集V中的权重而言的。而整体系数可以用矩阵来这样进行表示：

Ai=[ai1，ai2，ai3……，ain]

上述式子中所描述的ai1+ai2+ai3……+ain=1。整体也可以根据Si内部的各种因素来全面界定安全风险所造成的影响。

3 信息系统安全评估实际案例

某电力信息系统是由Web服务器支持其整体运作的，完全可以充分利用已经建立的综合评估模型来评估Web服务器的安全风险[2]。一般而言，影响Web服务器安全的风险因素主要为S={S1，S2，S3，S4，S5}。而这个矩阵内部的内容主要是由数据库管理系统、Web服务器操作系统、Web服务器应用系统和通信设备等一起组成的。

这5组风险因素分别代表以下几类不同类型的风险因素。

S1={S11，S12，S13，S14}。而这内部的五个因素主要代表五种错误：数据文件被破坏，查询过程出现错误，数据修改过程出现错误，删除过程出现错误。

S2={S22，S23，S24，S25，S26}。而这里面主要表示如下的几种故障：数据从缓冲区中溢出，寄存器内部的构造被破坏，文件结构和目录内容被破坏，用户帐户优先重写顺序出错，不同的應用程序之间存在诸多类型的冲突。

S3={S33，S34，S35，S36}。而这个式子中表示的主要故障主要有如下几种：内部功能出现了错误；遇到问题时不能够访问所需要的资源；非法数据入侵；使用过程中与操作系统的版本发生冲突。

S4={S43，S44，S45，S46，S47}，内部对应的几个元素分别标明系统的内部出现了如下故障：系统内部的内存出现了故障；计算机内部的CPU出现了故障；硬件驱动的过程出现了故障；电源使用的过程出现了故障；总线使用出现了故障。

S5={S53，S54，S55}，这个集合中三个元素分别表示出现如下故障：网络硬件的接口在使用的过程中出现了故障；通信协议在使用的过程中出现了故障；路由器在使用的过程中出现了故障。

由于篇幅所限将会省略计算的过程，之后可以得知如下的结论：一旦Web服务器发生了安全故障，则会对系统的安全产生不良的影响，这一影响值为0.36305。按照同样的矩阵计算方法也可以计算其他工作站和数据库系统内部的安全风险。

4 结语

综上所述，电力信息系统本身会受到系统本身、外部环境和自然环境的影响。本文通过提出一种基于模糊数学理论的信息安全风险评估模型来计算出电力信息系统组件所代表的安全风险值，以便相关部门能够采取更加有效的防护技术和管理措施，并在之后更好地增强系统的安全性。

参考文献

[1] 张李义.信息系统开发的动态风险模糊估测方法[J].系统工程理论与实践，2015（2）：129-132.

[2] 李鹤田，刘云，何德全.信息系统安全工程可靠性的风险评估方法[J].北京交通大学学报，2016（3）：25-29.

[3] 余勇，林为民.电力信息系统安全保障体系[J].电力信息化，2016（2）：59-63.

Abstract：This paper proposes a model and method of information system security risk assessment based on fuzzy comprehensive evaluation to better achieve the goal of quantifying information system and reducing security risk. Only by effectively determining the internal security risk factors， security risk indicators and weight coefficients of the whole information system， can an effective comprehensive matrix of security risk fuzzy assessment be established， and then the Web components in the power information system can be effectively used to better carry out risk assessment. Because the power information system is vulnerable to external environment， system itself and nature security threats in the process of using， it is particularly important to establish an effective information system security assessment model. It can not only effectively dose the security risks of the internal web components of the information system， but also can be raised for the management department. For more effective protection technology and management measures.

Key words：fuzzy comprehensive evaluation method； electric system； safety assessment