（通信与信息系统专业论文）电力通信网主干电路安全风险评估的研究.pdf

华北电力大学工程硕士学位论文摘要 摘要 为了充分保障电力通信网可靠安全高效的运行，本论文对电力通信网主干电路 的风险评估进行了研究。在风险评估的基本理论基础上，借鉴信息安全的风险评估 体系，建立了电力通信网安全风险评估的基本概念。通过对风险评估方法的深入研 究，确定了电力通信网主干电路的风险评估方法。结合具体的实例电路，论文确定 了风险评估的内容和总体流程以及风险评估辅助软件模型。并且依照评估总体流 程，深入进行了实例电路的风险识别、风险分析和风险评价三个关键环节的具体研 究，定量地确定了实例电路的风险值。课题在理论研究的基础之上，利用层次分析 法对实例电路进行了风险分析，对电力通信网所面临的风险进行了科学评价。 关键词：风险评估，电力通信网，层次分析法，资产评估，威胁和脆弱点评估 a b s t r a c t f o re n s u r i n gs e c u r i t yr u n n i n go fe l e c t r i cp o w e rc o m m u n i c a t i o nn e t w o r k ，t h er e s e a r c ho f t r i s ka s s e s s m e n to ft r u n kc i r c u i t r i e si sd e v e l o p e di n t h i sp a p e r t h eb a s i cc o n c e p t i o n so f s e c u r i t yr i s ka s s e s s m e n tf o re l e c t r i cp o w e rc o m m u n i c a t i o nn e t w o r ka r ee s t a b l i s h e db a s e do n t h eb a s i ct h e o r e t i c so fr i s ka s s e s s m e n ta n dr i s ka s s e s s m e n ts y s t e mo fi n f o r m a t i o ns e c u r i t y t h em e t h o d so fr i s ka s s e s s m e n tf o re l e c t r i cp o w e rc o m m u n i c a t i o nn e t w o r ka r ea d v a n c e d t h r o u g hd e e pr e s e a r c ho ft y p i c a lr i s ka s s e s s m e n tm e t h o d s c o n n e c t e dw i t ha c t u a lc i r c u i t s ， a s s e s s m e n tc o n t e n t s ，a s s e s s m e n tf l o wa n dt h em o d e lo fa s s i s t a n ts o f t w a r ef o rr i s ka s s e s s m e n t a r ec o n f i r m e d ，t h et h r e ek e yt a c h e st h a ta l er i s ki d e n t i f i c a t i o n ，r i s k a n a l y s i sa n dr i s k a s s e s s m e n ta r er e s e a r c h e dd e e p l ya c c o r d i n ga st h ew h o l ea s s e s s m e n tf l o w t h er i s kv a l u e so f e x a m p l ec i r c u i ti sc o n f i r m e dq u a n t i f i c a t i o n a l l ya tl a s t b a s e do nt h e o r yr e s e a r c h ，u s ea n a l y t i e h i e r a r c h yp r o c e s sa st h em e t h o do fr i s ka n a l y s i sp r o c e s s w h a ti sm o r e ，s c i e n t i f i ce v a l u a t i o n o f r i s ki ne l e c t r i cp o w e rc o m m u n i c a t i o nn e t w o r ki sg a i n e d w uj u n - j i e ( c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m s ) d i r e c t e db yp r o f y u a nj i n s h a k e yw o r d s ：r i s ka s s e s s m e n t ，e l e c t r i cp o w e rc o m m u n i c a t i o ns y s t e m ，a n a l y t i c h i e r a r c h yp r o c e s s ，a s s e te v a l u a t i o n ，t h r e a ta n dv u l n e r a b i l i t ya s s e s s m e n t l 声明 本人郑重声明：此处所提交的硕士学位论文电力通信网主干电路安全风险评估的 研究，是本人在华北电力大学攻读硕士学位期间，在导师指导下进行的研究工作和取 得的研究成果。据本人所知，除了文中特别加以标注和致谢之处外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得华北电力大学或其他教育机构的学位 或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者虢硅堕日期：学位论文作者签名：毛妊型芝日 期：) 棚彩5 - r o 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有权保管、 并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩印或其它复制手 段复制并保存学位论文；学校可允许学位论文被查阅或借阅；学校可以学术交流为 目的，复制赠送和交换学位论文；同意学校可以用不同方式在不同媒体上发表、传播 学位论文的全部或部分内容。 ( 涉密的学位论文在解密后遵守此规定) 作者签名：导师签名： 日期：兰! ! ：511 1 日期： t 粤r雄1 | ： 华北电力大学工程硕士学位论文 1 1 课题研究背景 第一章引言 电力通信网是面向电力系统运行和管理的通信专网，具有明显的行业特色和特 殊的安全可靠性要求。随着电力系统自动化水平的不断提高，电力通信网在电力生 产和电力调度中发挥的作用越来越重要。电力系统是高新技术密集型行业，要求电 力信息有非常高的可靠性和安全性，这对电力通信网提出了更高的要求。如何在现 有的通信设施基础上，通过有效地管理，向电力系统运行生产提供高质量的、可靠 的信息服务是电力系统通信部门面临的新的挑战。 电力系统通信网由传输和交换等多个子网组成，子网中又包含各种各样的通信 设备，各个部分组织在一起，构成了多技术、多层次的复杂网络结构【卜n 。任何一 个部分的故障，都会影响到通信系统的服务质量，甚至还会对电网的安全稳定运行 构成严重威胁。为了充分保障电力通信网的可靠安全高效的运行，开展对网络的安 全风险评估具有重要意义。通过风险评估过程，可以标识出电力通信网与安全紧密 相关的资产情况，评估资产的价值，对资产所暴露出的脆弱性和存在的威胁进行分 析，估计威胁可能造成的不良影响，进而对整个系统存在的风险指标进行科学的评 估，得出的评估结果可以作为选择安全防范措施的依据，通过改进管理措施，有效 地降低风险或避免风险，提高系统的安全性。 随着电力信息安全风险评估的逐步展开，电力通信网的安全评估问题已经引起 通信管理部门的高度重视，将风险评估作为实现电力通信网安全运行管理的重要步 骤。然而，目前风险评估主要集中在i t 系统安全、软件工程管理、医疗保障系统、 金融系统投资、电子商务和电力系统运行等领域，电信领域的风险评估主要集中在 电信工程建设上【3j ，对于运行中的通信网进行风险评估报道的较少，具体到对电力 通信网的安全风险评估所进行的报道更少，所以，开展这一领域的研究具有较高的 学术意义和实际工程价值。 1 2 国内外研究现状 风险评估就是利用定量或定性的方法对系统潜在的风险进行评价和估计，进而 提出防范措施，并将措施有效地利用到管理活动中去，达到降低风险和避免风险的 目的，保证系统的可信赖性、完整性、有效性、可审计性、合法性和可靠性鼻4 1 。 从上世纪九十年代开始，信息系统风险评估的研究热潮开始全面展开，至今经历了 十几年，取得了显著的成果。为了更好地加强信息安全风险管理，使其流程更加科 华北电力大学工程硕士学位论文 学、规范和有效，国内外开展了制定信息系统风险评估标准的工作。信息系统风险 评估的标准化工作历经了四个阶段【5 】：概念形成阶段、体系形成阶段、标准形成阶 段和风险评估制度化阶段。 风险评估主要应用在信息系统安全 3 , 6 - 9 1 、软件系统 t 0 - 1 2 1 和电力系统等一些领域 中。其中在电力系统中，风险评估应该作为一种随机性定量分析工具的观点，并且 应该架构在能量管理系统和调度自动化系统之上【1 3 l 。 随着风险评估方法研究的展开，有关学者提出了定量分析数学方法、模糊神经 网络法、模糊数学法、免疫法和蚁群算法等一些评估方法”1 9 l 。一般可以将风险评 估的方法分为三大类：定量的风险评估方法、定性的风险评估方法、定性与定量相 结合的评估方法。为了丰富评估所需的信息，简化评估的工作量，减少评估过程中 的主观性，国内外研究开发了s a f e s u i t e 套件、w e b t r e n d ss e c u r i t y a n a l y z e r 套件、 c ct o o l s 和c o b r a 等评估工具。其中c o b r a 是一套专门用于进行风险分析的工具软 件，并包含促进安全策略执行、外部安全标准( i s o1 7 7 9 9 ) 评定的功能模块。 随着风险评估的不断演进，就信息系统安全评估而言，出现一些以评估为服务 内容的公司，专门为一些企业提供评估支持，这也标志着风险评估产业化的进程在 不断加速。其中，欧洲的c o r a s 的风险评估研究项目【2 ，其目的是找出一种先进 的方法，用来精确地、无歧义地、有效地对些关键的安全系统进行评估。c o r a s 是一个安全关键系统风险分析平台，主要对医疗保健系统和电子商务系统进行风险 分析。国内的启明星辰公司面对最新的发展形势，认为电信网络安全要从全局角度 出发，并为其专门提供了业界领先的v s o c ( v e n u ss e c u r i t yo p e r a t i o nc e n t e r ) 启 明星辰安全运营中心解决方案，帮助电信运营商将现有安全系统纳入统一的管理平 台，实现安全形势全局分析和动态监控【2 。 综上所述，风险评估发展历史较早，真正用于i t 系统是在上世纪九十年代开 始的。随着信息系统风险评估的不断深入，国际和国内的标准化工作也取得了很多 成果，但是，标准本身仅给出了开展风险评估的基本框架，并没有给出具体的方法， 因此，在基于标准的前提下，采用何种技术和手段实现评估过程，是值得研究的问 题。风险评估可以应用于任何领域，即使是信息系统的安全风险评估，具体到某一 个系统，也有着各种各样的分析和管理过程。针对不同的系统和不同的领域，不能 拘泥于一种方法，采用恰当的分析方法可能会使评估活动花费小，成果好，达到事 半功倍的效果。为了使评估过程更加自动化，评估结果更加客观可信，将多种评估 方法综合起来进行运用，相互补充，可以达到更好的评估效果，这也是目前研究的 热点。而且，风险评估系统的综合不仅限定在风险评估这一领域，将相关的系统和 领域也结合起来，效果会更好。 华北电力大学工程硕士学位论文 1 3 课题研究的意义 电力通信网风险评估就是根据国际标准，利用综合性的、分层次的方法对电力 通信网的安全进行风险评估。评估内容主要包括确定资产、评估资产价值、确定威 胁、分析脆弱性，通过事件概率和风险的严重程度，估计出风险值。评估结果用来 指导制定安全策略，保证电力通信网的安全可靠运行。 开展电力通信网风险评估研究的主要意义是： 1 ) 对电力通信网所面临的风险进行科学评价：电力通信专网长期以来，形成了 一套行之有效的管理规程和管理办法。但随着电力信息安全要求的不断提高，电力 通信网的安全管理也面临着新的挑战。为了满足电力生产和运行的要求，必须对电 力通信网进行科学的风险评估，明确通信网中存在的资产、威胁、脆弱性、负面影 响和风险等各种因素。 2 ) 为制定安全管理措施提供依据：风险评估过程是一个分层次、多方面的综合 分析过程，既强调尊重客观数据，又提倡业内专家的广泛参与，因此，评估结果具 有较强的客观性和合理性，通信管理部门参照评估结果，制定出有效的安全管理措 施，避免风险、降低风险或转移风险，提高系统的安全管理水平。 3 ) 提出一种适用于电力通信网的风险评估模型：通用的风险评估标准与模型仅 给出了一般准则，不能完全反映实际系统的状况。为了科学的进行电力通信网风险 评估，必需结合电力通信网的特点建立实用风险评估模型，以便得到正确的评估结 果。而且，该模型在电力通信网的范围内具有普遍意义。 4 ) 风险评估方法结合网络管理系统和网络可靠性分析方法：由于风险评估中的 很多数据来源于专家打分，主观成分较多，所以，导致评估结果客观性差，可信度 低，使得“风险评估本身就有风险”。为了降低主观性，可以将网络管理数据和网 络可靠性分析数据作为评估依据，提高评估结果的客观性。 1 4 课题内容概述 为了充分保障电力通信网的可靠安全高效的运行，本论文对电力通信网主干电 路的风险评估进行了研究。在理论上，借鉴信息安全的风险评估体系，建立了电力 通信网安全风险评估的基本概念；在方法上，对典型的风险评估方法进行了深入研 究，确定了电力通信网主干电路的风险评估方法；结合具体的实例电路，确定了风 险评估的内容和总体流程以及风险评估辅助软件模型。课题在理论研究的基础之 上，利用层次分析法对实例电路进行了风险分析，对电力通信网所面临的风险进行 了科学评价，为电力通信网制定安全管理措施提供依据。 华北电力大学工程硕士学位论文 论文分为五章介绍课题工作。 第一章为引言部分。主要对风险评估的国内外研究现状进行了介绍，并结合电 力通信网的特点，阐释了课题研究的重要意义。 第二章为通信网安全风险评估的介绍。介绍风险评估的基本概念和基本理论， 特别提出了风险评估在通信网安全领域的应用，介绍了通信网安全风险评估的形 成。 第三章为电力通信网风险评估方法的研究。介绍典型的风险评估方法，借鉴信 息安全的风险评估方法，形成了电力通信网的风险评估方法。 第四章为电力通信网主干电路风险评估实例。结合具体的实例电路，确定了风 险评估的内容和总体流程以及风险评估辅助软件模型。并且依照评估总体流程，深 入进行了实例电路的风险识别、风险分析和风险评价三个关键环节的具体研究。详 细进行了实例电路的风险分析，讨论其风险事件影响程度递阶层次模型的构成。最 后对实例电路进行了风险评价，确定实例电路的风险值。 第五章对本文的研究工作做了全面的总结，阐明作者的主要研究成果，并指出 了需要进步研究的问题。 4 华北电力大学工程硕士学位论文 第二章通信网安全风险评估 目前国外对风险评估的研究已经有几十年的历史，国内近几年也大力开展了这 方面的研究，但真正用于i t 系统是近十几年才开始的，具体到电力通信网的安全 风险评估开展的就更晚。本章主要介绍风险评估的基本理论，以及通信网安全风险 评估的形成。 2 1 风险评估概念的提出 2 1 1 风险 风险( r i s k ) 词在日常生活中被解释为“可能发生的危险”。在风险管理理论 中有四种相近的有关风险的定义【2 2 1 ，一种是将风险定义为损失发生的可能性：另一 种将风险定义为损失的不确定性；还有一种定义认为风险是实际结果与预期结果的 偏差：第四种定义是认为风险是实际结果偏离预期结果的概率。从四种定义可以看 出，风险与不确定性密切相关，而不确定形式可以用概率来表示。风险还与损失有 关，损失又与预期结果有关。因此，前面的四种定义可以认为是一致的，风险就是 损失的不确定性，这种定义具有一般性。 从应用的观点看，不同应用领域对风险又有不同的定义。例如在银行业有三种 风险的定义【2 朝，一种定义是“风险是指资产及其收益蒙受损失的可能性”；另一种 定义是“风险是指资产及其收益的现有损失”；第三种定义是“风险是指资产及其 收益损失或获益的可能性”。相比之下，第一种定义被广泛接受。 在电力系统运行风险评估中，风险的基本定义是：“对电力系统面临的不确定 性因素，给出可能性与严重性的综合度量” 1 3 1 。该定义充分说明了风险是可以度量 的，而且与不确定性、可能性和严重程度密切相关。在电力系统电压崩溃的风险评 估中，将风险定义为：“能导致伤害的灾害的可能性和这种伤害的严重程度” 2 4 1 0 在软件工程中，软件产品的风险被定义为：“一个故障产生危害的可能性和严重程 度的总和” 2 5 1 。根据分析内容不同，软件风险可以分为基于可靠性的风险和基于性 能的风险。在信息安全领域，将风险定义为：“一种威胁通过暴露某一项资产或一 组资产的脆弱性( 漏洞) ，导致对组织产生危害的可能性”【26 1 。 可以看出，风险具有多种不同的定义，而且，应用领域不同，对风险下的定义 也不同。但是很明显的一个特征是风险总是与不确定性和严重程度紧密相关。为了 使各领域的风险管理专家有共同的语言，广泛地开展交流与合作，t a v e n 2 7 1 对风险 下了精确的定义，从实证主义者的观点出发，风险是一种客观存在的，并且可以被 测量的东西，也被称为是经典的风险；从概率论的观点出发，风险是不确定性的一 5 华北电力大学工程硕士学位论文 种表示方法。 在信息技术和信息安全系统中，广泛采用文献 2 6 给出的有关风险的定义。 2 1 2 风险评估与风险管理 风险具有客观性、突发性、损害性、不确定性和发展性。对系统进行风险分析 和评估的目的就是：了解系统目前与未来的风险所在，评估这些风险可能带来的安 全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。围 绕着风险的概念，有如下几个概念经常用到2 6 1 。 风险标识( r i s ki d e n t i f i c a t i o n ) ：结合商务目标对风险进行标识的过程，并对威 胁和脆弱性进行标识，为进一步分析建立基础。 风险分析( r i s ka n a l y s i s ) ：估计风险程度的系统化过程。 风险评价( r i s ke v a l u a t i o n ) ：在风险分析的基础上，把风险等级与预定的准则 进行比较的过程，进一步明确需要进行风险控制的范围。 风险应对( r i s kt r e a t m e n t ) ：在风险评价的基础上，定义i t 安全管理规划的过 程。 风险评估( r i s ka s s e s s m e n t ) ：风险标识、风险分析和风险评价的全过程总和。 风险管理( r i s km a n a g e m e n t ) ：对影响i t 系统资源的事件进行标识、控制、限 制或减少的全过程。 从以上的几个概念定义可以看出，风险管理是一个循环过程，其核心为风险评 估，风险评估也是一个综合过程，内部包含风险标识、风险分析、风险评价和风险 应对等多个环节。在文献 2 8 对风险评估给出了如下定义：在可接受的成本下，标 识、控制和尽量减少( 或消除) 可能影响信息系统的安全风险的过程。风险评估的 主要作用是标识风险、分析风险、制定风险控制规划、实施风险控制、监控风险变 化、改进风险控制措施。 以风险评估为核心的风险管理是一个可以在系统生命周期各主要阶段实施的 重复过程。风险管理要自始至终贯穿于信息系统的规划、启动、设计、开发或采购、 集成实现、运行和维护。而且，每个阶段有不同的特征和风险管理活动。 一般来讲，对计算机信息系统信息安全风险的评估包括信息系统的机密性、完 整性、可用性等的分析和评价。由于信息系统的复杂性和差异性，以及对风险评估 的观察视角和研究思路的差异，导致了多种风险评估的模型和标准存在，这些模型 和标准各有优缺点，没有一个风险评估方法能完全适用于所有信息系统的风险评 估。 6 华北电力大学工程硕士学位论文 2 2 风险评估流程 风险评估流程图如图2 1 所示： 内容定义 制定目标和准则 方案排列和比较 风险分析和评估 决策制定 实旋 ( a ) 基于风险分析的风险管理模型 ( b ) 信息安全风险管理过程 图2 一l 风险评估流程 目前，用来指导实施信息系统安全风险评估的标准很多，在此主要介绍图中所 示的两种。 图2 一l ( a ) 为基于风险分析的风险管理结构化模型【2 7 。风险管理的第一步是对 所评估的风险内容进行定义，明确评估边界，划定影响范围。第二步是确定目标和 准则，目标就是要明确评估的战略目的，准则是确定风险的可接受程度。第三步对 所采取的措施和方案进行排列。给出各因素的影响程度。第四步是进行风险分析和 评估。第五部是决策制定。最后一步是实旌。 图2 1 ( b ) 为信息安全风险管理过程【2 “，该过程与文献 9 中给出的风险评估 流程相似，被广泛应用于安全评估。主要环节包括三个，分别为建立环境、风险评 估和应对风险。其中风险评估包含标识风险、分析风险和评价风险等三个子过程， 也是整个过程的核心。考虑到风险评估是一个循序渐进的过程，在评估过程中需要 不断的完善与修改，因此，监控与评审环节可以保证评估的正确进行，咨询与交流 可以保证评估顺利进行。 在信息安全领域，图2 1 ( b ) 具有更强的代表性。文献 3 0 以该流程为基础， 开发出了通用的基于模型的安全关键系统风险分析平台，被称为c o r a s 工程，在风 华北电力大学工程硕士学位论文 险评估的实用化方面作了很多有意义的工作。本课题选用该风险评估流程作为标 准，实施对电力通信网主干电路的安全风险评估。 2 3 风险评估的主要应用领域 风险评估可以应用于任何存在风险并且需要做出决策的系统。由于风险评估是 一个过程，而且是一个循序渐进的过程，所以，风险评估是有代价的。在应用风险 评估之前，必须考虑风险评估的代价与风险评估的作用之间的平衡。鉴于这种原因， 风险评估的应用领域相对来说具有一定的限定范围。有些领域应用较多，有些则较 少，还有些领域尽管存在风险问题，但通过其他手段也能解决问题。 概括起来说，风险评估的主要应用领域如下： 银行业：银行业中风险突出，风险评估非常重要。在银行业中的风险主要 是信用风险、流动性风险、资本风险、投资风险、表外业务风险、利率风 险和汇率风险等。 系统工程：在系统的可行性设计阶段，通常需要在较少信息的前提下做出 决策，比如工程进度、成本预算等，要进行风险评估。在系统的详细设计、 使用阶段，随着设计目标和各种设计参数的明确，借鉴现有的数据库，可 以采用风险评估方法。 信息系统：信息系统安全问题单凭技术是无法得到彻底解决的，它的解决 涉及到政策法规、管理、标准、技术等方方面面，任何单一层次上的安全 措施都不可能提供真正的全方位的安全，信息系统安全问题的解决更应该 站在系统工程的角度来考虑。在这项系统工程中，信息系统安全风险评估 占有重要的地位，它是信息系统安全的基础和前提。 电力系统：电力系统运行的可靠性一直得到充分重视，电力系统运行中的 风险评估也不容忽视。将风险理论用于电力系统的安全评估取得了较好的 效果，并在此基础上引入了风险指标，从而可以对电力系统的安全性做出 更科学的、细致的评估。 风险评估最早于2 0 世纪7 0 年代开始应用于美国的核电厂的安全性分析，随后 在诸如化学工业、环境保护、航天工程、医疗卫生、经济等广泛的领域得以推广和 应用。风险评估是识别并分析潜在损失发生的可能性以及严重程度的过程，需从风 险的机理、造成的破坏、社会经济损失以及防灾、减灾效益的全过程展开。风险评 估现已广泛应用于环境科学、自然灾害、经济学、社会学、建筑工程学等领域。 华北电力大学工程硕士学位论文 2 4 通信网安全与风险评估 2 4 1 通信系统安全体系 x ，8 0 5 给出的安全体系如图2 - 2 所示 图2 - 2 通信系统安全体系结构 表2 一l 安全平面与安全层次的组合 设施层业务层应用层 管理平面模块1模块4模块7 控制平面模块2模块5模块8 端用户平面模块3 模块6模块9 表2 - 2 安全维与安全威胁的对应关系 安全维安全威胁 信息和资源的信息篡改 信息和资源的信息泄漏服务中断 破坏盗用，挪用。 丢失 访问控制 y yyy 有效性认证 y y 抗抵赖 yy yyy 数据机密性yy 通信安全yy 数据完整性yy 有效性 y y 私密性y 图2 2 说明，通信系统可以在垂直方向上分为三个安全层次( 即：设施安全层、 9 华北电力大学工程硕士学位论文 业务安全层和应用安全层) ，在水平方向上分为三个安全平面( 即：管理平面、控 制平面和端用户平面) 。每一个安全层次和安全平面相组合，构成一个安全模块， 可以看出有九种组合。表2 l 给出了各种模块的组合情况。 每种模块都具有8 个安全维，即：访问控制、认证、抗抵赖性、数据机密性、 通信安全性、数据完整性、有效性和私密性，每一个安全维在不同的模块中具有不 同的含义。详细的描述见x 8 0 5 建议书。 系统的安全威胁和安全维具有一定的对应关系，但并不是任何一个安全维都存 在相同形式的安全威胁。表2 2 给出了安全维与安全威胁的对应关系。 2 4 2 通信网可靠性管理【3 1 】 通信网可靠性是指通信网在实际连续运行过程中完成用户的正常通信需求的能 力。 该定义将通信设备的可靠性与通信网的可靠性区分开来，强调通信网的可靠性 是从整个系统的角度来研究可靠性问题，不是仅集中在某一个系统组件上。通信网 可靠性的定义有六个要素，分别是： 对象或产品：研究通信网可靠性的对象或产品即是通信网本身。 规定功能：不同层次的网络具有不同的规定功能。 规定条件：影响网络及其组件正常运行的各种条件的综合。 规定时问：在对可靠性进行测度时的时间段。 概率( 或能力) ：利用概率来衡量可靠性。 故障：故障的发生在一定程度上会降低网络的可靠性。 对通信网可靠性的研究主要有三种方法，分别是：抗毁性、生存性和有效性。 具体方法见表2 3 所示。 表2 - 3 三种可靠性研究方法的比较 比较项目抗毁性生存性有效性 出发点网络拓扑( 抽象图)网络拓扑+ 随机性 网络拓扑+ 随机性+ 业务 ( 概率图) 性能( 概率流图) 指标连通度、粘聚度连通率基于业务性能的概率指 标 研究方法图论图论和概率论 图论、概率论及有关通信 理论 测度的性质固有可靠性固有可靠性工作可靠性 复杂性小 由 大 实用性小 由 大 华北电力大学工程硕士学位论文 三种研究方法体现了可靠性研究的不同侧面。抗毁性和生存性是从拓扑图的角 度进行研究，给出网络结构的可靠性测度，相当于固有可靠性。生存性研究是在抗 毁性研究的基础上考虑了概率特性。有效性研究将网络看作流图，在此基础上部分 考虑业务性能要求，从网络可用性的角度给出全网的可靠性综合测度，相当于工作 可靠性。网络中的部件失效不仅影响网络的连通性，更重要的是使网络时延增加、 吞吐量下降和网络拥塞严重，因此，研究网络的有效性比研究生存性和抗毁性具有 更强的现实意义，而且，生存性和抗毁性的研究成果仍然可以在有效性研究中加以 利用。 随着通信网络的发展，通信网可靠性研究的范围在不断延伸。传统的可靠性属 于质量的范畴，电信质量管理的研究范围已经经历了“产品质量一生产过程质量一整 个业务过程质量”的演变。通信网的可靠性从设备和系统的可靠性向外延伸，从技 术范畴向管理范畴延伸，从硬件向软件延伸。通信网的可靠性研究已经成为了一个 综合性的系统工程。 2 4 3 通信网安全风险评估的形成 从前述内容可以看到，任何存在不确定性，且不确定事件发生后会造成损失和 危害的地方，都会存在风险。为了降低风险到一个可按受的水平，必须采用风险管 理理论对风险的成因进行分析，对风险的严重程度进行评估，以便采取更合理的措 施，避免风险，或使风险的程度降低。 由于风险无处不在，而且对风险的管理也是非常必要的，因此，风险管理作为 一门通用的理论，被应用到不同的领域。根据各个领域对风险管理的要求程度不同， 出现了风险理论在不同领域中应用的时间早晚和重视程度各不相同。从应用情况 看，投资、证券、银行等金融领域应用最早，其次是项目管理、工程管理，再次是 系统工程中的设计、生产、运行、管理和维护。其中，电力、核能、航空等关键性 行业应用最广泛。最后，随着信息技术的发展，信息系统的安全，软件项目的管理、 开发和测试等领域也开始使用风险理论。 通信网不同于信息系统，尽管有密切的联系，但差别很大。通信网定义为：通 信网是通信设备和通信链路( 利用线缆、无线、卫星等手段提供的链路) 构成的系 统，它使计算机能够在地理位置上分布，又能够彼此相“连”。信息系统定义为： 信息系统是被组织用来支撑日常运营的计算机系统和信息资源的总称。从定义上 看，信息系统由组织和部门拥有，其信息内容与组织和部门密切相关，因此，对信 息系统的安全提出了更高的要求。实践上也是如此，信息系统的安全措施、安全规 范、安全标准和安全技术等内容得到了较早的重视，发展很快。并取得了显著的成 效。相比之下，通信网具有较强的公共设施特征，它关心的是信息传输过程中的可 华北电力大学工程硕士学位论文 靠性和质量，而忽视信息的内容。因此，与信息系统相比，通信网的安全问题比较 弱。随着信息技术的发展，社会生活对信息系统的依赖程度越来越高，而信息系统 对通信网的依赖程度也越来越高。通信网的安全问题提到了与信息系统同等重要的 程度。 通信网安全需求的不断提高，必然促进了通信网安全风险评估的形成，否则， 通信网的安全管理和可靠性管理将不会落到实处。 开展通信网安全风险评估的必要性主要体现在如下几个方面： 通信网重要性的提高 通信网复杂度的提高 通信网服务质量要求的提高 通信网管理手段的提高 当前，针对通信网安全风险评估的研究成果并不多，更谈不上系统化，因此， 对通信网的安全风险评估方法的研究具有较强的学术意义和实用价值。概括起来 说，通信网安全风险评估的研究内容主要体现在如下几方面。 评估指标体系的研究 通信网风险行为描述方法的研究 方法论方面的研究 评估过程自动化的研究 2 5 小结 本章主要介绍了风险、风险评估和风险管理的基本概念，以及风险评估的流程 和其主要应用领域，特别提出了风险评估在通信网安全领域的应用。通过介绍风险 评估基本理论和通信网安全风险评估，对风险评估有了深入的了解，并形成了电力 通信网安全风险评估的初步概念。 竺j ! 皇垄奎兰三型堡圭堂垡笙塞 第三章电力通信网风险评估方法 风险评估方法一直是风险评估研究领域的热点问题，课题从现有的风险评估方 法入手对通信网的风险评估方法进行研究。本章主要介绍目前通信网风险评估中常 用的方法，并详细介绍了电力通信网风险评估中两个关键环节的研究方法，以此作 为课题后续研究的基础。 3 1 风险评估方法浅析 在风险评估过程中使用何种方法对评估的有效性占有举足轻重的地位，评估方 法的选择直接影响到评估过程中的每个环节，甚至可以左右最终评估的结果，所以 需要根据系统的具体情况，选择合适的风险评估方法。 3 1 1 风险评估方法的分类吲 风险评估的方法有很多种，概括起来可分为三大类：定量的风险评估方法、定 性的风险评估方法、定性与定量相结合的评估方法。 3 1 1 1 定量评估方法 定量的评估方法是指运用数量指标来对风险进行评估。典型的定量分析方法有 因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。 定量的评估方法的优点是用直观的数据来表述评估的结果，看起来一目了然， 而且比较客观，定量分析方法的采用，可以使研究结果更科学，更严密，更深刻。 有时，一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的：但常 常为了量化，使本来比较复杂的事物简单化、模糊化了，有的风险因素被量化以后 还可能被误解和曲解。 3 1 1 2 定性评估方法 定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变 例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈 做出个案记录为基本资料，然后通过一个理论推导演绎的分析框架，对资料进行编 码整理，在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析 法、历史比较法、德尔斐法。 定性评估方法的优点是避免了定量方法的缺点，可以挖掘出一些蕴藏很深的思 想，使评估结论更全面、更深刻；但它的主观性性很强，对评估者本身的要求很高。 华北电力大学工程硕士学位论文 3 1 1 3 定性与定量相结合的综合评估方法 系统风险评估是一个复杂的过程，需要考虑的因素很多，有些评估要素是可以 用量化的形式来表达，而对有些要素的量化又是很困难甚至是不可能的，所以我们 不主张在风险评估过程中一味地追求量化也不认为一切都是量化的风险评估过程 是科学、准确的。我们认为定量分析是定性分析的基础和前提，定性分析应该建立 在定量分析的基础之上才能揭示客观事物的内在规律。定性分析则是灵魂，是形成 概念、观点，做出判断，得出结论所必须依靠的，在复杂的信息系统风险评估和通 信网安全风险评估过程中，不能将定性分析和定量分析两种方法简单的割裂开来。 而是应该将两种方法融合起来，采用综合的评估方法。 3 1 2 信息安全风险评估方法 信息安全风险评估方法对本文所研究的问题有很好的借鉴作用，目前有关信息 安全的风险评估方法有很多种，在此主要介绍几种典型的方法。 3 1 2 1 层次分析法 在信息系统风险评估过程中，层次分析法( a n a l y t i ch i e r a r c h yp r o c e s s ：a h p ) 经常被用到，它是一种综合的评估方法。该方法是由美国著名的运筹学专家 t l s a a t y 于2 0 世纪8 0 年代提出来的【3 “，是一种多目标决策分析方法。这一方法 的核心是将决策者的经验判断给予量化，从而为决策者提供定量形式的决策依据。 目前该方法已被广泛地应用于尚无统一度量标尺的复杂问题的分析方面，解决用纯 参数数学模型方法难以解决的决策分析问题。该方法对系统进行分层次、确定相对 权值、规范化处理，最后给出排序。在评估过程中经历系统分解、安全性判断和综 合判断三个阶段【3 l 。它的基本步骤是： 1 ) 系统分解，建立层次结构模型：层次模型的构造是基于分解法的思想，进行 对象的系统分解。它的基本层次有三类：目标层、准则层和指标层，目的是基于系 统基本特征建立系统的评估指标体系。 2 ) 构造判断矩阵，通过单层次计算进行安全性判断：判断矩阵的作用是在上一 层某一元素约束条件下，对同层次的两元素之间相对重要性进行比较，根据心理学 家提出的“人区分信息等级的极限能力为7 2 ”的研究结论，a h p 方法在对评估指标 的相对重要程度进行测量时，引入了九分位的相对重要的比例标度，构成判断矩阵。 计算的中心问题是求解判断矩阵的最大特征根及其对应的特征向量；通过判断矩阵 及矩阵运算的数学方法，确定对于上一层次的某个元素而言，本层次中与其相关元 素的相对风险权值。 3 ) 层次总排序，完成综合判断：计算各层元素对系统目标的合成权重，完成综 1 4 华北电力大学工程硕士学位论文 合判断，进行总排序，以确定递阶结构图中最底层各个元素在总目标中的风险程度。 a h p 方法不仅能够确定每个风险因素的权值，还能够对多个预选方案进行排序， 为决策者提供判断依据【3 3 】。 在实际系统中，a h p 方法要求同一层的多个因素相互之间不能存在依赖关系， 否则，基本判断方法会失效。针对这种具有反馈形式的层次结构，t l s a a t y 继a h p 方法之后，又提出了网络层次分析法( a n a l y t i cn e t w o r kp r o c e s s ：a n p ) ，运用 a n p 方法，可以对具有网状结构的因素结构进行有效分析。在信息安全风险分析中， 绝大多数信息系统都可分解为简单的层次结构，因此，使用a h p 方法足以满足要求。 但对复杂系统或依赖关系较强的系统，应该采用a n p 方法。当然，分析计算量会随 着因素个数的增加，而显著的增加 3 4 35 1 。 利用a h p ，不但可以把一个复杂问题简化为有序的递阶层次结构，使决策问题通 过简单地两两比较形式导出，而且还使定性分析和定量分析有机地结合起来。但a h p 在方案两两比较重要性赋值时只考虑了人判断的两种可能极端情况，而没有考虑人 判断的模糊性。鉴于此，在对风险因素的两两比较重要性赋值时，又引入了三角模 糊数来表示专家判断信息，以提高判断的准确程度。这种在a h p 的基础上增加模糊数 的判断方法被称为基于模糊层次法( f u z z ya h p ) 的风险量化方法，以实现了风险因 素的重要度排序。该方法引入a h p ，对风险因素进行分层，通过三角模糊数来描述专 家判断信息，同时借助f u z z y 风险判断矩阵实现风险因素的按风险发生概率、风险 损失以及综合考虑风险发生概率和风险损失的重要度排序。运用该方法对项i i 风险 进行量化，只需要项目有关人员和专家给出风险因素的两两比较判断信息即可，可 操作性强。 本论文在实例分析中所用的方法即为层次分析法。 3 ，1 2 2 模糊综合评判法 模糊综合评判法( f u z z yc o m p r e h e n s i v ee v a l u a t i o n ：f c e ) 是一种用于涉及模 糊因素的对象系统的综合评价方法。由于可以较好地解决综合评价中的模糊性( 如 评价专家认识上的模糊性等) ，因而该方法在信息安全风险评估领域得到了极为广 泛的应用 7 , 3 6 - 3 7 o 该方法的优点是可对涉及模糊因素的对象系统进行综合评价，而 且更加适宜于评价因素多、结构层次多的系统。 在信息系统的风险分析中，由于系统风险的复杂性，存在着诸多不确定性的影 响因素，而且这些影响因素相互可能发生关联，同时这些影响因素对损失的贡献是 非线性和动态变化的，使得既不能通过有效的数据累计确定风险事件发生的概率， 也无法直接准确地判断其发生后的严重程度。因此，采用模糊综合评判方法。 华北电力大学工程硕士学位论文 不足之处是不能解决评价指标间相关性造成的评价信息重复问题，隶属函数的 确定也没有系统的方法。上述方法在考虑时间序列与外部环境等共同原因方面，即 动态分析方面并不完善【3 8 】。 有必要指明，模糊综合评判法不同于模糊层次法。模糊层次法是在层次分析的 基础上引入模糊数的概念，实现了一定程度上的模糊判断。模糊综合评判法完全抛 开了层次分析法的框架，直接引入隶属度矩阵，但在隶属度矩阵的构造上缺乏方法。 3 1 2 3 熵权系数法 3 9 4 0 】 熵权系数法可以认为是在模糊综合评判法基础上发展的方法。在网络安全风险 评估中，评判矩阵通常由专家综合打分给出，具有较强的主观性，从而导致评估结 论的不确定因素增强。为避免或降低主观因素的影响，在确定风险因素的权重上， 利用信息熵的概念来计算风险因素的不确定性，从而给出风险因素的权向量，克服 了直接赋值的主观性。通过信息熵的基本定义公式，计算熵值，利用熵值表示系统 的有序程度。由熵的极值性可知，系统概率越接近相等，熵值越大，风险因素对系 统风险评估的不确定性就越大。因此，可根据各风险因素对评判集中各指标的支持 度，利用信息熵，计算各指标的权重。对风险因素的权重的确定，不是单凭主观评 判，而是采用熵权系数法进行客观计算。 3 1 2 4 概率风险评估法 概率风险评估方法( p r o b a b i l i s t i cr i s ka s s e s s m e n t ：p r a ) 是定性、定量相结 合，以定量为主的安全性分析方法，在美国国家航空航天管理局( n a s a ) 和欧洲空间 局( e s a ) 均得到了广泛应用。我国自2 0 世纪6 0 年代开始发展p r a 方法，现已广泛应用 于核电站、化工、航空航天等复杂系统的风险评估。通过应用p r a 方法，可以使安 全工程师对复杂系统的特性有全面深刻的了解，有助于找出系统的薄弱环节，提高 系统的安全性，并可以在概率的意义上区分各种不同因素对风险影响的重要程度， 为风险决策提供有价值的定量信息【3 引。p r a 法综合了很多方法和技术，因而可以做 最详细的风险分析，但是实际操作起来比较复杂，需要投入较多的人力、物力，应 用到实际科研项目有一定的难度。 在信息系统安全风险评估方面，概率风险评估方法被使用的不是非常广泛，主 要原因是，信息系统中各因素的相互关系复杂，信息安全管理技术的发展起步较晚， 对安全管理经验和安全数据的收集整理不够完善，难以具备概率风险评估方法所要 求的条件。 文献 4 1 给出了基于概率的信息系统风险定量化研究成果。文章认为信息系统 的风险评估和风险管理方法主要是基于过程的定性的风险分析方法。国内对风险评 估方法的研究建立在1 s 0 1 3 3 3 5 标准之上，因此根本上也没有脱离定性的方向。其实， 1 6 华北电力大学工程硕士学位论文 在信息系统方面，随着人们对系统漏洞的不断了解，对攻击方式的不断熟悉，可以 形成进行定量风险评估的知识库，实现定量的风险评估。 3 1 2 5 贝叶斯网络法 贝叶斯网络( b a y e s i a nn e t w o r k ：b n ) 是通过有向图的形式表示随机变量间的 因果关系，是将因果知识和概率知