摘要:信息系统安全肩负着守护数据资产的重大使命。抽水蓄能电站的信息系统中存有海量机密数据资产,信息安全尤为重要。风险评估方法可以通过对历史数据的分析与学习,预判出未来一段时间内信息系统遭受攻击甚至财产受到损失的概率,从而提醒有关人员防患于未然,确保数据资产的安全。
本文主要讲述抽水蓄能电站信息安全风险评估方法的研究,第一部分主要讲述信息系统资产化的方法思考;第二部分主要讲述了对于已经资产化的数据,如何进行风险预测或评估,重点介绍了VAR模型的研究过程。
关键词:抽水蓄能;信息安全;风险评估;风险预测;预测模型
1.绪论
1.1 研究的背景及意义
目前的信息安全风险评价方法主要通过现场、远程检查相结合的形式进行。现场检查内容全面,但抽水蓄能电站地域分布广,地理环境特殊,需要耗费大量人力物力,远程检查不受地理环境影响,但检查内容有限[1]。随着数据量的增长,信息数据受到威胁的频率也逐步提高。当前的信息安全合规性评价方式已不能满足需求。为解决这一矛盾,亟需通过科学方法与技术实践,研究信息系统资产化的方法,并通过研究风险预测的方法,实现抽水蓄能电站信息安全风险的评估过程。
1.2 研究建设的思路
对于抽水蓄能电站信息安全风险评估,需要逐步实现两个过程:
①实现信息系统的资产化过程:信息系统遭受外部攻击,以及信息系统自身内部的漏洞风险,综合来看是数据的损失以及更改的过程。因此,实现数据资产化是安全评估与风险预测的第一步,通过将数据整合为资产,实现将数据的量化过程。
②实现资产化后的信息系统风险预测与评估方法的研究过程:我们进行信息系统资产化的过程,本质上是为了资产化后的数据进行评估的过程。科学做好抽水蓄能电站风险的评估工作,可以提高电力行业运转的稳定性,保护国家财产安全。
2.信息系统资产化
信息系统资产化即为将信息系统所有资产进行量化的过程。信息系统在受到外部攻击或内部威胁的时候资产价值也会受到损害和降低,保护信息系统资产极为重要。信息资产根据其种类不同可以分为有形资产与无形资产,下面本文将分别就有形资产与无形资产的资产化方式进行讨论。
有形资产包括可以看到或触碰到的资产,例如:维持信息系统基本功能的物理设备,各种硬件;信息系统在建设过程中所开具的书面文件等。无形资产主要包括具有价值且无法直观看到或计算的价值。例如:信息系统的抗干扰能力;信息系统存储的数据所具有的价值;软件代码等。对信息系统资产进行评估量化同样也分为对有形资产与无形资产的量化过程,资产在量化时不仅需要考虑到其本身包含的内容量的大小,更要考虑到其重要程度与潜在价值,受到攻击的频率等。对于信息系统的资产化过程一般按照以下方式进行:
对于物理资产价值,采用替换其所需的经济成本进行计算。受时间推移、硬件设备新旧变化的影响,在考虑替换时的成本还要按照一定的度量方法重新定义。
对于无形资产,尤其是数据资产,可以采取咨询对数据资产具有权威性研究或了解的内部员工及专家。并且,计算的过程中仍要考虑到数据的敏感性,脆弱性,暴露程度。这些会对数据资产的量化产生巨大的影响。而对于软件资产等,不仅需要考虑开发软件时的人力成本,也要考虑到软件的安全性等。
期刊文章分类查询,尽在期刊图书馆对于涉及到产权或者公司机密的部分可以按照数据资产的评价方式进行量化。
3.风险价值模型的研究
信息系统资产概念形成后,各个电站的数据可以实现资产方向的量化过程,IT资产作为有形资产便也遵从着市场的价值规律变化,因此可以引入对资产风险的评估模型进行风险价值评估。G30集团在《衍生工具的实践和原则》报告中提出VaR(Value at Risk),即风险价值模型[3]。
VaR指在价值规律的正常波动下,某一信息资产或投资的最大可能损失;更为确切地讲是在一定概率(置信水平)下,某一信息资产或投资组合价值在未来特定时期内的最大可能损失。用VaR值来表示在给定时间段和置信区间内所可能发生的最大损失程度,其定义为: 式中,R为预期损失,VaR为风险价值,1-α为给定的置信度。
根据信息安全风险的基本模型,假设发生的威胁为i,则该安全事件所引起的安全风险可以表示为受此威胁影响的资产价值V、威胁发生的频率威胁的曝光系数间的关系。安全风险可以按照如下公式进行量化实际上,由于威胁产生于数量很大、互相独立的不同的主体,威胁发生次数是随机变量。每一次威胁的发生是由不同主体引发的,因而各次威胁的发生相互独立,单一威胁事件可以有两种情况:发生或不发生,故可以认为威胁的发生数服从泊松分布,可以采用泊松分布来模拟安全威胁发生的频率。
在模拟威胁发生频率的泊松分布中,唯一需要确定的参数是常数λ,其实际意义为平均单位时间内事件发生的次数。常数λ可以通过一定的途径和方法获得,对于本项目可以采用对历史数据的计算获得。下面是风险评估的具体运算过程:
对于信息系统而言,假设某一安全威胁为T,表示一定时期内T事件发生的次数,根据信息系统的记录可以确认T事件服从参数为λ的泊松分布。因此根据公式3-1进行计算可以得到: 公式含义为一定时间内,威胁T发生的次数不大于c的概率为1-α,1-α为根据评估主体对于风险的偏好所取得的置信水平,由于T服从参数为λ的泊松分布,因此通过查泊松分布表可以求得c的值。因此,由公式3-2便可计算出,资产对于威胁T,在置信水平为1-α的条件下风险损失值。
根据Var模型,假设某抽水蓄能电站系统受到外部攻击的频率服从次数为3的泊松分布:
假设受到外部攻击影响的资产价值1000万元,系统资产对于安全威胁的曝光率为10%,在目前的情况下,针对外部入侵,系统在α=0.012的置信水平下,Var可以通过以下问题求得风险值。
由公式可以得到,根据泊松分布表,可以知道威胁发生频率为c=8次,一年内系统受黑客入侵威胁在98.8%的置信水平上风险损失为:R=1000×0.1×8=800万元。
由此可见,通过价值量化方法,可以直观体现安全威胁风险所造成的损失。以此作为信息安全合规性评价指标权重计算及量化标准是可行的。
4.总结与展望
为了实现抽水蓄能电站信息安全风险评估,首先需要将信息系统资产化,即将有形资产与无形资产的价值进行量化。然后,将已经资产化后的信息系统通过VAR量化标准进行量化,可以实现抽水蓄能电站信息系统的安全风险评估,通过对案例的解析,我们可以发现该方法可以对信息系统有可能受到的威胁实现较好的预测效果。
抽水蓄能电站信息安全风险评估方法的研究有效提高了信息系统应对威胁的能力,为抽水蓄能电站信息系统安全预警提供了一个新的思路和方法。
参考文献:
[1]刘娟,潘罗平,桂中华,周叶.国内水电机组状态监测和故障诊断技术现状[J].大电机技术,2010(02):45-49.
[2]Michael E.Whitman,Herbert J.Mattord,徐焱译.信息安全原理[M].北京:清华大学出版社.2004年.
[3]杨继华.信息安全风险评估模型及方法研究[D].西安电子科技大学,2007.
论文作者:王保根,曹新立,刘刚,张玉彩,常轶
论文发表刊物:《云南电业》2019年1期
论文发表时间:2019/8/28
标签:资产论文; 信息系统论文; 风险论文; 信息安全论文; 电站论文; 数据论文; 方法论文; 《云南电业》2019年1期论文;