本站原创摘 要: 为了实现对电力营销业务应用系统的风险评估,提出一种动态系统运行风险评估模型,采用动态贝叶斯网络进行动态风险分析和评估,并对电力营销业务应用系统的风险进行实时监控.通过对电力营销业务应用系统运行风险进行评估,动态系统运行风险评估模型比一般的评估模型得出的结论要更加准确,使得电力营销业务应用系统的风险管控机制得到进一步的提升.
关 键 词 : 风险评估模型; 营销系统; 动态风险评估; 贝叶斯网络
中图分类号: TN91134; TP302.1 文献标识码: A 文章编号: 1004373X(2013)18002904
0 引 言
风险评估是指对于那些有可能对给人们造成影响和损失的风险事件进行风险识别的基础上,对该事件可能导致的影响或损失的可能程度进行定量的、充分的估计和衡量,是进行风险管理的一项重要而核心的内容[12].
风险评估方法有很多种,包括基于知识的分析方法、基于模型的分析方法、定性分析和定量分析.一般使用最多的方法是基于模型的定量分析方法.这种方法是在对损失资料分析的基础上,运用概率论和数理统计的方法对损失频率和损失程度做出量化估计,作为选择风险策略的依据.
而系统运行风险评估是信息系统安全的一种评价方法,其结果能够为系统运行风险管理提供依据.系统运行风险是人为或自然的威胁利用信息系统及其管理体系的脆弱性,导致安全事件一旦发生所造成的影响.系统运行风险评估即就是对系统的一系列安全属性评估的过程.它主要包括信息的机密性、完整性和可用性等属性.它主要是评估资产面临的威胁,以及威胁造成的影响,即就是信息安全的风险.
在电力行业中也存在一定的风险,也需要对其进行风险评估,本文将给出一种动态风险评估模型,并将其应用到电力营销系统中.
1.风险评估模型
风险的基本要素包括威胁、资产以及脆弱性等[34].在风险分析中,每个要素有各自的属性,资产的属性是资产价值;威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度.风险分析主要内容为:对资产进行识别,并对资产的重要性进行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁和脆弱性的识别结果判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值.风险分析过程如图1所示.
1.1 信息系统资产价值等级的评价
机密性、完整性和可用性是评估资产的三个安全属性,而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响.为此,有必要对组织中的资产进行识别并对其进行赋值.在赋值的过程中,不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性.为确保资产赋值时的一致性和准确性,应建立一个资产价值评价尺度,以指导资产重要性的赋值[5].
根据国家信息安全标准,将资产分为5个不同的等级,分别对应资产在可用性上的应达成的不同程度,如表1所示.
1.2 信息系统威胁行为等级的评价
造成威胁的因素可分为人为因素和环境因素.根据威胁的动机,人为因素又可分为恶意和无意两种.环境因素包括自然界不可抗的因素和其他物理因素.对威胁进行识别时,判断威胁出现的频率是威胁识别的重要工作[67].威胁频率等级划分为5级,分别代表威胁出现频率的高低.等级数值越大,威胁出现的频率越高.表3提供了威胁出现频率的一种赋值方法.
1.3 信息系统资产脆弱性等级的评价
对资产脆弱性的评估需要先对资产脆弱性进行识别.脆弱性识别主要从技术和管理两个方面进行,管理脆弱性又可分为技术管理和组织管理两方面[8].表4提供了一种脆弱性识别内容的参考.
资产脆弱性严重程度的等级可划分为5级,分别代表资产脆弱性严重程度的高低.等级数值越大,脆弱性严重程度越高.表5提供了脆弱性严重程度的一种赋值方法.
2.评估模型在电力营销业务应用系统的应用
2.1 电力营销业务应用系统的组成
根据文献[9],电力营销业务应用系统通常划分为4个层次:客户怎么写作层,营销业务层,营销管理层,营销决策层.其中客户怎么写作层由,流动怎么写作组成.营销业务层包括:业扩报装、抄表管理、电量电费、收费账务、电能计量、购电管理、用电稽查等.营销管理层包括营销质量管理、需求侧管理子系统等.营销决策层包括营销决策支持子系统.其具体层次如表6所示.
其中,关键的是营销业务层.虽然系统的安全风险主要发生在客户怎么写作层和营销业务层,但是客户怎么写作层的安全问题,只是导致暂时瘫痪,流动怎么写作暂时中止,损失不大.而营销业务层需要统计各项重要的数据,一旦丢失或者泄露,会对整个电力营销业务应用系统造成致命打击.
2.2 评估流程
电力营销业务应用系统运行风险的评估流程主要包括资产识别、威胁识别、脆弱性识别和风险分析4个部分:
(1)对资产进行识别.资产价值包括机密性、完整性和可用性三个属性.由于营销业务应用系统的源代码中可能包含电力系统的一些秘密,而且源代码在泄漏后,系统被攻击的可能性增加,因此将其机密性赋值为3.源代码在被恶意修改或删除后,可以由编程人员重新改回,因此将其完整性赋值为3.程序的源代码一旦完成,系统即可正常运行.从可用性的角度来看,如果源代码受到破坏,不会影响系统正常运行,但会影响系统的升级维护.因此,其可用性的赋值为2.根据前面三个属性的赋值,经过综合评定,可将营销业务系统源代码的资产重要性评为3. (2)对威胁进行识别.因为存放源代码的机器可能会感染恶意代码,或者由于管理不到位等原因而使源代码被恶意窃取,而这些事件出现的概率比较低,因此其威胁频率赋值为2.
(3)对资产的脆弱性进行评估.由于源代码被威胁利用后,全部的源代码都会被窃取,但是不会对电力系统构成直接损害,因此其脆弱性等级为3.
(4)风险分析,即风险值的计算.关于风险值计算的说明在2.5小节中.
2.3 动态风险评估模型
与一般的风险评估不同,动态风险评估需要实时搜集系统信息的威胁和脆弱性数据,并实时计算风险威胁和脆弱性的严重程度,结合资产的重要性,对安全事件的可能性损失进行实时估算,并计算实时风险值.见图2.
2.4 动态风险评估系统
建立动态风险评估系统的目的,是对电力营销业务应用系统的风险进行实时监控.由于动态风险评估的工作量巨大,因此必须采用自动化的工具来实现.从系统构建的角度来看,可以采用如图3所示的系统架构.
2.5 风险值计算
风险值由风险事件发生的可能性和风险事件发生的影响共同决定.而风险事件发生的可能性由威胁发生的频率和脆弱性的严重程度确定;风险事件发生的影响度由资产的价值和脆弱性的严重程度共同决定.通过相乘法[1],可最终计算得到营销业务应用系统源代码的风险值为54(或取其平方根7.3).最后,再根据风险值的等级划分方法可得到营销业务应用系统源代码的风险等级.
本文以营销业务应用系统源代码为例,来说明风险评估过程和风险值计算方法.对于整个营销业务应用系统,其资产包括多个方面,威胁和脆弱性也包括多个方面,最终应对系统涉及的所有资产的风险值进行求和,得到整个系统的风险值.
3.结 语
在风险评估标准的基础上,结合电力营销业务应用系统的组成.给出了电力营销业务应用系统的运行风险分析评估模型,以及使用动态贝叶斯网络进行动态风险分析和评估.结果表明,动态系统运行风险评估模型比一般的评估模型得出的结论要给更加准确,这就使得电力营销业务应用系统的风险管控机制得到进一步的提升.