（信号与信息处理专业论文）配电网信息安全与网络优化的研究.pdf

一 华北电力大学硕士学位论文 摘要 本文以配电自动化系统为研究对象，构建多层次，多角度反映信息安全评 价的指标体系。提出了基于改进d s 证据理论和模糊层次分析法( f a h p ) 的配电 自动化系统信息安全评估方法。通过算例阐明了该方法的具体步骤。结果表明， 这一方法对于电力通信系统的安全运行管理和项目建设具有科学的指导意义。 关于配电网络优化改造问题，针对目前基于启发式，智能化算法的分段方 法的复杂性和算法的难解性，以分段方案的实用性为目标，提出了综合负荷大 小和线路长度两个指标的分段方案和基于层次化数据包络分析( d e a ) 的多目标 评价方法。实例分析结果表明该评估方法科学、有效，该分段方法简单、实用。 关键词：配电自动化系统，信息安全，层次分析法，证据理论，数据包络分析 a b s t r a c t t a k i n gd i s t r i b u t i o n a u t o m a t i o n s y s t e m a sr e s e a r c ho b j e c t ，a na s s e s s m e n t i n d i c e s h i e r a r c h y w a sc o n s t r u c t e d ，w h i c hr e f l e c t si n f o r m a t i o ns e c u r i t yr i s k a s s e s s m e n tc o m p r e h e n s i v e l yf r o mm u l t i - h i e r a r c h ya n dm u l t i a t t r i b u t e f a h pa n d i m p r o v e dd - sa r eu s e dt oe v a l u a t ei n f o r m a t i o ns e c u r i t yl e v e l si nd a s e x a m p l e a n a l y z i n gs h o w st h a tt h i sm e t h o dh a sf e a s i b i l i t ya n dg u i d a n c ei nd a s s a f eo p e r a t i o n ， m a n a g e m e n ta n do p t i m i z a t i o n f o rr e c o n s t r u c t i o no fd i s t r i b u t i o nn e t w o r k ，d u et ot h e c o m p l e x i t y a n d d i f f i c u l t yo ft h ea d v a n c e dh e u r i s t i ca l g o r i t h mb a s e do nm a t h e m a t i c a lt h e o r y , a s u b s e c t i o ns c h e m ei s p r e s e n t e d h i e r a r c h i c a l d a t ae n v e l o p m e n ta n a l y s i s ( d e a ) m e t h o di sp r o p o s e df o rm u l t i o b je c t i v ee v a l u a t i o no fs u b s e c t i o ns c h e m e s u s i n gt h i s m e t h o dc a s es t u d y ，t h er e s u l t ss h o wt h a tt h ea s s e s s m e n tm e t h o di ss c i e n t i f i ca n d e f f e c t i v e ；t h es u b s e c t i o nm e t h o dp r e s e n t e di n t h i sp a p e rc a nb e t t e r m e e tt h e e c o n o m i ca n dr e l i a b i l i t yr e q u i r e m e n t sa n di ss i m p l ea n dp r a c t i c a l z h a n gl i x i n ( s i g n a la n di n f o r m a t i o np r o c e s s i n g ) d i r e c t e db yp r o f l i uw e n x i a k e yw o r d s ：d a s ，i n f o r m a t i o ns e c u r i t y ，a h p , d se v i d e n c et h e o r y ，d e a 华北电力大学硕十学位论文 目录 中文摘要 英文摘要 第一章引言1 1 1 选题背景及其意义1 1 2 配电网的现状与发展2 1 3 本文的研究内容3 第二章配电自动化及其通信系统的概况5 2 1 配电自动化系统5 2 1 1 配网自动化主站层6 2 1 2 配电自动化子站层6 2 1 3 配电自动化终端设备层6 2 2 配电自动化通信系统结构及特点6 第三章配电网信息安全风险方法评估的研究8 3 1 信息安全风险评估理论与方法8 3 1 1 定量评估方法8 3 1 2 定性评估方法9 3 2 信息安全评估标准1o 3 3 配电自动化信息安全评价体系的建立1 0 3 4 基于改进d - s 证据理论的专家数据融合12 3 4 1 证据理论及组合原则1 3 3 4 1 1 证据理论的基本原理13 3 4 1 2 合成法则及性质1 4 3 4 2 证据冲突的处理1 5 3 4 2 1y a g e r 的合成公式15 3 4 2 2 其他改进方法1 6 3 4 2 3 本文所用的改进方法16 3 5 模糊层次分析法1 7 3 6 实例分析1 8 3 7 本章小结2 3 第四章配电网网络优化方案多目标评价的研究2 4 4 1 配电网馈线网络2 4 4 1 1 无通道模式2 4 4 1 2 集中智能模式2 5 华北电力火学硕十学位论文 4 1 3 分布智能模式2 5 4 2 多目标评价方法2 5 4 2 1 数据包络分析法2 6 4 2 2d e a 数学模型2 6 4 2 3 层次化数据包络分析法2 8 4 3 实用化配电网网络优化方案2 8 4 4 基于层次化数据包络分析的配电网网络优化方案评估3 0 4 4 1 配电网可靠性指标3 0 4 4 1 1 负荷点可靠性指标3 0 4 4 1 2 系统可靠性指标3 l 4 4 2 配电网经济性指标3 2 4 5 基于层次化d e a 的评价模型3 3 4 6 实例分析3 5 4 7 本章小结3 7 第五章总结与展望3 8 参考文献3 9 致谢4 1 在学期间发表论文和参加科研情况4 2 华北电力大学硕十学位论文 1 1 选题背景及其意义 第一章引言 随着电力系统信息化的发展，电力系统的信息安全也越来越重要，信息安全等 级评估可以识别现有系统中信息安全的等级，并采取相应的安全防范措施，提高系 统安全性，可以为企业的健康发展奠定基础。同时也可以在系统建设之初对不同的 方案进行信息安全等级的评估，以评估结果作为科学决策的依据。目前，虽然国家 已将电力系统信息安全纳入信息安全评估行列，但是具体的评估方法、指标体系、 支撑软件等还很不完善，或者缺乏现实的可操作性，对这方面评估工作经验匮乏， 相关的研究和评估工作有待进一步发展。在信息安全评估过程中，评估指标体系的 建立影响评估结果的可靠性，另外采用何种方法对评估的有效性占有举足轻重的地 位。文献 1 对电力光纤保护通道安全风险评估指标体系框架进行了研究，但没有进 行信息安全情况的计算分析。评估的方法有很多种，概括起来分为两大类：定量的 评估方法和定性的评估方法。文献 2 ，3 采用定量的评估方法，定量评估要求特别 关注资产的价值和威胁的量化数据，但是这种方法存在一个问题，就是数据的不可 靠和不精确。定性评估是最广泛使用的安全等级分析方法。该方法通常只关注威胁 事件所带来的损失，而忽略事件发生的概率。多数定性风险分析方法依据组织面临 的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用 具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中 、 “低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定 性数据指定数值。例如，设“高的值为3 ，“中 的值为2 ，“低的值为l 。但 要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。定 性的评估方法主要依据研究者的知识、经验、历史数据、政策走向等非量化资料对 系统安全状况做出等级判断的过程。文献 4 - 6 采用定性的评估方法，但是对于定 性数据的获取个人主观性太强，因此本文在对指标层元素的安全等级采用多个专家 进行评分，运用改进的d - s 证据理论对其进行数据融合，从而使对安全等级的判断 更合理，更可靠。 配电网优化改造的目的是力求使配电网达到一个理想的结构，满足系统各项指 标的要求。改造方案的选择就需要对各个方案进行评价。由于改造方案涉及多项指 标，因此选用多目标评价方法。多目标评价的主要目的是满足网架的经济性和可靠 性要求，这两个目标是互相矛盾的。经济性指标反映在规划改造中要考虑到网架的 综合成本，尽可能的减少投资费用、运行费用和维护费用等，而可靠性指标反映在 规划改造中往往要加大电网建设的投入，以获得更加可靠、略j _ 6 i 、灵活的网架结构。 华北电力大学硕士学位论文 在放松电力管制的电力市场环境下，按照市场规则要求下的供电成本最低原则，往 往要充分发挥电网的经济性以节约成本，这常会导致互连系统的运行点非常接近其 安全稳定边界，使配电网的安全稳定裕度降低，进而降低系统可靠性h 1 。因此，电 力市场的发展和建立将会加剧配电网规划的经济性与可靠性矛盾，这也为配电网改 造方案的多目标评价提出了新的课题。文献 8 1 2 在开关位置、个数和类型均不确 定的情况下，采用遗传、免疫和动态规划等方法，基于系统可靠性性能的费用有效 性准则，以电压、功率、可靠性、和树状结构限制约束条件进行了优化设计。当配 电网规模增大、投资受限，或者在要求经济性和可靠性权重各异的情况下，该模型 不再适用，且计算复杂。文献 1 3 针对中压配电网各种接线模式进行分析，得到了 沿线负荷均匀分布的线路最优分段数和供电半径的对应关系，并给出了最优分段计 算方法的灵敏度分析，所得的结论对中压配电网的改造和规划起到了指导作用，不 足之处是仅以供电半径作为分段标准，没有考虑负荷分布的不均匀性，而且配电网 停电损失量化的不合理将引起系统结论的偏差。本文在文献 13 的基础上，提出了 以负荷大小和分段长度的交集为标准的分段方法，并给出了评估不同分段方案的层 次化数据包络分析方法。该方法首先利用层次分析法合理划分评估层次，并根据判 断矩阵得出符合调度经验的评估准则权重，通过定性的输入给出了定量的权值，满 足了不同地区对经济性和可靠性要求不同的需求：其次，采用实际指标数据构造数 据包络分析模型，评价出不同分段方案的相对优劣，最后得到全面反映评估准则和 评估指标影响的方案综合排序。d e a 方法的优势是不需要建立投入与产出之间的复 杂的函数，而且它的评价结果与输入输出数据的量纲无关，该方法为配电网改造提 供了科学的指导。 1 2 配电网的现状与发展 配电自动化是8 0 年代首先由美国等几个工业发达国家逐步发展起来的，其内 容也在不断变化。 功开发，配电自动 化已经发展到较高 绕着中低压电网的 华北电力大学硕十学位论文 表1 - 1 国外配电自动化发展的三个阶段 描述第一阶段第二阶段第三阶段 基于自动化开关设备 主要特点 基于f t u 和通信网络 高级应用 相互配合 故障隔离和全区恢复配电管理系统和智能决策支 主要功能远方监控 供电 持系统 柱上f t u ，通信网络，f t u ，通信网络，配电自动化 主要设备 重合器，分段器 配电自动化计算机系统计算机系统，高级应用软件 日本在6 0 7 0 年代研究开发了各种就地控制方式和配电线开关的远方监视装 置，7 0 年代开始进行高电压大容量的配电方式，以解决大城市配电问题，并着手开 发依靠配电设备及继电保护进行配电网络运行自动化的方法，8 0 年代到现在完成了 计算机系统与配电设备配合的配电自动化系统，在主要城市的配电网上投入运行。 韩国于9 0 年代也完成了局部配电系统的自动化，并建立了自己的配电自动化 实验网络，1 9 9 8 - 2 0 0 1 年有1 7 4 个供电局实施了小规模的配电自动化系统， 2 0 0 0 - 2 0 0 3 年建立了1 9 个大型配电自动化系统，配电自动化开关覆盖率达2 2 5 。 美国配电自动化的起步是在7 0 年代中后期，8 0 年代，配电自动化的相关关键技术 研究已取得成功，9 0 年代，美国的配电自动化技术已达相当高的水平，其中代表性 的项目为纽约长岛照明公司投运的配电自动化系统，体现了当时这一领域的国际最 高水平。 总体上看，国外的这些配电自动化系统的特点是，自动化覆盖面大，管理维护 工作细致，系统确实能够发挥作用。从实现的功能角度上讲，追求实用，主要是三 遥和故障隔离的功能。通信方式看，尚没有一种通信技术可以很好地满足于配电系 统自动化所有层次的需要。从实际运行情况看，实现配电自动化后，达到了提高供 电可靠性、运行管理水平及用户服务质量的效果。例如韩国电力公司称，在实施配 电自动化后，故障后恢复供电时间由平均7 3 m i n 减少为6 m i n n5 1 。我国建设的配电自 动化系统不少是试验性工程，系统的稳定性、可靠性，得到很大重视，而安全性， 实用性有待考验。系统单位投资过大，阻碍配电自动化的推广。因此本文就配电自 动化系统信息安全以及网络优化问题，进行了较深入的研究。 1 3 本文的研究内容 本文所完成的工作包括以下两部分： 1 以配电自动化系统为研究对象，进行系统分解，对分解模块进行资产归类， 并参照信息安全评估标准i s o i e c1 3 3 3 5 ：1 9 9 8 ，i s o i e c1 5 4 0 8 ：1 9 9 9 ，i s o i e c 学位论文 多项指标，从而构建一套多层次，多 2 提出了基于改进的d - s 证据理论和模糊层次分析法( f a h p ) 的配电自动化系 统信息安全等级的评估方法。并通过算例阐明了应用这一方法进行配电自动化系统 信息安全等级评估的具体步骤。 3 提出了以负荷大小和分段长度的交集为标准的分段方法，并给出了评估不同 分段方案的层次化数据包络分析方法。该方法首先利用层次分析法合理划分评估层 次，并根据判断矩阵得出符合调度经验的评估准则权重，通过定性的输入给出了定 量的权值，满足了不同地区对经济性和可靠性要求不同的需求：其次，采用实际指 标数据构造数据包络分析模型，评价出不同分段方案的相对优劣，最后得到全面反 映评估准则和评估指标影响的方案综合排序。 4 华北电力大学硕十学位论文 第二章配电自动化及其通信系统的概况 2 1 配电自动化系统 配电自动化系统是利用现代计算机技术、自动控制技术、数据通信、信息管理 技术，将配电网的实时运行、电网结构、设备、用户以及地理图形等信息进行集成， 构成完整的自动化系统，实现配电网运行监控及管理的自动化、信息化。其目的是 提高供电可靠性，改善供电质量和服务质量，优化电网操作，提高供电企业的经济 效益和提高企业的管理水平n 引。配电自动化系统在我国的实践已经有近1 0 年的历 程，许多城市都在不同层次不同规模上对配电自动化工作进行了试点，通过对试点 情况的分析和总结，提出配电自动化系统定位和实用模型。 配电自动化系统的结构设计采用分层、分布式体系结构及集中控制的设计思 想，基于主站的配电自动化系统式通过安装数据采集终端设备和主站计算机系统， 并借助通信手段，在配电网正常运行时，实时监视配电网的运行情况并进行遥控， 在配电网发生故障时，自动判断故障区域并通过遥控隔离故障区域和恢复受故障影 响的健全区域供电的系统。 有主站配电网自动化系统采用分层集结的策略，一般分为三个层次1 1 引，如图2 一l 所示。 ， 图2 - i 配电自动化系统层次结构图 华北电力人学硕士学位论文 2 1 1 配网自动化主站层 配网自动化中心主站系统完成配电自动化信息的采集、处理与存储，并对配电 网进行分析、计算与决策控制，是配电自动化( d a ) 与配电管理系统( d m s ) 的控 制中心。 系统的一般构成包括：服务器包括d m s 应用服务器、s c a d a 服务器、历史数据 服务器、d t s 服务器、w e b 服务器等，工作站包括调度员工作站等，远程维护工作 站、报表工作站、配电工作管理工作站等。主站系统的软件由基础软件、平台支撑 软件和应用软件三部分组成。其中：基础软件包括：操作系统软件、商用数据库管 理系统、基础g i s 平台软件。平台支撑软件包括：实时数据库管理系统、网络通讯 软件、系统管理软件、进程管理、应用管理、报文管理、打印管理、制表管理等组 成。应用软件包括：数据采集、s c a d a 处理、人机界面、配电故障处理软件、g i s 应用、w e b 应用、配电高级应用软件、接口软件。 2 1 2 配电自动化子站层 配电自动化子站一般放在变电站或开闭所内，实现辖区内配电网络的配电 s c a d a 和故障诊断功能。实现对电力环路的配电线路的监控，并留有扩展的空间。 该层由计算机系统和通信设备组成。计算机系统与配电监控和管理中心层的计算机 组成一个高速的局域网，通过有效的通信方式和通信协议和配网自动化终端设备层 的各种终端通信，完成信息上传下达及对当地配网实时监控的功能。配电子站的设 立，减轻了主站的工作量，并为配电网系统的兼容和扩充提供了发展的空间。 2 1 3 配电自动化终端设备层 配电自动化终端设备层是整个系统的底层，该层沿配电线分布，用于对配电网 及配电设备的信息采集和控制。它与配电自动化配电子站层通信，提供配电系统运 行控制及管理所需的数据，并执行主站发出的控制指令。配电自动化终端设备层是 配电自动化系统的基本单元，其功能、数据量、精度和可靠性直接影响配电自动化 系统的功能和可靠性。配网自动化终端设备层包括各种类型的配网终端，柱上f t u ， 电缆环网柜f t u ，开闭所r t u ，配变终端t t u ，抄表终端。配网自动化终端是一种数 据采集与控制的终端设备。 2 2 配电自动化通信系统结构及特点 现有的配电自动化通信系统一般都根据当地的实际情况采用多种通信方式并 存的混合模式，同时依据配网规模的大小，与配电自动化系统的模式相适应的结构， 通信系统的拓扑结构可以由点对点结构、星形结构及环形结构等。配电网通信系统 6 华北电力大学硕十学位论文 完成配网自动化子站层的主要功能，是配网自动化系统的重要组成部分，是整个配 网自动化系统的基础。通信系统提供了配网监控、线损计算、负荷管理、负荷预报 等所需的数据，其整体性能提高对提高配网自动化系统服务质量有着重要作用n 耵。 通信系统一般可以分为三个层次t 第一层次为配电自动化主站至二级子站之间，通信上为点对点或环形连接。现 有系统一般采用光缆，网络交换机直接建立在光纤之上或经光端机的以太网口，采 用基于t c p i p 的局域网连接方式。 第二层次为配电自动化二级子站与设备层f t u 之间，通信物理路由采用星形或 环形。 第三层次为设备层f t u 之间的连接及f t u 与配变采集装置t t u 之间的通信连接。 配电自动化主要的通信方式有光纤通信，电力载波，无线通信，电话线，双绞线等。 通信系统是建设配电自动化系统的关键技术，通信系统的好坏从很大程度上决 定了自动化系统的优劣，配电自动化系统需要借助于有效的通信手段，将控制中心 的控制命令准确地传达到为数众多的各执行机构或远方终端，同时将各远方监控单 元( r t u ) 所采集的各种信息上传至控制中心。因此配网通信系统具有以下特点： 1 业务种类繁多：配电网主站层包括配电网s c a d a 、g i s 、负荷控制管理、远程 抄表等众多子功能系统。各种业务的数据通信量和实时性要求的差别很大，不同业 务对通信系统提出了不同的要求。 2 网络规模广、覆盖面大：配电网是电力网络的末端网络，直接连接广大的电 力用户。网络的规模巨大，设备的数量和种类众多。要解决这样巨大的、覆盖面广 阔的网络通信问题，对通信网络规模和覆盖的要求很高，数据采集系统的前端服务 器负载巨大。 3 实时性问题：在配电网通信系统中由于业务种类多，而且每一种业务对信息 传送的实时性、要求性也不同。例如：配电网调度自动化业务对实时性要求高，要 求实时级别的数据采集和控制，要求迅速反映配电网的实时状态的变化，根据变化 情况立即采取措施；而配备监测则对实时性的要求低一些，主要要求采集实时和定 点定时的配变数据：远程抄表的实时性要求更低，它只要求定点定时的数据采集； 负荷控制对下行通信的实时性要求比较高，而且目前负荷控制业务有与其它业务融 合的趋势。 7 华北电力人学硕士学位论文 第三章配电网信息安全风险方法评估的研究 现代电力系统与信息系统、通信系统已经融合为高度集成的混杂系统，计算机 与通信系统的安全问题也逐渐成为影响电力系统安全的主要因素之一。配电自动化 系统是电力应用、系统稳定的重要保障，据统计表明，电力系统通信网络已经受到了 一定数量的安全威胁，具备远程控制功能的配电自动化设备和通信系统是攻击的主 要对象。同时电力系统属于国家的关键基础设施，电力信息系统是涉及国家安全和 社会稳定的重要信息系统，需要得到重点保护。随着电力系统自动化水平的不断提 高，电力通信网在电力生产和电力调度中发挥的作用越来越重要，其安全性要求有 所提升，有必要对其进行风险评估通过风险评估，可以识别出电力通信网系统存 在的风险以及这些风险将给系统的应用带来的可能影响。根据评估结果可以选择相 应的安全防范措施，通过改进管理措施，有效的降低风险或避免风险，提高系统的安 全性。 3 1 信息安全风险评估理论与方法 在信息安全评估过程中使用何种方法对评估的有效性，科学性占有举足轻重的地 位。评估方法的选则直接影响到评估过程中的每个环节，甚至可以左右最终的评估结果， 所以需要根据系统的具体情况，选择合适的风险评估方法。信息安全评估的方法有很多 种，概括起来可分为两大类：定量的风险评估方法、定性的评估方法。 3 1 1 定量评估方法 定量的评估方法是指运用数量指标来对风险进行评估。定量分析方法利用两个 基本的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结 果称为a l e ( a n n u a ll o s se x p e c t a n c y ) 。理论上可以依据a l e 计算威胁事件的风险 等级，并且做出相应的决策。 风险分析涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资 产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等； 脆弱性的属性是资产弱点的严重程度。风险分析的主要内容如下，见图3 1 ： a ) 对资产进行识别，并对资产的价值进行赋值； b ) 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； c ) 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； d ) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性； e ) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成 的损失； 8 华北电力大学硕士学位论文 f ) 根据安全事件发生的可能性以及安全事件出现以后的损失，计算安全事件一 旦发生对组织的影响，即风险值1 7 1 。 图3 - 1 定量风险分析原理图 定量风险分析方法要求特别关注资产的价值和威胁的量化数据，但是这种方法 存在一个问题，就是数据的不可靠和不精确。对于某些类型的安全威胁，存在可用 的信息。例如，可以根据频率数据估计人们所处区域的自然灾害发生的可能性( 如 洪水和地震) 。但是，对于一些其它类型的威胁来说，不存在频率数据，影响和概 率很难是精确的。这将使定量评估过程非常耗时和困难。 3 1 2 定性评估方法 定性分析方法是最广泛使用的信息安全分析方法。该方法通常只关注信息安全 事件造成的损失，而忽略事件发生的概率。多数定性分析方法依据系统面临的威胁、 脆弱点以及控制措施等元素来决定信息安全等级。在定性评估时并不使用具体的数 据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中 、“低”。 有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指 定数值。例如，设“高的值为3 ，“中 的值为2 ，“低”的值为1 。但是要注意的 是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要 赋予相对等级太多的意义，否则，将会导致错误的决策。定性的评估方法主要依据 研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状 况做出判断的过程。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、 德尔斐法“8 3 。 定性评估方法的优点是避免了定量方法的缺点，不需要大量概率数据，降低了 统计计算的复杂性，而且可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、 更深刻，更能从宏观上指导系统的安全维护。因此通常采用定性的评价方法进行系 统评估。但定性分析过程和结果的主观性很强，对评估者本身的资历和权威性要求 很高。针对定性方法的主观性，采用了不确定性推理方法一一改进的证据理论和模 糊层析分析法对底层的定性数据进行整合计算，尽可能的降低评估结果主观性。 9 华北电力人学硕士学位论文 3 2 信息安全评估标准 从能够接触到的国内外对信息安全风险评估方面的文献来看，当前采用较多的 是i s o i e c1 7 7 9 9 ，i s o i e c1 3 3 3 5 ，i s o i e c1 5 4 0 8 等，尤其是i s o i e c1 7 7 9 9 由 于其全面、系统地覆盖信息安全管理的每一个方面而得到广泛应用，它规定了1 1 个 安全管理方面、3 6 个安全目标、1 3 4 项安全控制，这些管理方面、安全目标和安全 控制之间存在着错综复杂的依赖制约关系。但i s o i e c1 7 7 9 9 并没有给出具体的指 标权重和测度方法，因此可操作性不强，只能作为评估参照标准。i s o i e c1 3 3 3 5 是 i t 安全管理方面的指南，而不是解决方案。用户可以参照这个标准制定出自己的安 全管理规划。i s o i e c1 5 4 0 8 主要的安全指标有身份认证、自主访问控制、数据完 整性、审计等，涵盖了不同级别的安全要求。但缺乏实际可操作性。n i s ts p 8 0 0 3 0 和n i s t s p 8 0 0 - 2 6 体现的是美国国家标准技术局n i s t 的风险管理理念，从管理、技 术、操作三个方面定义了具体的控制要求，但在信息系统实际运行过程中，是管理中 有技术、技术中有管理，它们相互影响和补充，但该评估标准的设定逻辑性不清晰， 不易被组织人员所接受。 虽然有很多关于信息安全评估的方法和标准，但是没有一个方法是放之四海而 皆准的，必须根据实际进行裁剪组合后使用。因此本文参照这些已有标准，结合配 电自动化系统的实际，提取整合了与配电自动化系统相关的信息安全指标，构建了 用于配电自动化系统信息安全评估的指标体系，具体的建立过程和结果将在下文进 行详细的介绍。 3 3 配电自动化信息安全评价体系的建立 配电自动化系统的信息安全对配电系统安全稳定运行具有非常重要的意义。为 了保证配电网的有效运行，有必要对配电自动化系统进行信息安全评价，从而了解 系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安 全策略的确定、信息系统的建立及安全运行提供依据。 配电自动化系统根据应用范围和需求的不同，结构和规模也有较大变化，作者 以2 1 中提出的实用型配电自动化系统为模型进行了信息安全风险评价的研究。要 全面反映配电自动化系统的信息安全j x l 险，必须考虑几个方面的因素：首先要保证 完整性，也就是说评价过程中涉及的资产、系统受到的威胁以及脆弱性要能够覆盖 配电自动化系统的各个组成部分；其次是评价的内容要符合相应的国际标准；最后 要针对不同的因素的评价采用合理、先进的评价手段。因此本文针对配电自动化系 统，根据已有的这些标准，主要是i s o i e c1 7 7 9 9 ，i s o i e c1 3 3 3 5 ，i s o i e c1 5 4 0 8 ， 结合系统实际，通过系统分析、分解、构建评价体系、选择评价方法，建立了评估 1 0 华北电力大学硕士学位论文 的指标体系。完成了评价配电自动化系统信息安全的整体解决方案，为配电自动化 系统的建设提供了决策依据，同时为在电力系统进一步开展信息安全评价奠定了基 础。 通过详细研究配电自动化系统的各个组成部分和功能联系，对配电自动化系统 进行信息安全评估首先将一个大系统拆分成几个小系统，拆分结果为：配电自动化 系统主站+ 一级通信网、配电子站+ 二级通信网和配电终端+ 底层通信，三个子系统， 把这个层次作为子目标层；然后以资产类为单位，分析对子系统风险有贡献的资产 因素，子目标层的风险因素可以分为：硬件、软件、信息、通信四类，称为准则层； 最后参照信息安全标准i s o i e c1 7 7 9 9 ：2 0 0 5 ，i s o i e c l 5 4 0 8 ：1 9 9 9 ，i s o i e c l 3 3 3 5 ： 1 9 9 8 提取影响每一类资产信息安全的多项因素作为指标层。从而建立了以配电自动 化系统信息安全为目标层，分解的系统各模块为子目标层，各模块的资产分类为准 则层，影响信息安全的多项因素为指标层的四层结构。如图3 2 所示。 图3 - 2 配电自动化系统信息安全等级评估模型 配电自动化系统信息安全 l 子站+ 二二级通信网 i 终端+ 底层通信网主站+ 一级通信网 、 一 。 ，( j 、一一、 软件硬件信息通信 i 防范恶意代码 i 监视l 网络控制 2 监视 i 设需选择j 保护 2 访问控制的业务要求2 信息交换策略和程序 3 控制访问 2 远程诊断和配置端口 3 用户访问管理3 电了信息 4 用户访问管理 3 无人值守设备4 用户口令管理4 交换协议 5u 令 4 线路安全5 应用系统和用户的访5 网络链接控制 6 无人值守设备控制 问挖制 6 网络路由控制 7 操作系统 6 介质处理 8 心用系统信息访问 7 信息备份 9 网络服务安伞 1 0 外界连接用户箍别 l i 远程诊断配置端u 保护 华北电力人学硕士学位论文 并组织专家进行评估。 4 采用改进的d - s 证据理论方法，通过对各专家评价结果的数据融合，获取 每一项评估指标的等级数据； 5 采用f a h p 方法求得指标层的权重， 准则层的等级定性数据； 6 采用f a h p 方法求得准则层的权重， 求和，获得子目标层的等级数据； 对步骤4 中的等级数据加权求和，获得 对步骤5 中的准则层等级数据进行加权 7 采用f a h p 方法求得子目标层的权重，对步骤6 中的子目标层等级数据进行 加权求和，获得目标层的等级数据，将这些数据用于获取整个配电自动化系统的信 息安全等级。 采用改进的d - s 证据理论方法时，专家评价结果要依据详细的风险值。采用f a h p 方法求取各层权重时，主要依据运行记录、系统功能、资产价值等因素。 3 4 基于改进i ) - 8 证据理论的专家数据融合 信息安全风险管理是一个新的研究领域，可供应用的历史数据较少，涉及到组 织发生的安全事件数据很难获得，评价指标中除了少数的定量化指标外，大多数的 评价指标都是定性的指标。同时，风险评价基本上都是采用专家评估的方法，评价中 使用的都是一些模糊的、不精确的、不完整的信息，再加上专家评价中的群决策问 题、个人偏见、趋同性等，使得信息安全风险评价结果易受主观因素的影响，常常导 致评价结果的不精确引。因此对定性指标如何进行量化，会直接影响到评价结果，错 误或不科学的量化方法只能得出不合理的评价结论。定性指标量化方法有很多，作 者认为d - s 证据推理方法比较适用于信息安全风险评价。 d - s 证据理论是一种不确定性推理方法，所依据的数学理论是证据理论，核心是 证据法则d e m p s t e r - s h a f e r 法则，是d e m p s t e r l 9 6 7 提出，后由s h a f e r 进一步扩充和 完善的一种不确定性推理理论。它是一种决策理论，与概率决策理论相比，不但能处 理由于知识不准确所引起的不确定性，而且能满足比概率更弱的公理系统。当概率 已知时，证据理论就变成了概率论。它更符合对专家不确定性信息的融合。 文献 2 0 中采用的d s 证据理论是处理不确定性问题时一个有用的方法，但是 在证据严重冲突的情况下，直接运用传统d s 证据理论，得到的结果往往与实际 情况不符。 在配电自动化信息安全等级评估中，指标层等级值的获取是依据专家的知识经 验、历史统计数据和专家对现有系统的认识等进行等级评判。本文采用五个等级， 即很低、低、中等、高和很高，分别对应的定性数据为1 、2 、3 、4 、5 。为了防止 专家评价的冲突性，本文采用改进的d s 证据理论对专家评分数据和历史统计数据 1 2 华北电力人学硕十学位论文 进行进一步融合，从而使对问题的判断更合理，更可靠。 3 4 1 证据理论及组合原则 3 4 1 1 证据理论的基本原理 常规的决策分析理论是以概率论和数理统计为基础的，该理论认为概率是由事 件发生的频率( 作为证据) 完全决定的，是纯客观的，该理论片面强调证据的作用， 忽视人的判决作用。而b a y e s i a n 主观概率理论认为，概率是认得偏好或主观意愿 的度量，是纯主观的，即该理论片面强调人的判决作用，忽视客观证据的作用。d s 证据理论认为，对于概率推断的理解，我们不仅要强调证据的客观性，而且要强调 证据估计的主观性，概率是人在证据的基础上构造出对一命真的信任程度，简称为 信度乜。因此，d - s 证据理论可以根据各种资料对系统各个部分的生存状态的概率 进行归纳与估计，并做出正确的决策或预测。d - s 证据理论以其在不确定性的表示、 量测和组合方面的优势而广泛的重视。它在改进自身不足的同时又结合其他方法的 长处，先后推广到概率范围和模糊集，不仅可以像贝叶斯那样结合先验信息，而且 能够处理像语言一样的模糊概念的证据乜2 3 1 。在应用方面，可以在不同层次上应用 证据理论，并取得了较好的结果，如在检测、目标识别、分布式数据综合、故障诊 断、机器人、医学图像处理、控制器建模、决策分析等领域心钔。 d - s 证据理论是建立在一个非空集合e 上的理论，o 称为辨识框架( f r a m eo f d i s c e r n m e n t ) ，它是关于某个问题域中所有可能的答案组成的有限集合，并且这些 答案相互排斥，对于问题的描述是充备的。 的选取依赖于我们的知识和认知水平， 依赖于我们所知知道的和想要知道的。由o 的划分组成集类r ，表示判断该问题正 确答案的所有命题构成的集合。 定义l ：设o 为辨识框架。如果集函数m ：r 一 0 ，1 满足： m ) = 0 朋( 彳) = 1 a c e ( 3 1 ) ( 3 - 2 ) 称m 0 ) 为框架o 上的基本可信度分配；v a c 0 ，朋0 ) 成为基本可信数，表示 证据支持命题a 发生的程度。如果所0 ) 0 ，则称a 为焦元。 定义2 ：设o 为识别框架，m ：r 一 0 ，1 为框架0 上的基本可信度分配，则称 b e l ( a ) = 所( b ) ，v ac o 口c a ( 3 - 3 ) 华北电力大学硕十学位论文 所定义的函数b e l ：rj 0 ，l 】为o 上的信度函数。 信度函数表达了对每个命题的信度。一批证据对一个命题提供支持的话，那么 它也应该对该命题的推论提供同样的支持。所以对一个命题的信度应该等于证据对 它的所有前提本身提供支持度之和。 定义3 ：设0 为识别框架，m ：r 一 o ，1 为框架0 上的基本可信度分配，则称由 p l ( a ) = 朋( b ) a i q b o ( 3 - 4 ) 所定义的函数p l ：r 专 o ，l 】为。上的似真度函数。 p l ( a ) 包含了所有与a 相容的那些集合的基本可信数，表示我们不怀疑a 的程度 或者说我们发现a 可靠或似真的程度。信度函数和似真函数共同描述了我们对a 的 信任。容易知道， wco ，b e ；( a ) p l ( a ) ( 3 - 5 ) 从以上第一看，证据理论与传统的b a y e s i a n 概率理论的一个重要区别就是， 这句理论将基本概率指派给集合。的幂集中的子集，而b a y e s i a n 概率理论则将概 率确定为一地分配给。中的每一个元素。显然，在处理不确定信息时，证据理论将 更为有效。 3 4 1 2 合成法则及性质 设b e l 和b e l ，是同一识别框架。上的两个信度函数，m 。和m ：分别是其对应的基 本可信度分配，焦元分别为a l ，彳2 ，a 和b 。，曰2 ，b 。，若 小。( 彳，) 朋2 ( b ，) l a ，n 毋中 则定义： r 胁1 絮m 2 ( a ) - 誉1 e m 慨) ( 3 - 6 ) ( 3 - 7 ) 华北电力大学硕士学位论文 其中， k = ( ，l 。( 4 ) m ：( 曰，) ) 由m 给定的信搜鬣敞称为b e l 。和召p ，：的直和。它可以推广至多个m 函数和b e l 函 数的组合，d e m p s t e r 组合规则有两种可能的情形。 k 层 0 3 2 8 ( 2 4 5 0 ，3 5 7 7 ，1 7 3 7 ，3 6 2 2 ，2 6 8 9 ，2 5 3 1 ) 安 3 4 5 70 3 2 8 ( 0 0 4 3 ，0 1 0 8 ，0 1 0 8 ，0 3 1 6 ，0 3 1 6 ，0 1 0 ) 全 2 4 6 4 2 2 0 1( i 7 5 5 ，2 3 4 1 ，1 2 8 2 ，3 1 6 5 ，2 2 9 2 ，1 7 8 5 ，3 2 1l ，2 5 7 4 ，3 6 2 7 ，1 7 7 9 ，1 2 5 4 ) 等 2 6 9 0 3 0 6 6 ( 0 0 2 5 ，0 0 2 5 ，0 0 5 8 ，0 0 2 6 ，0 1 2 0 ，0 1 2 0 。0 0 5 8 ，0 2 2 6 ，0 0 5 8 ，0 2 2 6 ，0 0 5 8 ) 级 2 5 0 7 2 3 9 1 ，2 8 0 0 ，3 4 2 1 ，2 7 7 4 ) 权晕 1 8 4 8 ( 0 1 2 5 ，0 3 0 9 ，0 5 1 7 ，0 0 4 8 ) 0 2 2 6 ( 2 2 3 6 ，3 4 2 7 ，1 8 8 0 ，1 2 1 l ，l - 1 4 3 ，2 6 7 4 ，1 4 3 1 ) 2 0 3 3 30 3 1 4 ( 0 2 4 1 ，0 2 4 1 ，0 1 0 5 ，0 1 4 6 ，0 1 4 6 ，0 2 1 2 ，0 0 2 4 ) 8 7 0 3 3 3 0 2 3 4 ( 2 2 0 6 ，3 1 4 7 ，2 11 7 ，1 2 3 1 ，2 0 0 7 ，1 4 2 9 ) 0 3 3 3 0 2 2 6 ( 0 1 6 7 ，0 1 0 1 ，0 1 6 7 ，0 3 0 2 ，0 1 0 5 0 1 5 8 ) 3 0 2 2( 3 2 9 7 ，2 1 3 6 ，3 0 3 2 ，3 5 3 3 ) 2 1 7 0 0 2 1 7 ，0 2 6 1 ，0 2 3 9 ，0 2 8 3 ) 0 3 6 1 ( 2 1 2 7 ，3 11 0 ，1 8 9 7 ，i 3 3 7 ，2 9 7 2 ，2 2 4 2 ) 0 7 3 9( 0 1 2 4 ，0