CN104268714A - 一种多维度风险评估方法 - Google Patents

Abstract

本发明涉及一种多维度风险评估方法，该方法采用定性与定量相结合的方法对风险进行分析计算，并从安全策略、管理风险、技术风险、运维风险等多个维度进行综合风险分析。本发明从电力行业信息安全管理的角度出发，充分考虑策略、管理、运维、技术四个维度，实现了四维一体的风险评估方法，将风险计算模型立体化，主要用于解决电力信息系统风险评估中定量评价扁平化，单一化的问题。

Description

一种多维度风险评估方法

技术领域

本发明涉及一种电力系统的评估方法，具体讲涉及一种多维度风险评估方法。

背景技术

风险计算模型包含信息资产、脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性属性是脆弱性或漏洞被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。现有的风险评估计算只从一个维度计算风险值，不能反映风险的具体情况，不能准确反映风险范围以及风险的程度。因此需要提供一种能反映风险的具体情况、准确反映风险范围及风险的程度的多维风险评估方法，以满足技术发展的需要。

发明内容

针对现有技术的不足，本发明的目的是提供一种多维度风险评估方法，解决当前风险评估中多维度的信息安全定量的评价，本发明采用定性与定量相结合的方法对风险进行分析计算，并从安全策略、管理风险、技术风险、运维风险等多个维度进行综合风险分析。

本发明的目的是采用下述技术方案实现的：

本发明提供一种多维度风险评估方法，其改进之处在于，所述多维包括策略、管理、运维和技术四维，所述方法包括下述步骤：

(1)确定资产值；

(2)确定威胁值；

(3)确定策略脆弱性；

(4)确定技术脆弱性；

(5)确定管理脆弱性；

(6)确定运维脆弱性；

(7)信息安全风险评估；

(8)拓展所述安全风险评估。

进一步地，所述步骤(1)中，所述资产值包括资产的机密性价值、资产的完整性价值和资产的可用性价值；信息、软件的机密性赋值的最大值用A_c表示；信息、软件、硬件的完整性赋值的最大值用A_i表示；信息、软件、硬件、人员的可用性赋值的最大值用分别A_a表示；A_c、A_i和A_a分别用下述表达式表示：

A_c＝max(A信息_c,A软件_c)*L    ①；

A_i＝max(A信息_i,A软件_i,A硬件_i)*L    ②；

A_a＝max(A信息_a,A软件_a,A硬件_a,A人员_a)*L    ③；

其中：L代表资产所属业务系统的安全等级。

进一步地，所述步骤(2)中，所述威胁值包括威胁的严重程度T_s、威胁发生的可能性T_f、威胁对机密性的严重程度T_sc、威胁对完整性的严重程度T_si和威胁对可用性的严重程度T_sa；各项所述的威胁可能性与机密性严重程度乘积的和用下述的T_c式表示：

T_c＝T_f1*T_sc1+T_f2*T_sc2+T_f3*T_sc3+......+T_f3*T_scq    ④；

各项威胁的可能性与完整性严重程度乘积的和用下述的T_i式表示：

T_i＝T_f1*T_si1+T_f2*T_si2+T_f3*T_si3+......+T_f3*T_siq    ⑤；

各项威胁的可能性与可用性严重程度乘积的和用T_a表示，表达式如下：

T_a＝T_f1*T_sa1+T_f2*T_sa2+T_f3*T_sa3+......+T_f3*T_saq    ⑥；

其中：q＝1，2，3，......。

进一步地，所述步骤(3)中，所述策略脆弱性用机密性相关策略脆弱性最大值的和V_pc、完整性相关策略脆弱性最大值的和V_pi以及可用性相关策略脆弱性最大值的和V_pa表示；

当时机密性相关策略脆弱性最大值的和V_pc为：

V_pc＝V_pc1+V_pc2+V_pc3+......+V_pcq    ⑦；

其中：{V_pcn}表示资产的机密性相关策略脆弱性值的全集，max{V_pcn}表示{V_pcn}中所有最大值的集合，{V_pcq}表示集合max{V_pcn}的一个包含q个元素的子集；

当时完整性相关策略脆弱性最大值的和V_pi为：

V_pi＝V_pi1+V_pi2+V_pi3+......+V_piq    ⑧；

其中：{V_pin}表示资产的完整性相关策略脆弱性值的全集，max{V_pin}表示{V_pin}中所有最大值的集合，{V_piq}表示集合max{V_pin}的一个包含q个元素的子集；

当时可用性相关策略脆弱性最大值的和V_pa为：

V_pa＝V_pa1+V_pa2+V_pa3+......+V_paq    ⑨；

其中：{V_pan}表示资产的可用性相关策略脆弱性值的全集，max{V_pan}表示{V_pan}中所有最大值的集合，{V_paq}表示集合max{V_pan}的一个包含q个元素的子集；n＝1，2，3，......；q＝1，2，3，......。

进一步地，所述步骤(4)中，所述技术脆弱性用机密性相关技术脆弱性最大值的和V_tc、完整性相关技术脆弱性最大值的和V_ti以及可用性相关技术脆弱性最大值的和V_ta表示；

当时机密性相关技术脆弱性最大值的和V_tc为：

V_tc＝V_tc1+V_tc2+V_tc3+......+V_tcq    ⑦；

其中：{V_tcn}表示资产的机密性相关技术脆弱性值的全集，max{V_tcn}表示{V_tcn}中所有最大值的集合，{V_tcq}表示集合max{V_tcn}的一个包含q个元素的子集；

当时完整性相关技术脆弱性最大值的和V_ti为：

V_ti＝V_ti1+V_ti2+V_ti3+......+V_tiq    ⑧；

其中：{V_tin}表示资产的完整性相关技术脆弱性值的全集，max{V_tin}表示{V_tin}中所有最大值的集合，{V_tiq}表示集合max{V_tin}的一个包含q个元素的子集；

当时可用性相关技术脆弱性最大值的和V_ta为：

V_ta＝V_ta1+V_ta2+V_ta3+......+V_taq    ⑨；

其中：{V_tan}表示资产的可用性相关技术脆弱性值的全集，max{V_tan}表示{V_tan}中所有最大值的集合，{V_taq}表示集合max{V_tan}的一个包含q个元素的子集；n＝1，2，3，......；q＝1，2，3，......。

进一步地，所述步骤(5)中，所述管理脆弱性用机密性相关管理脆弱性最大值的和V_mc、完整性相关管理脆弱性最大值的和V_mi以及可用性相关管理脆弱性最大值的和V_ma表示；

管理方面的各个机密性方面的脆弱值表示为V_mcn：

V_mc＝V_mc1+V_mc2+V_mc3+......+V_mcn    

管理方面的各个完整性方面的脆弱值表示为V_min：

V_mi＝V_mi1+V_mi2+V_mi3+......+V_min    

管理方面的各个可用性方面的脆弱值表示为V_man：

V_ma＝V_ma1+V_ma2+V_ma3+......+V_man    

其中：n＝1,2,3,......。

进一步地，所述步骤(6)中，所述运维脆弱性用机密性相关运维脆弱性最大值的和V_oc、完整性相关运维脆弱性最大值的和V_oi以及可用性相关运维脆弱性最大值的和V_oa表示；

运维方面的各个机密性方面的脆弱值表示为V_ocn：

V_oc＝V_oc1+V_oc2+V_oc3+......+V_ocn    

运维方面的各个完整性方面的脆弱值表示为V_oin：

V_oi＝V_oi1+V_oi2+V_oi3+......+V_oin    

运维方面的各个可用性方面的脆弱值表示为V_oan

V_oa＝V_oa1+V_oa2+V_oa3+......+V_oan    

其中：n＝1,2,3,......。

进一步地，所述步骤(7)中，所述风险值用R表示，资产价值用A表示，表威胁值用T表示，脆弱性值用V表示，资产损失产生的影响用E表示，资产暴露程度用D表示：

风险的计算方法为：

R＝A×T×V＝E×D    

T＝T_s×T_f,E＝A×T_s,D＝T_f×V    

其中：T_s表示威胁的严重程度；T_f表示威胁发生的可能性。

进一步地，所述步骤(8)中，所述策略脆弱性相关风险用R_p表示，技术脆弱性相关风险用R_t表示，管理脆弱性相关风险用R_m表示，运行维护脆弱性相关风险用R_o表示；对所述安全风险评估进行扩展：

R_p＝A_c×T_c×V_pc+A_i×T_i×V_pi+A_a×T_a×V_pa    

R_t＝A_c×T_c×V_tc+A_i×T_i×V_ti+A_a×T_a×V_ta    

R_m＝A_c×T_c×V_mc+A_i×T_i×V_mi+A_a×T_a×V_ma    

R_o＝A_c×T_c×V_oc+A_i×T_i×V_oi+A_a×T_a×V_oa    

与现有技术比，本发明达到的有益效果是：

本发明从电力行业信息安全管理的角度出发，充分考虑安全策略、管理风险、技术风险、运维风险四个维度，实现了四维一体的风险计算方法，将风险计算模型立体化，主要用于解决电力信息系统风险评估中定量评价扁平化，单一化的问题。克服了现有的风险评估计算只从一个维度计算风险值，不能反映风险的具体情况，不能准确反映风险范围以及风险的程度。不能满足电力信息系统风险评估中定量评价扁平化，单一化的问题

附图说明

图1是本发明提供的多维度风险评估方法逻辑图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步的详细说明。

本发明的目的是提供风险评估的定量的评价方法，采用定性与定量相结合的方法对风险进行分析计算，并从安全策略、管理风险、技术风险、运维风险等多个维度进行综合风险分析。多维度风险评估方法逻辑图如图1所示，具体包括：

(1)确定资产值：

资产值包括资产的机密性价值、资产的完整性价值和资产的可用性价值；信息、软件的机密性赋值的最大值用A_c表示；信息、软件、硬件的完整性赋值的最大值用A_i表示；信息、软件、硬件、人员的可用性赋值的最大值用A_a表示；A_c、A_i和A_a分别用下述表达式表示：

A_c＝max(A信息_c,A软件_c)*L    ①；

A_i＝max(A信息_i,A软件_i,A硬件_i)*L   ②；

A_a＝max(A信息_a,A软件_a,A硬件_a,A人员_a)*L    ③；

其中：L代表资产所属业务系统的安全等级。

(2)确定威胁值：

威胁值包括威胁的严重程度T_s、威胁发生的可能性T_f、威胁对机密性的严重程度T_sc、威胁对完整性的严重程度T_si和威胁对可用性的严重程度T_sa；

各项威胁的可能性与机密性严重程度乘积的和用T_c表示，表达式如下：

T_c＝T_f1×T_sc1+T_f2×T_sc2+T_f3×T_sc3+......+T_f3×T_scq    ④；

各项威胁的可能性与完整性严重程度乘积的和用T_i表示，表达式如下：

T_i＝T_f1×T_si1+T_f2×T_si2+T_f3×T_si3+......+T_f3×T_siq    ⑤；

各项威胁的可能性与可用性严重程度乘积的和用T_a表示，表达式如下：

T_a＝T_f1×T_sa1+T_f2×T_sa2+T_f3×T_sa3+......+T_f3×T_saq    ⑥；

其中：q＝1，2，3，......。

(3)确定策略脆弱性：

策略脆弱性用机密性相关策略脆弱性最大值的和V_pc、完整性相关策略脆弱性最大值的和V_pi以及可用性相关策略脆弱性最大值的和V_pa表示；

当时机密性相关策略脆弱性最大值的和V_pc为：

V_pc＝V_pc1+V_pc2+V_pc3+......+V_pcq    ⑦；

其中：{V_pcn}表示资产的机密性相关策略脆弱性值的全集，max{V_pcn}表示{V_pcn}中所有最大值的集合，{V_pcq}表示集合max{V_pcn}的一个包含q个元素的子集；

当时完整性相关策略脆弱性最大值的和V_pi为：

V_pi＝V_pi1+V_pi2+V_pi3+......+V_piq    ⑧；

其中：{V_pin}表示资产的完整性相关策略脆弱性值的全集，max{V_pin}表示{V_pin}中所有最大值的集合，{V_piq}表示集合max{V_pin}的一个包含q个元素的子集；

当时可用性相关策略脆弱性最大值的和V_pa为：

V_pa＝V_pa1+V_pa2+V_pa3+......+V_paq    ⑨；

其中：{V_pan}表示资产的可用性相关策略脆弱性值的全集，max{V_pan}表示{V_pan}中所有最大值的集合，{V_paq}表示集合max{V_pan}的一个包含q个元素的子集；n＝1，2，3，......；q＝1，2，3，......。

(4)确定技术脆弱性：

技术脆弱性用机密性相关技术脆弱性最大值的和V_tc、完整性相关技术脆弱性最大值的和V_ti以及可用性相关技术脆弱性最大值的和V_ta表示；

当时机密性相关技术脆弱性最大值的和V_tc为：

V_tc＝V_tc1+V_tc2+V_tc3+......+V_tcq    ⑦；

其中：{V_tcn}表示资产的机密性相关技术脆弱性值的全集，max{V_tcn}表示{V_tcn}中所有最大值的集合，{V_tcq}表示集合max{V_tcn}的一个包含q个元素的子集；

当时完整性相关技术脆弱性最大值的和V_ti为：

V_ti＝V_ti1+V_ti2+V_ti3+......+V_tiq    ⑧；

其中：{V_tin}表示资产的完整性相关技术脆弱性值的全集，max{V_tin}表示{V_tin}中所有最大值的集合，{V_tiq}表示集合max{V_tin}的一个包含q个元素的子集；

当时可用性相关技术脆弱性最大值的和V_ta为：

V_ta＝V_ta1+V_ta2+V_ta3+......+V_taq    ⑨；

其中：{V_tan}表示资产的可用性相关技术脆弱性值的全集，max{V_tan}表示{V_tan}中所有最大值的集合，{V_taq}表示集合max{V_tan}的一个包含q个元素的子集；n＝1，2，3，......；q＝1，2，3，......。

(5)确定管理脆弱性：

管理脆弱性用机密性相关管理脆弱性最大值的和V_mc、完整性相关管理脆弱性最大值的和V_mi以及可用性相关管理脆弱性最大值的和V_ma表示；

管理方面的各个机密性方面的脆弱值表示为V_mcn

V_mc＝V_mc1+V_mc2+V_mc3+......+V_mcn    

管理方面的各个完整性方面的脆弱值表示为V_min

V_mi＝V_mi1+V_mi2+V_mi3+......+V_min    

管理方面的各个可用性方面的脆弱值表示为V_man

V_ma＝V_ma1+V_ma2+V_ma3+......+V_man    

其中：n＝1,2,3,......

(6)确定运维脆弱性：

运维脆弱性用机密性相关运维脆弱性最大值的和V_oc、完整性相关运维脆弱性最大值的和V_oi以及可用性相关运维脆弱性最大值的和V_oa表示；

运维方面的各个机密性方面的脆弱值表示为V_ocn

V_oc＝V_oc1+V_oc2+V_oc3+......+V_ocn    

运维方面的各个完整性方面的脆弱值表示为V_oin

V_oi＝V_oi1+V_oi2+V_oi3+......+V_oin    

运维方面的各个可用性方面的脆弱值表示为V_oan

V_oa＝V_oa1+V_oa2+V_oa3+......+V_oan    

其中：n＝1,2,3,......

(7)信息安全风险评估：

风险值用R表示，资产价值用A表示，表威胁值用T表示，脆弱性值用V表示，资产损失产生的影响用E表示，资产暴露程度用D表示：

风险的计算方法为：

R＝A×T×V＝E×D    

T＝T_s×T_f,E＝A×T_s,D＝T_f×V    

(8)对所述安全风险评估进行扩展：

策略脆弱性相关风险用R_p表示，技术脆弱性相关风险用R_t表示，管理脆弱性相关风险用R_m表示，运行维护脆弱性相关风险用R_o表示。对所述安全风险评估进行扩展：

R_p＝A_c×T_c×V_pc+A_i×T_i×V_pi+A_a×T_a×V_pa    

R_t＝A_c×T_c×V_tc+A_i×T_i×V_ti+A_a×T_a×V_ta    

R_m＝A_c×T_c×V_mc+A_i×T_i×V_mi+A_a×T_a×V_ma    

R_o＝A_c×T_c×V_oc+A_i×T_i×V_oi+A_a×T_a×V_oa    

实施例

在对某电力公司应用系统进行风险评估时，结合资产策略、管理、运维、技术四个维度的需求，分别对资产的c、i、a进行赋值，获得A_c、A_i和A_a；通过技术与人工审查相结合的方法分别从c、i、a三性将威胁严重程度、可能性进行量化计算，得到T_c,T_i,T_a；从策略、管理、运维、技术四个维度分别从c、i、a三性将威胁计算量化；对传统的风险计算模型进行扩展，得出策略、管理、运维、技术四个维度的风险R_p，R_t，R_m，R_o。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种多维度风险评估方法，其特征在于，所述多维包括策略、管理、运维和技术四维，所述方法包括下述步骤：

(1)确定资产值；

(2)确定威胁值；

(3)确定策略脆弱性；

(4)确定技术脆弱性；

(5)确定管理脆弱性；

(6)确定运维脆弱性；

(7)信息安全风险评估；

(8)拓展所述安全风险评估。

2.如权利要求1所述的多维度风险评估方法，其特征在于，所述步骤(1)中，所述资产值包括资产的机密性价值、资产的完整性价值和资产的可用性价值；信息、软件的机密性赋值的最大值用A_c表示；信息、软件、硬件的完整性赋值的最大值用A_i表示；信息、软件、硬件、人员的可用性赋值的最大值用分别A_a表示；A_c、A_i和A_a分别用下述表达式表示：

A_c＝max(A信息_c,A软件_c)*L    ①；

A_i＝max(A信息_i,A软件_i,A硬件_i)*L    ②；

A_a＝max(A信息_a,A软件_a,A硬件_a,A人员_a)*L    ③；

其中：L代表资产所属业务系统的安全等级。

3.如权利要求1所述的多维度风险评估方法，其特征在于，所述步骤(2)中，所述威胁值包括威胁的严重程度T_s、威胁发生的可能性T_f、威胁对机密性的严重程度T_sc、威胁对完整性的严重程度T_si和威胁对可用性的严重程度T_sa；各项所述的威胁可能性与机密性严重程度乘积的和用下述的T_c式表示：

T_c＝T_f1*T_sc1+T_f2*T_sc2+T_f3*T_sc3+......+T_f3*T_scq    ④；

各项威胁的可能性与完整性严重程度乘积的和用下述的T_i式表示：

T_i＝T_f1*T_si1+T_f2*T_si2+T_f3*T_si3+......+T_f3*T_siq    ⑤；

各项威胁的可能性与可用性严重程度乘积的和用T_a表示，表达式如下：

T_a＝T_f1*T_sa1+T_f2*T_sa2+T_f3*T_sa3+......+T_f3*T_saq    ⑥；

其中：q＝1，2，3，......。

4.如权利要求1所述的多维度风险评估方法，其特征在于，所述步骤(3)中，所述策略脆弱性用机密性相关策略脆弱性最大值的和V_pc、完整性相关策略脆弱性最大值的和V_pi以及可用性相关策略脆弱性最大值的和V_pa表示；

当时机密性相关策略脆弱性最大值的和V_pc为：

V_pc＝V_pc1+V_pc2+V_pc3+......+V_pcq    ⑦；

其中：{V_pcn}表示资产的机密性相关策略脆弱性值的全集，max{V_pcn}表示{V_pcn}中所有最大值的集合，{V_pcq}表示集合max{V_pcn}的一个包含q个元素的子集；

当时完整性相关策略脆弱性最大值的和V_pi为：

V_pi＝V_pi1+V_pi2+V_pi3+......+V_piq    ⑧；

其中：{V_pin}表示资产的完整性相关策略脆弱性值的全集，max{V_pin}表示{V_pin}中所有最大值的集合，{V_piq}表示集合max{V_pin}的一个包含q个元素的子集；

当时可用性相关策略脆弱性最大值的和V_pa为：

V_pa＝V_pa1+V_pa2+V_pa3+......+V_paq    ⑨；

其中：{V_pan}表示资产的可用性相关策略脆弱性值的全集，max{V_pan}表示{V_pan}中所有最大值的集合，{V_paq}表示集合max{V_pan}的一个包含q个元素的子集；n＝1，2，3，......；q＝1，2，3，......。

5.如权利要求1所述的多维度风险评估方法，其特征在于，所述步骤(4)中，所述技术脆弱性用机密性相关技术脆弱性最大值的和V_tc、完整性相关技术脆弱性最大值的和V_ti以及可用性相关技术脆弱性最大值的和V_ta表示；

当时机密性相关技术脆弱性最大值的和V_tc为：

V_tc＝V_tc1+V_tc2+V_tc3+......+V_tcq    ⑦；

其中：{V_tcn}表示资产的机密性相关技术脆弱性值的全集，max{V_tcn}表示{V_tcn}中所有最大值的集合，{V_tcq}表示集合max{V_tcn}的一个包含q个元素的子集；

当时完整性相关技术脆弱性最大值的和V_ti为：

V_ti＝V_ti1+V_ti2+V_ti3+......+V_tiq    ⑧；

其中：{V_tin}表示资产的完整性相关技术脆弱性值的全集，max{V_tin}表示{V_tin}中所有最大值的集合，{V_tiq}表示集合max{V_tin}的一个包含q个元素的子集；

当时可用性相关技术脆弱性最大值的和V_ta为：

V_ta＝V_ta1+V_ta2+V_ta3+......+V_taq    ⑨；

其中：{V_tan}表示资产的可用性相关技术脆弱性值的全集，max{V_tan}表示{V_tan}中所有最大值的集合，{V_taq}表示集合max{V_tan}的一个包含q个元素的子集；n＝1，2，3，......；q＝1，2，3，......。

6.如权利要求1所述的多维度风险评估方法，其特征在于，所述步骤(5)中，所述管理脆弱性用机密性相关管理脆弱性最大值的和V_mc、完整性相关管理脆弱性最大值的和V_mi以及可用性相关管理脆弱性最大值的和V_ma表示；

管理方面的各个机密性方面的脆弱值表示为V_mcn：

V_mc＝V_mc1+V_mc2+V_mc3+......+V_mcn    ；

管理方面的各个完整性方面的脆弱值表示为V_min：

V_mi＝V_mi1+V_mi2+V_mi3+......+V_min    ；

管理方面的各个可用性方面的脆弱值表示为V_man：

V_ma＝V_ma1+V_ma2+V_ma3+......+V_man    ；

其中：n＝1,2,3,......。

7.如权利要求1所述的多维度风险评估方法，其特征在于，所述步骤(6)中，所述运维脆弱性用机密性相关运维脆弱性最大值的和V_oc、完整性相关运维脆弱性最大值的和V_oi以及可用性相关运维脆弱性最大值的和V_oa表示；

运维方面的各个机密性方面的脆弱值表示为V_ocn：

V_oc＝V_oc1+V_oc2+V_oc3+......+V_ocn    ；

运维方面的各个完整性方面的脆弱值表示为V_oin：

V_oi＝V_oi1+V_oi2+V_oi3+......+V_oin    ；

运维方面的各个可用性方面的脆弱值表示为V_oan

V_oa＝V_oa1+V_oa2+V_oa3+......+V_oan    ；

其中：n＝1,2,3,......。

8.如权利要求1所述的多维度风险评估方法，其特征在于，所述步骤(7)中，所述风险值用R表示，资产价值用A表示，表威胁值用T表示，脆弱性值用V表示，资产损失产生的影响用E表示，资产暴露程度用D表示：

风险的计算方法为：

R＝A×T×V＝E×D    ；

T＝T_s×T_f,E＝A×T_s,D＝T_f×V    ；

其中：T_s表示威胁的严重程度；T_f表示威胁发生的可能性。

9.如权利要求1所述的多维度风险评估方法，其特征在于，所述步骤(8)中，所述策略脆弱性相关风险用R_p表示，技术脆弱性相关风险用R_t表示，管理脆弱性相关风险用R_m表示，运行维护脆弱性相关风险用R_o表示；对所述安全风险评估进行扩展：

R_p＝A_c×T_c×V_pc+A_i×T_i×V_pi+A_a×T_a×V_pa    ；

R_t＝A_c×T_c×V_tc+A_i×T_i×V_ti+A_a×T_a×V_ta    ；

R_m＝A_c×T_c×V_mc+A_i×T_i×V_mi+A_a×T_a×V_ma    ；

R_o＝A_c×T_c×V_oc+A_i×T_i×V_oi+A_a×T_a×V_oa    。