CN115664744A - 电力物联网网络安全风险评估方法及评估系统 - Google Patents

Abstract

本发明公开了一种电力物联网网络安全风险评估方法，包括获取威胁情报信息、资产信息和防护措施信息并识别得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素；计算脆弱性指标值、资产指标值和安全措施指标值；计算威胁可能性指标、资产价值指标和资产受影响程度指标；计算待评估电力物联网的安全风险值并完成网络安全风险评估。本发明还公开了一种实现所述电力物联网网络安全风险评估方法的系统。本发明能够更精确的评估网络安全风险，考虑了防护措施因素，对量化指标进行针对性设计，能够更科学的评估电力物联网面临的安全风险；因此本发明的可靠性高、精确性好且客观科学。

Description

电力物联网网络安全风险评估方法及评估系统

技术领域

本发明属于计算机网络技术领域，具体涉及一种电力物联网网络安全风险评估方法及评估系统。

背景技术

随着经济技术的发展和人们生活水平的提高，电能已经成为了人们生产和生活中必不可少的二次能源，给人们的生产和生活带来了无尽的便利。因此，保障电能的稳定可靠供应，就成为了电力系统最重要的任务之一。

电力物联网是应用于电力领域的工业级物联网，基于综合状态感知和数据融合利用，进行预测、控制、优化等智能辅助决策，有力支持能源互联网的协同运行。电力物联网是电力系统的重要组成部分，也是传统物联网在垂直行业的应用，依然遵循感知层、网络层、应用层的物联网典型架构。电力物联网的终端数量巨大，部分终端涉及电网敏感信息和设备控制，且接入方式多种多样，随着新型电力系统的建设，电力物联网的边界将越发模糊，风险防控难度也成倍提升。

网络安全风险评估是主动防御技术的一种，其包括风险识别、风险分析和风险评价的整个过程。风险评估的基本目的是将网络风险控制在可以接受的范围之内，对网络中存在的风险因素进行有效的评估，是解决安全问题的有效途径。目前，电力系统中针对电力物联网网络安全风险评估的技术方案，依旧存在如下问题：一是当前主流的网络安全风险评估方法，其评估效果和准确性较差；二是当前的评估方法在进行风险评估的识别和量化阶段，大都依赖专家主观打分，对一些问题的评估依赖专家经验，评估结果的准确性受主观性影响较大；三是现有方法的设计初衷并非是针对电力物联网，而随着电力物联网的快速发展，现有方法已经不再适用于现有的电力物联网。

发明内容

本发明的目的之一在于提供一种可靠性高、精确性好且客观科学的电力物联网网络安全风险评估方法。

本发明的目的之二在于提供一种实现所述电力物联网网络安全风险评估方法的系统。

本发明提供的这种电力物联网网络安全风险评估方法，包括如下步骤：

获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息；

对获取的威胁情报信息、资产信息和防护措施信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素；

根据威胁要素、脆弱性要素、资产要素和安全措施要素，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值；

根据脆弱性指标值、资产指标值和安全措施指标值，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标；

根据威胁可能性指标、资产价值指标和资产受影响程度指标，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估。

所述的获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息，具体包括如下步骤：

所述的威胁情报信息包括电力物联网威胁的攻击事件及漏洞情报；攻击事件为电力物联网中历史发生的网络安全事件、攻防演练中发生的成功攻击事件和攻击成功的安全监测告警数据；网络安全事件通过对以前发生的安全事件通报收集获得；攻防演练中发生的成功攻击事件通过复盘总结获得；安全监测告警数据包括物联终端上安装的探针收集的安全告警数据和网络中部署的安全监测网关收集的安全告警数据；漏洞情报为通过开源漏洞情报库收集的电力物联网相关的漏洞情报信息；

所述的资产信息包括电力物联网的终端属性、网络属性、业务属性、数据属性和资产存在的漏洞；电力物联网资产包括感知层资产、网络层资产和应用层资产；感知层资产包括物联终端和边缘设备；网络层资产包括网络通道和网络设备；应用层资产包括物联平台和业务应用；

所述的防护措施信息包括电力物联网的网络安全防护设施、防护技术和防护能力。

所述的对获取的威胁情报信息、资产信息和防护措施信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素，具体包括如下步骤：

得到威胁要素：

对电力物联网的威胁进行分析，得到威胁类型集合T，对于

将威胁类型H_i分为子威胁类型，其中子威胁类型h_ij∈H_i；

所述的威胁类型包括物理攻击、信道阻塞攻击、窃听攻击、伪造攻击、重放攻击、信息篡改攻击、DDOS攻击、恶意软件攻击和应用攻击；

得到脆弱性要素：

对收集的攻击事件进行分析，得到攻击事件集合E，对于

ε＝＜h,t,l,as＞，其中h为事件对应的子威胁类型，t为事件发生的时间，l为事件发生的级别，as为发生安全事件的资产；

对收集的漏洞情报进行分析，得到电力物联网漏洞情报库集合V，对于

v＝＜h,s,at＞，h为漏洞情报对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(Common Vulnerability Scoring System)得到此类型漏洞的评分值，at为漏洞情报对应的资产类型；

对收集的资产漏洞进行分析，得到现有资产漏洞集合U，对于

u＝＜h,s,as＞，h为漏洞对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(CommonVulnerability Scoring System)得到此类型漏洞的评分值，as为漏洞对应的资产；

得到资产要素：

电力物联网场景定义为资产及合AS，对于

as＝＜type,com,pro,sen,con,are＞，其中type为资产类型，com为通信方式，pro为通信协议，sen为涉敏信息，con为涉控信息，are为接入大区；其中，涉敏信息指是否涉及敏感数据和敏感数据情况，涉控信息指是否涉及控制指令和被控制的业务情况，接入大区指接入生产控制大区、管理信息大区或互联网大区；

得到安全措施要素：

通过对安全措施进行分析，得到电力物联网对于感知层、网络层及应用层的防护措施在不同威胁类型H的条件下，具备的防护能力q，其中q的取值范围为{p₁,p₂,p₃,p₄,p₅,p₆}，p₁～p₆依次对应于免疫、保护、响应、检测、记录和无感；其中，免疫表示某类威胁对于当前层不适用或通过安全防护措施达到了内生免疫级别；保护表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置并恢复至受攻击之前的状态；响应表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置阻断或消除攻击行为；检测表示通过安全防护措施，某类威胁发生时能够及时感知攻击行为；记录表示通过安全防护措施，某类威胁发生后能够通过相关手段发现攻击行为；无感表示对于某类威胁无法感知与处置。

所述的根据威胁要素、脆弱性要素、资产要素和安全措施要素，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值，具体包括如下步骤：

对于

采用如下算式作为攻击事件脆弱性指标函数f₁(ε)：

f₁(ε)＝g₁(l)·e^-δ(τ-t)

式中g₁(l)为设定的分段函数，当事件为高级别时g₁(l)＝HG，当事件为中级别时g₁(l)＝MG，当事件为低级别时g₁(l)＝LG，HG为设定的高权重值，MG为设定的中权重值，LG为设定的低权重值；δ为控制时间衰减的变量；τ为计算脆弱性指标的基准时间；t为当前时间；

对于

采用如下算式作为漏洞情报脆弱性指标函数f₂(v)：

式中α为漏洞情报的权重；s为漏洞的评分值；

对于

采用如下算式作为资产漏洞脆弱性指标函数f₃(u)：

式中β为资产漏洞的权重；

资产价值包括资产的数据重要度和资产的业务重要度；其中，资产的数据重要度计算式为

其中w₁为资产的存储数据量或数据流量，W₁为评估资产集合的存储数据总量或数据流量总量，γ为非敏感数据的权重，w₂为资产的存储敏感数据量或敏感数据流量，W₂为评估资产集合的存储敏感数据总量或敏感数据流量总量，g₂(sen)为设定的分段函数，当敏感数据为高级别时g₂(sen)＝HD，当敏感数据为中级别时g₂(sen)＝MD，当敏感数据为低级别时g₂(sen)＝LD，HD为设定的高权重值，MD为设定的中权重值，LD为设定的低权重值，γ＜LD；

资产的业务重要度计算式为f₅(as)＝g₃(are)·g₄(con)，其中g₃(are)为设定的分段函数，且若数据接入生产控制大区则g₃(are)＝A₁，若数据接入管理信息大区则g₃(are)＝A₂，若数据接入互联网大区则g₃(are)＝A₃，A₁～A₃均为设定的权重值；g₄(con)为设定的分段函数，其取值为{η,L₀,L₁,...,L_n}，其中η为不涉控的权重，L₀为控制指令不涉及电网时的权重，L₁,...,L_n为不同电压等级时的权重；

安全措施指标值采用安全防护能力矩阵M表示；对于威胁集合T中的n类威胁，形成安全防护能力矩阵M为

其中q_i1为对于第i种威胁类型的感知层防护能力量化值，q_i2为对于第i种威胁类型的网络层防护能力量化值，q_i3为对于第i种威胁类型的应用层防护能力量化值。

所述的根据脆弱性指标值、资产指标值和安全措施指标值，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标，具体包括如下步骤：

采用如下算式计算威胁可能性指标d₁(H,AS)：

式中I、J和K均为设定的常数；λ₁为攻击事件脆弱性的加权系数，λ₂为漏洞情报脆弱性的加权系数，λ₃为资产漏洞脆弱性的加权系数，且λ₁+λ₂+λ₃＝1；rank()为降序函数，其中rank(f₁(ε_i))表示取前I项指标值计算威胁发生的可能性，rank(f₁(ε_i))表示取前J项指标值计算威胁发生的可能性，rank(f₃(u_k))表示取前K项指标值计算威胁发生的可能性；ε_i表示攻击事件集合E中的具体事件，且ε_i＝＜h_i,t_i,l_i,as_i＞，h_i为事件i对应的子威胁类型，t_i为事件i发生的时间，l_i为事件i发生的级别，as_i为发生安全事件i的资产，as_i∈AS，h_i∈H；v_j为电力物联网漏洞情报库集合V中的具体漏洞情报，且v_j＝＜h_j,s_j,at_j＞，h_j为漏洞j对应的子威胁类型，s_j为漏洞j的评分值，at_j为漏洞j对应的资产类型；u_k为资产漏洞集合U中的具体资产漏洞，且u_k＝＜h_k,s_k,as_k＞，h_k为漏洞k对应的子威胁类型，s_k为漏洞k的评分值，as_k为漏洞k对应的资产；

采用如下算式计算资产价值指标d₂(AS)：

式中λ₄和λ₅为设定的加权系数，且λ₄+λ₅＝1；N_as为集合AS中的资产数量；f₄(as)为资产的数据重要度值；f₅(as)为资产的业务重要度；

采用如下算式计算资产受影响程度指标d₃(H,AS)：

d₃(H,AS)＝λ₆·q_i1+λ₇·q_i2+λ₈·q_i3

式中λ₆、λ₇和λ₈为设定的加权系数，且λ₆+λ₇+λ₈＝1；q_i1为对于第i种威胁类型的感知层防护能力量化值；q_i2为对于第i种威胁类型的网络层防护能力量化值；q_i3为对于第i种威胁类型的应用层防护能力量化值。

所述的根据威胁可能性指标、资产价值指标和资产受影响程度指标，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估，具体包括如下步骤：

采用如下算式计算得到待评估电力物联网的安全风险值D(AS)：

式中N_H为威胁种类的数量；

根据得到的待评估电力物联网的安全风险值D(AS)，采用如下原则完成电力物联网的网络安全风险评估：

待评估电力物联网的安全风险值D(AS)越高，则表示待评估电力物联网的网络安全风险越高；

待评估电力物联网的安全风险值D(AS)越低，则表示待评估电力物联网的网络安全风险越低。

本发明还公开了一种电力物联网网络安全风险评估系统，包括数据获取模块、要素计算模块、初始指标计算模块、安全指标计算模块和评估模块；数据获取模块、要素计算模块、初始指标计算模块、安全指标计算模块和评估模块依次串联；数据获取模块用于获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息，并将数据上传要素计算模块；要素计算模块用于对接收到的信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素，并将数据上传初始指标计算模块；初始指标计算模块用于根据接收到的数据，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值，并将数据上传安全指标计算模块；安全指标计算模块用于接收到的数据，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标，并将数据上传评估模块；评估模块用于根据接收到的数据，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估。

所述的数据获取模块用于获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息，具体包括如下步骤：

所述的威胁情报信息包括电力物联网威胁的攻击事件及漏洞情报；攻击事件为电力物联网中历史发生的网络安全事件、攻防演练中发生的成功攻击事件和攻击成功的安全监测告警数据；网络安全事件通过对以前发生的安全事件通报收集获得；攻防演练中发生的成功攻击事件通过复盘总结获得；安全监测告警数据包括物联终端上安装的探针收集的安全告警数据和网络中部署的安全监测网关收集的安全告警数据；漏洞情报为通过开源漏洞情报库收集的电力物联网相关的漏洞情报信息；

所述的资产信息包括电力物联网的终端属性、网络属性、业务属性、数据属性和资产存在的漏洞；电力物联网资产包括感知层资产、网络层资产和应用层资产；感知层资产包括物联终端和边缘设备；网络层资产包括网络通道和网络设备；应用层资产包括物联平台和业务应用；

所述的防护措施信息包括电力物联网的网络安全防护设施、防护技术和防护能力。

所述的要素计算模块用于对接收到的信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素，具体包括如下步骤：

得到威胁要素：

对电力物联网的威胁进行分析，得到威胁类型集合T，对于

将威胁类型H_i分为子威胁类型，其中子威胁类型h_ij∈H_i；

所述的威胁类型包括物理攻击、信道阻塞攻击、窃听攻击、伪造攻击、重放攻击、信息篡改攻击、DDOS攻击、恶意软件攻击和应用攻击；

得到脆弱性要素：

对收集的攻击事件进行分析，得到攻击事件集合E，对于

ε＝＜h,t,l,as＞，其中h为事件对应的子威胁类型，t为事件发生的时间，l为事件发生的级别，as为发生安全事件的资产；

对收集的漏洞情报进行分析，得到电力物联网漏洞情报库集合V，对于

v＝＜h,s,at＞，h为漏洞情报对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(Common Vulnerability Scoring System)得到此类型漏洞的评分值，at为漏洞情报对应的资产类型；

对收集的资产漏洞进行分析，得到现有资产漏洞集合U，对于

u＝＜h,s,as＞，h为漏洞对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(CommonVulnerability Scoring System)得到此类型漏洞的评分值，as为漏洞对应的资产；

得到资产要素：

电力物联网场景定义为资产及合AS，对于

as＝＜type,com,pro,sen,con,are＞，其中type为资产类型，com为通信方式，pro为通信协议，sen为涉敏信息，con为涉控信息，are为接入大区；其中，涉敏信息指是否涉及敏感数据和敏感数据情况，涉控信息指是否涉及控制指令和被控制的业务情况，接入大区指接入生产控制大区、管理信息大区或互联网大区；

得到安全措施要素：

通过对安全措施进行分析，得到电力物联网对于感知层、网络层及应用层的防护措施在不同威胁类型H的条件下，具备的防护能力q，其中q的取值范围为{p₁,p₂,p₃,p₄,p₅,p₆}，p₁～p₆依次对应于免疫、保护、响应、检测、记录和无感；其中，免疫表示某类威胁对于当前层不适用或通过安全防护措施达到了内生免疫级别；保护表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置并恢复至受攻击之前的状态；响应表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置阻断或消除攻击行为；检测表示通过安全防护措施，某类威胁发生时能够及时感知攻击行为；记录表示通过安全防护措施，某类威胁发生后能够通过相关手段发现攻击行为；无感表示对于某类威胁无法感知与处置。

所述的初始指标计算模块用于根据接收到的数据，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值，具体包括如下步骤：

对于

采用如下算式作为攻击事件脆弱性指标函数f₁(ε)：

f₁(ε)＝g₁(l)·e^-δ(τ-t)

式中g₁(l)为设定的分段函数，当事件为高级别时g₁(l)＝HG，当事件为中级别时g₁(l)＝MG，当事件为低级别时g₁(l)＝LG，HG为设定的高权重值，MG为设定的中权重值，LG为设定的低权重值；δ为控制时间衰减的变量；τ为计算脆弱性指标的基准时间；t为当前时间；

对于

采用如下算式作为漏洞情报脆弱性指标函数f₂(v)：

式中α为漏洞情报的权重；s为漏洞的评分值；

对于

采用如下算式作为资产漏洞脆弱性指标函数f₃(u)：

式中β为资产漏洞的权重；

资产价值包括资产的数据重要度和资产的业务重要度；其中，资产的数据重要度计算式为

其中w₁为资产的存储数据量或数据流量，W₁为评估资产集合的存储数据总量或数据流量总量，γ为非敏感数据的权重，w₂为资产的存储敏感数据量或敏感数据流量，W₂为评估资产集合的存储敏感数据总量或敏感数据流量总量，g₂(sen)为设定的分段函数，当敏感数据为高级别时g₂(sen)＝HD，当敏感数据为中级别时g₂(sen)＝MD，当敏感数据为低级别时g₂(sen)＝LD，HD为设定的高权重值，MD为设定的中权重值，LD为设定的低权重值，γ＜LD；

资产的业务重要度计算式为f₅(as)＝g₃(are)·g₄(con)，其中g₃(are)为设定的分段函数，且若数据接入生产控制大区则g₃(are)＝A₁，若数据接入管理信息大区则g₃(are)＝A₂，若数据接入互联网大区则g₃(are)＝A₃，A₁～A₃均为设定的权重值；g₄(con)为设定的分段函数，其取值为{η,L₀,L₁,...,L_n}，其中η为不涉控的权重，L₀为控制指令不涉及电网时的权重，L₁,...,L_n为不同电压等级时的权重；

安全措施指标值采用安全防护能力矩阵M表示；对于威胁集合T中的n类威胁，形成安全防护能力矩阵M为

其中q_i1为对于第i种威胁类型的感知层防护能力量化值，q_i2为对于第i种威胁类型的网络层防护能力量化值，q_i3为对于第i种威胁类型的应用层防护能力量化值。

所述的安全指标计算模块用于接收到的数据，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标，具体包括如下步骤：

采用如下算式计算威胁可能性指标d₁(H,AS)：

式中I、J和K均为设定的常数；λ₁为攻击事件脆弱性的加权系数，λ₂为漏洞情报脆弱性的加权系数，λ₃为资产漏洞脆弱性的加权系数，且λ₁+λ₂+λ₃＝1；rank()为降序函数，其中rank(f₁(ε_i))表示取前I项指标值计算威胁发生的可能性，rank(f₁(ε_i))表示取前J项指标值计算威胁发生的可能性，rank(f₃(u_k))表示取前K项指标值计算威胁发生的可能性；ε_i表示攻击事件集合E中的具体事件，且ε_i＝＜h_i,t_i,l_i,as_i＞，h_i为事件i对应的子威胁类型，t_i为事件i发生的时间，l_i为事件i发生的级别，as_i为发生安全事件i的资产，as_i∈AS，h_i∈H；v_j为电力物联网漏洞情报库集合V中的具体漏洞情报，且v_j＝＜h_j,s_j,at_j＞，h_j为漏洞j对应的子威胁类型，s_j为漏洞j的评分值，at_j为漏洞j对应的资产类型；u_k为资产漏洞集合U中的具体资产漏洞，且u_k＝＜h_k,s_k,as_k＞，h_k为漏洞k对应的子威胁类型，s_k为漏洞k的评分值，as_k为漏洞k对应的资产；

采用如下算式计算资产价值指标d₂(AS)：

式中λ₄和λ₅为设定的加权系数，且λ₄+λ₅＝1；N_as为集合AS中的资产数量；f₄(as)为资产的数据重要度值；f₅(as)为资产的业务重要度；

采用如下算式计算资产受影响程度指标d₃(H,AS)：

d₃(H,AS)＝λ₆·q_i1+λ₇·q_i2+λ₈·q_i3

式中λ₆、λ₇和λ₈为设定的加权系数，且λ₆+λ₇+λ₈＝1；q_i1为对于第i种威胁类型的感知层防护能力量化值；q_i2为对于第i种威胁类型的网络层防护能力量化值；q_i3为对于第i种威胁类型的应用层防护能力量化值。

所述的评估模块用于根据接收到的数据，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估，具体包括如下步骤：

采用如下算式计算得到待评估电力物联网的安全风险值D(AS)：

式中N_H为威胁种类的数量；

根据得到的待评估电力物联网的安全风险值D(AS)，采用如下原则完成电力物联网的网络安全风险评估：

待评估电力物联网的安全风险值D(AS)越高，则表示待评估电力物联网的网络安全风险越高；

待评估电力物联网的安全风险值D(AS)越低，则表示待评估电力物联网的网络安全风险越低。

本发明提供的这种电力物联网网络安全风险评估方法及评估系统，基于收集的电力物联网威胁情报、资产信息、防护措施等信息，通过识别与分析，得到量化的便于计算的指标，能够更精确的评估网络安全风险；本发明基于电力物联网特性，综合考虑了电力物联网场景下资产特性及受威胁的特性，考虑了防护措施因素，对量化指标进行针对性设计，能够更科学的评估电力物联网面临的安全风险；因此本发明的可靠性高、精确性好且客观科学。

附图说明

图1为本发明的方法流程示意图。

图2为本发明的系统功能模块示意图。

具体实施方式

如图1所示为本发明的方法流程示意图：本发明提供的这种电力物联网网络安全风险评估方法，包括如下步骤：

获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息；具体包括如下步骤：

所述的威胁情报信息包括电力物联网威胁的攻击事件及漏洞情报；攻击事件为电力物联网中历史发生的网络安全事件、攻防演练中发生的成功攻击事件和攻击成功的安全监测告警数据；网络安全事件通过对以前发生的安全事件通报收集获得；攻防演练中发生的成功攻击事件通过复盘总结获得；安全监测告警数据包括物联终端上安装的探针收集的安全告警数据和网络中部署的安全监测网关收集的安全告警数据；漏洞情报为通过开源漏洞情报库收集的电力物联网相关的漏洞情报信息，主要通过网络爬虫等方式获取；

所述的资产信息包括电力物联网的终端属性、网络属性、业务属性、数据属性和资产存在的漏洞；电力物联网资产包括感知层资产、网络层资产和应用层资产；感知层资产包括物联终端和边缘设备等；网络层资产包括网络通道和网络设备等；应用层资产包括物联平台和业务应用等；资产属性主要通过现场采集、调研等方式获取，资产存在的漏洞主要通过漏洞扫描器及人工渗透方式获取；

所述的防护措施信息包括电力物联网的网络安全防护设施、防护技术和防护能力；具体包括电力物联网感知层、网络层及应用层部署的安全设备、安全措施及其防护能力，管理手段等；主要通过调研、测试等方式获得；防护措施如表1所示

表1电力物联网防护措施示意表

对获取的威胁情报信息、资产信息和防护措施信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素；具体包括如下步骤：

得到威胁要素：

对电力物联网的威胁进行分析，得到威胁类型集合T，对于

将威胁类型H_i分为子威胁类型，其中子威胁类型h_ij∈H_i；

所述的威胁类型包括物理攻击、信道阻塞攻击、窃听攻击、伪造攻击、重放攻击、信息篡改攻击、DDOS攻击、恶意软件攻击和应用攻击；

威胁类型如表2所示：

表2电力物联网威胁类型示意表

以DDOS攻击为例，包括的威胁子类型为UDP洪水攻击、ICMP洪水攻击、cc攻击、Smurf攻击、Fraggle攻击、TCP SYN攻击、畸形数据包攻击；

得到脆弱性要素：

对收集的攻击事件进行分析，得到攻击事件集合E，对于

ε＝＜h,t,l,as＞，其中h为事件对应的子威胁类型，t为事件发生的时间，l为事件发生的级别，as为发生安全事件的资产；

对收集的漏洞情报进行分析，得到电力物联网漏洞库集合V，对于

v＝＜h,s,at＞，h为漏洞情报对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(CommonVulnerability Scoring System)得到此类型漏洞的评分值，at为漏洞情报对应的资产类型；

对收集的资产漏洞进行分析，得到现有资产漏洞集合U，对于

u＝＜h,s,as＞，h为漏洞对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(CommonVulnerability Scoring System)得到此类型漏洞的评分值，as为漏洞对应的资产；

得到资产要素：

电力物联网场景定义为资产及合AS，对于

as＝＜type,com,pro,sen,con,are＞，其中type为资产类型，com为通信方式，pro为通信协议，sen为涉敏信息，con为涉控信息，are为接入大区；其中，涉敏信息指是否涉及敏感数据和敏感数据情况，涉控信息指是否涉及控制指令和被控制的业务情况，接入大区指接入生产控制大区、管理信息大区或互联网大区；

得到安全措施要素：

通过对安全措施进行分析，得到电力物联网对于感知层、网络层及应用层的防护措施在不同威胁类型H的条件下，具备的防护能力q，其中q的取值范围为{p₁,p₂,p₃,p₄,p₅,p₆}，p₁～p₆依次对应于免疫、保护、响应、检测、记录和无感；其中，免疫表示某类威胁对于当前层不适用或通过安全防护措施达到了内生免疫级别；保护表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置并恢复至受攻击之前的状态；响应表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置阻断或消除攻击行为；检测表示通过安全防护措施，某类威胁发生时能够及时感知攻击行为；记录表示通过安全防护措施，某类威胁发生后能够通过相关手段发现攻击行为；无感表示对于某类威胁无法感知与处置；

根据威胁要素、脆弱性要素、资产要素和安全措施要素，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值；具体包括如下步骤：

脆弱性指标主要用来计算威胁发生的可能性，包括攻击事件脆弱性指标、漏洞情报脆弱性指标、资产漏洞脆弱性指标；

由于攻击事件代表曾经发生过的成功的安全事件，可以通过历史事件预测将来可能会发生安全事件的风险概率，因此与事件级别、发生时间相关，而距离时间越近的事件越有参考价值；

对于

采用如下算式作为攻击事件脆弱性指标函数f₁(ε)：

f₁(ε)＝g₁(l)·e^-δ(τ-t)

式中g₁(l)为设定的分段函数，当事件为高级别时g₁(l)＝HG，当事件为中级别时g₁(l)＝MG，当事件为低级别时g₁(l)＝LG，HG为设定的高权重值，MG为设定的中权重值，LG为设定的低权重值；δ为控制时间衰减的变量；τ为计算脆弱性指标的基准时间；t为当前时间；

漏洞情报代表可能会发生安全事件；对于

采用如下算式作为漏洞情报脆弱性指标函数f₂(v)：

式中α为漏洞情报的权重；s为漏洞的评分值；

资产漏洞代表同样代表可能会发生的安全事件；对于

采用如下算式作为资产漏洞脆弱性指标函数f₃(u)：

式中β为资产漏洞的权重；

资产价值包括资产的数据重要度和资产的业务重要度；其中，资产的数据重要度计算式为

其中w₁为资产的存储数据量或数据流量，W₁为评估资产集合的存储数据总量或数据流量总量，γ为非敏感数据的权重，w₂为资产的存储敏感数据量或敏感数据流量，W₂为评估资产集合的存储敏感数据总量或敏感数据流量总量，g₂(sen)为设定的分段函数，当敏感数据为高级别时g₂(sen)＝HD，当敏感数据为中级别时g₂(sen)＝MD，当敏感数据为低级别时g₂(sen)＝LD，HD为设定的高权重值，MD为设定的中权重值，LD为设定的低权重值，γ＜LD；

资产的业务重要度计算式为f₅(as)＝g₃(are)·g₄(con)，其中g₃(are)为设定的分段函数，且若数据接入生产控制大区则g₃(are)＝A₁，若数据接入管理信息大区则g₃(are)＝A₂，若数据接入互联网大区则g₃(are)＝A₃，A₁～A₃均为设定的权重值；g₄(con)为设定的分段函数，其取值为{η,L₀,L₁,...,L_n}，其中η为不涉控的权重，L₀为控制指令不涉及电网时的权重，L₁,...,L_n为不同电压等级时的权重；

安全措施指标值采用安全防护能力矩阵M表示；对于威胁集合T中的n类威胁，形成安全防护能力矩阵M为

其中q_i1为对于第i种威胁类型的感知层防护能力量化值，q_i2为对于第i种威胁类型的网络层防护能力量化值，q_i3为对于第i种威胁类型的应用层防护能力量化值；

根据脆弱性指标值、资产指标值和安全措施指标值，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标；具体包括如下步骤：

采用如下算式计算威胁可能性指标d₁(H,AS)：

式中I、J和K均为设定的常数；λ₁为攻击事件脆弱性的加权系数，λ₂为漏洞情报脆弱性的加权系数，λ₃为资产漏洞脆弱性的加权系数，且λ₁+λ₂+λ₃＝1；rank()为降序函数，其中rank(f₁(ε_i))表示取前I项指标值计算威胁发生的可能性，rank(f₁(ε_i))表示取前J项指标值计算威胁发生的可能性，rank(f₃(u_k))表示取前K项指标值计算威胁发生的可能性；ε_i表示攻击事件集合E中的具体事件，且ε_i＝＜h_i,t_i,l_i,as_i＞，h_i为事件i对应的子威胁类型，t_i为事件i发生的时间，l_i为事件i发生的级别，as_i为发生安全事件i的资产，as_i∈AS，h_i∈H；v_j为电力物联网漏洞情报库集合V中的具体漏洞情报，且v_j＝＜h_j,s_j,at_j＞，h_j为漏洞j对应的子威胁类型，s_j为漏洞j的评分值，at_j为漏洞j对应的资产类型；u_k为资产漏洞集合U中的具体资产漏洞，且u_k＝＜h_k,s_k,as_k＞，h_k为漏洞k对应的子威胁类型，s_k为漏洞k的评分值，as_k为漏洞k对应的资产；

采用如下算式计算资产价值指标d₂(AS)：

式中λ₄和λ₅为设定的加权系数，且λ₄+λ₅＝1；N_as为集合AS中的资产数量；f₄(as)为资产的数据重要度值；f₅(as)为资产的业务重要度；

采用如下算式计算资产受影响程度指标d₃(H,AS)：

d₃(H,AS)＝λ₆·q_i1+λ₇·q_i2+λ₈·q_i3

式中λ₆、λ₇和λ₈为设定的加权系数，且λ₆+λ₇+λ₈＝1；q_i1为对于第i种威胁类型的感知层防护能力量化值；q_i2为对于第i种威胁类型的网络层防护能力量化值；q_i3为对于第i种威胁类型的应用层防护能力量化值；

根据威胁可能性指标、资产价值指标和资产受影响程度指标，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估；具体包括如下步骤：

采用如下算式计算得到待评估电力物联网的安全风险值D(AS)：

式中N_H为威胁种类的数量；

根据得到的待评估电力物联网的安全风险值D(AS)，采用如下原则完成电力物联网的网络安全风险评估：

待评估电力物联网的安全风险值D(AS)越高，则表示待评估电力物联网的网络安全风险越高；

待评估电力物联网的安全风险值D(AS)越低，则表示待评估电力物联网的网络安全风险越低。

在本发明方法的技术方案中，涉及到多个自行设定的参数(包括权重值，加权参数值等)；在具体实施时，这些参数主要通过经验获得，或者通过专家规则判定；在采用专家规则时，通过AHP(层次分析法)，通过多个专家对各项指标的重要性打分的方式构建判断矩阵，并计算各级指标的权重值：具体为首先采用专家打分法，按照1～9标度原则对各项指标进行两两比较，得出判断矩阵，再通过AHP法计算，对其归一化后即可得到指标权重向量。

此外，本发明方法在具体应用时，通过对需决策的电力物联网场景进行量化评估，得到当前安全防护能力矩阵M₁下的风险值D₁。当投入或去掉某个防护措施时，对于不同威胁的防护能力相应发生变化，得到防护能力矩阵M₂下的风险值D₂。通过D₂与D₁比较，即可得到网络安全防护措施投入的成效。

如图2所示为本发明的系统功能模块示意图：本发明提供的这种实现所述电力物联网网络安全风险评估方法的系统，包括数据获取模块、要素计算模块、初始指标计算模块、安全指标计算模块和评估模块；数据获取模块、要素计算模块、初始指标计算模块、安全指标计算模块和评估模块依次串联；数据获取模块用于获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息，并将数据上传要素计算模块；要素计算模块用于对接收到的信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素，并将数据上传初始指标计算模块；初始指标计算模块用于根据接收到的数据，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值，并将数据上传安全指标计算模块；安全指标计算模块用于接收到的数据，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标，并将数据上传评估模块；评估模块用于根据接收到的数据，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估。

具体实施时，所述的数据获取模块用于获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息，具体包括如下步骤：

威胁情报信息包括电力物联网威胁的攻击事件及漏洞情报；攻击事件为电力物联网中历史发生的网络安全事件、攻防演练中发生的成功攻击事件和攻击成功的安全监测告警数据；网络安全事件通过对以前发生的安全事件通报收集获得；攻防演练中发生的成功攻击事件通过复盘总结获得；安全监测告警数据包括物联终端上安装的探针收集的安全告警数据和网络中部署的安全监测网关收集的安全告警数据；漏洞情报为通过开源漏洞情报库收集的电力物联网相关的漏洞情报信息；

资产信息包括电力物联网的终端属性、网络属性、业务属性、数据属性和资产存在的漏洞；电力物联网资产包括感知层资产、网络层资产和应用层资产；感知层资产包括物联终端和边缘设备；网络层资产包括网络通道和网络设备；应用层资产包括物联平台和业务应用；

防护措施信息包括电力物联网的网络安全防护设施、防护技术和防护能力。

具体实施时，所述的要素计算模块用于对接收到的信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素，具体包括如下步骤：

得到威胁要素：

对电力物联网的威胁进行分析，得到威胁类型集合T，对于

将威胁类型H_i分为子威胁类型，其中子威胁类型h_ij∈H_i；

所述的威胁类型包括物理攻击、信道阻塞攻击、窃听攻击、伪造攻击、重放攻击、信息篡改攻击、DDOS攻击、恶意软件攻击和应用攻击；

得到脆弱性要素：

对收集的攻击事件进行分析，得到攻击事件集合E，对于

ε＝＜h,t,l,as＞，其中h为事件对应的子威胁类型，t为事件发生的时间，l为事件发生的级别，as为发生安全事件的资产；

对收集的漏洞情报进行分析，得到电力物联网漏洞情报库集合V，对于

v＝＜h,s,at＞，h为漏洞情报对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(Common Vulnerability Scoring System)得到此类型漏洞的评分值，at为漏洞情报对应的资产类型；

对收集的资产漏洞进行分析，得到现有资产漏洞集合U，对于

u＝＜h,s,as＞，h为漏洞对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(CommonVulnerability Scoring System)得到此类型漏洞的评分值，as为漏洞对应的资产；

得到资产要素：

电力物联网场景定义为资产及合AS，对于

as＝＜type,com,pro,sen,con,are＞，其中type为资产类型，com为通信方式，pro为通信协议，sen为涉敏信息，con为涉控信息，are为接入大区；其中，涉敏信息指是否涉及敏感数据和敏感数据情况，涉控信息指是否涉及控制指令和被控制的业务情况，接入大区指接入生产控制大区、管理信息大区或互联网大区；

得到安全措施要素：

通过对安全措施进行分析，得到电力物联网对于感知层、网络层及应用层的防护措施在不同威胁类型H的条件下，具备的防护能力q，其中q的取值范围为{p₁,p₂,p₃,p₄,p₅,p₆}，p₁～p₆依次对应于免疫、保护、响应、检测、记录和无感；其中，免疫表示某类威胁对于当前层不适用或通过安全防护措施达到了内生免疫级别；保护表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置并恢复至受攻击之前的状态；响应表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置阻断或消除攻击行为；检测表示通过安全防护措施，某类威胁发生时能够及时感知攻击行为；记录表示通过安全防护措施，某类威胁发生后能够通过相关手段发现攻击行为；无感表示对于某类威胁无法感知与处置。

具体实施时，所述的初始指标计算模块用于根据接收到的数据，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值，具体包括如下步骤：

对于

采用如下算式作为攻击事件脆弱性指标函数f₁(ε)：

f₁(ε)＝g₁(l)·e^-δ(τ-t)

式中g₁(l)为设定的分段函数，当事件为高级别时g₁(l)＝HG，当事件为中级别时g₁(l)＝MG，当事件为低级别时g₁(l)＝LG，HG为设定的高权重值，MG为设定的中权重值，LG为设定的低权重值；δ为控制时间衰减的变量；τ为计算脆弱性指标的基准时间；t为当前时间；

对于

采用如下算式作为漏洞情报脆弱性指标函数f₂(v)：

式中α为漏洞情报的权重；s为漏洞的评分值；

对于

采用如下算式作为资产漏洞脆弱性指标函数f₃(u)：

式中β为资产漏洞的权重；

资产价值包括资产的数据重要度和资产的业务重要度；其中，资产的数据重要度计算式为

其中w₁为资产的存储数据量或数据流量，W₁为评估资产集合的存储数据总量或数据流量总量，γ为非敏感数据的权重，w₂为资产的存储敏感数据量或敏感数据流量，W₂为评估资产集合的存储敏感数据总量或敏感数据流量总量，g₂(sen)为设定的分段函数，当敏感数据为高级别时g₂(sen)＝HD，当敏感数据为中级别时g₂(sen)＝MD，当敏感数据为低级别时g₂(sen)＝LD，HD为设定的高权重值，MD为设定的中权重值，LD为设定的低权重值，γ＜LD；

资产的业务重要度计算式为f₅(as)＝g₃(are)·g₄(con)，其中g₃(are)为设定的分段函数，且若数据接入生产控制大区则g₃(are)＝A₁，若数据接入管理信息大区则g₃(are)＝A₂，若数据接入互联网大区则g₃(are)＝A₃，A₁～A₃均为设定的权重值；g₄(con)为设定的分段函数，其取值为{η,L₀,L₁,...,L_n}，其中η为不涉控的权重，L₀为控制指令不涉及电网时的权重，L₁,...,L_n为不同电压等级时的权重；

安全措施指标值采用安全防护能力矩阵M表示；对于威胁集合T中的n类威胁，形成安全防护能力矩阵M为

其中q_i1为对于第i种威胁类型的感知层防护能力量化值，q_i2为对于第i种威胁类型的网络层防护能力量化值，q_i3为对于第i种威胁类型的应用层防护能力量化值。

具体实施时，所述的安全指标计算模块用于接收到的数据，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标，具体包括如下步骤：

采用如下算式计算威胁可能性指标d₁(H,AS)：

式中I、J和K均为设定的常数；λ₁为攻击事件脆弱性的加权系数，λ₂为漏洞情报脆弱性的加权系数，λ₃为资产漏洞脆弱性的加权系数，且λ₁+λ₂+λ₃＝1；rank()为降序函数，其中rank(f₁(ε_i))表示取前I项指标值计算威胁发生的可能性，rank(f₁(ε_i))表示取前J项指标值计算威胁发生的可能性，rank(f₃(u_k))表示取前K项指标值计算威胁发生的可能性；ε_i表示攻击事件集合E中的具体事件，且ε_i＝＜h_i,t_i,l_i,as_i＞，h_i为事件i对应的子威胁类型，t_i为事件i发生的时间，l_i为事件i发生的级别，as_i为发生安全事件i的资产，as_i∈AS，h_i∈H；v_j为电力物联网漏洞情报库集合V中的具体漏洞情报，且v_j＝＜h_j,s_j,at_j＞，h_j为漏洞j对应的子威胁类型，s_j为漏洞j的评分值，at_j为漏洞j对应的资产类型；u_k为资产漏洞集合U中的具体资产漏洞，且u_k＝＜h_k,s_k,as_k＞，h_k为漏洞k对应的子威胁类型，s_k为漏洞k的评分值，as_k为漏洞k对应的资产；

采用如下算式计算资产价值指标d₂(AS)：

式中λ₄和λ₅为设定的加权系数，且λ₄+λ₅＝1；N_as为集合AS中的资产数量；f₄(as)为资产的数据重要度值；f₅(as)为资产的业务重要度；

采用如下算式计算资产受影响程度指标d₃(H,AS)：

d₃(H,AS)＝λ₆·q_i1+λ₇·q_i2+λ₈·q_i3

式中λ₆、λ₇和λ₈为设定的加权系数，且λ₆+λ₇+λ₈＝1；q_i1为对于第i种威胁类型的感知层防护能力量化值；q_i2为对于第i种威胁类型的网络层防护能力量化值；q_i3为对于第i种威胁类型的应用层防护能力量化值。

具体实施时，所述的评估模块用于根据接收到的数据，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估，具体包括如下步骤：

采用如下算式计算得到待评估电力物联网的安全风险值D(AS)：

式中N_H为威胁种类的数量；

根据得到的待评估电力物联网的安全风险值D(AS)，采用如下原则完成电力物联网的网络安全风险评估：

待评估电力物联网的安全风险值D(AS)越高，则表示待评估电力物联网的网络安全风险越高；

待评估电力物联网的安全风险值D(AS)越低，则表示待评估电力物联网的网络安全风险越低。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言Java和直译式脚本语言JavaScript等。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (12)

1.一种电力物联网网络安全风险评估方法，包括如下步骤：

获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息；

对获取的威胁情报信息、资产信息和防护措施信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素；

根据威胁要素、脆弱性要素、资产要素和安全措施要素，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值；

根据脆弱性指标值、资产指标值和安全措施指标值，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标；

根据威胁可能性指标、资产价值指标和资产受影响程度指标，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估。

2.根据权利要求1所述的电力物联网网络安全风险评估方法，其特征在于所述的获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息，具体包括如下步骤：

所述的威胁情报信息包括电力物联网威胁的攻击事件及漏洞情报；攻击事件为电力物联网中历史发生的网络安全事件、攻防演练中发生的成功攻击事件和攻击成功的安全监测告警数据；网络安全事件通过对以前发生的安全事件通报收集获得；攻防演练中发生的成功攻击事件通过复盘总结获得；安全监测告警数据包括物联终端上安装的探针收集的安全告警数据和网络中部署的安全监测网关收集的安全告警数据；漏洞情报为通过开源漏洞情报库收集的电力物联网相关的漏洞情报信息；

所述的资产信息包括电力物联网的终端属性、网络属性、业务属性、数据属性和资产存在的漏洞；电力物联网资产包括感知层资产、网络层资产和应用层资产；感知层资产包括物联终端和边缘设备；网络层资产包括网络通道和网络设备；应用层资产包括物联平台和业务应用；

所述的防护措施信息包括电力物联网的网络安全防护设施、防护技术和防护能力。

3.根据权利要求2所述的电力物联网网络安全风险评估方法，其特征在于所述的对获取的威胁情报信息、资产信息和防护措施信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素，具体包括如下步骤：

得到威胁要素：

对电力物联网的威胁进行分析，得到威胁类型集合T，对于

将威胁类型H_i分为子威胁类型，其中子威胁类型h_ij∈H_i；

所述的威胁类型包括物理攻击、信道阻塞攻击、窃听攻击、伪造攻击、重放攻击、信息篡改攻击、DDOS攻击、恶意软件攻击和应用攻击；

得到脆弱性要素：

对收集的攻击事件进行分析，得到攻击事件集合E，对于

ε＝＜h,t,l,as＞，其中h为事件对应的子威胁类型，t为事件发生的时间，l为事件发生的级别，as为发生安全事件的资产；

对收集的漏洞情报进行分析，得到电力物联网漏洞库集合V，对于

v＝＜h,s,at＞，h为漏洞情报对应的子威胁类型，s为漏洞的评分值，at为漏洞情报对应的资产类型；

对收集的资产漏洞进行分析，得到现有资产漏洞集合U，对于

u＝＜h,s,as＞，h为漏洞对应的子威胁类型，s为漏洞的评分值，as为漏洞对应的资产；

得到资产要素：

电力物联网场景定义为资产及合AS，对于

as＝＜type,com,pro,sen,con,are＞，其中type为资产类型，com为通信方式，pro为通信协议，sen为涉敏信息，con为涉控信息，are为接入大区；其中，涉敏信息指是否涉及敏感数据和敏感数据情况，涉控信息指是否涉及控制指令和被控制的业务情况，接入大区指接入生产控制大区、管理信息大区或互联网大区；

得到安全措施要素：

通过对安全措施进行分析，得到电力物联网对于感知层、网络层及应用层的防护措施在不同威胁类型H的条件下，具备的防护能力q，其中q的取值范围为{p₁,p₂,p₃,p₄,p₅,p₆}，p₁～p₆依次对应于免疫、保护、响应、检测、记录和无感；其中，免疫表示某类威胁对于当前层不适用或通过安全防护措施达到了内生免疫级别；保护表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置并恢复至受攻击之前的状态；响应表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置阻断或消除攻击行为；检测表示通过安全防护措施，某类威胁发生时能够及时感知攻击行为；记录表示通过安全防护措施，某类威胁发生后能够通过相关手段发现攻击行为；无感表示对于某类威胁无法感知与处置。

4.根据权利要求3所述的电力物联网网络安全风险评估方法，其特征在于所述的根据威胁要素、脆弱性要素、资产要素和安全措施要素，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值，具体包括如下步骤：

对于

采用如下算式作为攻击事件脆弱性指标函数f₁(ε)：

f₁(ε)＝g₁(l)·e^-δ(τ-t)

式中g₁(l)为设定的分段函数，当事件为高级别时g₁(l)＝HG，当事件为中级别时g₁(l)＝MG，当事件为低级别时g₁(l)＝LG，HG为设定的高权重值，MG为设定的中权重值，LG为设定的低权重值；δ为控制时间衰减的变量；τ为计算脆弱性指标的基准时间；t为当前时间；

对于

采用如下算式作为漏洞情报脆弱性指标函数f₂(v)：

式中α为漏洞情报的权重；s为漏洞的评分值；

对于

采用如下算式作为资产漏洞脆弱性指标函数f₃(u)：

式中β为资产漏洞的权重；

资产价值包括资产的数据重要度和资产的业务重要度；其中，资产的数据重要度计算式为

其中w₁为资产的存储数据量或数据流量，W₁为评估资产集合的存储数据总量或数据流量总量，γ为非敏感数据的权重，w₂为资产的存储敏感数据量或敏感数据流量，W₂为评估资产集合的存储敏感数据总量或敏感数据流量总量，g₂(sen)为设定的分段函数，当敏感数据为高级别时g₂(sen)＝HD，当敏感数据为中级别时g₂(sen)＝MD，当敏感数据为低级别时g₂(sen)＝LD，HD为设定的高权重值，MD为设定的中权重值，LD为设定的低权重值，γ＜LD；

资产的业务重要度计算式为f₅(as)＝g₃(are)·g₄(con)，其中g₃(are)为设定的分段函数，且若数据接入生产控制大区则g₃(are)＝A₁，若数据接入管理信息大区则g₃(are)＝A₂，若数据接入互联网大区则g₃(are)＝A₃，A₁～A₃均为设定的权重值；g₄(con)为设定的分段函数，其取值为{η,L₀,L₁,...,L_n}，其中η为不涉控的权重，L₀为控制指令不涉及电网时的权重，L₁,...,L_n为不同电压等级时的权重；

安全措施指标值采用安全防护能力矩阵M表示；对于威胁集合T中的n类威胁，形成安全防护能力矩阵M为

其中q_i1为对于第i种威胁类型的感知层防护能力量化值，q_i2为对于第i种威胁类型的网络层防护能力量化值，q_i3为对于第i种威胁类型的应用层防护能力量化值。

5.根据权利要求4所述的电力物联网网络安全风险评估方法，其特征在于所述的根据脆弱性指标值、资产指标值和安全措施指标值，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标，具体包括如下步骤：

采用如下算式计算威胁可能性指标d₁(H,AS)：

式中I、J和K均为设定的常数；λ₁为攻击事件脆弱性的加权系数，λ₂为漏洞情报脆弱性的加权系数，λ₃为资产漏洞脆弱性的加权系数，且λ₁+λ₂+λ₃＝1；rank()为降序函数，其中rank(f₁(ε_i))表示取前I项指标值计算威胁发生的可能性，rank(f₁(ε_i))表示取前J项指标值计算威胁发生的可能性，rank(f₃(u_k))表示取前K项指标值计算威胁发生的可能性；ε_i表示攻击事件集合E中的具体事件，且ε_i＝＜h_i,t_i,l_i,as_i＞，h_i为事件i对应的子威胁类型，t_i为事件i发生的时间，l_i为事件i发生的级别，as_i为发生安全事件i的资产，as_i∈AS，h_i∈H；v_j为电力物联网漏洞情报库集合V中的具体漏洞情报，且v_j＝＜h_j,s_j,at_j＞，h_j为漏洞j对应的子威胁类型，s_j为漏洞j的评分值，at_j为漏洞j对应的资产类型；u_k为资产漏洞集合U中的具体资产漏洞，且u_k＝＜h_k,s_k,as_k＞，h_k为漏洞k对应的子威胁类型，s_k为漏洞k的评分值，as_k为漏洞k对应的资产；

采用如下算式计算资产价值指标d₂(AS)：

式中λ₄和λ₅为设定的加权系数，且λ₄+λ₅＝1；N_as为集合AS中的资产数量；f₄(as)为资产的数据重要度值；f₅(as)为资产的业务重要度；

采用如下算式计算资产受影响程度指标d₃(H,AS)：

d₃(H,AS)＝λ₆·q_i1+λ₇·q_i2+λ₈·q_i3

式中λ₆、λ₇和λ₈为设定的加权系数，且λ₆+λ₇+λ₈＝1；q_i1为对于第i种威胁类型的感知层防护能力量化值；q_i2为对于第i种威胁类型的网络层防护能力量化值；q_i3为对于第i种威胁类型的应用层防护能力量化值。

6.根据权利要求5所述的电力物联网网络安全风险评估方法，其特征在于所述的根据威胁可能性指标、资产价值指标和资产受影响程度指标，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估，具体包括如下步骤：

采用如下算式计算得到待评估电力物联网的安全风险值D(AS)：

式中N_H为威胁种类的数量；

根据得到的待评估电力物联网的安全风险值D(AS)，采用如下原则完成电力物联网的网络安全风险评估：

待评估电力物联网的安全风险值D(AS)越高，则表示待评估电力物联网的网络安全风险越高；

待评估电力物联网的安全风险值D(AS)越低，则表示待评估电力物联网的网络安全风险越低。

7.一种电力物联网网络安全风险评估系统，其特征在于包括数据获取模块、要素计算模块、初始指标计算模块、安全指标计算模块和评估模块；数据获取模块、要素计算模块、初始指标计算模块、安全指标计算模块和评估模块依次串联；数据获取模块用于获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息，并将数据上传要素计算模块；要素计算模块用于对接收到的信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素，并将数据上传初始指标计算模块；初始指标计算模块用于根据接收到的数据，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值，并将数据上传安全指标计算模块；安全指标计算模块用于接收到的数据，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标，并将数据上传评估模块；评估模块用于根据接收到的数据，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估。

8.根据权利要求7所述的电力物联网网络安全风险评估系统，其特征在于所述的数据获取模块用于获取待评估电力物联网的威胁情报信息、资产信息和防护措施信息，具体包括如下步骤：

所述的威胁情报信息包括电力物联网威胁的攻击事件及漏洞情报；攻击事件为电力物联网中历史发生的网络安全事件、攻防演练中发生的成功攻击事件和攻击成功的安全监测告警数据；网络安全事件通过对以前发生的安全事件通报收集获得；攻防演练中发生的成功攻击事件通过复盘总结获得；安全监测告警数据包括物联终端上安装的探针收集的安全告警数据和网络中部署的安全监测网关收集的安全告警数据；漏洞情报为通过开源漏洞情报库收集的电力物联网相关的漏洞情报信息；

所述的资产信息包括电力物联网的终端属性、网络属性、业务属性、数据属性和资产存在的漏洞；电力物联网资产包括感知层资产、网络层资产和应用层资产；感知层资产包括物联终端和边缘设备；网络层资产包括网络通道和网络设备；应用层资产包括物联平台和业务应用；

所述的防护措施信息包括电力物联网的网络安全防护设施、防护技术和防护能力。

9.根据权利要求8所述的电力物联网网络安全风险评估系统，其特征在于所述的要素计算模块用于对接收到的信息进行要素识别，得到风险评估需要的威胁要素、脆弱性要素、资产要素和安全措施要素，具体包括如下步骤：

得到威胁要素：

对电力物联网的威胁进行分析，得到威胁类型集合T，对于

将威胁类型H_i分为子威胁类型，其中子威胁类型h_ij∈H_i；

所述的威胁类型包括物理攻击、信道阻塞攻击、窃听攻击、伪造攻击、重放攻击、信息篡改攻击、DDOS攻击、恶意软件攻击和应用攻击；

得到脆弱性要素：

对收集的攻击事件进行分析，得到攻击事件集合E，对于

ε＝＜h,t,l,as＞，其中h为事件对应的子威胁类型，t为事件发生的时间，l为事件发生的级别，as为发生安全事件的资产；

对收集的漏洞情报进行分析，得到电力物联网漏洞情报库集合V，对于

v＝＜h,s,at＞，h为漏洞情报对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(CommonVulnerability Scoring System)得到此类型漏洞的评分值，at为漏洞情报对应的资产类型；

对收集的资产漏洞进行分析，得到现有资产漏洞集合U，对于

u＝＜h,s,as＞，h为漏洞对应的子威胁类型，s为漏洞根据通用漏洞评分系统CVSS(Common VulnerabilityScoring System)得到此类型漏洞的评分值，as为漏洞对应的资产；

得到资产要素：

电力物联网场景定义为资产及合AS，对于

as＝＜type,com,pro,sen,con,are＞，其中type为资产类型，com为通信方式，pro为通信协议，sen为涉敏信息，con为涉控信息，are为接入大区；其中，涉敏信息指是否涉及敏感数据和敏感数据情况，涉控信息指是否涉及控制指令和被控制的业务情况，接入大区指接入生产控制大区、管理信息大区或互联网大区；

得到安全措施要素：

通过对安全措施进行分析，得到电力物联网对于感知层、网络层及应用层的防护措施在不同威胁类型H的条件下，具备的防护能力q，其中q的取值范围为{p₁,p₂,p₃,p₄,p₅,p₆}，p₁～p₆依次对应于免疫、保护、响应、检测、记录和无感；其中，免疫表示某类威胁对于当前层不适用或通过安全防护措施达到了内生免疫级别；保护表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置并恢复至受攻击之前的状态；响应表示通过安全防护措施，某类威胁发生时能够及时感知、自动处置阻断或消除攻击行为；检测表示通过安全防护措施，某类威胁发生时能够及时感知攻击行为；记录表示通过安全防护措施，某类威胁发生后能够通过相关手段发现攻击行为；无感表示对于某类威胁无法感知与处置。

10.根据权利要求9所述的电力物联网网络安全风险评估系统，其特征在于所述的初始指标计算模块用于根据接收到的数据，计算得到待评估电力物联网的脆弱性指标值、资产指标值和安全措施指标值，具体包括如下步骤：

对于

采用如下算式作为攻击事件脆弱性指标函数f₁(ε)：

f₁(ε)＝g₁(l)·e^-δ(τ-t)

式中g₁(l)为设定的分段函数，当事件为高级别时g₁(l)＝HG，当事件为中级别时g₁(l)＝MG，当事件为低级别时g₁(l)＝LG，HG为设定的高权重值，MG为设定的中权重值，LG为设定的低权重值；δ为控制时间衰减的变量；τ为计算脆弱性指标的基准时间；t为当前时间；

对于

采用如下算式作为漏洞情报脆弱性指标函数f₂(v)：

式中α为漏洞情报的权重；s为漏洞的评分值；

对于

采用如下算式作为资产漏洞脆弱性指标函数f₃(u)：

式中β为资产漏洞的权重；

资产价值包括资产的数据重要度和资产的业务重要度；其中，资产的数据重要度计算式为

其中w₁为资产的存储数据量或数据流量，W₁为评估资产集合的存储数据总量或数据流量总量，γ为非敏感数据的权重，w₂为资产的存储敏感数据量或敏感数据流量，W₂为评估资产集合的存储敏感数据总量或敏感数据流量总量，g₂(sen)为设定的分段函数，当敏感数据为高级别时g₂(sen)＝HD，当敏感数据为中级别时g₂(sen)＝MD，当敏感数据为低级别时g₂(sen)＝LD，HD为设定的高权重值，MD为设定的中权重值，LD为设定的低权重值，γ＜LD；

资产的业务重要度计算式为f₅(as)＝g₃(are)·g₄(con)，其中g₃(are)为设定的分段函数，且若数据接入生产控制大区则g₃(are)＝A₁，若数据接入管理信息大区则g₃(are)＝A₂，若数据接入互联网大区则g₃(are)＝A₃，A₁～A₃均为设定的权重值；g₄(con)为设定的分段函数，其取值为{η,L₀,L₁,...,L_n}，其中η为不涉控的权重，L₀为控制指令不涉及电网时的权重，L₁,...,L_n为不同电压等级时的权重；

安全措施指标值采用安全防护能力矩阵M表示；对于威胁集合T中的n类威胁，形成安全防护能力矩阵M为

其中q_i1为对于第i种威胁类型的感知层防护能力量化值，q_i2为对于第i种威胁类型的网络层防护能力量化值，q_i3为对于第i种威胁类型的应用层防护能力量化值。

11.根据权利要求10所述的电力物联网网络安全风险评估系统，其特征在于所述的安全指标计算模块用于接收到的数据，计算得到待评估电力物联网的威胁可能性指标、资产价值指标和资产受影响程度指标，具体包括如下步骤：

采用如下算式计算威胁可能性指标d₁(H,AS)：

式中I、J和K均为设定的常数；λ₁为攻击事件脆弱性的加权系数，λ₂为漏洞情报脆弱性的加权系数，λ₃为资产漏洞脆弱性的加权系数，且λ₁+λ₂+λ₃＝1；rank()为降序函数，其中rank(f₁(ε_i))表示取前I项指标值计算威胁发生的可能性，rank(f₁(ε_i))表示取前J项指标值计算威胁发生的可能性，rank(f₃(u_k))表示取前K项指标值计算威胁发生的可能性；ε_i表示攻击事件集合E中的具体事件，且ε_i＝＜h_i,t_i,l_i,as_i＞，h_i为事件i对应的子威胁类型，t_i为事件i发生的时间，l_i为事件i发生的级别，as_i为发生安全事件i的资产，as_i∈AS，h_i∈H；v_j为电力物联网漏洞情报库集合V中的具体漏洞情报，且v_j＝＜h_j,s_j,at_j＞，h_j为漏洞j对应的子威胁类型，s_j为漏洞j的评分值，at_j为漏洞j对应的资产类型；u_k为资产漏洞集合U中的具体资产漏洞，且u_k＝＜h_k,s_k,as_k＞，h_k为漏洞k对应的子威胁类型，s_k为漏洞k的评分值，as_k为漏洞k对应的资产；

采用如下算式计算资产价值指标d₂(AS)：

式中λ₄和λ₅为设定的加权系数，且λ₄+λ₅＝1；N_as为集合AS中的资产数量；f₄(as)为资产的数据重要度值；f₅(as)为资产的业务重要度；

采用如下算式计算资产受影响程度指标d₃(H,AS)：

d₃(H,AS)＝λ₆·q_i1+λ₇·q_i2+λ₈·q_i3

式中λ₆、λ₇和λ₈为设定的加权系数，且λ₆+λ₇+λ₈＝1；q_i1为对于第i种威胁类型的感知层防护能力量化值；q_i2为对于第i种威胁类型的网络层防护能力量化值；q_i3为对于第i种威胁类型的应用层防护能力量化值。

12.根据权利要求11所述的电力物联网网络安全风险评估系统，其特征在于所述的评估模块用于根据接收到的数据，计算得到待评估电力物联网的安全风险值，完成电力物联网的网络安全风险评估，具体包括如下步骤：

采用如下算式计算得到待评估电力物联网的安全风险值D(AS)：

式中N_H为威胁种类的数量；

根据得到的待评估电力物联网的安全风险值D(AS)，采用如下原则完成电力物联网的网络安全风险评估：

待评估电力物联网的安全风险值D(AS)越高，则表示待评估电力物联网的网络安全风险越高；

待评估电力物联网的安全风险值D(AS)越低，则表示待评估电力物联网的网络安全风险越低。

Images