包同崗，趙捷琴，祁之強(qiáng)

（1.國網(wǎng)山西省電力公司晉中供電公司，山西晉中030600；2.華北電力大學(xué)，北京102206）

基于突變理論電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理模型研究

包同崗1，趙捷琴1，祁之強(qiáng)2

（1.國網(wǎng)山西省電力公司晉中供電公司，山西晉中030600；2.華北電力大學(xué)，北京102206）

當(dāng)代信息技術(shù)的快速發(fā)展使得電網(wǎng)企業(yè)面臨著更為錯(cuò)綜復(fù)雜的信息安全威脅，信息安全風(fēng)險(xiǎn)管理的作用也顯得更加重要。因此，結(jié)合電網(wǎng)企業(yè)的特性，針對(duì)其信息安全風(fēng)險(xiǎn)管理進(jìn)行了深入的研究與分析。首先，結(jié)合電網(wǎng)企業(yè)內(nèi)外部信息環(huán)境的特點(diǎn)，對(duì)信息安全的風(fēng)險(xiǎn)進(jìn)行了科學(xué)合理的歸類識(shí)別；其次，首次結(jié)合突變理論構(gòu)建信息安全風(fēng)險(xiǎn)評(píng)估模型，并結(jié)合其風(fēng)險(xiǎn)評(píng)估的結(jié)果設(shè)定閾值制定了風(fēng)險(xiǎn)應(yīng)對(duì)的措施；此外，為增加電網(wǎng)企業(yè)信息安全的穩(wěn)定性和可靠性，提出了多維度和多層次的風(fēng)險(xiǎn)防范措施；最后，通過將其方法應(yīng)用到電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)例驗(yàn)證了該方法的有效性和合理性。

電網(wǎng)企業(yè)信息安全；風(fēng)險(xiǎn)管理；突變理論；風(fēng)險(xiǎn)應(yīng)對(duì)措施；風(fēng)險(xiǎn)防范措施

0 引言

隨著當(dāng)前信息技術(shù)以及全球互聯(lián)網(wǎng)絡(luò)日新月異的更新變化，電網(wǎng)企業(yè)的信息化水平發(fā)展也不斷取得巨大的進(jìn)步，但同時(shí)也使得電網(wǎng)企業(yè)面臨著更多、更復(fù)雜的信息安全風(fēng)險(xiǎn)威脅。而電網(wǎng)企業(yè)所涉及的信息資料和數(shù)據(jù)都是關(guān)乎國計(jì)民生的重要內(nèi)容，當(dāng)信息安全風(fēng)險(xiǎn)一旦發(fā)生，將會(huì)對(duì)企業(yè)的生產(chǎn)運(yùn)營、企業(yè)管理以及未來發(fā)展產(chǎn)生巨大的影響[1-3]。因此，構(gòu)建一套有效的電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理模型對(duì)電網(wǎng)企業(yè)防范潛在風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)發(fā)生，減少不必要的經(jīng)濟(jì)損失有著極為重要的作用。

1 突變理論

突變理論是由法國數(shù)學(xué)家托姆（Rene Thom)于1972年研究突變現(xiàn)象時(shí)產(chǎn)生的一個(gè)現(xiàn)代新興數(shù)學(xué)分支。該理論是關(guān)于系統(tǒng)狀態(tài)變量特征對(duì)控制變量依從關(guān)系的數(shù)學(xué)理論。它結(jié)合了奇點(diǎn)理論、拓?fù)涞葍r(jià)、結(jié)構(gòu)穩(wěn)定性、勢函數(shù)與剖分引理等數(shù)學(xué)理論對(duì)自然界和社會(huì)現(xiàn)象中存在的多種形態(tài)、結(jié)構(gòu)的非連續(xù)突變進(jìn)行了研究，因此，該理論曾被普遍視為混沌理論的一部分[4]。

在突變理論中，突變系統(tǒng)的熱函數(shù)為f（x），它的所有臨界點(diǎn)集合成一平衡曲面，通過對(duì)f（x）求一階倒數(shù)，即可得平衡曲面方程。在此基礎(chǔ)上，通過二階倒函數(shù)便可以得到該平衡曲面的奇點(diǎn)集，即得到用來反映狀態(tài)變量與各控制變量間關(guān)系的以分解形式呈現(xiàn)的分歧方程。其中奇點(diǎn)的突變類型可以分為：折疊、尖點(diǎn)、燕尾、蝴蝶、橢圓臍，雙曲臍這7種。其中應(yīng)用較多的為前4種類型，具體突變模型及特征如表1所示[5]。

表1 突變模型及其特性

在表1中，勢函數(shù)V（x）表示突變系統(tǒng)中狀態(tài)變量和控制變量之間的關(guān)系，其中a，b，c，d為系統(tǒng)的控制變量，x表示系統(tǒng)的狀態(tài)變量，可以反映狀態(tài)變量與控制變量見分解形式的分歧集方程；歸一化方程是將系統(tǒng)內(nèi)部指標(biāo)不同的質(zhì)態(tài)歸化為同一種質(zhì)態(tài)，利用其對(duì)系統(tǒng)進(jìn)行遞歸運(yùn)算，求出各控制變量的突變值，最終獲得表征系統(tǒng)狀態(tài)特征的總突變隸屬函數(shù)值[6]。

2 電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理

結(jié)合電網(wǎng)企業(yè)信息安全的特點(diǎn)，依據(jù)完整的風(fēng)險(xiǎn)管理流程，本文構(gòu)建的電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系主要包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)與防范措施這三部分主要內(nèi)容，為更加清晰地看出電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理模型主要方法和步驟，本文在圖1中對(duì)風(fēng)險(xiǎn)管理模型的結(jié)構(gòu)進(jìn)行了說明。

2.1 電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)識(shí)別

由于當(dāng)前電網(wǎng)企業(yè)內(nèi)外部信息環(huán)境的復(fù)雜性，使得電網(wǎng)企業(yè)所面臨的信息安全風(fēng)險(xiǎn)是多層次、多方面的，具體面臨的信息安全風(fēng)險(xiǎn)威脅主要包括以下幾個(gè)方面，內(nèi)容如表2所示[7]。

表2 電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)因素類型

表1是通過外部威脅和內(nèi)部隱患這兩個(gè)類別對(duì)信息安全中存在的風(fēng)險(xiǎn)進(jìn)行了識(shí)別，文獻(xiàn)[8]通過信息自身、信息載體和信息環(huán)境這三個(gè)類別對(duì)信息安全的風(fēng)險(xiǎn)進(jìn)行了識(shí)別。不同的識(shí)別方法具有各自識(shí)別的原理，管理專家應(yīng)結(jié)合企業(yè)實(shí)際情形，劃分類別進(jìn)行識(shí)別。

2.2 電網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估

信息安全的風(fēng)險(xiǎn)評(píng)估模型是電網(wǎng)企業(yè)進(jìn)行風(fēng)險(xiǎn)管理的核心環(huán)節(jié)，是進(jìn)行風(fēng)險(xiǎn)應(yīng)對(duì)和建立信息安全風(fēng)險(xiǎn)防范機(jī)制以及措施發(fā)揮作用的前提保證。構(gòu)建一套綜合、全面的風(fēng)險(xiǎn)評(píng)估模型能夠有效的避免風(fēng)險(xiǎn)發(fā)生或?qū)⒂绊懡档偷阶钚?。因此，針?duì)信息安全的風(fēng)險(xiǎn)評(píng)估，本文采用專家打分制的形式利用突變理論對(duì)風(fēng)險(xiǎn)以群評(píng)估形式建立模型進(jìn)行分析和說明。

為體現(xiàn)出企業(yè)信息安全風(fēng)險(xiǎn)管理流程中風(fēng)險(xiǎn)評(píng)估的作用，本文結(jié)合各個(gè)環(huán)節(jié)的關(guān)系，對(duì)其流程進(jìn)行梳理，在圖2中進(jìn)行了說明。

圖1 電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理模型結(jié)構(gòu)圖

圖2 電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理流程思路圖

2.3 風(fēng)險(xiǎn)應(yīng)對(duì)及防范措施

電網(wǎng)企業(yè)面臨的信息安全風(fēng)險(xiǎn)是多方面的，是動(dòng)態(tài)的隨時(shí)變化的，在建立一套全面的風(fēng)險(xiǎn)評(píng)估模型后，還需要結(jié)合建立的風(fēng)險(xiǎn)評(píng)估模型構(gòu)建相應(yīng)的電網(wǎng)企業(yè)防范機(jī)制與應(yīng)對(duì)措施，從而進(jìn)一步提高電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)控制的有效性。因此，本文針對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)和風(fēng)險(xiǎn)防范分別從不同的方面和層級(jí)進(jìn)行介紹。

2.3.1 風(fēng)險(xiǎn)應(yīng)對(duì)

依據(jù)上述步驟得出在企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，則需企業(yè)管理者根據(jù)對(duì)其的承受能力制定規(guī)避、接受、降低和分擔(dān)等相應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。其中在制定風(fēng)險(xiǎn)應(yīng)對(duì)策略時(shí)應(yīng)主要考慮可規(guī)避性、可轉(zhuǎn)移性、可緩解性、可接受性這四個(gè)影響因素。因此，本文通過設(shè)定風(fēng)險(xiǎn)評(píng)估的閾值制定出了相應(yīng)的四種風(fēng)險(xiǎn)應(yīng)對(duì)措施。

當(dāng)電網(wǎng)信息安全的整體風(fēng)險(xiǎn)水平小于0.2時(shí)，整體風(fēng)險(xiǎn)水平較低，由于很難做到零風(fēng)險(xiǎn)的水平，因此企業(yè)可以不采取任何行動(dòng)，接受風(fēng)險(xiǎn)的風(fēng)險(xiǎn)應(yīng)對(duì)措施；當(dāng)風(fēng)險(xiǎn)水平大于0.2且小于0.45時(shí)，企業(yè)整體風(fēng)險(xiǎn)水平中等，則管理者可采取降低風(fēng)險(xiǎn)的應(yīng)對(duì)措施，通過政策或內(nèi)部調(diào)整，將風(fēng)險(xiǎn)的整體水平降到可接受的程度；當(dāng)風(fēng)險(xiǎn)水平大于0.45且小于0.6時(shí)，企業(yè)整體風(fēng)險(xiǎn)水平偏高，則企業(yè)應(yīng)采取借鑒外界資源來分擔(dān)風(fēng)險(xiǎn)的應(yīng)對(duì)措施；當(dāng)風(fēng)險(xiǎn)水平大于0.6時(shí)，企業(yè)整體很高，則企業(yè)管理者應(yīng)采取重新調(diào)整戰(zhàn)略或是政策來規(guī)避風(fēng)險(xiǎn)的應(yīng)對(duì)措施。

2.3.2 風(fēng)險(xiǎn)防范措施

針對(duì)電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)防范措施，本文分別從宏觀角度與微觀層面、部門機(jī)構(gòu)與員工個(gè)體、外部學(xué)習(xí)與內(nèi)部溝通和企業(yè)管理與信息技術(shù)這四個(gè)方面進(jìn)行介紹，其框架結(jié)構(gòu)如圖3所示。

圖3 電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)防范措施結(jié)構(gòu)圖

2.3.2.1 宏觀角度與微觀層面

宏觀角度：電網(wǎng)企業(yè)需要從戰(zhàn)略層面對(duì)信息安全的風(fēng)險(xiǎn)管理與防范給予極大的重視，企業(yè)必須從大局出發(fā)認(rèn)識(shí)信息安全的重要性，需要從戰(zhàn)略布局、遠(yuǎn)景規(guī)劃、長遠(yuǎn)發(fā)展等方面制定出應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的指導(dǎo)原則和防范意識(shí)。

微觀層面：主要是指電網(wǎng)企業(yè)防范和應(yīng)對(duì)風(fēng)險(xiǎn)發(fā)生的具體操作行為。首先，建立健全完整的信息安全風(fēng)險(xiǎn)管理制度，以對(duì)可知的、潛在的信息安全風(fēng)險(xiǎn)因素有效預(yù)防，對(duì)發(fā)生的風(fēng)險(xiǎn)進(jìn)行及時(shí)控制等；其次，形成合理、科學(xué)的風(fēng)險(xiǎn)應(yīng)對(duì)標(biāo)準(zhǔn)體系，保證風(fēng)險(xiǎn)防范工作的規(guī)范性；此外，還需要不斷創(chuàng)建營造濃厚的電網(wǎng)企業(yè)風(fēng)險(xiǎn)應(yīng)對(duì)文化氛圍，企業(yè)文化對(duì)于組織內(nèi)部和員工的影響才是最為深刻和長遠(yuǎn)的，優(yōu)秀的信息安全風(fēng)險(xiǎn)文化氛圍能夠有效提高所有員工的防范意識(shí)。

2.3.2.2 部門機(jī)構(gòu)與員工個(gè)體

部門機(jī)構(gòu)：成立專門的電網(wǎng)企業(yè)風(fēng)險(xiǎn)管理部門，對(duì)企業(yè)的內(nèi)外部環(huán)境存在的各類風(fēng)險(xiǎn)時(shí)刻進(jìn)行動(dòng)態(tài)監(jiān)測，對(duì)企業(yè)的信息系統(tǒng)、網(wǎng)絡(luò)連接、數(shù)據(jù)庫等時(shí)刻監(jiān)視其工作行為，是否有發(fā)生信息泄露或者外界風(fēng)險(xiǎn)入侵的威脅。對(duì)于電網(wǎng)企業(yè)的不同業(yè)務(wù)部門進(jìn)行定期和不定期檢查，避免業(yè)務(wù)交流和行為活動(dòng)產(chǎn)生的信息安全風(fēng)險(xiǎn)。

員工個(gè)體：指的是組成專門的信息安全風(fēng)險(xiǎn)管理部門的構(gòu)成人員，部門的組成人員必須包括專業(yè)IT技術(shù)人員、信息系統(tǒng)管理人員、網(wǎng)絡(luò)維護(hù)人員、病毒防護(hù)人員，同時(shí)需要引入一些相關(guān)的業(yè)務(wù)人員，提高員工構(gòu)成的綜合性和全面性。

2.3.2.3 外部學(xué)習(xí)與內(nèi)部溝通

外部學(xué)習(xí)：當(dāng)前的信息技術(shù)和互聯(lián)網(wǎng)絡(luò)隨時(shí)都在以飛躍的速度發(fā)生著變化，同時(shí)也使得信息安全的風(fēng)險(xiǎn)內(nèi)容不斷更新改變，電網(wǎng)企業(yè)需要不斷地學(xué)習(xí)、引入先進(jìn)的信息技術(shù)設(shè)備來提高本身的信息化水平，增強(qiáng)應(yīng)對(duì)新型風(fēng)險(xiǎn)的防范處理能力。組織企業(yè)的部門員工與其他優(yōu)秀的企業(yè)進(jìn)行學(xué)習(xí)交流，擴(kuò)展風(fēng)險(xiǎn)處理的思維視野，形成綜合包容性的風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制。

內(nèi)部溝通：電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)管理部門和其他的業(yè)務(wù)部門需要定期、不定期地進(jìn)行溝通交流，企業(yè)的高層管理者組織會(huì)議討論、專題活動(dòng)、定期總結(jié)等形式及時(shí)了解企業(yè)的整體和局部信息安全風(fēng)險(xiǎn)管理工作，發(fā)現(xiàn)存在的不足和缺陷，提高企業(yè)風(fēng)險(xiǎn)總體應(yīng)對(duì)能力。

2.3.2.4 企業(yè)管理與信息技術(shù)

企業(yè)管理：電網(wǎng)企業(yè)對(duì)于組織的管理辦法、防范機(jī)制、組織結(jié)構(gòu)等不斷進(jìn)行調(diào)整完善，使其與企業(yè)的信息安全風(fēng)險(xiǎn)管理模型能夠有機(jī)配合，保證風(fēng)險(xiǎn)管理模型、風(fēng)險(xiǎn)防范機(jī)制和信息技術(shù)設(shè)備發(fā)揮風(fēng)險(xiǎn)應(yīng)對(duì)的作用。

信息技術(shù)：從硬件設(shè)施、信息系統(tǒng)、互聯(lián)網(wǎng)絡(luò)、數(shù)據(jù)庫等技術(shù)層面提高電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)管理效率，信息技術(shù)的風(fēng)險(xiǎn)防范是電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)防范機(jī)制的重中之重。必須經(jīng)常對(duì)企業(yè)的信息系統(tǒng)、數(shù)據(jù)庫等進(jìn)行更新升級(jí)，隨時(shí)進(jìn)行安全性檢查。

3 案例及結(jié)果分析

依據(jù)文獻(xiàn)[9]中建立的企業(yè)信息安全風(fēng)險(xiǎn)識(shí)別體系，針對(duì)電網(wǎng)企業(yè)信息安全的風(fēng)險(xiǎn)因素通過不同層級(jí)進(jìn)行了識(shí)別，如表3所示。在此基礎(chǔ)上，結(jié)合電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)的特性，請(qǐng)5位專家E1，E2，E3，E4，E5通過比較各個(gè)層級(jí)下的風(fēng)險(xiǎn)因素以打分制的形式對(duì)電網(wǎng)企業(yè)信息安全中的各個(gè)風(fēng)險(xiǎn)因素進(jìn)行評(píng)估，如表4所示。

依據(jù)表3和4中電網(wǎng)信息化安全的風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估表，即可利用突變理論對(duì)電網(wǎng)信息安全的整體風(fēng)險(xiǎn)進(jìn)行評(píng)估，其具體步驟如下所示。

b）根據(jù)突變理論中的突變模型及相應(yīng)的歸一化公式，計(jì)算出各專家的二層指標(biāo)風(fēng)險(xiǎn)突變數(shù)值。在二層指標(biāo)中，通信與操作指標(biāo)的5個(gè)指標(biāo)應(yīng)用棚屋模型，訪問控制的4個(gè)指標(biāo)應(yīng)用蝴蝶模型，資產(chǎn)的兩個(gè)指標(biāo)應(yīng)用尖點(diǎn)型模型。以訪問控制指標(biāo)為例來計(jì)算其風(fēng)險(xiǎn)突變值。

依據(jù)步驟a）的標(biāo)準(zhǔn)化處理和突變理論的蝴蝶模型，得出訪問控制指標(biāo)的風(fēng)險(xiǎn)突變值，如表5和表6所示。

按“大中取小”的“非互補(bǔ)”原則，得到5個(gè)專家的訪問控制指標(biāo)的風(fēng)險(xiǎn)突變值為：（0.654 7，0.707 1，0.614 8，0，0.721 1）。同理可計(jì)算其他二級(jí)指標(biāo)的風(fēng)險(xiǎn)突變值，如表7所示。

c）依據(jù)各專家的二層指標(biāo)風(fēng)險(xiǎn)突變值和“互補(bǔ)”原則，即可得出各專家電網(wǎng)信息安全的整體風(fēng)險(xiǎn)突變值，如表8所示。

d）由于各專家均是積累了豐富的理論知識(shí)和實(shí)戰(zhàn)經(jīng)驗(yàn)，因此，將各專家的電網(wǎng)信息安全的整體風(fēng)險(xiǎn)值取平均作為最后風(fēng)險(xiǎn)值，經(jīng)計(jì)算得0.445 2。

通過上述風(fēng)險(xiǎn)評(píng)估的步驟，得出電網(wǎng)信息安全的整體風(fēng)險(xiǎn)為0.445 2，其整體風(fēng)險(xiǎn)為中等水平，依據(jù)相應(yīng)風(fēng)險(xiǎn)閾值即可采取通過政策或是內(nèi)部調(diào)整的措施來降低風(fēng)險(xiǎn)水平，使其達(dá)到可接受的風(fēng)險(xiǎn)水平。此外，在采取相應(yīng)風(fēng)險(xiǎn)應(yīng)對(duì)措施的基礎(chǔ)上，電網(wǎng)企業(yè)管理者應(yīng)加強(qiáng)實(shí)施4種風(fēng)險(xiǎn)防范措施，使得企業(yè)風(fēng)險(xiǎn)始終達(dá)到穩(wěn)定較低的水平。

表3 信息安全風(fēng)險(xiǎn)識(shí)別體系

表4 信息安全風(fēng)險(xiǎn)評(píng)估表

表5 訪問控制指標(biāo)標(biāo)準(zhǔn)化數(shù)據(jù)

表6 訪問控制各指標(biāo)的突變值

表7 電網(wǎng)信息安全之間指標(biāo)風(fēng)險(xiǎn)突變值

表8 各專家電網(wǎng)信息安全的整體風(fēng)險(xiǎn)突變值

4 總結(jié)

針對(duì)電網(wǎng)企業(yè)信息安全的風(fēng)險(xiǎn)管理，在對(duì)電網(wǎng)企業(yè)面臨的內(nèi)外部環(huán)境中的不同風(fēng)險(xiǎn)威脅進(jìn)行了詳細(xì)歸類和說明的基礎(chǔ)上，首次利用突變理論構(gòu)建了信息安全風(fēng)險(xiǎn)評(píng)估模型，并結(jié)合模型得出的風(fēng)險(xiǎn)評(píng)估結(jié)果設(shè)定閾值制定了相應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)措施；此外，為更近一步保證企業(yè)信息安全的穩(wěn)定性和可靠性，提出了多維度、多層次的信息安全風(fēng)險(xiǎn)防范措施。最后，結(jié)合電網(wǎng)企業(yè)實(shí)際案例驗(yàn)證了所提方法合理性和有效性。這為電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理提供了一套新的思路和解決方法。

［1］樊凱.電力企業(yè)重大事件信息安全保障體系的構(gòu)建與實(shí)現(xiàn)［J］.現(xiàn)代計(jì)算機(jī)，2012，33（21）：67-71.

［2］牛增祥.信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的發(fā)展趨勢分析與方法［J］.信息技術(shù)，2012（28）：317-318.

［3］王甜，徐暉，魏理豪，等.電力信息安全保障體系建設(shè)研究［J］.廣東電力，2010，23（5）：38-42.

［4］凌復(fù)華.突變理論及其應(yīng)用［M］.上海：上海交通大學(xué)出版社，1987.

［5］史志富，張安，劉海燕，等.基于突變理論與模糊集的復(fù)雜系統(tǒng)多準(zhǔn)則決策［J］.系統(tǒng)工程與電子技術(shù)，2006（07）：1010-1013.

［6］梁洪濤，康鳳舉，翟楠楠.基于突變理論與梯形模糊數(shù)的海洋視景仿真逼真度綜合評(píng)定［J］.江蘇大學(xué)學(xué)報(bào)（自然科學(xué)版），2014（01）：50-55.

［7］張浩，詹輝紅，錢洪珍.電網(wǎng)企業(yè)信息安全管理體系建設(shè)中的風(fēng)險(xiǎn)管理實(shí)踐［J］.電力信息技術(shù)，2010，8（6）：21-24.

［8］吳世忠.信息安全風(fēng)險(xiǎn)管理的動(dòng)態(tài)與趨勢［J］.計(jì)算機(jī)安全，2007（04）：1-7.

［9］朱靜，高會(huì)生，李聰聰.基于D-S證據(jù)理論的信息安全風(fēng)險(xiǎn)評(píng)估［J］.華北電力大學(xué)學(xué)報(bào)（自然科學(xué)版），2008（04）：102-108.

Research on Catastrophe-theory-based Information Security Risk M anagement M odel of Power Enterprises

BAO Tong-gang1，ZHAO Jie-qin1，QIZhi-qiang2
（1.State Grid Jinzhong Power Supp ly Com pany of SEPC，Jinzhong，Shanxi 030600，China；2.North China Electric Power University，Beijing 102206，China）

The rapid development ofmodern information technology makes the grid enterprises facemore complex information security threats，thus，the role of information security riskmanagement ismore important.The information security riskmanagementhas been researched and analyzed according to the characteristic of the power enterprise in thispaper.Firstly，combined with the environment characteristics of power enterprises internally and externally,the information security risks are classified and identified scientifically and reasonably.Besides，a risk assessmentmodelof information security is constructed for the first time，and the risk reactionmeasures are worked outby applying the assessment result to set threshold value.What’smore,in order to increase the information security stability of power enterprise，multi-level and multi-dimensional risk countermeasures are proposed.Finally，the efficiency and rationality of this method are verified by applying thismethod toa powerenterprise.

information security ofpowerenterprise；riskmanagement；catastrophe theory；risk countermeasures；risk preventive measures

TP309

A

1671-0320（2014）04-0045-05

2014-03-10，

2014-05-27

包同崗（1963-），男，山西榆次人，2006年畢業(yè)于太原理工大學(xué)工業(yè)電氣與自動(dòng)化專業(yè)，高級(jí)工程師，從事信息通信工作；

趙捷琴（1960-），女，山西榆次人，1997年畢業(yè)于山西廣播電視大學(xué)檔案專業(yè)，工程師，從事科技管理工作；

祁之強(qiáng)（1989-），男，青海海東人，2012屆華北電力大學(xué)管理科學(xué)與工程專業(yè)在讀碩士。