一种安全风险评估方法、装置、存储介质及电子设备

文献发布时间：2023-06-19 12:02:28

技术领域

本发明实施例涉及电力物联网安全技术领域，尤其涉及一种安全风险评估方法、装置、存储介质及电子设备。

背景技术

配电物联网是电力物联网在配电领域的实现方式，而配电物联网系统的网络架构复杂化、主站云化、终端设备物联化、业务灵活扩展等特点，导致配电物联网系统面临的安全风险与传统配电监控系统相比，发生了巨大变化。如今，网络安全形势日益严峻，物联网及工控系统安全事件逐年增加。当前配电物联网系统缺乏安全防护终端及技术，终端安全防护方面主要存在以下问题：

1)网络安全的暴露面较大。海量终端及网络接口，将会被部署到用户侧和各级系统节点，恶意攻击者从物理上可接触的点非常多，并且这些点很难被全面、及时地进行监控。

2)可攻击的路径较多。无线专网、卫星网络、5G、NB-IoT、近场通信等网络通信技术将被大量应用，虽然对终端接入成本降低和便利性提高有利，但也使得恶意攻击者进行攻击的网络路径增多。

3)配电物联终端网络安全漏洞较多，普遍采用裁剪系统，基本不具备安全防护能力。

因此，从防御角度来讲，对配电物联网系统进行安全风险评估变得至关重要。常用的物联网安全风险评估模型有人工免疫检测模型和云变换模型，虽然人工免疫检测模型能实时动态的刷新威胁范围，高效准确，但是，由于风险评估建立在检测结果之上，因此评估结果对风险安全检测结果具有较强的依赖性。云变换模型虽然可处理大量数据，支持定性定量转换，但是建立起来的困难度较高，不易实现。

发明内容

本发明实施例提供一种安全风险评估方法、装置、存储介质及电子设备，以准确对配电物联网进行合理的安全风险评估。

第一方面，本发明实施例提供了一种安全风险评估方法，包括：

获取配电物联网系统对应的安全层级结构模型；其中，所述安全层级结构模型包括至少两个层级的安全要素；

针对所述安全层级结构模型的各个层级，按照层级从低到高的顺序，确定当前层级中各个安全要素的重要性权重，并在构建与所述当前层级对应的判断矩阵后，对所述判断矩阵进行一致性检验；

当确定各个判断矩阵通过一致性检验时，基于各个层级中各个安全要素的重要性权重，对所述配电物联网系统进行安全风险评估。

第二方面，本发明实施例还提供了一种安全风险评估装置，包括：

结构模型获取模块，用于获取配电物联网系统对应的安全层级结构模型；其中，所述安全层级结构模型包括至少两个层级的安全要素；

一致性检验模块，用于针对所述安全层级结构模型的各个层级，按照层级从低到高的顺序，确定当前层级中各个安全要素的重要性权重，并在构建与所述当前层级对应的判断矩阵后，对所述判断矩阵进行一致性检验；

安全风险评估模块，用于当确定各个判断矩阵通过一致性检验时，基于各个层级中各个安全要素的重要性权重，对所述配电物联网系统进行安全风险评估。

第三方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明实施例提供的安全风险评估方法。

第四方面，本发明实施例提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如本发明实施例提供的安全风险评估方法。

本发明实施例提供的安全风险评估方案，获取配电物联网系统对应的安全层级结构模型；其中，所述安全层级结构模型包括至少两个层级的安全要素；针对所述安全层级结构模型的各个层级，按照层级从低到高的顺序，确定当前层级中各个安全要素的重要性权重，并在构建与所述当前层级对应的判断矩阵后，对所述判断矩阵进行一致性检验；当确定各个判断矩阵通过一致性检验时，基于各个层级中各个安全要素的重要性权重，对所述配电物联网系统进行安全风险评估。通过本发明实施例提供的技术方案，可以更加全面的对配电物联网系统存在的安全威胁进行风险评估，以对配电物联网系统的安全等级做出合理的判断，提高了对配电物联网系统进行安全风险评估的准确性。

附图说明

图1是本发明一实施例提供的一种安全风险评估方法的流程图；

图2是本发明实施例提供的安全层级结构模型的结构示意图；

图3是本发明另一实施例中的一种安全风险评估装置的结构示意图；

图4是本发明另一实施例中的一种电子设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例，然而应当理解的是，本发明可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是，本发明的附图及实施例仅用于示例性作用，并非用于限制本发明的保护范围。

应当理解，本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。

本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。

需要注意，本发明中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。

需要注意，本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。

图1为本发明一实施例提供的一种安全风险评估方法的流程图，本发明实施例可适用于对配电物联网系统进行安全风险评估的情况，该方法可以由安全风险评估装置来执行，该装置可由硬件和/或软件组成，并一般可集成在电子设备中。如图1所示，该方法具体包括如下步骤：

步骤110，获取配电物联网系统对应的安全层级结构模型；其中，所述安全层级结构模型包括至少两个层级的安全要素。

在本发明实施例中，获取配电物联网系统对应的安全层级结构模型，其中，安全层级结构模型可以是对配电物联网系统按照技术和/功能分层，构建的层状结构模型。其中，安全层级结构模型可以为树状结构模型，安全层级结构模型包括至少两个层级的安全元素。

可选的，所述安全层级结构模型包括两个层级；其中，最高层级的安全要素包括感知层、网络层和应用层；最低层级的安全要素包括：属于所述感知层的智能传感器、可插拔功能组件、分布式电源、边缘物联代理、本地通信接入，属于所述网络层的通信网、业务网、防火墙等级，及属于所述应用层的应用软件安全、应用硬件安全、开发环境安全、业务安全。示例性的，图2是本发明实施例提供的安全层级结构模型的结构示意图。如图2所示，以感知层、网络层和应用层为配电物联网系统的核心，针对感知层、网络层和应用层存在的安全风险进行分析，再通过层次分析法将三个层次(感知层、网络层和应用层)向下细分，所述的感知层的安全元素可以包括智能传感器、可插拔功能组件、分布式电源、边缘物联代理及本地通信接入。网络层的安全元素可以包括通信网、业务网及防火墙等级。应用层安全元素可以包括应用软件、应用硬件、开发环境及业务安全。

步骤120，针对所述安全层级结构模型的各个层级，按照层级从低到高的顺序，确定当前层级中各个安全要素的重要性权重，并在构建与所述当前层级对应的判断矩阵后，对所述判断矩阵进行一致性检验。

在本发明实施例中，将安全层级结构模型中最低层级作为当前层级，确定当前层级中各个安全要素的重要性权重，并构建与当前层级对应的判断矩阵后，对判断矩阵进行一致性检验，当所述判断矩阵通过一致性检验时，将安全层级结构模型中下一层级(比当前层级高)作为当前层级，并返回执行确定当前层级中各个安全要素的重要性权重，直至对安全层级结构模型中最高层级对应的的判断矩阵完成一致性检验为止。

可选的，当当前层级为安全层级结构模型中的最低层级时，可获取用户(安全风险评估专家)对最低层级中各个安全要素的安全打分，根据安全打分确定最低层级中各个安全要素的重要性权重。例如，可以计算最低层级中各个安全要素的安全打分的和，将最低层级中各个安全要素的安全打分与该和的比值，作为安全要素的重要性权重。又如，可以按照安全打分从低到高的顺序对最低层级的各个安全要素进行排序，并确定排序编号，然后将最低层级的各个安全要素的排序编号与所有排序编号和的比值，作为各个安全要素的重要性权重。

示例性的，当当前层级为安全层级结构模型中的最低层级时，可基于最低层级中各个安全要素的重要性权重，构建最低层级对应的判断矩阵；也可以基于最低层级中各个安全要素的安全打分，构建最低层级对应的判断矩阵；还可以基于按安全打分从低到高的顺序对最低层级的各个安全要素进行排序后，确定的各个安全要素的排序编号，构建最低层级对应的判断矩阵。需要说明的是，本发明实施例对最底层级对应的判断矩阵的构建方式不做限定。

示例性的，基于最低层级中各个安全要素的安全打分，构建最低层级对应的判断矩阵，包括：将最低层级中各个安全要素的安全打分进行两两比较，根据比较结果查找比列标度表，根据查找结果确定判断矩阵中的元素值。示例性的，判断矩阵中元素a

比列标度表

需要说明的是，在判断矩阵中，

示例性的，基于按安全打分从低到高的顺序对最低层级的各个安全要素进行排序后，确定的各个安全要素的排序编号，构建最低层级对应的判断矩阵，包括：根据如下公式计算判断矩阵中元素a

可选的，确定当前层级中各个安全要素的重要性权重，包括：根据上一层级中同属于当前层级的各个安全要素的安全权重，计算当前层级中各个安全要素的安全权重。具体的，当当前层级为非最低层级时，当前层级中各个安全要素的安全权重可以以根据上一层级中同属于当前层级的安全要素的安全权重确定。例如，对于安全层级结构模型中，最高层级中安全要素感知层的安全权重，可以根据同属于感知层的智能传感器、可插拔功能组件、分布式电源、边缘物联代理、本地通信接入的安全权重计算得到。也即感知层的安全权重为智能传感器、可插拔功能组件、分布式电源、边缘物联代理及本地通信接入的安全权重的和。

可选的，基于当前层级中各个安全要素的重要性权重，构建与所述当前层级对应的判断矩阵，包括：将当前层级中各个安全要素的重要性权重一一进行比较，根据比较结果确定判断矩阵中各个元素的取值；其中，所述判断矩阵的维度与当前层级中包含的安全要素的数量相同。示例性的，对于当前层级对应的判断矩阵中元素a

在本发明实施例中，针对安全层级结构模型的各个层级，按照层级从低到高的顺序，在构建与所述当前层级对应的判断矩阵后，对当前层级的判断矩阵进行一致性检验。可选的，对所述判断矩阵进行一致性检验，包括：计算所述判断矩阵的最大特征值；根据所述最大特征值确定所述判断矩阵的一致性验证结果。示例性的，可以基于和积法计算判断矩阵的最大特征值λ，并根据最大特征值λ确定判断矩阵的一致性检验结果。根据所述最大特征值确定所述判断矩阵的一致性验证结果，包括：根据所述最大特征值及所述判断矩阵的维度，计算判断矩阵的一致性程度；根据所述一致性程度及与所述判断矩阵对应的一致性检验值，计算所述判断矩阵的一致性检验结果。具体的，根据所述最大特征值及所述判断矩阵的维度，计算判断矩阵的一致性程度，包括：根据如下公式计算判断矩阵的一致性程度：

平均随机一致性指标RI标准值表

步骤130，当确定各个判断矩阵通过一致性检验时，基于各个层级中各个安全要素的重要性权重，对所述配电物联网系统进行安全风险评估。

在本发明实施例中，将一致性检验结果CR与预设阈值进行比较，当CR小于预设阈值时，说明判断矩阵通过一致性检验结果，当CR大于预设阈值时，说明判断矩阵未通过一致性检验结果。例如，预设阈值可以设置为0.1，则当一致性检验结果CR小于0.1时，说明判断矩阵通过一致性检验结果。需要说明的是，对于不同层级设置的预设阈值可以大小相同，也可以大小不同。

在本发明实施例中，针对安全层级结构模型的各个层级，可以按照层级从低到高的顺序，依次判断当前层级对应的判断矩阵是否通过一致性检验，当当前层级对应的判断矩阵通过一致性检验后，再确定下一层级中各个安全要素的重要性权重，并判断下一层级对应的判断矩阵是否通过一致性检验，直至完成对最高层级的判断为止。若当前层级对应的判断矩阵未通过一致性检验，说明安全层级结构模型中最低层级中各个安全要素对应的安全打分存在偏差，无法对配电物联网系统进行安全风险评估，可重新让专家对安全层级结构模型中最低层级中各个安全要素进行安全打分。

在本发明实施例中，当各个层级对应的判断矩阵均通过一致性检验时，可基于各个层级中各个安全要素的重要性权重，对配电物联网系统进行安全评估，也可以基于最高层级中各个安全要素的重要性权重，对配电物联网系统进行安全风险评估。例如，分析最高层级中各个安全要素的重要性权重的比例分布，根据比例分布结果，对配电物联网系统进行安全风险评估。如，最高层级中各个安全要素的重要性权重的比例分布偏差较大时，可确定配电物联网系统的安全风险较高；最高层级中各个安全要素的重要性权重的比例分布较均匀时，可确定配电物联网系统的安全风险较低。

图3为本发明另一实施例提供的一种安全风险评估装置的结构示意图。如图3所示，该装置包括：结构模型获取模块310、一致性检验模块320和安全风险评估模块330。其中，

结构模型获取模块310，用于获取配电物联网系统对应的安全层级结构模型；其中，所述安全层级结构模型包括至少两个层级的安全要素；

一致性检验模块320，用于针对所述安全层级结构模型的各个层级，按照层级从低到高的顺序，确定当前层级中各个安全要素的重要性权重，并在构建与所述当前层级对应的判断矩阵后，对所述判断矩阵进行一致性检验；

安全风险评估模块330，用于当确定各个判断矩阵通过一致性检验时，基于各个层级中各个安全要素的重要性权重，对所述配电物联网系统进行安全风险评估。

本发明实施例提供的安全风险评估装置，获取配电物联网系统对应的安全层级结构模型；其中，所述安全层级结构模型包括至少两个层级的安全要素；针对所述安全层级结构模型的各个层级，按照层级从低到高的顺序，确定当前层级中各个安全要素的重要性权重，并在构建与所述当前层级对应的判断矩阵后，对所述判断矩阵进行一致性检验；当确定各个判断矩阵通过一致性检验时，基于各个层级中各个安全要素的重要性权重，对所述配电物联网系统进行安全风险评估。通过本发明实施例提供的技术方案，可以更加全面的对配电物联网系统存在的安全威胁进行风险评估，以对配电物联网系统的安全等级做出合理的判断，提高了对配电物联网系统进行安全风险评估的准确性。

可选的，所述一致性检验模块，用于：

根据上一层级中同属于当前层级的各个安全要素的安全权重，计算当前层级中各个安全要素的安全权重。

可选的，所述一致性检验模块，包括：

判断矩阵构建单元，用于基于当前层级中各个安全要素的重要性权重，构建与所述当前层级对应的判断矩阵。

可选的，所述判断矩阵构建单元，用于：

将当前层级中各个安全要素的重要性权重一一进行比较，根据比较结果确定判断矩阵中各个元素的取值；其中，所述判断矩阵的维度与当前层级中包含的安全要素的数量相同。

可选的，所述一致性检验模块，包括：

特征值计算单元，用于计算所述判断矩阵的最大特征值；

验证结果确定单元，用于根据所述最大特征值确定所述判断矩阵的一致性验证结果。

可选的，所述验证结果确定单元，用于：

根据所述最大特征值及所述判断矩阵的维度，计算判断矩阵的一致性程度；

根据所述一致性程度及与所述判断矩阵对应的一致性检验值，计算所述判断矩阵的一致性检验结果。

上述装置可执行本发明前述所有实施例所提供的方法，具备执行上述方法相应的功能模块和有益效果。未在本发明实施例中详尽描述的技术细节，可参见本发明前述所有实施例所提供的方法。

本发明实施例还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行安全风险评估方法，该方法包括：

获取配电物联网系统对应的安全层级结构模型；其中，所述安全层级结构模型包括至少两个层级的安全要素；

当确定各个判断矩阵通过一致性检验时，基于各个层级中各个安全要素的重要性权重，对所述配电物联网系统进行安全风险评估。

存储介质——任何的各种类型的存储器设备或存储设备。术语“存储介质”旨在包括：安装介质，例如CD-ROM、软盘或磁带装置；计算机系统存储器或随机存取存储器，诸如DRAM、DDRRAM、SRAM、EDORAM，兰巴斯(Rambus)RAM等；非易失性存储器，诸如闪存、磁介质(例如硬盘或光存储)；寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外，存储介质可以位于程序在其中被执行的第一计算机系统中，或者可以位于不同的第二计算机系统中，第二计算机系统通过网络(诸如因特网)连接到第一计算机系统。第二计算机系统可以提供程序指令给第一计算机用于执行。术语“存储介质”可以包括可以驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。

当然，本发明实施例所提供的一种包含计算机可执行指令的存储介质，其计算机可执行指令不限于如上所述的安全风险评估操作，还可以执行本发明任意实施例所提供的安全风险评估方法中的相关操作。

本发明实施例提供了一种电子设备，该电子设备中可集成本发明实施例提供的安全风险评估装置。图4为本发明实施例提供的一种电子设备的结构框图。电子设备400可以包括：存储器401，处理器402及存储在存储器401上并可在处理器运行的计算机程序，所述处理器402执行所述计算机程序时实现如本发明实施例所述的安全风险评估方法。

本发明实施例中提供的电子设备，获取配电物联网系统对应的安全层级结构模型；其中，所述安全层级结构模型包括至少两个层级的安全要素；针对所述安全层级结构模型的各个层级，按照层级从低到高的顺序，确定当前层级中各个安全要素的重要性权重，并在构建与所述当前层级对应的判断矩阵后，对所述判断矩阵进行一致性检验；当确定各个判断矩阵通过一致性检验时，基于各个层级中各个安全要素的重要性权重，对所述配电物联网系统进行安全风险评估。通过本发明实施例提供的技术方案，可以更加全面的对配电物联网系统存在的安全威胁进行风险评估，以对配电物联网系统的安全等级做出合理的判断，提高了对配电物联网系统进行安全风险评估的准确性。

上述实施例中提供的安全风险评估装置、存储介质及电子设备可执行本发明任意实施例所提供的安全风险评估方法，具备执行该方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的安全风险评估方法。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：李伟青;赵瑞锋;周安;石扬;叶汇镓;古钰冰;梅咏武;
专利申请人：广东电网有限责任公司;广东电网有限责任公司梅州供电局;