信息安全风险评估综述

信息安全风险评估综述（共10篇）

信息安全风险评估综述 篇1

随着现代社会的快速发展, 人们处在信息极度发达的信息社会中, 信息成为了一项重要的资源, 在人们的生活、工作、学习中扮演着重要的角色。以信息技术为基础的信息产业在给人们的生活、工作带来种种便利的同时也带来了一定的风险, 信息总是受到来自各种病毒、黑客的攻击, 带来了一定的安全风险。近年来经常发生的一些信息安全事件, 给人们的生活工作带来了一定的困扰, 因此, 做好信息系统的安全建设是重中之重。

互联网的快速发展给人们的生活带来了便利的同时也给人们带来的信息安全隐患。互联网使得人们不出门而知天下事, 但是人们在使用网络时, 会暴露出很多隐私性的问题, 譬如说双方之间传递信息, 在这个过程中其实是不安全的, 很可能会被第三方采取什么手段而截取信息。信息的完整性、可用性、保密性和可靠性受到了严峻的挑战。网络环境给人们带来了信息的共享、信息的海量化的同时也带来了安全隐患。

1 风险评估概述

从信息安全的角度来讲, 风险评估是对信息资产 (即某事件或事物所具有的信息集) 所面临的威胁、存在的弱点、造成的影响, 以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础, 风险评估是组织确定信息安全需求的一个重要途径, 属于组织信息安全管理体系策划的过程。

一般而言, 风险评估的内容包括:识别评估对象面临的各种风险、评估风险概率和可能带来的负面影响、确定组织承受风险的能力、确定风险消减和控制的优先等级、推荐风险消减对策。信息系统的安全风险评估是一个较为复杂的过程, 要包括标准体系、技术体系、组织架构、业务体系、法律法规等内容。

美国、加拿大于上世纪七八十年代就建立起了风险评估体系。我国的信息系统风险评估发展也不过十几年, 比美国、加拿大等国家晚了二十年。随着电子商务、信息技术的快速发展, 信息系统的风险评估得到了政府、企业、学术机构等的高度重视, 开始了快速的发展。

网络环境下信息不再安全, 人们在使用互联网时也总是担心被黑客侵犯, 人们生活在统一的信息系统下, 在使用信息时渴望自己的隐私是受到保护的, 基于这一要求, 在建设信息系统时就要做好风险评估, 最大限度的减少安全隐患, 让人们生活在安全的信息环境中。

2 信息安全风险评估方法

互联网的出现改变了人们的生活习惯和思维方式, 社会环境也在逐渐发生变化, 人们之间信息的交流更加方便, 资源得到了共享。但是, 由于网络是一个开放的环境, 各种各样的人都可以进入, 这样就带来的安全隐患。随着信息化时代的发展, 信息系统的安全对政治、经济、文化、教育、科研等都会产生巨大的影响。对信息系统安全风险的评估是为了使系统更加合理, 使得安全隐患更少, 能让人们在使用时更加安全。

2.1 定性评估方法

定性评估方法是风险评估中最为常用的一种方法, 它是基于评估者的知识、经验、历史教训等无法量化的元素对系统风险状况做出评估, 它更加注重的是安全事件发生后带来的损失, 而忽略安全事件发生的概率。因为定性评估方法中的很多元素都是无法量化的, 所以评估结果会稍显粗糙, 比较适用于资料不充分时的风险评估。

但是定性评估方法往往又可以挖掘出一些较为深刻的思想, 但是结论又往往具有较强的主观性, 这就对评估者本身的素养要求比较高。典型的定性评估方法有:逻辑评估法、历史比较法、德尔菲法。

德尔菲法是采用背对背的通信方式征询专家小组成员的预测意见, 经过几轮征询, 使专家小组的预测意见趋于集中, 最后做出符合市场未来发展趋势的预测结论。德尔菲法又名专家意见法, 是依据系统的程序, 采用匿名发表意见的方式。德尔菲法本质上是一种反馈匿名函询法。其大致流程是:在对所要预测的问题征得专家的意见之后, 进行整理、归纳、统计, 再匿名反馈给各专家, 再次征求意见, 再集中, 再反馈, 直至得到一致的意见, 是一种循序渐进的方法。

2.2 定量评估方法

定量评估方法跟定性评估方法正好是相对立的, 定量也就是对所要评估的元素根据一定的标准进行量化, 然后用一定的数学方法或数学模型对这些数据进行分析, 从而得出结论。定量评估方法要求数据较为充分, 资料较为详尽, 是一种利用公式进行分析推导的过程。定量评估方法正好弥补了定性评估方法的缺点, 在这种方法中, 它更加的客观, 但是由于将一些复杂化的东西量化了, 又使得结论不够深刻具体。定量评估方法中比较典型的方法就是故障树评估法。

故障树评估法采用逻辑的方法, 形象的进行风险的评估方法, 它的特点是直观明了、思路清晰、逻辑性强, 是一种演绎的逻辑推理方法。它是从结果推导原因, 也就是在前期的预测风险因素中运用逻辑推理的方法, 得出风险发生的概率, 并提出控制风险的方法。

2.3 定性与定量结合的综合评估方法

定性评估法和定量评估法各有优缺点, 但是往往又是相互补充的, 适应的条件不一。定性评估方法需要耗费的人力、物力、财力资源较少, 但是结果不太准确, 具有较强的主观性, 它是基于评估者的知识、经验而进行的评估法。而定量分析法运用数学模型和数学方法, 结果较为准确, 逻辑性较强, 但是需要耗费的资源就较多, 成本也较高。定性是定量的依据, 定量是定性的具体化, 只有将二者完美的结合起来, 在不同的地方运用不同的方法, 二者结合才能实现更好的评估效果。

3 信息安全风险评估过程

风险评估是在一定的评估标准之下进行的, 评估标准是所以活动开展的基础和前提。进行评估的过程中又需要利用相关的评估技术、评估方法、评估工具, 针对信息系统展开全面的风险评估。风险评估的过程中要根据评估的实际情况, 选择正确合适的评估方法, 好的评估方法可以提高评估结果的准确率。而不同的评估方法又往往会有一定的缺陷, 这就需要在合适的地方选择合适的评估方法, 扬长避短, 最终取得最佳效果。

结束语

随着信息系统的不断发展和现阶段下信息系统安全事故的现状, 对信息系统进行安全风险评估是其建设的重要组成部分, 它不仅仅是单个企业的问题, 更是整个社会经济的问题, 需要大家的协同合作。相关组织要不断的加强信息安全风险评估的研究, 将风险评估逐渐的置于更加规范和法制的层面, 促进信息系统的安全建设工程。

摘要：信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息安全是信息管理系统的重要组成部分, 进行信息安全的风险评估可以促进信息系统的安全建设。本文分析阐述风险评估, 探讨信息安全风险评估的方法和过程。

关键词：信息安全,风险评估,方法,评估过程

参考文献

[1]李菁, 赵捷, 应力.信息安全风险评估标准与方法综述[J].上海标准化, 2006 (5) .

[2]彭俊好.信息安全风险评估方法综述[J].网络安全技术与应用, 2006 (1) .

[3]殷科.电力系统信息安全风险评估体系研究[J].科学与财富, 2010 (9) .

[4]刘莹, 顾卫东.信息安全风险评估研究综述[J].青岛大学学报 (工程技术版) , 2008, 23 (2) .

[5]冯登国, 张阳, 张玉清.信息安全风险评估综述[J].通信学报, 2004, 25 (7) .

信息安全风险评估综述 篇2

电力系统实时动态安全评估事故筛选与排序综述

摘要：电力系统事故筛选与排序是针对电网中一组预想事故,挑选出其中较为严重的事故,将大部分不严重事故滤除掉,减少待分析的预想事故数目,以满足动态安全分析的实时性的.需要.文内对目前电力系统事故筛选与排序方法的现有研究文献进行了调研和综述,指出了现有方法的优点和缺点,同时提出了今后事故筛选的发展方向.作 者：张建军    武娟    ZHANG Jian-jun    WU Juan  作者单位：山两电力职业技术学院,山西太原,030021 期 刊：机械管理开发   Journal：MECHANICAL MANAGEMENT AND DEVELOPMENT 年，卷(期)：2010, 25(3) 分类号：X921 关键词：电力系统    动态安全评估    暂态稳定    事故筛选与排序   

针对信息安全风险评估分析与探讨 篇3

关键词：信息安全；风险评估；脆弱性；威胁

一、前言

随着信息技术的飞速发展，信息系统依赖程度日益增强，采用风险管理的理念去识别安全风险，解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险。

二、网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征：

1、保密性：即信息不泄露给非授权的个人或实体。

2、完整性：即信息未经授权不能被修改、破坏。

3、可用性：即能保证合法的用户正常访问相关的信息。

4、可控性：即信息的内容及传播过程能够被有效地合法控制。

5、可审查性：即信息的使用过程都有相关的记录可供事后查询核对。

网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础，网络信息安全的风险因素主要有以下6大类：

1、自然界因素，如地震、火灾、风灾、水灾、雷电等；

2、社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；

3、网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；

4、软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；

5、人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；

6、其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

三、目前网络信息安全风险评估工作中急需解决的问题

信息系统涉及社会经济方方面面，在政务和商务领域发挥了重要作用，信息安全问题不单是一个局部性和技术性问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计，某省会城市各大机关、企事业单位中，有10%的单位出现过信息系统不稳定运行情况；有30%的单位出现过来自网络、非法入侵等方面的攻击；出现过信息安全问题的单位比例高达86%！缺少信息安全建设专项资金，信息安全专业人才缺乏，应急响应体系和信息安全测评机构尚未组建，存在着“重建设、轻管理，重应用、轻安全”的现象，已成为亟待解决的问题。

各部门对信息系统风险评估的重视程度与其信息化水平呈现正比，即信息化水平越高，对风险评估越重视。然而，由于地区差异和行业发展不平衡，各部门重视风险评估的一个重要原因是“安全事件驱动”，即“不出事不重视”，真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善，真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试，由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一，甚至出现对同一个信息系统，不同评估单位得出不同评估结论的案例。

四、信息系统风险评估解决措施

1、确诊风险，对症下药

信息系统风险是客观存在的，也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大，应该采取什么样的措施去减少、化解和规避风险？就像人的躯体有健康和疾病，设备状况有正常和故障，粮食质量有营养和变质，如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁，就需要进行风险评估。

2、夯实安全根基，巩固信息大厦

信息系统建设之初就存在安全问题，好比高楼大厦建在流沙之上，地基不固，楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基，它可以帮助信息系统管理者了解潜在威胁，合理利用现有资源开展规划建设，让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资，达到“以最小成本获得最大安全保障”的效果。

3、寻求适度安全和建设成本的最佳平衡点

安全是相对的，成本是有限的。在市场经济高度发达的今天，信息系统建设要达到预期经济效益和社会效益，就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账，让我们认清信息系统面临的威胁和风险，在此基础上决定哪些风险必须规避，哪些风险可以容忍，以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点，力求达到预期效益的最大化。

4、既要借鉴先进经验，又要重视预警防范

没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用，亦须知其锋芒与瑕疵，加强预警防范与借鉴先进技术同样重要。

五、结束语

综上所述，本文主要对信息安全风险评估进行了分析和探究，在今天高速的信息化环境中，信息的安全性越发显示出其重要性，风险评估可以明确信息系统的安全状况和主要安全风险基础，通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。

参考文献：

[1]中国国家标准化管理委员会，信息安全技术一信息安全风险评估规范，2007年

[2]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010.

面向信息流的安全模型与评估综述 篇4

随着互联网技术的快速发展及各种新型网络应用(如云计算、物联网)的出现,针对网络信息系统的攻击变得越来越多样化和复杂化。实践表明:对系统进行攻击的本质之一是在信息流动过程中对系统进行非授权泄露与修改,进而破坏系统的安全性,这使得非常有必要对信息流的安全进行分析。

信息流概念是由Denning教授与1976年提出来[1],其主要目标是控制信息的非授权流动,最早的信息流模型却可以追溯到1973年由Bell和LaPadula提出来的机密性模型(称之为BLP模型)[2]。虽然早期信息流模型目标是试图控制系统内各实体间的信息流动,保证信息不被非授权读取与修改,但是现在的信息流模型研究范围不再局限于单个系统,而是扩展到网络应用中,目前信息流模型已成为现代操作系统主要的安全模型之一。从安全保障目标看,信息流模型包括两类:机密性信息流模型和完整性信息流模型。从保障方式看,信息流模型也包含两类:隐式模型和显式模型。隐式模型阻止信息间接泄露或修改,与隐式模型相反,显式模型是阻止信息的直接泄露或修改。30多年来,人们对信息流安全的建模和评估做了广泛的研究。本文综述目前已有的建模和评估,同时在此基础上展望了未来的研究方向。本文第2节综述了面向信息流的机密性模型,第3节考察了面向信息流的完整性模型,第4节分析相关量化度量方法,最后展望未来的研究方向。

1 面向信息流的机密性模型

面向信息流的机密性包括了两类:防止信息显式泄露模型(称之为显式泄露模型)和防止信息隐式泄露模型(称之为隐式泄露模型),下面分别讨论。

1.1 显式泄露模型

在多级安全中,主体和客体被划分为不同的级别,给每个主体和客体赋予一个安全级,显式泄露模型的目标是保障高安全级信息不流向低安全级主体。BLP模型是防止信息显式泄露的经典模型,其方法是:当主体申请对客体进行操作时,安全机制通过机密级来判别是否允许其操作。如果主体的安全级高于客体,则允许其读而不允许其写。反过来,当主体的机密级低于客体的机密级时,允许其写,但不允许其读。这样就保证了高安全级信息不被泄露给安全级较低的主体,从而提供机密性。BLP以其简单且能有效地提供机密性而得到了广泛的应用,但是存在以下缺点[3]:(1)没有对可信主体访问权限进行限制,权限过大可能会危及安全;(2)主客体敏感级在整个生命周期中不可变限制其灵活性。针对BLP模型的不足,[4]引入了自动读(Auto-read)、自动写(Auto-write)及自动读写(Auto-readwrite)归来自动调整非可信进程的安全级。另外,[5]提出了SLCF(Security Label Common Framework),并通过记录主体的访问历史来动态调整安全级,[6]设计了DBLP(dynamic BLP),并用主体安全级范围代替当前主体的安全级,然而,[3]指出,这两种方式都存在安全隐患。如何增加BLP的灵活性具有重要的意义,但是,任何改进必须以安全为前提,否则,改进失去意义。

1.2 信息隐式泄露模型

虽然BLP模型可有效地阻止信息直接泄露,但却不能防范信息的隐式泄露,这引发了防止信息隐式泄露的研究。最早建模隐式信息泄露的工作Goguen博士[10,11],其核心是基于无干扰(Non-Interference):若低安全级用户通过外部观测来推断高安全级用户的行为(进而可泄露信息),则称之为高安全级用户干扰低安全级用户。基于无干扰的方法总体思路是:首先设计合适的描述体系,而后分析信息流在什么类型情况下不存在干扰,进而比较在不同情况下,不同信息流之间的关系。具体地,无干扰工作可分为四类:非确定性无干扰、概率无干扰、时间无干扰及时间概率无干扰。非确定无干扰是指非确定性环境中低安全用户不可推断高安全级用户的行为,一个非确定干扰的简单例子是:if H then L,其中H表示高安全级用户的动作,L均为低安全级的动作,这样低安全级用户可通过观测自己的行为来判断高安全级用户是否执行H。与此相对应,概率无干扰、时间无干扰及时间概率无干扰分别考察在概率环境下、时间条件下及时间概率条件下低安全用户不可推断高安全级用户的行为。如,若将一个进程本身在非确定性的条件下不存在干扰称为NNI(Nondeterministic Non-Interference)、将进程在与任意环境(进程)交互时不存在非确定性干扰称为BNDC(Bi-simulation Non-deducibility on Composition),则一个进程属于BNDC,则它一定属于NNI,即BNDCNNI,如图1,非确定无干扰的典型工作包[7,12]。然而,在非确定性条件不存在干扰,并不意味在所有条件(比如,概率环境下)不存在干扰。Aldini博士[8,13,14]等人分析了概率条件下的无干扰,指出了BSPNI(Bi-simulation Strong Probabilistic Noninterference)、PBNDC(Probabilistic BNDC)和SPBNDC(Strong PBNDC)等之间的关系-SPBNDCPBNDCBSPNI,如图2。在时间概率干扰方面,[9]讨论不同信息流之间的关系,指出时间概率无干扰属于时间无干扰,也属于概率无干扰,但反之并不成立,如图3。此外,国内方面包括中国科技大学、浙江大学在内的很多学者也投入到信息流的研究中[15,16]。

2 面向信息流的完整性模型

完整性需要保障信息的非授权修改,经典的完整性模型是Biba模型[17],该模型包含了三个不同的子策略:low-watermark策略,环策略和严格完整性策略。low-water-mark策略可只升不降低改变安全级,这种方式可保障完整性,但也带来了致命的缺陷:可能迅速导致主体不能访问大多数客体,从而失去可用性[18]。严格完整性策略是BLP模型的对偶,正如命名所示,在这三种策略中严格完整性策略最最严格的。完整性策略的核心是:将主体和客体进行分级,并保障信息流只能从高安全级流向同等安全级或低安全级,进而提供完整性。该策略通过两个核心规则来实现:“不下读”(一个安全等级高的主体不能读取安全级别低的客体)和“不上写”(一个安全等级低的主体不能写安全级别高的客体)。由于严格完整性与BLP模型互为对偶,因此,也存在与BLP模型相似的问题:没有对可信主体访问权限进行限制,权限过大可能会危及安全;(2)主客体敏感级在整个生命周期中不可变限制其灵活性。

针对严格完整性策略的不足,[18]给出一种基于Biba和Clark-Wilson策略的混合强制完整性模型。该模型的基本访问控制由Biba严格完整性策略来实现,同时根据可信主体在其生命周期所属的状态实施Biba低水标策略。对可信主体在其生命周期发生的状态转换及相应的低水标参数加以调整,采用Clark-Wilson模型来进行监控,有效解决了Biba策略的灵活性及安全性问题。

在信息流完整性实施方面,[19]提出Biba模型中严格完整性政策的动态实施方案,并给出该方案在基于Linux的安全操作系统RFSOS中的实现,该方案既可以保证系统的完整性,又能提高系统的兼容性。为了构建安全分布式应用,Jif衍生系统嵌入了完整性策略,使得相关主体能够对“信息可被哪些主体修改”进行细粒度规格,并可对应用进行细粒度自动划分。Flume也嵌入完整性,阻止不可信的动态负载代码影响负载它的进程中的信息。Airvat集成信息流到MapReduce中,能同时提供机密性和完整性。4面向信息流的量化评估方法

安全是相对的,我们不可能保证绝对安全,只要不安全度在容许的范围即可,这就要求对安全进行量化评估。按照评价指标,信息流的量化评估工作可分为[20]:基于香浓信息论的评价[21,22,23,24]、基于Rényi熵的评价[25]、基于猜测(guessed)熵的评价[26]、基于拒绝数的评价[27,28]、基于相似度的评价[13,29,30,31,32,33,34,35]及基于信仰(belief)的评价[36,37]等。

最早信息流量化工作可追溯到1982年,当时Denning[21]给出了检测程序中信息泄露的方法。继Denning之后,研究者进行了大量的工作。具有代表性的是:Millen[38]首次研究了无干扰与互信息的一致关系,给出了信息流中的状态机模型与香浓熵之间的关系。McLean等[39,40]区分了非确定信息流和概率信息流,给出了概率信息流的通用模型。但Denning和Millen方式的缺点在于其度量并不准确[23],McLean的缺点是很难区分高低安全级对象之间的因果关系。另外,这些工作都是基于香浓熵的,然而,2009年Smith[25]指出即使某个变量很容易被猜测到,它也可能具有任意大的香浓熵,这导致基于香浓熵的方式并不一定准确,进而以Bayes风险为基础,利用Rényi最小熵来度量不确定性,以此给出信息泄露的度量方法。2005年Clarkson[37]利用概率分布来建模攻击者的Belief,而后利用Bayesian技术来修正其信仰,进而利用相对熵来量化基于信仰的信息流。Hamadou[41]认为基于Belief和Bayes风险方式量化信息流也是不准确的,进而提出了一种混合指标评价。Aldini等[14,31,33]采用概率弱互模拟来标识信息的泄露,而后利用不同进程中相同的动作的最大概率差来度量信息的泄露。在抽象解释层面,Yasuoka[42]分析了基于熵方式进行量化分析的难度和可能性,指出对于任意的,现有的方式都为非,因此不能采用自组合方式来量化信息泄露。Kǒpf[26]利用猜测熵给出了边界信道攻击的度量,并依据程序执行的次数来量化其信息泄露界。

2010年美国Cornell大学的Clarkson博士开启了面向信息流完整性的量化评估[43],他以互信息为基础,区分污染点和抑制点,给出了完整性破坏度的计算方法,作者认为量化污染点和抑制点对完整性是完备的,除了Clarkson博士外,目前还没有其它工作量化信息流完整性。

3 展望

经过30年的发展,面向信息流的安全模型及量化评估取得了很大成绩,但也有许多问题亟待解决,大体上包括如下几个方面:

(1)在信息流隐式泄露度量方面,虽然研究者提出了很多度量方法,但几乎没有工作给出信息泄漏量的抽象解释,这阻止了度量方法的大规模应用;在很多时候并不关心信息的绝对泄露量,而更关心信息泄露量的上下界,但对信息泄露上界的研究很少,另外,在应用中如何确定符合实际需求的上界也是一个重要的研究问题。

(2)目前完整性的度量处于起步阶段,现有度量方式及评价指标都比较单一,没有考虑拓扑变化、污点及抑制点可能传播的情况,也没有考虑势差等因素对完整性的影响,其应用范围有限。为了有效地度量完整性,需要研究污染和抑制的传播条件、传播路径及易感群等,分析其传播动力学特征,分析拓扑结构与传播之间的相互作用机制,建立动态演绎的传播模型及预测技术,利用人工智能中的相关技术推(预)测可能的污点及抑制点,进而建立多指标量化评估技术,这些方面都亟待研究。

摘要：对系统进行攻击的本质之一是在信息流动过程中的非授权泄露与修改,进而破坏系统的安全性,这使得非常有必要对信息流的安全进行分析。从安全保障目标和安全保障方式上对安全信息流模型进行了分类,综述了不同类型的信息流模型研究现状,分析了现有面向信息流的量化评估方法,展望了面向信息流安全评估的发展趋势。

信息安全风险评估方法论文 篇5

【关键词】信息安全;风险评估

1 企业信息安全风险评估概述

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是针对威胁、脆弱点以及它可能导致的风险大小而评估的。

对信息安全进行风险分析和评估的目的就是：企业能知道信息系统中是否有安全隐患的存在，并估测这些风险将会造成的安全威胁与可能造成的损失，经过这些判断来决定修复或者对于安全信息系统的建立。

信息系统风险分析和评估能够有效的保护企业信息，但同时它也是一个较为复杂的过程，建立一个完善的信息安全风险评估需要具备相应的标准体系、技术体系、组织架构、业务体系同时也要遵循相关的法律法规。

2 企业信息安全风险评估的作用

信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现，它能够把信息化工作的安全控制关口前移，超前防范。

针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估，这样能够在第一时间发现各种所存在的安全隐患，然后再运用科学的方法对风险进行分析，从而解决信息化过程中不同层次和阶段的安全问题。

在信息系统的规划设计阶段，信息安全风险评估工作的实行，可以使企业在充分考虑经营管理目标的条件下，对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求，有效的避免事后的安全事故。

这种信息安全风险评估是必不可少的，它很好地体现了“预防为主”方针的具体体现，可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处，从而促进其进一步又好又快发展。

煤矿生产安全风险预测方法综述 篇6

1 瓦斯涌出及瓦斯突出风险预测方法

(1) 灰色系统预测方法。煤岩中瓦斯含量受到多种复杂因素影响, 并取决于成煤、炭化过程中瓦斯产生量和瓦斯能被储存起来的煤层条件, 而这些影响因素则表现出随机性特征。因此, 传统的确定性的数学模型由于需要设定各方面的参数, 通常不易实现瓦斯涌出量的预测。而应用灰色系统预测模型则可以达到比较好的效果[1]。灰色系统理论的关联分析方法在煤与瓦斯突出预测中的应用[2], 是将有过瓦斯涌出及突出地点的突出量作因变量, 而以影响突出的具体因素为自变量, 首先通过灰关联分析方法确定出因变量与自变量间的关联度, 然后找出与突出量关联最为密切的主导因素, 最终确定出灵敏指标, 以期预测瓦斯涌出及突出量[3]。由于利用灰色系统预测方法建模时所需的样本较少, 而且不需要考虑数据是否服从正态分布, 因而适合服从指数变化规律的数列。

(2) 人工神经网络预测方法。矿井瓦斯涌出及煤与瓦斯突出是一个受多种因素影响的非结构化问题, 瓦斯涌出量及涌出强度与其影响因素存在着复杂的非线性关系。人工神经网络由于在处理非线性映射、自组织结构、并行处理等问题方面具有优势, 因此只要设定影响矿井瓦斯涌出量的诸因素为网络输入向量, 选择特定的连接函数, 对网络进行训练, 即可预测矿井瓦斯的涌出量。该方法精度高, 计算过程和数据处理均通过有关软件实现, 应用十分方便[4]。

(3) 分源预测法。煤层开采过程中的瓦斯涌出量与瓦斯涌出源的多少和各涌出源涌出量的大小直接相关。分源预测法即以煤层瓦斯含量、煤层开采技术条件为基础, 依据不同瓦斯源的涌出规律, 计算回采工作面、掘进工作面、采区的瓦斯涌出量, 从而计算出矿井瓦斯涌出量[5]:

式中, Q为矿井相对瓦斯涌出量;k为已采采区采空区瓦斯涌出系数, 一般取k=0.10~0.25;qi为第i生产采区瓦斯涌出量;Ai为第i生产采区产量。

由于分源预测法的关键在于其准确性及适用性, 只有保证其较高的准确性和广泛的适用性, 预测才具有实际指导意义。

2 顶板塌落风险预测方法

(1) 回归分析预测方法。顶板事故的发生规模与多个因素相关, 通过多元线性回归分析方法, 能够剔除不相关或相关性不显著的因子, 只保留系统中相关性强的因子, 获得能反映顶板事故后果与经筛选后剩余因子之间的经验函数, 通过该函数反映它们之间的相关性, 也可用以预测顶板事故的后果。从影响顶板事故发生后果的因素来看, 主要涉及地质条件及开采技术条件方面的可定量因素, 包括伪顶厚、直接顶厚、直接顶类别、基本顶厚、煤层倾角、事故点的节理、裂隙方向、密度、工作面长、采高、厚采比、支架的排距、柱距、支柱的初撑力、工作阻力和推进度等[6], 从而以上述因素为自变量, 以冒顶规模为因变量建立回归方程。回归预测分析法所需的数据较多, 成本较高, 分析过程也比较麻烦, 可以用来预测平稳增长和加速增长的数列。

(2) 分形预测方法。复杂的地质条件往往伴随着不可预见性特征, 特别是复杂的岩体结构导致岩层的不确定性移动, 通常表现出明显的非线性特点。一般分析下沉曲线的数据拟合方法, 其数学模型与实际情况差异较大, 无法反映岩层移动的实际规律。为此, 在分析研究岩层移动动态数据时, 分形预测方法有更好的效果, 能够得出岩层移动的分形增长规律。有关研究选取了观测线上观测点的下沉量和水平移动量进行插值拟合分析, 得到了较其他方法 (如多项式回归拟合曲线) 更为优越的分形插值拟合曲线, 对开采中的岩层移动进行预测, 从而实现对顶板变化情况的预测[7]。

(3) 小波神经网络预测模型。小波神经网络 (Wavelet Neural Network) 是将小波变换与人工神经网络算法结合而形成的一种数学建模分析方法。在信号处理、数据压缩、故障诊断等众多领域取得了良好的应用效果。该模型将小波分解进行平移和伸缩变换, 得到的级数体现出小波分解的一般逼近函数特性。复合小波神经网络模型在顶板来压的识别与预测方面, 有效地弥补了一般人工神经网络预测模型需要预先设定网络结构的缺陷, 通过平移和伸缩因子, 使复合小波神经网络的函数逼近效果达到了最优。在采场矿山压力识别与预测问题中, 该模型结合砌体梁理论模型对测定的矿压数据进行整理与分析, 能够很好地反映出矿压的变化规律, 并能充分验证砌体梁结构的平衡过程, 实现对单体支柱回采工作面顶板来压识别与预测[8]。

3 底板突水风险预测方法

(1) 概率指数预测方法。突水概率指数是指应用赋权的方法, 将影响底板突水的各种因素 (如含水层的富水性、地质构造发育情况等) 在底板突水中所起的作用进行量化, 通过突水资料的分类统计求出各种影响因素的概率指数, 通过建立求突水概率指数的数学模型———最简单的是用赋权求和模型来得出总体量化指数即为突水概率指数。具体应用中, 突水概率指数预测方法所需的参数虽然较多, 但易获取, 且借助于计算机编程, 实用而便捷[9]。

(2) 模糊聚类方法。在实际矿井环境中, 矿井突水量是不确定的, 因而采用确定的水文地质方法进行预测是不适宜的, 而基于经验的单纯类比法的精确性较低。考虑矿井突水量是多种因素综合的结果, 且因素之间关系不确定。因此, 应用模糊聚类分析法进行预测。该方法在对顶板砂岩含水层的突水点和突水量预测方面具有较好的效果[10]。

(3) 尖点突变模型。在煤层开采过程中, 底板突水事故的发生, 一般是由于原始应力状态被破坏并重新分布, 从而导致底板岩层失稳破坏形成导水裂隙所造成的。当底板岩层承受的水压大于自身强度时, 发散突变将呈不连续状态发生, 即由于底板岩层稳态破坏产生底板突水现象, 可以通过建立煤层底板突变模型进行预测。基于平衡曲面方程, 可求得煤层底板水压应力比Ip, Ip>1时, 发生突水;Ip<1, 不会发生突水[11]。

(4) 人工神经网络。人工神经网络在自动控制、模式识别及预测等领域有着非常广泛的应用。尤其是BP神经网络在人工神经网络中应用最为广泛, 取得了许多成果。鉴于BP神经网络存在较多局部极小的情况下很容易陷入局部极小点和学习精度与学习速度之间的矛盾不可避免的缺陷, 有学者采用了遗传算法训练BP网络, 利用遗传算法全局最优搜索的特性可完全弥补BP网络上述的缺陷, 在此基础上建立了煤层底板突水组合人工神经网络预测模型, 取得了良好的应用效果[12,13]。

4 矿井煤层自燃风险预测方法

矿井煤层自燃预测主要通过检测CO2、CO、CH4、O2、N2等变化指数来识别煤层自燃的风险, 所选指标因各矿具体情况而定[14]。一般通过实验防火系数即CO2、CO的浓度变化量和O2浓度变化量之比来进行预测报警。也可以通过神经网络的方法将影响煤层自燃的因素作为神经网络模型的输入变量, 其风险情况作为输出变量, 经过网络内部不断地计算和推理, 减少误差, 最终对煤层的自燃风险进行预测[15]。另一种方法是采用模糊聚类法进行预测, 取煤层的自燃信息作为样本, 将这些样本分为若干类进行聚类分析, 从而得出自燃风险程度的模式。模糊类聚法主要是进行定量分析, 可以得出煤层风险的具体判定, 具有一定的实用价值。

5 矿井煤尘爆炸风险预测方法

矿井煤尘爆炸有2个必备的条件:煤尘在空气中具有一定的悬浮浓度和一定温度的引火源。煤尘达到爆炸的下限浓度一般为30~45 g/m3, 而井下采、掘、运各生产环节中煤尘浓度很难达到此下限浓度, 即使在综采面也只有2 g/m3;只有在井下放炮时导致大量煤尘飞扬, 有可能瞬时达到爆炸浓度。通过大量事故调查分析, 煤尘爆炸引火源在电气火花、人为明火及爆破因素等引火源中, 违章爆破造成引火占煤尘爆炸事故引火源的90%以上[16]。因此, 煤尘爆炸的预测, 主要在于对井下爆破作业规范的监控。

6 结语

信息安全综述 篇7

关键词：信息安全,安全策略,管理体系

21世纪是信息高速发展的时代。然而事物发展速度过快必有其弊端。随着信息技术的飞速发展,整个信息领域呈现出及其繁荣的状态。然而,在繁荣的背后,信息安全的事件也常有发生,并且这种危害信息安全的形势颇为严重。因为信息的安全对国家以及社会的稳定进步产生了负面的影响。因此,国家的技术人员必须采取一定的措施来保证我国信息系统的健康稳定发展。对于信息安全的研究大体上分为信息安全管理体系、信息安全评估以及信息安全策略的研究。信息的安全管理研究是指对信息的安全标准、策略和信息的测评。对信息安全策略是对安全系统进行有效的设计、实现、运行以及管理。对系统中特定的信息进行安全管理,重点需要对哪些资源进行保护,需要采取哪些措施,完成哪些安全任务。安全测评则是根据特定的安全标准对设计的保护信息安全产品和信息系统进行安全性能的测试。

1 信息安全管理体系

信息安全管理是用来指示组织对信息安全风险管理的一系列活动。关于信息安全风险的的管理通常情况下包含制定信息安全方针、控制特定安全目标与方式选择、安全风险评估、安全风险控制、信息安全保证等。信息安全最基本的目标是保护有效信息的私密性、完整性和准确性。需要构造一个信息安全管理框架来完成安全管理的目的。

信息安全管理框架的设立需要遵循特定的过程完成。首先,需要系统内各个组织依据自身运行的状况来完成适用于本身发展和信息安全需求的安全管理框架。然后通过正常的业务流程的进行中详细地实现该框架的安全体系。在业务进行的同时,需要对与信息安全管理框架对应的有关文件进行有效的管理。最后,需要对实现信息安全管理框架的过程中发生的的各种信息安全事故进行及时的记录,并通过一定的流程建立反馈机制。

2 信息安全风险评估

我国对于信息安全风险评估系统的研究是最近几年刚刚起步的,目前主要的工作重心着眼于系统组织架构建立和业务体系的搭建,对于信息安全系统相关的规范标准和技术攻关尚处于研究阶段。随着电子政务和电子商务的高速发展,信息风险评估系统以及基于该系统的信息安全工程已经得到我国相关部门和机构的高度重视,具有广阔的研究空间。

信息安全风险评估是信息安全管理的基础。通过对信息安全状况的风险评估从而确定安全事故的严重程度从而确定风险控制方式,进而对安全事故实施一定的控制手段,将安全的风险控制在系统承受范围之内。对信息安全风险评估的时候需要考虑的如下几个因素:信息资产的估值,信息安全对资产的威胁大小,信息安全事故发生的几率,以及已经掌握的安全控制方式。

风险评估过程如图1所示,它的基本步骤如下:

1)按照系统的运行过程进行特定资产智能识别,根据特定的估价方式对资产进行相对准确的估价。

2)针对特定资产的可能遭遭受的安全威胁,对已经掌握的安全事件控制措施进行确定。

3)在对信息安全的识别的情形下,评估该受到威胁的资产的风险指数,并给出风险评估报告。

4)根据信息安全风险评估的结果,提出合理的方法管理风险。

在对信息安全风险评估时使用哪种方法对评估结果的有效性有特别重要的作用。对信息安全评估方法的选择还会影响信息评估过程中的其他过程的实现,甚至可能影响到最终的评估结果。所以我们需要根据系统的特定状况,选择合理的信息安全风险评估方法。信息安全风险评估的方法有许多种,目前比较通用的有如下两个方法:定量安全风险评估方法和定性安全风险评估方法。

3 结论

物联网信息安全模型综述 篇8

据不完全统计, 2013年, 全球有120亿感知设备连接物联网, 预计到2020年, 有近500亿设备连接物联网, 而在2008年连接在互联网上的设备将超过地球上人口的总和。如此众多设备连接上网络, 其造成的危害和影响也是无法估量, 特别是当物联网应用在国家关键基础设施, 如电力、交通、工业、制造业等, 极有可能在现实世界造成电力中断、金融瘫痪、社会混乱等严重危害公共安全的事件, 甚至将危及国家安全, 因此伴随着物联网快速发展, 物联网安全也越来越受到重视。

信息安全模型最早可以追溯到1973年由Bell和Lapadula提出的机密性模型, 但物联网涉及技术纷繁复杂、防护对象层次不齐, 传统的安全模型已不再适用新的安全需求。近年来, 人们在原有的模型基础上, 对物联网信息安全模型做了初步探讨和研究。从安全防护对象以及方式来看, 物联网信息安全模型可分为两大类:一是单层安全模型, 这类模型主要侧重于物联网三层结构中某一层的安全问题, 具有一定的安全防护能力, 整体防护能力偏弱;二是整体防护安全模型, 这类模型以整体角度分析安全防护措施, 或以攻击形式考虑安全问题, 或以安全技术考虑问题, 不仅相同。本文综述目前已有的物联网安全模型, 同时在此基础上展望了未来的研究方向。

2 单层安全模型

2.1 面向感知层安全模型

为了构建通用安全框架模型, 最大程度改变当前存在安全系统、信息管理、自治管理的关系, Pierre等人提出一种自管理安全单元模型 (SMSC) 。该模型适用于大型分布式系统, 以资源作为其安全防护对象, 其中资源可以理解为连接在网络上的资产, 典型的资源有应用、传感器等设备。SMSC模型具备互操作性、自动操作、权利下放和上下文前后对照下特性。互操作性是指资源可以相互通信与理解的特性, 其被分为三个主要领域:通信语义、通信语法、操作的连接;自动控制是指资源根据侦听的安全威胁, 自动执行安全策略进行响应。在物联网中, 随着资源数量和它们之间联系的增加, 人工管理效率也越来越低, 因此需要系统进行自动控制;权利下放是指在实际应用中, 资源不可避免地要管理下放信息的存储以及制定安全策略;上下文前后对照性是指资源必须根据不同功能、不同类型的数据进行自适应管理, 安全实施必须依赖其上下文环境。

SMSC模型是基于自我管理单元模式 (SMC) 的模型, SMSC模型在SMC中加入了基于安全和管理的组件, 通过借助于大量资源结盟潜在的影响来提高网络安全性, 从而能够保证安全通信, 图1为SMSC模型的逻辑视图。

SMSC模型要求资源节点具有一定的处理能力来完成自动控制功能, 而在物联网应用中, 特别是传感网应用中, 感知节点处理能力、存储能力、能量消耗均有限, 安全功能实现成本代价较高, 其实际应用效果并不明显。

2.2 面向传输层安全模型

在EPC物联网体系结构中, 信息传输过程中易出现隐私泄漏, 其主要原因有:1) 阅读器与标签之间的任意读取 ;2) ONS查询系统 为L-ONS提供无条件查询功能;3) 物品信息有R-TIS以明文形式传送给L-TIS。为此, 吴政强等人提出基于EPC物联网架构的安全传输模型, 该模型是面向协议, 主要增强了传输过程中信息隐私的安全性。其通过引入可信第三方———可信认证服务器对原有模型进行改进: 在ONS查询机制中增加了可信匿名认证过程, 对L-ONS的身份合法性以及平台可信性进行认证;物品信息可信匿名传输机制确保物品信息的安全传输, 物联网安全传输模型如图2所示。在传输过程中, 远程物品信息服务器按响应路径各节点的顺序从后至前用公钥对物品信息嵌套加密, 加密后的数据每经过一个路由节点被解密一层, 直到本地信息服务器时, 物品信息才被还原成明文。传输过程每个路由节点可以验证收到数据的完整性及转发路径的真实性。

物联网安全传输模型匿名认证协议具有抗被动攻击、抗主动攻击、信息泄漏量极小, 路由可鉴别性、响应数据的可验证性。但由于其基于EPC网络结构, 适用范围具有一定局限性。

3 整体防护安全模型

3.1 基于 P2DR2 的物联网安全模型

传统的安全防护方法是对系统或设备进行风险分析, 制定相应的安全防护策略或部署安全设备进行防护, 这种方式忽略了物联网安全的动态性, 为此PDR模型应运而生, PDR是防护 (Protection) 、检测 (Detection) 、反应 (Reaction) 的缩写PDR模型通过Pt (攻击所需时间) 、Dt (检测安全威胁时间) 、Rt (对安全事件的反应时间) 来描述系统是否安全, 即Pt>Dt+Rt, 随着技术发展, PDR模型演变为P2DR模型 , 后期又融 合了恢复 (Recovery) , 形成了更为完善的P2DR2的动态自适应安全模型。刘波等人提出了基于P2DR2的物联网安全模型, 该模型采用动态防御的思想, 结合物联网的三层体系结构, 如图3所示。

基于P2DR2的物联网安全模型强调了安全防护的各个方面, 各层均未给安全技术实施方法, 缺乏可操作性。将P2DR2模型直接应用物联网, 虽然考虑了分层结构, 但各层策略 (Policy) 、防护 (Protection) 、检测 (Detection) 、反应 (Reaction) 、恢复 (Recovery) 实现能力层次不齐, 特别是在感知层, 容易出现“短板”问题。

3.2 基于等级划分的物联网安全模型

目前, 国内外较为流行的无线通信协议均采用为不同安全等级应用配置不同加密等级策略的思路。我国自1994年开始实施信息安全等级保护制度来重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。随着物联网的发展, 等级保护也作为物联网安全防护的重要分支。孙知信等人提出了一种基于等级划分的物联网安全模型 (BHSM-IOT) , 该模型以物联网攻击模型和以物联网实际应用为前提构建的物联网拓扑模型为基础, 利用模糊评价方法对物联网应用进行等级划分 (无安全模式, ACL模式, 认证、完整性和机密性模式, 认证、完整性和机密、密钥管理模式) , 从而部署实施不同安全配置。BHSM-IOT模式架构如图4所示, 包括应用需求分析、网络拓扑分析、攻击类型预测以及应用安全等级判定四个部分, 其中BHSM-IOT模型从信息系统提取关键对象进行描述:应用系统管理员 (ASA) 、用户 (User) 、维护数据单元 (MDU) 、系统硬件设备 (SH) 、应用涉及范围 (AR) 、应用类型 (AT) 和敏感数据单元 (SDU) 。

范红等人提出一种从横向和纵向两个方面提升物联网防护水平的物联网安全技术体系 (STA-EPC) , 横向防御体系以国标GB25070-2010为依据, 涵盖等级保护物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中心、应急响应恢复与处置六个方面, 其中“一个中心”管理下的“三重保护”是核心, 物理安全是基础, 应急响应处置与恢复是保障。纵深防御体系是依据保护对象的重要程度以及防范范围, 将整个保护对象从网络空间划分为若干层次, 不同层次采取不同的安全技术。目前, 物联网体系以互联网为基础, 因此可以将保护范围划分为边界防护、区域防护、节点防护、核心防护 (应用防护或内核防护) , 从而实现如图5所示的纵深防御。STA-EPC模型满足机密性、完整性、Accountability、可用性安全属性。

上述两个 安全模型 均包含等 级防护的 思想 , BHSM-IOT模型通过赋值进行定量评估信息系统等级, 具有一定可操作性, 但其安全技术粒度粗糙;STA-EPC模型针对40多个安全技术部署位置以及防御的层次给出了详细的描述, 为了物联网安全防护提供了细粒度的操作指南。

3.3 基于三层架构的安全模型

目前较为通用的物联网架构分为三层, 即感知层、网络层和应用层。Omar Said结合物联网三层架构提出了一种物联网安全模型, 该模型在物联网三层架构的基础上, 增加了应用安全层、网络安全层、感知安全层, 如图6所示。其中应用安全层被划分局部应用安全防御和全局应用安全防御。全局应用安全防御安全级别更高, 但其不能与局部应用安全防御相冲突;网络安全层分为有线网络与无线网络, 无线网络安全包括无线局域网、移动通信网、传感网等, 其防护技术包括密钥分发、入侵探测、身份认证等。有线网络包括传统的防火墙、路由访问控制、IPS等技术;感知安全层依据采集数据分为多媒体、图像、文本信息。多媒体数据可以通过压缩加密、时间戳、时间同步、会话认证防护安全威胁。图像数据使用图像压缩算法、循环冗余等技术保障安全。文本信息数据则通过加密、抗干扰等技术进行防护。

该模型通过能量消耗、成本、时间、安全强度参数进行了评估, 随着传输量和时间的增长, 其能量消耗呈现波形, 趋于稳定, 并且其安全强度处于80-100之间。虽然上述测试结果比较理想, 但其选择的试验的安全技术相对简单, 如身份认证、授权管理、时间同步均涉及。

4 结束语

综上所述, 物联网安全模型的发展必须满足关键要求:1) 适用于分布式拓扑架构且安全管理单元可进行自治;2) 横向防御与纵深防御结合;3) 需进行能量消耗、成本、时间、安全强度的评估;4) 物联网安全模型涉及的安全技术应细粒度, 可操作性要强;5) 具有一定通用性, 与物联网体系架构无关, 不局限于EPC物联网、传感网等形态。

参考文献

[1]Bell D E, Lapadula L J.Secure Computer Systems:Mathematical Foundations and Model[J].MITRE CORPBEDFORD MA, 1973.

[2]De Leusse, Periorellis, etc.Self Managed Security Cell, a security model for the Internet of Things and Services[C]First International Conference on Advances in Future Internet, 2009:45-52.

[3]Sventek J.Self-managed cells and their federation[J].Networks and Communication Technologies, 2006, 10 (2) :45-50.

[4]吴振强, 周彦伟, 马建峰.物联网安全传输模型[J].计算机学报, 2011, 34 (8) :1351-1364.

[5]刘波, 陈晖等.物联网安全问题分析及安全模型研究[J].计算机与数字工程, 2012, 11:21-24.

[6]孙知信, 骆冰清等.一种基于等级划分的物联网安全模型[J].计算机工程.2011, 37 (10) :1-7.

[7]范红, 邵华等.物联网安全技术体系研究.第26次全国计算机安全学术交流会, 2011:5-8.

[8]GB/T 25070-2010, 信息系统等级保护安全设计技术要求[S].

电力系统信息安全研究综述 篇9

关键词：电力信息系统,信息安全,安全威胁,生产控制系统,安全管理

0 引言

电力行业很早就采用计算机实现生产过程自动化。现代电力企业网络基础设施日益完善,已建成生产、管理、营销等不同类型的信息系统,企业信息化水平达到新的高度,有效保证了电力系统安全、优质和经济运行。各类电力信息系统由于信息共享和协作已经实现互连,网络通信协议也逐步采用开放通用的TCP/IP协议,这使得非法者可以采用各种攻击技术在信息空间(Cyber Space)对电力信息系统进行攻击,破坏电力系统信息安全(Cyber Security in Power System),影响电力系统可靠运行,甚至导致系统振荡或大范围停电。

美国已将电力系统作为未来网络战攻击目标之一。由于保密原因,许多电力信息系统遭受攻击的事件未曾报道。为加强电力系统信息安全,美国总统奥巴马上任伊始就批准了一项保障电力系统信息安全的研究计划。我国国家自然科学基金委、科技部等在近几年也资助了多项与电力信息系统安全有关的课题。国内外一些大学和科研机构自本世纪初也对本课题开始研究[1,2]。相关成果见诸《IEEE Transaction on Power System》,《IEEE Transaction on Power Delivery》,《IEEE Power Engineering Society General Meeting》,《电力系统自动化》、《电力自动化设备》等电气工程的主要杂志和会议。IEC等国际组织也针对电力系统信息安全需求,正制定相关的标准和规程。SEL、RFL、ELECTRA、南瑞等电力设备的生产厂商和集成服务提供商也在开展电力系统信息安全产品预研工作。

本文在分析电力信息系统及其安全威胁的基础上,以电力行业需求为导向,总结并评述电力系统信息安全国内外研究现状,并指出未来研究方向,以提升电力系统信息安全整体水平,实现信息化条件下电力系统安全高效运行。

1 电力信息系统及安全威胁

信息系统是以计算机和数据通信网络为基础,实现信息采集、存储、加工、分析和传输的应用系统[3]。电力信息系统面向电力企业,按照应用领域不同,可以分为三类:生产控制系统、行政管理系统和市场营销系统[2]。

生产控制系统直接服务电力生产,主要包括SCADA/EMS、变电站自动化系统、配电网自动化系统、电厂监控系统、微机保护及安全自动装置、水库调度自动化系统等,可靠性和实时性要求很高,通信平台采用电力调度通信专网。现代电力生产控制已经从现地控制转向以工业网络为基础的集中控制阶段。生产控制系统在可靠性方面已经采取了防电磁干扰、冗余等措施,但是在高频、微波等各种通信链路上仍然存在冒充、篡改、窃收、重放等类型的网络威胁,严重影响到电力生产信息的完整性、真实性和一致性。另外,生产控制系统在调试及维护阶段有设备提供商的工作人员通过笔记本电脑进入电力生产控制系统,出于商业竞争或政治目的会置入逻辑炸弹、蠕虫等恶意代码,破坏电力生产控制系统的正常稳定运行。

行政管理系统用于电力企业内部日常事务管理,典型系统有财务管理系统、人事管理系统,物资管理系统、办公自动化系统以及ERP(Enterprise Resource Plan)系统等。行政管理系统间接服务电力生产,需要从生产控制系统中获取电力生产信息,因此通信也采用专用电力数据网。相比电力生产控制系统,行政管理系统比较开放,使用人员类型众多,存在通过U盘泄露信息的可能。该类系统由于采用UNIX、Windows多种类型的操作系统,系统漏洞较多,如不及时打补丁会造成系统不稳定乃至瘫痪。另外,该类系统同样也存在网络威胁以及编程漏洞,但整体而言信息安全重要等级比生产控制系统要低。

市场营销系统是联系电力企业、电力用户、电力物资供货商等的纽带,典型系统有电力市场运营系统、招投标应用系统等。由于需要和电力企业以外的实体进行信息交换,因此该类系统必须接入Internet。市场营销系统更加开放,威胁呈现多样化,攻击者会在物理、网络、系统程序、应用程序等各个层面破坏信息保密性、信息完整性、信息一致性、不可抵赖性、身份验证、访问控制等。

由于数据交换和协同工作的需要,各类电力信息系统实现了互联,形成开放的电力互联信息系统。电力互联信息系统存取点众多,包含以上三类电力信息系统的所有威胁,且威胁之间存在相互依赖性,对电力互联信息系统的攻击多样化。

因此,如不采取安全措施,非法者可能在电力信息通信、存储、加工过程中采用各种手段对电力信息系统进行攻击,因此必须开展电力系统信息安全研究。我国电力企业已将信息安全作为安全生产的一部分,制定了各种信息安全预案,其重要性可见一斑。

2 研究进展

电力系统信息安全面向具体行业,实现安全目标应以密码学、访问控制、网络安全等信息安全的理论和方法为基础,采取技术和管理两方面手段,因此本文将从这两方面总结并评述国内外研究进展。由于电力系统信息安全以应用为导向,因此技术方面将针对不同类型的电力信息系统以及互联电力信息系统分别叙述,管理方面则重点论述电力系统信息安全的标准、规程等研究进展。

2.1 生产控制系统信息安全

生产控制系统是电力系统最重要的信息系统。按照《电力系统二次系统安全防护规定》,生产控制系统位于生产控制大区,和电力其他信息系统在网络物理层实现隔离,涉及电网调度的生产控制系统实现纵向认证。目前电力生产控制系统信息安全研究对象主要集中于变电站自动化系统、微机保护系统、电力调度自动化系统和SCADA系统等。

IEC61850是基于网络平台的变电站自动化系统国际标准,但并不涉及安全问题。文献[4]基于IEC61850标准,利用电力企业广泛推行的公钥基础设施/权限管理基础设施(PKI/PMI),结合基于角色的访问控制模型,提出变电站自动化系统中用户远程访问时身份验证和访问控制解决方案。文献[5]采用普通或代理的数字签名模式,实现了变电站自动化系统中控制中心和变电站IED(Intelligent Electric Device)的身份认证和信息完整性,其核心是数字签名技术,主要优点在于使用和发展并重,适合现有以及采用IEC61850标准的变电站自动化系统。文献[6]则根据基于IEC 61850标准的变电站自动化系统中IED计算资源的有限性和通信的实时性,提出了基于口令的变电站自动化系统中IED之间的身份验证方案,满足电力系统数据与安全通信标准IEC62351的安全认证需求。文献[4-6]针对变电站自动化系统中不同实体之间的认证进行了深入全面分析。通信系统是变电站自动化系统数据传输的基础设施,文献[7]利用分布式系统脆弱性理论,提出网络环境下变电站自动化通信系统脆弱性评估方法,实现对系统安全性的综合量化,对安全策略制定起指导作用。文献[8]结合生存系统分析(SSA)方法和概率风险评估(PRA)方法,提出适用于变电站自动化系统安全态势分析的风险分析与概率生存评估(RAPSA)方法。文献[7-8]从系统整体研究变电站自动化系统信息安全,文献[9-10]给出了变电站自动化系统入侵防护的建议,文献[11]则对数字变电站中信息处理及网络信息安全进行了分析。

微机保护系统是保障电力系统可靠运行的关键系统。IEEE电力系统继电保护委员会(PES PSRC)专门发布了一份研究报告,全面系统阐述了继电保护信息安全问题[12]。报告首先指出微机保护系统在变电站、电厂已经和电力监控及自动化系统实现互联,运行人员、系统生产厂商、调试人员等对微机保护有数据访问的需求,由此带来许多安全问题;接着分析了微机保护通信的特点,指出微机保护需要在数据链路层和网络层采用VLAN、IP包过滤等安全措施,最后以线路纵联保护为例,分析了在不同应用方式下,抵御拒绝服务(Deny of Service)和流量控制(Traffic Manipulation)攻击需要采取的解决方案。文献[13]专门研究了差动微机保护,指出差动保护通信要求专用网络、很小的时延和消息验证机制,提出对称流加密方案,并说明在微机差动保护中不能采用动态密钥交换机制。文献[14]则给出了基于上下文的电流微机保护信息安全防御方法,采用概率神经网络(Probabilistic Neural Networks),通过对同一变电站电压电流的上下文信息来识别运行故障和恶意攻击。该方法紧密结合电力系统运行状况,是微机保护信息安全新方法的探索。由于微机保护在保障电力系统安全运行中的重要作用,国家自然科学基金委2010年又资助了两项微机保护信息安全的研究项目。

SCADA系统是电力调度不可缺少的分布式信息系统。文献[15]使用攻击树(Attack Tree)对电力SCADA系统的脆弱性进行定量建模,目的在于通过对各种安全漏洞的组合,发现潜在的入侵场景,以采取相应对策。攻击树建模借鉴了可靠性理论中的故障树分析方法,可以将可靠性与安全性结合起来分析。文献[16]利用离散系统仿真工具-Petri网从系统、场景和访问点三个层次评估SCADA系统的脆弱性,并以具有口令保护和防火墙的SCADA系统和IEEE 30-bus为例,评估网络攻击对电力系统的影响,紧密结合了SCADA系统服务对象。文献[10]则具体列举了SCADA系统的六种入侵场景和入侵后果,并评价了SCADA安全防护中不同安全措施,有助于SCADA系统的整体安全。文献[17]针对SCADA通信瓶颈,提出了支持广播通信的密钥管理协议。

电网安全有赖于电力调度自动化系统的可靠运行。文献[18]提出利用分片-冗余-分散(FRS)的弹性技术改造电力调度自动化系统的双服务器系统,使其具有容入侵的能力。文献[19]提出将电网安全和信息安全集成建模评估电力调度自动化系统的脆弱性,但是没有给出具体的步骤。

除此之外,文献[20]利用面向对象的建模技术,提出二次系统安全体系结构化设计方法;文献[21]以某电厂实时系统为例,给出了提高实时系统安全的对策;文献[22]探讨了电力广域通信网安全预警系统的建设;文献[23]提出应用角色访问控制模型应用于电力调度两票管理系统。文献[24]使用证据理论,结合ISO 17799标准对电能自动抄表系统进行了信息安全评估。文献[25]论述了电力监控自动化系统中信息安全的防护与应用。

由于生产控制系统是电力行业最重要的信息系统,总体而言,对该类系统的研究较多,但除变电站自动化系统外,其他生产控制系统的信息安全研究均不够全面深入。

2.2 行政管理系统信息安全

行政管理系统是电力企业日常事务管理系统,其系统架构和其他企业的行政管理系统基本一致,相应的安全措施也具有互通性。电力行政管理系统信息安全研究主要集中在文档可信传输和访问控制。

为避免电力办公自动化系统中采用简单的用户名/口令机制控制变电站操作票等敏感文档传递的缺点,文献[26]提出利用公钥算法对文档进行电子签名,增强了文档传递的安全性,且签名和文档可同时存档,但方案需要公钥基础设施(PKI)的支持。文献[27]提出利用数字水印技术,即用信号处理的方法在多媒体数据中嵌入隐蔽的标记,为电力文档收发双方之间建立起可靠的信任关系,实现用户身份认证、文档真实性、完整性检查等服务,提高了文档在不安全网络空间安全传递的可信度。

文献[28]将基于角色的访问控制(RBAC)策略应用于电力企业ERP系统中,在角色、操作和数据等维度上对权限控制进行细化,实现了多级管理员体系,并将企业的实际岗位情况以及企业的业务部门之间的相互关系,与所开发系统中的特定角色一致地结合起来,实现了角色、操作和对象的多级管理及细化控制,增强了系统的安全管理性能。

2.3 市场营销系统信息安全

市场营销系统信息安全研究主要集中在电力市场运营系统。该系统接入Internet,采用B/S结构,当信息通过HTTP协议传输时,容易遭受窃听、篡改、伪造、中断等攻击。文献[29]提出利用SSL(Secure Socket Layer)协议来抵抗攻击,并给出了软件配置、代理机制和SSL开发包等三种实现方案。用SSL协议增强安全性适用于任何基于TCP/IP的应用,但是该机制使用公钥算法,因此需要PKI的支持。文献[30]针对电力市场中用户类型众多、访问权限各不相同且受市场规则变动的影响,提出基于J2EE架构的应用层安全访问控制机制,并设计了安全性高,配置灵活,能够将权限管理与应用开发彻底分离的控制中心应用层用户访问控制方案,但该文提出的技术路线仅适用于J2EE架构下安全访问机制的实现。文献[31]则提出了电力市场技术支持系统十条安全设计原则,并在调度中心侧、广域网和电厂侧进行安全体系设计及网络互连设计,是电力市场技术支持系统网络信息安全的整体解决方案。

电力行政管理系统和市场营销系统由于不直接和电力生产关联,且这两类系统的安全措施大多可以借鉴其他信息系统,因此相关研究较少。

2.4 互联电力信息系统安全

互联电力信息系统是由各种复杂异构的电力信息系统组成的大规模、广域分布和分级递阶的大系统,影响其安全的因素是多维的[32]。对互联电力信息系统安全研究主要集中在安全体系设计、容入侵及网络安全设计方面。

安全体系设计要解决三个问题:如何根据安全策略获得安全需求、如何将安全需求映射为安全体系、明确安全体系满足安全需求的程度[32]。文献[33]分析了风险管理方法、遵循安全设计指南方法、形式化验证方法、“发现修改”方法、预防性安全设计方法等现有安全设计方法应用在互联电力信息系统时的特点和不足,并总结了信息系统安全工程过程、安全需求分析方法、可生存系统分析方法的可借鉴之处。电力信息系统比电力物理系统面临更加严峻的风险[34],风险管理作为一个能用于系统开发生命周期的安全设计方法,文献[35]提出电力信息安全风险评估要划分安全域,但传统的风险管理方法不能直接应用到电力信息系统安全体系设计。文献[36]则提出了一种用于电力信息系统建模和安全体系定量评估的系统化方法,其中安全体系设计语言用于建立电力信息系统的抽象模型,风险自动分析算法和相对安全度定量评价指标用于减少安全体系设计的主观性。文献[37]侧重各类安全设备灵活配置和协调,提出了基于简单网络管理协议(SNMP)的电力数据网络柔性安全体系。

传统的信息安全防护技术重在防范,而没有考虑到电力互联信息系统信息安全破坏后的生存性问题,使用容侵技术可以解决这一问题。文献[38]提出一种使用冗余和多样性的容侵体系结构来检测和屏蔽已知和未知的攻击,并能对受损的服务器自行恢复,有效地加强了电力互联信息系统网络的安全性。文献[39]提出的基于容侵技术的电力企业网络安全体系模型则兼顾了网络服务性能和网络安全两方面的因素,利用成熟的误用检测技术和防火墙技术防御已知的入侵行为,对于未知的入侵行为采用异常检测技术进行评估、追踪和分析。文献[40]则结合某电网公司信息系统实际情况,提出一个基于测控结合的三层结构容入侵模型,在本地、子网和企业网三个层次分别监测控制简单、联合和复杂的网络攻击。该模型同时为了保障容入侵系统本身的安全,提出利用心跳信息监控各组成部件,并利用表决器诊断技术判断系统是否正常。

计算机网络是互联电力信息系统的基础平台,文献[41-44]设计了不同的网络安全方案,综合利用防火墙、入侵检测系统、物理隔离装置等。文献[45]探讨了入侵诱骗的网络安全方法,深化了对电力系统信息网络攻防的认识。为建立电力行业的安全保障基础体系,文献[46]设计了电力PKI。文献[47]对某电厂二次网络系统采用链式防护结构,构成电厂完善的信息安全防护体系。

由于互联电力信息系统是系统的系统(System of System),因此互联电力信息系统安全研究较多,大多从系统工程的角度出发,而不侧重具体的安全技术,但尚未有成熟的系统安全分析方法。

2.5 安全管理

信息安全的实践表明“三分技术、七分管理”,可见管理的重要性。国内外许多部门或组织为保障电力系统信息安全,发布了相关标准、规定、规程等。上世纪九十年代原电力工业部和国家保密局就发布了《电力工业国家秘密及其密级具体范围的规定》。国家经贸委和电监会本世纪初也分别发布了《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和《电力二次系统安全防护规定》,其核心是安全分区、网络专用、横向隔离、纵向认证,即电力信息系统划分为生产控制大区和管理信息大区,电力调度数据网在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离,在生产控制大区与广域网的纵向交接处设置电力专用纵向加密认证装置或者加密认证网关及相应设施[48,49]。作为配套,电监会还给出了包括各级调度中心、变电站、发电厂等配套的六个二次系统安全防护方案,各电力企业也制定了相应的信息安全规程。

国际电工委员会的IEC 27001标准规定了信息安全管理体系(ISMS)要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可以作为第三方认证的标准[50]。而与之配套的IEC 17799标准提供了一套综合的、由信息安全最佳惯例组成的实施规则,主要内容包括11个安全类别、39个控制目标和133项控制措施[51]。IEC 27001和1779标准已在我国电网企业开始试点应用[52]。另外,国际电工委员会第57技术委员会(IEC TC57)第15工作组(WG 15)正在针对现有的变电站通信标准,拟定包含TCP/IP协议,制造报文规范协议(MMS)和对等通信协议的安全规范IEC 62351[53]。国际大电网会议(CIGRE)2003至2006年专门成立进行电力信息系统和内网安全研究的D2/B3/C2-01工作组,发布技术规范,并应用于某电力公司[54]。CIGRE 2006年至2009年又成立D2.22工作组,并发布了适用于电力公司信息安全框架、风险评估和安全技术的规范,将基线控制、逻辑图等引入电力公司信息安全管理中[55]。

NERC、ISA、NIST、DOE等组织也开始进行电力信息安全标准的制定工作。国内外高度重视标准、规程等的制定,同时也关注其实施,使管理措施真正落到实处。

3 研究方向

电力系统是国家基础设施,提高电力系统信息安全等级,要重点突出,强调安全过程、注重整体效果。电力行政管理系统和市场营销系统和一般信息系统类似,安全防范有成熟经验。而生产控制系统是工业专用信息系统,互联电力信息系统是“大”信息系统,信息安全研究尚不深入。笔者认为未来应重点对生产控制系统信息安全、互联电力信息系统信息安全和安全管理开展研究,具体研究方向如下:

(1)生产控制系统方面,首先应研究各计算实体的安全。生产控制系统大量采用的可编程控制器(PLC)工作方式是循环扫描,且具有大量的输入输出接口。另外,生产控制系统中为提高计算效率,采用了数字信号处理器(DSP)和CPU协同完成计算任务。和普通PC和服务器不同的体系结构,使得生产控制系统的计算实体面临的信息安全威胁和防御方式不同。其次要研究生产控制系统的网络安全。生产控制系统使用的通信协议有别于民用网络,应详细研究IEC 60870标准定义的远动通信规约等应用于EMS、DMS等系统中可能遇到的攻击类型,保障协议安全。

(2)互联电力信息系统方面,首先应重点关注不同电力信息子系统之间网关设备,包括物理隔离器、路由器等安全,研究这些网关设备的渗透测试方法。其次研究在不同利益主体下,电力信息安全基础设施PKI的建设,重点是认证机构(CA)的交叉认证。最后,我国正在进行智能电网建设,为适应电网的柔性结构,实现可重组的信息流,互联电力信息系统所包含的信息子系统将更多,耦合也将更紧密,必须超前研究适合智能电网的坚固、灵活、抗攻击以及自防御的信息交互平台[56]。

(3)安全管理方面,首先应加快不同类型电力信息系统相互关联的信息安全标准集建设。其次要研究适合预警、保护、决策、响应和恢复(WPDRR)的过程管理机制,增强电力信息系统的主动防御能力。最后要进一步加强信息安全的风险评估研究,重点是评估什么、如何度量以及如何取值的现场问题以及风险计算的数学模型,使得电力信息安全的具体技术布置合理有效。

4 总结

信息安全风险评估综述 篇10

目前,随着我国汽车保有量的激增,汽车驾驶安全问题日渐重要。道路交通安全研究已经成为热点,特别是围绕人-车-路系统中的人和路开发车载汽车安全驾驶支持系统更是受到广泛关注。车载驾驶安全支持系统分为感知层、判断层和操作层。感知层主要是获取车辆运行环境信息、车辆状态信息、驾驶员生理信息和驾驶行为信息,并向驾驶员提供信息;判断层主要是根据感知层信息判断车辆运行安全性和驾驶员是否疲劳,并向驾驶员报警;操作层主要是引导或介入控制驾驶,以规避危险。本文就车载汽车安全辅助驾驶支持系统的感知层(车辆状况信息监测系统、交通环境感知系统、驾驶员信息监测系统)的研究现状进行综述,并展望该领域的发展趋势。

1 车辆状况信息监测系统

车辆自身的安全隐患是导致交通事故的一个重要因素。车辆状况监测系统是利用各种传感器如压力、温度、烟度等传感器检测车辆运行中的状态信息,并提供给驾驶员。目前在汽车安全驾驶支持系统中关于车辆状况信息的监测研究有:汽车轮胎监测、烟火监测、行车记录等。日本的几家大汽车公司如丰田、日产、富士重工等研发了轮胎压力和火灾探测装置。德国奔驰汽车公司和西门子电器公司共同研制了新型智能性早期火灾识别设备。此设备中的微型计算机控制着多个敏感的传感器,能迅速识别出早期火灾的烟味,并立即传输给多功能判断器迅速分析和判断,及时确定早期火灾的火源,并对现场空气中的有害气体进行检测,便于提前采取安全保护措施。随着传感器和微处理器技术的发展,具有无线信号发射功能的低功耗温度传感器和压力传感器以及具有无线信号接收的微处理器如MC68HC908RF2,在汽车轮胎预警系统中得到应用,在欧洲如英国、芬兰等国就开展了此项研究。为了减少轮胎气压过低对安全行驶的影响,英国哈蒙雷塑料研究所研制出一种自动吸气的轮胎。其内部填充一种能自动吸气的泡沫塑料,吸气特性取决于所受压力。轮胎受的压力越大,吸入气体越多,当压力减小时,它又施放出一部分气体,始终保持一定压力。在国内,文献[1]进行了轮胎智能检测系统微控制器处理单元以及无线异步通信程序的研究与设计;文献[2]开发了国内首台无线通信的汽车轮胎预警系统。行车记录仪目前技术已经非常成熟,本文不赘述。

2 交通环境感知系统

实时了解交通环境对于车辆驾驶安全是非常重要的。汽车安全辅助驾驶中的交通环境感知系统就是利用各种传感器如激光、超声波、微波、视觉、GPS等探测交通环境如道路信息、交通标志、周边车辆与障碍物、行人、路面等信息,并实时提供给驾驶员的驾驶安全判断系统。交通环境涉及的因素较多,因此交通环境感知技术是汽车安全辅助驾驶支持系统研究中比较活跃的领域,下面将分类对此进行介绍。

2.1 车道检测

在汽车安全辅助驾驶系统中,车道的检测主要包括,道路标线的检测和道路转弯半径的检测。

1) 道路标线的检测。

道路标线可渠化交通、保障交通安全。因此判断车辆是否正确地按照道路标线的引导行驶,对于驾驶安全具有重要意义。在道路标线检测中典型的驾驶安全辅助系统为车道偏离报警系统,由摄像机、速度传感器、信息处理系统、方向盘调节器、报警系统等组成。车辆一旦有偏离车道的倾向,便会通过指示灯及蜂鸣器向驾驶员报警。当根据驾驶员的转向灯操作断定为有意识地进行车道变更时,便会暂时停止报警。可切断系统开关,但车辆再次起动时系统便会自动开始工作。目前,国外一些汽车公司纷纷开展本领域的研发,已经有实用化产品。车道偏离报警系统多采用单目摄像机探测道路标线图像,为增加系统检测道路标线的可靠性,日本汽车研究所ITS中心探索利用双目CCD摄像机和实时差分GPS系统检测运行车辆偏离道路标线情况。在国内,车道偏离报警系统尚处于研究阶段。为提高不同光线下道路标线的识别精度,文献[3]运用神经网络方法识别道路标线;为提高道路标线识别的实时性,文献[4]研究了基于HSV颜色模型的道路标线检测算法和DSP的实时实现。

2) 弯道的检测。

当车辆行驶遇到弯道时,由于驾驶员对道路情况不熟悉或注意力不集中,或车速太高,经常发生车撞路标(或栏杆)和翻车事故。转弯减速调节系统可检测转弯车辆经由路面的转弯半径及曲率,将信息通知给驾驶员或相应地自动调节车辆减速度。转弯减速调节系统主要有两种:主动式和诱导式。主动式系统是通过车载传感器如摄像机、激光、车速等传感器主动探测前方道路弯道信息,而引导式系统则是通过车载信息接收系统如GPS接收机接收车辆当前位置信息,通过查询道路电子地图获取前方道路弯道信息或通过无线信号接收器直接接收外部道路诱导系统发布的信号。日本的几家汽车公司在此领域进行深入研究,并取得了实用化成果。马自达公司的方案是采用主动式系统。当车辆接近转弯时,系统计算出一个足够安全的车速,以便处理转弯,并根据来自路标信息,估计到弯道开始点的距离。如果车速传感器检测证明车速超过估计的安全速度,系统则发出警报信号,如驾驶员未减速,系统将自动操作制动。本田公司与三菱公司使用引导式系统。本田公司的转弯减速调节系统用地图数据警告驾驶员有弯道时,选择合适速度。如需减速,则发出警告信号,弯道图形显示在风窗玻璃显示器上。三菱公司的转弯减速调节系统利用车载信号接收器接收从路边发射的逼近拐弯和弯道信号,并警告驾驶员减速。如果驾驶员忽视警告,系统将自动地降低车速。在国内,文献[5]利用图像识别技术研究高速公路弯道识别,提出了一种有效的基于区域生长和曲线拟合的弯道识别算法;在自动公路系统研究中,文献[6]等利用磁道钉编码传输弯道信息。

2.2 交通标志的探测

道路交通标志是重要的道路交通安全附属设施,可向驾驶员提供各种引导和约束信息。驾驶员实时地正确地获取交通标志信息,可保障行车更加安全。在汽车安全辅助驾驶系统中,交通标志的探测是通过图像识别系统实现的。戴姆勒·克莱斯勒公司目前正开展新一代图像识别系统研究,该系统在道路标志方法上首先对形状进行判断,然后再读取上述形状中的文字和图形信息,以做出最终判断。在难以对标志进行判断时,驾驶员也可利用事先记录的道路标识相关电子地图数据进行识别。宝马公司在ADAS(advanced driver assistance systems)项目研究中,也利用图像识别技术进行了交通标志的研究,此外日本丰田公司也积极进行交通标志自动识别系统的研发。在国外,许多研究人员在交通标志图像识别算法研究中进行了多方面的探索。交通标志图像识别包括交通标志定位(即确定感兴趣区域)、分类器设计等几个过程。交通标志与背景的颜色以及交通标志的形状在交通工程标准中有明确的规定,因此可根据交通标志颜色和形状进行定位研究。文献[7]设计了标志图像像素颜色分量分类器确定感兴趣区域;文献[8]利用边缘检测算法找到目标的边缘,根据标志的形状特征确定其位置;文献[9]利用模板匹配算法确定交通标志位置;由于交通标志种类多,拍摄交通标志图像环境影响因素多,在交通标志模式分类器设计研究中多为非线性分类器,如文献[10]等利用径向基神经网络结构设计标志模式分类器。在国内,文献[11]根据交通标志的颜色和形状,利用支持向量机的非线性分类能力将其图像区域从实景图像中检测和提取出来,然后利用具有多样性、较强容噪能力的模糊免疫网络来识别;文献[12] 提出了一种改进的彩色图像分割方法,并将该方法与不变矩理论相结合用于检测彩色图像中的交通禁令标志。

2.3 行人检测

车辆驾驶员及时了解道路前方的行人信息,应采取相应措施对保障行人安全具有重要意义。在汽车安全辅助驾驶支持系统中,道路行人检测采用以下2种方式:车载行人检测系统与道路行人检测系统。车载行人检测系统多通过红外摄像机实现,欧洲的ADAS项目采用该方式。道路行人检测系统是通过安放在人行通道路口的传感器,如红外摄像机、超声传感器、压力传感器、雷达检测道路中的行人与车辆,并将道路中行人信息发送到将通过该路段的车辆上,日本的ASV项目采用该方式。目前,行人自动检测系统尚处于研发中,运用图像处理技术自动检测行人(包括行人图像定位、跟踪)研究受到许多研究人员的关注。如文献[13]利用低分辨率的红外摄像机采集行人场景,运用模板匹配的方法对道路中行人进行定位。文献[14]为提高行人检测的可靠性,研究了基于雷达与单色摄像机行人检测信息融合方法。在ARGO智能车中,文献[15]研究了在黑白道路场景图像中基于对称度、比例和形状的行人定位方法。为解决行人图像跟踪,文献[16]构建了行人线性监督学习模型,并结合半Monte Carlo预测方法实现行人跟踪。

2.4 路面状况检测

路面状况检测系统 (road surface condition information system RSCIS)运用各种传感器检测路面信息如冰、雪、路面摩擦系数、坑漕等,并向驾驶员提供报警信息。RSCIS有2种:车载式与固定式。车载式是利用车载传感器如红外、激光、视觉等传感器实时检测路面数据,并显示给驾驶员。美国的IDI公司开发的基于红外传感器的RSCIS就采用该方式,该系统已经装备在奥迪轿车中。固定式是利用路侧设立气象检测传感器、视觉传感器等实时检测路面数据和气象数据,并通过道路信息发布系统如可变情报板、无线信息发布系统等,通知给驾驶员。在日本的SmartWay项目中,路面状况检测系统采用固定式。在RSCIS研究中,文献[17]运用车载的视觉、温度、振动等传感器计算路面的摩擦系数;文献[18]运用TV摄像机采集冬天道路路面图像,并通过图象处理技术获取路面冰雪信息;文献[19]运用光纤温度传感器探测路面温度,并预测冬天路面的路面冰雪信息。

2.5 驾驶员视觉增强

驾驶员的视觉增强是利用各种传感器和先进技术增强驾驶员在雨、雾天、光线不足条件下的视觉效果。为增强在雨、雾天驾驶员视觉效果,日本研制出一种视觉增强系统。可迅速去除档风玻璃上的雨水、雾气。典型的结构有3 种:①采用除水防护薄膜,使水膜不易形成;②采用一种斥水玻璃,使水珠快速结成大水滴流走;③利用超声波技术使吸附在档风玻璃上的水膜雾化消散。烟雾会导致公路的能见度下降,引发交通事故。美国的Galaxy科技公司开发了由红外传感器、显示系统、无线通信系统、GPS等组成的驾驶员视觉增强装置,用于烟雾条件下抢险车辆。为探测雾天的能见度,文献[20]研究了基于车载摄像机的能见度检测方法。在国内,文献[21]针对雾天下拍摄图像的退化现象,提出了一种景物影像清晰化的方法。光线不足会导致驾驶员对车辆运行环境判断不准,为增强此条件下驾驶员视野,许多车辆都采用了夜视系统。夜视系统主要由低照度红外摄像机与显示系统组成,目前夜视系统已经完全市场化。

3 驾驶员信息检测系统

目前在汽车安全辅助驾驶支持系统研究中,驾驶员信息检测主要涉及驾驶疲劳和驾驶行为监控两个领域。

3.1 驾驶疲劳检测

驾驶疲劳反映在生理与心理2个方面,主要的生理反映是:神经系统的功能、血液和眼睛的变化等,研究人员往往用脑电、心率、眼睑眨动、眼球运动、头部的位移加以鉴别。主要的心理反映是:反应时延长、注意分散、动作不协调。从现有研究上看,疲劳的与清醒的驾驶相比,较有特异性的指标是:方向盘的微调,头部前倾,眼睑的眨动、甚至闭合。由于疲劳驾驶是重大交通事故主要原因,国内外研究机构纷纷开展该领域的研究。在欧洲的e-Safety项目中开发了AWAKE驾驶诊断系统。该系统利用视觉传感器和方向盘操纵力传感器实时获取驾驶员信息,并利用人工智能算法判断驾驶员的状态(清醒、可能打瞌睡、打瞌睡)。当驾驶员处于疲劳状态时,通过声音、光线、振动等刺激驾驶员,使其恢复清醒状态。文献[22]通过自行开发的专用照相机、脑电图仪和其他仪器来精确测量头部运动、瞳孔直径变化和眨眼频率,用以研究驾驶疲劳问题。研究结果表明,一般情况下人们眼睛闭合的时间在0.12~0.13 s之间, 驾驶时若眼睛闭合时间达到0.15 s 就很容易发生交通事故。在国内,也有多家研究单位开展驾驶疲劳的研究,文献[23]利用机器视觉的方法对驾驶员的眼睛特征进行实时跟踪从而判断驾驶员的精神状态;文献[24]从心理和生理的角度入手分析了驾驶疲劳的特征;文献[25] 用脑电仪记录驾驶员的脑电情况,得到了驾驶员在正常状态和疲劳状态下驾驶时的脑电数据和波形, 用驾驶员驾驶时的脑电特征量来评价其疲劳程度。

3.2 驾驶行为检测

驾驶行为即驾车过程中驾驶员操纵车辆的动作如控制油门、换档、制动、踩离合、转向等动作,是影响车辆行驶安全性因素。驾驶行为可以反映驾驶操作的合理性并在一定程度上反映驾驶员的精神状态。某些研究机构利用车辆速度的变化描述驾驶行为,并探讨了基于驾驶行为的交通事故预测问题。法国从2000 年开始已联手研制基于驾驶行为的驾驶员注意力下降监测系统,通过声音或光信号提醒驾驶员。该系统采用的传感器有:视频传感器(不间断的测量并分析汽车与旁侧车道白线间的距离)、方向盘传感器(监控方向盘的活动情况)、刹车传感器(监控脚踏板上的压力状况)等。为减少驾驶行为导致道路交通事故,美国成立了驾驶行为研究国家研究所(the national institute for driver behavior,NIDB)从事车辆驾驶行为标准制定等研究,并研究了车辆安全驾驶行为管理问题,指出实施车载驾驶行为监控系统,除了需要解决技术上的问题,还需要解决驾驶员认可实施问题,因此需要制定相关的标准和条例;文献[26]之研究了驾驶行为对车辆主动安全性影响,提出了评价具有危险性的驾驶行为的方法。在国内,该领域研究尚处于探索阶段,文献[27]通过传感器测量驾驶员驾驶时方向盘、踏板等的运动参数来判别驾驶员的安全因素。

4 结束语

随着人们对道路交通安全性要求的提高,汽车安全辅助驾驶支持系统的开发已经得到广泛关注,一些汽车安全辅助驾驶支持系统已经市场化。但是,汽车安全驾驶是一个人车路相互藕合的复杂过程,目前许多汽车安全辅助驾驶支持系统信息感知技术有待于深入研究。通过对国内外汽车安全辅助驾驶支持系统信息感知技术现状综述,展望未来发展方向。

1)车辆状况监测系统。

车辆运行状况环境复杂、恶劣,因此抗干扰强、功耗低、具有无线传输的车辆状态监控传感器有待进一步开发。

2)交通环境检测系统。

①尽管有些基于车道检测和车辆周边信息检测的汽车安全辅助驾驶支持系统技术已经实用化,但如何采用多传感器信息融合、人工智能等提高车道、车辆周边信息感知的准确性与鲁棒性仍需探索;②交通标志与行人检测汽车安全辅助驾驶支持系统目前尚处于研发中,交通标志与行人动态图像识别算法需完善;③车辆安全驾驶辅助支持系统与道路、交通系统息息相关,3者之间的协同机制有待探讨。

3)驶员信息检测系统。

①驾驶疲劳有多种表现形态,有必要利用信息融合技术提高驾驶疲劳的准确性;②驾驶行为是影响车辆行驶安全最直接因素,有必要对不同交通环境下的安全驾驶行为进行界定。