趙培祥，江 俊，曾 毅，金 華

（中國人民公安大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院，北京 100038）

實物保護(hù)系統(tǒng)（Physical Protection System，簡稱PPS）最早應(yīng)用在核安保領(lǐng)域。PPS 是指利用實體屏障、探測延遲技術(shù)及人員的響應(yīng)能力阻止盜竊、搶劫或非法轉(zhuǎn)移核材料以及破壞核設(shè)施行為的安全防御系統(tǒng)。實物保護(hù)系統(tǒng)是每個核電站保護(hù)核材料和核設(shè)施免受盜竊、搶劫、非法運輸和破壞的關(guān)鍵。

建立實物保護(hù)系統(tǒng)以后，需要分析設(shè)施的整體風(fēng)險，對實際防護(hù)效果進(jìn)行評估。實物保護(hù)系統(tǒng)有效性分析是指目標(biāo)在受到威脅的情況下，綜合考慮影響防護(hù)系統(tǒng)防護(hù)效果的各類因素，判斷實物保護(hù)系統(tǒng)所能提供的防護(hù)效果，尋找系統(tǒng)薄弱點。開展核設(shè)施實物保護(hù)系統(tǒng)有效性分析研究可為實物保護(hù)系統(tǒng)的可靠性和穩(wěn)定性提供理論依據(jù)和數(shù)據(jù)支撐，有助于找出系統(tǒng)薄弱點并進(jìn)行升級改進(jìn)[1]。因此，判斷現(xiàn)有系統(tǒng)能否提供有效的防護(hù)效果，采用什么樣的方法建立一套完善的評估體系，對實物保護(hù)系統(tǒng)進(jìn)行切實有效的分析成為目前亟待解決的問題。

實物保護(hù)系統(tǒng)有效性評價方法可分為定性評估和定量評估兩種。其中定性評估方法常用于早期評估，定性評估主要通過歸納演繹、結(jié)合專家團(tuán)隊的綜合分析來做出評價，例如，場景分析、桌面戰(zhàn)術(shù)分析等。定性評估方法簡單易行，但主觀性較強(qiáng)，評估結(jié)果很大程度上依賴于專家的知識和經(jīng)驗，對不同的評價指標(biāo)也會產(chǎn)生不同的評價結(jié)果，無法得到系統(tǒng)有效的、可靠的和高效率的數(shù)據(jù)[2]。由于核電站不允許進(jìn)行實際的破壞實驗，因此，若要進(jìn)行定量評估，研究人員可以通過建立核電站實物保護(hù)系統(tǒng)的數(shù)學(xué)模型，借助數(shù)學(xué)模型對實物保護(hù)系統(tǒng)主要功能的參數(shù)進(jìn)行量化計算及分析，找到防護(hù)系統(tǒng)的脆弱所在。根據(jù)類型不同以及各地區(qū)的實際情況，各評估模型也有所不同，且隨著技術(shù)的進(jìn)步，評估模型需要反復(fù)建模，不斷更新。

20 世紀(jì)70 年代，美國桑迪亞國家實驗室最先提出了關(guān)于實物保護(hù)系統(tǒng)的有效性分析方法，并先后設(shè)計了敵手序列中斷評估模型（Esti?mation of Adversary Sequence Interruption，簡稱EASI）、入侵脆弱路徑分析方法（Systematic Analysis of Vulnerability to Intrusion，簡 稱SA?VI）、保障和安全分析系統(tǒng)及軟件（Analytic Sys?tem and Software for Evaluating Safeguards and Se?curity，簡稱ASSESS）、內(nèi)部安全有效性模型（Internal Security Effectiveness Model，簡 稱IS?EM）等經(jīng)典評估模型。韓國、俄羅斯等國也相繼在此基礎(chǔ)上進(jìn)行研究，取得了一定的進(jìn)展和突破，結(jié)合實驗數(shù)據(jù)庫對實物保護(hù)系統(tǒng)模型進(jìn)行分析評判，逐步建立起一套較為完善的量化評估模型和評估軟件。

我國于20世紀(jì)90年代末引進(jìn)了實物保護(hù)系統(tǒng)理論并應(yīng)用于軍工領(lǐng)域，該理論在民用核設(shè)施中的應(yīng)用還處在探索階段。評估模型同樣是以SAVI模型為基礎(chǔ)，結(jié)合EASI模型進(jìn)行單路徑有效性分析。目前，國內(nèi)在實物保護(hù)系統(tǒng)有效性評估方面已取得了一定的研究進(jìn)展，但由于起步較晚，缺乏數(shù)據(jù)庫的支撐，還未形成一套適合我國國情的，具有高可靠性和實用性的有效性評估體系。

本文對目前常用的定量評估模型進(jìn)行了總結(jié)分析，對各模型的優(yōu)缺點進(jìn)行了客觀分析和評價，為今后模型的調(diào)整提出了改進(jìn)建議。

1 實物保護(hù)系統(tǒng)有效性評估模型

1.1 實物保護(hù)系統(tǒng)的構(gòu)成

實物保護(hù)系統(tǒng)的功能（如圖1 所示），由探測、延遲和響應(yīng)3個方面構(gòu)成，對實物保護(hù)系統(tǒng)有效性進(jìn)行評估時，評估人員需充分了解這些功能的定義和相應(yīng)的有效性指標(biāo)。

圖1 實物保護(hù)系統(tǒng)的功能及衡量指標(biāo)Fig.1 Basic functions and metrics of PPS

探測功能借助各類探測器、巡邏人員等及時發(fā)現(xiàn)入侵行為，啟動警報并對報警信息進(jìn)行復(fù)核。探測器的探測概率、誤報率是影響探測功能效果的主要指標(biāo)。

延遲作為PPS的第二個功能，其主要作用是延緩敵手的入侵進(jìn)程，為響應(yīng)爭取足夠的時間。需要注意的是，探測到目標(biāo)之前的所有延遲僅提供威懾效果，其有效性的衡量是在敵手被探測到后突破每個延遲部件需要的時間。

響應(yīng)過程包括中斷和制止，中斷指響應(yīng)力量到達(dá)目標(biāo)位置并使敵手被迫停止，制止是響應(yīng)力量和敵手對抗達(dá)到的結(jié)果，需要考慮雙方的戰(zhàn)斗力。能否在盡量短的時間內(nèi)有效制止敵手入侵是判斷響應(yīng)力量有效性的主要指標(biāo)。

目前，國內(nèi)常用的評估模型大多基于敵方序列中斷方法（EASI）和入侵薄弱路徑系統(tǒng)性分析方法（SAVI）兩種，一些新的評估模型也不斷被提出，例如，基于蟻群算法的啟發(fā)式有效性評估模型、針對內(nèi)外勾結(jié)作案的有效性評估模型。

1.2 基于EASI方法的有效性評估

EASI 方法由美國桑迪亞國家實驗室于20 世紀(jì)70 年代提出，是實物保護(hù)系統(tǒng)有效性評估的里程碑。EASI 方法基于一維模型的路徑分析方法。EASI 模型通過對單一路徑上的探測、延遲、響應(yīng)和通信特性進(jìn)行分析計算，最終得出攔截概率值PI。入侵路徑分段圖如圖2所示。

圖2 入侵路徑分段圖Fig.2 Segmentation of the intrusion path

圖2中，ti、Pi分別為過程i的平均延遲時間和探測概率。

從外部區(qū)域到控制區(qū)內(nèi)核心目標(biāo)的路徑有許多條，在評價過程中，通常選擇一條入侵者被攔截可能性最小的路徑進(jìn)行評估，并將其評估值作為整個系統(tǒng)的有效性評價值。EASI 模型將入侵路徑分為若干個子過程，分別對應(yīng)不同的延遲時間和探測概率。敵手從外界開始入侵，依次突破每一道防線，某一點的報警概率PA可借助公式PA=PD·PC求得。其中，PD為探測概率；PC為通信概率。某一點的攔截概率PI可表示為PI= P（R｜A）·PA，P（R｜A）表示響應(yīng)力量接到報警信號后，早于入侵者到達(dá)部署地點的概率[3]。因此，從入侵起點到終點的累計探測概率可表示為路徑上所有探測點攔截概率之和：

單路徑分析方法的優(yōu)勢在于能夠簡單易行地對指定威脅下的單條路徑進(jìn)行有效性計算，模型的評估效果取決于路徑上各要素的取值，模型考慮越全面，計算結(jié)果越能反映真實情況。

模型的缺點也非常明顯。模型自身無法判斷最脆弱路徑，主要依靠專家的討論意見，一旦脆弱路徑的選取不當(dāng)，會導(dǎo)致最終的有效性評價值偏高。對于復(fù)雜設(shè)施，通往核心目標(biāo)的路徑往往有很多條，若要對所有路徑都進(jìn)行評估，需要耗費很大的精力。

盡管EASI模型在識別最易受攻擊的入侵路徑和考慮誤警報問題方面存在限制，但迄今為止，它仍是評估實物保護(hù)系統(tǒng)有效性的通用方法。

1.3 基于SAVI方法的有效性評估

SAVI 與EASI 方法類似，同樣基于一維模型。與EASI 模型不同的是，它使用敵對序列圖（Adversary Sequence Diagram，ASD）分析所有枚舉路徑和識別最脆弱的攻擊路徑。一個設(shè)施基本的ASD如圖3所示。

圖3 敵對序列圖Fig.3 Adversary sequence diagram

圖3是一種防護(hù)系統(tǒng)組件的圖示，它展示了入侵者可以完成破壞或偷盜目的的路徑，SAVI模型對ASD 進(jìn)行建模，將一個設(shè)施分成相鄰的區(qū)域，如控制區(qū)、核心區(qū)等，用矩形代表各個區(qū)域的面積，每個區(qū)域又包括不同的防護(hù)組件，如門窗、應(yīng)急出入口、圍欄等。

SAVI 模型包含兩大模塊：一個是防護(hù)設(shè)施及其組件；另一個是外部入侵者。分析人員可以輸入設(shè)計基準(zhǔn)威脅、入侵者的入侵策略和武器裝備以及各個組件的探測概率、平均延遲時間、各防護(hù)層間的最短路徑信息、每個組件的位置信息等，運行程序即可輸出總路徑數(shù)、最脆弱路徑、該脆弱路徑的攔截概率和臨界探測點等信息[4,5]。

SAVI 模型在進(jìn)行量化計算攔截概率PI時，有兩種不同的方法：第一種是直接將得到的脆弱路徑輸入EASI 模型中進(jìn)行計算，得到所評估設(shè)施的實物保護(hù)系統(tǒng)有效性的量化值；第二種是基于臨界探測點的思想（如圖4 所示），該方法將響應(yīng)力量的平均響應(yīng)時間TR設(shè)為定值，并將響應(yīng)時間與路徑剩余延遲時間TG相等的點作為臨界點，而在此臨界點之前的第一個探測點被稱作臨界探測點（CDP）。

圖4 基于臨界探測點的入侵路徑示意圖Fig.4 CDP-based intrusion path

臨界探測點的意義在于，只有在入侵者抵達(dá)該點之前探測到入侵，響應(yīng)力量才會有足夠的時間攔截入侵者。一旦入侵者在未被探測的情況下突破了臨界探測點，即使再被探測器探測到，入侵者依舊有足夠的時間完成破壞或盜竊行為[6]?；谂R界點的方法相對之前對攔截概率PI的計算，無須求解P（R｜A）的值，可直接將臨界探測點之前所有探測器的累計報警概率作為攔截概率PI。

式中，P(Ai)——第i個探測器的探測概率；

k——臨界探測點之前的探測器總數(shù)。

在以下兩種特殊情況下，路徑上將沒有臨界探測點：

（1）總的路徑延遲時間小于響應(yīng)時間TR；

（2）雖然總的延遲時間大于響應(yīng)時間TR，但在TR之前的路徑上沒有探測點。

在這兩種情況下，PI值為零，實物保護(hù)系統(tǒng)無法抵御外界入侵，需要完善延遲設(shè)施以增加路徑總延遲或提高響應(yīng)力量水平，縮短響應(yīng)時間。

相較于EASI模型，基于SAVI方法的模型優(yōu)勢在于可以借助計算機(jī)軟件快速遍歷所有可能路徑并找到最脆弱的一條，避免了主觀因素對選擇結(jié)果的影響。SAVI 模型在進(jìn)行路徑選擇時可結(jié)合PPS 的變化特征，如設(shè)計基礎(chǔ)處理水平、對抗策略、建筑物的運行條件和保護(hù)元件的詳細(xì)特征等。SAVI 方法還可以處理報警評估的概率，并將累積檢測概率應(yīng)用于所謂的臨界檢測點，直接用臨界探測點之前的累計探測概率表示攔截概率PI。

進(jìn)行脆弱路徑分析的過程中，SAVI 模型不僅可以得出敵手接近核心資產(chǎn)的脆弱路徑，而且可以找到敵手入侵成功后逃離的脆弱路徑。該模型可有助于分析以盜竊為主要目標(biāo)的入侵者的逃離路徑，針對不同的入侵行為分別開展有效性評估。管理者也可以根據(jù)需求制訂不同的應(yīng)急策略和防護(hù)設(shè)施的升級方案。

SAVI 模型的主要不足之一是它使用保護(hù)層之間的最小距離，由于保守估計，可能導(dǎo)致所得評估結(jié)果太過薄弱，以致業(yè)主需要花費高額費用用于防護(hù)系統(tǒng)的升級。

1.4 基于蟻群算法的啟發(fā)式有效性評估（HAPPS）

2017 年，鄒博文等人提出了一種基于蟻群算法（ACO）和EASI 模型相結(jié)合的啟發(fā)式實物保護(hù)系統(tǒng)脆弱路徑分析方法，該方法是一種基于螞蟻覓食行為的仿生方法。其模型能夠自動識別計算機(jī)二維工程圖中的信息，并使用HAPPS 作為搜索算法，在一定條件下尋找最脆弱的入侵和逃跑路徑。

蟻群算法的本質(zhì)是一種時間最短的路徑尋找算法，借助轉(zhuǎn)移概率公式計算螞蟻從自身所在位置移動到下一個位置的概率值，通過比較所有可能移動位置的轉(zhuǎn)移概率進(jìn)行路徑選擇，最終到達(dá)目標(biāo)點后原路返回。轉(zhuǎn)移概率公式為：

τij( t )——t時刻從i到j(luò)的信息素濃度；

ηij( t )——t時刻的啟發(fā)函數(shù)；

α、β——信息素因子和啟發(fā)函數(shù)因子，信息素濃度隨著螞蟻經(jīng)過不斷積累，并以一定的揮發(fā)系數(shù)揮發(fā)，啟發(fā)函數(shù)表示兩點之間路徑長短對路徑選擇的影響[7,8]。

在蟻群算法的基礎(chǔ)上，HAPPS 結(jié)合EASI 模型，將攔截概率值PI引入，并將不被攔截的概率（1-Pi）作為另一個啟發(fā)函數(shù)對原式進(jìn)行修正，得到修正后的轉(zhuǎn)移概率公式為：

此時，可以通過調(diào)整各個啟發(fā)函數(shù)因子，綜合考慮信息素濃度、路徑長短、攔截概率三者對路徑選擇的影響，經(jīng)過數(shù)次迭代，最終得出脆弱路徑。

HAPPS 相較之前評估模型的優(yōu)勢在于，首先模型可以動態(tài)調(diào)整入侵路徑上不同階段各因子的影響程度，例如，在入侵的前期選擇最小探測為主導(dǎo)，而在入侵后期選擇距離因素作為主導(dǎo)因素從而更快地到達(dá)目標(biāo)位置。其次，模型將二維地圖劃分為無數(shù)網(wǎng)格，每個網(wǎng)格都有自身的屬性值，包括信息素濃度、影響因子值、探測概率等，此時，可以利用不同網(wǎng)格的探測概率值的大小表示某一探測器探測概率隨著探測范圍的不同而發(fā)生的變化，進(jìn)行路徑選擇時，可以避開探測概率最高的位置而選擇邊緣位置轉(zhuǎn)移。利用蟻群算法的并行性、自組織性和正反饋特性，基于二維地圖的模型能夠進(jìn)行更有效的路徑識別。此外，利用蟻群算法，通過一次計算機(jī)運行，可以得到入侵和逃逸的全局最優(yōu)路徑，提高了實物保護(hù)系統(tǒng)有效性的評估效率。

HAPPS 模型的不足之處在于，首先，必須提前指定入侵起點和終點，最終得到的脆弱路徑僅是基于該單一起始點的結(jié)果，因此，若要對整個設(shè)施進(jìn)行有效性評估，需要結(jié)合專家討論意見，給出更多的可能入侵起點，并對得出的所有脆弱路徑運用EASI 模型進(jìn)行有效性計算和比較分析。其次，轉(zhuǎn)移概率公式中各參數(shù)初始值的設(shè)置決定著運行結(jié)果的優(yōu)劣，參數(shù)的設(shè)置同樣受到主觀因素影響，一旦參數(shù)選取不合適，容易導(dǎo)致陷入局部最優(yōu)解，無法找到最脆弱的入侵路徑。最后，對于逃跑路徑的選取，需要考慮在入侵時一些延遲裝置已經(jīng)被破壞并基本失去延遲作用的情況，因此，在同等條件下選擇這些位置轉(zhuǎn)移將會更快離開，而模型在計算逃跑路徑時并未將其考慮在內(nèi)。

1.5 其他有效性評估模型

除了以上列舉的3種評估方法，各國基于不同的分析方法和評估目標(biāo)也陸續(xù)提出了許多新的評估模型（見表1）。

表1 實物保護(hù)系統(tǒng)有效性評估模型Table 1 Effectiveness evaluation model of physical protection system

諸多模型的提出極大地豐富了實物保護(hù)系統(tǒng)有效性評估理論，他們不僅能夠?qū)χ付ㄍ{的單一路徑進(jìn)行有效性評估，而且能夠考慮不同的入侵手段、入侵方式，能夠進(jìn)行二維模型分析。在可能發(fā)生武裝襲擊設(shè)施時，可以加入基于蘭切斯特作戰(zhàn)毀傷理論建立的制止概率公式，并以攔截概率和制止概率的乘積作為整個實物保護(hù)系統(tǒng)有效性評估值。針對入侵類型的不同，可以分別計算外部人員入侵、內(nèi)部人員入侵、內(nèi)外協(xié)同入侵等的系統(tǒng)有效性，這對管理部門制訂更加有效的應(yīng)急響應(yīng)策略有著重要的意義。

SAPE 模型也為尋找脆弱路徑提出了一種新的思路，通過運用啟發(fā)式路徑尋找算法，將影響路徑選擇的各種因素作為影響因子代入算法公式，使得路徑選擇不再是機(jī)械地追求路徑最短或者探測概率最小，而是更為智能地模擬人的選擇，在入侵的不同階段采取不同的路徑選取策略。

2 改進(jìn)實物保護(hù)系統(tǒng)有效性分析方法的建議

如今基于探測率和響應(yīng)時間兩個因素發(fā)展起來的實物保護(hù)系統(tǒng)有效性評估理論已經(jīng)逐漸完善。但隨著計算機(jī)與信息技術(shù)的發(fā)展與革新，對評估模型也有了更高的要求，對評估模型的改進(jìn)建議主要包括以下幾個方面：

（1）智能化的監(jiān)控設(shè)備能夠幫助監(jiān)管人員對入侵路徑進(jìn)行預(yù)測，整個監(jiān)控系統(tǒng)聯(lián)動，實時追蹤入侵者的位置，并將位置實時更新并傳輸至控制室及響應(yīng)力量，使響應(yīng)力量不再是單純地前往核心目標(biāo)進(jìn)行保護(hù)，而是可以根據(jù)實際情況進(jìn)行更具有主動性的追擊或攔截。本文建議在模型中對入侵者的行動進(jìn)行建模，考慮不同的行動策略、武器裝備等對響應(yīng)時間和入侵時間的影響。

（2）基于可靠性理論，若要更加精確地計算報警概率，還需考慮實體防護(hù)設(shè)備在設(shè)施遭受入侵時正常運轉(zhuǎn)的可能性，可用率K可表示為：

式中，Tf——各探測設(shè)備的平均故障間隔時間；Tm——設(shè)備故障后的平均修復(fù)時間。

K值的大小取決于設(shè)備自身。如今，內(nèi)外協(xié)同作案的可能性越來越高，為防止內(nèi)部人員將相關(guān)傳感器損壞的位置信息傳送給外部入侵人員以幫助其避開探測，在優(yōu)化評估模型時可將設(shè)備可用率K考慮在內(nèi)。

（3）基于臨界探測點的思想，在對實物保護(hù)系統(tǒng)進(jìn)行有效性分析時，本文建議通過分析所有可能路徑，得到所有臨界探測點，按照一定規(guī)則連接各臨界探測點并得到二維的臨界探測區(qū)域（如圖5所示）。

圖5 二維臨界探測區(qū)域的設(shè)施位置圖Fig.5 Location map of the two-dimensional critical detection area in the facility

圖5中，黃色區(qū)域為假想臨界探測區(qū)域，這意味著一旦入侵者在觸發(fā)報警前進(jìn)入該區(qū)域，響應(yīng)力量將無法對其進(jìn)行攔截，這個區(qū)域也就變成了整個設(shè)施的重點防護(hù)區(qū)域。鑒于此，可將臨界區(qū)域整體看作要防護(hù)的核心資產(chǎn)，并通過分析臨界區(qū)域設(shè)施的位置分布、入侵者從外圍各個位置入侵抵達(dá)臨界區(qū)域的被探測概率、難易程度和可能性等，進(jìn)一步對整個設(shè)施的安全性進(jìn)行評估，尋找防護(hù)系統(tǒng)的脆弱性所在。

（4）在考慮內(nèi)外協(xié)同入侵，計算內(nèi)部人員被探測概率時，應(yīng)考慮內(nèi)部人員到達(dá)相應(yīng)位置取得核心資產(chǎn)后，可能選擇從疏散通道離開的情況。

3 結(jié)論

本文主要介紹了實物保護(hù)系統(tǒng)有效性定量評估方法及目前常見的幾種評估模型，闡述了各模型的基本原理及其優(yōu)缺點，同時給出了一些在模型建設(shè)過程中的優(yōu)化建議，希望能夠為今后評估模型的開發(fā)提供借鑒和參考。