摘? ?要： 為智能生產(chǎn)車間提出一種基于多屬性決策的工業(yè)控制系統(tǒng)安全風險評估方法。根據(jù)智能工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，分析和明確安全風險點，構(gòu)建工業(yè)控制系統(tǒng)安全風險評估模型;將資產(chǎn)劃分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員、工控系統(tǒng)結(jié)構(gòu)特征和復(fù)雜度、管理特征重要性和影響性七類指標屬性，判斷各屬性的重要性，得到資產(chǎn)安全關(guān)聯(lián)拓撲圖，計算各資產(chǎn)的危害程度。形成了工業(yè)控制系統(tǒng)安全風險評估基本流程，使得安全風險得以量化，為工業(yè)控制系統(tǒng)的安全部署提供了基本遵循。

關(guān)鍵詞： 智能工廠;多屬性決策;安全風險評估;工業(yè)控制系統(tǒng);資產(chǎn);安全部署

中圖分類號：TP277? ? 文獻標識碼：A? ? 文章編號：2095-8412 （2020） 01-006-06

工業(yè)技術(shù)創(chuàng)新 URL： http： //www.china-iti.com? ? DOI： 10.14103/j.issn.2095-8412.2020.01.002

引言

目前工業(yè)控制（以下簡稱“工控”）系統(tǒng)的安全風險評估體系仍存在許多問題和不足。大多數(shù)工控系統(tǒng)安全風險評估使用手工方式進行，主要依據(jù)操作人員的經(jīng)驗，無法實現(xiàn)定量描述[1-2]。除人工方式之外，目前比較常見的是故障樹分析方法，如Ralston等[3]研究了基于故障樹分析方法的SCADA系統(tǒng)安全風險評估，能夠顯示出整個攻擊過程，但是由于實際生產(chǎn)過程中的故障比較復(fù)雜，該方法容易導致誤報，因此實際情況下安全風險大都需要由專家經(jīng)驗或統(tǒng)計試驗確定。

工控系統(tǒng)安全狀態(tài)由大量評估指標決定，同時系統(tǒng)監(jiān)測數(shù)據(jù)中存在誤報和漏報的情況。因此，為了使系統(tǒng)能夠及時反映和處理出現(xiàn)的安全問題，可以通過多方專家對客觀事物內(nèi)部關(guān)系復(fù)雜性的考慮和信息源的融合，使得安全風險評估更高效、可靠和及時[4-5]。本文從智能工廠的工控系統(tǒng)安全入手，以系統(tǒng)特征和設(shè)備安全需求為出發(fā)點，利用多屬性決策方法計算各個設(shè)備的安全值，通過實際數(shù)據(jù)得到設(shè)備的屬性概率分配，根據(jù)多個決策參與者賦予的客觀權(quán)值，判斷工控系統(tǒng)的脆弱性，實現(xiàn)工控系統(tǒng)的安全風險評估。

1? 智能工廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

如圖1所示，在智能工廠中，現(xiàn)場控制層、集中控制層中的設(shè)備一般有工業(yè)路由器、傳感器、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（Supervisory Control and Data Acquisition，簡稱SCADA）、工控機、傳感器、可編程邏輯控制器（Programmable Logic Controller，簡稱PLC）、無線設(shè)備等，制造執(zhí)行層和企業(yè)信息層中的系統(tǒng)包括制造執(zhí)行系統(tǒng)（Manufacturing Execution System，簡稱MES）、統(tǒng)計過程控制（Statistical Process Control，簡稱SPC）系統(tǒng)和辦公自動化（Office Automation，簡稱OA）系統(tǒng)等[6]，這些設(shè)備和系統(tǒng)互聯(lián)互通地形成了一個工控系統(tǒng)網(wǎng)絡(luò)。在工控系統(tǒng)網(wǎng)絡(luò)中，傳統(tǒng)的計算機存在的病毒、木馬、入侵攻擊等安全威脅都可以向工控系統(tǒng)擴散，其中的每一個設(shè)備或人機接口都有可能成為網(wǎng)絡(luò)攻擊點[7]。

為了了解工控系統(tǒng)整體的安全狀況，需要在有限的資源下配置安全防護資源，建立工控系統(tǒng)安全風險評估模型。

2? 工業(yè)控制系統(tǒng)安全風險評估模型

工控系統(tǒng)安全風險評估主要圍繞生產(chǎn)業(yè)務(wù)控制系統(tǒng)及設(shè)備、脆弱性、威脅、風險等基本要素進行，因此需要在評估過程中充分考慮工控系統(tǒng)每一項流程的復(fù)雜性、重要性、可用性、安全危害程度等與基本要素相關(guān)的屬性[8-9]。通過量化識別風險，采取合理、適度的風險處置措施，將風險降低到可以接受的水平[10]。在具體評估時，主要考慮對工控系統(tǒng)設(shè)備、數(shù)據(jù)和人員等系統(tǒng)構(gòu)成元素進行分類和標記，從而明確資產(chǎn)的用途、使命和作用?？梢詫⒏鱾€資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員、工控系統(tǒng)工藝特征和復(fù)雜度、工藝特征重要性和影響性七類指標屬性，對工控系統(tǒng)的信息資產(chǎn)進行識別，將工控系統(tǒng)的風險量化。屬性權(quán)重是屬性重要性的判斷依據(jù)，專家對不同資產(chǎn)賦予不同的屬性權(quán)重數(shù)值，是專家對方案偏好性的體現(xiàn)[11]。

2.1? 各屬性重要性判斷與賦值

屬性權(quán)重合理與否，直接關(guān)系到?jīng)Q策結(jié)果的正確性和可信程度。

計算屬性權(quán)重時，首先需要由若干位行業(yè)內(nèi)領(lǐng)域的專家對智能工廠評價指標體系中同一層次的各個指標進行兩兩比較，建立比較判斷矩陣，以表示同一層次各個指標的相對重要性。然后，將比較判斷矩陣各行進行幾何平均、歸一化，得到的行向量就是權(quán)重向量。具體的計算步驟為：

（1）判別矩陣每一行元素的乘積

（1）

（2）計算的N次方根

（2）

（3）對向量進行歸一化計算

（3）

結(jié)合工業(yè)生產(chǎn)現(xiàn)場實際情況，進行如下定義：C1—數(shù)據(jù);C2—軟件;C3—硬件;C4—服務(wù);C5—人員;C6—工控系統(tǒng)結(jié)構(gòu)特征和復(fù)雜度;C7—管理特征重要性和影響性。通過選取實際現(xiàn)場中的場景，結(jié)合設(shè)備的情況，通過專家賦值進行計算，根據(jù)式（1）～（3）得出的屬性權(quán)重結(jié)果如表1所示。

2.2? 綜合群體信息安全資產(chǎn)評估

通過主觀賦權(quán)法得到評價指標屬性值和專家賦予的權(quán)重，用線性加權(quán)法將個體決策集結(jié)成一次群決策結(jié)果。

首先分別對每一個決策者計算決策矩陣，得到個體決策結(jié)果，各決策者的個體決策結(jié)果為一個方案綜合值的排序向量。然后，再將個體決策結(jié)果集成，得到最終的群體結(jié)果。

對每個參與人員進行決策分析，且設(shè)經(jīng)過個體決策后，第k個決策者的個體決策結(jié)果為向量，那么綜合所有l(wèi)個決策者的個體決策，寫成矩陣的形式為：

（4）

其中，，F(xiàn)為多屬性個體決策函數(shù)，為專家權(quán)重，表示專家l對于方案按照屬性j決策，采用簡單的加權(quán)法進行計算，則：

（5）

如果僅僅是個體決策，采用此方法就得到了各個設(shè)備的安全風險評估結(jié)果;對于多個專家的決策，需要綜合各成員的個體決策向量，集成為群體決策向量。由于不同專家的度量標準不同，對事物認識的深度和把握程度也不同，因此實際決策時需要通過規(guī)范化公式進行規(guī)范化處理。把評價指標的指標值都統(tǒng)一轉(zhuǎn)換到區(qū)間上，即將決策指標規(guī)范化以后，對每個屬性而言，最差的屬性指標值為0，最好的屬性指標值為1。

對矩陣各行進行歸一化處理，歸一化公式為：

（6）

結(jié)合已知的決策者權(quán)重向量，可以采用簡單加權(quán)法將個體決策結(jié)果集成為群體決策結(jié)果：

（7）

其中，

（8）

所有得分加權(quán)平均后得出資產(chǎn)屬性評分，通過集成群決策技術(shù)判斷得到?jīng)Q策危害性大的設(shè)備和工藝結(jié)果。

在進行安全風險評估時，依靠專家和工控系統(tǒng)設(shè)備、威脅和脆弱性等客觀屬性，結(jié)合安全事件發(fā)生的可能性與造成的損失進行計算，得到各個資產(chǎn)的風險值。

2.3? 資產(chǎn)安全關(guān)聯(lián)拓撲圖

通過綜合群體信息計算得出資產(chǎn)面臨的風險后，根據(jù)先驗知識和資產(chǎn)面臨的危害程度定義安全關(guān)聯(lián)拓撲圖，構(gòu)建攻擊場景，如圖2所示。構(gòu)建的資產(chǎn)危害關(guān)聯(lián)拓撲結(jié)構(gòu)圖能夠準確反映當前網(wǎng)絡(luò)面臨的安全威脅，能夠進一步為網(wǎng)絡(luò)安全威脅態(tài)勢感知工作提供指導。

以圖2為例，對資產(chǎn)1的危害傳播路徑有很多種：1）通過資產(chǎn)1本身的脆弱性;2）3→1;3）4→2→1;4）3→4→2→1;5）5→3→1;6）6→1。

結(jié)合專家的客觀賦權(quán)，首先依據(jù)表1計算得到各個資產(chǎn)的權(quán)重，然后結(jié)合多個專家決策結(jié)果，依據(jù)式（8）計算，得到圖2中各個資產(chǎn)是最終結(jié)果，如表2所示。

然后，為了在有限的資源下配置安全防護資源，為工控系統(tǒng)部署安全防護策略。需要計算所有攻擊路徑中，攻破資產(chǎn)1的概率最大的路徑，其危害性也最為嚴重。通過計算各個資產(chǎn)的危害度，結(jié)合已知的危害傳播路徑，利用相乘法，得到攻破資產(chǎn)5后再攻破資產(chǎn)3的概率值大于直接攻破資產(chǎn)3的概率值，即P（Asset5）×P（Asset3）>P（Asset3）。

通過計算每個資產(chǎn)的危害程度，最終確認5→3→1這條路徑攻破資產(chǎn)1的可能性最大，因此可以重點在此條攻擊路徑中進行安全部署，為企業(yè)用戶的工控系統(tǒng)的安全部署提供參考建議。

3? 工業(yè)控制系統(tǒng)安全風險評估基本流程

工控系統(tǒng)安全風險評估的主要步驟包括對評估對象進行資產(chǎn)識別、威脅賦值以及對生產(chǎn)工藝進行識別、賦值，根據(jù)各項資產(chǎn)在生產(chǎn)過程中的重要性，把工控系統(tǒng)安全風險量化。然后，識別當前的系統(tǒng)安全措施，并結(jié)合上述已經(jīng)識別的系統(tǒng)特征，對當前的系統(tǒng)安全措施進行有效性驗證，并對系統(tǒng)安全風險進行計算。如果評估得到的風險無法接受，則需要增加安全措施，重新進行評估，直到系統(tǒng)安全風險可以被接受為止。工控系統(tǒng)安全評估基本流程如圖3所示。

基于評價指標模型，完成智能工廠安全核心能力的引導和構(gòu)建，為智能工廠企業(yè)在安全軟件選擇、管理與配置、補丁管理、邊界安全防護、身份認證、資產(chǎn)安全、數(shù)據(jù)安全等領(lǐng)域的工控系統(tǒng)安全防護提供指導，實現(xiàn)智能工廠企業(yè)的安全升級。

4? 討論與結(jié)束語

4.1? 討論

智能工廠使整個車間成為基于信息技術(shù)和物聯(lián)網(wǎng)的互聯(lián)互通工業(yè)網(wǎng)絡(luò)。車間大規(guī)模出現(xiàn)事故之后再對工控系統(tǒng)安全進行彌補和整改，則代價非常大。本文構(gòu)建了工業(yè)控制系統(tǒng)安全風險評估模型，將資產(chǎn)劃分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員、工控系統(tǒng)結(jié)構(gòu)特征和復(fù)雜度、管理特征重要性和影響性七類指標屬性，判斷了各屬性的重要性，能夠加強企業(yè)的安全防護。

（1）數(shù)據(jù)：工業(yè)控制系統(tǒng)中運行數(shù)據(jù)和信息的可用性，是構(gòu)建安全的關(guān)鍵。針對大量數(shù)據(jù)和文件進行業(yè)務(wù)建模和數(shù)據(jù)挖掘，能夠提高安全查詢能力、挖掘能力、研判能力、預(yù)測能力，同時積累基礎(chǔ)資源庫、協(xié)議特征庫和漏洞庫資源等。

針對數(shù)據(jù)的防護主要是建立數(shù)據(jù)日志備份與恢復(fù)策略并異地存放，數(shù)據(jù)日志備份包括備份時間、備份周期、備份套數(shù)、備份方式和恢復(fù)方式的步驟。

（2）軟件：智能生產(chǎn)所涉及的工業(yè)控制軟件系統(tǒng)主要的風險包括用戶隱私泄露、非授權(quán)訪問、存在竊聽嗅探、惡意代碼、病毒/漏洞攻擊、控制命令偽造攻擊、控制網(wǎng)絡(luò)DoS攻擊等可能存在于企業(yè)軟件平臺配置等方面的安全漏洞。

針對軟件方面的防護措施：只安裝工廠必需的系統(tǒng)類、驅(qū)動類、專業(yè)控制組件，開啟必要的服務(wù)功能，設(shè)置關(guān)鍵配置文件的訪問權(quán)限。不能使用盜版、破解版等非原版軟件，并且軟件的安裝、卸載、更新都應(yīng)有書面記錄。

（3）硬件：主要指系統(tǒng)的網(wǎng)絡(luò)架構(gòu)、服務(wù)器、存儲系統(tǒng)等安全，和各個系統(tǒng)之間信息交換安全。主要風險包括企業(yè)工業(yè)控制網(wǎng)絡(luò)安全配置（如網(wǎng)絡(luò)分區(qū)、端口禁用等）、工業(yè)主機安全配置（如遠程控制管理、默認賬戶管理等）、工業(yè)控制設(shè)備安全配置（如口令策略合規(guī)性等）。

主要通過安全產(chǎn)品和技術(shù)（例如防火墻、防病毒軟件、侵入檢測、加密技術(shù)）的應(yīng)用等進行防護，封閉接口及操作系統(tǒng)桌面，嚴格賬戶管理，合理分類設(shè)置賬戶權(quán)限，采用基于白名單機制的工業(yè)防火墻實現(xiàn)工控協(xié)議訪問控制，并采用監(jiān)控審計平臺和入侵檢測，在黑名單和白名單兩個層面保障通信正常。

（4）服務(wù)：主要強調(diào)服務(wù)狀態(tài)/環(huán)境感知與控制的互聯(lián)，包括遠程維護和診斷、運維管理安全和實時監(jiān)控等，針對信息系統(tǒng)資源（包含主機、網(wǎng)絡(luò)、存儲、安全等基礎(chǔ)設(shè)施）采取安全管理和技術(shù)運維。

（5）人員：主要考慮操作人員的業(yè)務(wù)水平和操作技能等職業(yè)素質(zhì)，和對安全事件的獎勵和處罰管理體系的建設(shè)。包括安全使用手冊、員工培訓、業(yè)務(wù)規(guī)劃，涉及信息系統(tǒng)安全的政策法規(guī)、教育、管理標準等方面的建設(shè)。

（6）工控系統(tǒng)結(jié)構(gòu)特征和復(fù)雜度：由于工控系統(tǒng)十分復(fù)雜，在建立工控系統(tǒng)安全評估模型前，必須確定工控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，明確所需評估的對象和評估的范圍。了解被評估工業(yè)控制系統(tǒng)所涉及的資產(chǎn)類型、規(guī)模、位置、重要程度、產(chǎn)品、數(shù)量等情況，各個要素的特殊性使得各要素對應(yīng)的指標受攻擊后造成的危害不同，因此需要考慮工控系統(tǒng)結(jié)構(gòu)特征和復(fù)雜度。

（7）管理特征重要性和影響性：主要考慮安全責任制，安全防護措施及檔案資料管理情況。包括賬戶管控安全、日志和記錄巡檢安全、密碼和密鑰管控安全、運行中可靠性管理等。

4.2? 結(jié)束語

從總體上看，我國的工控系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)硬件安全、網(wǎng)絡(luò)安全問題長期未得到解決，工控系統(tǒng)信息安全問題也逐漸凸顯，因此迫切需要建立智能工廠工控安全的政策、法規(guī)和標準，加快對工控系統(tǒng)網(wǎng)絡(luò)安全策略的研究。

本文針對工控系統(tǒng)安全風險評估問題，對工控系統(tǒng)的安全風險進行了初步分析，給出了安全風險分析模型，提出了基于多屬性決策的工控系統(tǒng)安全評估方法。根據(jù)計算得到的工控系統(tǒng)中的危害性設(shè)備，也得到了整個工控系統(tǒng)的安全評估值，為工控系統(tǒng)的安全部署防護方案提供了基本遵循。

參考文獻

[1] 信息安全風險評估規(guī)范： GB/T 20984-2007[S]. 北京： 中國標準出版社， 2007.

[2] 工業(yè)控制網(wǎng)絡(luò)安全評估規(guī)范： GB/T 26333-2010[S]. 北京： 中國標準出版社， 2010.

[3] Ralston P A S， Graham J H， Hieb J L. Cyber security risk assessment for SCADA and DCS networks[J]. ISA Transactions， 2007， 46（4）： 583-594.

[4] 王連強， 呂述望， 張劍， 等. 組合對象信息安全風險評估研究[J]. 計算機工程與應(yīng)用， 2006， 42（26）： 17-19.

[5] 趙戰(zhàn)生， 謝宗曉. 信息安全風險評估： 概念、方法和實踐[M]. 北京： 中國標準出版社， 2007.

[6] 陳曦， 周峰， 郝鑫. 我國SCADA系統(tǒng)發(fā)展現(xiàn)狀、挑戰(zhàn)與建議[J]. 工業(yè)技術(shù)創(chuàng)新， 2015， 2（1）： 103-114.

[7] 吳亞非， 李新友， 祿凱. 信息安全風險評估[M]. 北京： 清華大學出版社， 2007.

[8] 張永錚， 方濱興， 遲悅， 等. 用于評估網(wǎng)絡(luò)信息系統(tǒng)的風險傳播模型[J]. 軟件學報， 2007， 18（1）： 137-145.

[9] 張永錚， 方濱興， 遲悅， 等. 網(wǎng)絡(luò)風險評估中網(wǎng)絡(luò)節(jié)點關(guān)聯(lián)性的研究[J]. 計算機學報， 2007， 30（2）： 234-240.

[10] 盛躍華， 肖麗婷， 張子聰. 工業(yè)領(lǐng)域信息安全保密管理體系創(chuàng)新研究[J]. 工業(yè)技術(shù)創(chuàng)新， 2017， 4（1）： 168-170.

[11] 宋光興， 鄒平. 多屬性群決策中決策者權(quán)重的確定方法[J]. 系統(tǒng)工程， 2001， 19（4）： 84-89.

作者簡介：

王佳（1986—），通信作者，男，河北保定人，博士。主要研究方向：智能制造評估、安全管理。

E-mail： wangjia@cstc.org.cn

（收稿日期：2019-11-19）

Security Risk Assessment for Industrial Control System Based on Multi-Attribute Decision-Making

WANG Jia

（China Software Testing Center， Beijing 100048， China）

Abstract： A method of security risk assessment of industrial control system based on multi-attribute decision-making is proposed for the workshop of intelligent production shop. According to the network structure of the intelligent industrial control system， the security risk points are analyzed and assured， and the security risk assessment model of the industrial control system is constructed. The assets are divided into 7 index attributes， namely， data， software， hardware， service， personnel， structure characteristics and complexity of industrial control system， importance and influence of management characteristics. The importance of each attribute is judged， the asset security related topology is obtained， and the hazard degree of each asset is calculated. The basic process of security risk assessment of industrial control system is formed， which makes the security risk quantified， providing a basic compliance for the security deployment of industrial control system.

Key words： Intelligent Factory; Multi-Attribute Decision-Making; Security Risk Assessment; Industrial Control System; Asset; Security Deployment