王清清，王昌偉，方文韜，劉祖德

(1.中國地質(zhì)大學(武漢)工程學院，湖北 武漢 430074；2.中石化華北石油工程有限公司，河南 鄭州 450006)

關(guān)鍵基礎(chǔ)設(shè)施如城市交通站、大型化工廠、核電站等具有較高的安全風險，一旦遭到非法入侵攻擊，會造成人員傷亡、財產(chǎn)損失和惡劣的社會影響。不同于生產(chǎn)安全事故，非法入侵攻擊主要包括偷竊和恐怖襲擊，具有較高的不確定性和突發(fā)性。為了應(yīng)對突發(fā)狀況，重點單位重要部位都設(shè)置了安全防范系統(tǒng)，但缺少嚴格的方法來評估其脆弱性，僅僅依賴于工程經(jīng)驗來判斷其有效性和決定是否需要采取額外的防護措施，無法保障安全防范系統(tǒng)抵御外部破壞的能力，因此需要通過可靠的脆弱性分析方法來發(fā)現(xiàn)安全防范系統(tǒng)的漏洞，并采取有效措施，以提升安全防范系統(tǒng)性能。

目前關(guān)鍵基礎(chǔ)設(shè)施安全防范系統(tǒng)脆弱性分析方法主要有現(xiàn)場測試、入侵模擬試驗和定量評估方法。但是，現(xiàn)場測試分析結(jié)果較為理想化，無法客觀地反映敵人多路徑入侵的復雜情況，也無法反映實際廠區(qū)的應(yīng)急響應(yīng)能力[1]，而在現(xiàn)實情況下，進行真實的入侵模擬試驗的危險性很高，因此運用定量評估方法對安全防范系統(tǒng)進行脆弱性分析更為合理。Tamasi等[2]提出了一套基于威脅和脆弱性概念，運用模糊數(shù)學方法對民航安全脆弱性進行定量評估的方法；Khanmohamadi等[3]提出了一種利用ALOHA和ArcGIS軟件動態(tài)模擬危險品運輸過程中受到惡意攻擊而受影響的人口和經(jīng)濟損失來定量評估危險品運輸脆弱性的方法；宋亮亮[4]基于事故干擾源和脆弱性影響因素構(gòu)建了地鐵系統(tǒng)動力學模型，分析了不同干擾源下系統(tǒng)的熵值變化，定量評估了地鐵系統(tǒng)的脆弱性，并利用Vensim PLE仿真平臺對地鐵系統(tǒng)脆弱性進行了仿真研究；安聰[5]基于系統(tǒng)突變理論建立了脆弱性評估模型，分析從出現(xiàn)致災(zāi)因子到石化罐區(qū)崩潰的整個過程中系統(tǒng)的熵值變化，并定量評估了石化罐區(qū)的脆弱性；孫凌云等[6]分析了影響烏魯木齊城市脆弱性的所有可能因素，建立了城市脆弱性評估模型，并運用變異系數(shù)和綜合指數(shù)法評估了烏魯木齊城市的脆弱性。

上述系統(tǒng)脆弱性定量評估方法都是針對某一特定行業(yè)提出的，不具有普遍適用性。此外，這些方法都是從人、物、管理等宏觀影響因素層面建立復雜網(wǎng)絡(luò)來對某一系統(tǒng)的脆弱性進行分析，未針對非法入侵及敵人入侵情況的復雜性進行具體分析。實物保護系統(tǒng)(Physical Protection System,PPS)有效性分析中的EASI模型可以很好地解決該問題，該模型有完善的評估體系，可以準確地分析整個核設(shè)施抵御外部入侵破壞的能力，并發(fā)現(xiàn)安全防范系統(tǒng)存在的缺陷。雖然EASI模型是核設(shè)施PPS有效性評估的方法，但其基本理念和分析方法可以運用于其他高風險行業(yè)安全防范系統(tǒng)的脆弱性分析中，如大型化工產(chǎn)、危險品倉庫、交通站等[7]。因此，本文提出了一種基于EASI模型的安全防范系統(tǒng)脆弱性分析方法，使其能夠定量評估復雜情況下關(guān)鍵基礎(chǔ)設(shè)施安全防范系統(tǒng)抵御惡意入侵破壞的能力和設(shè)施內(nèi)關(guān)鍵設(shè)備的脆弱性，幫助管理人員發(fā)現(xiàn)安全防范系統(tǒng)的薄弱部位，有針對性地采取安全防護措施，以提高安全防范系統(tǒng)抵御外部入侵的安全防范能力，避免過度防護增加成本或者關(guān)鍵設(shè)備防護不足等問題。

1 基于EASI模型的安全防范系統(tǒng)脆弱性分析方法

1.1 EASI模型介紹

為了解決核設(shè)施PPS有效性評估問題，1970年美國桑迪亞國家實驗室(SNL)提出了EASI(Estimation of Adversary Sequence Interruption)模型。EASI模型使用入侵序列圖表示敵人入侵路徑，具體分析指定路徑的所有屏障、延時設(shè)施(措施)、探測設(shè)備在阻止敵人入侵過程中的作用，從PPS的檢測、延遲和響應(yīng)三個方面綜合評估安全防護系統(tǒng)成功抵御敵人入侵的概率。雖然EASI模型只能分析單條入侵路徑，無法分析設(shè)施內(nèi)所有可能的入侵路徑，但其能夠定量評估敵人入侵的復雜情況，且具有較好的融合性和實踐性?；贓ASI模型，SNL提出了入侵薄弱路徑系統(tǒng)性分析(Systematic Analysis of Vulnerability to Intrusion,SAVI)方法或模型，該方法通過連接各保護層路徑段構(gòu)建敵人入侵序列圖，分析核設(shè)施內(nèi)所有可能的入侵路徑。另外，SAVI模型在EASI模型基礎(chǔ)上細分了檢測、延遲和響應(yīng)功能，并考慮更多影響因素來評估最薄弱路徑，能夠詳細分析核設(shè)施內(nèi)所有可能的入侵情況，但其評估過程相對冗雜，且不適用于其他關(guān)鍵基礎(chǔ)設(shè)施安全防范系統(tǒng)的脆弱性評估。

鑒于這兩種模型的優(yōu)缺點，本文運用SAVI模型中通過路徑段構(gòu)建整個廠區(qū)所有可能入侵路徑的方法對EASI模型進行優(yōu)化，并根據(jù)工程實際問題對EASI模型進行簡化，使其能夠運用于關(guān)鍵基礎(chǔ)設(shè)施安全防范系統(tǒng)的脆弱性分析。

1.2 EASI模型的應(yīng)用

EASI模型通過采用計算機模型程序和完整的數(shù)據(jù)庫對特定的最薄弱路徑進行量化分析，根據(jù)EASI模型有效性分析方法[8]，成功中斷敵人實現(xiàn)目標的概率PI：

PI=PA×PT×PS

(1)

式中:PA為所有探測裝置成功探測到敵人入侵的總探測概率；PT為警衛(wèi)成功截住敵人的概率；PS為成功阻止敵人入侵的概率。

在運用EASI模型有效性分析方法進行定量分析時需要可靠的定量數(shù)據(jù)支持，但是這些數(shù)據(jù)是在SNL的內(nèi)部報告中收集的，并普遍應(yīng)用于軍事和核部門，因此它只能為工業(yè)設(shè)施和環(huán)境提供有限的技術(shù)和部分信息，無法直接應(yīng)用于其他高風險行業(yè)。本文考慮使用EASI模型度量性能變量的定義和原則，建立評價指標體系，通過專家評估的方法定量分析安全防范系統(tǒng)成功檢測到敵人入侵的能力。

綜合考慮SNL開發(fā)的評定指標[9]和我國重點單位重要部位安全技術(shù)防范系統(tǒng)的要求(DB 31/329—2014)，選取專家、關(guān)鍵基礎(chǔ)設(shè)施的安全防范工作人員和管理人員組成分析小組，按照Norman[10]提供的指導方針對各探測設(shè)施設(shè)備性能進行定量分析，選擇專家提供的估計值的平均值作為匯總變量來定量分析每個探測裝置在其組成因素的所有可能狀態(tài)組合下成功探測到敵人入侵的概率PAi，則所有探測裝置成功探測到敵人入侵的總探測概率PA為

(2)

式中:PAi為第i個設(shè)備成功探測到敵人入侵的概率；n為探測設(shè)備的數(shù)量。

考慮到探測裝置組成因素有效性概率估計的數(shù)量和復雜性，整個分析過程使用點估計概率而不是概率分布，以簡化分析過程，詳見表1。

表1 分析量化表Table 1 Analysis quantization

根據(jù)SNL發(fā)布的研究報告[11]，接收報警后，警衛(wèi)成功截住敵人的概率與安全防范系統(tǒng)的延遲時間和響應(yīng)時間有關(guān)，具體時間關(guān)系如圖1所示。

圖1 警衛(wèi)成功截住敵人的概率與安全防范系統(tǒng)的延遲 時間和響應(yīng)時間的關(guān)系示意圖Fig.1 Schematic diagram of the relation between the probability of the guard incepting the enemy and the delay time and response time of the security system注：T0為敵人開始入侵的時間點；T1為探測系統(tǒng)發(fā)現(xiàn)敵人入侵并報警的時間點；T2為警衛(wèi)核實報警信息后出動的時間點；T3為截住敵人的時間點；T4為敵人達成入侵破壞目的的時間點；td為延遲時間，即探測系統(tǒng)報警后到敵人實現(xiàn)入侵目的的時間段，延遲時間主要與目標距離和各延時設(shè)施(措施)有關(guān)；tr為響應(yīng)時間，即探測器報警后，警衛(wèi)分析報警信息并確認后，出動并截住敵人的時間段；當td

μt=E(td-tr)=E(td)-E(tr)

現(xiàn)有雷達的信號處理很難完全濾除雜波，因此，在送往雷達顯示終端的0/1檢測信號中，依然會存在大量的雜波剩余。其中，慢動雜波具有與SST相近的運動速度，在多幀雷達圖像積累中，慢動雜波也會聚集于同一位置或同一區(qū)域。但是，由于SST和慢動雜波在運動方向和運動規(guī)律上存在較大不同，因此多幀雷達圖像積累后，SST和慢動雜波的目標回波就會存在較大差異。主要表現(xiàn)在：

(3)

(4)

警衛(wèi)成功截住敵人的概率即攔截概率PT為

(5)

目前國內(nèi)外成功阻止敵人入侵概率的研究主要體現(xiàn)在警衛(wèi)和入侵敵人人數(shù)的比較[12]，成功阻止敵人入侵的概率PS與警衛(wèi)和入侵敵人人數(shù)比值的關(guān)系如圖2所示。

圖2 成功阻止敵人入侵的概率與警衛(wèi)和入侵敵人 人數(shù)比值的關(guān)系圖Fig.2 Relation between the probability of successfully stopping the enemy invasion and the ratio of the number of guards to enemies

綜上所述，在多層防護下的某一路徑警衛(wèi)成功阻止敵人入侵的概率即阻止概率PI為

(6)

式中:PA1為第1個探測器成功探測到敵人入侵的概率；PT1為警衛(wèi)收到第1個探測器報警后成功截住敵人的概率；n為探測器的數(shù)量；PAi為第i個探測器報警的概率；PTi為警衛(wèi)收到第i個探測器報警后成功截住敵人的概率；j為第i個成功報警的探測器之前未成功報警的探測器的序號；PAj為第j個探測器成功探測到敵人入侵的概率。

1.3 基于EASI模型的安全防范系統(tǒng)脆弱性分析方法

基于EASI模型的關(guān)鍵基礎(chǔ)設(shè)施安全防范系統(tǒng)脆弱性分析流程見圖3，具體步驟如下：

圖3 基于EASI模型的關(guān)鍵基礎(chǔ)設(shè)施安全防范系統(tǒng)脆弱性分析流程圖Fig.3 Flow chart of vulnerability analysis of critical infrastructures security system based on EASI注：藍色表示物理防護屏障,屏障數(shù)量為a，藍色箭頭代表相鄰兩屏障之間的路徑段L，L1為從外部到第1道屏障的路徑，La+1為最后的屏障a到目標的路徑；黃色表示與探測概率PA相關(guān)的信息，表示敵人在第Li路徑上被探測的概率，Li路徑上共有nLi個探測設(shè)備，其中表示Li路徑上第x個探測設(shè)備;綠色表示與警衛(wèi)攔截概率PT相關(guān)的信息，表示敵人在第Li路徑上被攔截的概率，Li路徑上共有mLi個延遲設(shè)施(措施)，其中表示Li路徑上第y個延遲設(shè)施(措施);紅色表示敵人達成入侵目標的事故后果嚴重度C。

步驟1：根據(jù)事故后果嚴重度C確定重點防護目標，分析廠區(qū)的整體布局，確定敵人達到目標所需要通過的所有物理防護屏障(如門、墻、窗等)，記物理防護屏障數(shù)量為a，連接兩個相鄰屏障構(gòu)成路徑段,記為Li(包括第i-1道屏障，不包括第i道屏障)(i=1,2,…，a，a+1)，敵人入侵路徑由多段路徑構(gòu)成。

(7)

(8)

因此在多路徑段防護下，某一路徑警衛(wèi)成功阻止敵人入侵的概率即阻止概率PI為

(9)

步驟3：從敵人入侵成功的概率(1-PI)和事故后果嚴重度C兩個方面評估重點設(shè)施關(guān)鍵部位的入侵風險V，從而反映其安防系統(tǒng)的脆弱性，重點設(shè)施關(guān)鍵部位的入侵風險越高，則安全防范系統(tǒng)越脆弱。重點設(shè)施關(guān)鍵部位的入侵風險即脆弱性值可表示為

V=(1-PI)×C

(10)

事故后果研究主要把人員傷亡、財產(chǎn)價值損失、設(shè)備關(guān)鍵度、社會影響等因素作為事故后果嚴重性評估的重要依據(jù)，本文選用 《生產(chǎn)安全事故報告和調(diào)查處理條例》標準和具體的工程問題將事故后果嚴重度C劃分為4個等級，詳見表2。

步驟4：根據(jù)脆弱性分析結(jié)果，發(fā)現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施中風險最高的防護目標以及薄弱路徑，提出改進措施，有針對性地提高局部的防護能力。

表2 事故后果嚴重度劃分表Table 2 Classification of auident consequence severity

2 實例運用與分析

新疆某油田危險品倉庫用于存放新疆塔河油田井測作業(yè)所需的大量放射性源(112枚密封型放射源，其中高危險性的Ⅱ類源15枚、Ⅲ類源4枚)和民用爆炸品(黑索金212.1 kg，雷酸汞1.6 kg)，放射源倉庫和民用爆炸品倉庫為防護目標。倉庫內(nèi)存放的危險品一旦發(fā)生入侵盜竊、破壞，事故后果嚴重，特別是被不法分子盜取用于制造“黑彈”，造成的社會影響無法估量，因此設(shè)置倉庫防護目標放射源倉庫和民用爆炸品倉庫的事故后果嚴重度等級均為4。本文運用基于EASI模型的安全防范系統(tǒng)脆弱性分析方法對該油田危險品倉庫的防護能力進行分析，發(fā)現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施中風險最高的防護目標以及薄弱環(huán)節(jié)，提出改進措施，有針對性地增強局部防護能力。

根據(jù)倉庫安全防范設(shè)備和管理資料，并參考EASI模型數(shù)據(jù)庫[13-15]和國家關(guān)于重點單位重點設(shè)施安全防范標準[16-17]，邀請2位該倉庫安全防范工作人員、1位倉庫管理人員和1位安全領(lǐng)域?qū)＜以u估該倉庫探測設(shè)備(或措施)能夠成功檢測到敵人入侵的概率PAi(最終結(jié)果取平均值),詳見表3。根據(jù)EASI模型延遲數(shù)據(jù)庫[18-19]，合理分析該油田危險品倉庫各延時設(shè)施延遲時間，詳見表4。該油田危險品倉庫整體布局、各探測設(shè)備(見表3)和各延時設(shè)施(見表4)布置情況，見圖4。

分別重復測量20次警衛(wèi)從控制室到放射源倉庫和爆炸品倉庫的響應(yīng)時間，得到警衛(wèi)到放射源倉庫的平均響應(yīng)時間tr1為193 s、標準差為43 s，警衛(wèi)到爆炸品倉庫的平均響應(yīng)時間tr2為262 s、標準差為71 s?；谝陨蠀?shù)，根據(jù)基于EASI模型的安全防范系統(tǒng)脆弱性分析方法繪制該油田危險品倉庫安全防范系統(tǒng)的關(guān)系網(wǎng)絡(luò)圖(見圖5)，并對其進行脆弱性評估，其分析結(jié)果見表5和圖6。

表3 某油田危險品倉庫探測設(shè)備有效性評估表Table 3 Effectiveness evaluation of detection equipmentin the dangerous goods warehouse of an oilfield

表4 某油田危險品倉庫各延時設(shè)施延遲時間參數(shù)表Table 4 Delay time parameters of delay measures inthe dangerous goods warehouse of an oilfield

圖4 某油田危險品倉庫安全防范系統(tǒng)布局圖Fig.4 Security system layout of the dangerous goods warehouse of an oilfield

圖5 某油田危險品倉庫安全防范系統(tǒng)關(guān)系網(wǎng)絡(luò)圖Fig.5 Network of security protection system of the dangerus goods warehouse of an oilfield注：由于路徑段L6與L4、L7與L5、L9與L8、L14與L16、L15與L13的探測概率相關(guān)信息和攔截概率相關(guān)信息相同，為了使關(guān)系圖更簡潔，圖中省略L4、L5、L8、L16、L13路徑段的探測概率PA相關(guān)信息和攔截概率PT相關(guān)信息。

表5 某油田危險品倉庫安全防范系統(tǒng)脆弱性分析結(jié)果表

圖6 某油田危險品倉庫安全防范系統(tǒng)脆弱性分析圖Fig.6 Vulnerability analysis diagram of security system of the dangerous goods warehouse of on oilfield

由表5和圖6可見，在所有的可能入侵路徑中，路徑b、f的脆弱性值(1.296)最高為最薄弱路徑，路徑a(1.128)、e(1.120)為較薄弱路徑，需要加強防護；敵人從外部進入倉庫的成功阻止概率較高(0.676～0.953)，與整個倉庫的阻止概率基本一致，倉庫內(nèi)的成功阻止概率極低(≤0.136)，因此倉庫外墻和出入口控制為整個安全防范系統(tǒng)最重要的部分；整個倉庫的探測概率較高，但警衛(wèi)反應(yīng)時間較長，導致成功阻止概率降低(特別是倉庫內(nèi))。

建議措施：①加強安全教育培訓和演練培訓，制定應(yīng)急預案，提高警衛(wèi)響應(yīng)速度，有效降低倉庫安全防范系統(tǒng)的脆弱性；②增加倉庫內(nèi)外圍墻間的探測設(shè)備，保證安全防范人員能夠及時發(fā)現(xiàn)敵人入侵，為阻止敵人實現(xiàn)目標爭取更多的時間；③拓展視頻監(jiān)控和人員巡更探測范圍，以及優(yōu)化視頻監(jiān)控(提高攝像機性能，減少信息延時等)和人員巡更(增加巡更頻率)，可以提高在早期發(fā)現(xiàn)敵人入侵的概率。

3 結(jié) 論

本文提出了一種基于EASI模型的安全防范系統(tǒng)脆弱性分析方法，可有效評估關(guān)鍵基礎(chǔ)設(shè)施安全防范系統(tǒng)抵御非法入侵的能力以及系統(tǒng)脆弱性，得到主要結(jié)論如下：

(1) 基于EASI模型有效性分析方法從檢測、延遲、響應(yīng)3個功能分析，利用專家評估、現(xiàn)場測試、參考文獻和相關(guān)標準量化探測設(shè)備的有效性、應(yīng)急響應(yīng)能力以及系統(tǒng)延遲能力，定量評估不同入侵情況下安全防范系統(tǒng)的防護能力，發(fā)現(xiàn)薄弱路徑和薄弱環(huán)節(jié)，幫助管理人員采取措施有效提高安全防范系統(tǒng)性能。

(2) 從敵人成功入侵概率和事故后果嚴重度分析，可發(fā)現(xiàn)整個設(shè)施中脆弱性最高的目標和入侵路線，以便采取有效措施，加強整個設(shè)施在非法入侵極端情況下的防護能力。

(3) 從加強關(guān)鍵基礎(chǔ)設(shè)施安全防范的角度來看，所獲得的研究結(jié)果具有一定的指導意義，但是利用專家判斷和EASI模型數(shù)據(jù)庫來量化安全防范系統(tǒng)的相關(guān)參數(shù)具有一定的局限性，需要在實踐中不斷積累關(guān)鍵基礎(chǔ)設(shè)施脆弱性分析的數(shù)據(jù)并不斷完善數(shù)據(jù)庫，另外該方法還可為安全防范系統(tǒng)設(shè)計和升級提供參考。