齊祥柏 陳青 趙洪崗

摘要：針對電廠控制系統(tǒng)安全風(fēng)險(xiǎn)評估方案存在的主觀性強(qiáng)、不確定因數(shù)大的問題，對用于電廠控制系統(tǒng)的安全風(fēng)險(xiǎn)評估系統(tǒng)的結(jié)構(gòu)模型進(jìn)行詳細(xì)分析，同時(shí)對安全風(fēng)險(xiǎn)評估的評估流程、評估算法中的 D數(shù)理論、D-AHP 評估方法、TOPSISI評估方法進(jìn)行詳細(xì)分析。對基于 D-AHP、TOPSIS風(fēng)險(xiǎn)評估算法進(jìn)行實(shí)例分析，建立簡單電廠控制系統(tǒng)安全風(fēng)險(xiǎn)評估體系，求解影響各指標(biāo)的權(quán)重值并得到電廠控制系統(tǒng)安全風(fēng)險(xiǎn)值。分析結(jié)果表明，上述兩種安全風(fēng)險(xiǎn)評估方法的正確性和有效性，同時(shí)解決了傳統(tǒng)安全風(fēng)險(xiǎn)評估方法存在的主觀性強(qiáng)、不確定性因素多的問題，提高了安全風(fēng)險(xiǎn)評估的準(zhǔn)確性和有效性，不過度依賴專家經(jīng)驗(yàn);還簡化了電廠控制系統(tǒng)安全風(fēng)險(xiǎn)指標(biāo)和過程，完善了安全風(fēng)險(xiǎn)評估指標(biāo)體系。

關(guān)鍵詞：安全風(fēng)險(xiǎn)評估;D-AHP ;TOPSIS;控制系統(tǒng);電廠

中圖分類號：TP309???????????? 文獻(xiàn)標(biāo)志碼：A??????? 文章編號：1009-9492（2021）12-0180-03

Discussion on Information Security of Industrial Control System

Qi Xiangbai ，Chen Qing ，Zhao Honggang

（State Intelligent Deep Control Technology Co.， Ltd.， Beijing 102211， China）

Abstract： In view of the strong subjectivity and large uncertain factors of the power plant control system safety risk assessment plan， a detailed analysis of the structural model of the safety risk assessment system for the power plant control system was carried out， and the safety risk assessment evaluation process and evaluation algorithm were also analyzed in detail. The D number theory， D-AHP evaluation method， and TOPSISI evaluation method were analyzed in detail. The risk assessment algorithm was analyzed based on D-AHP and TOPSIS， a simple power plant control system safety risk assessment index system was established and constructed， the weight values that affect each index was solved， and the power plant control system safety risk value was obtained. The analysis results show that the above two safety risk assessment methods are correct and effective， solve the problems of strong subjectivity and many uncertain factors in the traditional safety risk assessment methods， improve the accuracy and effectiveness of safety risk assessment， and do not rely too much on expert experience. It also simplifies the safety risk index and process of power plant control system， and improves the safety risk assessment index system.

Key words： safety risk assessment; D-AHP; TOPSIS; control system; power plant

0 引言

隨著智能化、信息化、網(wǎng)絡(luò)化技術(shù)的不斷發(fā)展，工業(yè)控制系統(tǒng)信息安全問題成為亟需解決的問題并引起國內(nèi)外的廣泛關(guān)注。“Petya”勒索病毒在電廠的肆虐進(jìn)一步加劇了國家和社會對電廠控制系統(tǒng)信息安全的關(guān)注。目前，國內(nèi)電廠全網(wǎng)設(shè)備已經(jīng)實(shí)現(xiàn)互聯(lián)互通，非法入侵成文電廠控制系統(tǒng)極大的安全隱患，非常有必要研究電廠控制系統(tǒng)的安全問題并進(jìn)行風(fēng)險(xiǎn)評估。電廠控制系統(tǒng)信息安全問題在2012年之后呈明顯上升趨勢，典型案例有2016年德國核電站發(fā)現(xiàn)由 USB驅(qū)動帶入得惡意程序，使得核電站人員關(guān)閉電廠并進(jìn)行全面檢測;2018年臺積電被 WannaCry病毒攻擊，使得工控機(jī)不斷重啟，造成直接經(jīng)濟(jì)損失約2.55億美元[1-2]。為保障工業(yè)控制系統(tǒng)信息安全，利用科學(xué)的評估方法對系統(tǒng)進(jìn)行評估，如定量評估、定性評估以及綜合評估等?；诠I(yè)控制系統(tǒng)信息評估現(xiàn)場數(shù)據(jù)信息的特殊性，多采用模糊層次分析、DS 證據(jù)理論、BP/RBF神經(jīng)網(wǎng)絡(luò)預(yù)測等方法構(gòu)建工業(yè)控制系統(tǒng)信息安全評估模型，預(yù)防黑客、病毒攻擊，構(gòu)建安全、穩(wěn)定、高效的工業(yè)控制系統(tǒng)[3-4]。文章在分析電廠工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)內(nèi)容、評估流程、評估算法的基礎(chǔ)上，建立基于 D-AHP 構(gòu)建電廠控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估體系，結(jié)合 TOPSIS算法計(jì)算預(yù)見的準(zhǔn)確度以及評價(jià)權(quán)重并獲得該電廠控制系統(tǒng)的安全風(fēng)險(xiǎn)值，從定量、定性兩方面制定安全風(fēng)險(xiǎn)決策依據(jù)。

1 安全風(fēng)險(xiǎn)分析

國內(nèi)電廠工業(yè)控制系統(tǒng)主要分為分散控制系統(tǒng)、可編程控制系統(tǒng)以及現(xiàn)場總線控制系統(tǒng)3種，常用的控制器包括西門子、InterControl、BeckHoff、ABB 以及艾默生等，通過 TCP/IP、CAN、CanOpen、Modbus、RS485等多種通訊模式進(jìn)行組網(wǎng)并完成設(shè)備間的數(shù)據(jù)傳送。電廠控制系統(tǒng)構(gòu)成封閉局域網(wǎng)，設(shè)備間的數(shù)據(jù)進(jìn)行透傳，存在很大的安全隱患。構(gòu)建電廠控制系統(tǒng)物理、網(wǎng)絡(luò)、終端等多維多角度保護(hù)，能夠確保電廠控制系統(tǒng)生命周期安全性[5]。對電廠控制系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有安全措施四方面記性評估，得到準(zhǔn)確的電廠控制系統(tǒng)風(fēng)險(xiǎn)綜合值，并提出安全整改意見和改進(jìn)措施。圖1所示為電廠控制系統(tǒng)安全評估結(jié)構(gòu)模型，由目標(biāo)層、準(zhǔn)則層以及指標(biāo)層組成。目標(biāo)層體現(xiàn)安全風(fēng)險(xiǎn)的目標(biāo)，準(zhǔn)則層體現(xiàn)完成目標(biāo)所需要定義的準(zhǔn)則和規(guī)則，指標(biāo)層體現(xiàn)完成準(zhǔn)則所需要定義的指標(biāo)，三者相輔相成，共同影響電廠工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)。資產(chǎn)體現(xiàn)數(shù)據(jù)未非授權(quán)更改、破壞、訪問、使用的特性，體現(xiàn)控制系統(tǒng)數(shù)據(jù)的保密性、完整性以及可用性。威脅體現(xiàn)數(shù)據(jù)被自然不可抗因素、物理因素破壞的特性，包括環(huán)境、人為兩方面。脆弱體現(xiàn)數(shù)據(jù)在技術(shù)脆弱性、管理脆弱性層面的安全漏洞，包括物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、病毒侵入等多個(gè)層次。已有安全措施是指降低數(shù)據(jù)受到威脅的預(yù)防性安全措施，針對脆弱層面采取的保護(hù)性以及安全處理方案。

根據(jù) IEC62443工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估規(guī)范，電廠控制系統(tǒng)安全評估規(guī)范根據(jù)風(fēng)險(xiǎn)目標(biāo)可分為實(shí)用性、完整性以及保密性3部分，其中實(shí)用性目標(biāo)包括系統(tǒng)數(shù)據(jù)包重放攻擊、網(wǎng)絡(luò)病毒侵入、網(wǎng)絡(luò)拒絕服務(wù)或者服務(wù)中斷;完整性目標(biāo)包括非法網(wǎng)絡(luò)設(shè)備機(jī)械性侵入、非法獲取設(shè)備的訪問權(quán)限和登錄權(quán)限、登錄信息并篡改、控制信息被非法獲取、交互信息丟失;保密性目標(biāo)包括木馬病毒被植入、蠕蟲病毒被植入、網(wǎng)絡(luò)連接未被授權(quán)，詳細(xì)如表1所示。

2 安全風(fēng)險(xiǎn)評估

2.1 評估流程

電廠控制系統(tǒng)安全風(fēng)險(xiǎn)評估流程如圖2所示，涉及到的主要方面包括確定評估范圍、制定工作計(jì)劃、制定應(yīng)急計(jì)劃、資產(chǎn)/威脅/脆弱性評估、風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)決策以及安全整改等[6-7]。圖2所示的流程中的必要基本配置包括：（1） 安全分區(qū)，即將電廠控制系統(tǒng)內(nèi)部分為生產(chǎn)控制區(qū)、管理信息區(qū)兩部分，設(shè)置簡單化且不出現(xiàn)縱向交叉;（2）網(wǎng)絡(luò)專用，控制系統(tǒng)網(wǎng)絡(luò)必須獨(dú)立且與其他網(wǎng)絡(luò)進(jìn)行隔離。該網(wǎng)絡(luò)內(nèi)部分為實(shí)時(shí)子網(wǎng)，與控制器連接;非實(shí)時(shí)子網(wǎng)，與非控制區(qū)連接;（3）橫向隔離，控制系統(tǒng)內(nèi)部設(shè)置橫向安全隔離裝置，分布在生產(chǎn)控制區(qū)、管理信息區(qū)之間，并進(jìn)行安全邏輯隔離;（4）縱向認(rèn)證，在生產(chǎn)控制區(qū)與外部網(wǎng)絡(luò)連接處設(shè)置縱向認(rèn)證安全裝置，機(jī)行加密認(rèn)證、數(shù)據(jù)互鎖。

2.2 評估算法

電廠控制系統(tǒng)安全風(fēng)險(xiǎn)評估的目的是對資產(chǎn)、威脅以及脆弱性進(jìn)行綜合估算，主要估算方法有基于層次分析法（ AHP ）、基于 D-S證據(jù)理論分析法、基于 BP 神經(jīng)網(wǎng)絡(luò)分析法、基于攻擊樹分析法以及基于攻擊圖分析法5種。AHP 分析法的優(yōu)點(diǎn)是定量化數(shù)據(jù)使用較多，使得思維過程清晰化、數(shù)量化;缺點(diǎn)是結(jié)果依賴主觀性的程度較大[8]。D-S法的優(yōu)點(diǎn)是存在能較好處理認(rèn)為因素、不確定因素較大的場景去，缺點(diǎn)是理論支持較弱、合理性有待驗(yàn)證。BP 神經(jīng)網(wǎng)絡(luò)法的優(yōu)點(diǎn)是可消除主觀因素影響，缺點(diǎn)是正確性需大量樣本數(shù)據(jù)的支撐。攻擊樹分析法的優(yōu)點(diǎn)是可發(fā)現(xiàn)系統(tǒng)的薄弱之處，缺點(diǎn)是主觀因素影響較大。攻擊圖法的優(yōu)點(diǎn)可實(shí)時(shí)在線反應(yīng)攻擊者的攻擊過程，缺點(diǎn)是構(gòu)建該方法需要大量人力、財(cái)力的支持。因此，采用 D 數(shù)優(yōu)化曾分析法（ D-AHP ）并結(jié)合電廠控制系統(tǒng)特點(diǎn)、評估標(biāo)準(zhǔn)建立基于電廠控制系統(tǒng)的安全風(fēng)險(xiǎn)評估系統(tǒng)，使得評估結(jié)果更加客觀、公正，同時(shí)有效計(jì)算出電廠控制系統(tǒng)的安全風(fēng)險(xiǎn)值。

2.2.1 D 數(shù)理論

定義Ω為有限性連續(xù)非空集合，設(shè) D 數(shù)為映射，即

Ω→[0， 1]，且滿足條件 D（B）≤1，且有 D（?）=0， ?為空集，B 為Ω的子集。若 D（B）=1，則標(biāo)識 D 數(shù)表示的信息完整，否則為不完整信息[9-11]。當(dāng)Ω為有限性非連續(xù)非控集合時(shí)，Ω={b1， b2 ， … ， bn}，且有 bi ∈R ，則如果 i ≠j 時(shí)，有 bi ≠bj ，D 數(shù)可表示為：

D{b1}=v1

D{b2}=v2

D{bx}=vx

則有 D ={（b1， v1）， （b2 ， v2）， … ， （bi ， vi）， … ，（bn ， vn）}，且需滿

足 vi >0、 vi <1。

2.2.2 D-AHP 評估方法

假設(shè)電廠控制系統(tǒng)安全風(fēng)險(xiǎn)評估一級指標(biāo)資產(chǎn)為U1，二級指標(biāo)保密性為 U11、完整性為 U12、可用性為 U13;一級指標(biāo)威脅為 U2，二級指標(biāo)環(huán)境因素為 U21、人為因數(shù)為 U22;一級指標(biāo)脆弱性為 U3，二級因數(shù)技術(shù)脆弱性為 U31、管理脆弱性為 U32;已有安全措施為 U4、二級預(yù)防性安全措施為 U41、保護(hù)性安全措施為 U42。計(jì)算電廠控制系統(tǒng)安全風(fēng)險(xiǎn)各指標(biāo)權(quán)重的步驟為[12]：（1） 比較資產(chǎn)、威脅、脆弱性一級已有安全措施的指標(biāo)特性，并建立 D的偏好矩陣RD;（2） 利用式（1） 將偏好矩陣RD 轉(zhuǎn)換為實(shí)數(shù)矩陣 RC ;（3） 根據(jù)實(shí)數(shù)矩陣 RC 建立概率矩陣 Rp;（4）按照 Rp 中的行排列由大到小的順序依次可得到三角化實(shí)數(shù)矩陣 R C（T）? （5）計(jì)算 R C（T） 指標(biāo)重的資產(chǎn)、威脅、脆弱性以及已有安全措施的相對權(quán)重。

2.2.3 TOPSISI評估方法

TOPSISI 評估方法即計(jì)算并評估所選樣本與理想解的接近度，找到離正理想解距離最近，離負(fù)理想解最遠(yuǎn)的方案。TOPSISI 評估方法的步驟為：（1） 令電廠控制系統(tǒng)安全評估風(fēng)險(xiǎn)對象指標(biāo)集為 U ={U1， U2 ， … ， Uα]，專家組集為 h ={h1， h2 ， … ， hα}，建立初評矩陣 MA =[ai]m × m? ;（2）求矩陣 MA 的極大性指標(biāo)為式（2），極小性指標(biāo)為式（ 3）;（3） 構(gòu)建加權(quán)規(guī)范矩陣 MC ，且有 MC =[cij]n × m ;（4） 求MC 的安全風(fēng)險(xiǎn)評估理想解;（5）求解每隔評估樣本與理想解的距離;（6）求安全風(fēng)險(xiǎn)評估系統(tǒng)的貼進(jìn)度大小并完成相對優(yōu)劣排序，利用歸一化方案求出專家權(quán)重。

3 實(shí)例分析

為驗(yàn)證 D-AHP 評估方法、TOPSISI評估方法的正確性和有效性，以某電廠的控制系統(tǒng)為例機(jī)型研究，建立簡單電廠控制系統(tǒng)安全風(fēng)險(xiǎn)評估指體系并構(gòu)建;評估指標(biāo)的 D 數(shù)偏好矩陣，即根據(jù)電廠控制系統(tǒng)資產(chǎn)識別、威脅識別、脆弱性識別以及已有安全措施建立指標(biāo)體系，使用 D 數(shù)理論改進(jìn)層次分析法，求解各層次指標(biāo)影響;使用逼近理想解方法計(jì)算各專家意見的準(zhǔn)確度;綜合指標(biāo)權(quán)重、專家權(quán)重以及專家評價(jià)指標(biāo)確定電廠控制系統(tǒng)的安全風(fēng)險(xiǎn)等級?；?D-AHP 一級 TOPSISI評估方法得到的電廠控制系統(tǒng)安全風(fēng)險(xiǎn)評估權(quán)重統(tǒng)計(jì)數(shù)據(jù)如表2所示。由表可得電廠控制系統(tǒng)安全風(fēng)險(xiǎn)評估二級指標(biāo)綜合權(quán)重向量為：

W =（0.2286， 0.0721， 0.1088， 0.3000， 0.2000， 0.0179， 0.0078， 0.0258， 0.0089）

由式（4） 可知，電廠控制系統(tǒng)安全風(fēng)險(xiǎn)值處于中等水平，需采用措施保護(hù)局系統(tǒng)安全，降低風(fēng)險(xiǎn)等級，其中面臨的最大風(fēng)險(xiǎn)為威脅性，權(quán)重為0.5270，需對控制系統(tǒng)中的惡意軟件、拒絕服務(wù)攻擊、通信參數(shù)篡改、數(shù)據(jù)竊取等威脅性動作進(jìn)行排查與管理，如加入入侵檢測系統(tǒng)、加強(qiáng)防火墻過濾、建立統(tǒng)一服務(wù)管理平臺等，保證電廠控制系統(tǒng)的安全性。

4 結(jié)束語

本文以工業(yè)控制系統(tǒng)信息安全為背景，重點(diǎn)討論基于電廠控制系統(tǒng)的安全風(fēng)險(xiǎn)評估方法，重點(diǎn)對D-AHP一級TOPSIS兩種安全風(fēng)險(xiǎn)評估方法進(jìn)行分析和實(shí)例驗(yàn)證，有效解決了傳統(tǒng)安全風(fēng)險(xiǎn)評估方法存在的主觀性強(qiáng)、不確定性因素多的問題，提高了安全風(fēng)險(xiǎn)評估的準(zhǔn)確性和有效性，不過度依賴專家經(jīng)驗(yàn)。同時(shí)簡化了電廠控制系統(tǒng)安全風(fēng)險(xiǎn)指標(biāo)和過程，完善了安全風(fēng)險(xiǎn)評估指標(biāo)體系。在后續(xù)的研究中需對安全威脅之間的相互影響、風(fēng)險(xiǎn)評估存在的局限性等進(jìn)行評估，以提高安全風(fēng)險(xiǎn)評估性能是下一步需研究的內(nèi)容。

參考文獻(xiàn)：

[1] 周慎學(xué)，范淵，夏克晁，等.臺二電廠工控系統(tǒng)信息安全防護(hù)體系的建設(shè)[J].中國電力，2017， 50（8）：53-57.

[2] 李田，蘇盛，楊洪明，等.電力信息物理系統(tǒng)的攻擊行為與安全防護(hù)[J].電力系統(tǒng)自動化，2017， 41 （22）： 162-167.

[3] 魏曉雷，劉龍濤.電力行業(yè)工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估研究[J].信息安全研究，2018，4 （10）： 904-913.

[4] 彭道剛，衛(wèi)濤，趙慧榮.基于D-AHP和TOPSIS的火電廠控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估[J].控制與決策，2019，34（11）：2445-2551.

[5] 童曉陽，王曉茹.烏克蘭停電事件引起的網(wǎng)絡(luò)攻擊與電網(wǎng)信息安全防范思考[J].電力系統(tǒng)自動化，2016，40（7）：144-148.

[6] 關(guān)鴻鵬，李琳，李鑫，等.工業(yè)互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)體系研究[J]. 自動化博覽，2018（3）：50-53.

[7] 盧慧康，陳冬青，彭勇，等.工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估量化研究[J].自動化儀表，2014，35 （10）： 21-25.

[8] 賈馳千，馮冬芹.基于多目標(biāo)決策的工控系統(tǒng)設(shè)備安全評估方法研究[J].自動化學(xué)報(bào)，2016， 42（5）：706-714.

[9] 常昊，秦元慶，周純杰.基于貝葉斯攻擊圖的工控系統(tǒng)動態(tài)風(fēng)險(xiǎn)評估[J].信息技術(shù)，2018（10）：62-72.

[10] 王協(xié)梁，劉光杰，戴躍偉.工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估要素量化方法[J].工業(yè)控制計(jì)算機(jī)，2015，28 （4）：14-16.

[11] 龔斯諦，王磊.基于AHP與信息熵的工控系統(tǒng)信息安全風(fēng)險(xiǎn)評估研究[J].工業(yè)控制計(jì)算機(jī)， 2017，30（4）：11-15.

[12] 柴繼文，王勝，梁暉輝，等.基于層次分析法的信息安全風(fēng)險(xiǎn)評估要素量化方法[J].重慶大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，40（4）： 44-53.

第一作者簡介：齊祥柏（1983-），男，吉林輝南人，大學(xué)本科，工程師，研究領(lǐng)域?yàn)楣た匦畔踩?、智能發(fā)電、電站自動化。

（編輯：刁少華）