馬 亮,王子軒,苑晨亮,張曉叢,王美璇
(1. 中核第四研究設(shè)計(jì)工程有限公司,石家莊 050000;2. 河北省核安保技術(shù)創(chuàng)新中心,石家莊 050000)
近年來(lái),國(guó)內(nèi)外安全形勢(shì)日益復(fù)雜,核設(shè)施與核材料面臨的安全情況和問(wèn)題日趨嚴(yán)峻。核安全作為總體國(guó)家安全觀的要素之一,不僅事關(guān)核工業(yè)發(fā)展命脈,也是國(guó)家安全發(fā)展的重要著力點(diǎn)。為此,需要對(duì)核材料和核設(shè)施的安保問(wèn)題給予高度關(guān)注,建立有效的實(shí)物保護(hù)系統(tǒng)有效性分析體系和方法,提高核安保水平、確保國(guó)家安全[1,2]。
核安保是核安全的重要組成部分,是指預(yù)防、探知和應(yīng)對(duì)涉及核材料、其他放射性物質(zhì)、相關(guān)設(shè)施和相關(guān)活動(dòng)的擅自接觸、未經(jīng)授權(quán)的轉(zhuǎn)移、盜竊、蓄意破壞或其他惡意行為[3]。實(shí)物保護(hù)系統(tǒng)作為核設(shè)施的第一道安全屏障,對(duì)于保障核設(shè)施、核材料是否在安全受控狀態(tài)下運(yùn)行至關(guān)重要。本文主要針對(duì)實(shí)物保護(hù)系統(tǒng)展開研究。
實(shí)物保護(hù)系統(tǒng)是指利用實(shí)體屏障、探測(cè)延遲技術(shù)及人員的響應(yīng)能力,阻止盜竊、搶劫或非法轉(zhuǎn)移核材料以及破壞核設(shè)施行為的安全防御系統(tǒng)[4]。主要包含探測(cè)、延遲和響應(yīng)三個(gè)主要功能[5]:
(1)探測(cè)主要用于發(fā)現(xiàn)敵手的入侵行為,是實(shí)物保護(hù)系統(tǒng)的第一道防線,探測(cè)失敗將導(dǎo)致防護(hù)設(shè)施的延遲與響應(yīng)功能衰退甚至無(wú)效。
(2)延遲是利用墻體、門鎖、柵欄等延遲設(shè)備阻止或延緩敵手的入侵。在探測(cè)設(shè)備監(jiān)測(cè)到入侵后,延遲設(shè)備延緩敵手的時(shí)間越長(zhǎng),越有利于響應(yīng)力量中斷入侵。
(3)響應(yīng)是指接收到探測(cè)到敵手的報(bào)警信號(hào)后,響應(yīng)力量出發(fā)對(duì)敵手進(jìn)行中斷和壓制的行動(dòng)。制定完善有效的防御策略是提高響應(yīng)能力的有效措施。
實(shí)物保護(hù)系統(tǒng)的有效性分析是實(shí)物保護(hù)中的一個(gè)重要環(huán)節(jié)。實(shí)物保護(hù)有效性分析是應(yīng)用定量或定性的分析技術(shù)使實(shí)物保護(hù)系統(tǒng)達(dá)到有效水平的結(jié)構(gòu)化系統(tǒng)過(guò)程。因此,有必要展開實(shí)物保護(hù)系統(tǒng)有效性分析的研究,提高實(shí)物保護(hù)系統(tǒng)的可用性、可靠性、有效性。
為評(píng)估實(shí)物保護(hù)系統(tǒng)的防護(hù)效果,國(guó)內(nèi)外學(xué)者與專家對(duì)實(shí)物保護(hù)系統(tǒng)有效性分析展開研究。20 世紀(jì)70 年代,美國(guó)桑迪亞國(guó)家實(shí)驗(yàn)室提出EASI(Estimation of Adversary Sequence Interruption,EASI)方法[6],該方法借助探測(cè)、延遲和響應(yīng)的實(shí)物保護(hù)系統(tǒng)基本功能計(jì)算特定路徑的中斷敵手概率。1980 年,美國(guó)桑迪亞國(guó)家實(shí)驗(yàn)室提出入侵薄弱路徑系統(tǒng)性分析方法(Systematic Analysis of Vulnerability to Intrusion,SAVI)[7],該方法使用入侵序列圖(Adversary Sequence Diagram,ASD)將敵手可能的入侵路徑圖形化。在此基礎(chǔ)上,美國(guó)能源部1990 年提出ASSESS(Analytic System and Software for Evaluating Safeguards and Security,ASSESS)分析系統(tǒng),該系統(tǒng)將內(nèi)部威脅考慮到分析中。1990 年,日利納大學(xué)提出SATANO 軟件,該方法可基于不同的設(shè)計(jì)基準(zhǔn)威脅對(duì)實(shí)物保護(hù)系統(tǒng)有效性展開分析。2008 年,韓國(guó)核不擴(kuò)散與控制研究所提出一種基于二維模型計(jì)算和評(píng)估實(shí)物保護(hù)系統(tǒng)有效性方法(Systematic Analysis of Physical Protection Effectiveness,SAPE),該方法可圖形化展示敵手入侵路徑。2008 年,俄羅斯ISTA 公司研發(fā)用于實(shí)物保護(hù)系統(tǒng)有效性分析軟件SPURT,該軟件可對(duì)探測(cè)設(shè)備的探測(cè)范圍進(jìn)行仿真,從而找出檢測(cè)盲區(qū)。2017 年,哈爾濱工程大學(xué)提出了基于蟻群算法的啟發(fā)式有效性評(píng)估方法(HAPPS)[8],該方法參考螞蟻覓食的仿生行為,在二維地圖中尋找實(shí)物保護(hù)系統(tǒng)的脆弱入侵與逃跑路徑。2018 年,哈爾濱工程大學(xué)提出了基于啟發(fā)式A*算法的實(shí)物保護(hù)系統(tǒng)有效性分析方法(HPEP)[9],該方法基于二維模型對(duì)實(shí)物保護(hù)系統(tǒng)進(jìn)行有效性分析,并且在分析中考慮了探測(cè)設(shè)備的探測(cè)范圍。2021 年,河北省核安保技術(shù)創(chuàng)新中心提出了實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)薄弱性分析與評(píng)價(jià)系統(tǒng)及實(shí)物保護(hù)設(shè)計(jì)基準(zhǔn)威脅分析與評(píng)價(jià)系統(tǒng),該系統(tǒng)可實(shí)現(xiàn)薄弱性分析、設(shè)計(jì)基準(zhǔn)威脅分析、三維地圖仿真等功能,填補(bǔ)了國(guó)內(nèi)相關(guān)領(lǐng)域空白。
本文對(duì)實(shí)物保護(hù)系統(tǒng)有效性分析軟件與算法進(jìn)行總結(jié)歸納,客觀分析其優(yōu)缺點(diǎn),最后提出面向工程應(yīng)用的實(shí)物保護(hù)系統(tǒng)有效性分析算法的研究方向與思路,為后續(xù)相關(guān)算法優(yōu)化、研究提供參考。
本節(jié)對(duì)常用且具有代表性的實(shí)物保護(hù)系統(tǒng)有效性分析軟件與算法進(jìn)行總結(jié)分析,包括EASI 模型、SAVI 模型、HPEP 算法(基于A*算法的啟發(fā)式有效性評(píng)估)和河北省核安保技術(shù)創(chuàng)新中心-實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)薄弱性分析與評(píng)價(jià)系統(tǒng)。
EASI 模型是20 世紀(jì)70 年代由美國(guó)桑迪亞國(guó)家實(shí)驗(yàn)室提出的。該方法用一維地圖模型描述實(shí)物保護(hù)系統(tǒng),在此基礎(chǔ)上評(píng)估特定威脅下單一路徑的實(shí)物保護(hù)系統(tǒng)有效性。該方法能夠根據(jù)檢測(cè)、延遲、響應(yīng)和通信特征確定攔截成功的概率。其中,探測(cè)概率使用點(diǎn)估計(jì)方法,包括開始穿越障礙物的檢測(cè)概率、穿越障礙物中檢測(cè)概率和穿越障礙物后的檢測(cè)概率。保護(hù)元件延遲時(shí)間和響應(yīng)力量的響應(yīng)時(shí)間服從正態(tài)分布。在通信中考慮通信成功概率。
在基于EASI 模型的有效性分析中,響應(yīng)力量成功中斷敵手入侵必須滿足:
其中,TR為從探測(cè)到敵手開始計(jì)算到敵手實(shí)現(xiàn)入侵目標(biāo)的剩余路徑延遲時(shí)間;RFT為響應(yīng)力量的響應(yīng)時(shí)間,入侵路徑示意圖如圖1所示。
圖1 入侵路徑示意圖Fig.1 Intrusion path diagram
圖1 中,p1、p2、p3、p4、p5、p6為探測(cè)點(diǎn);t1、t2、t3、t4、t5、t6為各部分的延遲時(shí)間。假設(shè)剩余路徑延遲時(shí)間TR和響應(yīng)時(shí)間RFT均服從正態(tài)分布,則X的均值和方差如下:
在敵手入侵路線上某一點(diǎn)i檢測(cè)到敵手入侵事件Ai的情況下,響應(yīng)力量可以在敵手突破防線前進(jìn)行防御的概率為:
因此,在敵手入侵路徑上的攔截概率之和為
故,在EASI 模型下攔截并戰(zhàn)勝概率PE為:
其中,PN為戰(zhàn)勝對(duì)手的可能性,即反應(yīng)部隊(duì)比敵手強(qiáng),能夠抓捕、消滅或迫使敵手逃跑的概率。
EASI 模型方法的優(yōu)點(diǎn)如下:能夠簡(jiǎn)單易行地對(duì)指定威脅下的單條路徑進(jìn)行有效性計(jì)算,模型考慮越全面,計(jì)算結(jié)果越符合實(shí)際情況。
EASI 模型方法的缺點(diǎn)如下:
(1) EASI 模型無(wú)法判斷最脆弱的路徑,依賴人為輸入攻擊方式與攻擊路徑,但隨著核設(shè)施復(fù)雜度的提高,很難人為選出最薄弱的路徑。
(2) EASI 模型假設(shè)最小剩余時(shí)間和響應(yīng)時(shí)間符合正態(tài)分布,但缺乏實(shí)際工程應(yīng)用中的數(shù)據(jù)支撐。
SAVI 方法是1980 年由美國(guó)桑迪亞國(guó)家實(shí)驗(yàn)室提出的。該方法同樣使用一維地圖模型描述實(shí)物保護(hù)系統(tǒng),與EASI 方法不同的是,SAVI 方法使用敵對(duì)序列圖(Adversary Sequence Diagram,ASD)分析所有路徑并識(shí)別出最脆弱的路徑集合,如圖2 所示。
圖2 敵對(duì)序列圖Fig.2 Adversary sequence diagram
該方法包含兩個(gè)模塊:
(1)防護(hù)設(shè)施——搭建核設(shè)施、核材料的防護(hù)設(shè)施及其組件。在防護(hù)設(shè)施模塊中,可修改設(shè)施運(yùn)行狀態(tài)、響應(yīng)力量的響應(yīng)時(shí)間、延遲設(shè)備的延遲時(shí)間、探測(cè)設(shè)備的探測(cè)概率、區(qū)域間的最小距離等因素。
(2)外部入侵者——計(jì)算分析中斷外部入侵的可能性,并找到最脆弱的路徑集合。在外部入侵者模塊中,可修改設(shè)計(jì)基準(zhǔn)威脅,如敵手?jǐn)?shù)量、武器裝備、戰(zhàn)術(shù)等因素。
基于敵對(duì)序列圖,SAVI 方法提出了臨界探測(cè)點(diǎn)(Critical Detection Point,CDP)的思想,將剩余路徑延遲時(shí)間與響應(yīng)力量平均響應(yīng)時(shí)間相同的前一個(gè)探測(cè)點(diǎn)視為臨界探測(cè)點(diǎn),入侵路徑示意圖如圖3 所示。
圖3 入侵路徑示意(臨界探測(cè)點(diǎn))圖Fig.3 CDP-based Intrusion path diagram
在敵手突破臨界探測(cè)點(diǎn)之前被檢測(cè)到,響應(yīng)力量可以有足夠的時(shí)間對(duì)敵手進(jìn)行攔截。在敵手突破臨界探測(cè)點(diǎn)之前未被檢測(cè)到,響應(yīng)力量無(wú)法進(jìn)行及時(shí)有效的攔截。在這種情況下,攔截概率可簡(jiǎn)化為臨界探測(cè)點(diǎn)前敵手被檢測(cè)到的概率,其表達(dá)式如下:
SAVI 的優(yōu)點(diǎn)如下:
(1) SAVI 方法在設(shè)置防護(hù)設(shè)施模塊與外部入侵模塊時(shí)可結(jié)合實(shí)物保護(hù)系統(tǒng)的具體特點(diǎn),可針對(duì)不同的設(shè)施進(jìn)行配置分析。
(2) SAVI 方法在設(shè)置好防護(hù)設(shè)施模塊和外部入侵者模塊后,可自主分析出最脆弱的路徑集合,不需要人為選擇路徑。
SAVI 的缺點(diǎn)如下:
(1) SAVI 方法在分析過(guò)程中使用了保護(hù)層之間的最小距離,分析過(guò)于保守導(dǎo)致評(píng)價(jià)結(jié)果過(guò)于薄弱。
(2) SAVI 方法提出了臨界探測(cè)點(diǎn)的思想,在敵手突破臨界探測(cè)點(diǎn)后被檢測(cè)到的情況直接認(rèn)定為防御失敗,分析過(guò)于保守。
(3)在SAVI 方法的薄弱路徑分析中,使用的枚舉分析法,分析效率較低。
2018 年,哈爾濱工程大學(xué)提出了基于啟發(fā)式A*算法的實(shí)物保護(hù)系統(tǒng)有效性分析方法(HPEP),該方法基于二維地圖模型對(duì)實(shí)物保護(hù)系統(tǒng)進(jìn)行有效性分析,并且在分析中考慮了探測(cè)設(shè)備的探測(cè)范圍。
A*算法是啟發(fā)式尋徑算法。在二維地圖模型下,相對(duì)于非啟發(fā)式算法,A*算法可以提高運(yùn)算效率。當(dāng)目標(biāo)從當(dāng)前位置移動(dòng)到下一個(gè)位置時(shí),A*算法可以依據(jù)離開的位置和到達(dá)的位置計(jì)算出大致的路徑,然后細(xì)化每個(gè)區(qū)域的粗略路徑。與其他尋徑算法相比,A*算法在尋找最短路徑方面具有較高的搜索效率路徑。A*算法最短路徑選取算法如下:
其中,n 是路徑上的最后一個(gè)節(jié)點(diǎn);G(n)為從起始節(jié)點(diǎn)到n 節(jié)點(diǎn)的路徑代價(jià)函數(shù)(已知函數(shù),為廣度優(yōu)先搜索);H(n)是啟發(fā)式函數(shù),它估計(jì)從n 節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)最小代價(jià)的路徑(未知函數(shù),為深度優(yōu)先搜索)。啟發(fā)式函數(shù)H(n)越準(zhǔn)確,算法找到實(shí)際最短路徑的速度越快。
基于A*算法,將探測(cè)概率作為啟發(fā)式信息,對(duì)A*算法進(jìn)行了改進(jìn),用于對(duì)手入侵路徑的評(píng)估。在搜索過(guò)程中,可以控制A*算法來(lái)估計(jì)最佳路徑,而不是盲目地搜索路徑。如果存在G(n)<G*(n)[(G*(n)是A* 算法對(duì)G(n)的最小估計(jì)值],且H(n)<H*(n)[(H*(n)是A*算法對(duì)H(n)的最小估計(jì)值,依賴于啟發(fā)式信息,稱為評(píng)價(jià)函數(shù)],當(dāng)F(n)值最小時(shí),A*算法會(huì)找到一條最佳(脆弱)路徑。假設(shè)入侵事件失敗的判據(jù)是被檢測(cè)到的對(duì)手,則算法如下:
其中,P(D)G表示G(n),P(D)H表示H(n)。
將P(D)G視為A*算法的代價(jià)函數(shù)。G(n)是一個(gè)常數(shù)值,用于實(shí)時(shí)計(jì)算從起始節(jié)點(diǎn)到節(jié)點(diǎn)n 的檢測(cè)概率。n 為對(duì)手入侵的當(dāng)前節(jié)點(diǎn),t 為目標(biāo)節(jié)點(diǎn)。I 是被入侵的中間節(jié)點(diǎn)之一,實(shí)時(shí)代表對(duì)手的入侵行為。h(p)為評(píng)價(jià)H(n)的影響因子。如果所有網(wǎng)格h(p) = 0,則A*等價(jià)于Dijkstra 算法,降低了搜索效率。這里對(duì)Manhattan Distance 進(jìn)行類比分析,即(nx,ny)與(tx,ty)在笛卡爾坐標(biāo)下的距離為|nx-tx| + |ny-ty|,h(p)為嚴(yán)格按照水平和垂直路徑在網(wǎng)格中兩點(diǎn)之間的探測(cè)概率。h(p)X→Y表示為X→Y的探測(cè)概率,表達(dá)式如下:
算法流程如圖4 所示。
圖4 HPEP 算法流程Fig.4 HPEP algorithm flowchart
該方法的優(yōu)點(diǎn)如下:
(1)模型將二維地圖劃分為網(wǎng)格,二維地圖中包含的信息多于一維地圖。
(2)引入了啟發(fā)式算法,避免了盲目搜索,提高了薄弱路徑搜索效率。
該方法的缺點(diǎn)如下:
(1)算法的代價(jià)函數(shù)和啟發(fā)式函數(shù)中只考慮了探測(cè)概率,未考慮設(shè)備延遲信息。
(2)啟發(fā)式算法雖提高了搜索效率,但不是全圖搜索,可能導(dǎo)致局部最優(yōu)解。
2021 年,河北省核安保技術(shù)創(chuàng)新中心通過(guò)對(duì)國(guó)內(nèi)外實(shí)物保護(hù)系統(tǒng)薄弱性分析方法的分析與研究,結(jié)合我國(guó)現(xiàn)有核材料和核設(shè)施實(shí)物保護(hù)系統(tǒng)的運(yùn)行現(xiàn)狀,基于核設(shè)施實(shí)物保護(hù)能力驗(yàn)證評(píng)價(jià)體系,提出國(guó)內(nèi)適用的實(shí)物保護(hù)系統(tǒng)薄弱性分析方法與流程邏輯,建立基于核設(shè)施模型的入侵路徑動(dòng)態(tài)分析結(jié)構(gòu)化系統(tǒng),研究延遲設(shè)備延遲時(shí)間推算方法及測(cè)試方法,構(gòu)建延遲設(shè)備數(shù)據(jù)庫(kù),形成一套科學(xué)完善、邏輯自洽、實(shí)用性強(qiáng)、泛用性廣的薄弱性分析工具,為開展實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)、建設(shè)、維護(hù)及升級(jí)改造相關(guān)任務(wù)打下堅(jiān)實(shí)基礎(chǔ)。該系統(tǒng)已在多個(gè)核設(shè)施、軍工設(shè)施應(yīng)用,產(chǎn)生直接經(jīng)濟(jì)效益約2200 萬(wàn)元。
設(shè)施描述模型作為基礎(chǔ)模塊,用于描述實(shí)物保護(hù)系統(tǒng)的相關(guān)設(shè)施環(huán)境信息。采用敵手序列圖(ASD)理論將設(shè)施分成多個(gè)相鄰的保護(hù)區(qū)域,區(qū)域之間通過(guò)保護(hù)層連接。保護(hù)層由一個(gè)或多個(gè)路徑元件組成。從一個(gè)區(qū)域到達(dá)另一個(gè)區(qū)域必須通過(guò)路徑元件,路徑元件具有探測(cè)和/或延遲的功能,元件屬性包括距離/尺寸、出入控制、入侵探測(cè)、通過(guò)延遲和警衛(wèi)檢查等類別,如圖5 所示。
圖5 敵對(duì)序列圖Fig.5 Adversary sequence diagram
外部入侵模型在設(shè)施描述模型的基礎(chǔ)上,利用系統(tǒng)薄弱性分析方法將部分?jǐn)呈中畔⒘炕癁樵商綔y(cè)的實(shí)際探測(cè)概率和延遲時(shí)間數(shù)值,用排列組合方法,列出敵手通過(guò)設(shè)施元件到達(dá)保護(hù)對(duì)象的所有可能路徑,計(jì)算出薄弱路徑的截住概率,作為實(shí)物保護(hù)系統(tǒng)對(duì)付外部入侵的有效性度量。同時(shí),根據(jù)設(shè)施空間布局,建立設(shè)施三維模型,搭載設(shè)施結(jié)構(gòu)化信息,根據(jù)現(xiàn)實(shí)情況與實(shí)物保護(hù)設(shè)備建立入侵路徑耦合關(guān)系,呈現(xiàn)入侵路徑動(dòng)態(tài)展示功能,如圖6 所示。
圖6 三維建模圖Fig.6 3D modeling diagram
上述已有的有效性分析方法各有優(yōu)劣,本文在工程應(yīng)用領(lǐng)域進(jìn)行總結(jié),如表1 所示。
表1 實(shí)物保護(hù)系統(tǒng)有效性分析方法Table 1 Method for vulnerability analysis of physical protection systems
本節(jié)在面向工程應(yīng)用方面提出實(shí)物保護(hù)系統(tǒng)有效性分析方法的研究方向與思路:
(1)在基于二維地圖的實(shí)物保護(hù)系統(tǒng)有效性分析方法中,代價(jià)函數(shù)與啟發(fā)式函數(shù)中只包含實(shí)物保護(hù)系統(tǒng)中探測(cè)設(shè)備的探測(cè)概率,延遲設(shè)施的延遲時(shí)間并未直接參與算法的運(yùn)算與迭代,算法迭代過(guò)程中沒(méi)有延遲設(shè)施信息可能導(dǎo)致分析結(jié)果不準(zhǔn)確。因此,可以在HPEP 算法基礎(chǔ)上加入延遲信息θ(t),組合為θα(t)[1-P(Dn)]β,通過(guò)α與β調(diào)整延遲時(shí)間與探測(cè)概率在分析過(guò)程中所占比重。
(2)在工程應(yīng)用中,隨著科學(xué)的發(fā)展與技術(shù)的進(jìn)步,核設(shè)施面臨多維度、多空間(空中、水下、網(wǎng)絡(luò)空間等)的新威脅。在新形式、新威脅的環(huán)境下,二維地圖無(wú)法滿足新形勢(shì)下威脅手段的有效性分析。因此,有必要展開基于三維空間與數(shù)據(jù)庫(kù)的有效性分析與仿真模擬。
(3)在工程應(yīng)用中,實(shí)物保護(hù)系統(tǒng)的有效性分析可在設(shè)計(jì)階段進(jìn)行評(píng)估,評(píng)估主要是針對(duì)實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)中的薄弱路徑與薄弱環(huán)節(jié)進(jìn)行分析,從而提高設(shè)計(jì)的安全性、合理性。因此,有必要研究將CAD 繪制的dwg 格式圖紙轉(zhuǎn)化為三維模型和數(shù)據(jù)庫(kù)的算法與軟件系統(tǒng)。
本文對(duì)實(shí)物保護(hù)系統(tǒng)有效性分析算法與模型展開對(duì)比分析與歸納總結(jié)。最后提出一種面向工程應(yīng)用(目標(biāo)特征屬性、廠址周邊環(huán)境、人員屬性、系統(tǒng)設(shè)備及管理程序等)的實(shí)物保護(hù)系統(tǒng)有效性分析算法的研究方向與思路,同時(shí)為后續(xù)相關(guān)算法優(yōu)化、研究提供參考與借鑒,提高實(shí)物保護(hù)系統(tǒng)有效性分析的科學(xué)性、合理性。