前言：尋找寫作靈感？中文期刊網用心挑選的工業控制系統信息安全問題分析，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：針對電廠控制系統安全風險評估方案存在的主觀性強、不確定因數大的問題，對用于電廠控制系統的安全風險評估系統的結構模型進行詳細分析，同時對安全風險評估的評估流程、評估算法中的D數理論、D-AHP評估方法、TOPSISI評估方法進行詳細分析。對基D-AHP、TOPSIS風險評估算法進行實例分析，建立簡單電廠控制系統安全風險評估體系，求解影響各指標的權重值并得到電廠控制系統安全風險值。分析結果表明，上述兩種安全風險評估方法的正確性和有效性，同時解決了傳統安全風險評估方法存在的主觀性強、不確定性因素多的問題，提高了安全風險評估的準確性和有效性，不過度依賴專家經驗；還簡化了電廠控制系統安全風險指標和過程，完善了安全風險評估指標體系。

關鍵詞：安全風險評估；D-AHP；TOPSIS；控制系統；電廠

0引言

隨著智能化、信息化、網絡化技術的不斷發展，工業控制系統信息安全問題成為亟需解決的問題并引起國內外的廣泛關注。“Petya”勒索病毒在電廠的肆虐進一步加劇了國家和社會對電廠控制系統信息安全的關注。目前，國內電廠全網設備已經實現互聯互通，非法入侵成文電廠控制系統極大的安全隱患，非常有必要研究電廠控制系統的安全問題并進行風險評估。電廠控制系統信息安全問題在2012年之后呈明顯上升趨勢，典型案例有2016年德國核電站發現由USB驅動帶入得惡意程序，使得核電站人員關閉電廠并進行全面檢測；2018年臺積電被WannaCry病毒攻擊，使得工控機不斷重啟，造成直接經濟損失約2.55億美元[1-2]。為保障工業控制系統信息安全，利用科學的評估方法對系統進行評估，如定量評估、定性評估以及綜合評估等?；诠I控制系統信息評估現場數據信息的特殊性，多采用模糊層次分析、DS證據理論、BP/RBF神經網絡預測等方法構建工業控制系統信息安全評估模型，預防黑客、病毒攻擊，構建安全、穩定、高效的工業控制系統[3-4]。文章在分析電廠工業控制系統安全風險內容、評估流程、評估算法的基礎上，建立基于D-AHP構建電廠控制系統信息安全風險評估體系，結合TOPSIS算法計算預見的準確度以及評價權重并獲得該電廠控制系統的安全風險值，從定量、定性兩方面制定安全風險決策依據。

1安全風險分析

國內電廠工業控制系統主要分為分散控制系統、可編程控制系統以及現場總線控制系統3種，常用的控制器包括西門子、InterControl、BeckHoff、ABB以及艾默生等，通過TCP/IP、CAN、CanOpen、Modbus、RS485等多種通訊模式進行組網并完成設備間的數據傳。電廠控制系統構成封閉局域網，設備間的數據進行透傳，存在很大的安全隱患。構建電廠控制系統物理、網絡、終端等多維多角度保護，能夠確保電廠控制系統生命周期安全性[5]。對電廠控制系統的資產、威脅、脆弱性、已有安全措施四方面記性評估，得到準確的電廠控制系統風險綜合值，并提出安全整改意見和改進措施。圖1所示為電廠控制系統安全評估結構模型，由目標層、準則層以及指標層組成。目標層體現安全風險的目標，準則層體現完成目標所需要定義的準則和規則，指標層體現完成準則所需要定義的指標，三者相輔相成，共同影響電廠工業控制系統安全風險。資產體現數據未非授權更改、破壞、訪問、使用的特性，體現控制系統數據的保密性、完整性以及可用性。威脅體現數據被自然不可抗因素、物理因素破壞的特性，包括環境、人為兩方面。脆弱體現數據在技術脆弱性、管理脆弱性層面的安全漏洞，包括物理、網絡、系統、應用、病毒侵入等多個層次。已有安全措施是指降低數據受到威脅的預防性安全措施，針對脆弱層面采取的保護性以及安全處理方案。根據IEC62443工業控制系統信息安全風險評估規范，電廠控制系統安全評估規范根據風險目標可分為實用性、完整性以及保密性3部分，其中實用性目標包括系統數據包重放攻擊、網絡病毒侵入、網絡拒絕服務或者服務中斷；完整性目標包括非法網絡設備機械性侵入、非法獲取設備的訪問權限和登錄權限、登錄信息并篡改、控制信息被非法獲取、交互信息丟失；保密性目標包括木馬病毒被植入、蠕蟲病毒被植入、網絡連接未被授權，詳細如表1所示。

2安全風險評估

2.1評估流程

電廠控制系統安全風險評估流程如圖2所示，涉及到的主要方面包括確定評估范圍、制定工作計劃、制定應急計劃、資產/威脅/脆弱性評估、風險計算、風險決策以及安全整改等[6-7]。圖2所示的流程中的必要基本配置包括：（1）安全分區，即將電廠控制系統內部分為生產控制區、管理信息區兩部分，設置簡單化且不出現縱向交叉；（2）網絡專用，控制系統網絡必須獨立且與其他網絡進行隔離。該網絡內部分為實時子網，與控制器連接；非實時子網，與非控制區連接；（3）橫向隔離，控制系統內部設置橫向安全隔離裝置，分布在生產控制區、管理信息區之間，并進行安全邏輯隔離；（4）縱向認證，在生產控制區與外部網絡連接處設置縱向認證安全裝置，機行加密認證、數據互鎖。

2.2評估算法

電廠控制系統安全風險評估的目的是對資產、威脅以及脆弱性進行綜合估算，主要估算方法有基于層次分析法（AHP）、基于D-S證據理論分析法、基于BP神經網絡分析法、基于攻擊樹分析法以及基于攻擊圖分析法5種。AHP分析法的優點是定量化數據使用較多，使得思維過程清晰化、數量化；缺點是結果依賴主觀性的程度較大[8]。D-S法的優點是存在能較好處理認為因素、不確定因素較大的場景去，缺點是理論支持較弱、合理性有待驗證。BP神經網絡法的優點是可消除主觀因素影響，缺點是正確性需大量樣本數據的支撐。攻擊樹分析法的優點是可發現系統的薄弱之處，缺點是主觀因素影響較大。攻擊圖法的優點可實時在線反應攻擊者的攻擊過程，缺點是構建該方法需要大量人力、財力的支持。因此，采用D數優化曾分析法（D-AHP）并結合電廠控制系統特點、評估標準建立基于控制系的安全風險評估系統，使得評估結果更加客觀、公正，同時有效計算出電廠控制系統的安全風險值。

2.2.1D數理論定義

Ω為有限性連續非空集合，設D數為映射，即Ω→[0,1]，且滿足條件∑B⊂ΩD(B)≤1，且有D(ϕ)=0，ϕ為空集，B為Ω的子集。若∑B⊂ΩD(B)=1，則標識D數表示的信息完整，否則為不完整信息[9-11]。當Ω為有限性非連續非控集合時，Ω={b1,b2,…,bn}，且有bi∈R，則如果i≠j時，有bi≠bj，D數可表示為：D{b1}=v1D{b2}=v2...D{bx}=vx（1）則有D={(b1,v1),(b2,v2),…,(bi,vi),…,(bn,vn)}，且需滿足vi>0、∑i=1nvi<1。

2.2.2D-AHP評估方法

假設電廠控制系統安全風險評估一級指標資產為U1，二級指標保密性為U11、完整性為U12、可用性為U13；一級指標威脅為U2，二級指標環境因素為U21、人為因數為U22；一級指標脆弱性為U3，二級因數技術脆弱性為U31、管理脆弱性為U32；已有安全措施為U4、二級預防性安全措施為U41、保護性安全措施為U42。計算電廠控制系統安全風險各指標權重的步驟為[12]：（1）比較資產、威脅、脆弱性一級已有安全措施的指標特性，并建立D的偏好矩陣RD;（2）利用式（1）將偏好矩陣RD轉換為實數矩陣RC；（3）根據實數矩陣RC建立概率矩陣Rp；（4）按照Rp中的行排列由大到小的順序依次可得到三角化實數矩陣RTC（5）計算RTC指標重的資產、威脅、脆弱性以及已有安全措施的相對權重。

2.2.3TOPSISI評估方法

TOPSISI評估方法即計算并評估所選樣本與理想解的接近度，找到離正理想解距離最近，離負理想解最遠的方案。TOPSISI評估方法的步驟為：（1）令電廠控制系統安全評估風險對象指標集為U={U1,U2,…,Uα]，專家組集為h={h1,h2,…,hα}，建立初評矩陣MA=[ai]m×m；（2）求矩陣MA的極大性指標為式（2），極小性指標為式（3）；（3）構建加權規范矩陣MC，且有MC=[cij]n×m；（4）求MC的安全風險評估理想解；（5）求解每隔評估樣本與理想解的距離；（6）求安全風險評估系統的貼進度大小并完成相對優劣排序，利用歸一化方案求出專家權重。bij=aij-min(aij)max(aij)-min(aij)（2）bij=max(aij)-aijmax(aij)-min(aij)（3）

3實例分析

為驗證D-AHP評估方法、TOPSISI評估方法的正確性和有效性，以某電廠的控制系統為例機型研究，建立簡單電廠控制系統安全風險評估指體系并構建；評估指標的D數偏好矩陣，即根據電廠控制系統資產識別、威脅識別、脆弱性識別以及已有安全措施建立指標體系，用D數理論改進層次分析法，求解各層次指標影響；使用逼近理想解方法計算各專家意見的準確度；綜合指標權重、專家權重以及專家評價指標確定電廠控制系統的安全風險等級?；贒-AHP一級TOPSISI評估方法得到的電廠控制系統安全風險評估權重統計數據如表2所示。由表可得電廠控制系統安全風險評估二級指標綜合權重向量為：W=(0.2286,0.0721,0.1088,0.3000,0.2000,0.0179,0.0078,0.0258,0.0089)（4）由式（4）可知，電廠控制系統安全風險值處于中等水平，需采用措施保護局系統安全，降低風險等級，其中面臨的最大風險為威脅性，權重為0.5270，需對控制系統中的惡意軟件、拒絕服務攻擊、通信參數篡改、數據竊取等威脅性動作進行排查與管理，如加入入侵檢測系統、加強防火墻過濾、建立統一服務管理平臺等，保證電廠控制系統的安全性。

4結束語

本文以工業控制系統信息安全為背景，重點討論基于電廠控制系統的安全風險評估方法，重點對D-AHP一級TOPSIS兩種安全風險評估方法進行分析和實例驗證，有效解決了傳統安全風險評估方法存在的主觀性強、不確定性因素多的問題，提高了安全風險評估的準確性和有效性，不過度依賴專家經驗。同時簡化了電廠控制系統安全風險指標和過程，完善了安全風險評估指標體系。在后續的研究中需對安全威脅之間的相互影響、風險評估存在的局限性等進行評估，以提高安全風險評估性能是下一步需研究的內容。

作者：齊祥柏 陳青 趙洪崗 單位：國能智深控制技術有限公司