久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

工業控制系統的安全功能失效不僅會由威脅主體通過網絡攻擊實現，也可能由系統內部引起，因此工業控制系統的功能安全和信息安全在一定程度上并不是獨立的，建立一套有效的綜合安全量化評估體系有助于及時了解工業控制系統的安全指標，并及時預防安全事故的發生。

為了建立綜合安全量化評估體系，要先闡述功能安全與信息安全的區別。各個領域的研究專家對功能安全與信息安全的認識存在誤差，根據美國國家標準與技術研究所（National Institute of Standards and Technology，NIST）發布的NISTSP-80053（聯邦政府信息和組織的安全控制措施），將ICS信息安全與功能安全的區別簡要闡述，如表1所示。可以看出，功能安全與信息安全最主要的區別是功能安全的威脅來自內部，由系統硬件失效或人為誤操作造成，而信息安全的威脅來自系統外部的黑客攻擊等行為。

表1 功能安全與信息安全屬性對比

搞清楚功能安全與信息安全的區別，有助于在建立工業控制系統模型時綜合考慮兩者的影響，進而給出對工業控制系統最全面的安全量化。

2.1 層次化模型

在基于模糊層次分析法的工業控制系統安全量化評估中，最主要的是建立層次化模型。在國標GB/T20984-2007中明確指出，將信息安全風險分析分為資產、脆弱性和威脅3個方面，攻擊者利用信息系統的脆弱性對系統構成安全威脅，并讓系統本身的資產受到損失。

層次分析法（Analytic Hierarchy Process，AHP）是美國運籌學專家SattyTL最先提出的，是一種處理復雜系統的多準則決策手段。在典型的層次化分析法中，將整個系統分為目標層、要素層和評價層，類比信息安全分析的資產、威脅和脆弱性3要素，將層次分析法中的評價層表示為系統受到的各種安全攻擊，將要素層表示為系統的各種設備，將目標層表示為系統的最終安全評價值。

應用于實際的工業控制系統時，由于系統的復雜性，要先確定系統的網絡結構，從而對要分析的要素和評估對象有更深的認識。根據國家標準GB/T26333-201中提出的工控現場層次結構，將系統劃分成企業管理層、過程監控層和現場設備層3個層次，如圖1所示。由于過程監控層和現場設備層與工業控制領域密切相關，因此在實際分析時，將采用過程監控層和現場設備層作為系統的分析重點。

圖1 典型工業控制系統層次結構

2.2 攻擊樹模型

2.2.1 攻擊樹模型的基本概念

攻擊樹模型是Schneider在20世紀末提出來的一種用于描述系統所受攻擊的形象化方法，采用樹形結構描述整個系統，將葉節點表示為具體的攻擊事件，將根節點表示為最終被攻擊的目標。除了最下層的葉子節點外，其余節點分為AND與OR兩種類型。在AND類型中，只要將根節點的下一層的所有葉子都完成，才能到達根節點。相反，在OR類型中，只需完成任何一個葉子節點，就可以完成對根節點的攻擊。攻擊樹模型的AND與OR圖形化表示方法如圖2所示。

圖2 攻擊樹模型的AND與OR圖形化表示方法

2.2.2 擊樹模型葉子節點概率值的計算

在風險評估中，經常用攻擊事件所造成的損失與攻擊事件發生的概率值的乘積作為風險的評估值R，即：

在進行根節點概率值計算時，要對葉子節點進行指標量化。根據美國工業控制系統安全指南中所定義的攻擊事件發生的概率受到攻擊成本、攻擊難度和攻擊被發現的可能性3個因素的影響，。在計算每一個葉子節點的概率值時，需考慮這3個屬性。根據多屬性效用原理，將以上3個屬性轉化成效用值，便可得到每個葉子節點的概率值計算公式，即：

式（2）中，表示發生概率，與分別表示攻擊成本權重、攻擊難度權重和被發現的可能性權重，3個權重的和為1。在實例分析中，將采用模糊層次分析法確定這3個權重的具體值。分別表示攻擊事件的成本、難度和可能被發現的等級。、和分別代表攻擊成本、攻擊難度和攻擊被發現可能性的效用值。進一步分析可以得出，、與與效用值成反比例關系。為了簡化分析，這里取。

2.2.3 節點概率值的計算

在求得每個葉子節點的概率值后，便可求出根節點的概率值，下面分成AND與OR兩種情況討論：

（1）AND節點的概率值是各葉子節點概率值的乘積，即：

（2）OR節點是各葉子節點發生概率的最大值，即：

將FAHP運用到工業控制系統中解決實際的安全量化問題，一般分為4個步驟：（1）根據具體問題建立層次化分析模型；（2）構建評價層元素對要素層和要素層對目標層的兩兩判別矩陣；（3）由判別矩陣計算被比較元素的相對權重；（4）計算評價層與要素層的各元素的組合權重。

3.1 建立典型工控現場的層次化模型

以某電力設備系統為研究對象，對過程監控層和現場設備層建立如圖3所示的基于FAPH的工控系統層次化分析模型。目標層是工控系統的安全評估值，要素層是圖1中的各種系統設備，包括工程師站、操作員站、PLC和各種傳感器流量計以及無線設備。

圖3 基于FAHP的工控系統層次化分析模型

3.2 構建兩兩判別矩陣

在完成對系統的層次化建模后，要定量分析每一層元素遭到破壞后對上一層元素的影響，進而建立元素的相對重要性判別矩陣。為此，將采用0.1～0.9共9個標度給兩個元素的相對重要性賦值，如表2所示。

表2　元素優先關系數值標度表

評價層的5種安全威脅的特殊性，使其對要素層某一設備的影響存在較大差異。根據表2可以建立5種攻擊方式對設備層的影響判別矩陣。以OPC服務器為例，受到來自評價層的5種攻擊方式的影響，根據受到攻擊后所造成的影響進行判別賦值。數據篡改能夠讓攻擊者獲取OPC服務器的核心數據，且整個攻擊過程不易被發掘，將造成嚴重危害。拒絕服務讓OPC服務器失去對下層系統的控制能力，造成信息混亂等影響，但是這種讓系統失去控制能力的攻擊容易被發現，相應可以采取補救措施，影響相對較小。竊聽攻擊將導致OPC系統的數據被盜，相比數據篡改直接讓系統癱瘓來說影響較小。蠕蟲與木馬可以對OPC的服務程序進行修改，使其喪失一部分的能力。

根據上述分析，邀請4位專家分別對這5種攻擊對OPC服務器的影響根據表2分別進行賦值，得到判別賦值表如表3所示。表3中，每一個單元格包含4個元素，是4位專家對重要性的判別賦值，取單元格相同位置的元素組成判別矩陣。邀請多位專家是為了避免專家在評判過程中的主觀隨意性，使得評判的結果更具有說服力。

表3 OPC服務器評價指標重要性賦值

根據表3可以得到OPC服務器的4個判別矩陣：

同理，可以得到其他要素層各個系統設備的4個判別矩陣。根據要素層設備受到攻擊后對目標層的影響大小，同樣可以建立要素層對目標層的判別矩陣。工程師站受到攻擊后對目標層的影響明顯大于操作員站；PLC對系統造成的損失很難被發現，且PLC是系統的下行可控制單元，相比工程師站來說更加重要。根據同樣的思路，建立要素層各設備的重要性賦值表得到判別矩陣，同樣讓4位專家進行評分，這里僅列出了某一位專家的判別矩陣：

在進行下一步前，要對上述得到的判別矩陣進行一致性檢驗，判斷矩陣是否符合一致性要求。如果不符合，需要進行調整，步驟如下。

（1）計算矩陣的一致性指標：

是矩陣的最大特征值，n是矩陣的階數。

（2）查找隨機一致性指標RI，RI的取值如表4所示。

表4　1～10階一致性指標

（3）計算一致性比率，當滿足時，認為判別矩陣滿足要求，否則需要調整。

本例中的判別矩陣與的矩陣最大特征分別為5.112、5.024、5.403、5.276，矩陣階數n為5，RI根據表4得到為1.12，計算得到一致性比率CR分別為0.025、0.005、0.089和0.061，滿足一致性檢驗的要求。按照同樣的方法檢驗其余矩陣，若不滿足要求進行相應的調整，最終得到所有的判別矩陣。

3.3 計算本層各元素對上層元素的權重

為了進一步減少專家評價的主觀性，這里將判別矩陣進行模糊化處理，得到模糊一致判別矩陣，利用式（11）和式（12）完成對矩陣的模糊化處理。得到模糊一致矩陣后，利用式（13）可以計算評價層中的指標（如拒絕服務指標）對要素層系統設備（如OPC服務器）的權重。

式（13）中參數滿足，并與權重的差異度成反比，即當時，各風險因素相對權重的差異度達到最大。本例中n=5，得到=2。將上述得到的判別矩陣、、和進行模糊化處理，得到模糊一直矩陣。取第一個專家的模糊判別矩陣，進行分析，利用式（13）計算對OPC服務器的相對權重，得。同理，得到另外4種攻擊方式對OPC服務器的相對權重，得，進而得到OPC服務器5個攻擊指標組合成的權重向量=[0.162,0.145,0.234,0.191,0.268]。以此類推，根據其余3位專家的模糊判別矩陣，得到OPC服務器的5個攻擊指標的權重向量如下所示：

對上述得到的4個權值向量，按照相同位置取平均的方式得到最終的拒絕服務攻擊對OPC服務器的權值向量：

按照同樣的步驟，可以求出5種攻擊方式對要素層其余設施的權重向量以及要素層對目標層F的權重向量：

分析完每個要素對上一層的權重后，根據式（28）求出評價層各風險元素對目標層F的綜合權重，整個計算過程如表5所示。

表5 評價層各風險元素對目標層的綜合權重

得綜合權重：

風險權重較大的是拒絕服務與數據篡改。對5種攻擊方式建立攻擊樹模型，定量分析每種攻擊方式所發生的概率。

根據2.2節的分析得知，系統發生風險的概率受到攻擊成本、攻擊難度和攻擊被發現的可能性的影響。在上述分析中已經得出各種攻擊方式對目標層的綜合權重，在建立攻擊樹模型時，直接將目標層作為攻擊節點。建立攻擊樹模型如圖4所示，由于5種攻擊方式都可直接對系統造成影響，采用圖2中的OR節點建立整個系統攻擊樹模型，并運用模糊層次分析法確定攻擊成本、攻擊難度和攻擊被發現的可能性的相對權重。

圖4 攻擊樹模型

圖4中，分別代表5種攻擊方式，、分別代表攻擊成本、攻擊難度和攻擊被發現的可能性。以數據篡改為例，從攻擊者的角度看，他/她更希望這次數據篡改的攻擊不易被發現，其權重大于攻擊成本與攻擊難度。攻擊難度的增加會降低整個攻擊事件的概率，相較于攻擊成本來說權重略低。

采用模糊層次分析法的思路，建立模糊判別矩陣，并進行一致性檢驗，得到3個影響因素的相對權重這里僅給出最終的分析結果。

對于攻擊難度、攻擊成本和被發現的可能性的等級評分標準，如表6所示。

表6 等級評分標準

在具體應用時，評估人員根據具體情況給出等級得分。在本工業控制系統中，邀請了多位專家給出等級得分，最后采用取平均值的方式給出具體的得分情況。在5種攻擊方式中，數據篡改的難度最大，成本較高，也很難被發現，相應的3個等級為5、4、1，其余4種攻擊的等級評分如表7所示。

表7 攻擊方式的等級評分

根據式（2）可以求得各種攻擊方式的攻擊概率分別為0.269 0、0.439 3、0.396 8、0.3940和0.384 3。由于這幾種攻擊發生的概率沒有確定的相互獨立關系，所以它們的和不是1。層次分析法中得到各個攻擊要素的權重為：

本文將權重與概率的乘積作為評價層5種攻擊方式的最終風險值，結果分別為0.0607、0.0825、0.0829、0.0713和0.0753，據此得出最大可能的威脅攻擊是竊聽攻擊和數據篡改，因此應著重加強對竊聽攻擊和數據篡改的防范。

本文針對工業控制系統安全量化評估的問題，提出了一種將模糊層次分析法與攻擊樹相結合的方法。模糊層次分析法通過建立模糊判別矩陣，減小了專家的主觀因素，通過對多位專家所得到的權值向量取平均的群決策方式，進一步減少了專家評判的主觀性。對工業控制信息安全與功能安全相結合的問題，本文將拒絕服務、竊聽攻擊、數據篡改、蠕蟲木馬與系統硬件失效共同作為整個系統的威脅因素，建立層次化分析模型。建立攻擊樹，對系統安全威脅事件所發生的概率進行量化分析，最終綜合考慮安全事件發生的概率與權值來定量分析系統的風險。

后續可在以下方面繼續進行深入研究：（1）在定量分析中，專家的評判結果會受到主觀因素的影響，本文僅僅通過對專家的評判結果取平均的方式確定了最終的威脅因素權重，如何建立更加有效量化方式是接下來的研究重點；（2）面對工業控制系統的復雜性，如何建立更加全面的層次化分析模型需要進一步思考；（3）本文著重考慮5種威脅因素各自對系統的影響，并未涉及到系統在受到5種威脅下的綜合安全量化值，是下一步研究的重點。