摘要:针对电厂控制系统安全风险评估方案存在的主观性强、不确定因数大的问题,对用于电厂控制系统的安全风险评估系统的结构模型进行详细分析,同时对安全风险评估的评估流程、评估算法中的D数理论、D-AHP评估方法、TOPSISI评估方法进行详细分析。对基D-AHP、TOPSIS风险评估算法进行实例分析,建立简单电厂控制系统安全风险评估体系,求解影响各指标的权重值并得到电厂控制系统安全风险值。分析结果表明,上述两种安全风险评估方法的正确性和有效性,同时解决了传统安全风险评估方法存在的主观性强、不确定性因素多的问题,提高了安全风险评估的准确性和有效性,不过度依赖专家经验;还简化了电厂控制系统安全风险指标和过程,完善了安全风险评估指标体系。
关键词:安全风险评估;D-AHP;TOPSIS;控制系统;电厂
0引言
随着智能化、信息化、网络化技术的不断发展,工业控制系统信息安全问题成为亟需解决的问题并引起国内外的广泛关注。“Petya”勒索病毒在电厂的肆虐进一步加剧了国家和社会对电厂控制系统信息安全的关注。目前,国内电厂全网设备已经实现互联互通,非法入侵成文电厂控制系统极大的安全隐患,非常有必要研究电厂控制系统的安全问题并进行风险评估。电厂控制系统信息安全问题在2012年之后呈明显上升趋势,典型案例有2016年德国核电站发现由USB驱动带入得恶意程序,使得核电站人员关闭电厂并进行全面检测;2018年台积电被WannaCry病毒攻击,使得工控机不断重启,造成直接经济损失约2.55亿美元[1-2]。为保障工业控制系统信息安全,利用科学的评估方法对系统进行评估,如定量评估、定性评估以及综合评估等。基于工业控制系统信息评估现场数据信息的特殊性,多采用模糊层次分析、DS证据理论、BP/RBF神经网络预测等方法构建工业控制系统信息安全评估模型,预防黑客、病毒攻击,构建安全、稳定、高效的工业控制系统[3-4]。文章在分析电厂工业控制系统安全风险内容、评估流程、评估算法的基础上,建立基于D-AHP构建电厂控制系统信息安全风险评估体系,结合TOPSIS算法计算预见的准确度以及评价权重并获得该电厂控制系统的安全风险值,从定量、定性两方面制定安全风险决策依据。
1安全风险分析
国内电厂工业控制系统主要分为分散控制系统、可编程控制系统以及现场总线控制系统3种,常用的控制器包括西门子、InterControl、BeckHoff、ABB以及艾默生等,通过TCP/IP、CAN、CanOpen、Modbus、RS485等多种通讯模式进行组网并完成设备间的数据传。电厂控制系统构成封闭局域网,设备间的数据进行透传,存在很大的安全隐患。构建电厂控制系统物理、网络、终端等多维多角度保护,能够确保电厂控制系统生命周期安全性[5]。对电厂控制系统的资产、威胁、脆弱性、已有安全措施四方面记性评估,得到准确的电厂控制系统风险综合值,并提出安全整改意见和改进措施。图1所示为电厂控制系统安全评估结构模型,由目标层、准则层以及指标层组成。目标层体现安全风险的目标,准则层体现完成目标所需要定义的准则和规则,指标层体现完成准则所需要定义的指标,三者相辅相成,共同影响电厂工业控制系统安全风险。资产体现数据未非授权更改、破坏、访问、使用的特性,体现控制系统数据的保密性、完整性以及可用性。威胁体现数据被自然不可抗因素、物理因素破坏的特性,包括环境、人为两方面。脆弱体现数据在技术脆弱性、管理脆弱性层面的安全漏洞,包括物理、网络、系统、应用、病毒侵入等多个层次。已有安全措施是指降低数据受到威胁的预防性安全措施,针对脆弱层面采取的保护性以及安全处理方案。根据IEC62443工业控制系统信息安全风险评估规范,电厂控制系统安全评估规范根据风险目标可分为实用性、完整性以及保密性3部分,其中实用性目标包括系统数据包重放攻击、网络病毒侵入、网络拒绝服务或者服务中断;完整性目标包括非法网络设备机械性侵入、非法获取设备的访问权限和登录权限、登录信息并篡改、控制信息被非法获取、交互信息丢失;保密性目标包括木马病毒被植入、蠕虫病毒被植入、网络连接未被授权,详细如表1所示。
2安全风险评估
2.1评估流程
电厂控制系统安全风险评估流程如图2所示,涉及到的主要方面包括确定评估范围、制定工作计划、制定应急计划、资产/威胁/脆弱性评估、风险计算、风险决策以及安全整改等[6-7]。图2所示的流程中的必要基本配置包括:(1)安全分区,即将电厂控制系统内部分为生产控制区、管理信息区两部分,设置简单化且不出现纵向交叉;(2)网络专用,控制系统网络必须独立且与其他网络进行隔离。该网络内部分为实时子网,与控制器连接;非实时子网,与非控制区连接;(3)横向隔离,控制系统内部设置横向安全隔离装置,分布在生产控制区、管理信息区之间,并进行安全逻辑隔离;(4)纵向认证,在生产控制区与外部网络连接处设置纵向认证安全装置,机行加密认证、数据互锁。
2.2评估算法
电厂控制系统安全风险评估的目的是对资产、威胁以及脆弱性进行综合估算,主要估算方法有基于层次分析法(AHP)、基于D-S证据理论分析法、基于BP神经网络分析法、基于攻击树分析法以及基于攻击图分析法5种。AHP分析法的优点是定量化数据使用较多,使得思维过程清晰化、数量化;缺点是结果依赖主观性的程度较大[8]。D-S法的优点是存在能较好处理认为因素、不确定因素较大的场景去,缺点是理论支持较弱、合理性有待验证。BP神经网络法的优点是可消除主观因素影响,缺点是正确性需大量样本数据的支撑。攻击树分析法的优点是可发现系统的薄弱之处,缺点是主观因素影响较大。攻击图法的优点可实时在线反应攻击者的攻击过程,缺点是构建该方法需要大量人力、财力的支持。因此,采用D数优化曾分析法(D-AHP)并结合电厂控制系统特点、评估标准建立基于控制系的安全风险评估系统,使得评估结果更加客观、公正,同时有效计算出电厂控制系统的安全风险值。
2.2.1D数理论定义
Ω为有限性连续非空集合,设D数为映射,即Ω→[0,1],且满足条件∑B⊂ΩD(B)≤1,且有D(ϕ)=0,ϕ为空集,B为Ω的子集。若∑B⊂ΩD(B)=1,则标识D数表示的信息完整,否则为不完整信息[9-11]。当Ω为有限性非连续非控集合时,Ω={b1,b2,…,bn},且有bi∈R,则如果i≠j时,有bi≠bj,D数可表示为:D{b1}=v1D{b2}=v2...D{bx}=vx(1)则有D={(b1,v1),(b2,v2),…,(bi,vi),…,(bn,vn)},且需满足vi>0、∑i=1nvi<1。
2.2.2D-AHP评估方法
假设电厂控制系统安全风险评估一级指标资产为U1,二级指标保密性为U11、完整性为U12、可用性为U13;一级指标威胁为U2,二级指标环境因素为U21、人为因数为U22;一级指标脆弱性为U3,二级因数技术脆弱性为U31、管理脆弱性为U32;已有安全措施为U4、二级预防性安全措施为U41、保护性安全措施为U42。计算电厂控制系统安全风险各指标权重的步骤为[12]:(1)比较资产、威胁、脆弱性一级已有安全措施的指标特性,并建立D的偏好矩阵RD;(2)利用式(1)将偏好矩阵RD转换为实数矩阵RC;(3)根据实数矩阵RC建立概率矩阵Rp;(4)按照Rp中的行排列由大到小的顺序依次可得到三角化实数矩阵RTC(5)计算RTC指标重的资产、威胁、脆弱性以及已有安全措施的相对权重。
2.2.3TOPSISI评估方法
TOPSISI评估方法即计算并评估所选样本与理想解的接近度,找到离正理想解距离最近,离负理想解最远的方案。TOPSISI评估方法的步骤为:(1)令电厂控制系统安全评估风险对象指标集为U={U1,U2,…,Uα],专家组集为h={h1,h2,…,hα},建立初评矩阵MA=[ai]m×m;(2)求矩阵MA的极大性指标为式(2),极小性指标为式(3);(3)构建加权规范矩阵MC,且有MC=[cij]n×m;(4)求MC的安全风险评估理想解;(5)求解每隔评估样本与理想解的距离;(6)求安全风险评估系统的贴进度大小并完成相对优劣排序,利用归一化方案求出专家权重。bij=aij-min(aij)max(aij)-min(aij)(2)bij=max(aij)-aijmax(aij)-min(aij)(3)
3实例分析
为验证D-AHP评估方法、TOPSISI评估方法的正确性和有效性,以某电厂的控制系统为例机型研究,建立简单电厂控制系统安全风险评估指体系并构建;评估指标的D数偏好矩阵,即根据电厂控制系统资产识别、威胁识别、脆弱性识别以及已有安全措施建立指标体系,用D数理论改进层次分析法,求解各层次指标影响;使用逼近理想解方法计算各专家意见的准确度;综合指标权重、专家权重以及专家评价指标确定电厂控制系统的安全风险等级。基于D-AHP一级TOPSISI评估方法得到的电厂控制系统安全风险评估权重统计数据如表2所示。由表可得电厂控制系统安全风险评估二级指标综合权重向量为:W=(0.2286,0.0721,0.1088,0.3000,0.2000,0.0179,0.0078,0.0258,0.0089)(4)由式(4)可知,电厂控制系统安全风险值处于中等水平,需采用措施保护局系统安全,降低风险等级,其中面临的最大风险为威胁性,权重为0.5270,需对控制系统中的恶意软件、拒绝服务攻击、通信参数篡改、数据窃取等威胁性动作进行排查与管理,如加入入侵检测系统、加强防火墙过滤、建立统一服务管理平台等,保证电厂控制系统的安全性。
4结束语
本文以工业控制系统信息安全为背景,重点讨论基于电厂控制系统的安全风险评估方法,重点对D-AHP一级TOPSIS两种安全风险评估方法进行分析和实例验证,有效解决了传统安全风险评估方法存在的主观性强、不确定性因素多的问题,提高了安全风险评估的准确性和有效性,不过度依赖专家经验。同时简化了电厂控制系统安全风险指标和过程,完善了安全风险评估指标体系。在后续的研究中需对安全威胁之间的相互影响、风险评估存在的局限性等进行评估,以提高安全风险评估性能是下一步需研究的内容。
作者:齐祥柏 陈青 赵洪岗 单位:国能智深控制技术有限公司
