基于多屬性決策的工業控制系統安全風險評估

摘? ?要： 為智能生產車間提出一種基于多屬性決策的工業控制系統安全風險評估方法。根據智能工業控制系統網絡結構，分析和明確安全風險點，構建工業控制系統安全風險評估模型;將資產劃分為數據、軟件、硬件、服務、人員、工控系統結構特征和復雜度、管理特征重要性和影響性七類指標屬性，判斷各屬性的重要性，得到資產安全關聯拓撲圖，計算各資產的危害程度。形成了工業控制系統安全風險評估基本流程，使得安全風險得以量化，為工業控制系統的安全部署提供了基本遵循。

關鍵詞： 智能工廠;多屬性決策;安全風險評估;工業控制系統;資產;安全部署

中圖分類號：TP277? ? 文獻標識碼：A? ? 文章編號：2095-8412 （2020） 01-006-06

工業技術創新 URL： http： //www.china-iti.com? ? DOI： 10.14103/j.issn.2095-8412.2020.01.002

引言

目前工業控制（以下簡稱“工控”）系統的安全風險評估體系仍存在許多問題和不足。大多數工控系統安全風險評估使用手工方式進行，主要依據操作人員的經驗，無法實現定量描述[1-2]。除人工方式之外，目前比較常見的是故障樹分析方法，如Ralston等[3]研究了基于故障樹分析方法的SCADA系統安全風險評估，能夠顯示出整個攻擊過程，但是由于實際生產過程中的故障比較復雜，該方法容易導致誤報，因此實際情況下安全風險大都需要由專家經驗或統計試驗確定。

工控系統安全狀態由大量評估指標決定，同時系統監測數據中存在誤報和漏報的情況。因此，為了使系統能夠及時反映和處理出現的安全問題，可以通過多方專家對客觀事物內部關系復雜性的考慮和信息源的融合，使得安全風險評估更高效、可靠和及時[4-5]。本文從智能工廠的工控系統安全入手，以系統特征和設備安全需求為出發點，利用多屬性決策方法計算各個設備的安全值，通過實際數據得到設備的屬性概率分配，根據多個決策參與者賦予的客觀權值，判斷工控系統的脆弱性，實現工控系統的安全風險評估。

1? 智能工廠工業控制系統網絡結構

如圖1所示，在智能工廠中，現場控制層、集中控制層中的設備一般有工業路由器、傳感器、數據采集與監視控制系統（Supervisory Control and Data Acquisition，簡稱SCADA）、工控機、傳感器、可編程邏輯控制器（Programmable Logic Controller，簡稱PLC）、無線設備等，制造執行層和企業信息層中的系統包括制造執行系統（Manufacturing Execution System，簡稱MES）、統計過程控制（Statistical Process Control，簡稱SPC）系統和辦公自動化（Office Automation，簡稱OA）系統等[6]，這些設備和系統互聯互通地形成了一個工控系統網絡。在工控系統網絡中，傳統的計算機存在的病毒、木馬、入侵攻擊等安全威脅都可以向工控系統擴散，其中的每一個設備或人機接口都有可能成為網絡攻擊點[7]。

為了了解工控系統整體的安全狀況，需要在有限的資源下配置安全防護資源，建立工控系統安全風險評估模型。

2? 工業控制系統安全風險評估模型

工控系統安全風險評估主要圍繞生產業務控制系統及設備、脆弱性、威脅、風險等基本要素進行，因此需要在評估過程中充分考慮工控系統每一項流程的復雜性、重要性、可用性、安全危害程度等與基本要素相關的屬性[8-9]。通過量化識別風險，采取合理、適度的風險處置措施，將風險降低到可以接受的水平[10]。在具體評估時，主要考慮對工控系統設備、數據和人員等系統構成元素進行分類和標記，從而明確資產的用途、使命和作用。可以將各個資產分為數據、軟件、硬件、服務、人員、工控系統工藝特征和復雜度、工藝特征重要性和影響性七類指標屬性，對工控系統的信息資產進行識別，將工控系統的風險量化。屬性權重是屬性重要性的判斷依據，專家對不同資產賦予不同的屬性權重數值，是專家對方案偏好性的體現[11]。

2.1? 各屬性重要性判斷與賦值

屬性權重合理與否，直接關系到決策結果的正確性和可信程度。

計算屬性權重時，首先需要由若干位行業內領域的專家對智能工廠評價指標體系中同一層次的各個指標進行兩兩比較，建立比較判斷矩陣，以表示同一層次各個指標的相對重要性。然后，將比較判斷矩陣各行進行幾何平均、歸一化，得到的行向量就是權重向量。具體的計算步驟為：

（1）判別矩陣每一行元素的乘積

（1）

（2）計算的N次方根

（2）

（3）對向量進行歸一化計算

（3）

結合工業生產現場實際情況，進行如下定義：C1—數據;C2—軟件;C3—硬件;C4—服務;C5—人員;C6—工控系統結構特征和復雜度;C7—管理特征重要性和影響性。通過選取實際現場中的場景，結合設備的情況，通過專家賦值進行計算，根據式（1）～（3）得出的屬性權重結果如表1所示。

2.2? 綜合群體信息安全資產評估

通過主觀賦權法得到評價指標屬性值和專家賦予的權重，用線性加權法將個體決策集結成一次群決策結果。

首先分別對每一個決策者計算決策矩陣，得到個體決策結果，各決策者的個體決策結果為一個方案綜合值的排序向量。然后，再將個體決策結果集成，得到最終的群體結果。

對每個參與人員進行決策分析，且設經過個體決策后，第k個決策者的個體決策結果為向量，那么綜合所有l個決策者的個體決策，寫成矩陣的形式為：

（4）

其中，，F為多屬性個體決策函數，為專家權重，表示專家l對于方案按照屬性j決策，采用簡單的加權法進行計算，則：

（5）

如果僅僅是個體決策，采用此方法就得到了各個設備的安全風險評估結果;對于多個專家的決策，需要綜合各成員的個體決策向量，集成為群體決策向量。由于不同專家的度量標準不同，對事物認識的深度和把握程度也不同，因此實際決策時需要通過規范化公式進行規范化處理。把評價指標的指標值都統一轉換到區間上，即將決策指標規范化以后，對每個屬性而言，最差的屬性指標值為0，最好的屬性指標值為1。

對矩陣各行進行歸一化處理，歸一化公式為：

（6）

結合已知的決策者權重向量，可以采用簡單加權法將個體決策結果集成為群體決策結果：

（7）

其中，

（8）

所有得分加權平均后得出資產屬性評分，通過集成群決策技術判斷得到決策危害性大的設備和工藝結果。

在進行安全風險評估時，依靠專家和工控系統設備、威脅和脆弱性等客觀屬性，結合安全事件發生的可能性與造成的損失進行計算，得到各個資產的風險值。

2.3? 資產安全關聯拓撲圖

通過綜合群體信息計算得出資產面臨的風險后，根據先驗知識和資產面臨的危害程度定義安全關聯拓撲圖，構建攻擊場景，如圖2所示。構建的資產危害關聯拓撲結構圖能夠準確反映當前網絡面臨的安全威脅，能夠進一步為網絡安全威脅態勢感知工作提供指導。

以圖2為例，對資產1的危害傳播路徑有很多種：1）通過資產1本身的脆弱性;2）3→1;3）4→2→1;4）3→4→2→1;5）5→3→1;6）6→1。

結合專家的客觀賦權，首先依據表1計算得到各個資產的權重，然后結合多個專家決策結果，依據式（8）計算，得到圖2中各個資產是最終結果，如表2所示。

然后，為了在有限的資源下配置安全防護資源，為工控系統部署安全防護策略。需要計算所有攻擊路徑中，攻破資產1的概率最大的路徑，其危害性也最為嚴重。通過計算各個資產的危害度，結合已知的危害傳播路徑，利用相乘法，得到攻破資產5后再攻破資產3的概率值大于直接攻破資產3的概率值，即P（Asset5）×P（Asset3）>P（Asset3）。

通過計算每個資產的危害程度，最終確認5→3→1這條路徑攻破資產1的可能性最大，因此可以重點在此條攻擊路徑中進行安全部署，為企業用戶的工控系統的安全部署提供參考建議。

3? 工業控制系統安全風險評估基本流程

工控系統安全風險評估的主要步驟包括對評估對象進行資產識別、威脅賦值以及對生產工藝進行識別、賦值，根據各項資產在生產過程中的重要性，把工控系統安全風險量化。然后，識別當前的系統安全措施，并結合上述已經識別的系統特征，對當前的系統安全措施進行有效性驗證，并對系統安全風險進行計算。如果評估得到的風險無法接受，則需要增加安全措施，重新進行評估，直到系統安全風險可以被接受為止。工控系統安全評估基本流程如圖3所示。

基于評價指標模型，完成智能工廠安全核心能力的引導和構建，為智能工廠企業在安全軟件選擇、管理與配置、補丁管理、邊界安全防護、身份認證、資產安全、數據安全等領域的工控系統安全防護提供指導，實現智能工廠企業的安全升級。

4? 討論與結束語

4.1? 討論

智能工廠使整個車間成為基于信息技術和物聯網的互聯互通工業網絡。車間大規模出現事故之后再對工控系統安全進行彌補和整改，則代價非常大。本文構建了工業控制系統安全風險評估模型，將資產劃分為數據、軟件、硬件、服務、人員、工控系統結構特征和復雜度、管理特征重要性和影響性七類指標屬性，判斷了各屬性的重要性，能夠加強企業的安全防護。

（1）數據：工業控制系統中運行數據和信息的可用性，是構建安全的關鍵。針對大量數據和文件進行業務建模和數據挖掘，能夠提高安全查詢能力、挖掘能力、研判能力、預測能力，同時積累基礎資源庫、協議特征庫和漏洞庫資源等。

針對數據的防護主要是建立數據日志備份與恢復策略并異地存放，數據日志備份包括備份時間、備份周期、備份套數、備份方式和恢復方式的步驟。

（2）軟件：智能生產所涉及的工業控制軟件系統主要的風險包括用戶隱私泄露、非授權訪問、存在竊聽嗅探、惡意代碼、病毒/漏洞攻擊、控制命令偽造攻擊、控制網絡DoS攻擊等可能存在于企業軟件平臺配置等方面的安全漏洞。

針對軟件方面的防護措施：只安裝工廠必需的系統類、驅動類、專業控制組件，開啟必要的服務功能，設置關鍵配置文件的訪問權限。不能使用盜版、破解版等非原版軟件，并且軟件的安裝、卸載、更新都應有書面記錄。

（3）硬件：主要指系統的網絡架構、服務器、存儲系統等安全，和各個系統之間信息交換安全。主要風險包括企業工業控制網絡安全配置（如網絡分區、端口禁用等）、工業主機安全配置（如遠程控制管理、默認賬戶管理等）、工業控制設備安全配置（如口令策略合規性等）。

主要通過安全產品和技術（例如防火墻、防病毒軟件、侵入檢測、加密技術）的應用等進行防護，封閉接口及操作系統桌面，嚴格賬戶管理，合理分類設置賬戶權限，采用基于白名單機制的工業防火墻實現工控協議訪問控制，并采用監控審計平臺和入侵檢測，在黑名單和白名單兩個層面保障通信正常。

（4）服務：主要強調服務狀態/環境感知與控制的互聯，包括遠程維護和診斷、運維管理安全和實時監控等，針對信息系統資源（包含主機、網絡、存儲、安全等基礎設施）采取安全管理和技術運維。

（5）人員：主要考慮操作人員的業務水平和操作技能等職業素質，和對安全事件的獎勵和處罰管理體系的建設。包括安全使用手冊、員工培訓、業務規劃，涉及信息系統安全的政策法規、教育、管理標準等方面的建設。

（6）工控系統結構特征和復雜度：由于工控系統十分復雜，在建立工控系統安全評估模型前，必須確定工控系統的網絡結構，明確所需評估的對象和評估的范圍。了解被評估工業控制系統所涉及的資產類型、規模、位置、重要程度、產品、數量等情況，各個要素的特殊性使得各要素對應的指標受攻擊后造成的危害不同，因此需要考慮工控系統結構特征和復雜度。

（7）管理特征重要性和影響性：主要考慮安全責任制，安全防護措施及檔案資料管理情況。包括賬戶管控安全、日志和記錄巡檢安全、密碼和密鑰管控安全、運行中可靠性管理等。

4.2? 結束語

從總體上看，我國的工控系統網絡基礎硬件安全、網絡安全問題長期未得到解決，工控系統信息安全問題也逐漸凸顯，因此迫切需要建立智能工廠工控安全的政策、法規和標準，加快對工控系統網絡安全策略的研究。

本文針對工控系統安全風險評估問題，對工控系統的安全風險進行了初步分析，給出了安全風險分析模型，提出了基于多屬性決策的工控系統安全評估方法。根據計算得到的工控系統中的危害性設備，也得到了整個工控系統的安全評估值，為工控系統的安全部署防護方案提供了基本遵循。

參考文獻

[1] 信息安全風險評估規范： GB/T 20984-2007[S]. 北京： 中國標準出版社， 2007.

[2] 工業控制網絡安全評估規范： GB/T 26333-2010[S]. 北京： 中國標準出版社， 2010.

[3] Ralston P A S， Graham J H， Hieb J L. Cyber security risk assessment for SCADA and DCS networks[J]. ISA Transactions， 2007， 46（4）： 583-594.

[4] 王連強， 呂述望， 張劍， 等. 組合對象信息安全風險評估研究[J]. 計算機工程與應用， 2006， 42（26）： 17-19.

[5] 趙戰生， 謝宗曉. 信息安全風險評估： 概念、方法和實踐[M]. 北京： 中國標準出版社， 2007.

[6] 陳曦， 周峰， 郝鑫. 我國SCADA系統發展現狀、挑戰與建議[J]. 工業技術創新， 2015， 2（1）： 103-114.

[7] 吳亞非， 李新友， 祿凱. 信息安全風險評估[M]. 北京： 清華大學出版社， 2007.

[8] 張永錚， 方濱興， 遲悅， 等. 用于評估網絡信息系統的風險傳播模型[J]. 軟件學報， 2007， 18（1）： 137-145.

[9] 張永錚， 方濱興， 遲悅， 等. 網絡風險評估中網絡節點關聯性的研究[J]. 計算機學報， 2007， 30（2）： 234-240.

[10] 盛躍華， 肖麗婷， 張子聰. 工業領域信息安全保密管理體系創新研究[J]. 工業技術創新， 2017， 4（1）： 168-170.

[11] 宋光興， 鄒平. 多屬性群決策中決策者權重的確定方法[J]. 系統工程， 2001， 19（4）： 84-89.

作者簡介：

王佳（1986—），通信作者，男，河北保定人，博士。主要研究方向：智能制造評估、安全管理。

E-mail： wangjia@cstc.org.cn

（收稿日期：2019-11-19）

Security Risk Assessment for Industrial Control System Based on Multi-Attribute Decision-Making

WANG Jia

（China Software Testing Center， Beijing 100048， China）

Abstract： A method of security risk assessment of industrial control system based on multi-attribute decision-making is proposed for the workshop of intelligent production shop. According to the network structure of the intelligent industrial control system， the security risk points are analyzed and assured， and the security risk assessment model of the industrial control system is constructed. The assets are divided into 7 index attributes， namely， data， software， hardware， service， personnel， structure characteristics and complexity of industrial control system， importance and influence of management characteristics. The importance of each attribute is judged， the asset security related topology is obtained， and the hazard degree of each asset is calculated. The basic process of security risk assessment of industrial control system is formed， which makes the security risk quantified， providing a basic compliance for the security deployment of industrial control system.

Key words： Intelligent Factory; Multi-Attribute Decision-Making; Security Risk Assessment; Industrial Control System; Asset; Security Deployment