工業控制系統信息安全問題探討

齊祥柏 陳青 趙洪崗

摘要：針對電廠控制系統安全風險評估方案存在的主觀性強、不確定因數大的問題，對用于電廠控制系統的安全風險評估系統的結構模型進行詳細分析，同時對安全風險評估的評估流程、評估算法中的 D數理論、D-AHP 評估方法、TOPSISI評估方法進行詳細分析。對基于 D-AHP、TOPSIS風險評估算法進行實例分析，建立簡單電廠控制系統安全風險評估體系，求解影響各指標的權重值并得到電廠控制系統安全風險值。分析結果表明，上述兩種安全風險評估方法的正確性和有效性，同時解決了傳統安全風險評估方法存在的主觀性強、不確定性因素多的問題，提高了安全風險評估的準確性和有效性，不過度依賴專家經驗;還簡化了電廠控制系統安全風險指標和過程，完善了安全風險評估指標體系。

關鍵詞：安全風險評估;D-AHP ;TOPSIS;控制系統;電廠

中圖分類號：TP309???????????? 文獻標志碼：A??????? 文章編號：1009-9492（2021）12-0180-03

Discussion on Information Security of Industrial Control System

Qi Xiangbai ，Chen Qing ，Zhao Honggang

（State Intelligent Deep Control Technology Co.， Ltd.， Beijing 102211， China）

Abstract： In view of the strong subjectivity and large uncertain factors of the power plant control system safety risk assessment plan， a detailed analysis of the structural model of the safety risk assessment system for the power plant control system was carried out， and the safety risk assessment evaluation process and evaluation algorithm were also analyzed in detail. The D number theory， D-AHP evaluation method， and TOPSISI evaluation method were analyzed in detail. The risk assessment algorithm was analyzed based on D-AHP and TOPSIS， a simple power plant control system safety risk assessment index system was established and constructed， the weight values that affect each index was solved， and the power plant control system safety risk value was obtained. The analysis results show that the above two safety risk assessment methods are correct and effective， solve the problems of strong subjectivity and many uncertain factors in the traditional safety risk assessment methods， improve the accuracy and effectiveness of safety risk assessment， and do not rely too much on expert experience. It also simplifies the safety risk index and process of power plant control system， and improves the safety risk assessment index system.

Key words： safety risk assessment; D-AHP; TOPSIS; control system; power plant

0 引言

隨著智能化、信息化、網絡化技術的不斷發展，工業控制系統信息安全問題成為亟需解決的問題并引起國內外的廣泛關注。“Petya”勒索病毒在電廠的肆虐進一步加劇了國家和社會對電廠控制系統信息安全的關注。目前，國內電廠全網設備已經實現互聯互通，非法入侵成文電廠控制系統極大的安全隱患，非常有必要研究電廠控制系統的安全問題并進行風險評估。電廠控制系統信息安全問題在2012年之后呈明顯上升趨勢，典型案例有2016年德國核電站發現由 USB驅動帶入得惡意程序，使得核電站人員關閉電廠并進行全面檢測;2018年臺積電被 WannaCry病毒攻擊，使得工控機不斷重啟，造成直接經濟損失約2.55億美元[1-2]。為保障工業控制系統信息安全，利用科學的評估方法對系統進行評估，如定量評估、定性評估以及綜合評估等。基于工業控制系統信息評估現場數據信息的特殊性，多采用模糊層次分析、DS 證據理論、BP/RBF神經網絡預測等方法構建工業控制系統信息安全評估模型，預防黑客、病毒攻擊，構建安全、穩定、高效的工業控制系統[3-4]。文章在分析電廠工業控制系統安全風險內容、評估流程、評估算法的基礎上，建立基于 D-AHP 構建電廠控制系統信息安全風險評估體系，結合 TOPSIS算法計算預見的準確度以及評價權重并獲得該電廠控制系統的安全風險值，從定量、定性兩方面制定安全風險決策依據。

1 安全風險分析

國內電廠工業控制系統主要分為分散控制系統、可編程控制系統以及現場總線控制系統3種，常用的控制器包括西門子、InterControl、BeckHoff、ABB 以及艾默生等，通過 TCP/IP、CAN、CanOpen、Modbus、RS485等多種通訊模式進行組網并完成設備間的數據傳送。電廠控制系統構成封閉局域網，設備間的數據進行透傳，存在很大的安全隱患。構建電廠控制系統物理、網絡、終端等多維多角度保護，能夠確保電廠控制系統生命周期安全性[5]。對電廠控制系統的資產、威脅、脆弱性、已有安全措施四方面記性評估，得到準確的電廠控制系統風險綜合值，并提出安全整改意見和改進措施。圖1所示為電廠控制系統安全評估結構模型，由目標層、準則層以及指標層組成。目標層體現安全風險的目標，準則層體現完成目標所需要定義的準則和規則，指標層體現完成準則所需要定義的指標，三者相輔相成，共同影響電廠工業控制系統安全風險。資產體現數據未非授權更改、破壞、訪問、使用的特性，體現控制系統數據的保密性、完整性以及可用性。威脅體現數據被自然不可抗因素、物理因素破壞的特性，包括環境、人為兩方面。脆弱體現數據在技術脆弱性、管理脆弱性層面的安全漏洞，包括物理、網絡、系統、應用、病毒侵入等多個層次。已有安全措施是指降低數據受到威脅的預防性安全措施，針對脆弱層面采取的保護性以及安全處理方案。

根據 IEC62443工業控制系統信息安全風險評估規范，電廠控制系統安全評估規范根據風險目標可分為實用性、完整性以及保密性3部分，其中實用性目標包括系統數據包重放攻擊、網絡病毒侵入、網絡拒絕服務或者服務中斷;完整性目標包括非法網絡設備機械性侵入、非法獲取設備的訪問權限和登錄權限、登錄信息并篡改、控制信息被非法獲取、交互信息丟失;保密性目標包括木馬病毒被植入、蠕蟲病毒被植入、網絡連接未被授權，詳細如表1所示。

2 安全風險評估

2.1 評估流程

電廠控制系統安全風險評估流程如圖2所示，涉及到的主要方面包括確定評估范圍、制定工作計劃、制定應急計劃、資產/威脅/脆弱性評估、風險計算、風險決策以及安全整改等[6-7]。圖2所示的流程中的必要基本配置包括：（1） 安全分區，即將電廠控制系統內部分為生產控制區、管理信息區兩部分，設置簡單化且不出現縱向交叉;（2）網絡專用，控制系統網絡必須獨立且與其他網絡進行隔離。該網絡內部分為實時子網，與控制器連接;非實時子網，與非控制區連接;（3）橫向隔離，控制系統內部設置橫向安全隔離裝置，分布在生產控制區、管理信息區之間，并進行安全邏輯隔離;（4）縱向認證，在生產控制區與外部網絡連接處設置縱向認證安全裝置，機行加密認證、數據互鎖。

2.2 評估算法

電廠控制系統安全風險評估的目的是對資產、威脅以及脆弱性進行綜合估算，主要估算方法有基于層次分析法（ AHP ）、基于 D-S證據理論分析法、基于 BP 神經網絡分析法、基于攻擊樹分析法以及基于攻擊圖分析法5種。AHP 分析法的優點是定量化數據使用較多，使得思維過程清晰化、數量化;缺點是結果依賴主觀性的程度較大[8]。D-S法的優點是存在能較好處理認為因素、不確定因素較大的場景去，缺點是理論支持較弱、合理性有待驗證。BP 神經網絡法的優點是可消除主觀因素影響，缺點是正確性需大量樣本數據的支撐。攻擊樹分析法的優點是可發現系統的薄弱之處，缺點是主觀因素影響較大。攻擊圖法的優點可實時在線反應攻擊者的攻擊過程，缺點是構建該方法需要大量人力、財力的支持。因此，采用 D 數優化曾分析法（ D-AHP ）并結合電廠控制系統特點、評估標準建立基于電廠控制系統的安全風險評估系統，使得評估結果更加客觀、公正，同時有效計算出電廠控制系統的安全風險值。

2.2.1 D 數理論

定義Ω為有限性連續非空集合，設 D 數為映射，即

Ω→[0， 1]，且滿足條件 D（B）≤1，且有 D（?）=0， ?為空集，B 為Ω的子集。若 D（B）=1，則標識 D 數表示的信息完整，否則為不完整信息[9-11]。當Ω為有限性非連續非控集合時，Ω={b1， b2 ， … ， bn}，且有 bi ∈R ，則如果 i ≠j 時，有 bi ≠bj ，D 數可表示為：

D{b1}=v1

D{b2}=v2

D{bx}=vx

則有 D ={（b1， v1）， （b2 ， v2）， … ， （bi ， vi）， … ，（bn ， vn）}，且需滿

足 vi >0、 vi <1。

2.2.2 D-AHP 評估方法

假設電廠控制系統安全風險評估一級指標資產為U1，二級指標保密性為 U11、完整性為 U12、可用性為 U13;一級指標威脅為 U2，二級指標環境因素為 U21、人為因數為 U22;一級指標脆弱性為 U3，二級因數技術脆弱性為 U31、管理脆弱性為 U32;已有安全措施為 U4、二級預防性安全措施為 U41、保護性安全措施為 U42。計算電廠控制系統安全風險各指標權重的步驟為[12]：（1） 比較資產、威脅、脆弱性一級已有安全措施的指標特性，并建立 D的偏好矩陣RD;（2） 利用式（1） 將偏好矩陣RD 轉換為實數矩陣 RC ;（3） 根據實數矩陣 RC 建立概率矩陣 Rp;（4）按照 Rp 中的行排列由大到小的順序依次可得到三角化實數矩陣 R C（T）? （5）計算 R C（T） 指標重的資產、威脅、脆弱性以及已有安全措施的相對權重。

2.2.3 TOPSISI評估方法

TOPSISI 評估方法即計算并評估所選樣本與理想解的接近度，找到離正理想解距離最近，離負理想解最遠的方案。TOPSISI 評估方法的步驟為：（1） 令電廠控制系統安全評估風險對象指標集為 U ={U1， U2 ， … ， Uα]，專家組集為 h ={h1， h2 ， … ， hα}，建立初評矩陣 MA =[ai]m × m? ;（2）求矩陣 MA 的極大性指標為式（2），極小性指標為式（ 3）;（3） 構建加權規范矩陣 MC ，且有 MC =[cij]n × m ;（4） 求MC 的安全風險評估理想解;（5）求解每隔評估樣本與理想解的距離;（6）求安全風險評估系統的貼進度大小并完成相對優劣排序，利用歸一化方案求出專家權重。

3 實例分析

為驗證 D-AHP 評估方法、TOPSISI評估方法的正確性和有效性，以某電廠的控制系統為例機型研究，建立簡單電廠控制系統安全風險評估指體系并構建;評估指標的 D 數偏好矩陣，即根據電廠控制系統資產識別、威脅識別、脆弱性識別以及已有安全措施建立指標體系，使用 D 數理論改進層次分析法，求解各層次指標影響;使用逼近理想解方法計算各專家意見的準確度;綜合指標權重、專家權重以及專家評價指標確定電廠控制系統的安全風險等級。基于 D-AHP 一級 TOPSISI評估方法得到的電廠控制系統安全風險評估權重統計數據如表2所示。由表可得電廠控制系統安全風險評估二級指標綜合權重向量為：

W =（0.2286， 0.0721， 0.1088， 0.3000， 0.2000， 0.0179， 0.0078， 0.0258， 0.0089）

由式（4） 可知，電廠控制系統安全風險值處于中等水平，需采用措施保護局系統安全，降低風險等級，其中面臨的最大風險為威脅性，權重為0.5270，需對控制系統中的惡意軟件、拒絕服務攻擊、通信參數篡改、數據竊取等威脅性動作進行排查與管理，如加入入侵檢測系統、加強防火墻過濾、建立統一服務管理平臺等，保證電廠控制系統的安全性。

4 結束語

本文以工業控制系統信息安全為背景，重點討論基于電廠控制系統的安全風險評估方法，重點對D-AHP一級TOPSIS兩種安全風險評估方法進行分析和實例驗證，有效解決了傳統安全風險評估方法存在的主觀性強、不確定性因素多的問題，提高了安全風險評估的準確性和有效性，不過度依賴專家經驗。同時簡化了電廠控制系統安全風險指標和過程，完善了安全風險評估指標體系。在后續的研究中需對安全威脅之間的相互影響、風險評估存在的局限性等進行評估，以提高安全風險評估性能是下一步需研究的內容。

參考文獻：

[1] 周慎學，范淵，夏克晁，等.臺二電廠工控系統信息安全防護體系的建設[J].中國電力，2017， 50（8）：53-57.

[2] 李田，蘇盛，楊洪明，等.電力信息物理系統的攻擊行為與安全防護[J].電力系統自動化，2017， 41 （22）： 162-167.

[3] 魏曉雷，劉龍濤.電力行業工業控制系統信息安全風險評估研究[J].信息安全研究，2018，4 （10）： 904-913.

[4] 彭道剛，衛濤，趙慧榮.基于D-AHP和TOPSIS的火電廠控制系統信息安全風險評估[J].控制與決策，2019，34（11）：2445-2551.

[5] 童曉陽，王曉茹.烏克蘭停電事件引起的網絡攻擊與電網信息安全防范思考[J].電力系統自動化，2016，40（7）：144-148.

[6] 關鴻鵬，李琳，李鑫，等.工業互聯網信息安全標準體系研究[J]. 自動化博覽，2018（3）：50-53.

[7] 盧慧康，陳冬青，彭勇，等.工業控制系統信息安全風險評估量化研究[J].自動化儀表，2014，35 （10）： 21-25.

[8] 賈馳千，馮冬芹.基于多目標決策的工控系統設備安全評估方法研究[J].自動化學報，2016， 42（5）：706-714.

[9] 常昊，秦元慶，周純杰.基于貝葉斯攻擊圖的工控系統動態風險評估[J].信息技術，2018（10）：62-72.

[10] 王協梁，劉光杰，戴躍偉.工業控制系統風險評估要素量化方法[J].工業控制計算機，2015，28 （4）：14-16.

[11] 龔斯諦，王磊.基于AHP與信息熵的工控系統信息安全風險評估研究[J].工業控制計算機， 2017，30（4）：11-15.

[12] 柴繼文，王勝，梁暉輝，等.基于層次分析法的信息安全風險評估要素量化方法[J].重慶大學學報（自然科學版），2017，40（4）： 44-53.

第一作者簡介：齊祥柏（1983-），男，吉林輝南人，大學本科，工程師，研究領域為工控信息安全、智能發電、電站自動化。

（編輯：刁少華）