基于EASI模型的實物保護系統動態評估方法

李愛國，雷魯飛，陳 博，蘇 越

(西安科技大學計算機學院，陜西 西安 710054)

1 引言

隨著經濟和社會的快速發展，各類關鍵設施及關鍵資產越來越多，這類關鍵設施和資產事關國家安全、社會和經濟的穩定及可持續發展，其遭遇破壞或失竊的后果將難以接受，其面臨的風險也日益增大。尤其是面對懷有惡意的人員，恐怖分子，或遭遇區域沖突的時候，對關鍵設施和資產進行保護的重要性更加突出。目前我國對關鍵設施和資產的網絡安全的關注和研究程度要遠高于對實體防護的研究[1，2]。美國桑迪亞國家實驗室是最早對實物保護系統(Physical Protec-tion System，PPS)開展研究的，提出的一種針對核設施和核電站的安全保護系統設計和脆弱性評估方法。實物保護系統(PPS)是指為了保護關鍵資產和設施防止他人偷竊，破壞或其它惡意行為的一個集成人員，程序和設備的系統工程。PPS能夠有效防止關鍵設施或資產遭到盜竊、破壞或任何其它類型的惡意攻擊[3]。

實物保護系統(PPS)通過探測、延遲和響應三個主要功能對目標設施或資產進行有效防護。①探測：探測功能用于發現敵方的入侵行為，包括隱蔽或公然的入侵行為。探測功能的效能取決于偵測入侵行為的概率，以及報警復核所需時間。②延遲：延遲功能是PPS第二個功能，借助于墻體、門鎖和柵欄等延遲裝置延緩敵方入侵。③響應：響應功能是PPS第三個主要功能，響應是反應力量在收到通信報警信息后阻止入侵者得逞的行為。

PPS的脆弱性評估不僅對保護系統設計和安裝起指導作用，也可以對現有的保護系統升級和改進提供依據。要對PPS進行評估，評估人員需要對PPS目標和設計深入了解。設計和評估PPS的一個簡單方法是依據標準和規范進行定性評估，雖然此類方法簡明、易操作，但PPS注重對保護對象的防護效能，而不是某些標準是否達標。隨著保護目標重要性的提高，定性分型越來越難以滿足評估需求，通常采用更加容易被人所接受的定量評估方法。定量分析最常用的模型是EASI模型[3]，在本文2.1節詳細介紹，大多數定量分析模型和方法都是基于此模型展開的。如綜合路徑分析模型(SAVI)[5]、估算核保障和核安保措施的分析系統和軟件(ASSESS)[6]、組合立體幾何模型(CSG)[7]、多路徑分析隨機計算工具(MAPPS)[8]、證據推論法(Evidential Approach)[9]、虛擬環境下實物保護系統有效性分析技術[10]等，這些模型都是采取定期的靜態評估，缺乏時效性和應對極端氣候環境變化的適應性，對某一時刻系統效能的降低或失效沒有及時的評估和應對措施。然而有經驗的敵對分子通常會選取在這些時刻進行入侵，例如在大霧，大雨的環境下。本文結合某項目研究課題和實際需求，針對在極端氣候條件下，PPS防護效能的變化，提出一種基于EASI模型的實物保護系統動態脆弱性評估方法(DAPPS)。該方法實時動態的對實物保護系統的防護性能進行計算評估，當系統的某一裝置的效能突然降低或失效時，自動增加延時或探測后重新評估，始終保持系統防護性能在給定的閾值之上。

2 EASI模型

2.1 傳統的EASI模型

EASI模型是通過計算敵方入侵路徑上的一系列探測裝置和延遲裝置所產生的效果，從而定量的分析敵方到達保護目標之前被下響應部隊攔截的可能性，其計算公式如下

P=P(D1)×P(C1)×PR│A1+

(1)

式(1)中，P(D)表示探測器探測到敵方的概率；P(C)表示報警復核率；P(R|A)表示在報警復核成功的條件下敵對勢力在抵達目標之前被響應部隊攔截的概率。式(1)中第一項表示最外圍保護層報警且復核成功后的攔截概率，第二項則為其它各層的攔截概率。式(1)的計算結果為各層的累計攔截概率，該攔截概率越大，PPS對目標的防護能力就越強。

2.2 探測和延時

探測和延時功能是PPS評估的核心。越早探測到敵方的入侵，響應部隊就會有更長的時間去部署攔截。同樣，探測到敵方的入侵后，對敵方的延時時間越長也會給響應部隊更多的時間去部署攔截。

探測率P(D)的值是指PPS中各防護層中的防護單元探測到敵方入侵的概率，包括探測、報告和復核過程。P(D)值常被用作度量PPS探測功能的有效性的指標。當該防護層成功探測到敵方時，該防護層之后的所有探測器無論是否探測到敵方都不會產生實際作用。只有該防護層未探測到目標，后面的防護層的探測器才會產生作用。用PE表示后續每層防護層的實際探測概率。這個概率的計算公式如式(2)分所示：

(2)

(3)

(4)

在計算實際累積延時時間(Ti)時還應考慮延時裝置所產生的真實延時時間，因為探測可能在以下三種情況中發生：

1)在延時裝置生效之前探測器報警(用“B”表示)，例如一個圍欄上的振動傳感器；

2)在延時裝置生效當中探測器報警(用一個“M”表示)例如防盜門里面的玻璃鎖傳感器；

3)在延時裝置生效之后探測器報警(用“E”表示)，例如直接放在門口之后的運動傳感器。

在傳感器報警之前，入侵者穿越的所有延時裝置均是無效的，這是因為沒有報警，響應部隊就不會有任何行動。在以上的三種情況之中，延時裝置對敵方所產生的實際延時時間和實際累積延遲時間如式(6)和(7)式所示。其中CF為修正因子，用于計算三種情況下的真實延時時間，其取值如式(5)所示。真實延遲時間和真實累積延遲時間的方差可按式(8)和(9)計算。

(5)

Ti=CF×tdi

(6)

(7)

σTi2=(CF×σtdi)2

(8)

(9)

2.3 響應時間

響應時間(RFT)即為響應部隊收到報警通知后從其所在位置抵達保護目標所在位置所需的時間。響應時間根據響應部隊多次模擬響應演練所采樣的數據確定，實際響應時間的值成正態分布，其均值用RFT表示，標準差用σRFT表示，如圖1所示。

圖1 實際響應時間正態分布圖

首次報警復核成功的條件下，入侵者所在防護層的累積延時時間與響應時間的時差Zi如式(10)所示。

(10)

若要計算攔截成功能的概率只需計算Zi為正數的部分，即累計延時時間大于響應時間。攔截成功概率為概率密度函數Zi從0積分到+∞的值。圖2黑色部分所示，即為Zi大于零(累積延遲時間大于響應時間的)的部分，其面積即為攔截成功的概率。

圖2 攔截概率示意圖

綜上所述，EASI模型是基于敵方路徑上的概率計算工具，通過計算所有路徑的攔截概率可以確定最小攔截概率的路徑即為最薄弱路徑。在設計或改進PPS時，可以對最薄弱路徑的探測裝置或延時裝置進行改進，從而提升PPS的整體防護性能。值得注意的是這種評估方法需要定期對系統進行評估，缺乏時效性，在某些極端氣候條件下其評估結果并不準確。本文對PPS的防護性能發生變化時的情況進行了探索，提出了動態評估模型，進一步提高了PPS的可靠性。

3 基于EASI模型的實物保護系統動態評估

3.1 仿真模擬場景實例

本文采用國際原子能機構研究所核設施模擬場景進行計算評估，其場景布局如圖3所示[3]。

場景模擬：假設敵方打算破壞核反應堆。敵方已經獲得了該設施場地布局的所有信息。敵方攻擊最多由五名襲擊者組成，他們裝備有半自動步槍、小型武器、數量有限的炸藥(用來穿透墻壁或門，并最終破壞反應堆)、便攜式電動工具和雙向無線電通信系統。

該核設施的入侵序列圖如圖4所示。入侵序列圖(圖4)顯示敵方所有可能的潛入路徑。

圖4 核設施入侵序列圖

圖4中的每個區域和保護元件的探測和延時信息如表1所示。

表1 各區域和保護元件探測和延時信息

表1中的延時類型分為為探測發生在時間延遲的開始(B)、中間(M)或結束(E)。每個保護元件的探測概率(PD)、延遲時間(td)，td取決于保護元件得防護性能，其值是根據美國桑迪亞國家實驗室的評估確定，其標準差為td的30%。

此外，報警復核概率PC的值為0.95。響應部隊的平均響應時間(RFT)為700s，響應時間的標準差為RFT的30%。該設施要求PPS的攔截概率不低于0.8。

3.2 動態評估方法

3.2.1 方法概述

本文采取的動態評估方法是通過在實物保護系統中增設一些氣候傳感器[12-15]。這些傳感器將保護場地的氣候數據實時傳回評估系統，評估系統根據實時數據調整探測率等參數，動態計算當前環境下的攔截概率。當出現極端氣候導致攔截概率不能滿足需求時，評估系統立即通知PPS開啟自動延時裝置，提高延時時間或派出人員對某一區域加強巡邏，增加PPS的探測概率。然后重新計算攔截概率，直至其滿足要求。其邏輯流程如圖5。

圖5 動態評估系統工作邏輯流程

其步驟可總結如下：

1)氣候傳感器實時傳回氣候數據給評估系統；

2)評估系統根據傳回數據重新計算攔截概率；

3)評估系統根據評估計算結果反饋給實物保護系統；

4)實物保護系統根據反饋采取相應措施

圖5中判斷攔截概率是否滿足要求即要判斷當前攔截概率是否高于給定的閾值。若當前攔截概率低于給定閾值，先自動啟動臨時延時裝置或通知安保人員加強巡邏再重新計算攔截概率。當采取所有的臨時措施攔截概率均不能達到預期的值時，立即警示安保中心采取更強有力的措施。

3.2.2 氣候變化對探測器的影響

根據模擬場景實例，分別對大霧、雨雪、大風、溫度等極端氣候環境下探測器的探測率降低情況進行探索：

1)大霧：大霧天氣對室外視頻探測器的探測率有著顯著的影響[16]。在該場地中，當能見度將至20m以下時，已獲悉監控攝像頭布局的入侵者能完全躲避室外視頻監控。圖4中編號為④和⑧的探測率全部重置為0。在此情況下通過梯子等工具直接翻越外圍護欄被也不會被發現，圖4中編號為③的探測率重置為0。

2)雨雪：暴雨暴雪會不僅會降低能見度，而且會掩蓋入侵分子入侵時所產生的動靜，進一步降低探測率。圖4中編號為④和⑧的探測率重置為0，編號為③和⑦的探測率分別重置為0.1和0.2。

3)大風：大風天氣對震動傳感器影響較大[17]。圖4中編號為編號為③和⑦的探測率分別重置為0.2和0.4。

4)溫度：高溫天氣對紅外傳感器影響較大，圖4中編號為編號為②、⑥和⑨的探測率分別重置為0.4、0.5和0.5。

3.2.1 采取的措施

根據先探測、后延時的基本原則，本文在計算中所采取的措施主要有兩種。其一，在反應堆周圍設置自動攔截護欄，其延遲時間為120s，標準差為36s。當攔截概率不能滿足要求時，系統自動開啟該攔截裝置。其二，派出人員在限制區域加強巡邏，該區域探測率可增加至0.8。當采取第一項措施后，保護系統的攔截概率仍不滿足要求時，則采取第二項措施。

4 計算結果

使用EASI等傳統評估方法，通過計算機程序對圖4中的所有路徑(90條)進行計算，獲得最薄弱路徑，其路徑信息如表2所示。

表2 該核設施的最薄弱路徑

敵方沿著上述最薄弱路徑進行破壞行動的的攔截概率計算結果是0.846。攔截概率大于給定閾值0.8，認為系統防護性能滿足要求。入侵者選擇最薄弱路徑進行突破是最優的策略。選擇其它任何路徑進行突破的攔截概率將會更高。

當實物保護系統所在場地出現極端氣候條件時，基于EASI的傳統評估方法和本文所提出的動態評估方法(DAPPS)對實物保護系統的攔截概率對比見圖6。

圖6 實物保護系統攔截概率對比

其中在大霧、大風、高溫等惡劣氣候環境下，只需自動開啟延時裝置。在無需人員管控或操作的情況下，可保持PPS的攔截概率始終高于給定的閾值。暴雨暴雪環境下，不僅需要需要開啟攔截裝置，還需派出人員加強限制區域巡邏方可保持PPS的攔截概率高于給定閾值。

通過圖6對比可知，在大霧、雨雪、大風、溫度等環境下，動態評估的方法(DAPPS)比傳統的靜態評估方法更加可靠。在極端氣候條件下，通過動態評估方法PPS采取相應措施可使其的防護性能提高5～25個百分點。這種提高的幅度看似不多。但實際上，實物保護系統的防護性能提高幾個百分點在硬件上可能會花費數千萬以上的成本。極端氣候屬于偶發事件，只需讓系統在這些事件上采取一些臨時措施，即可保證系統的防護性能不發生退化。

5 結論

本文介紹了一種基于EASI模型的的實物保護系統動態評估方法。首先，利用模擬場景建立入侵序列圖，對所有入侵路徑進行計算，確定最薄弱路徑上的攔截概率。其次，根據外部環境動態調整受影響元件的探測率從而動態計算攔截概率。最后，在攔截概率低于給定閾值時，增加延時或探測確保PPS始終保持良好的防護性能。

相比于傳統的靜態評估方法，本文所提出的動態評估方法在極端氣候條件下表現更為突出。因為一個有經驗的入侵者往往會在這種條件下實施入侵行動。依據此方法，PPS能更好的應對極端環境，大大提高其防護性能。這種方法也能為未來實物保護系統的設計評估及升級改造提供一定的理論依據。

在未來，通過大數據和人工智能等技術可以更加準確的發現PPS某些組件性能發現變化甚至失效的情況。而基于EASI模型的的實物保護系統動態評估方法能夠及時有效進行評估計算，并通知系統采取相應措施，確保PPS的防護性能任何時候都能滿足要求。