核電廠數(shù)字化儀表控制系統(tǒng)網(wǎng)絡(luò)安全風險分析方法綜述

黃曉津,田宇琨,李江海

(1.清華大學核能與新能源技術(shù)研究院,北京 100084；2.先進反應堆工程與安全教育部重點實驗室,北京 100084)

0 引言

核電廠儀表和控制系統(tǒng)(簡稱“儀控系統(tǒng)”)與核電站操作人員共同構(gòu)成了核電廠的“中樞神經(jīng)系統(tǒng)”。通過各種組成要素(如設(shè)備、模塊、子系統(tǒng)、冗余系統(tǒng)等)。儀控系統(tǒng)可感知基本參數(shù)、監(jiān)控性能、整合信息，并根據(jù)需要對電廠運行進行自動調(diào)整。隨著信息時代的到來，計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)等信息技術(shù)與核電廠數(shù)字化儀控系統(tǒng)相結(jié)合[1]，使得基于計算機和聯(lián)網(wǎng)技術(shù)的數(shù)字化儀控系統(tǒng)逐步被采用。國內(nèi)首個核電數(shù)字化儀控系統(tǒng)投用于江蘇田灣核電站。嶺澳二期核電站也使用了該技術(shù)[2]。數(shù)字化儀控系統(tǒng)的使用提高了核電廠的可靠性、降低了運營和維護成本，使核電廠的運行更加高效。但是，由于數(shù)字化儀控系統(tǒng)基于計算機和網(wǎng)絡(luò)技術(shù)，可能存在漏洞，特別是通用協(xié)議、軟件和設(shè)備對原有專用系統(tǒng)的取代[3]，使得系統(tǒng)和網(wǎng)絡(luò)更容易遭受黑客、病毒、蠕蟲等偶然或惡意的網(wǎng)絡(luò)攻擊。這將對核電廠系統(tǒng)及設(shè)備的可用性、信息和數(shù)據(jù)的保密性和完整性造成損害，并由此產(chǎn)生新的網(wǎng)絡(luò)安全風險[2]。因此，需要對核電廠數(shù)字化儀控系統(tǒng)進行風險管理。風險管理是分析、評估和處理風險的實踐標準，通過適用的網(wǎng)絡(luò)風險分析方法，對惡意網(wǎng)絡(luò)攻擊行為進行有效的識別和監(jiān)測，從而保證核電廠系統(tǒng)的可用性，以及信息和數(shù)據(jù)的完整性和保密性，降低由攻擊事件導致的危害。

網(wǎng)絡(luò)安全風險分析方法最初產(chǎn)生于信息技術(shù)(information technology，IT)領(lǐng)域。當信息系統(tǒng)與物理系統(tǒng)相結(jié)合后，人們開始關(guān)心信息物理系統(tǒng)(cyber physical system,CPS)中基于網(wǎng)絡(luò)和軟件而產(chǎn)生的網(wǎng)絡(luò)安全問題，由此產(chǎn)生了眾多相關(guān)風險分析方法。核電數(shù)字化儀控系統(tǒng)對于遭受網(wǎng)絡(luò)攻擊而產(chǎn)生的網(wǎng)絡(luò)安全問題的研究尚處于起步階段，相關(guān)文獻較少，風險分析方法體系尚不完善。因此，本文對CPS的網(wǎng)絡(luò)安全風險分析方法進行綜述。所列網(wǎng)絡(luò)安全風險分析方法不僅包含核電領(lǐng)域，還包含電網(wǎng)、運輸系統(tǒng)等多個領(lǐng)域。通過文獻綜述，本文提出核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全風險分析方法的參考建議。文獻選擇范圍為2011—2021年間發(fā)表的、能夠獲取全文的研究成果，且至少涵蓋一種不同的網(wǎng)絡(luò)安全風險分析方法。本文主要涉及網(wǎng)絡(luò)安全風險分析方法中風險的場景、可能性及后果等問題，但風險緩解技術(shù)并不包含在本文綜述范圍內(nèi)。

1 網(wǎng)絡(luò)安全風險分析的基礎(chǔ)

1.1 風險理論

傳統(tǒng)意義上的風險是不確定性和損害的結(jié)合。風險分析過程可以看作對三個問題的回答，即：①會發(fā)生什么；②有多大可能性；③如果真的發(fā)生了，其后果是什么[4]。

隨著信息技術(shù)的發(fā)展，對CPS的網(wǎng)絡(luò)安全風險的研究進一步深入。在網(wǎng)絡(luò)安全風險管理指南ISO/IEC 27005:2011中，定義網(wǎng)絡(luò)安全風險涉及三個要素，即資產(chǎn)、威脅和漏洞。在CPS中，網(wǎng)絡(luò)安全風險既指物理層面的功能安全風險(Safety)，又指網(wǎng)絡(luò)層面的網(wǎng)絡(luò)安全風險(Security)，即系統(tǒng)正常運行時安全目標遭受網(wǎng)絡(luò)攻擊所造成的不利影響。風險分析過程的總體目標是識別風險及其對系統(tǒng)關(guān)鍵資產(chǎn)的影響。分析的目標是基于威脅/漏洞識別關(guān)鍵資產(chǎn)的安全風險。

R=f[h(V,T),A]

(1)

式中：R為風險值；f為風險模型；h為威脅與漏洞的關(guān)系；V、T分別為漏洞被利用的可能性和威脅利用漏洞的可能性；A為資產(chǎn)價值。

根據(jù)GB/T 36466—2018，風險分析流程如下。

①評估風險要素。風險要素評估包括關(guān)鍵數(shù)字資產(chǎn)評估、威脅評估、脆弱性評估以及保障能力評估。資產(chǎn)評估包括識別資產(chǎn)和評估資產(chǎn)價值兩個方面：首先，識別出系統(tǒng)中的關(guān)鍵系統(tǒng)和關(guān)鍵系統(tǒng)中的關(guān)鍵數(shù)字資產(chǎn)；然后，評估資產(chǎn)價值，得到資產(chǎn)的重要度權(quán)重。威脅評估考慮可能對系統(tǒng)造成破壞的攻擊行為：首先，識別出威脅源、威脅途徑和可能性，以及威脅所造成的影響；然后，對威脅進行賦值。脆弱性評估考慮重要資產(chǎn)本身的脆弱性，識別脆弱性并對脆弱性進行分析賦值。保障能力評估則是對系統(tǒng)管理、運行、人員和技術(shù)等方面提供保障措施和對策的能力進行評估。

②計算風險。風險值通過風險要素得出。通過計算得到的風險值可劃分為幾個等級，以表示相應的風險嚴重程度。

③控制風險殘留。如風險不可接受，則需制定風險控制措施并實施相應的控制行為，以降低相關(guān)風險。

1.2 核電廠數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全標準

針對核電行業(yè)如何有效進行網(wǎng)絡(luò)安全防護，可參照國內(nèi)外制定的一系列網(wǎng)絡(luò)安全標準。

國內(nèi)外數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全標準如表1所示。

總體而言，我國核電數(shù)字化儀控網(wǎng)絡(luò)安全領(lǐng)域相關(guān)標準與國外尚存在一定的差距，目前國內(nèi)還沒有針對核電廠數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全的特定標準。相比之下，由美國核管會發(fā)布的RG 5.71導則為之提供了一套切實可行的方案，可以系統(tǒng)解決核電數(shù)字化儀控系統(tǒng)的網(wǎng)絡(luò)安全問題。因此，可參考RG 5.71導則，將其與我國國情相結(jié)合，作出適應性修改，從而制定我國針對核電廠數(shù)字化儀控系統(tǒng)的網(wǎng)絡(luò)安全標準。

2 網(wǎng)絡(luò)安全風險分析方法

網(wǎng)絡(luò)安全風險分析方法一般分為兩類[5]。一類是基于公式的方法，即使用一套計算風險或影響的公式。該方法不使用任何模型進行風險評估，而是以表格或文本的形式表示。另一類是基于模型的方法，即首先建立所研究系統(tǒng)或過程的模型，然后通過模型進行定性或定量分析。

2.1 基于公式的方法

基于公式的方法使用公式對網(wǎng)絡(luò)安全風險進行量化，包括平均故障成本法、加權(quán)風險評分等方法。

平均故障成本(mean failure cost,MFC)[6]作為單位時間的故障成本的函數(shù)，從經(jīng)濟角度對故障進行量化。式(1)為MFC計算公式。

M=S×D×I×P

(2)

式中：M為MFC的值；S為網(wǎng)絡(luò)安全需求與所需成本的關(guān)系矩陣，其中網(wǎng)絡(luò)安全需求一般包括可用性、完整性、保密性；D為組件與組件對每個網(wǎng)絡(luò)安全需求所作貢獻之間的矩陣，由系統(tǒng)架構(gòu)師填寫；I為各威脅對各組件影響情況的矩陣，由分析人員填寫；P為一個列向量，代表每個條目的出現(xiàn)概率，通過對模擬系統(tǒng)或真實系統(tǒng)進行操作，評估該段時間內(nèi)出現(xiàn)的威脅數(shù)量生成，并隨著系統(tǒng)的發(fā)展作相應改進。

MFC以價格/時間為單位，提供了單位時間內(nèi)的平均損失估計。通過定量分析結(jié)果，可以使用MFC方法，采取相應的安全措施以減少損失。

加權(quán)風險評分(risk score,RS)[7]方法關(guān)注系統(tǒng)的可用性，采用加權(quán)計算對風險水平進行量化。式(3)為RS計算公式。

R=A×L0+B×C0

(3)

式中：R為風險值；C0為初始發(fā)生可用性損失事件的后果；L0為損失事件發(fā)生的可能性；A、B為權(quán)重因子，兩者之和為1。

C0基于可用性損失及其影響，分為很低、低、中等、高、很高五級，根據(jù)級別高低賦予定量數(shù)值。L0獨立于C0，與攻擊成本成反比。攻擊成本包括經(jīng)濟成本與實施攻擊所需技能與知識的組合成本，分為很低、低、中等、高、很高五級，根據(jù)級別高低賦予定量數(shù)值。

根據(jù)式(3)計算所得的風險值越高，則表示該損失事件的風險水平越高，即系統(tǒng)需要更多的保護機制。

基于公式的方法通常是定量的，所采用的數(shù)值可以清晰地展現(xiàn)系統(tǒng)的風險水平。而CPS通常有著復雜的結(jié)構(gòu)，基于公式的方法無法對復雜結(jié)構(gòu)進行表示與深入分析。因此，研究者一般首先對系統(tǒng)進行建模，然后使用基于模型的方法進行風險分析。

2.2 基于模型的方法

基于模型的方法通過是否可用邏輯圖形來表示所建立的模型進行區(qū)分，包括非圖形模型法和圖形模型法。

2.2.1 非圖形模型方法

對于復雜的系統(tǒng)而言，一般可以通過建立系統(tǒng)模型對網(wǎng)絡(luò)安全風險進行分析。CPS的網(wǎng)絡(luò)結(jié)構(gòu)、功能、任務(wù)通常是相對固定的，且一般情況下不需要頻繁地更新和修改，以便對系統(tǒng)進行建模。因此，基于模型的風險分析方法適用于CPS。本節(jié)描述非圖形模型方法，包括風險矩陣(risk matrix,RM)法、層次分析(analytic hierarchy process,AHP)法、博弈論(game theory,GT)法等。

RM法[8]是一種將危險發(fā)生的可能性和危害的嚴重程度綜合評估風險大小的風險評估方法。RM結(jié)構(gòu)如圖1所示。RM法將風險需要采取的對策分為風險轉(zhuǎn)移、風險規(guī)避、風險接受和風險緩解這四類。四類對策對應不同高低的風險概率和風險影響，通過賦值計算出各風險因素的風險值并進行分析。

圖1 RM結(jié)構(gòu)示意圖

AHP法將決策有關(guān)元素分解成目標、準則、方案等多個層次，并在此基礎(chǔ)上進行定性和定量分析。各層因子受下層因子的影響，同時影響上層因子。AHP法適用于具有分層交錯的評價指標，而目標值又難以定量描述的決策問題。文獻[9]首先將風險指標體系分為網(wǎng)絡(luò)安全和主機安全兩個維度，并以惡意代碼防范、結(jié)構(gòu)安全、安全訪問控制、網(wǎng)絡(luò)訪問控制、入侵檢測、架構(gòu)安全、登錄安全、主機安全監(jiān)控和備份恢復為指標級別，分級建立矩陣；然后采用秩和比的方法對系統(tǒng)風險水平進行綜合評估。

GT法提供了一個分析框架，考慮攻擊者和防御者之間的交互，并對這種交互過程進行建模。攻擊者可能是單個黑客、黑客團體、恐怖組織等。防御者發(fā)揮優(yōu)化博弈過程作用，使攻擊行為對系統(tǒng)的損害最小化。對于攻擊者而言，系統(tǒng)中的任何漏洞或弱點都可以被利用。對于防御者而言，任何可以用來組織、最小化或減輕攻擊的動作都可被視為防御動作。在該分析框架中，攻擊者和系統(tǒng)之間的互動被視為一種兩玩家游戲。在這種游戲中，每個玩家都試圖從游戲中增加自己的收益。因此，每個玩家都對對手的策略作出相應的反應。在這種方法中，攻擊者的長期策略被視為風險的可能性，通過定義效用函數(shù)來定量管理風險。文獻[10]利用GT法，分析出攻擊者可能的攻擊方向，提出網(wǎng)絡(luò)安全臨界數(shù)作為網(wǎng)絡(luò)安全風險的評估標準，并與系統(tǒng)的風險偏好進行比較。文獻[11]將機器學習引入GT法中，運用該方法制定攻擊和防御策略，并采用Q學習算法制定最優(yōu)策略。

2.2.2 圖形模型方法

與非圖形模型方法相比，將模型用圖形表示的方法相對更為直觀，且可對復雜系統(tǒng)內(nèi)部的邏輯關(guān)系進行更細致的表述，并從不同角度對系統(tǒng)進行建模。因此，基于圖形模型的方法對CPS的網(wǎng)絡(luò)安全風險進行分析的研究得較多。基于圖形模型方法包括基于故障樹的方法、基于攻擊樹(attack tree,AT)的方法、基于Petri網(wǎng)(Petri net,PN)的方法、基于貝葉斯網(wǎng)絡(luò)(Bayesian networks,BN)的方法、基于系統(tǒng)理論過程分析(systems-theoretic process analysis,STPA)的方法等。

故障樹是一個非循環(huán)圖，標識可能導致事故或故障的所有事件分支，以及這些事件發(fā)生的概率。故障樹分析(fault tree analysis,FTA)是一種自頂向下的、演繹的故障分析方法，使用布爾邏輯和異常事件來分析不同期望的系統(tǒng)狀態(tài)。文獻[12]提出了一種基于故障樹的網(wǎng)絡(luò)攻擊場景公式，詳細列出了導致系統(tǒng)故障的關(guān)鍵攻擊路徑。然而，傳統(tǒng)故障樹無法表示序列，即不能表示基本事件之間的任何依賴關(guān)系。布爾邏輯驅(qū)動馬爾可夫過程(Boolean logic driven Markov processes,BDMP)是一種圖形建模方法，最初是為安全性和可靠性評估而設(shè)計的。BDMP形式上是傳統(tǒng)故障樹與馬爾可夫過程的結(jié)合。BDMP可以極大地減少操作應用中的組合問題。與故障樹相比，BDMP可對動態(tài)特性進行建模，對于諸如核電數(shù)字化儀控系統(tǒng)的復雜CPS更加適用。文獻[13]基于BDMP對Stuxnet攻擊進行建模，并給出了每種可能的攻擊序列的量化結(jié)果。

AT是對系統(tǒng)的攻擊的樹形結(jié)構(gòu)圖。在該結(jié)構(gòu)圖中，攻擊的目標是樹的根，實現(xiàn)它的不同方法表示為葉節(jié)點。AT中，除根節(jié)點外的不同節(jié)點是攻擊的目標。通過自底向上的邏輯過程對AT進行安全評估，并進行網(wǎng)絡(luò)安全風險分析。考慮到AT不涉及防御者對策和行動，文獻[14]引入防御行為作為攻擊對策，提出一種利用攻擊防御樹(ADTree)進行風險評估的方法。該方法不僅可以考慮攻擊者和防御者之間的攻擊場景并進行迭代對抗，還可以估計所需成本和投資回報。考慮到功能安全與網(wǎng)絡(luò)安全的相互依賴性，文獻[15]將適用于功能安全性(Safety)的蝴蝶結(jié)方法與適用于網(wǎng)絡(luò)安全性(Security)的攻擊樹方法相結(jié)合，提出適用于工業(yè)控制系統(tǒng)安全的風險分析方法。該方法首先對風險場景進行建模，然后根據(jù)事件發(fā)生的可能性設(shè)計風險場景的評估方法，從而得到某一危險場景的安全等級。

故障樹與AT方法可構(gòu)建邏輯關(guān)系，并給出定量的概率風險分析結(jié)果，形式結(jié)構(gòu)簡便。該類方法只考慮組件故障，而無法表示組件間的故障及非線性邏輯關(guān)系。

PN由圓形節(jié)點庫所、方形節(jié)點變遷、庫所與變遷之間的有向弧以及庫所中的定態(tài)對象令牌組成。PN作為分布式、并行和實時系統(tǒng)建模、分析的重要形式化工具，為CPS建模奠定了堅實的基礎(chǔ)。文獻[16]提出的廣義隨機PN模型增加了及時轉(zhuǎn)換與定時轉(zhuǎn)換，運用該模型可定量評價入侵概率。文獻[17]利用有限隨機Petri網(wǎng)(limited stochastic Petri net,LSPN)方法建立防火墻保護模型，從而得到給定入侵場景下的穩(wěn)定入侵概率。在LSPN中，每個變遷都有一個初始速率，即在有效條件下某一時刻的平均變遷事件開始數(shù)。變遷分為瞬時變遷和延遲變遷。當時間無限大時，系統(tǒng)達到動態(tài)平衡，從而得到穩(wěn)定變遷速率。LSPN用于對具有并發(fā)、異步、分布式、并行、不確定性或隨機信息的CPS進行建模，通過分析系統(tǒng)結(jié)構(gòu)的動態(tài)行為信息，對系統(tǒng)進行評估和改進。PN法可以對各種事件之間的邏輯關(guān)系建模，以便對諸如核電數(shù)字化儀控系統(tǒng)等CPS進行分析。但所建立的PN可能很大，以致無法生成系統(tǒng)的所有狀態(tài)。

BN是一種概率圖形模型，通過有向無環(huán)圖表示隨機變量及其條件依賴關(guān)系。BN有向無環(huán)圖中的節(jié)點表示隨機變量，有向邊描述隨機變量之間的相關(guān)關(guān)系，相關(guān)的程度用條件概率表達。BN將多元圖解可視化，適用于描述節(jié)點的因果關(guān)系及條件相關(guān)關(guān)系，可用于核電數(shù)字化儀控系統(tǒng)的CPS建模，從而進行風險分析。文獻[18]提出了一種包含攻擊模型、函數(shù)模型和事件模型的有針對性的多級BN，通過一次貝葉斯推理可計算出所有潛在威脅時間的發(fā)生概率。該模型還可對未知攻擊造成的網(wǎng)絡(luò)安全風險進行分析。文獻[19]將BN與PN相結(jié)合，首先利用PN建立系統(tǒng)模型，然后利用BN絡(luò)建立網(wǎng)絡(luò)攻擊模型。該模型可根據(jù)攻擊行為的變化實時更新攻擊概率并定量計算攻擊后果，從而實現(xiàn)對網(wǎng)絡(luò)攻擊的風險分析。由于節(jié)點的條件概率依賴于歷史數(shù)據(jù)，而網(wǎng)絡(luò)攻擊的歷史數(shù)據(jù)量過少，因此文獻[20]提出一種基于模糊概率貝葉斯網(wǎng)絡(luò)(fuzzy probabilistic Bayesian network,FPBN)的動態(tài)風險評估方法，用模糊概率代替條件概率，而后通過近似動態(tài)推理算法對網(wǎng)絡(luò)安全風險進行動態(tài)評估。BN可以將相對復雜的聯(lián)合概率分布分解為一系列相對簡單的節(jié)點，降低了知識獲取的難度和概率推理的復雜性，從而解決了概率推理中聯(lián)合分布太大的問題。然而，BN只考慮網(wǎng)絡(luò)層面上的安全性，并未對網(wǎng)絡(luò)問題所造成的物理層面上的功能安全性進行研究。

STPA是一種基于系統(tǒng)思維的新的危險分析技術(shù)，由文獻[21]提出，并應用于系統(tǒng)安全(Safety)領(lǐng)域。系統(tǒng)理論事故模型與過程(system theoretic accident model and processes,STAMP)是一種基于系統(tǒng)理論而非可靠性理論的新的事故原因分析模型，將傳統(tǒng)因果關(guān)系模型擴展到直接相關(guān)的故障事件鏈或組件故障之外。基于STAMP提出的STPA方法，將安全問題視為一個動態(tài)控制問題而非故障預防或可靠性問題。而故障是由于系統(tǒng)的不充分控制產(chǎn)生的。STPA方法步驟如下：①定義分析目的；②建立控制結(jié)構(gòu)的系統(tǒng)模型；③通過分析控制結(jié)構(gòu)中的控制動作，研究控制動作與第一步定義的損失之間的關(guān)系；④查明不安全控制發(fā)生原因。STPA-Sec[22]通過增加網(wǎng)絡(luò)安全控制約束，將STPA擴展到網(wǎng)絡(luò)安全領(lǐng)域。STPA-SafeSec[23]將抽象的系統(tǒng)控制層擴展到具體可視化的組件層，并細化了通用分析過程，最終得到損失場景的樹形結(jié)構(gòu)文本。基于STPA的方法關(guān)注組件間的交互，除了技術(shù)問題還可以考慮人的因素，包括個人知識、操作人員網(wǎng)絡(luò)安全意識、組織網(wǎng)絡(luò)安全文化及業(yè)務(wù)流程等。但該方法并未給出定量結(jié)果。而在復雜環(huán)境中，識別控制器和系統(tǒng)組件之間的所有交互是極為復雜且耗費資源的。

3 適用性分析

目前，針對核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全風險分析方法仍然不成熟，還需進行更加深入的研究。本節(jié)將針對上述CPS的網(wǎng)絡(luò)安全風險分析方法，從動態(tài)分析、風險評價、數(shù)據(jù)來源、核安全與網(wǎng)絡(luò)安全等方面進行適用性分析，為選用核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全風險分析方法提供參考建議。

3.1 動態(tài)分析

在對CPS進行風險分析時，基于公式的方法無法清晰顯示系統(tǒng)內(nèi)邏輯關(guān)系，因此大多采用基于模型的方法。無論是基于非圖形模型的方法還是基于圖形模型的方法，大多是基于威脅或漏洞對所要研究的系統(tǒng)進行建模。對于核電數(shù)字化儀控系統(tǒng)而言，所遭受的攻擊很可能是未知的，并且在核電數(shù)字化儀控系統(tǒng)的全生命周期中可能需要對系統(tǒng)進行部分升級。因此，若要選擇適用于核電數(shù)字化儀控系統(tǒng)的網(wǎng)絡(luò)安全風險分析方法，以動態(tài)分析方法為宜。

由于歷史數(shù)據(jù)的稀少及攻擊方式的不可預見性，文獻[18]采用多級BN對系統(tǒng)進行建模，利用攻擊和系統(tǒng)狀態(tài)預測潛在危險事件的發(fā)生，動態(tài)生成網(wǎng)絡(luò)安全風險。該概率方法可以較好地處理未知風險。

在調(diào)研的文獻中，所建立的模型大多適用于確定系統(tǒng)，在系統(tǒng)發(fā)生變化時大多需要對方法進行調(diào)整。因此，可針對性地設(shè)計一種動態(tài)分析方法，以應對系統(tǒng)發(fā)生變化后的風險分析。如文獻[13]所采用的BDMP方法使用一種特殊類型的鏈接對系統(tǒng)的動態(tài)特性進行建模。當然，還應考慮采用這樣一種適應系統(tǒng)變化情況的風險動態(tài)分析方法，與在系統(tǒng)發(fā)生變化后重新使用靜態(tài)風險分析方法進行成本問題的分析評估，針對不同系統(tǒng)采用不同的建模方法。

3.2 風險評價

在選擇適用的風險分析方法時，一項重要的內(nèi)容就是如何對風險進行評價。風險評價的意義是將系統(tǒng)內(nèi)各個風險進行排序，在有限資源的情況下選擇較大的風險并實施相應防范措施，從而更大限度地降低系統(tǒng)風險。

對于核電數(shù)字化儀控系統(tǒng)而言，評價標準首先考慮系統(tǒng)的可用性。系統(tǒng)可用性通常通過損失情況來表示。文獻[6]所采用的平均故障成本法，通過評估每個涉眾所承受的損失來評估系統(tǒng)的可用性。文獻[7]利用風險矩陣計算風險評分后得到的五個信任級別來表示系統(tǒng)可用性的受損程度。此外，還可以采用一些評價指標對風險進行評價。這些指標可表示系統(tǒng)的風險水平。文獻[10]通過由嚴重程度和可能性兩個因素共同決定的網(wǎng)絡(luò)安全臨界數(shù)來評價風險。GB/T 36466—2018規(guī)定：風險是由安全事件發(fā)生的可能性及安全事件造成的損失共同決定的。

3.3 數(shù)據(jù)來源

在對核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全進行風險評估時，需要對一定的數(shù)據(jù)進行計算，以實現(xiàn)風險評級或給出風險分數(shù)。所采用的數(shù)據(jù)來源包括歷史數(shù)據(jù)、實際數(shù)據(jù)和專家意見。

采用歷史和實際數(shù)據(jù)通常可進行定量分析，比如在使用概率進行分析的方法中，方法的準確度依賴于概率的質(zhì)量。而在理想狀態(tài)下，概率應來自客觀的經(jīng)驗數(shù)據(jù)。核電儀控領(lǐng)域遭受網(wǎng)絡(luò)攻擊數(shù)據(jù)極少，且復雜系統(tǒng)可遭受攻擊的薄弱環(huán)節(jié)可能存在于系統(tǒng)的方方面面，因此威脅很可能是未知的。這使得該類數(shù)據(jù)無法對某些風險進行準確分析。

采用專家意見進行風險評級可實現(xiàn)定性分析，但這又使得風險分析結(jié)果變得相對主觀，且相應方法中缺少專家評定的細節(jié)。這會對風險評價的準確性造成影響，導致無法反映風險的真實情況。

因此，對于核電數(shù)字化儀控系統(tǒng)而言，將歷史和實際數(shù)據(jù)與專家意見相結(jié)合的方法可以在一定程度上克服兩種數(shù)據(jù)來源各自的局限性，有利于對網(wǎng)絡(luò)攻擊所造成的真實風險水平進行分析。

3.4 核安全與網(wǎng)絡(luò)安全

對于核電數(shù)字化儀控系統(tǒng)而言，核安全與網(wǎng)絡(luò)安全是相互依賴的，無論是突發(fā)事故還是惡意攻擊，最終都可能對系統(tǒng)資產(chǎn)(包括人員、財產(chǎn)、環(huán)境及服務(wù))造成損害。核安全與網(wǎng)絡(luò)安全的主要區(qū)別在于風險的來源，因此需采用不同的風險分析方法及標準。對于核安全而言，考慮由系統(tǒng)故障或某些意外條件的組合而導致的損害，損害情況通常是已知的、可以預測的。對于網(wǎng)絡(luò)安全而言，考慮由于系統(tǒng)存在薄弱環(huán)節(jié)，網(wǎng)絡(luò)攻擊對系統(tǒng)的重要資產(chǎn)及操作產(chǎn)生的影響、威脅很可能是未知的、難以預測的。

在選擇針對兩種安全性的風險分析方法時，需要考慮兩種安全性之間的交互關(guān)系。文獻[24]將其歸納為四種。①條件依賴：滿足其中一種安全要求即滿足另一種安全要求。②相互強化：其中一種安全要求的實現(xiàn)有助于另一種安全要求的實現(xiàn)。③對抗：同時考慮兩種安全性要求時，兩種安全要求會發(fā)生沖突。④相互獨立：兩種安全要求沒有相關(guān)性。

在對核電數(shù)字化儀控系統(tǒng)安全性進行風險分析時，為了減輕系統(tǒng)所承受的風險，應該將核安全與網(wǎng)絡(luò)安全相結(jié)合進行風險分析。在此，有兩種方法可以考慮。其一是從威脅出發(fā)，對風險場景進行建模，然后設(shè)計風險場景評估方法。例如，文獻[17]將適用于核安全的蝴蝶結(jié)方法與適用于網(wǎng)絡(luò)安全的AT方法相結(jié)合，建模風險場景，然后對風險進行評級。其二是從薄弱環(huán)節(jié)出發(fā)，對系統(tǒng)進行建模，以識別不安全的控制行為，對不安全的控制行為進行風險分析，例如基于STPA的方法。其中：前者關(guān)注組件故障，建模方法及形式簡單，所考慮的威脅通常為已知威脅；后者建模過程相對復雜，建模相對困難，除了組件故障還考慮組件間的相互影響，除了已知威脅還可考慮未知威脅。

4 結(jié)論

計算機和網(wǎng)絡(luò)的核電數(shù)字化儀控系統(tǒng)在提高核電廠可靠性、降低使用和維護成本、便于運行操作的同時，也存在遭受網(wǎng)絡(luò)攻擊的風險。因此，需要使用合適的網(wǎng)絡(luò)安全風險分析方法對其進行風險分析。針對核電數(shù)字化儀控系統(tǒng)的網(wǎng)絡(luò)安全問題，國內(nèi)外發(fā)布了一系列標準和指南，作為有效開展網(wǎng)絡(luò)安全防護的要求和基礎(chǔ)。

本文將網(wǎng)絡(luò)安全風險分析方法分為基于公式方法和基于模型方法(包括非圖形模型和圖形模型)這兩類進行文獻綜述，并從動態(tài)分析、風險評價、數(shù)據(jù)來源、核安全與網(wǎng)絡(luò)安全四個方面對核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全風險分析方法進行了適用性分析，為核電數(shù)字化儀控系統(tǒng)選用適當?shù)木W(wǎng)絡(luò)安全風險分析方法提供了參考。