摘   要： 为智能生产车间提出一种基于多属性决策的工业控制系统安全风险评估方法。根据智能工业控制系统网络结构，分析和明确安全风险点，构建工业控制系统安全风险评估模型;将资产划分为数据、软件、硬件、服务、人员、工控系统结构特征和复杂度、管理特征重要性和影响性七类指标属性，判断各属性的重要性，得到资产安全关联拓扑图，计算各资产的危害程度。形成了工业控制系统安全风险评估基本流程，使得安全风险得以量化，为工业控制系统的安全部署提供了基本遵循。

关键词： 智能工厂;多属性决策;安全风险评估;工业控制系统;资产;安全部署

中图分类号：TP277    文献标识码：A    文章编号：2095-8412 （2020） 01-006-06

工业技术创新 URL： http： //www.china-iti.com    DOI： 10.14103/j.issn.2095-8412.2020.01.002

引言

目前工业控制（以下简称“工控”）系统的安全风险评估体系仍存在许多问题和不足。大多数工控系统安全风险评估使用手工方式进行，主要依据操作人员的经验，无法实现定量描述[1-2]。除人工方式之外，目前比较常见的是故障树分析方法，如Ralston等[3]研究了基于故障树分析方法的SCADA系统安全风险评估，能够显示出整个攻击过程，但是由于实际生产过程中的故障比较复杂，该方法容易导致误报，因此实际情况下安全风险大都需要由专家经验或统计试验确定。

工控系统安全状态由大量评估指标决定，同时系统监测数据中存在误报和漏报的情况。因此，为了使系统能够及时反映和处理出现的安全问题，可以通过多方专家对客观事物内部关系复杂性的考虑和信息源的融合，使得安全风险评估更高效、可靠和及时[4-5]。本文从智能工厂的工控系统安全入手，以系统特征和设备安全需求为出发点，利用多属性决策方法计算各个设备的安全值，通过实际数据得到设备的属性概率分配，根据多个决策参与者赋予的客观权值，判断工控系统的脆弱性，实现工控系统的安全风险评估。

1  智能工厂工业控制系统网络结构

如图1所示，在智能工厂中，现场控制层、集中控制层中的设备一般有工业路由器、传感器、数据采集与监视控制系统（Supervisory Control and Data Acquisition，简称SCADA）、工控机、传感器、可编程逻辑控制器（Programmable Logic Controller，简称PLC）、无线设备等，制造执行层和企业信息层中的系统包括制造执行系统（Manufacturing Execution System，简称MES）、统计过程控制（Statistical Process Control，简称SPC）系统和办公自动化（Office Automation，简称OA）系统等[6]，这些设备和系统互联互通地形成了一个工控系统网络。在工控系统网络中，传统的计算机存在的病毒、木马、入侵攻击等安全威胁都可以向工控系统扩散，其中的每一个设备或人机接口都有可能成为网络攻击点[7]。

为了了解工控系统整体的安全状况，需要在有限的资源下配置安全防护资源，建立工控系统安全风险评估模型。

2  工业控制系统安全风险评估模型

工控系统安全风险评估主要围绕生产业务控制系统及设备、脆弱性、威胁、风险等基本要素进行，因此需要在评估过程中充分考虑工控系统每一项流程的复杂性、重要性、可用性、安全危害程度等与基本要素相关的属性[8-9]。通过量化识别风险，采取合理、适度的风险处置措施，将风险降低到可以接受的水平[10]。在具体评估时，主要考虑对工控系统设备、数据和人员等系统构成元素进行分类和标记，从而明確资产的用途、使命和作用。可以将各个资产分为数据、软件、硬件、服务、人员、工控系统工艺特征和复杂度、工艺特征重要性和影响性七类指标属性，对工控系统的信息资产进行识别，将工控系统的风险量化。属性权重是属性重要性的判断依据，专家对不同资产赋予不同的属性权重数值，是专家对方案偏好性的体现[11]。

2.1  各属性重要性判断与赋值

属性权重合理与否，直接关系到决策结果的正确性和可信程度。

计算属性权重时，首先需要由若干位行业内领域的专家对智能工厂评价指标体系中同一层次的各个指标进行两两比较，建立比较判断矩阵，以表示同一层次各个指标的相对重要性。然后，将比较判断矩阵各行进行几何平均、归一化，得到的行向量就是权重向量。具体的计算步骤为：

（1）判别矩阵每一行元素的乘积

（1）

（2）计算的N次方根

（2）

（3）对向量进行归一化计算

（3）

结合工业生产现场实际情况，进行如下定义：C1—数据;C2—软件;C3—硬件;C4—服务;C5—人员;C6—工控系统结构特征和复杂度;C7—管理特征重要性和影响性。通过选取实际现场中的场景，结合设备的情况，通过专家赋值进行计算，根据式（1）～（3）得出的属性权重结果如表1所示。

2.2  综合群体信息安全资产评估

通过主观赋权法得到评价指标属性值和专家赋予的权重，用线性加权法将个体决策集结成一次群决策结果。

首先分别对每一个决策者计算决策矩阵，得到个体决策结果，各决策者的个体决策结果为一个方案综合值的排序向量。然后，再将个体决策结果集成，得到最终的群体结果。

对每个参与人员进行决策分析，且设经过个体决策后，第k个决策者的个体决策结果为向量，那么综合所有l个决策者的个体决策，写成矩阵的形式为：

（4）

其中，，F为多属性个体决策函数，为专家权重，表示专家l对于方案按照属性j决策，采用简单的加权法进行计算，则：

（5）

如果仅仅是个体决策，采用此方法就得到了各个设备的安全风险评估结果;对于多个专家的决策，需要综合各成员的个体决策向量，集成为群体决策向量。由于不同专家的度量标准不同，对事物认识的深度和把握程度也不同，因此实际决策时需要通过规范化公式进行规范化处理。把评价指标的指标值都统一转换到区间上，即将决策指标规范化以后，对每个属性而言，最差的属性指标值为0，最好的属性指标值为1。

对矩阵各行进行归一化处理，归一化公式为：

（6）

结合已知的决策者权重向量，可以采用简单加权法将个体决策结果集成为群体决策结果：

（7）

其中，

（8）

所有得分加权平均后得出资产属性评分，通过集成群决策技术判断得到决策危害性大的设备和工艺结果。

在进行安全风险评估时，依靠专家和工控系统设备、威胁和脆弱性等客观属性，结合安全事件发生的可能性与造成的损失进行计算，得到各个资产的风险值。

2.3  资产安全关联拓扑图

通过综合群体信息计算得出资产面临的风险后，根据先验知识和资产面临的危害程度定义安全关联拓扑图，构建攻击场景，如图2所示。构建的资产危害关联拓扑结构图能够准确反映当前网络面临的安全威胁，能够进一步为网络安全威胁态势感知工作提供指导。

以图2为例，对资产1的危害传播路径有很多种：1）通过资产1本身的脆弱性;2）3→1;3）4→2→1;4）3→4→2→1;5）5→3→1;6）6→1。

结合专家的客观赋权，首先依据表1计算得到各个资产的权重，然后结合多个专家决策结果，依据式（8）计算，得到图2中各个资产是最终结果，如表2所示。

然后，为了在有限的资源下配置安全防护资源，为工控系统部署安全防护策略。需要计算所有攻击路径中，攻破资产1的概率最大的路径，其危害性也最为严重。通过计算各个资产的危害度，结合已知的危害传播路径，利用相乘法，得到攻破资产5后再攻破资产3的概率值大于直接攻破资产3的概率值，即P（Asset5）×P（Asset3）>P（Asset3）。

通过计算每个资产的危害程度，最终确认5→3→1这条路径攻破资产1的可能性最大，因此可以重点在此条攻击路径中进行安全部署，为企业用户的工控系统的安全部署提供参考建议。

3  工业控制系统安全风险评估基本流程

工控系统安全风险评估的主要步骤包括对评估对象进行资产识别、威胁赋值以及对生产工艺进行识别、赋值，根据各项资产在生产过程中的重要性，把工控系统安全风险量化。然后，识别当前的系统安全措施，并结合上述已经识别的系统特征，对当前的系统安全措施进行有效性验证，并对系统安全风险进行计算。如果评估得到的风险无法接受，则需要增加安全措施，重新进行评估，直到系统安全风险可以被接受为止。工控系统安全评估基本流程如图3所示。

基于评价指标模型，完成智能工厂安全核心能力的引导和构建，为智能工厂企业在安全软件选择、管理与配置、补丁管理、边界安全防护、身份认证、资产安全、数据安全等领域的工控系统安全防护提供指导，实现智能工厂企业的安全升级。

4  讨论与结束语

4.1  讨论

智能工厂使整个车间成为基于信息技术和物联网的互联互通工业网络。车间大规模出现事故之后再对工控系统安全进行弥补和整改，则代价非常大。本文构建了工业控制系统安全风险评估模型，将资产划分为数据、软件、硬件、服务、人员、工控系统结构特征和复杂度、管理特征重要性和影响性七类指标属性，判断了各属性的重要性，能够加强企业的安全防护。

（1）数据：工业控制系統中运行数据和信息的可用性，是构建安全的关键。针对大量数据和文件进行业务建模和数据挖掘，能够提高安全查询能力、挖掘能力、研判能力、预测能力，同时积累基础资源库、协议特征库和漏洞库资源等。

针对数据的防护主要是建立数据日志备份与恢复策略并异地存放，数据日志备份包括备份时间、备份周期、备份套数、备份方式和恢复方式的步骤。

（2）软件：智能生产所涉及的工业控制软件系统主要的风险包括用户隐私泄露、非授权访问、存在窃听嗅探、恶意代码、病毒/漏洞攻击、控制命令伪造攻击、控制网络DoS攻击等可能存在于企业软件平台配置等方面的安全漏洞。

针对软件方面的防护措施：只安装工厂必需的系统类、驱动类、专业控制组件，开启必要的服务功能，设置关键配置文件的访问权限。不能使用盗版、破解版等非原版软件，并且软件的安装、卸载、更新都应有书面记录。

（3）硬件：主要指系统的网络架构、服务器、存储系统等安全，和各个系统之间信息交换安全。主要风险包括企业工业控制网络安全配置（如网络分区、端口禁用等）、工业主机安全配置（如远程控制管理、默认账户管理等）、工业控制设备安全配置（如口令策略合规性等）。

主要通过安全产品和技术（例如防火墙、防病毒软件、侵入检测、加密技术）的应用等进行防护，封闭接口及操作系统桌面，严格账户管理，合理分类设置账户权限，采用基于白名单机制的工业防火墙实现工控协议访问控制，并采用监控审计平台和入侵检测，在黑名单和白名单两个层面保障通信正常。

（4）服务：主要强调服务状态/环境感知与控制的互联，包括远程维护和诊断、运维管理安全和实时监控等，针对信息系统资源（包含主机、网络、存储、安全等基础设施）采取安全管理和技术运维。

（5）人员：主要考虑操作人员的业务水平和操作技能等职业素质，和对安全事件的奖励和处罚管理体系的建设。包括安全使用手册、员工培训、业务规划，涉及信息系统安全的政策法规、教育、管理标准等方面的建设。

（6）工控系统结构特征和复杂度：由于工控系统十分复杂，在建立工控系统安全评估模型前，必须确定工控系统的网络结构，明确所需评估的对象和评估的范围。了解被评估工业控制系统所涉及的资产类型、规模、位置、重要程度、产品、数量等情况，各个要素的特殊性使得各要素对应的指标受攻击后造成的危害不同，因此需要考虑工控系统结构特征和复杂度。

（7）管理特征重要性和影响性：主要考虑安全责任制，安全防护措施及档案资料管理情况。包括账户管控安全、日志和记录巡检安全、密码和密钥管控安全、运行中可靠性管理等。

4.2  结束语

从总体上看，我国的工控系统网络基础硬件安全、网络安全问题长期未得到解决，工控系统信息安全问题也逐渐凸显，因此迫切需要建立智能工厂工控安全的政策、法规和标准，加快对工控系统网络安全策略的研究。

本文针对工控系统安全风险评估问题，对工控系统的安全风险进行了初步分析，给出了安全风险分析模型，提出了基于多属性决策的工控系统安全评估方法。根据计算得到的工控系统中的危害性设备，也得到了整个工控系统的安全评估值，为工控系统的安全部署防护方案提供了基本遵循。

参考文献

[1] 信息安全风险评估规范： GB/T 20984-2007[S]. 北京： 中国标准出版社， 2007.

[2] 工业控制网络安全评估规范： GB/T 26333-2010[S]. 北京： 中国标准出版社， 2010.

[3] Ralston P A S， Graham J H， Hieb J L. Cyber security risk assessment for SCADA and DCS networks[J]. ISA Transactions， 2007， 46（4）： 583-594.

[4] 王连强， 吕述望， 张剑， 等. 组合对象信息安全风险评估研究[J]. 计算机工程与应用， 2006， 42（26）： 17-19.

[5] 赵战生， 谢宗晓. 信息安全风险评估： 概念、方法和实践[M]. 北京： 中国标准出版社， 2007.

[6] 陈曦， 周峰， 郝鑫. 我国SCADA系统发展现状、挑战与建议[J]. 工业技术创新， 2015， 2（1）： 103-114.

[7] 吴亚非， 李新友， 禄凯. 信息安全风险评估[M]. 北京： 清华大学出版社， 2007.

[8] 张永铮， 方滨兴， 迟悦， 等. 用于评估网络信息系统的风险传播模型[J]. 软件学报， 2007， 18（1）： 137-145.

[9] 张永铮， 方滨兴， 迟悦， 等. 网络风险评估中网络节点关联性的研究[J]. 计算机学报， 2007， 30（2）： 234-240.

[10] 盛跃华， 肖丽婷， 张子聪. 工业领域信息安全保密管理体系创新研究[J]. 工业技术创新， 2017， 4（1）： 168-170.

[11] 宋光兴， 邹平. 多属性群决策中决策者权重的确定方法[J]. 系统工程， 2001， 19（4）： 84-89.

作者简介：

王佳（1986—），通信作者，男，河北保定人，博士。主要研究方向：智能制造評估、安全管理。

E-mail： wangjia@cstc.org.cn

（收稿日期：2019-11-19）

Security Risk Assessment for Industrial Control System Based on Multi-Attribute Decision-Making

WANG Jia

（China Software Testing Center， Beijing 100048， China）

Abstract： A method of security risk assessment of industrial control system based on multi-attribute decision-making is proposed for the workshop of intelligent production shop. According to the network structure of the intelligent industrial control system， the security risk points are analyzed and assured， and the security risk assessment model of the industrial control system is constructed. The assets are divided into 7 index attributes， namely， data， software， hardware， service， personnel， structure characteristics and complexity of industrial control system， importance and influence of management characteristics. The importance of each attribute is judged， the asset security related topology is obtained， and the hazard degree of each asset is calculated. The basic process of security risk assessment of industrial control system is formed， which makes the security risk quantified， providing a basic compliance for the security deployment of industrial control system.

Key words： Intelligent Factory; Multi-Attribute Decision-Making; Security Risk Assessment; Industrial Control System; Asset; Security Deployment