胡 磊，李海龙，董思岐

（火箭军工程大学作战保障学院，西安 710025）

0 引言

武器系统是一种典型的信息物理融合系统［1］，实现通信、计算和控制的深度融合和有机交互，提升了现代作战信息化和智能化水平。2018 年10月，美国政府问责局（GAO）发布了题为《武器系统网络安全——国防部开始解决大规模漏洞问题》的报告［2］，揭示了武器系统存在安全威胁。我军也正在大力开展武器系统网络化、智能化研究。武器系统网络存在许多系统漏洞，面临诸多安全风险。通过攻击行为可以访问、控制和破坏武器系统，直接影响作战行动开展。目前针对武器系统网络缺乏成体系的安全防范措施，迫切需要准确的安全评估。

传统的网络安全评估对象是IT 网络，针对工控网络的安全评估正处于起步阶段。常用的评估方法有定性分析、定量分析。定性分析是依据现有的知识、经验等资料与目标网络安全状况进行比对，依据理论推导演绎进行安全形势判断；定量分析是针对网络中各安全要素，提取安全指标进行量化，通过数学方法计算安全评估结果。文献［3］提出利用一组量子门线路构建神经网络模型，对信息系统进行量化评估风险。文献［4］提出一种模糊集理论与DS 证据理论相结合的风险评估方法，利用贝叶斯网络模型进行信息系统安全评估。文献［5］提出扩展攻击树模型，构建着色Petri 网模型对SCADA 系统进行网络攻击分析。文献［6］对电力信息物理融合系统安全进行定性分析，提出了相应的安全评估体系。文献［7］提出模糊层次分析法对工控系统进行安全评估。文献［8］按照层次关系构建系统、主机、服务的层次化安全威胁态势评估体系。

而武器系统网络是传统IT 网络和工业控制网络融合的混合网络，融合了IT 网络和工控网络特性，评估标准、内容、方法等存在差异。现阶段混合网络安全评估研究成果较少。针对武器系统网络安全评估的研究内容主要分为以下3 个内容：

1）构建和优化评估指标体系。针对武器系统网络的结构特点、安全状况，明确评估目标，对目标网络指标集进行初选、优化，形成具备完备性、层次性、相对独立性的指标体系。根据指标集内容确定评估集元素集合。

2）指标权重的确定。指标权重的合理性直接影响评估结果的准确性。根据赋权方法的不同可以分为主观赋权法、客观赋权法和主客观赋权法。主客观赋权法可以弥补单一赋权的缺陷。

3）评估方法的研究。评估方法的可行性与优越性直接影响评估结果，常用的评价方法有灰色关联分析、粗糙集理论、模糊理论等。

本文筛选影响武器系统网络安全状况的因素，构建武器系统网络安全评估指标体系，通过改进的层次分析法和熵权理论分别确定主观客观指标数据的权重。然后基于模糊灰色聚类的方法构建分级评估模型，定性和定量分析武器系统网络安全风险。

图1 武器系统网络安全评估流程

1 武器系统网络安全评估指标体系构建

武器系统网络安全评估指标体系的建立是进行网络安全评估的基础，要遵循全面性与独立性、层次性与系统性的统一，保证构建出的指标体系既能够全面涵盖武器系统网络安全评估要素的所有指标，又能避免指标重复产生的冗余问题。

1.1 指标集

本文依据《工业控制网络安全风险评估规范》［15］、《网络安全等级保护基本要求》［16］、《信息技术安全性评估准则》［17］等国家标准，结合武器系统网络安全形势和安全需求，将武器系统网络安全评估分为5 项内容，包含物理安全评估、安全运行评估、安全管理评估、体系结构安全评估和信息保护评估。如下页图2 所示，按照层次划分建立武器系统网络安全评估指标体系，一级指标共有26 个，二级指标共有5 个。

图2 武器系统网络安全评估指标体系

1.2 评估集

评估集是对指标集进行定性和定量分析后的评估结果的直接描述。针对武器系统网络安全状况，本文安全风险的评估集为G={A，B，C，D，E}，利用隶属度来表征评估结果。安全评估结果最优为A级，最差为E 级。A 级表示武器系统网络安全性极佳，能够有效抵御各类安全攻击，能够有效保障作战；B 级表示武器系统网络安全性较好，能够抵御大部分网络攻击，但存在一些安全隐患，需要进一步审查升级；C 级表示武器系统网络安全性一般，实际作战中面临安全风险，不建议使用；D 级表示武器系统网络安全性不合格，易于被攻击，应立即停止使用；E 级表示武器系统网络安全性极差，失去作战能力。

2 基于组合赋权的评估权重计算

在多指标综合评价过程中，权重的准确性对评价结果影响巨大［9］。根据权重计算数据来源的不同，可以分为主观赋权法、客观赋权法和组合赋权法。组合赋权法［10］既优化了主观赋权产生主观随意性，又解决客观赋权可能存在权重与实际情况相悖的问题。

2.1 基于改进层次分析法的主观权重计算

层次分析法［11］（Analytic Hierarchy Process，AHP）是一种定性和定量分析相结合的多指标评价方法。利用AHP 对武器系统网络进行安全评估，将复杂问题层次化，利用专家经验对各层次要素进行量化，计算各要素之间的关联关系。通过要素间两两比较，构造判断矩阵，确定各因素的权重，为多指标评价提供依据。常用的标度方法有1-9 标度法、1-5 标度法、1-3 标度法等。但是传统的AHP 分析指标数量过多的指标体系时，计算量大，运算周期长。其次判断矩阵需要进行一致性检验，容易出现一致性检验错误问题，造成评价困难。

表1 改进层次分析法标度值的具体含义

IAHP 方法确定主观权重步骤如下：

步骤3：根据各要素间重要程度的传递性，构造判断矩阵P 如式（1）所示。

步骤4：利用式（2）计算各指标的主观权重。

2.2 基于熵权理论的客观权重计算

主观赋权法主观性较大，容易受人的经验、知识水平影响。为了减少主观赋权产生的权重偏差，引入客观赋权法。客观赋权法利用原始客观数据之间的关联性，通过数学方法进行定量分析确定权重。常用的客观赋权法有熵权法［13］、CRITIC 法、主成分分析法（PCA）等。

熵权法利用信息熵表征指标集的不确定度，熵值大小表示各指标的变异程度。若某个指标的信息熵越小，表示该指标所包含的信息量越大，则相应赋予的权重应较大；反之则赋权较小。通过信息熵计算各指标的熵权，进而得到相应的客观权重。基于熵权法的客观权重计算步骤如下：

步骤2：依据式（3）对评价矩阵Y 进行归一化处理，

步骤3：对于指标体系中某个指标zij，其信息熵为

步骤4：由熵权计算式（5）得到第i 个指标的客观权重。

基于熵权法的权重赋值方法对于信息熵较接近的情况下，很难准确计算出权值，其方法存在局限性。

2.3 基于组合赋权的权重计算

单一的赋权方法存在相应的缺陷，通过组合赋权的方法可以弥补单一赋权带来的权重不准确的不足。本文通过组合赋权的方法，融合了改进的层次分析法和熵权法确定的主客观权重。定义组合赋权的权重ui为

3 基于模糊灰色聚类的武器系统网络安全评估模型

本文采用模糊灰色聚类方法，结合灰色聚类理论和模糊判决方法的优势，按照分层评估的思想对武器系统网络安全开展评估。将武器系统网络按层级结构划分为多个评估内容，先利用灰色聚类方法对一级评估内容进行安全评估，再利用模糊判别对二级评估内容进行综合评估。

3.1 基于灰色聚类的武器系统网络二级安全指标评估

灰色聚类理论是将评估对象对于不同聚类指标所用的白化权函数，按照不同灰类进行归纳，判断隶属于哪一个灰类。评估的关键在于如何确定灰类的白化权函数。常用的白化权函数是具有转折点的分段线性函数，可根据领域专家经验进行确定。

3.1.1 原始指标数据预处理

评估指标数据存在量纲不同的问题，需要对原始数据进行预处理。根据式（7）、式（8）可得无量纲指标数据。

定义1：xij为第i 个二级指标中的第j 个一级指标的数据值，x'ij为无量纲化处理后的指标。数值越大评估结果越优的指标利用式（7）进行无量纲处理。

数值越小评估结果越优的指标利用式（8）进行无量纲处理。

3.1.2 确定灰类值及白化权函数

1）当k=1 时，其白化权函数如式（9）：

3）当k=5 时，其白化权函数如式（11）：

式（9）～式（11）中，Xij为武器系统网络中第i 个一级指标的第j 个二级指标的数值，Sij为第j 个指标的第k 个灰类的标准值。

3.1.3 确定二级指标的聚类权重

根据组合赋权理论，对主客观指标数据进行分析，利用熵权法和改进的层次分析法分别确定主客观权值，综合分析主客观权重比值得到二级指标的聚类权。

3.1.4 计算二级指标的聚类系数

根据灰色聚类计算式（12），计算二级指标的聚类系数。二级指标中聚类系数最大值对应的灰类就是该评估对象所面临的安全等级状况。

3.2 基于模糊判别法的武器系统网络一级指标安全评估

依据武器系统网络安全评估指标体系和武器系统网络二级指标的评价结果，构建一级指标模糊评判矩阵M。基于组合赋权理论计算一级指标的模糊评判权向量，利用模糊评判式（13）计算武器系统网络一级指标安全评估结果，完成对武器系统网络整体安全评估。

式中，S 为模糊评判结果向量，W 为权向量，·为模糊评判算子。

4 实例分析

4.1 武器系统网络安全评估指标确定

4.2 各层级评估指标权重的确定

4.2.1 熵权法确定客观权重

首先，计算武器系统网络二级指标权重。以物理安全评估内容为例，对预处理后的指标数据进行归一化处理，得到矩阵Z。

根据式（4）计算出信息熵向量E1= {0.970 3，0.762 2，0.841 6，0.800 9，0.682 3，0.613 6}。利用式（5）计算出物理安全评估内容中各个二级指标的客观权重v1={0.022 4，0.178 9，0.119 2，0.149 8，0.239 0，0.290 7}。同理可得，安全运行评估、安全管理评估、体系结构安全评估和信息保护评估内容对应的客观权重分别为v2={0.035 7，0.242 0，0.314 1，0.052 5，0.165 5，0.190 2}，v3={0.012 3，0.183 9，0.048 8，0.538 8，0.216 2}，v4={0.219 8，0.273 1，0.246 8，0.259 3}，v5={0.147 5，0.081 5，0.258 6，0.210 1，0.257 7，0.044 7}。

表2 武器系统网络安全状况评估指标预处理数据

4.2.2 改进的层次分析法确定主观权重

1）依据专家经验和实际安全需求，对一级指标进行排序：体系结构安全＞信息保护安全＞管理安全＞运行安全＞物理安全。同理，对二级指标进行重要性排序。

2）根据表1 标度值含义，确定各指标间的相对重要程度，构造判断矩阵P：

3）根据式（2）计算一级指标的主观权重：W={0.354 8，0.233 9，0.162 7，0.135 6，0.113 0}。同时可以得到二级指标对应的主观权重。

4.2.3 组合赋权确定综合权重

4.3 武器系统网络各关键评估内容安全状况评估

根据灰色聚类评估步骤，将表1 中各指标数据代入白化权函数中，计算出相应的白化权函数值。利用灰色聚类对武器系统网络五大安全评估内容进行评估，根据灰色聚类式（12）计算出各评估内容的安全状况量化结果，聚类系数如表4 所示。指标对应聚类系数最大值代表当前网络安全状况，物理安全、运行安全、管理安全、体系结构安全和信息保护安全的安全等级分别为C、D、E、A、B。

4.4 武器系统网络整体安全状况评估

针对武器系统网络整体安全状况，构造一级指标的模糊判别矩阵M。

表3 组合赋权后计算出的二级指标的综合权值

表4 武器系统网络的二级指标安全状况灰色聚类结果

表5 武器系统网络的一级指标安全状况模糊判别结果

本文采用加权平均型模糊算子对武器系统网络一级指标进行安全评估，根据式（13）计算出评估结果如表5 所示。通过对评估结果进行分析，可知武器系统网络安全状况处于C 级，面临安全风险，需要及时对系统网络进行升级改造。

5 结论

本文针对武器系统网络安全评估问题，提出了基于组合赋权和模糊灰色聚类的评估方法。通过构建武器系统网络安全评估指标体系，采用灰色聚类和模糊判决相结合的方法，按照分层思想分别对一、二级指标进行评估，弥补了单一评估方法的不足。利用组合赋权的方法，既考虑到层次分析法赋权的一致性和主观不确定性，又减小了客观数据的本身偏差带来的权重准确性问题。结合实例分析，此方法对于评估现有武器系统网络安全性具有应用价值。

下一步研究方向针对武器系统网络遭受攻击问题，动态分析网络安全状况，实现实时评估。根据现有评估结果，可以对网络未来安全状况进行预测分析。