基于EASI模型的安全防范系统脆弱性分析

2020-12-04王清清王昌伟方文韬刘祖德

安全与环境工程 2020年6期

王清清，王昌伟，方文韬，刘祖德

(1.中国地质大学(武汉)工程学院，湖北武汉 430074；2.中石化华北石油工程有限公司，河南郑州 450006)

关键基础设施如城市交通站、大型化工厂、核电站等具有较高的安全风险，一旦遭到非法入侵攻击，会造成人员伤亡、财产损失和恶劣的社会影响。不同于生产安全事故，非法入侵攻击主要包括偷窃和恐怖袭击，具有较高的不确定性和突发性。为了应对突发状况，重点单位重要部位都设置了安全防范系统，但缺少严格的方法来评估其脆弱性，仅仅依赖于工程经验来判断其有效性和决定是否需要采取额外的防护措施，无法保障安全防范系统抵御外部破坏的能力，因此需要通过可靠的脆弱性分析方法来发现安全防范系统的漏洞，并采取有效措施，以提升安全防范系统性能。

目前关键基础设施安全防范系统脆弱性分析方法主要有现场测试、入侵模拟试验和定量评估方法。但是，现场测试分析结果较为理想化，无法客观地反映敌人多路径入侵的复杂情况，也无法反映实际厂区的应急响应能力[1]，而在现实情况下，进行真实的入侵模拟试验的危险性很高，因此运用定量评估方法对安全防范系统进行脆弱性分析更为合理。Tamasi等[2]提出了一套基于威胁和脆弱性概念，运用模糊数学方法对民航安全脆弱性进行定量评估的方法；Khanmohamadi等[3]提出了一种利用ALOHA和ArcGIS软件动态模拟危险品运输过程中受到恶意攻击而受影响的人口和经济损失来定量评估危险品运输脆弱性的方法；宋亮亮[4]基于事故干扰源和脆弱性影响因素构建了地铁系统动力学模型，分析了不同干扰源下系统的熵值变化，定量评估了地铁系统的脆弱性，并利用Vensim PLE仿真平台对地铁系统脆弱性进行了仿真研究；安聪[5]基于系统突变理论建立了脆弱性评估模型，分析从出现致灾因子到石化罐区崩溃的整个过程中系统的熵值变化，并定量评估了石化罐区的脆弱性；孙凌云等[6]分析了影响乌鲁木齐城市脆弱性的所有可能因素，建立了城市脆弱性评估模型，并运用变异系数和综合指数法评估了乌鲁木齐城市的脆弱性。

上述系统脆弱性定量评估方法都是针对某一特定行业提出的，不具有普遍适用性。此外，这些方法都是从人、物、管理等宏观影响因素层面建立复杂网络来对某一系统的脆弱性进行分析，未针对非法入侵及敌人入侵情况的复杂性进行具体分析。实物保护系统(Physical Protection System,PPS)有效性分析中的EASI模型可以很好地解决该问题，该模型有完善的评估体系，可以准确地分析整个核设施抵御外部入侵破坏的能力，并发现安全防范系统存在的缺陷。虽然EASI模型是核设施PPS有效性评估的方法，但其基本理念和分析方法可以运用于其他高风险行业安全防范系统的脆弱性分析中，如大型化工产、危险品仓库、交通站等[7]。因此，本文提出了一种基于EASI模型的安全防范系统脆弱性分析方法，使其能够定量评估复杂情况下关键基础设施安全防范系统抵御恶意入侵破坏的能力和设施内关键设备的脆弱性，帮助管理人员发现安全防范系统的薄弱部位，有针对性地采取安全防护措施，以提高安全防范系统抵御外部入侵的安全防范能力，避免过度防护增加成本或者关键设备防护不足等问题。

1 基于EASI模型的安全防范系统脆弱性分析方法

1.1 EASI模型介绍

为了解决核设施PPS有效性评估问题，1970年美国桑迪亚国家实验室(SNL)提出了EASI(Estimation of Adversary Sequence Interruption)模型。EASI模型使用入侵序列图表示敌人入侵路径，具体分析指定路径的所有屏障、延时设施(措施)、探测设备在阻止敌人入侵过程中的作用，从PPS的检测、延迟和响应三个方面综合评估安全防护系统成功抵御敌人入侵的概率。虽然EASI模型只能分析单条入侵路径，无法分析设施内所有可能的入侵路径，但其能够定量评估敌人入侵的复杂情况，且具有较好的融合性和实践性。基于EASI模型，SNL提出了入侵薄弱路径系统性分析(Systematic Analysis of Vulnerability to Intrusion,SAVI)方法或模型，该方法通过连接各保护层路径段构建敌人入侵序列图，分析核设施内所有可能的入侵路径。另外，SAVI模型在EASI模型基础上细分了检测、延迟和响应功能，并考虑更多影响因素来评估最薄弱路径，能够详细分析核设施内所有可能的入侵情况，但其评估过程相对冗杂，且不适用于其他关键基础设施安全防范系统的脆弱性评估。

鉴于这两种模型的优缺点，本文运用SAVI模型中通过路径段构建整个厂区所有可能入侵路径的方法对EASI模型进行优化，并根据工程实际问题对EASI模型进行简化，使其能够运用于关键基础设施安全防范系统的脆弱性分析。

1.2 EASI模型的应用

EASI模型通过采用计算机模型程序和完整的数据库对特定的最薄弱路径进行量化分析，根据EASI模型有效性分析方法[8]，成功中断敌人实现目标的概率PI：

PI=PA×PT×PS

(1)

式中:PA为所有探测装置成功探测到敌人入侵的总探测概率；PT为警卫成功截住敌人的概率；PS为成功阻止敌人入侵的概率。

在运用EASI模型有效性分析方法进行定量分析时需要可靠的定量数据支持，但是这些数据是在SNL的内部报告中收集的，并普遍应用于军事和核部门，因此它只能为工业设施和环境提供有限的技术和部分信息，无法直接应用于其他高风险行业。本文考虑使用EASI模型度量性能变量的定义和原则，建立评价指标体系，通过专家评估的方法定量分析安全防范系统成功检测到敌人入侵的能力。

综合考虑SNL开发的评定指标[9]和我国重点单位重要部位安全技术防范系统的要求(DB 31/329—2014)，选取专家、关键基础设施的安全防范工作人员和管理人员组成分析小组，按照Norman[10]提供的指导方针对各探测设施设备性能进行定量分析，选择专家提供的估计值的平均值作为汇总变量来定量分析每个探测装置在其组成因素的所有可能状态组合下成功探测到敌人入侵的概率PAi，则所有探测装置成功探测到敌人入侵的总探测概率PA为

(2)

式中:PAi为第i个设备成功探测到敌人入侵的概率；n为探测设备的数量。

考虑到探测装置组成因素有效性概率估计的数量和复杂性，整个分析过程使用点估计概率而不是概率分布，以简化分析过程，详见表1。

表1 分析量化表Table 1 Analysis quantization

根据SNL发布的研究报告[11]，接收报警后，警卫成功截住敌人的概率与安全防范系统的延迟时间和响应时间有关，具体时间关系如图1所示。

图1 警卫成功截住敌人的概率与安全防范系统的延迟时间和响应时间的关系示意图Fig.1 Schematic diagram of the relation between the probability of the guard incepting the enemy and the delay time and response time of the security system注：T0为敌人开始入侵的时间点；T1为探测系统发现敌人入侵并报警的时间点；T2为警卫核实报警信息后出动的时间点；T3为截住敌人的时间点；T4为敌人达成入侵破坏目的的时间点；td为延迟时间，即探测系统报警后到敌人实现入侵目的的时间段，延迟时间主要与目标距离和各延时设施(措施)有关；tr为响应时间，即探测器报警后，警卫分析报警信息并确认后，出动并截住敌人的时间段；当td

μt=E(td-tr)=E(td)-E(tr)

现有雷达的信号处理很难完全滤除杂波，因此，在送往雷达显示终端的0/1检测信号中，依然会存在大量的杂波剩余。其中，慢动杂波具有与SST相近的运动速度，在多帧雷达图像积累中，慢动杂波也会聚集于同一位置或同一区域。但是，由于SST和慢动杂波在运动方向和运动规律上存在较大不同，因此多帧雷达图像积累后，SST和慢动杂波的目标回波就会存在较大差异。主要表现在：

(3)

(4)

警卫成功截住敌人的概率即拦截概率PT为

(5)

目前国内外成功阻止敌人入侵概率的研究主要体现在警卫和入侵敌人人数的比较[12]，成功阻止敌人入侵的概率PS与警卫和入侵敌人人数比值的关系如图2所示。

图2 成功阻止敌人入侵的概率与警卫和入侵敌人人数比值的关系图Fig.2 Relation between the probability of successfully stopping the enemy invasion and the ratio of the number of guards to enemies

综上所述，在多层防护下的某一路径警卫成功阻止敌人入侵的概率即阻止概率PI为

(6)

式中:PA1为第1个探测器成功探测到敌人入侵的概率；PT1为警卫收到第1个探测器报警后成功截住敌人的概率；n为探测器的数量；PAi为第i个探测器报警的概率；PTi为警卫收到第i个探测器报警后成功截住敌人的概率；j为第i个成功报警的探测器之前未成功报警的探测器的序号；PAj为第j个探测器成功探测到敌人入侵的概率。

1.3 基于EASI模型的安全防范系统脆弱性分析方法

基于EASI模型的关键基础设施安全防范系统脆弱性分析流程见图3，具体步骤如下：

图3 基于EASI模型的关键基础设施安全防范系统脆弱性分析流程图Fig.3 Flow chart of vulnerability analysis of critical infrastructures security system based on EASI注：蓝色表示物理防护屏障,屏障数量为a，蓝色箭头代表相邻两屏障之间的路径段L，L1为从外部到第1道屏障的路径，La+1为最后的屏障a到目标的路径；黄色表示与探测概率PA相关的信息，表示敌人在第Li路径上被探测的概率，Li路径上共有nLi个探测设备，其中表示Li路径上第x个探测设备;绿色表示与警卫拦截概率PT相关的信息，表示敌人在第Li路径上被拦截的概率，Li路径上共有mLi个延迟设施(措施)，其中表示Li路径上第y个延迟设施(措施);红色表示敌人达成入侵目标的事故后果严重度C。

步骤1：根据事故后果严重度C确定重点防护目标，分析厂区的整体布局，确定敌人达到目标所需要通过的所有物理防护屏障(如门、墙、窗等)，记物理防护屏障数量为a，连接两个相邻屏障构成路径段,记为Li(包括第i-1道屏障，不包括第i道屏障)(i=1,2,…，a，a+1)，敌人入侵路径由多段路径构成。

(7)

(8)

因此在多路径段防护下，某一路径警卫成功阻止敌人入侵的概率即阻止概率PI为

(9)

步骤3：从敌人入侵成功的概率(1-PI)和事故后果严重度C两个方面评估重点设施关键部位的入侵风险V，从而反映其安防系统的脆弱性，重点设施关键部位的入侵风险越高，则安全防范系统越脆弱。重点设施关键部位的入侵风险即脆弱性值可表示为

V=(1-PI)×C

(10)

事故后果研究主要把人员伤亡、财产价值损失、设备关键度、社会影响等因素作为事故后果严重性评估的重要依据，本文选用《生产安全事故报告和调查处理条例》标准和具体的工程问题将事故后果严重度C划分为4个等级，详见表2。

步骤4：根据脆弱性分析结果，发现关键基础设施中风险最高的防护目标以及薄弱路径，提出改进措施，有针对性地提高局部的防护能力。

表2 事故后果严重度划分表Table 2 Classification of auident consequence severity

2 实例运用与分析

新疆某油田危险品仓库用于存放新疆塔河油田井测作业所需的大量放射性源(112枚密封型放射源，其中高危险性的Ⅱ类源15枚、Ⅲ类源4枚)和民用爆炸品(黑索金212.1 kg，雷酸汞1.6 kg)，放射源仓库和民用爆炸品仓库为防护目标。仓库内存放的危险品一旦发生入侵盗窃、破坏，事故后果严重，特别是被不法分子盗取用于制造“黑弹”，造成的社会影响无法估量，因此设置仓库防护目标放射源仓库和民用爆炸品仓库的事故后果严重度等级均为4。本文运用基于EASI模型的安全防范系统脆弱性分析方法对该油田危险品仓库的防护能力进行分析，发现关键基础设施中风险最高的防护目标以及薄弱环节，提出改进措施，有针对性地增强局部防护能力。

根据仓库安全防范设备和管理资料，并参考EASI模型数据库[13-15]和国家关于重点单位重点设施安全防范标准[16-17]，邀请2位该仓库安全防范工作人员、1位仓库管理人员和1位安全领域专家评估该仓库探测设备(或措施)能够成功检测到敌人入侵的概率PAi(最终结果取平均值),详见表3。根据EASI模型延迟数据库[18-19]，合理分析该油田危险品仓库各延时设施延迟时间，详见表4。该油田危险品仓库整体布局、各探测设备(见表3)和各延时设施(见表4)布置情况，见图4。

分别重复测量20次警卫从控制室到放射源仓库和爆炸品仓库的响应时间，得到警卫到放射源仓库的平均响应时间tr1为193 s、标准差为43 s，警卫到爆炸品仓库的平均响应时间tr2为262 s、标准差为71 s。基于以上参数，根据基于EASI模型的安全防范系统脆弱性分析方法绘制该油田危险品仓库安全防范系统的关系网络图(见图5)，并对其进行脆弱性评估，其分析结果见表5和图6。

表3 某油田危险品仓库探测设备有效性评估表Table 3 Effectiveness evaluation of detection equipmentin the dangerous goods warehouse of an oilfield

表4 某油田危险品仓库各延时设施延迟时间参数表Table 4 Delay time parameters of delay measures inthe dangerous goods warehouse of an oilfield

图4 某油田危险品仓库安全防范系统布局图Fig.4 Security system layout of the dangerous goods warehouse of an oilfield

图5 某油田危险品仓库安全防范系统关系网络图Fig.5 Network of security protection system of the dangerus goods warehouse of an oilfield注：由于路径段L6与L4、L7与L5、L9与L8、L14与L16、L15与L13的探测概率相关信息和拦截概率相关信息相同，为了使关系图更简洁，图中省略L4、L5、L8、L16、L13路径段的探测概率PA相关信息和拦截概率PT相关信息。

表5 某油田危险品仓库安全防范系统脆弱性分析结果表

图6 某油田危险品仓库安全防范系统脆弱性分析图Fig.6 Vulnerability analysis diagram of security system of the dangerous goods warehouse of on oilfield

由表5和图6可见，在所有的可能入侵路径中，路径b、f的脆弱性值(1.296)最高为最薄弱路径，路径a(1.128)、e(1.120)为较薄弱路径，需要加强防护；敌人从外部进入仓库的成功阻止概率较高(0.676～0.953)，与整个仓库的阻止概率基本一致，仓库内的成功阻止概率极低(≤0.136)，因此仓库外墙和出入口控制为整个安全防范系统最重要的部分；整个仓库的探测概率较高，但警卫反应时间较长，导致成功阻止概率降低(特别是仓库内)。

建议措施：①加强安全教育培训和演练培训，制定应急预案，提高警卫响应速度，有效降低仓库安全防范系统的脆弱性；②增加仓库内外围墙间的探测设备，保证安全防范人员能够及时发现敌人入侵，为阻止敌人实现目标争取更多的时间；③拓展视频监控和人员巡更探测范围，以及优化视频监控(提高摄像机性能，减少信息延时等)和人员巡更(增加巡更频率)，可以提高在早期发现敌人入侵的概率。