摘  要：在对风险评估理论研究的基础上，提出了基于改进层次分析法的SCADA系统信息安全风险评估方法。首先建立了ACADA系統信息安全风险评估层次结构模型，分为管理和技术两大类。然后针对传统层次分析法中通过两两比较法构造判断矩阵难以符合一致性要求的问题，进行了一定的改进，提出通过排序赋值法构造判断矩阵，通过改进层次分析法和熵权法计算出各评价指标权值。最后将以上方法用于对自来水厂SCADA系统信息安全风险评估。

关键词：SCADA系统;信息安全风险评估;层次分析法

中图分类号：TP309    文献标识码：A文章编号：2096-4706（2021）13-0133-03

Research and Application of SCADA System Information Security Risk Assessment

LI Dan

（Hubei University of Technology， Wuhan  430068， China）

Abstract： Based on the research of risk assessment theory， an information security risk assessment method of SCADA system based on improved analytic hierarchy process is proposed. Firstly， the hierarchical structure model of information security risk assessment of ACADA system is established， which is divided into two categories of management and technology. Then， aimming at the problem that the judgment matrix constructed by paired comparison method in the traditional analytic hierarchy process is difficult to meet the consistency requirements， some improvements are made. The construction of judgment matrix by sorting assignment method is proposed， and the weight of each evaluation index is calculated by improved analytic hierarchy process and the entropy weight method. Finally， the above methods are used to evaluate the information security risk of SCADA system in waterworks.

Keywords： SCADA system; information security risk assessment; analytic hierarchy process

0  引  言

数据采集与监控系统（Supervisory Control And Data Acquisition， SCADA）是众多大型工业生产与各国基础设施的控制系统，主要应用于石油、化工、天然气、电力、先进制造、铁路、城市供水供热等行业，这些领域与民生国计都息息相关，是我们衡量一个国家工业化程度的重要标志。

近年来，工业SCADA系统受到攻击的频率越来越多，发生了很多重大信息安全事件[1]，例如：2001年澳大利亚昆士兰州的污水处理厂遭受黑客攻击，造成污水横流，给自然环境造成极大的负担;2008年南美洲某国的电网控制系统遭到黑客控制，导致电网停止工作，给国民经济造成损失;2013年美国天然气管道公司被黑客入侵，盗取重要的系统数据资料，给燃气公司造成极大威胁。

信息安全风险评估的方法主要围绕着解决四类问题，即量化、不确定性、实时性和关联性[2]。层次分析法是解决风险评估的量化问题，他能够全面系统的对信息系统存在的问题进行评估，但层次分析法在评估指标过多时，采用两两比较法构造的判断矩阵难以符合一致性要求。

鉴于此，文章在对传统层次分析法进行改进的基础上，对SCADA系统开展较为全面的信息安全风险评估，

1  信息安全风险评估层次结构模型

1.1  信息安全风险评估基础框架

信息安全风险值是衡量安全事件发生后对信息系统产生影响的一个定量值，风险值的计算是在完成资产识别、威胁识别和脆弱性识别后，采用适当的数学计算方法来确定的。更具体地将说，信息安全风险值应该是由信息安全事件发生的可能性及其发生后所造成的影响两个方面来确定的[3]。因此风险值的计算公式为：

R（A，T，V）=R（L（T，V），F（Ia，Va））

在以上计算风险值的公式中，R表示计算风险值的函数，A表示被评估对象所涉及的资产，T表示面临的威胁，V表示评估对象存在的脆弱性。威胁利用资产所存在的脆弱点的可能性用函数L表示，一旦成功利用后所造成的损失用函数F表示，其中Ia表示安全事件所涉及的资产价值，Va表示该资产的脆弱性严重程度。

1.2  信息安全风险评估层次结构模型

构建层次结构模型是层次分析法的第一步，是紧接着构造判断矩阵的前提条件。该风险评估层次结构模型的构建坚持全面性、独立性与实用性的原则[4]，即所构建的评估指标能够既全面又精准的反映系统的信息安全状况，指标之间独立无重叠，能够确实应用到SCADA信息系统的风险评估。共包括安全物理环境、安全通信网络、安全区域边界方面，一级评价指标10项，二级评价指标72项，每个评估指标的评估内容均不同。如图1所示。

2  SCADA系统信息安全风险评估

2.1  层次分析法的缺陷与改进

层次分析法美国运筹学家T.L.Saaty在20世纪70年代提出一种层次化、结构化决策方法[5]，分为建立层次结构模型、构造判断矩阵、计算权向量并做一致性检验、计算总排序权值几个步骤。在实际应用过程中，当判断矩阵的阶数较多时，参评专家在对指标的前后两两对比评价时容易产生逻辑矛盾，难以构造符合一致性要求的判断矩阵。针对该问题，本文提出通过排序赋值法构造判断矩阵。

假设现在需要对评价指标X1，X2，X3，X4，…Xn构造判断矩阵A。

首先请参评专家对各评价指标的重要性进行排序。y1，y2，y3，y4，…yn分别为指标X1，X2，X3，X4，…Xn的排名序号，则有Y={y1，y2，y3，y4，…yn}，这样可以消除逻辑上的不一致性。

然后在排序之后根据排序结果构造判断矩阵。由于排名表示着各指标的重要性，指标越重要，排序越靠后，本文采用排名的差值来表示重要性程度的比较，判断矩阵的每个元素的具体值，可以通过如下公式来计算。

当i>j时，

当i=j时，aij=1

当i

2.2  熵權法计算综合评价指标权值

相较于层次分析法主观赋权法，熵权法是一种客观赋权方法。本文通过层次分析法计算一位专家的指标权值，通过熵权法综合多名专家的指标权值，最终得到一组较客观的指标权值。

下面具体介绍如何利用熵权法来综合多名专家的指标权值：

假设现在邀请的m位专家所构造的判断矩阵求得的指标权值分别为W1，W2，W3，W4，…Wm，基于这些权值，作为熵权法的样本数据，可以计算出m名专家的权重，最后得到n个评价指标X1，X2，X3，X4，…Xn的综合权值。

首先我们将m组权值安列排列用来构造原始矩阵Z：

然后将原始矩阵进行数据标准化。第一步按列求原始矩阵最小值a;第二步按列求原始矩阵最大值b;第三步求标准矩阵Y：

，（i=1，2，3…n;j=1，2，3…m）

接着根据标准矩阵求各专家信息熵。第一步按列求和s;第二步求标准矩阵Y与和s的比值;第三步求信息熵E：

，（j=1，2，3…m）

最后计算综合权重。由信息熵E计算专家权重W，由专家权重W和指标权值Z可以求得指标综合权值C：

，（i=1，2，3…m）

C=WZT

3  应用示例

本文将某自来水厂SCADA系统作为评估对象，对提出的风险评估方法进行可行性的验证。

3.1  对评价指标进行排序赋值

由于评价指标较多，在次只介绍专家对第一次指标的排序情况。专家A1对第一层指标排序后得到矩阵Y1=[1，2，2，1，3，3，4，4，5，5]。

3.2  根据排序赋值计算指标权值

通过和积法计算特征值和特征向量，然后归一化处理可得到评价指标权值为：

W1=[0.219 4  0.129 5  0.129 5  0.206 6  0.078 9  0.078 9  0.048 1  0048 1  0.030 5  0.030 5]

同理计算其他权值。

3.3  熵权法计算指标综合权值

根据第2节介绍的方法，由原始评价指标权重Z求得六位专家权重为：

W=[0.174 5  0.186 5  0.152 7  0.171 5  ;0.171 4  0.143 4]

结合专家权重向量W与原始评价指标权重Z求得一级测评项目下的10个指标的层次权重为：

C=[0.183 1  0.157 5  0.120 8  0.204 5  0.072 9  0.058

5  0.048 1  0.056 6  0.039 4  0.058 6]

3.4 根据底层指标值计算安全值

底层指标值的获取采取现场测评的方式，这里需要得到资产、威胁、脆弱性的具体赋值。传统计算方式是采用“相乘发”计算风险值。针对第1个二级指标，资产重要性赋值A=5，威胁发生频率赋值T=3，脆弱性赋值V1=2，V2=1，V3=1，V4=2。通过计算可以得到风险值R421为2.783 2，R422为1.968 0，R423为1.968 0，R424为2.783 2。风险值R为1-5标度的反向值，R越大，安全性越差。本文计算的评估值E为百分制的正向值，因此需要公式（6-R）× 20将风险值转为评估值，为72.488 0。同理可以计算出其余71个二级测评指标的评估值。然后逐层求解风险值，计算出10个一级指标安全值En和1个综合安全值E。经计算该水厂SCADA系统信息安全综合值为70.57，安全级别属于中等偏上。

3.5  结果分析

该水厂风险评估的安全值为70.57，安全程度处于中等偏上，存在一定的安全隐患。从计算结果可以看出，重点应该从计算环境、管理中心、管理人员、运维管理4个方面采取适当防护措施，提高系统安全性。

计算环境方面测评存在最大的风险是SCADA系统身份鉴别机制单一，主要是通过账户密码登录，并且密码简单不经常更换，容易导致账户信息泄露。因此需要设置复杂的账户密码并定期更换，必要时采用“双因子”进行身份鉴别。

管理中心方面测评存在最大的风险与计算环境方面的风险具有一致性，应对系统管理员和审计管理员的身份进行鉴别，并规定其工作职责和任务。

管理人员方面测评存在最大的风险是对已经离职的人员，没有及时终止其所有访问权限，可能后期被利益交易、不法利用，给单位造成不可估量的损失。因此需要在人事变动时，对离岗人员办理好交接手续，签订相关保密协议，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备，删除账户信息。另外工作人员的安全意识也是非常重要的一个方面，需要定期开展安全意识培训工作。

运维管理方面测评存在最大的风险是主机操作系统的安全软件没有更新，可能会被恶意代码利用，让主机失去正常工作性能。因此需要安装防恶意代码软件的同时定期进行升级和更新防恶意代码库。

4  结  论

本文构建了SCADA系统信息安全风险评估的层次结构模型，然后采用对评价指标排序赋值的方法，构造了符合一致性要求的判断矩阵，提高了工作效率。信息安全风险是动态变化的，本文采用的层次分析法不能动态开展评估工作，只能重复性评估达到实时了解系统安全状况，由于风险评估工作数据量大，计算复杂，完成风险评估结果的分析需要花费大量时间。因此可以开发一个评估系统，将计算工作交给电脑来处理，可以解放人力，提高工作效率。

參考文献：

[1] 郭昊，何小芸，孙学洁，等.国家电网边缘计算应用安全风险评估研究 [J]，计算机工程与科学，2020，42（9）：1563-1571.

[2] 张炳，任家东，王苧.网络安全风险评估分析方法研究综述 [J].燕山大学学报，2020， 44（3）：290-305.

[3] 王姣，范科峰，莫玮.基于模糊集和DS证据理论的信息安全风险评估方法 [J].计算机应用研究，2017，34（11）：3432-3436.

[4] 许硕，唐作其，王鑫.基于D-AHP与灰色理论的信息安全风险评估 [J].计算机工程，2019，45（7）：194-202.

[5] 梁智强，林丹生.基于电力系统的信息安全风险评估机制研究 [J].信息网络安全，2017（4）：86-90.

作者简介：李丹（1993—），女，汉族，湖北孝感人，在读硕士研究生，研究方向：信息安全。