工业控制系统信息安全问题探讨

2021-08-21齐祥柏陈青赵洪岗

机电工程技术 2021年12期

齐祥柏陈青赵洪岗

摘要：针对电厂控制系统安全风险评估方案存在的主观性强、不确定因数大的问题，对用于电厂控制系统的安全风险评估系统的结构模型进行详细分析，同时对安全风险评估的评估流程、评估算法中的 D数理论、D-AHP 评估方法、TOPSISI评估方法进行详细分析。对基于 D-AHP、TOPSIS风险评估算法进行实例分析，建立简单电厂控制系统安全风险评估体系，求解影响各指标的权重值并得到电厂控制系统安全风险值。分析结果表明，上述两种安全风险评估方法的正确性和有效性，同時解决了传统安全风险评估方法存在的主观性强、不确定性因素多的问题，提高了安全风险评估的准确性和有效性，不过度依赖专家经验;还简化了电厂控制系统安全风险指标和过程，完善了安全风险评估指标体系。

关键词：安全风险评估;D-AHP ;TOPSIS;控制系统;电厂

中图分类号：TP309 文献标志码：A 文章编号：1009-9492（2021）12-0180-03

Discussion on Information Security of Industrial Control System

Qi Xiangbai ，Chen Qing ，Zhao Honggang

（State Intelligent Deep Control Technology Co.， Ltd.， Beijing 102211， China）

Abstract： In view of the strong subjectivity and large uncertain factors of the power plant control system safety risk assessment plan， a detailed analysis of the structural model of the safety risk assessment system for the power plant control system was carried out， and the safety risk assessment evaluation process and evaluation algorithm were also analyzed in detail. The D number theory， D-AHP evaluation method， and TOPSISI evaluation method were analyzed in detail. The risk assessment algorithm was analyzed based on D-AHP and TOPSIS， a simple power plant control system safety risk assessment index system was established and constructed， the weight values that affect each index was solved， and the power plant control system safety risk value was obtained. The analysis results show that the above two safety risk assessment methods are correct and effective， solve the problems of strong subjectivity and many uncertain factors in the traditional safety risk assessment methods， improve the accuracy and effectiveness of safety risk assessment， and do not rely too much on expert experience. It also simplifies the safety risk index and process of power plant control system， and improves the safety risk assessment index system.

Key words： safety risk assessment; D-AHP; TOPSIS; control system; power plant

0 引言

随着智能化、信息化、网络化技术的不断发展，工业控制系统信息安全问题成为亟需解决的问题并引起国内外的广泛关注。“Petya”勒索病毒在电厂的肆虐进一步加剧了国家和社会对电厂控制系统信息安全的关注。目前，国内电厂全网设备已经实现互联互通，非法入侵成文电厂控制系统极大的安全隐患，非常有必要研究电厂控制系统的安全问题并进行风险评估。电厂控制系统信息安全问题在2012年之后呈明显上升趋势，典型案例有2016年德国核电站发现由 USB驱动带入得恶意程序，使得核电站人员关闭电厂并进行全面检测;2018年台积电被 WannaCry病毒攻击，使得工控机不断重启，造成直接经济损失约2.55亿美元[1-2]。为保障工业控制系统信息安全，利用科学的评估方法对系统进行评估，如定量评估、定性评估以及综合评估等。基于工业控制系统信息评估现场数据信息的特殊性，多采用模糊层次分析、DS 证据理论、BP/RBF神经网络预测等方法构建工业控制系统信息安全评估模型，预防黑客、病毒攻击，构建安全、稳定、高效的工业控制系统[3-4]。文章在分析电厂工业控制系统安全风险内容、评估流程、评估算法的基础上，建立基于 D-AHP 构建电厂控制系统信息安全风险评估体系，结合 TOPSIS算法计算预见的准确度以及评价权重并获得该电厂控制系统的安全风险值，从定量、定性两方面制定安全风险决策依据。

1 安全风险分析

国内电厂工业控制系统主要分为分散控制系统、可编程控制系统以及现场总线控制系统3种，常用的控制器包括西门子、InterControl、BeckHoff、ABB 以及艾默生等，通过 TCP/IP、CAN、CanOpen、Modbus、RS485等多种通讯模式进行组网并完成设备间的数据传送。电厂控制系统构成封闭局域网，设备间的数据进行透传，存在很大的安全隐患。构建电厂控制系统物理、网络、终端等多维多角度保护，能够确保电厂控制系统生命周期安全性[5]。對电厂控制系统的资产、威胁、脆弱性、已有安全措施四方面记性评估，得到准确的电厂控制系统风险综合值，并提出安全整改意见和改进措施。图1所示为电厂控制系统安全评估结构模型，由目标层、准则层以及指标层组成。目标层体现安全风险的目标，准则层体现完成目标所需要定义的准则和规则，指标层体现完成准则所需要定义的指标，三者相辅相成，共同影响电厂工业控制系统安全风险。资产体现数据未非授权更改、破坏、访问、使用的特性，体现控制系统数据的保密性、完整性以及可用性。威胁体现数据被自然不可抗因素、物理因素破坏的特性，包括环境、人为两方面。脆弱体现数据在技术脆弱性、管理脆弱性层面的安全漏洞，包括物理、网络、系统、应用、病毒侵入等多个层次。已有安全措施是指降低数据受到威胁的预防性安全措施，针对脆弱层面采取的保护性以及安全处理方案。

根据 IEC62443工业控制系统信息安全风险评估规范，电厂控制系统安全评估规范根据风险目标可分为实用性、完整性以及保密性3部分，其中实用性目标包括系统数据包重放攻击、网络病毒侵入、网络拒绝服务或者服务中断;完整性目标包括非法网络设备机械性侵入、非法获取设备的访问权限和登录权限、登录信息并篡改、控制信息被非法获取、交互信息丢失;保密性目标包括木马病毒被植入、蠕虫病毒被植入、网络连接未被授权，详细如表1所示。

2 安全风险评估

2.1 评估流程

电厂控制系统安全风险评估流程如图2所示，涉及到的主要方面包括确定评估范围、制定工作计划、制定应急计划、资产/威胁/脆弱性评估、风险计算、风险决策以及安全整改等[6-7]。图2所示的流程中的必要基本配置包括：（1）安全分区，即将电厂控制系统内部分为生产控制区、管理信息区两部分，设置简单化且不出现纵向交叉;（2）网络专用，控制系统网络必须独立且与其他网络进行隔离。该网络内部分为实时子网，与控制器连接;非实时子网，与非控制区连接;（3）横向隔离，控制系统内部设置横向安全隔离装置，分布在生产控制区、管理信息区之间，并进行安全逻辑隔离;（4）纵向认证，在生产控制区与外部网络连接处设置纵向认证安全装置，机行加密认证、数据互锁。

2.2 评估算法

电厂控制系统安全风险评估的目的是对资产、威胁以及脆弱性进行综合估算，主要估算方法有基于层次分析法（ AHP ）、基于 D-S证据理论分析法、基于 BP 神经网络分析法、基于攻击树分析法以及基于攻击图分析法5种。AHP 分析法的优点是定量化数据使用较多，使得思维过程清晰化、数量化;缺点是结果依赖主观性的程度较大[8]。D-S法的优点是存在能较好处理认为因素、不确定因素较大的场景去，缺点是理论支持较弱、合理性有待验证。BP 神经网络法的优点是可消除主观因素影响，缺点是正确性需大量样本数据的支撑。攻击树分析法的优点是可发现系统的薄弱之处，缺点是主观因素影响较大。攻击图法的优点可实时在线反应攻击者的攻击过程，缺点是构建该方法需要大量人力、财力的支持。因此，采用 D 数优化曾分析法（ D-AHP ）并结合电厂控制系统特点、评估标准建立基于电厂控制系统的安全风险评估系统，使得评估结果更加客观、公正，同时有效计算出电厂控制系统的安全风险值。

2.2.1 D 数理论

定义Ω为有限性连续非空集合，设 D 数为映射，即

Ω→[0， 1]，且满足条件 D（B）≤1，且有 D（?）=0， ?为空集，B 为Ω的子集。若 D（B）=1，则标识 D 数表示的信息完整，否则为不完整信息[9-11]。当Ω为有限性非连续非控集合时，Ω={b1， b2 ， … ， bn}，且有 bi ∈R ，则如果 i ≠j 时，有 bi ≠bj ，D 数可表示为：

D{b1}=v1

D{b2}=v2

D{bx}=vx

则有 D ={（b1， v1），（b2 ， v2）， … ，（bi ， vi）， … ，（bn ， vn）}，且需满

足 vi >0、 vi <1。

2.2.2 D-AHP 评估方法

假设电厂控制系统安全风险评估一级指标资产为U1，二级指标保密性为 U11、完整性为 U12、可用性为 U13;一级指标威胁为 U2，二级指标环境因素为 U21、人为因数为 U22;一级指标脆弱性为 U3，二级因数技术脆弱性为 U31、管理脆弱性为 U32;已有安全措施为 U4、二级预防性安全措施为 U41、保护性安全措施为 U42。计算电厂控制系统安全风险各指标权重的步骤为[12]：（1）比较资产、威胁、脆弱性一级已有安全措施的指标特性，并建立 D的偏好矩阵RD;（2）利用式（1）将偏好矩阵RD 转换为实数矩阵 RC ;（3）根据实数矩阵 RC 建立概率矩阵 Rp;（4）按照 Rp 中的行排列由大到小的顺序依次可得到三角化实数矩阵 R C（T）（5）计算 R C（T）指标重的资产、威胁、脆弱性以及已有安全措施的相对权重。

2.2.3 TOPSISI评估方法

TOPSISI 评估方法即计算并评估所选样本与理想解的接近度，找到离正理想解距离最近，离负理想解最远的方案。TOPSISI 评估方法的步骤为：（1）令电厂控制系统安全评估风险对象指标集为 U ={U1， U2 ， … ， Uα]，专家组集为 h ={h1， h2 ， … ， hα}，建立初评矩阵 MA =[ai]m × m ;（2）求矩阵 MA 的极大性指标为式（2），极小性指标为式（ 3）;（3）构建加权规范矩阵 MC ，且有 MC =[cij]n × m ;（4）求MC 的安全风险评估理想解;（5）求解每隔评估样本与理想解的距离;（6）求安全风险评估系统的贴进度大小并完成相对优劣排序，利用归一化方案求出专家权重。

3 实例分析

为验证 D-AHP 评估方法、TOPSISI评估方法的正确性和有效性，以某电厂的控制系统为例机型研究，建立简单电厂控制系统安全风险评估指体系并构建;评估指标的 D 数偏好矩阵，即根据电厂控制系统资产识别、威胁识别、脆弱性识别以及已有安全措施建立指标体系，使用 D 数理论改进层次分析法，求解各层次指标影响;使用逼近理想解方法计算各专家意见的准确度;综合指标权重、专家权重以及专家评价指标确定电厂控制系统的安全风险等级。基于 D-AHP 一级 TOPSISI评估方法得到的电厂控制系统安全风险评估权重统计数据如表2所示。由表可得电厂控制系统安全风险评估二级指标综合权重向量为：

W =（0.2286， 0.0721， 0.1088， 0.3000， 0.2000， 0.0179， 0.0078， 0.0258， 0.0089）

由式（4）可知，电厂控制系统安全风险值处于中等水平，需采用措施保护局系统安全，降低风险等级，其中面临的最大风险为威胁性，权重为0.5270，需对控制系统中的恶意软件、拒绝服务攻击、通信参数篡改、数据窃取等威胁性动作进行排查与管理，如加入入侵检测系统、加强防火墙过滤、建立统一服务管理平台等，保证电厂控制系统的安全性。

4 结束语

本文以工业控制系统信息安全为背景，重点讨论基于电厂控制系统的安全风险评估方法，重点对D-AHP一级TOPSIS两种安全风险评估方法进行分析和实例验证，有效解决了传统安全风险评估方法存在的主观性强、不确定性因素多的问题，提高了安全风险评估的准确性和有效性，不过度依赖专家经验。同时简化了电厂控制系统安全风险指标和过程，完善了安全风险评估指标体系。在后续的研究中需对安全威胁之间的相互影响、风险评估存在的局限性等进行评估，以提高安全风险评估性能是下一步需研究的內容。

参考文献：

[1] 周慎学，范渊，夏克晁，等.台二电厂工控系统信息安全防护体系的建设[J].中国电力，2017， 50（8）：53-57.

[2] 李田，苏盛，杨洪明，等.电力信息物理系统的攻击行为与安全防护[J].电力系统自动化，2017， 41 （22）： 162-167.

[3] 魏晓雷，刘龙涛.电力行业工业控制系统信息安全风险评估研究[J].信息安全研究，2018，4 （10）： 904-913.

[4] 彭道刚，卫涛，赵慧荣.基于D-AHP和TOPSIS的火电厂控制系统信息安全风险评估[J].控制与决策，2019，34（11）：2445-2551.

[5] 童晓阳，王晓茹.乌克兰停电事件引起的网络攻击与电网信息安全防范思考[J].电力系统自动化，2016，40（7）：144-148.

[6] 关鸿鹏，李琳，李鑫，等.工业互联网信息安全标准体系研究[J]. 自动化博览，2018（3）：50-53.

[7] 卢慧康，陈冬青，彭勇，等.工业控制系统信息安全风险评估量化研究[J].自动化仪表，2014，35 （10）： 21-25.

[8] 贾驰千，冯冬芹.基于多目标决策的工控系统设备安全评估方法研究[J].自动化学报，2016， 42（5）：706-714.

[9] 常昊，秦元庆，周纯杰.基于贝叶斯攻击图的工控系统动态风险评估[J].信息技术，2018（10）：62-72.

[10] 王协梁，刘光杰，戴跃伟.工业控制系统风险评估要素量化方法[J].工业控制计算机，2015，28 （4）：14-16.

[11] 龚斯谛，王磊.基于AHP与信息熵的工控系统信息安全风险评估研究[J].工业控制计算机， 2017，30（4）：11-15.