工業(yè)控制系統(tǒng)信息安全風險評估量化研究

盧慧康 陳冬青 彭 勇 王華忠

(華東理工大學信息科學與工程學院1，上海 200237，中國信息安全測評中心2，北京 100085)

0 引言

工業(yè)控制系統(tǒng)(industrial control system，ICS)廣泛應用于石油化工、交通運輸、水處理等國家關鍵基礎設施中［1］。隨著信息技術的發(fā)展以及“兩化”融合的深入，傳統(tǒng)的工業(yè)控制系統(tǒng)與IT系統(tǒng)，甚至與Internet連接越來越緊密，導致ICS面臨的安全威脅不斷增多。近年來，ICS領域的信息安全事件頻發(fā)。2010年一個名為“震網(wǎng)”的病毒攻擊了伊朗的布什爾核電站，導致離心機大量損壞，嚴重打擊了伊朗的核計劃［2］。層出不窮的控制系統(tǒng)信息安全事件表明，加強ICS的保護已經變得迫在眉睫。

風險的量化評估是ICS信息安全研究的重要基礎。國外ICS信息安全風險評估起步較早，已建立了如NIST800-82、ISA/IEC 62443等的國際標準和指南［3－4］;而國內在該領域的研究尚處于探索階段。目前，國內外還沒有一套行之有效的針對ICS信息安全風險量化評估方法。本文針對 ICS的特點，以NIST800-82和IEC 62443為依據(jù)，進行了風險分析，提出了基于模糊層次分析法(analytic hierarchy process，AHP)的ICS信息安全風險評估方法。經過實例論證，該方法行之有效，可以為工業(yè)控制領域信息安全風險評估工作提供借鑒。

1 信息安全風險分析

全面的風險分析是開展風險評估的前提。ICS有區(qū)別于傳統(tǒng)IT系統(tǒng)的特點，如ICS不能容忍延遲和無計劃的中斷發(fā)生，任何復雜的數(shù)據(jù)加密認證產生的延遲都可能會造成系統(tǒng)故障，由于ICS的邏輯執(zhí)行會直接影響物理世界，設備出現(xiàn)故障后可能造成有毒原料泄漏、區(qū)域停電等大規(guī)模不可預知的影響［5］。ICS的現(xiàn)實特點表明其對實時性和穩(wěn)定性要求非常高。因此，在確保系統(tǒng)滿足信息安全需求的同時，應盡量避免所部署的安全設備對工藝過程的穩(wěn)定性和實時性造成影響。

風險分析分別從滿足信息安全需求和工藝需求兩個方面對資產進行識別，形成資產類要素;根據(jù)資產脆弱點的嚴重程度識別系統(tǒng)脆弱性要素;再對ICS面臨的威脅要素和已部署的安全措施類要素進行全面的識別，最終建立風險評估模型。通過分析各要素之間的關聯(lián)程度，計算出系統(tǒng)的風險值。風險分析模型如圖1所示。

圖1 風險分析模型圖Fig.1 Risk analysis model

1.1 資產識別

資產的價值屬性是其風險存在的根源。ICS資產存在的形式多種多樣，按照資產不同的存在形式，可歸為4大類:硬件資產、軟件資產、人力資源、專利商譽。

從滿足工藝需求和滿足安全需求兩個方面對資產進行識別。如滿足工藝需求的硬件資產主要有遠程終端裝置(remote terminal unit，RTU)、可編程邏輯控制器(programmable logic controller，PLC)、SCADA 服務器或主終端單元(main terminal unit，MTU)、智能電子設備(intelligent electronic devices ，IED)、輸入/輸出(I/O)服務器、現(xiàn)場總線系統(tǒng)等。滿足安全需求的硬件資產包括主機、交換機、路由器、網(wǎng)關、防火墻等。滿足工藝需求的軟件資產主要有組態(tài)監(jiān)控軟件、工控編程軟件等。滿足安全需求的軟件資產主要是指通信軟件、互聯(lián)網(wǎng)應用軟件、辦公軟件、防病毒軟件等。

1.2 威脅識別

工業(yè)控制系統(tǒng)遭受的威脅日益嚴峻。關鍵基礎設施的安全是國家經濟穩(wěn)定運行的關鍵，因此也成為了敵對政府、商業(yè)間諜、恐怖組織等外部惡意入侵者進行信息戰(zhàn)的重要戰(zhàn)場［6］。系統(tǒng)內部有意的人為事故、無意的操作失誤和設備故障等也會對ICS造成破壞。例如，一些組織內部存在移動存儲介質混用、隨意安裝各類軟件、訪問未經授權網(wǎng)站等行為，這類行為不僅影響工作效率，造成操作失誤，更為病毒、木馬等惡意代碼侵入系統(tǒng)留下隱患。本文按照威脅的來源進行分類，將威脅細分為5類:自然環(huán)境威脅、內部無意威脅、內部有意威脅、外部攻擊和第三方威脅。

1.3 脆弱性識別

脆弱性的識別是風險評估中最重要的一個環(huán)節(jié)。ICS的脆弱性總體上可分為技術和管理兩個方面。一直以來，ICS的設計部署主要滿足系統(tǒng)的實時性和穩(wěn)定性，忽略了信息安全要求，這使得系統(tǒng)本身在平臺、網(wǎng)絡等技術層面存在脆弱性。同時，組織內部信息安全管理措施嚴重缺乏，如安全防范制度不完善，安全設備的操作流程不明確，無定期、有效的系統(tǒng)風險檢查措施，人員的信息安全意識淡薄，應急培訓落后等。

1.4 安全措施識別

威脅能夠利用脆弱性對資產進行攻擊，部署安全措施目的是降低威脅事件發(fā)生的概率和產生的影響，從而降低系統(tǒng)的風險。而不適當?shù)陌踩胧┍旧砭痛嬖诳梢员焕玫拇嗳跣?。因此，在風險分析的過程中，必須對其已經部署的安全控制措施的有效性進行全面的檢查評估。ICS常采取的安全控制措施主要有［7］:制定相關法律法規(guī)、工作程序和工作指南;建立合理的組織架構、配備相關人員;采取合理有效的技術措施等。

一般來說，單一的安全措施所發(fā)揮的防范作用是有限的，其部署具有集合性，即某一類有效的安全措施的集合。如圖2所示，根據(jù)安全措施的部署的集合性和所發(fā)揮的作用分為:預防性安全措施、檢測性安全措施以及補救性安全措施。

圖2 工業(yè)控制系統(tǒng)的安全措施Fig.2 Security measures for industrial control system

2 信息安全風險評估

2.1 層次分析法

層次分析法(AHP)最早是由美國匹茲堡大學教授薩蒂于20世紀70年代提出，后在風險評估領域廣泛應用［8］。它是一種定性分析和定量分析相結合的多層次權重決策分析方法，其核心思想是對復雜決策問題的本質、影響要素以及內在關系進行深入分析，建立層次結構模型，構造兩兩比較判斷矩陣，計算各要素的權值并按其重要性進行排序。

層析分析法的研究熱點［9－10］主要集中在判斷矩陣的構造和調整、排序權值的合理計算和判斷矩陣的一致性檢驗問題。常用的計算判斷矩陣排序權值的方法有:①和積法;②列和求逆法;③行和正規(guī)化法;④特征值法。其中，前3種方法只考慮判斷矩陣單一行列的影響，計算精度不高，常作為迭代初值。特征值法運用范圍較廣，但沒有考慮到判斷矩陣一致性條件，所以當判斷矩陣的一致性很差時，求解特征值就很困難，需要反復地調整、檢驗［11］。同時，專家在對風險各要素兩兩比較的定性評價中采用極端的判斷，沒有體現(xiàn)客觀世界各要素之間普遍存在的不確定性和模糊性。

2.2 模糊層次分析法

針對前述問題，本文對傳統(tǒng)層次分析法進行了改進，引入模糊數(shù)學概念，與層次分析法相結合，形成模糊層次分析法。該方法采用專家模糊評判的方式構造模糊互補矩陣，并對矩陣進行一致化處理，構造模糊一致判斷矩陣，對各要素的相對重要性進行排序。該方法解決了判斷矩陣的一致性問題。

2.2.1 模糊一致判斷矩陣

定義1 若模糊矩陣R=(rij)n×n滿足條件rij+rji=1，i，j=1，2，…，n，則稱模糊矩陣 R 為模糊互補判斷矩陣。

定義2 若模糊互補矩陣R=(rij)n×n滿足條件rij=rik－ rjk+0.5，i，j，k=1，2，…，n，則稱 R 為模糊一致判斷矩陣。

專家的模糊判斷所構造的判斷矩陣是模糊互補判斷矩陣 R=(rij)n×n，對模糊互補判斷矩陣 R=(rij)n×n按行求和記為ri。按公式，對其實施數(shù)學變換，由此建立模糊一致判斷矩陣RM=(fij)n×n。

在模糊一致判斷矩陣中，fij是元素i與j相對重要性的度量，且fij越大，元素i比j越重要。矩陣優(yōu)先關系數(shù)量標度如表1所示。

表1 矩陣優(yōu)先關系數(shù)量標度方法Tab.1 Quantitative scaling methods of matrix precedence relation

為得到各風險因素的相對權重，對建立的模糊一致判斷矩陣RM=(fij)n×n計算排序:

2.2.2 風險評估步驟

①建立風險層次結構模型

在深入分析ICS信息安全風險各要素的基礎上，建立基于資產、脆弱性、威脅和已部署的安全措施的風險評估模型。模型分為3層，目標層ICS風險;準則層資產、脆弱性、威脅和安全措施;因素層是風險分析過程中識別的影響各指標的風險因素。同層各因素對上層因素產生影響，同時受到下層的作用。工業(yè)控制系統(tǒng)風險層次結構模型如圖3所示。

圖3 工業(yè)控制系統(tǒng)風險層次結構模型Fig.3 Risk hierarchy model of industrial control system

②劃分因素集X

影響ICS信息安全風險的因素X構成因素集合F={A1，A2，…，Ai}，i=1，2，…，n。對因素集中每個風險因素 Ai進行劃分，即 Ai={Ai1，Ai2，…，Aik}，其中 i，k=1，2，…，n。

③單因素模糊評判

對每個因素Ai的多個風險因素，作單因素綜合評判。構造Ai的若干因素總的模糊互補矩陣為Ri，按公式轉換成模糊一致矩陣 RMi，計算Ai中各指標重要程度的子集為Wi。根據(jù)專家模糊評價，得到單因素模糊評判矩陣RAi。根據(jù)式(2)求出單因素評判結果Bi。

④多因素模糊綜合評判

因素集F={A1，A2，…Ai}的各因素重要程度模糊集合為 W={W1，W2，…，Wn}，則 X 總的模糊綜合評價矩陣R為:

根據(jù)公式B=WR求得多因素綜合評判結果B。

⑤綜合評判結果反模糊化

利用模糊綜合評判所得到的評價結果B同樣是一個模糊向量。為使系統(tǒng)風險的評價結果更為明朗，還需對模糊向量進行精確化(又稱反模糊化)。反模糊化方法有很多，如最大隸屬度法、最大平均法、重心法、中位數(shù)法等。最大隸屬度方法的應用較為廣泛［14］，即模糊集合中隸屬度最大的等級作為最終等級，但當模糊向量B各分量相差不大時，結果很不準確。本文運用重心法對評價結果B=(b1，b2，…，bi)進行反模糊化處理，得出風險的最終值B*，其計算公式如式(4)所示。

3 實例論證

針對上海某石化企業(yè)水處理控制系統(tǒng)進行風險評估，其網(wǎng)絡拓撲圖如圖4所示，整個控制系統(tǒng)使用以太網(wǎng)通信。對該工業(yè)控制系統(tǒng)的安全風險按照資產A1、脆弱性A2、威脅A3和已采取的安全措施A4四個方面建立如圖3所示的機構模型。該系統(tǒng)的關鍵硬件資產有總交換機、現(xiàn)場交換機、操作員站、工程師站以及底層的控制單元(RTU/PLC)?，F(xiàn)場交換機采用光纖傳輸?shù)姆绞綄F(xiàn)場控制設備采集的數(shù)據(jù)匯總到總交換機，并上傳至操作站。

企業(yè)邀請了由工控領域專家、石化企業(yè)高級工程師、信息安全領域有關專家組成的決策專家組(共10人)，對工業(yè)控制系統(tǒng)安全風險的各風險因素進行賦值，如對“資產 A1”涉及的4類風險因素硬件資產A11、軟件資產 A12、人力資源 A13和專利和商譽A14的相對重要性予以判斷賦值，并由此構造模糊判斷矩陣 R1。

圖4 DCS控制系統(tǒng)網(wǎng)絡拓撲圖Fig.4 Network topology of DCS

構造的模糊判斷矩陣R1如式(5)所示。

為得到風險因素的相對權重，通過式(1)對建立的模糊一致矩陣RM1進行排序，取，各相對權重之間的差異最大。當i=1時，得到“硬件資產”的權重值w1為:

分別計算當i=2、3、4時wi的值。由此得出“資產A1”中各要素的相對權重為:

同理，求得A2、A3、A4的權重分別如下:

綜上可得水處理控制系統(tǒng)信息安全風險各風險要素相對權重集:

對于給定的工業(yè)控制系統(tǒng)，單因素評價可再次邀請專家來進行。將資產的價值重要性分為5級，集合表示為{很低，低，中，高，很高}。例如，以“資產 A1”中“硬件資產A11”因素為例。若有0%人員認為硬件資產在資產中的重要程度很低，0%的人員認為重要性低，30%的人員認為重要性中等，30%的人員認為重要性高，40%的人員認為硬件資產在系統(tǒng)資產中具有很高的重要性，于是有關“硬件資產A11”因素的評價關系是(0，0，0.3，0.3，0.4)。同理可得“資產 A1”中其他資產類型的關系。

確定單因素模糊評判矩陣RA1如下:

由式(2)計算得出資產因素A1的單因素評價結果BA1如下所示:

同理，依次進行脆弱性A2、威脅A3和安全措施A4的單因素評判，得到評判結果如下:

最后根據(jù)公式B=WR求得模糊綜合評判結果B:

建立風險的評語集并賦值:B={安全，風險低，風險中，風險高，風險很高}={1，2，3，4，5}。由式(3)得到系統(tǒng)最終風險等級B*=3.165。因此，該水處理控制系統(tǒng)的信息安全風險為中，需提高安全防護等級與安全管理水平。

4 結束語

本文針對工控系統(tǒng)信息安全風險評估問題，結合傳統(tǒng)IT系統(tǒng)信息安全風險評估理論與工控系統(tǒng)特點，提出了基于模糊AHP的工業(yè)控制系統(tǒng)信息安全風險評估方法，以克服傳統(tǒng)AHP評估方法的不足。通過邀請專家組對風險指標權重進行模糊評價，構建模糊一致判斷矩陣，確定層次結構中各指標的權重系數(shù)，自下而上對工業(yè)控制系統(tǒng)進行模糊綜合評判。通過重心法對模糊綜合評判結果反模糊化，得到工控系統(tǒng)信息安全風險的量化值。運用該方法進行實例評估，證明其行之有效。但該方法在確定指標權重時仍然存在受主觀不確定性的影響，如何解決這一問題是未來研究的重點之一。

［1］ANSI.Std.99.00.01 Security for industrial automation and control systems part 1［S］.ISA，2007.

［2］Valenzano A，Durante L，Cheminod M.Review of security issues in industrialnetworks［J］.IEEE Transactions on Industrial Informatics，2013，9(1):277 －293.

［3］Stouffer K，F(xiàn)alco J，Scarfon K E.Guide to industrial control systems(ICS)security［S］.NIST Special Publication，2008.

［4］ISA99.IEC 62443 Industrial control network ＆ system security standardization［S］.ISA，2011.

［5］彭杰，劉力.工業(yè)控制系統(tǒng)信息安全性分析［J］.自動化儀表，2012，33(12):36 －39.

［6］Kang D J，Lee J J，Kim S J，et al.Analysis on cyber threats to SCADA systems［C］∥IEEE Transmission ＆ Distribution Conference＆ Exposition，2009:1 －4.

［7］Ralston P A S，Graham J H，Hieb J L.Cyber security risk assessment for SCADA and DCS networks［J］.ISA Transactions，2007，46(4):583 －594.

［8］Tolga E，Demircan M，Kahraman C.Operating system selection using fuzzy replacement analysis and analytic hierarchy process［J］.International Journal of Production Economics，2005，97(1):89 －117.

［9］Saaty T L.Analytic hierarchy process［J］.Encyclopedia of Biostatistics，2005.

［10］李春好，孫永河，賈艷輝，等.變權層次分析法［J］.系統(tǒng)工程理論與實踐，2010，30(4):723 －731.

［11］岳瑞華，王學浩，徐中英.自動測試系統(tǒng)性能的模糊綜合評價方法研究［J］.自動化儀表，2011，32(11):69 －71.

［12］張吉軍.模糊一致判斷矩陣3種排序方法的比較研究［J］.系統(tǒng)工程與電子技術，2003，25(11):1370 －1372.

［13］呂躍進.基于模糊一致矩陣的模糊層次分析法的排序［J］.模糊系統(tǒng)與數(shù)學，2002，16(2):79 －85.

［14］肖龍，戚溺，李千目.基于AHP和模糊綜合評判的信息安全風險評估［J］.計算機工程與應用，2009，45(22):82 －85.