基于模糊層次分析法的工控系統(tǒng)安全評估

賈馳千, 馮冬芹

(浙江大學(xué) 工業(yè)控制技術(shù)國家重點實驗室,浙江 杭州 310027)

?

基于模糊層次分析法的工控系統(tǒng)安全評估

賈馳千, 馮冬芹

(浙江大學(xué) 工業(yè)控制技術(shù)國家重點實驗室,浙江 杭州 310027)

提出基于模糊層次分析法(FAHP)的工業(yè)控制系統(tǒng)(ICS)安全評估方法,對工控系統(tǒng)設(shè)備與具體攻擊方式進行分析,建立層次分析化安全評估模型,以期對工控系統(tǒng)的安全狀況有更全面的評估,對工控系統(tǒng)中的易受攻擊設(shè)備能夠采取有針對性的防范措施.以典型化工控制系統(tǒng)為例,從信息安全評估原理到工控系統(tǒng)安全評估原理進行遷移,完善了工控系統(tǒng)層次化建模的合理性與邏輯性；建立層次化分析模型,引入模糊一致矩陣,給出模糊層次法的評估步驟；根據(jù)攻擊方式,采用統(tǒng)一評語集,利用模糊綜合評價計算各個子目標安全值,判斷系統(tǒng)脆弱性所在,即工控系統(tǒng)中的易受攻擊設(shè)備,得到系統(tǒng)的整體安全狀態(tài)值.評估結(jié)果顯示,該工控系統(tǒng)中最脆弱的部分為工程師站和PLC,需要重點加強安全防護措施,而整個工控系統(tǒng)處于“基本安全”偏向“比較危險”的狀態(tài).

模糊層次分析法；工控系統(tǒng)；安全風(fēng)險評估

工業(yè)以太網(wǎng)的廣泛應(yīng)用使得工業(yè)控制系統(tǒng)與信息系統(tǒng)充分結(jié)合,也使得工控系統(tǒng)面臨更多的安全威脅.工業(yè)控制系統(tǒng)安全評估可以反映工控系統(tǒng)的安全狀態(tài),判斷工控系統(tǒng)的脆弱性所在,屬于對安全威脅的主動防御,所以工控系統(tǒng)安全評估已經(jīng)成為工控系統(tǒng)安全研究的熱點課題.目前,不斷有專家與學(xué)者對工控系統(tǒng)安全評估進行研究,從方法論到具體的評估方法進行了全方位的探索與嘗試,如文獻[1～4].

較典型的是采用故障樹分析法,如Ralston等[2-3]討論基于故障樹的攻擊概率定量分析方法對SCADA系統(tǒng)進行安全評估,該方法較清楚地顯示了攻擊過程與機理.不足之處在于實際中故障機理大多較模糊,并非簡單的0-1關(guān)系,使用精確故障原因數(shù)據(jù)進行分析,容易誤診.

基于概率論與圖論相融合的貝葉斯網(wǎng)絡(luò)被用于安全評估.Wang等[3]以貝葉斯網(wǎng)絡(luò)為模型,對影響風(fēng)險等級的各種因素采用概率方法結(jié)合專家知識進行描述.該方法不僅可以評估網(wǎng)絡(luò)的總體風(fēng)險,還可以分別評估各個局部要素可能引起風(fēng)險的程度.貝葉斯網(wǎng)絡(luò)模型條件概率的確定一般比較復(fù)雜,往往要根據(jù)具體問題,由專家經(jīng)驗確定或由統(tǒng)計實驗確定.

最近幾年,研究人員開始使用層次分析法(analytic hierarchy process,AHP)對工業(yè)控制系統(tǒng)進行安全風(fēng)險評估,如Bian等[4]使用AHP_FCE綜合的方法,從風(fēng)險因素、服務(wù)因素、公共因素三方面對信息安全態(tài)勢進行評估；盧慧康等[5]使用模糊層次分析法,從資產(chǎn)、威脅、脆弱性和已采取安全措施4個方面對工業(yè)控制系統(tǒng)安全進行安全評估.AHP方法的特點是通過深入分析復(fù)雜目標問題的本質(zhì),明確影響問題實現(xiàn)的各個要素,并建立層次結(jié)構(gòu).該方法是一種可以實現(xiàn)復(fù)雜目標的定性與定量相結(jié)合的決策方法,但分析結(jié)果的主觀性較強,而模糊綜合分析法能夠量化不確定的因素,考慮了客觀事物內(nèi)部關(guān)系的復(fù)雜性和價值系統(tǒng)的模糊性.能夠一定程度上彌補AHP方法的缺點,如秦晨等[6-7]使用模糊層次分析法對不同領(lǐng)域進行的安全評估.

本文對AHP進行改進,提出基于模糊層次分析法(FAHP)的工業(yè)控制系統(tǒng)信息安全風(fēng)險評估方法.本文從信息安全評估原理到工控系統(tǒng)安全評估原理進行遷移,完善了工控系統(tǒng)層次化建模的合理性與邏輯性；將工控系統(tǒng)安全目標劃分為工程師站、操作員站、PLC、電動調(diào)節(jié)閥、壓力傳感器和電磁流量計等安全子目標,各層要素相對權(quán)重計算過程中引入模糊一致矩陣,克服了層次分析法判斷矩陣不一致而導(dǎo)致的多次、重復(fù)一致性檢驗問題,給出模糊層次法的評估步驟；根據(jù)攻擊方式,采用統(tǒng)一評語集,利用模糊綜合評價計算各個子目標安全值,使得評價結(jié)果更具有可比較性；通過各個子目標的安全評價值,可以判斷系統(tǒng)的脆弱性所在,能夠最終得到系統(tǒng)的整體安全狀態(tài)值.

1 工控系統(tǒng)層次化建模

在基于模糊層次分析法的工控系統(tǒng)安全評估方法中,建立合理的層次分析模型至關(guān)重要.根據(jù)國標GB/T 20984-2007中說明的信息安全風(fēng)險分析原理[8],將風(fēng)險分析分為資產(chǎn)、脆弱性和威脅3個要素.風(fēng)險分析的主要內(nèi)容是將資產(chǎn)與脆弱性相結(jié)合、脆弱性與威脅相結(jié)合,綜合得出最終的風(fēng)險值.

針對工控系統(tǒng)安全進行評估,原理與信息安全評估相似.本文對目標層,即工控系統(tǒng)安全評估值的評估劃分為2個層次：要素層,即系統(tǒng)設(shè)備(類比“資產(chǎn)”)；評價層,即攻擊方法(類比“脆弱性”).

本文認為,雖然信息安全評估原理中將風(fēng)險分析分為資產(chǎn)、脆弱性和威脅3個分析因素,但是根據(jù)分析原理可知,風(fēng)險是由資產(chǎn)與脆弱性、脆弱性與威脅相結(jié)合后產(chǎn)生的,3個因素不能單獨并直接對風(fēng)險造成影響.這3個分析因素在層次分析中不應(yīng)該劃分在同一層次.工控系統(tǒng)中的攻擊方法與系統(tǒng)設(shè)備需要在層次分析中劃分為目標層、要素層和評價層.目標層,即工控系統(tǒng)安全評估值F；針對安全目標,劃分要素層要素,即系統(tǒng)設(shè)備；針對系統(tǒng)設(shè)備進行評價層的劃分為攻擊方法.

因為工控系統(tǒng)十分復(fù)雜,在建立工控系統(tǒng)安全評估模型前,必須先確定工控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),明確所需評估的對象和評估的范圍.本文根據(jù)國家標準GB/T 26333-2010中提出的工控網(wǎng)絡(luò)安全評估范圍[9],在系統(tǒng)結(jié)構(gòu)上,將工控系統(tǒng)分為3個邏輯層次：企業(yè)管理層、過程監(jiān)控層和現(xiàn)場設(shè)備層,如圖1所示.

工業(yè)控制系統(tǒng)是一個復(fù)雜的系統(tǒng),對整個系統(tǒng)進行研究十分困難,而整個ICS中與控制領(lǐng)域密切相關(guān)的是過程監(jiān)控層和現(xiàn)場設(shè)備層,因此選取圖1中工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的過程監(jiān)控層和現(xiàn)場設(shè)備層作為系統(tǒng)安全評估的研究對象進行分析.

圖1 工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.1 ICS network structure

在確定研究對象后,以某化工廠為例,針對過程監(jiān)控層和現(xiàn)場設(shè)備層,基于FAHP建立工控系統(tǒng)安全評估層次分析模型,如圖2所示.層次分析模型的目標層是圖1中的工控系統(tǒng)安全評估值,標記為F；第二層要素層是圖1中工控系統(tǒng)的典型設(shè)備,標記為A.A層包含過程監(jiān)控層和現(xiàn)場設(shè)備層的9種典型設(shè)備,分別為工程師站、操作員站、OPC服務(wù)器、PLC、電動調(diào)節(jié)閥(執(zhí)行器)、壓力傳感器、LD電磁流量計、路由器和無線設(shè)備.過程監(jiān)控層的各個設(shè)備存在系統(tǒng)軟件以及和工控系統(tǒng)相關(guān)的應(yīng)用軟件,選取設(shè)備中與工控系統(tǒng)相關(guān)的軟件或服務(wù)來進行考察,分為組態(tài)軟件、監(jiān)控軟件、OPC客戶端、網(wǎng)絡(luò)服務(wù)和OPC服務(wù)端.在評價層使用常見攻擊方式作為評價指標,分別為拒絕服務(wù)(DOS)攻擊、竊聽攻擊、數(shù)據(jù)篡改、蠕蟲、木馬.

過程監(jiān)控層的設(shè)備主要是工程師站、操作員站和OPC服務(wù)器,這些設(shè)備中與工控系統(tǒng)安全相關(guān)的主要是工控系統(tǒng)軟件與服務(wù),不同的設(shè)備有不同的軟件和服務(wù),具體的劃分如圖2所示.圖中,箭頭從軟件或服務(wù)指向某一設(shè)備,代表該設(shè)備具有箭頭起點對應(yīng)的軟件或服務(wù).以工程師站為例,它被4個箭頭所指,說明它具有組態(tài)軟件、監(jiān)控軟件、OPC客戶端和網(wǎng)絡(luò)服務(wù)4項.評價層的攻擊方法用箭頭指向軟件或服務(wù),說明箭頭終點對應(yīng)的軟件或服務(wù)可以被該攻擊方法所攻擊.PLC、電動調(diào)節(jié)閥、壓力傳感器和LD電磁流量計所受的攻擊方法相同,包括拒絕服務(wù)、竊聽攻擊、數(shù)據(jù)篡改、蠕蟲和木馬,因此使用一個匯聚節(jié)點表示.同理,可以得到路由器和無線設(shè)備的箭頭指示.

圖2 基于FAHP的層次化安全評估模型Fig.2 Hierarchical security assessment model based on FAHP

2 基于FAHP工控系統(tǒng)安全評估方法

2.1 各要素重要性判斷賦值

在完成層次分析建模后,根據(jù)該層各因素受攻擊后對上一層因素造成的相對危害程度,來確定本層次各因素的相對重要性.為了使相對重要性得到定量描述,采用0.1～0.9標度給予數(shù)量標度,見表1.根據(jù)表1所示的優(yōu)先關(guān)系數(shù)量標度法對各因素指標的相對重要性予以打分,并構(gòu)造判斷矩陣.

表1 優(yōu)先關(guān)系判斷矩陣數(shù)量標度方法

各個要素的特殊性使得各要素對應(yīng)的指標受攻擊后造成的危害不同.首先,根據(jù)評價層的5種常見攻擊方式對要素層對應(yīng)要素攻擊后可能造成的影響,對5種攻擊方式的相對重要性進行判斷賦值,構(gòu)造判斷矩陣.以PLC為例,根據(jù)攻擊后果對重要性進行賦值.數(shù)據(jù)篡改能夠修改PLC控制器的設(shè)定值,使得攻擊難以被發(fā)覺,導(dǎo)致無法及時發(fā)現(xiàn)異常,采取補救措施,造成嚴重危害；拒絕服務(wù)攻擊使得PLC失去控制能力,使得生產(chǎn)過程不可控,易造成威脅,但可以及時采取補救措施；竊聽攻擊可以竊取生產(chǎn)數(shù)據(jù),造成一定程度上的數(shù)據(jù)泄密；蠕蟲與木馬主要通過組態(tài)軟件對PLC程序進行修改,威脅較大.拒絕服務(wù)攻擊對竊聽攻擊的重要性賦值為0.8,對數(shù)據(jù)篡改的重要性為0.3,對蠕蟲的重要性為0.2,對木馬的重要性為0.3,其余如表2所示.

表2 PLC評價指標重要性賦值表

Tab.2 Precedence relation between assessment index of PLC

PLC拒絕服務(wù)竊聽攻擊數(shù)據(jù)篡改蠕蟲木馬拒絕服務(wù)0．50．80．30．20．3竊聽攻擊0．20．50．40．10．2數(shù)據(jù)篡改0．70．60．50．20．3蠕蟲0．80．90．80．50．6木馬0．70．80．70．40．5

相同的攻擊方式在不同的設(shè)備中可能造成的影響不完全相同.比如,對比PLC中的攻擊重要性賦值,在電動調(diào)節(jié)閥中,由于拒絕服務(wù)攻擊使得調(diào)節(jié)閥在一定時間內(nèi)無法根據(jù)PLC的輸出來正常調(diào)整閥門開度,造成系統(tǒng)不可控.如果時機準確,則危害加大,從而導(dǎo)致工控系統(tǒng)嚴重后果.在電動調(diào)節(jié)閥中,拒絕服務(wù)攻擊對竊聽攻擊的重要性賦值為0.8,對數(shù)據(jù)篡改的重要性為0.4,對蠕蟲的重要性為0.3,對木馬的重要性為0.4,其余如表3所示.

表3 電動調(diào)節(jié)閥評價指標重要性賦值表

Tab.3 Precedence relation between assessment index of electric control valve

電動調(diào)節(jié)閥拒絕服務(wù)竊聽攻擊數(shù)據(jù)篡改蠕蟲木馬拒絕服務(wù)0．50．80．40．30．4竊聽攻擊0．20．50．30．10．2數(shù)據(jù)篡改0．60．70．50．20．2蠕蟲0．70．90．80．50．6木馬0．60．80．80．40．5

根據(jù)表2、3,可得判斷矩陣RA21和RA22為

同理可得工程師站、操作員站、OPC服務(wù)器、壓力傳感器、LD電磁流量計、路由器和無線設(shè)備的判斷矩陣為RA11、RA12、RA13、RA23、RA24、RA31、RA32.同時,要對工程師站、操作員站和OPC服務(wù)器相應(yīng)軟件或服務(wù)進行相對重要性賦值,作為計算這3個設(shè)備的模糊綜合評價的條件.

根據(jù)要素層各設(shè)備Ai受攻擊后對目標層系統(tǒng)整體安全F可能造成的影響,對要素層的各要素Ai的相對重要性進行判斷賦值,并構(gòu)造判斷矩陣.例如,比較工程師站和操作員站,由于工程師站除了監(jiān)控功能外,還能對系統(tǒng)設(shè)備進行組態(tài)、控制,因此,工程師站受攻擊后造成的危害更大,工程師站比操作員站明顯重要,工程師站對操作員站的重要性賦值為0.7.比較工程師站與PLC可知,若PLC被攻擊成功,則難以發(fā)現(xiàn)異常,對工控系統(tǒng)下游設(shè)備直接進行控制,造成巨大損失,因此PLC比工程師站稍微重要,PLC對工程師站的重要性賦值為0.6.比較PLC與電動調(diào)節(jié)閥,由于PLC是控制部分,接收傳感器數(shù)據(jù),并對執(zhí)行器進行控制,是生產(chǎn)過程非常重要的一部分,而電動調(diào)節(jié)閥接收PLC的指令,對某一變量進行調(diào)整,不如PLC重要,因此PLC對電動調(diào)節(jié)閥的重要性賦值為0.8.對其他設(shè)備兩兩比較后,得到重要性賦值,如表4所示.

表4 要素層各設(shè)備重要性賦值表

判斷矩陣RF為

2.2 一致性轉(zhuǎn)換與各層次權(quán)重值計算

根據(jù)式(2)進行一致性轉(zhuǎn)換后,得到模糊一致判斷矩陣R=(fij)n×n.

(1)

(2)

根據(jù)式(2)將判斷矩陣RA21轉(zhuǎn)化為模糊一致矩陣RCA21后,根據(jù)式(3)計算出評價層中第一項評價指標拒絕服務(wù)B1對PLC A21的權(quán)重,公式證明見文獻[10].

(3)

同理,計算出A21下層5種攻擊方法對A21的權(quán)重,分別如下：

wB2=0.145,wB3=0.19,wB4=0.255,

wB5=0.23.

因此得出PLC A21的5個評價指標的權(quán)重向量為

WA21=[0.18,0.145,0.19,0.255,0.23].

按照同樣的步驟,可以求出A11、A12、A13、A22、A23、A24、A31、A32和F的權(quán)重向量,分別如下：

WA11=[0.39,0.22,0.19,0.20],

WA12=[0.385,0.315,0.3],

WA13=[0.42,0.58],

WA22=[0.18,0.15,0.205,0.245,0.22],

WA23=[0.185,0.155,0.195,0.245,0.22],

WA24=[0.185,0.155,0.195,0.245,0.22],

WA31=[0.322,0.293,0.385],

WA32=[0.32,0.29,0.39],

WF=[0.131 9,0.125 0,0.112 5,0.136 1,

0.100 0,0.105 6,0.105 6,0.090 3,0.093 1].

2.3 對攻擊方法建立模糊評價矩陣

對各個要素采用統(tǒng)一的評語集進行評判,使得結(jié)果更具有可比較性.根據(jù)圖2所示的工控系統(tǒng)安全評估模型,對層次模型底層的5個攻擊評價指標進行模糊評價.設(shè)立模糊評語集,將評語集分為5級,即評語集

E={非常安全,比較安全,基本安全,

比較危險,非常危險}.

邀請專家針對各個設(shè)備的攻擊方法進行評判后,根據(jù)式(4)求出各個攻擊方法對不同設(shè)備的模糊評級結(jié)果Vi.

Vi=WiEi.

(4)

以PLC A21為例,專家先對評價指標“拒絕服務(wù)”進行評判,有20%的專家認為PLC在遭受拒絕服務(wù)攻擊后,使得控制變量在一定時間內(nèi)維持上一狀態(tài)不變,無法對生產(chǎn)過程進行控制,在一定的時機下會造成重大損失,因此認為“非常危險”.有50%的專家認為PLC在遭受拒絕服務(wù)攻擊后,無法控制生產(chǎn),會造成損失,但是上位機可以較快地發(fā)現(xiàn)異常,采取補救措施,因此不會造成無法挽回的后果,認為“比較危險”.有25%的專家認為PLC在遭受攻擊后,控制變量在一定時間內(nèi)維持上一狀態(tài)不變,雖然無法對生產(chǎn)過程進行控制,但仍然屬于正常數(shù)值,且易發(fā)現(xiàn)并補救.除非是在一些特定時機,如壓力即將超過最大容忍值,急需降壓控制的情況下,但是這種時機概率較小,且需要配合其他攻擊行為,較難實現(xiàn),因此認為“基本安全”.有5%的專家認為對PLC進行拒絕攻擊不會對生產(chǎn)過程造成重大損失,因此認為“比較安全”,沒有專家認為“非常安全”.得到“拒絕服務(wù)”的評價隸屬度向量EB1為

EB1=[0,0.05,0.25,0.5,0.2] .

同理,得到PLC A21另外4種攻擊方式“竊聽攻擊”、“數(shù)據(jù)篡改”、“蠕蟲”和“木馬”的評價隸屬度向量EB2、EB3、EB4和EB5，然后得到PLC A21的安全評價隸屬度矩陣EA21為

根據(jù)式(4),可得PLC模糊評價向量為

VA21=WA21EA21=

[0,0.067 4,0.428 8,0.415 4,0.088 4].

依次進行工程師站、操作員站、OPC服務(wù)器的相關(guān)軟件與服務(wù)的單因素評判,將評判結(jié)果綜合作為工程師站、操作員站和OPC服務(wù)器的評判結(jié)果.依次進行PLC、電動調(diào)節(jié)閥、壓力傳感器、電磁流量計、路由器和無線設(shè)備的單因素評判,得到要素子層各個要素的模糊評價結(jié)果如下.

VA11=WA11EA11=

[0,0.067 6,0.423 2,0.417 4,0.091 8],

VA12=WA12EA12=

[0,0.079 1,0.521 2,0.324 4,0.075 3],

VA13=WA13EA13=

[0.031,0.132 6,0.439 2,0.375 6,0.021 6],

VA22=WA22EA22=

[0.025,0.114 2,0.377 7,0.399 1,0.084],

VA23=WA23EA23=

[0.114 5,0.154 9,0.331 7,0.300 9,0.098],

VA24=WA24EA24=

[0.114 5,0.154 9,0.331 7,0.300 9,0.098],

VA31=WA31EA31=

[0.012,0.101 2,0.395 6,0.411 6,0.079 6]，

VA32=WA32EA32=

[0.021,0.112 9,0.410 1,0.381 9,0.074 1].

各個攻擊方法的評級結(jié)果Vi組合成對應(yīng)的不同設(shè)備Ai總的模糊評級矩陣E,即

將向量VA11、VA12、VA13、VA21、VA22、VA23、VA24、VA31、VA32作為總系統(tǒng)安全評估F的安全評價隸屬度矩陣EF,由2.2節(jié)得到的各設(shè)備權(quán)重的向量為WF=[W1,W2,…,Wn].根據(jù)式(4)可得總的系統(tǒng)安全評估模糊評價結(jié)果VF為

VF=WFEF=

[0.033 2,0.106 7,0.410 5,0.370 6,0.079 2].

2.4 反模糊轉(zhuǎn)化

利用模糊綜合評判所得到的評價結(jié)果Fv是一個模糊向量.為了使系統(tǒng)安全評估的結(jié)果更加明顯,將所得的綜合評價結(jié)果的模糊向量進行反模糊化處理.設(shè)評語集

E={非常安全,比較安全,基本安全,

比較危險,非常危險}={v1,v2,v3,v4,v5}.利用下式對最終的模糊向量進行反模糊化處理：

(5)

對建立的安全評估評語集進行賦值,即

E={非常安全,比較安全,基本安全,

比較危險,非常危險}={1,2,3,4,5}.

對提出的層次分析中的9種系統(tǒng)設(shè)備,工程師站、操作員站、OPC服務(wù)器、PLC、電動調(diào)節(jié)閥、壓力傳感器、電磁流量計、路由器和無線設(shè)備的模糊評價向量進行反模糊化,得到

由以上數(shù)據(jù)可得9種系統(tǒng)設(shè)備最終的安全評估值,如圖3所示.圖中，F(xiàn)i為各設(shè)備的安全評估值.

圖3 系統(tǒng)設(shè)備安全評估值直方圖Fig.3 Histogram of device security assessed value

從圖3可以看出,系統(tǒng)設(shè)備中風(fēng)險最大的部分為工程師站,其次是PLC,都需要著重加強安全防護措施與安全管理技術(shù).

3 結(jié) 語

本文針對工控系統(tǒng)安全評估問題,提出基于模糊層次分析法的工控系統(tǒng)安全評估方法.從信息安全評估原理到工控系統(tǒng)安全評估原理進行遷移,完善了層次分析法層次建模的合理性；構(gòu)造模糊一致矩陣,克服傳統(tǒng)AHP評估方法的不足；根據(jù)專家經(jīng)驗,對各項指標進行相對權(quán)重賦值與計算,對各項攻擊方法的風(fēng)險進行模糊綜合評價,完成了對工控系統(tǒng)的安全評估,得到工控系統(tǒng)安全評估向量.通過重心法進行反模糊化,不僅得到工控系統(tǒng)總的安全評估值,也確認了工控系統(tǒng)設(shè)備中風(fēng)險最大的設(shè)備,對工控系統(tǒng)的安全部署提供參考建議.

提出的方法存在需要進一步研究的地方.

1) 對工控系統(tǒng)的建模需要根據(jù)實際情況進一步細化,包括更全面的工控設(shè)備的劃分、更全面的針對工控系統(tǒng)的攻擊劃分等.

2) 在各個要素相對重要性的賦值與評價層各要素的綜合模糊評判中,受主觀不確定性的影響,如何設(shè)計更好的評判標準、如何更好地對評判數(shù)據(jù)進行處理減少主觀不確定性是未來研究的重點之一.

[1] HRISTOVA A, SCHLEGEL R, OBERMEIER S.Security assessment methodology for industrial control system products [C]∥The 4th Annual IEEE International Conference on Cyber Technology in Automation, Control and Intelligent Systems. [S.l.]: IEEE, 2014: 264-269.

[2] RALSTON P A S, GRAHAM J H, HIEB J L. Cyber security risk assessment for SCADA and DCS networks [J]. ISA Transaction, 2007, 46(4): 583-594.

[3] WANG L J, WANG B, PENG Y J. Research the information security risk assessment technique based on Bayesian network [C]∥2010 3rd International Conference on Advanced Computer Theory and Engineering. Chengdu: [s.n.], 2010: V3-600-V3-604.

[4] BIAN N Y, WANG X Y, MAO L. Network security situational assessment model based on improved AHP_FCE [C]∥2013 6th International Conference on Advanced Computational Intelligence. Hangzhou: [s.n.], 2013: 200-205.

[5] 盧慧康，陳冬青，彭勇.工業(yè)控制系統(tǒng)信息安全風(fēng)險評估量化研究[J].自動化儀表，2014，35(10)： 21-25. LU Hui-kang, CHEN Dong-qing, PENG Yong. Quantitative research on risk assessment for information security of industrial control system [J]. Process Automation Instrumentation，2014，35(10): 21-25.

[6] 秦晨，陳曉方，楊玉婷.基于FAHP-IE算法的尾礦庫安全性三級評估研究及應(yīng)用[J].控制工程，2014，21(6)： 995-1000. QIN Chen, CHEN Xiao-fang, YANG Yu-ting. Research on safety three-level evaluation of tailings reservoir based on FAHP-IE method [J]. Control Engineering of China, 2014, 21(6): 995-1000.

[7] 元云麗.基于模糊層次分析法(FAHP)的建設(shè)工程項目風(fēng)險管理研究[D].重慶：重慶大學(xué)，2013. YUAN Yun-li. The research on the construction engineering project risk management based on fuzzy analytic hierarchy process [D]. Chongqing: Chongqing University, 2013.

[8] GB/T 20984-2007,信息安全風(fēng)險評估規(guī)范[S].北京：中國標準出版社，2007.

[9] GB/T 26333-2010,工業(yè)控制網(wǎng)絡(luò)安全評估規(guī)范[S].北京：中國標準出版社，2010.

[10] 張吉軍.模糊一致判斷矩陣3種排序方法的比較研究[J].系統(tǒng)工程與電子技術(shù)，2003，25(11)： 1370-1372. ZHANG Ji-jun. Comparison of three ranking methods for the fuzzy consistent judgement matrix [J]. Journal of System Engineering and Electronics， 2003，25(11)： 1370-1372.

[11] 呂躍進.基于模糊一致矩陣的模糊層次分析法的排序[J].模糊系統(tǒng)與數(shù)學(xué)，2002，16(2)： 79-85. LV Yue-jin. Weight calculation method of fuzzy analytical hierarchy process [J]. Fuzzy Systems and Mathematics，2002，16(2)： 79-85.

Security assessment for industrial control systems based on fuzzy analytic hierarchy process

JIA Chi-qian, FENG Dong-qin

(StateKeyLaboratoryofIndustrialControlTechnology,ZhejiangUniversity,Hangzhou310027,China)

A security assessment for industrial control systems (ICS) based on fuzzy analytic hierarchy process (FAHP) was proposed in order to comprehensively assess the ICS security condition and provide targeted measurement for the equipment which is vulnerable in ICS. The analytic hierarchy model of security assessment was established with the analysis of equipment in ICS and specific attacks. The FAHP method was implemented taking a typical chemical industrial control system for example. The principle of information security assessment was transferred to the principle of security assessment for ICS, and the rationality and logicality of the hierarchical modeling for ICS was improved. The proposed assessment established an analytic hierarchy model, introducing fuzzy consistent matrix and making the step of FAHP. According to the attack method, the sub goal security value was calculated with fuzzy comprehensive evaluation using unified assessment set in order to determine the vulnerability of ICS. The vulnerability of ICS refers to the vulnerable equipment in ICS. Then the overall security situation for ICS was obtained. The assessment results show that the vulnerable equipment in this ICS is engineer station and PLC, which need highly protective measures in particular. The security level of the control system is ‘basically secure’.

fuzzy analytic hierarchy process; industrial control system; security assessment

2015-01-30. 浙江大學(xué)學(xué)報(工學(xué)版)網(wǎng)址： www.journals.zju.edu.cn/eng

國家自然科學(xué)基金資助項目(61433006).

賈馳千(1992—)，男，碩士生，從事工業(yè)控制系統(tǒng)安全的研究. ORCID: 0000-0001-8944-182X. E-mail: cqjay2010@163.com 通信聯(lián)系人：馮冬芹，男，教授，博導(dǎo). ORCID: 0000-0002-3034-0933. E-mail: dqfeng@iipc.zju.edu.cn

10.3785/j.issn.1008-973X.2016.04.022

TP 273

A

1008-973X(2016)04-0759-07