基于EASI模型的實物保護系統(tǒng)動態(tài)評估方法

李愛國，雷魯飛，陳 博，蘇 越

(西安科技大學計算機學院，陜西 西安 710054)

1 引言

隨著經(jīng)濟和社會的快速發(fā)展，各類關(guān)鍵設(shè)施及關(guān)鍵資產(chǎn)越來越多，這類關(guān)鍵設(shè)施和資產(chǎn)事關(guān)國家安全、社會和經(jīng)濟的穩(wěn)定及可持續(xù)發(fā)展，其遭遇破壞或失竊的后果將難以接受，其面臨的風險也日益增大。尤其是面對懷有惡意的人員，恐怖分子，或遭遇區(qū)域沖突的時候，對關(guān)鍵設(shè)施和資產(chǎn)進行保護的重要性更加突出。目前我國對關(guān)鍵設(shè)施和資產(chǎn)的網(wǎng)絡(luò)安全的關(guān)注和研究程度要遠高于對實體防護的研究[1，2]。美國桑迪亞國家實驗室是最早對實物保護系統(tǒng)(Physical Protec-tion System，PPS)開展研究的，提出的一種針對核設(shè)施和核電站的安全保護系統(tǒng)設(shè)計和脆弱性評估方法。實物保護系統(tǒng)(PPS)是指為了保護關(guān)鍵資產(chǎn)和設(shè)施防止他人偷竊，破壞或其它惡意行為的一個集成人員，程序和設(shè)備的系統(tǒng)工程。PPS能夠有效防止關(guān)鍵設(shè)施或資產(chǎn)遭到盜竊、破壞或任何其它類型的惡意攻擊[3]。

實物保護系統(tǒng)(PPS)通過探測、延遲和響應三個主要功能對目標設(shè)施或資產(chǎn)進行有效防護。①探測：探測功能用于發(fā)現(xiàn)敵方的入侵行為，包括隱蔽或公然的入侵行為。探測功能的效能取決于偵測入侵行為的概率，以及報警復核所需時間。②延遲：延遲功能是PPS第二個功能，借助于墻體、門鎖和柵欄等延遲裝置延緩敵方入侵。③響應：響應功能是PPS第三個主要功能，響應是反應力量在收到通信報警信息后阻止入侵者得逞的行為。

PPS的脆弱性評估不僅對保護系統(tǒng)設(shè)計和安裝起指導作用，也可以對現(xiàn)有的保護系統(tǒng)升級和改進提供依據(jù)。要對PPS進行評估，評估人員需要對PPS目標和設(shè)計深入了解。設(shè)計和評估PPS的一個簡單方法是依據(jù)標準和規(guī)范進行定性評估，雖然此類方法簡明、易操作，但PPS注重對保護對象的防護效能，而不是某些標準是否達標。隨著保護目標重要性的提高，定性分型越來越難以滿足評估需求，通常采用更加容易被人所接受的定量評估方法。定量分析最常用的模型是EASI模型[3]，在本文2.1節(jié)詳細介紹，大多數(shù)定量分析模型和方法都是基于此模型展開的。如綜合路徑分析模型(SAVI)[5]、估算核保障和核安保措施的分析系統(tǒng)和軟件(ASSESS)[6]、組合立體幾何模型(CSG)[7]、多路徑分析隨機計算工具(MAPPS)[8]、證據(jù)推論法(Evidential Approach)[9]、虛擬環(huán)境下實物保護系統(tǒng)有效性分析技術(shù)[10]等，這些模型都是采取定期的靜態(tài)評估，缺乏時效性和應對極端氣候環(huán)境變化的適應性，對某一時刻系統(tǒng)效能的降低或失效沒有及時的評估和應對措施。然而有經(jīng)驗的敵對分子通常會選取在這些時刻進行入侵，例如在大霧，大雨的環(huán)境下。本文結(jié)合某項目研究課題和實際需求，針對在極端氣候條件下，PPS防護效能的變化，提出一種基于EASI模型的實物保護系統(tǒng)動態(tài)脆弱性評估方法(DAPPS)。該方法實時動態(tài)的對實物保護系統(tǒng)的防護性能進行計算評估，當系統(tǒng)的某一裝置的效能突然降低或失效時，自動增加延時或探測后重新評估，始終保持系統(tǒng)防護性能在給定的閾值之上。

2 EASI模型

2.1 傳統(tǒng)的EASI模型

EASI模型是通過計算敵方入侵路徑上的一系列探測裝置和延遲裝置所產(chǎn)生的效果，從而定量的分析敵方到達保護目標之前被下響應部隊攔截的可能性，其計算公式如下

P=P(D1)×P(C1)×PR│A1+

(1)

式(1)中，P(D)表示探測器探測到敵方的概率；P(C)表示報警復核率；P(R|A)表示在報警復核成功的條件下敵對勢力在抵達目標之前被響應部隊攔截的概率。式(1)中第一項表示最外圍保護層報警且復核成功后的攔截概率，第二項則為其它各層的攔截概率。式(1)的計算結(jié)果為各層的累計攔截概率，該攔截概率越大，PPS對目標的防護能力就越強。

2.2 探測和延時

探測和延時功能是PPS評估的核心。越早探測到敵方的入侵，響應部隊就會有更長的時間去部署攔截。同樣，探測到敵方的入侵后，對敵方的延時時間越長也會給響應部隊更多的時間去部署攔截。

探測率P(D)的值是指PPS中各防護層中的防護單元探測到敵方入侵的概率，包括探測、報告和復核過程。P(D)值常被用作度量PPS探測功能的有效性的指標。當該防護層成功探測到敵方時，該防護層之后的所有探測器無論是否探測到敵方都不會產(chǎn)生實際作用。只有該防護層未探測到目標，后面的防護層的探測器才會產(chǎn)生作用。用PE表示后續(xù)每層防護層的實際探測概率。這個概率的計算公式如式(2)分所示：

(2)

(3)

(4)

在計算實際累積延時時間(Ti)時還應考慮延時裝置所產(chǎn)生的真實延時時間，因為探測可能在以下三種情況中發(fā)生：

1)在延時裝置生效之前探測器報警(用“B”表示)，例如一個圍欄上的振動傳感器；

2)在延時裝置生效當中探測器報警(用一個“M”表示)例如防盜門里面的玻璃鎖傳感器；

3)在延時裝置生效之后探測器報警(用“E”表示)，例如直接放在門口之后的運動傳感器。

在傳感器報警之前，入侵者穿越的所有延時裝置均是無效的，這是因為沒有報警，響應部隊就不會有任何行動。在以上的三種情況之中，延時裝置對敵方所產(chǎn)生的實際延時時間和實際累積延遲時間如式(6)和(7)式所示。其中CF為修正因子，用于計算三種情況下的真實延時時間，其取值如式(5)所示。真實延遲時間和真實累積延遲時間的方差可按式(8)和(9)計算。

(5)

Ti=CF×tdi

(6)

(7)

σTi2=(CF×σtdi)2

(8)

(9)

2.3 響應時間

響應時間(RFT)即為響應部隊收到報警通知后從其所在位置抵達保護目標所在位置所需的時間。響應時間根據(jù)響應部隊多次模擬響應演練所采樣的數(shù)據(jù)確定，實際響應時間的值成正態(tài)分布，其均值用RFT表示，標準差用σRFT表示，如圖1所示。

圖1 實際響應時間正態(tài)分布圖

首次報警復核成功的條件下，入侵者所在防護層的累積延時時間與響應時間的時差Zi如式(10)所示。

(10)

若要計算攔截成功能的概率只需計算Zi為正數(shù)的部分，即累計延時時間大于響應時間。攔截成功概率為概率密度函數(shù)Zi從0積分到+∞的值。圖2黑色部分所示，即為Zi大于零(累積延遲時間大于響應時間的)的部分，其面積即為攔截成功的概率。

圖2 攔截概率示意圖

綜上所述，EASI模型是基于敵方路徑上的概率計算工具，通過計算所有路徑的攔截概率可以確定最小攔截概率的路徑即為最薄弱路徑。在設(shè)計或改進PPS時，可以對最薄弱路徑的探測裝置或延時裝置進行改進，從而提升PPS的整體防護性能。值得注意的是這種評估方法需要定期對系統(tǒng)進行評估，缺乏時效性，在某些極端氣候條件下其評估結(jié)果并不準確。本文對PPS的防護性能發(fā)生變化時的情況進行了探索，提出了動態(tài)評估模型，進一步提高了PPS的可靠性。

3 基于EASI模型的實物保護系統(tǒng)動態(tài)評估

3.1 仿真模擬場景實例

本文采用國際原子能機構(gòu)研究所核設(shè)施模擬場景進行計算評估，其場景布局如圖3所示[3]。

場景模擬：假設(shè)敵方打算破壞核反應堆。敵方已經(jīng)獲得了該設(shè)施場地布局的所有信息。敵方攻擊最多由五名襲擊者組成，他們裝備有半自動步槍、小型武器、數(shù)量有限的炸藥(用來穿透墻壁或門，并最終破壞反應堆)、便攜式電動工具和雙向無線電通信系統(tǒng)。

該核設(shè)施的入侵序列圖如圖4所示。入侵序列圖(圖4)顯示敵方所有可能的潛入路徑。

圖4 核設(shè)施入侵序列圖

圖4中的每個區(qū)域和保護元件的探測和延時信息如表1所示。

表1 各區(qū)域和保護元件探測和延時信息

表1中的延時類型分為為探測發(fā)生在時間延遲的開始(B)、中間(M)或結(jié)束(E)。每個保護元件的探測概率(PD)、延遲時間(td)，td取決于保護元件得防護性能，其值是根據(jù)美國桑迪亞國家實驗室的評估確定，其標準差為td的30%。

此外，報警復核概率PC的值為0.95。響應部隊的平均響應時間(RFT)為700s，響應時間的標準差為RFT的30%。該設(shè)施要求PPS的攔截概率不低于0.8。

3.2 動態(tài)評估方法

3.2.1 方法概述

本文采取的動態(tài)評估方法是通過在實物保護系統(tǒng)中增設(shè)一些氣候傳感器[12-15]。這些傳感器將保護場地的氣候數(shù)據(jù)實時傳回評估系統(tǒng)，評估系統(tǒng)根據(jù)實時數(shù)據(jù)調(diào)整探測率等參數(shù)，動態(tài)計算當前環(huán)境下的攔截概率。當出現(xiàn)極端氣候?qū)е聰r截概率不能滿足需求時，評估系統(tǒng)立即通知PPS開啟自動延時裝置，提高延時時間或派出人員對某一區(qū)域加強巡邏，增加PPS的探測概率。然后重新計算攔截概率，直至其滿足要求。其邏輯流程如圖5。

圖5 動態(tài)評估系統(tǒng)工作邏輯流程

其步驟可總結(jié)如下：

1)氣候傳感器實時傳回氣候數(shù)據(jù)給評估系統(tǒng)；

2)評估系統(tǒng)根據(jù)傳回數(shù)據(jù)重新計算攔截概率；

3)評估系統(tǒng)根據(jù)評估計算結(jié)果反饋給實物保護系統(tǒng)；

4)實物保護系統(tǒng)根據(jù)反饋采取相應措施

圖5中判斷攔截概率是否滿足要求即要判斷當前攔截概率是否高于給定的閾值。若當前攔截概率低于給定閾值，先自動啟動臨時延時裝置或通知安保人員加強巡邏再重新計算攔截概率。當采取所有的臨時措施攔截概率均不能達到預期的值時，立即警示安保中心采取更強有力的措施。

3.2.2 氣候變化對探測器的影響

根據(jù)模擬場景實例，分別對大霧、雨雪、大風、溫度等極端氣候環(huán)境下探測器的探測率降低情況進行探索：

1)大霧：大霧天氣對室外視頻探測器的探測率有著顯著的影響[16]。在該場地中，當能見度將至20m以下時，已獲悉監(jiān)控攝像頭布局的入侵者能完全躲避室外視頻監(jiān)控。圖4中編號為④和⑧的探測率全部重置為0。在此情況下通過梯子等工具直接翻越外圍護欄被也不會被發(fā)現(xiàn)，圖4中編號為③的探測率重置為0。

2)雨雪：暴雨暴雪會不僅會降低能見度，而且會掩蓋入侵分子入侵時所產(chǎn)生的動靜，進一步降低探測率。圖4中編號為④和⑧的探測率重置為0，編號為③和⑦的探測率分別重置為0.1和0.2。

3)大風：大風天氣對震動傳感器影響較大[17]。圖4中編號為編號為③和⑦的探測率分別重置為0.2和0.4。

4)溫度：高溫天氣對紅外傳感器影響較大，圖4中編號為編號為②、⑥和⑨的探測率分別重置為0.4、0.5和0.5。

3.2.1 采取的措施

根據(jù)先探測、后延時的基本原則，本文在計算中所采取的措施主要有兩種。其一，在反應堆周圍設(shè)置自動攔截護欄，其延遲時間為120s，標準差為36s。當攔截概率不能滿足要求時，系統(tǒng)自動開啟該攔截裝置。其二，派出人員在限制區(qū)域加強巡邏，該區(qū)域探測率可增加至0.8。當采取第一項措施后，保護系統(tǒng)的攔截概率仍不滿足要求時，則采取第二項措施。

4 計算結(jié)果

使用EASI等傳統(tǒng)評估方法，通過計算機程序?qū)D4中的所有路徑(90條)進行計算，獲得最薄弱路徑，其路徑信息如表2所示。

表2 該核設(shè)施的最薄弱路徑

敵方沿著上述最薄弱路徑進行破壞行動的的攔截概率計算結(jié)果是0.846。攔截概率大于給定閾值0.8，認為系統(tǒng)防護性能滿足要求。入侵者選擇最薄弱路徑進行突破是最優(yōu)的策略。選擇其它任何路徑進行突破的攔截概率將會更高。

當實物保護系統(tǒng)所在場地出現(xiàn)極端氣候條件時，基于EASI的傳統(tǒng)評估方法和本文所提出的動態(tài)評估方法(DAPPS)對實物保護系統(tǒng)的攔截概率對比見圖6。

圖6 實物保護系統(tǒng)攔截概率對比

其中在大霧、大風、高溫等惡劣氣候環(huán)境下，只需自動開啟延時裝置。在無需人員管控或操作的情況下，可保持PPS的攔截概率始終高于給定的閾值。暴雨暴雪環(huán)境下，不僅需要需要開啟攔截裝置，還需派出人員加強限制區(qū)域巡邏方可保持PPS的攔截概率高于給定閾值。

通過圖6對比可知，在大霧、雨雪、大風、溫度等環(huán)境下，動態(tài)評估的方法(DAPPS)比傳統(tǒng)的靜態(tài)評估方法更加可靠。在極端氣候條件下，通過動態(tài)評估方法PPS采取相應措施可使其的防護性能提高5～25個百分點。這種提高的幅度看似不多。但實際上，實物保護系統(tǒng)的防護性能提高幾個百分點在硬件上可能會花費數(shù)千萬以上的成本。極端氣候?qū)儆谂及l(fā)事件，只需讓系統(tǒng)在這些事件上采取一些臨時措施，即可保證系統(tǒng)的防護性能不發(fā)生退化。

5 結(jié)論

本文介紹了一種基于EASI模型的的實物保護系統(tǒng)動態(tài)評估方法。首先，利用模擬場景建立入侵序列圖，對所有入侵路徑進行計算，確定最薄弱路徑上的攔截概率。其次，根據(jù)外部環(huán)境動態(tài)調(diào)整受影響元件的探測率從而動態(tài)計算攔截概率。最后，在攔截概率低于給定閾值時，增加延時或探測確保PPS始終保持良好的防護性能。

相比于傳統(tǒng)的靜態(tài)評估方法，本文所提出的動態(tài)評估方法在極端氣候條件下表現(xiàn)更為突出。因為一個有經(jīng)驗的入侵者往往會在這種條件下實施入侵行動。依據(jù)此方法，PPS能更好的應對極端環(huán)境，大大提高其防護性能。這種方法也能為未來實物保護系統(tǒng)的設(shè)計評估及升級改造提供一定的理論依據(jù)。

在未來，通過大數(shù)據(jù)和人工智能等技術(shù)可以更加準確的發(fā)現(xiàn)PPS某些組件性能發(fā)現(xiàn)變化甚至失效的情況。而基于EASI模型的的實物保護系統(tǒng)動態(tài)評估方法能夠及時有效進行評估計算，并通知系統(tǒng)采取相應措施，確保PPS的防護性能任何時候都能滿足要求。