基于模糊層次分析的工業(yè)SCADA安全風險評估方法研究與應用

楊 肖 楊 力 楊子純

(西南石油大學計算機科學學院 四川 成都 610500)

基于模糊層次分析的工業(yè)SCADA安全風險評估方法研究與應用

楊 肖 楊 力 楊子純

(西南石油大學計算機科學學院 四川 成都 610500)

數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA(Supervisory Control And Data Acquisition)的安全防御受到越來越多的重視，風險評估是預防事故風險的發(fā)生、保障其安全性的重要手段。為了解決傳統(tǒng)系統(tǒng)評估方法的缺陷及人為因素影響較大的問題，提出一種基于模糊綜合評估的SCADA系統(tǒng)安全風險評估方法。首先建立安全評估指標體系，然后通過層次分析法得到準則層、指標層和目標層三級體系間下級對上級的權重影響，再通過專家打分的方式，結合模糊數(shù)學理論，采用隸屬函數(shù)的方式得到各級指標的安全隸屬度，最終實現(xiàn)對多維多因素的多級評估。實驗結果表明，采用模糊綜合評估能夠較好地解決定量與定性相互轉換的難題，使評估方式更能與實際情況相符，從而提高安全評估的準確性，使現(xiàn)場工作人員能對SCADA系統(tǒng)安全做出更正確的決策，從而提高工作效率，在為企業(yè)乃至國家?guī)砝娴耐瑫r，盡可能降低事故發(fā)生的概率。

模糊評判 SCADA 信息安全 多維多因素 層次分析法

0 引 言

SCADA系統(tǒng)是以計算機為基礎的生產過程控制與調度自動化系統(tǒng)。它綜合利用了計算機技術、控制技術、通信與網(wǎng)絡技術，完成對測控點分散的各種過程或設備的實時數(shù)據(jù)采集，本地或遠程的自動控制，以及生產過程或設備的實時監(jiān)控。SCADA系統(tǒng)，在電力、水利、化工、石油天然氣、冶金以及交通運輸?shù)雀鱾€領域應用廣泛，其安全一旦出現(xiàn)漏洞，將威脅到工業(yè)生產運行和國家經(jīng)濟安全。以往，人們一直認為SCADA系統(tǒng)是相對孤立的，并對它有著強有力的訪問控制，是相對安全的。但是，隨著計算機網(wǎng)絡技術以及通信技術的迅速發(fā)展，SCADA系統(tǒng)已不再像以往那樣，是一個相對安全的物理隔離的系統(tǒng)。如今很多SCADA系統(tǒng)已與企業(yè)網(wǎng)絡互聯(lián)，變得相對開放透明，這使得SCADA系統(tǒng)面臨諸多安全問題，如惡意病毒、信息泄漏和篡改、系統(tǒng)不能使用等。

傳統(tǒng)SCADA安全評估采用經(jīng)典集合“二值理論”，即對每一現(xiàn)場指標都采用“非是即否”的評判方式，這對于采集數(shù)字信號“DI/DO”來說是正確的，但是在實際現(xiàn)場情況中，很難有完全符合“非是即否”的情況，在油氣現(xiàn)場的工作人員的日常工作中，也大多使用帶有模糊色彩的用語，例如：壓力增大，密度減小等。從這里我們可以看出，影響整個油氣SCADA安全的往往不是單維度的單因素，而是由多維度與多因素共同影響。并且，工作人員在面對不同的現(xiàn)場情況時往往通過不同的程度副詞來描述情況，例如：井內硫化氫濃度增加很大和硫化氫濃度增加較大，這兩種不同的描述可能造成的原因和導致的結果也完全不一樣，這樣模糊沒有明顯定量的用語，也使傳統(tǒng)評估系統(tǒng)在評估上顯得很無力。其次，面對不同的SCADA系統(tǒng)，在風險評估方面所側重評估方面不一樣，所以需要建立能夠滿足不同的SCADA系統(tǒng)的安全風險評估體系。為了解決定量與定性相互轉換及安全風險評估體系的問題，我們將模糊綜合評判方法引入到工業(yè)SCADA安全風險評估中，并收到良好效果。

1 相關工作

安全評估是對一些軟件系統(tǒng)或者其他工程的安全進行評估，對影響其安全的因素進行風險識別評估，對事故發(fā)生的可能程度進行判斷，從而達到對風險事故進行預防以避免其發(fā)生的效果。安全評估方法主要分為定量評估與定性評估，常見的評估方法有：因素圖分析法、專家現(xiàn)場詢問觀察法、預先危險分析法、故障危險分析法、故障類型和影響分析法、運行危險分析法、安全檢查表法等。

在SCADA系統(tǒng)安全研究方面，國外發(fā)達國家起步較早，在不同的工控系統(tǒng)中都進行了深入的研究。我國雖然起步較發(fā)達國家晚，但是在研究石油天然氣方面，已經(jīng)取得了一定的成果。在文獻[4]中，聶永臣從甘森站SCADA系統(tǒng)出發(fā)具體研究，提出預防SCADA威脅的相應措施，如制定相關法律法規(guī)、加強對系統(tǒng)操作人員和維護人員的技術培訓等。在文獻[5]中，韓波等從中國石油輸氣管網(wǎng)的SCADA系統(tǒng)出發(fā)具體研究，提出了防范內部與外部失效風險的控制措施。在文獻[6-7]中，徐金偉對我國的工業(yè)基礎設施SCADA系統(tǒng)進行了簡要的分析，并且對SCADA的系統(tǒng)安全提出了防御措施，為本文的研究提供了指向。在文獻[8]中，魏倩使用層次分析法對網(wǎng)絡信息安全進行評價，為本文評估方法的可行性提供了指導。在SCADA數(shù)據(jù)傳輸方面可能出現(xiàn)的問題，在文獻[9]中，王婷婷進行了研究。最后在文獻[10]中，王雁冰等對SCADA安全進行了多重的分析。盡管如此，研究發(fā)現(xiàn)國內外對SCADA系統(tǒng)，尤其是油氣集輸SCADA系統(tǒng)的安全評價研究仍存在嚴重不足。所以，本文研究一種用于油氣集輸SCADA系統(tǒng)安全評價的方法，可以起到預防各種威脅的作用，并可根據(jù)評價結果來提出相應措施以保證SCADA系統(tǒng)的安全運行，從而提高經(jīng)濟效益，具有重要的現(xiàn)實意義。

2 相關理論

2.1 模糊綜合評估原理

模糊綜合評估是一種定性與定量相結合的評估方法。綜合評估即是由于在現(xiàn)實生活和日常生產中，影響實物安全的因素可能會有很多種，在對事物進行評估時，要考慮到各個方面的問題。特別是在油氣SCADA這樣復雜的系統(tǒng)中，在做出任何一個決策時，我們都需要對多個相關因素進行綜合考慮。模糊綜合評估就是借助模糊數(shù)學中的一些原理和概念，再結合綜合評估對實際問題進行綜合評估的一種方法。運用模糊關系合成的原理，將一些不容易被定量或邊界不清晰的因素進行定量化。在較為復雜的系統(tǒng)中，影響結果的因素往往是多層次的，從而形成一個判別樹狀的結構。模糊綜合評估包括以下幾部分：

(1) 評估因素集合U。代表著包含所有影響評估因素的集合。

(2) 安全評語等級集合V。代表包含綜合評估安全評語所組成的集合。

(3) 評判矩陣W。代表下級評估因素對上級評估對象的安全影響相對重要程度。

(4) 安全隸屬度論域M。代表評估因素對應每個評語等級的隸屬程度。

(5) 評估結果向量S。代表每個評估對象的綜合狀況分級程度。

2.2 模糊綜合評估步驟

(1) 建立模糊綜合評估指標體系

在評估工作開始前，需要構建模糊綜合安全評估指標體系，這是整個評估的基礎也是關鍵，此體系必須滿足科學性、系統(tǒng)性和實用性這三個必要條件，因為它直接關系到評估本身是否具有意義。構建綜合評估指標體系也就是要找出影響安全的客觀因素對象，也即是上文中提到的評估因素論域U。

(2) 通過層次分析法(AHP)來確定指標權重

安全評估指標權重確定方法有很多，例如：專家評議法、層次分析法、專家調查法等，本文主要是運用層次分析法來確定評估指標的權重。在模糊綜合評估指標體系中，每個因素指標對評估對象的影響是不一樣的，為了更加恰當?shù)剡M行綜合評估，需要表示出每個因素指標對安全的影響程度，所以我們必須對每個評估因素指標賦予一定權重值。而層次分析法剛好可以有效地解決指標定性與定量之間的問題。這種方法首先確定模糊評估指標體系，然后通過體系建立模糊評判矩陣，進而根據(jù)模糊判斷給予各層次指標相對重要性的定量表示，再利用數(shù)學方法求解權重值。

在構造兩兩比較判斷矩陣時，比較兩個指標對評價上級指標的重要程度，并且據(jù)此賦值，通常采用1～9及其倒數(shù)的形式，如表1所示。

表1 重要度定義

依據(jù)上述將指標因素進行兩兩比較的方法，我們可以得出各層次的評判矩陣，如下所示：

評判矩陣體現(xiàn)了評估者對指標因素間相對重要程度的認識，在參照重要度定義表得出以上的評判矩陣后，對矩陣使用“規(guī)范列平均法”進行計算。

Step1 求和。對評判矩陣A每一列進行求和；

Step2 構建標準化矩陣。在用每個元素除以它對應的列的總和，得到一個標準化的矩陣：

列出了平均隨機一致性指標RI的取值，如表2所示。

表2 平均隨機一致性指標RI

從前面的計算中可以得知，如果CR=0.1或者CR<0.1，則視為構建的判斷矩陣的一致性比較好，但是如果CR>0.1，則表明需要重新調整判別矩陣以對權重系數(shù)進行重新分配。在完成上面的步驟后，并滿足判斷矩陣一致性，則計算出的W即視為該層次的權重向量。

(3) 構建評價矩陣，求安全隸屬度

評語集是以評估者對被評估對象可能做出的各種評語結果為元素組成的集合，在安全評估中一般用五個評語等級V表示，即建立評語論域V=[V1,V2，…，V5]。在本文中對評語論域中的五個評語使用{很好，好，較好，一般，差}。根據(jù)專家調查評判打分結果以及相應的隸屬函數(shù)，可確定各因素指標被評定為各Vi的隸屬度，建立模糊評估矩陣：

在這個模糊評估矩陣中，rij所表示的是指標論域U其中的一個指標ui被評價為評語集V中的Vj的一個隸屬度。

本文使用百分制評分求解的方式求得每個隸屬度，對于評語集中的五個評語，以90、80、70、60、50這五個分數(shù)為界限，根據(jù)以下隸屬函數(shù)公式的計算可求得每一個隸屬度，從而得到模糊評估矩陣。

(1)

(2)

(3)

(4)

(5)

將專家的分數(shù)代入到5個隸屬函數(shù)中，這樣每一個指標將會得到5個不同隸屬度，其分別代表這一指標屬于這5個安全程度的隸屬度，每個指標將得到1×5的安全隸屬度矩陣。

(4) 評價矩陣和權重的合成

根據(jù)公式Bk=Wk○Rk計算得各層評價指標的綜合評判結果：

B=[B1B2…Bm]T

如果∑B1≠1，則需要將其歸一化處理。其中：“○”所代表的是合成算子。

(5) 多級模糊綜合評判

在完成以上步驟后，可以看出僅僅是完成了對某一層次或者某一單元的評估，在本文中，指標體系層次共分為三層，所以一層評估結果不能達到解決問題的目的，這時就需要使用多級評估。所謂多級模糊綜合評估，即將下一級的評估結果B=[B1B2…Bm]T作為上一級的評估矩陣，再將其與這一級所求得的權重向量W進行合成，得到總的綜合評價結果為S=W○B(yǎng)，最后依據(jù)最大隸屬度的原則判斷綜合評價的結果。

3 油氣SCADA安全風險評估

通過深入調研中石油西南油氣田SCADA系統(tǒng)及對相關領域專家的咨詢，首先通過層次分析法建立評判矩陣兩兩比較得到油氣SCADA系統(tǒng)各級安全評估指標的權重值，隨機抽取方案層的任一評估對象，具體過程如下:

1) 建立判斷矩陣，確定指標權重

例如：選取評價對象為硬件安全下的五個評價指標。分別是：服務器備份充分、硬件定期更換、物理隔離良好、存儲介質安全、禁止非法物理接入。將這五個因素指標進行兩兩比較，用1～9標度對齊比較，結果如表3所示。

表3 指標層指標兩兩比較結果

經(jīng)過表中判斷矩陣兩兩比較后，我們得到比較結果從而構造出判別矩陣為：

將矩陣A按照規(guī)范列平均法進行矩陣的規(guī)范化，可得到按列規(guī)范化矩陣：

然后計算出矩陣A的特征向量:

W=[0.23 0.14 0.07 0.09 0.45]

求出特征向量后，檢驗此指標層判斷矩陣的一致性：

根據(jù)最大特征根計算公式，計算出其最大特征根：

=5.13

2) 構建評價矩陣，求指標的安全隸屬度

同樣以指標層硬件安全為評估對象的指標進行模擬專家打分評判。其第一個因素“服務器備份充分” u1，假定模擬十位專家所給出的分數(shù)分別為“89，85，93，88，85，90，85，86，87，88”，然后將分數(shù)分別帶入隸屬函數(shù)，可得到因素服務器備份充分隸屬于評語集V1，V2，V3，V4，V5的隸屬度分別為rV1(u1)、rV2(u1)、rV3(u1)、rV4(u1)、rV5(u1)：

rV1(u1) =1/10[u1(89)+u1(85)+u1(93)+u1(88)+

u1(85)+u1(90)+u1(85)+u1(86)+u1(87)+u1(88)]

=1/10[0.9+0.5+1+0.8+0.5+1+0.5+

0.6+0.7+0.8]=0.73

u1(85)+u1(90)+u1(85)+u1(86)+u1(87)+u1(88)]

=1/10[0.1+0.5+0+0.2+0.5+0+0.6+

0.4+0.3+0.2]=0.27

同理可得：rV3(u1)=0，rV4(u1)=0，rV5(u1)=0。

由此可得，因素u1的隸屬度r1為(0.73，0.27，0，0，0)，同理，硬件安全中硬件定期更換、物理隔離良好、存儲介質安全、禁止非法物理接入的安全隸屬度分別為(0.75,025,0,0,0)、(0.59,0.41,0,0,0)、(0.63,0.37,0,0,0)、(0.70,0.30,0,0,0)。

經(jīng)整理得到硬件安全模糊評價矩陣為：

綜合評估：

S=W○R=[0.23 0.14 0.07 0.09 0.45]○

根據(jù)最大隸屬度原則，取隸屬度最大的0.69所代表的安全評語等級來表示整個硬件安全的隸屬度，表明硬件安全指標安很好，這樣就完成了指標層中評估對象為硬件安全的模糊綜合評判，也可叫作單元評估。由于本文研究時將指標分為三層樹形結構，將硬件安全的安全隸屬度保存下來與第二層指標權重進行矩陣計算，得到第二層各指標的安全隸屬度，再將第二層各指標安全隸屬度保存下來，然后再將第二層指標進行兩兩相互比較計算得到權重，再與隸屬度進行計算得到第一層的1×5的安全隸屬度矩陣，從中選取隸屬度最大的評語等級作為整個油氣SCADA的安全評估結果，這即是多級模糊安全評估。

3) 系統(tǒng)實現(xiàn)

在理論模型具有可行性的條件下，以模型為理論支撐，用C#作為編程語言，SQL Server 2008作為數(shù)據(jù)庫工具來存儲數(shù)據(jù)，Microsoft Visual Studio 2010作為開發(fā)環(huán)境工具，開發(fā)出了基于模糊綜合評判的SCADA安全風險評估系統(tǒng)原型。這里將介紹系統(tǒng)原型，并將理論運用到實踐的過程。本原型系統(tǒng)以西南油氣田某月數(shù)據(jù)為參考數(shù)據(jù)進行測試。

(1) 安全風險評估指標體系

建立模糊綜合評判指標體系，并且實現(xiàn)了對整個指標體系的維護。本指標體系構建為三層樹形結構的整個體系，如圖1所示。

圖1 指標體系結構

(2) 指標權重獲取

建立兩兩評判矩陣，檢驗所建立評判矩陣是否滿足一致性。若滿足即將結果錄入數(shù)據(jù)庫，為后面的評估做準備。評判矩陣如表4所示。

表4 兩兩評判矩陣

(3) 專家評分

模擬專家評分過程，安全評語集{很好，好，較好，一般，差}。專家對每個指標安全性進行百分制的評分，專家評分表如表5所示。再利用上文提到的隸屬函數(shù)，最終計算出每項指標所屬安全隸屬度，結果如表6所示。

表5 專家評分表

續(xù)表5

表6 安全隸屬度表

(4) 安全評估

結合上面專家打分得到的隸屬度和評判矩陣得到的權重，經(jīng)過多級綜合評估得到整個SCADA系統(tǒng)的安全性，并且對評估細節(jié)進行展示與對所評估系統(tǒng)進行解釋。測試評估結果SCADA系統(tǒng)安全性很好的隸屬度為0.793，為所有隸屬度中最大，根據(jù)最大隸屬度原則，得到本次評估結果為此SCADA系統(tǒng)安全性很好。此評估結果符合西南油氣田當月SCADA系統(tǒng)安全情況，經(jīng)過上面的步驟，實現(xiàn)了對油氣SCADA安全的模糊綜合評判也表明了模糊綜合評判SCADA安全風險評估系統(tǒng)原型開發(fā)成功。

4 結 語

在信息技術與計算機網(wǎng)絡發(fā)展日新月異的今天，油氣集輸SCACA系統(tǒng)安全性將會受到越來越大的挑戰(zhàn)，而油氣集輸SCADA系統(tǒng)的安全保障是石油工業(yè)發(fā)展實現(xiàn)信息化、現(xiàn)代化，從而實現(xiàn)高效、穩(wěn)定發(fā)展的前提。隨著近年來工業(yè)控制系統(tǒng)中的事故頻發(fā)，SCADA系統(tǒng)的安全性必然會受到越來越多人的關注。對于安全評估的方法其實有很多，本文采用模糊綜合評判的方式，將模糊數(shù)學理論運用到安全評估中，結合層次分析法確定權重，使用多級評估的方式，運用C#編程語言，Visual Studio 2010 開發(fā)環(huán)境和SQL Server2008數(shù)據(jù)庫軟件，建立了油氣集輸SCADA模糊綜合評判原型。本文主要完成以下幾方面內容：1) 結合油氣集輸SCADA安全風險評估實際，建立了對于大部分工控系統(tǒng)都適用的安全指標體系結構，并且完成相應的人機交互界面，可以對體系結構進行維護；2) 結合層次分析法，完成對指標層、準則層與目標層的權重確定；3) 結合模糊數(shù)學知識完成推理機制的建立；4) 采用代入數(shù)據(jù)的方式，對實際情況進行評判檢測，以驗證方法的準確性與可行性。實驗結果顯示了此原型方法的可行性。此次原型的成功建立，為以后類似工控系統(tǒng)的安全評估提供了模板，具有可移植性。同時，也使評估更加符合實際生產情況，評估結果更加偏向數(shù)據(jù)量化，減小了傳統(tǒng)評估中人為因素的影響。

[1] 王華忠. 監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng)及其應用[M]. 北京：電子工業(yè)出版社, 2010.

[2] Wiles J. Techno security’s guide to securing SCADA[M]. Rockland, MA, USA: Syngress Publishing, 2008.

[3] 吳曉平, 付鈺. 信息系統(tǒng)安全風險評估理論與方法[M]. 北京：科學出版社, 2011.

[4] 聶永臣. 甘森站控SCADA系統(tǒng)安全性分析及應對措施[J]. 中國石油和化工標準與質量, 2012, 32(S1):123.

[5] 韓波, 劉巍. 中國石油輸氣管網(wǎng)SCADA系統(tǒng)建設淺析[J]. 天然氣勘探與開發(fā), 2004, 27(3):61-67.

[6] 徐金偉. 工業(yè)領域基礎設施SCADA系統(tǒng)簡介——關于我國SCADA系統(tǒng)信息安全的研究與思考之一[J].計算機安全, 2012(1):4-9.

[7] 徐金偉. SCADA系統(tǒng)信息安全風險防護措施——關于我國SCADA系統(tǒng)信息安全的研究與思考之三[J]. 計算機安全, 2012(1):11-14.

[8] 魏倩. 基于模糊層次分析法的網(wǎng)絡信息安全評價研究[D]. 長春：吉林大學, 2008.

[9] 王婷婷. SCADA系統(tǒng)中數(shù)據(jù)傳輸安全性研究[D]. 上海：華東理工大學, 2013.

[10] 王雁冰, 謝孝宏. 關于SCADA系統(tǒng)多重安全性的探討[J]. 自動化博覽, 2009, 26(4):40-43.

[11] 羅陽青. 基于模糊層次分析法的服役石拱橋健康評估研究[D]. 長沙：湖南大學, 2011.

[12] 廖瑞金, 王謙, 駱思佳, 等. 基于模糊綜合評判的電力變壓器運行狀態(tài)評估模型[J]. 電力系統(tǒng)自動化, 2008, 32(3):70-75.

[13] 余勇, 林為民. 工業(yè)控制SCADA系統(tǒng)的信息安全防護體系研究[J]. 信息網(wǎng)絡安全, 2012(5):74-77.

[14] 蘭昆, 饒志宏, 唐林, 等. 工業(yè)SCADA系統(tǒng)網(wǎng)絡的安全服務框架研究[J]. 信息安全與通信保密, 2010(3):47-49.

RESEARCH AND APPLICATION OF INDUSTRIAL SCADA SECURITY RISK ASSESSMENT METHOD BASED ON FUZZY AHP

Yang Xiao Yang Li Yang Zichun

(SchoolofComputerScience,SouthwestPetroleumUniversity,Chengdu610500,Sichuan,China)

The security defense of supervisory control and data acquisition (SCADA) is paid more and more attention, and risk assessment is an important ways to prevent the occurrence of accident risk and ensure its security. In order to solve the problem of the traditional assessment method and the human factors, an SCADA system security risk assessment method based on fuzzy comprehensive evaluation is proposed. Firstly, the safety assessment index system is established, then the influence of the subordinate system between the three levels of the criteria layer, the index layer and the target layer on the weights of the superiors is obtained through the analytic hierarchy process. Then through the expert scoring method, combined with the fuzzy mathematics theory, the membership function is adopted to get the security membership degree of each index, and finally the multilevel evaluation of the multidimensional and multi-factor is realized. The experimental results show that the fuzzy comprehensive evaluation can solve the problem of quantitative and qualitative mutual conversion, so that the assessment method can be more consistent with the actual situation, thereby improving the accuracy of safety assessment. It also enables site staff to make more correct decision about SCADA system safety, thereby increasing productivity and reducing the probability of accidents as much as possible, while benefiting the business as well as the nation.

Fuzzy evaluation SCADA Information security Multidimensional and multi-factor AHP

2016-04-20。國家自然科學基金項目(61175122)；四川省教育廳重點項目(15ZA0049)；國家大學生創(chuàng)新創(chuàng)業(yè)基金。楊肖，碩士生，主研領域：SCADA安全。楊力，副教授。楊子純，本科。

TP182

A

10.3969/j.issn.1000-386x.2017.05.010