SCADA系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的研究與應(yīng)用

摘 ?要：在對(duì)風(fēng)險(xiǎn)評(píng)估理論研究的基礎(chǔ)上，提出了基于改進(jìn)層次分析法的SCADA系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方法。首先建立了ACADA系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估層次結(jié)構(gòu)模型，分為管理和技術(shù)兩大類。然后針對(duì)傳統(tǒng)層次分析法中通過(guò)兩兩比較法構(gòu)造判斷矩陣難以符合一致性要求的問(wèn)題，進(jìn)行了一定的改進(jìn)，提出通過(guò)排序賦值法構(gòu)造判斷矩陣，通過(guò)改進(jìn)層次分析法和熵權(quán)法計(jì)算出各評(píng)價(jià)指標(biāo)權(quán)值。最后將以上方法用于對(duì)自來(lái)水廠SCADA系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估。

關(guān)鍵詞：SCADA系統(tǒng);信息安全風(fēng)險(xiǎn)評(píng)估;層次分析法

中圖分類號(hào)：TP309 ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2096-4706（2021）13-0133-03

Research and Application of SCADA System Information Security Risk Assessment

LI Dan

（Hubei University of Technology， Wuhan ?430068， China）

Abstract： Based on the research of risk assessment theory， an information security risk assessment method of SCADA system based on improved analytic hierarchy process is proposed. Firstly， the hierarchical structure model of information security risk assessment of ACADA system is established， which is divided into two categories of management and technology. Then， aimming at the problem that the judgment matrix constructed by paired comparison method in the traditional analytic hierarchy process is difficult to meet the consistency requirements， some improvements are made. The construction of judgment matrix by sorting assignment method is proposed， and the weight of each evaluation index is calculated by improved analytic hierarchy process and the entropy weight method. Finally， the above methods are used to evaluate the information security risk of SCADA system in waterworks.

Keywords： SCADA system; information security risk assessment; analytic hierarchy process

0 ?引 ?言

數(shù)據(jù)采集與監(jiān)控系統(tǒng)（Supervisory Control And Data Acquisition， SCADA）是眾多大型工業(yè)生產(chǎn)與各國(guó)基礎(chǔ)設(shè)施的控制系統(tǒng)，主要應(yīng)用于石油、化工、天然氣、電力、先進(jìn)制造、鐵路、城市供水供熱等行業(yè)，這些領(lǐng)域與民生國(guó)計(jì)都息息相關(guān)，是我們衡量一個(gè)國(guó)家工業(yè)化程度的重要標(biāo)志。

近年來(lái)，工業(yè)SCADA系統(tǒng)受到攻擊的頻率越來(lái)越多，發(fā)生了很多重大信息安全事件[1]，例如：2001年澳大利亞昆士蘭州的污水處理廠遭受黑客攻擊，造成污水橫流，給自然環(huán)境造成極大的負(fù)擔(dān);2008年南美洲某國(guó)的電網(wǎng)控制系統(tǒng)遭到黑客控制，導(dǎo)致電網(wǎng)停止工作，給國(guó)民經(jīng)濟(jì)造成損失;2013年美國(guó)天然氣管道公司被黑客入侵，盜取重要的系統(tǒng)數(shù)據(jù)資料，給燃?xì)夤驹斐蓸O大威脅。

信息安全風(fēng)險(xiǎn)評(píng)估的方法主要圍繞著解決四類問(wèn)題，即量化、不確定性、實(shí)時(shí)性和關(guān)聯(lián)性[2]。層次分析法是解決風(fēng)險(xiǎn)評(píng)估的量化問(wèn)題，他能夠全面系統(tǒng)的對(duì)信息系統(tǒng)存在的問(wèn)題進(jìn)行評(píng)估，但層次分析法在評(píng)估指標(biāo)過(guò)多時(shí)，采用兩兩比較法構(gòu)造的判斷矩陣難以符合一致性要求。

鑒于此，文章在對(duì)傳統(tǒng)層次分析法進(jìn)行改進(jìn)的基礎(chǔ)上，對(duì)SCADA系統(tǒng)開(kāi)展較為全面的信息安全風(fēng)險(xiǎn)評(píng)估，

1 ?信息安全風(fēng)險(xiǎn)評(píng)估層次結(jié)構(gòu)模型

1.1 ?信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)框架

信息安全風(fēng)險(xiǎn)值是衡量安全事件發(fā)生后對(duì)信息系統(tǒng)產(chǎn)生影響的一個(gè)定量值，風(fēng)險(xiǎn)值的計(jì)算是在完成資產(chǎn)識(shí)別、威脅識(shí)別和脆弱性識(shí)別后，采用適當(dāng)?shù)臄?shù)學(xué)計(jì)算方法來(lái)確定的。更具體地將說(shuō)，信息安全風(fēng)險(xiǎn)值應(yīng)該是由信息安全事件發(fā)生的可能性及其發(fā)生后所造成的影響兩個(gè)方面來(lái)確定的[3]。因此風(fēng)險(xiǎn)值的計(jì)算公式為：

R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））

在以上計(jì)算風(fēng)險(xiǎn)值的公式中，R表示計(jì)算風(fēng)險(xiǎn)值的函數(shù)，A表示被評(píng)估對(duì)象所涉及的資產(chǎn)，T表示面臨的威脅，V表示評(píng)估對(duì)象存在的脆弱性。威脅利用資產(chǎn)所存在的脆弱點(diǎn)的可能性用函數(shù)L表示，一旦成功利用后所造成的損失用函數(shù)F表示，其中Ia表示安全事件所涉及的資產(chǎn)價(jià)值，Va表示該資產(chǎn)的脆弱性嚴(yán)重程度。

1.2 ?信息安全風(fēng)險(xiǎn)評(píng)估層次結(jié)構(gòu)模型

構(gòu)建層次結(jié)構(gòu)模型是層次分析法的第一步，是緊接著構(gòu)造判斷矩陣的前提條件。該風(fēng)險(xiǎn)評(píng)估層次結(jié)構(gòu)模型的構(gòu)建堅(jiān)持全面性、獨(dú)立性與實(shí)用性的原則[4]，即所構(gòu)建的評(píng)估指標(biāo)能夠既全面又精準(zhǔn)的反映系統(tǒng)的信息安全狀況，指標(biāo)之間獨(dú)立無(wú)重疊，能夠確實(shí)應(yīng)用到SCADA信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。共包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界方面，一級(jí)評(píng)價(jià)指標(biāo)10項(xiàng)，二級(jí)評(píng)價(jià)指標(biāo)72項(xiàng)，每個(gè)評(píng)估指標(biāo)的評(píng)估內(nèi)容均不同。如圖1所示。

2 ?SCADA系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估

2.1 ?層次分析法的缺陷與改進(jìn)

層次分析法美國(guó)運(yùn)籌學(xué)家T.L.Saaty在20世紀(jì)70年代提出一種層次化、結(jié)構(gòu)化決策方法[5]，分為建立層次結(jié)構(gòu)模型、構(gòu)造判斷矩陣、計(jì)算權(quán)向量并做一致性檢驗(yàn)、計(jì)算總排序權(quán)值幾個(gè)步驟。在實(shí)際應(yīng)用過(guò)程中，當(dāng)判斷矩陣的階數(shù)較多時(shí)，參評(píng)專家在對(duì)指標(biāo)的前后兩兩對(duì)比評(píng)價(jià)時(shí)容易產(chǎn)生邏輯矛盾，難以構(gòu)造符合一致性要求的判斷矩陣。針對(duì)該問(wèn)題，本文提出通過(guò)排序賦值法構(gòu)造判斷矩陣。

假設(shè)現(xiàn)在需要對(duì)評(píng)價(jià)指標(biāo)X1，X2，X3，X4，…Xn構(gòu)造判斷矩陣A。

首先請(qǐng)參評(píng)專家對(duì)各評(píng)價(jià)指標(biāo)的重要性進(jìn)行排序。y1，y2，y3，y4，…yn分別為指標(biāo)X1，X2，X3，X4，…Xn的排名序號(hào)，則有Y={y1，y2，y3，y4，…yn}，這樣可以消除邏輯上的不一致性。

然后在排序之后根據(jù)排序結(jié)果構(gòu)造判斷矩陣。由于排名表示著各指標(biāo)的重要性，指標(biāo)越重要，排序越靠后，本文采用排名的差值來(lái)表示重要性程度的比較，判斷矩陣的每個(gè)元素的具體值，可以通過(guò)如下公式來(lái)計(jì)算。

當(dāng)i>j時(shí)，

當(dāng)i=j時(shí)，aij=1

當(dāng)i

2.2 ?熵權(quán)法計(jì)算綜合評(píng)價(jià)指標(biāo)權(quán)值

相較于層次分析法主觀賦權(quán)法，熵權(quán)法是一種客觀賦權(quán)方法。本文通過(guò)層次分析法計(jì)算一位專家的指標(biāo)權(quán)值，通過(guò)熵權(quán)法綜合多名專家的指標(biāo)權(quán)值，最終得到一組較客觀的指標(biāo)權(quán)值。

下面具體介紹如何利用熵權(quán)法來(lái)綜合多名專家的指標(biāo)權(quán)值：

假設(shè)現(xiàn)在邀請(qǐng)的m位專家所構(gòu)造的判斷矩陣求得的指標(biāo)權(quán)值分別為W1，W2，W3，W4，…Wm，基于這些權(quán)值，作為熵權(quán)法的樣本數(shù)據(jù)，可以計(jì)算出m名專家的權(quán)重，最后得到n個(gè)評(píng)價(jià)指標(biāo)X1，X2，X3，X4，…Xn的綜合權(quán)值。

首先我們將m組權(quán)值安列排列用來(lái)構(gòu)造原始矩陣Z：

然后將原始矩陣進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化。第一步按列求原始矩陣最小值a;第二步按列求原始矩陣最大值b;第三步求標(biāo)準(zhǔn)矩陣Y：

，（i=1，2，3…n;j=1，2，3…m）

接著根據(jù)標(biāo)準(zhǔn)矩陣求各專家信息熵。第一步按列求和s;第二步求標(biāo)準(zhǔn)矩陣Y與和s的比值;第三步求信息熵E：

，（j=1，2，3…m）

最后計(jì)算綜合權(quán)重。由信息熵E計(jì)算專家權(quán)重W，由專家權(quán)重W和指標(biāo)權(quán)值Z可以求得指標(biāo)綜合權(quán)值C：

，（i=1，2，3…m）

C=WZT

3 ?應(yīng)用示例

本文將某自來(lái)水廠SCADA系統(tǒng)作為評(píng)估對(duì)象，對(duì)提出的風(fēng)險(xiǎn)評(píng)估方法進(jìn)行可行性的驗(yàn)證。

3.1 ?對(duì)評(píng)價(jià)指標(biāo)進(jìn)行排序賦值

由于評(píng)價(jià)指標(biāo)較多，在次只介紹專家對(duì)第一次指標(biāo)的排序情況。專家A1對(duì)第一層指標(biāo)排序后得到矩陣Y1=[1，2，2，1，3，3，4，4，5，5]。

3.2 ?根據(jù)排序賦值計(jì)算指標(biāo)權(quán)值

通過(guò)和積法計(jì)算特征值和特征向量，然后歸一化處理可得到評(píng)價(jià)指標(biāo)權(quán)值為：

W1=[0.219 4 ?0.129 5 ?0.129 5 ?0.206 6 ?0.078 9 ?0.078 9 ?0.048 1 ?0048 1 ?0.030 5 ?0.030 5]

同理計(jì)算其他權(quán)值。

3.3 ?熵權(quán)法計(jì)算指標(biāo)綜合權(quán)值

根據(jù)第2節(jié)介紹的方法，由原始評(píng)價(jià)指標(biāo)權(quán)重Z求得六位專家權(quán)重為：

W=[0.174 5 ?0.186 5 ?0.152 7 ?0.171 5 ?;0.171 4 ?0.143 4]

結(jié)合專家權(quán)重向量W與原始評(píng)價(jià)指標(biāo)權(quán)重Z求得一級(jí)測(cè)評(píng)項(xiàng)目下的10個(gè)指標(biāo)的層次權(quán)重為：

C=[0.183 1 ?0.157 5 ?0.120 8 ?0.204 5 ?0.072 9 ?0.058

5 ?0.048 1 ?0.056 6 ?0.039 4 ?0.058 6]

3.4 根據(jù)底層指標(biāo)值計(jì)算安全值

底層指標(biāo)值的獲取采取現(xiàn)場(chǎng)測(cè)評(píng)的方式，這里需要得到資產(chǎn)、威脅、脆弱性的具體賦值。傳統(tǒng)計(jì)算方式是采用“相乘發(fā)”計(jì)算風(fēng)險(xiǎn)值。針對(duì)第1個(gè)二級(jí)指標(biāo)，資產(chǎn)重要性賦值A(chǔ)=5，威脅發(fā)生頻率賦值T=3，脆弱性賦值V1=2，V2=1，V3=1，V4=2。通過(guò)計(jì)算可以得到風(fēng)險(xiǎn)值R421為2.783 2，R422為1.968 0，R423為1.968 0，R424為2.783 2。風(fēng)險(xiǎn)值R為1-5標(biāo)度的反向值，R越大，安全性越差。本文計(jì)算的評(píng)估值E為百分制的正向值，因此需要公式（6-R）× 20將風(fēng)險(xiǎn)值轉(zhuǎn)為評(píng)估值，為72.488 0。同理可以計(jì)算出其余71個(gè)二級(jí)測(cè)評(píng)指標(biāo)的評(píng)估值。然后逐層求解風(fēng)險(xiǎn)值，計(jì)算出10個(gè)一級(jí)指標(biāo)安全值En和1個(gè)綜合安全值E。經(jīng)計(jì)算該水廠SCADA系統(tǒng)信息安全綜合值為70.57，安全級(jí)別屬于中等偏上。

3.5 ?結(jié)果分析

該水廠風(fēng)險(xiǎn)評(píng)估的安全值為70.57，安全程度處于中等偏上，存在一定的安全隱患。從計(jì)算結(jié)果可以看出，重點(diǎn)應(yīng)該從計(jì)算環(huán)境、管理中心、管理人員、運(yùn)維管理4個(gè)方面采取適當(dāng)防護(hù)措施，提高系統(tǒng)安全性。

計(jì)算環(huán)境方面測(cè)評(píng)存在最大的風(fēng)險(xiǎn)是SCADA系統(tǒng)身份鑒別機(jī)制單一，主要是通過(guò)賬戶密碼登錄，并且密碼簡(jiǎn)單不經(jīng)常更換，容易導(dǎo)致賬戶信息泄露。因此需要設(shè)置復(fù)雜的賬戶密碼并定期更換，必要時(shí)采用“雙因子”進(jìn)行身份鑒別。

管理中心方面測(cè)評(píng)存在最大的風(fēng)險(xiǎn)與計(jì)算環(huán)境方面的風(fēng)險(xiǎn)具有一致性，應(yīng)對(duì)系統(tǒng)管理員和審計(jì)管理員的身份進(jìn)行鑒別，并規(guī)定其工作職責(zé)和任務(wù)。

管理人員方面測(cè)評(píng)存在最大的風(fēng)險(xiǎn)是對(duì)已經(jīng)離職的人員，沒(méi)有及時(shí)終止其所有訪問(wèn)權(quán)限，可能后期被利益交易、不法利用，給單位造成不可估量的損失。因此需要在人事變動(dòng)時(shí)，對(duì)離崗人員辦理好交接手續(xù)，簽訂相關(guān)保密協(xié)議，取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備，刪除賬戶信息。另外工作人員的安全意識(shí)也是非常重要的一個(gè)方面，需要定期開(kāi)展安全意識(shí)培訓(xùn)工作。

運(yùn)維管理方面測(cè)評(píng)存在最大的風(fēng)險(xiǎn)是主機(jī)操作系統(tǒng)的安全軟件沒(méi)有更新，可能會(huì)被惡意代碼利用，讓主機(jī)失去正常工作性能。因此需要安裝防惡意代碼軟件的同時(shí)定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù)。

4 ?結(jié) ?論

本文構(gòu)建了SCADA系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的層次結(jié)構(gòu)模型，然后采用對(duì)評(píng)價(jià)指標(biāo)排序賦值的方法，構(gòu)造了符合一致性要求的判斷矩陣，提高了工作效率。信息安全風(fēng)險(xiǎn)是動(dòng)態(tài)變化的，本文采用的層次分析法不能動(dòng)態(tài)開(kāi)展評(píng)估工作，只能重復(fù)性評(píng)估達(dá)到實(shí)時(shí)了解系統(tǒng)安全狀況，由于風(fēng)險(xiǎn)評(píng)估工作數(shù)據(jù)量大，計(jì)算復(fù)雜，完成風(fēng)險(xiǎn)評(píng)估結(jié)果的分析需要花費(fèi)大量時(shí)間。因此可以開(kāi)發(fā)一個(gè)評(píng)估系統(tǒng)，將計(jì)算工作交給電腦來(lái)處理，可以解放人力，提高工作效率。

參考文獻(xiàn)：

[1] 郭昊，何小蕓，孫學(xué)潔，等.國(guó)家電網(wǎng)邊緣計(jì)算應(yīng)用安全風(fēng)險(xiǎn)評(píng)估研究 [J]，計(jì)算機(jī)工程與科學(xué)，2020，42（9）：1563-1571.

[2] 張炳，任家東，王苧.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估分析方法研究綜述 [J].燕山大學(xué)學(xué)報(bào)，2020， 44（3）：290-305.

[3] 王姣，范科峰，莫瑋.基于模糊集和DS證據(jù)理論的信息安全風(fēng)險(xiǎn)評(píng)估方法 [J].計(jì)算機(jī)應(yīng)用研究，2017，34（11）：3432-3436.

[4] 許碩，唐作其，王鑫.基于D-AHP與灰色理論的信息安全風(fēng)險(xiǎn)評(píng)估 [J].計(jì)算機(jī)工程，2019，45（7）：194-202.

[5] 梁智強(qiáng)，林丹生.基于電力系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制研究 [J].信息網(wǎng)絡(luò)安全，2017（4）：86-90.

作者簡(jiǎn)介：李丹（1993—），女，漢族，湖北孝感人，在讀碩士研究生，研究方向：信息安全。