核電廠數(shù)字化儀表控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法綜述

黃曉津,田宇琨,李江海

(1.清華大學(xué)核能與新能源技術(shù)研究院,北京 100084；2.先進(jìn)反應(yīng)堆工程與安全教育部重點(diǎn)實(shí)驗(yàn)室,北京 100084)

0 引言

核電廠儀表和控制系統(tǒng)(簡(jiǎn)稱“儀控系統(tǒng)”)與核電站操作人員共同構(gòu)成了核電廠的“中樞神經(jīng)系統(tǒng)”。通過各種組成要素(如設(shè)備、模塊、子系統(tǒng)、冗余系統(tǒng)等)。儀控系統(tǒng)可感知基本參數(shù)、監(jiān)控性能、整合信息，并根據(jù)需要對(duì)電廠運(yùn)行進(jìn)行自動(dòng)調(diào)整。隨著信息時(shí)代的到來，計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)等信息技術(shù)與核電廠數(shù)字化儀控系統(tǒng)相結(jié)合[1]，使得基于計(jì)算機(jī)和聯(lián)網(wǎng)技術(shù)的數(shù)字化儀控系統(tǒng)逐步被采用。國(guó)內(nèi)首個(gè)核電數(shù)字化儀控系統(tǒng)投用于江蘇田灣核電站。嶺澳二期核電站也使用了該技術(shù)[2]。數(shù)字化儀控系統(tǒng)的使用提高了核電廠的可靠性、降低了運(yùn)營(yíng)和維護(hù)成本，使核電廠的運(yùn)行更加高效。但是，由于數(shù)字化儀控系統(tǒng)基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，可能存在漏洞，特別是通用協(xié)議、軟件和設(shè)備對(duì)原有專用系統(tǒng)的取代[3]，使得系統(tǒng)和網(wǎng)絡(luò)更容易遭受黑客、病毒、蠕蟲等偶然或惡意的網(wǎng)絡(luò)攻擊。這將對(duì)核電廠系統(tǒng)及設(shè)備的可用性、信息和數(shù)據(jù)的保密性和完整性造成損害，并由此產(chǎn)生新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[2]。因此，需要對(duì)核電廠數(shù)字化儀控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理是分析、評(píng)估和處理風(fēng)險(xiǎn)的實(shí)踐標(biāo)準(zhǔn)，通過適用的網(wǎng)絡(luò)風(fēng)險(xiǎn)分析方法，對(duì)惡意網(wǎng)絡(luò)攻擊行為進(jìn)行有效的識(shí)別和監(jiān)測(cè)，從而保證核電廠系統(tǒng)的可用性，以及信息和數(shù)據(jù)的完整性和保密性，降低由攻擊事件導(dǎo)致的危害。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法最初產(chǎn)生于信息技術(shù)(information technology，IT)領(lǐng)域。當(dāng)信息系統(tǒng)與物理系統(tǒng)相結(jié)合后，人們開始關(guān)心信息物理系統(tǒng)(cyber physical system,CPS)中基于網(wǎng)絡(luò)和軟件而產(chǎn)生的網(wǎng)絡(luò)安全問題，由此產(chǎn)生了眾多相關(guān)風(fēng)險(xiǎn)分析方法。核電數(shù)字化儀控系統(tǒng)對(duì)于遭受網(wǎng)絡(luò)攻擊而產(chǎn)生的網(wǎng)絡(luò)安全問題的研究尚處于起步階段，相關(guān)文獻(xiàn)較少，風(fēng)險(xiǎn)分析方法體系尚不完善。因此，本文對(duì)CPS的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法進(jìn)行綜述。所列網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法不僅包含核電領(lǐng)域，還包含電網(wǎng)、運(yùn)輸系統(tǒng)等多個(gè)領(lǐng)域。通過文獻(xiàn)綜述，本文提出核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法的參考建議。文獻(xiàn)選擇范圍為2011—2021年間發(fā)表的、能夠獲取全文的研究成果，且至少涵蓋一種不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法。本文主要涉及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法中風(fēng)險(xiǎn)的場(chǎng)景、可能性及后果等問題，但風(fēng)險(xiǎn)緩解技術(shù)并不包含在本文綜述范圍內(nèi)。

1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析的基礎(chǔ)

1.1 風(fēng)險(xiǎn)理論

傳統(tǒng)意義上的風(fēng)險(xiǎn)是不確定性和損害的結(jié)合。風(fēng)險(xiǎn)分析過程可以看作對(duì)三個(gè)問題的回答，即：①會(huì)發(fā)生什么；②有多大可能性；③如果真的發(fā)生了，其后果是什么[4]。

隨著信息技術(shù)的發(fā)展，對(duì)CPS的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的研究進(jìn)一步深入。在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理指南ISO/IEC 27005:2011中，定義網(wǎng)絡(luò)安全風(fēng)險(xiǎn)涉及三個(gè)要素，即資產(chǎn)、威脅和漏洞。在CPS中，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)既指物理層面的功能安全風(fēng)險(xiǎn)(Safety)，又指網(wǎng)絡(luò)層面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)(Security)，即系統(tǒng)正常運(yùn)行時(shí)安全目標(biāo)遭受網(wǎng)絡(luò)攻擊所造成的不利影響。風(fēng)險(xiǎn)分析過程的總體目標(biāo)是識(shí)別風(fēng)險(xiǎn)及其對(duì)系統(tǒng)關(guān)鍵資產(chǎn)的影響。分析的目標(biāo)是基于威脅/漏洞識(shí)別關(guān)鍵資產(chǎn)的安全風(fēng)險(xiǎn)。

R=f[h(V,T),A]

(1)

式中：R為風(fēng)險(xiǎn)值；f為風(fēng)險(xiǎn)模型；h為威脅與漏洞的關(guān)系；V、T分別為漏洞被利用的可能性和威脅利用漏洞的可能性；A為資產(chǎn)價(jià)值。

根據(jù)GB/T 36466—2018，風(fēng)險(xiǎn)分析流程如下。

①評(píng)估風(fēng)險(xiǎn)要素。風(fēng)險(xiǎn)要素評(píng)估包括關(guān)鍵數(shù)字資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估以及保障能力評(píng)估。資產(chǎn)評(píng)估包括識(shí)別資產(chǎn)和評(píng)估資產(chǎn)價(jià)值兩個(gè)方面：首先，識(shí)別出系統(tǒng)中的關(guān)鍵系統(tǒng)和關(guān)鍵系統(tǒng)中的關(guān)鍵數(shù)字資產(chǎn)；然后，評(píng)估資產(chǎn)價(jià)值，得到資產(chǎn)的重要度權(quán)重。威脅評(píng)估考慮可能對(duì)系統(tǒng)造成破壞的攻擊行為：首先，識(shí)別出威脅源、威脅途徑和可能性，以及威脅所造成的影響；然后，對(duì)威脅進(jìn)行賦值。脆弱性評(píng)估考慮重要資產(chǎn)本身的脆弱性，識(shí)別脆弱性并對(duì)脆弱性進(jìn)行分析賦值。保障能力評(píng)估則是對(duì)系統(tǒng)管理、運(yùn)行、人員和技術(shù)等方面提供保障措施和對(duì)策的能力進(jìn)行評(píng)估。

②計(jì)算風(fēng)險(xiǎn)。風(fēng)險(xiǎn)值通過風(fēng)險(xiǎn)要素得出。通過計(jì)算得到的風(fēng)險(xiǎn)值可劃分為幾個(gè)等級(jí)，以表示相應(yīng)的風(fēng)險(xiǎn)嚴(yán)重程度。

③控制風(fēng)險(xiǎn)殘留。如風(fēng)險(xiǎn)不可接受，則需制定風(fēng)險(xiǎn)控制措施并實(shí)施相應(yīng)的控制行為，以降低相關(guān)風(fēng)險(xiǎn)。

1.2 核電廠數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

針對(duì)核電行業(yè)如何有效進(jìn)行網(wǎng)絡(luò)安全防護(hù)，可參照國(guó)內(nèi)外制定的一系列網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

國(guó)內(nèi)外數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)如表1所示。

總體而言，我國(guó)核電數(shù)字化儀控網(wǎng)絡(luò)安全領(lǐng)域相關(guān)標(biāo)準(zhǔn)與國(guó)外尚存在一定的差距，目前國(guó)內(nèi)還沒有針對(duì)核電廠數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全的特定標(biāo)準(zhǔn)。相比之下，由美國(guó)核管會(huì)發(fā)布的RG 5.71導(dǎo)則為之提供了一套切實(shí)可行的方案，可以系統(tǒng)解決核電數(shù)字化儀控系統(tǒng)的網(wǎng)絡(luò)安全問題。因此，可參考RG 5.71導(dǎo)則，將其與我國(guó)國(guó)情相結(jié)合，作出適應(yīng)性修改，從而制定我國(guó)針對(duì)核電廠數(shù)字化儀控系統(tǒng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法一般分為兩類[5]。一類是基于公式的方法，即使用一套計(jì)算風(fēng)險(xiǎn)或影響的公式。該方法不使用任何模型進(jìn)行風(fēng)險(xiǎn)評(píng)估，而是以表格或文本的形式表示。另一類是基于模型的方法，即首先建立所研究系統(tǒng)或過程的模型，然后通過模型進(jìn)行定性或定量分析。

2.1 基于公式的方法

基于公式的方法使用公式對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行量化，包括平均故障成本法、加權(quán)風(fēng)險(xiǎn)評(píng)分等方法。

平均故障成本(mean failure cost,MFC)[6]作為單位時(shí)間的故障成本的函數(shù)，從經(jīng)濟(jì)角度對(duì)故障進(jìn)行量化。式(1)為MFC計(jì)算公式。

M=S×D×I×P

(2)

式中：M為MFC的值；S為網(wǎng)絡(luò)安全需求與所需成本的關(guān)系矩陣，其中網(wǎng)絡(luò)安全需求一般包括可用性、完整性、保密性；D為組件與組件對(duì)每個(gè)網(wǎng)絡(luò)安全需求所作貢獻(xiàn)之間的矩陣，由系統(tǒng)架構(gòu)師填寫；I為各威脅對(duì)各組件影響情況的矩陣，由分析人員填寫；P為一個(gè)列向量，代表每個(gè)條目的出現(xiàn)概率，通過對(duì)模擬系統(tǒng)或真實(shí)系統(tǒng)進(jìn)行操作，評(píng)估該段時(shí)間內(nèi)出現(xiàn)的威脅數(shù)量生成，并隨著系統(tǒng)的發(fā)展作相應(yīng)改進(jìn)。

MFC以價(jià)格/時(shí)間為單位，提供了單位時(shí)間內(nèi)的平均損失估計(jì)。通過定量分析結(jié)果，可以使用MFC方法，采取相應(yīng)的安全措施以減少損失。

加權(quán)風(fēng)險(xiǎn)評(píng)分(risk score,RS)[7]方法關(guān)注系統(tǒng)的可用性，采用加權(quán)計(jì)算對(duì)風(fēng)險(xiǎn)水平進(jìn)行量化。式(3)為RS計(jì)算公式。

R=A×L0+B×C0

(3)

式中：R為風(fēng)險(xiǎn)值；C0為初始發(fā)生可用性損失事件的后果；L0為損失事件發(fā)生的可能性；A、B為權(quán)重因子，兩者之和為1。

C0基于可用性損失及其影響，分為很低、低、中等、高、很高五級(jí)，根據(jù)級(jí)別高低賦予定量數(shù)值。L0獨(dú)立于C0，與攻擊成本成反比。攻擊成本包括經(jīng)濟(jì)成本與實(shí)施攻擊所需技能與知識(shí)的組合成本，分為很低、低、中等、高、很高五級(jí)，根據(jù)級(jí)別高低賦予定量數(shù)值。

根據(jù)式(3)計(jì)算所得的風(fēng)險(xiǎn)值越高，則表示該損失事件的風(fēng)險(xiǎn)水平越高，即系統(tǒng)需要更多的保護(hù)機(jī)制。

基于公式的方法通常是定量的，所采用的數(shù)值可以清晰地展現(xiàn)系統(tǒng)的風(fēng)險(xiǎn)水平。而CPS通常有著復(fù)雜的結(jié)構(gòu)，基于公式的方法無法對(duì)復(fù)雜結(jié)構(gòu)進(jìn)行表示與深入分析。因此，研究者一般首先對(duì)系統(tǒng)進(jìn)行建模，然后使用基于模型的方法進(jìn)行風(fēng)險(xiǎn)分析。

2.2 基于模型的方法

基于模型的方法通過是否可用邏輯圖形來表示所建立的模型進(jìn)行區(qū)分，包括非圖形模型法和圖形模型法。

2.2.1 非圖形模型方法

對(duì)于復(fù)雜的系統(tǒng)而言，一般可以通過建立系統(tǒng)模型對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分析。CPS的網(wǎng)絡(luò)結(jié)構(gòu)、功能、任務(wù)通常是相對(duì)固定的，且一般情況下不需要頻繁地更新和修改，以便對(duì)系統(tǒng)進(jìn)行建模。因此，基于模型的風(fēng)險(xiǎn)分析方法適用于CPS。本節(jié)描述非圖形模型方法，包括風(fēng)險(xiǎn)矩陣(risk matrix,RM)法、層次分析(analytic hierarchy process,AHP)法、博弈論(game theory,GT)法等。

RM法[8]是一種將危險(xiǎn)發(fā)生的可能性和危害的嚴(yán)重程度綜合評(píng)估風(fēng)險(xiǎn)大小的風(fēng)險(xiǎn)評(píng)估方法。RM結(jié)構(gòu)如圖1所示。RM法將風(fēng)險(xiǎn)需要采取的對(duì)策分為風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)接受和風(fēng)險(xiǎn)緩解這四類。四類對(duì)策對(duì)應(yīng)不同高低的風(fēng)險(xiǎn)概率和風(fēng)險(xiǎn)影響，通過賦值計(jì)算出各風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)值并進(jìn)行分析。

圖1 RM結(jié)構(gòu)示意圖

AHP法將決策有關(guān)元素分解成目標(biāo)、準(zhǔn)則、方案等多個(gè)層次，并在此基礎(chǔ)上進(jìn)行定性和定量分析。各層因子受下層因子的影響，同時(shí)影響上層因子。AHP法適用于具有分層交錯(cuò)的評(píng)價(jià)指標(biāo)，而目標(biāo)值又難以定量描述的決策問題。文獻(xiàn)[9]首先將風(fēng)險(xiǎn)指標(biāo)體系分為網(wǎng)絡(luò)安全和主機(jī)安全兩個(gè)維度，并以惡意代碼防范、結(jié)構(gòu)安全、安全訪問控制、網(wǎng)絡(luò)訪問控制、入侵檢測(cè)、架構(gòu)安全、登錄安全、主機(jī)安全監(jiān)控和備份恢復(fù)為指標(biāo)級(jí)別，分級(jí)建立矩陣；然后采用秩和比的方法對(duì)系統(tǒng)風(fēng)險(xiǎn)水平進(jìn)行綜合評(píng)估。

GT法提供了一個(gè)分析框架，考慮攻擊者和防御者之間的交互，并對(duì)這種交互過程進(jìn)行建模。攻擊者可能是單個(gè)黑客、黑客團(tuán)體、恐怖組織等。防御者發(fā)揮優(yōu)化博弈過程作用，使攻擊行為對(duì)系統(tǒng)的損害最小化。對(duì)于攻擊者而言，系統(tǒng)中的任何漏洞或弱點(diǎn)都可以被利用。對(duì)于防御者而言，任何可以用來組織、最小化或減輕攻擊的動(dòng)作都可被視為防御動(dòng)作。在該分析框架中，攻擊者和系統(tǒng)之間的互動(dòng)被視為一種兩玩家游戲。在這種游戲中，每個(gè)玩家都試圖從游戲中增加自己的收益。因此，每個(gè)玩家都對(duì)對(duì)手的策略作出相應(yīng)的反應(yīng)。在這種方法中，攻擊者的長(zhǎng)期策略被視為風(fēng)險(xiǎn)的可能性，通過定義效用函數(shù)來定量管理風(fēng)險(xiǎn)。文獻(xiàn)[10]利用GT法，分析出攻擊者可能的攻擊方向，提出網(wǎng)絡(luò)安全臨界數(shù)作為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估標(biāo)準(zhǔn)，并與系統(tǒng)的風(fēng)險(xiǎn)偏好進(jìn)行比較。文獻(xiàn)[11]將機(jī)器學(xué)習(xí)引入GT法中，運(yùn)用該方法制定攻擊和防御策略，并采用Q學(xué)習(xí)算法制定最優(yōu)策略。

2.2.2 圖形模型方法

與非圖形模型方法相比，將模型用圖形表示的方法相對(duì)更為直觀，且可對(duì)復(fù)雜系統(tǒng)內(nèi)部的邏輯關(guān)系進(jìn)行更細(xì)致的表述，并從不同角度對(duì)系統(tǒng)進(jìn)行建模。因此，基于圖形模型的方法對(duì)CPS的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分析的研究得較多?；趫D形模型方法包括基于故障樹的方法、基于攻擊樹(attack tree,AT)的方法、基于Petri網(wǎng)(Petri net,PN)的方法、基于貝葉斯網(wǎng)絡(luò)(Bayesian networks,BN)的方法、基于系統(tǒng)理論過程分析(systems-theoretic process analysis,STPA)的方法等。

故障樹是一個(gè)非循環(huán)圖，標(biāo)識(shí)可能導(dǎo)致事故或故障的所有事件分支，以及這些事件發(fā)生的概率。故障樹分析(fault tree analysis,FTA)是一種自頂向下的、演繹的故障分析方法，使用布爾邏輯和異常事件來分析不同期望的系統(tǒng)狀態(tài)。文獻(xiàn)[12]提出了一種基于故障樹的網(wǎng)絡(luò)攻擊場(chǎng)景公式，詳細(xì)列出了導(dǎo)致系統(tǒng)故障的關(guān)鍵攻擊路徑。然而，傳統(tǒng)故障樹無法表示序列，即不能表示基本事件之間的任何依賴關(guān)系。布爾邏輯驅(qū)動(dòng)馬爾可夫過程(Boolean logic driven Markov processes,BDMP)是一種圖形建模方法，最初是為安全性和可靠性評(píng)估而設(shè)計(jì)的。BDMP形式上是傳統(tǒng)故障樹與馬爾可夫過程的結(jié)合。BDMP可以極大地減少操作應(yīng)用中的組合問題。與故障樹相比，BDMP可對(duì)動(dòng)態(tài)特性進(jìn)行建模，對(duì)于諸如核電數(shù)字化儀控系統(tǒng)的復(fù)雜CPS更加適用。文獻(xiàn)[13]基于BDMP對(duì)Stuxnet攻擊進(jìn)行建模，并給出了每種可能的攻擊序列的量化結(jié)果。

AT是對(duì)系統(tǒng)的攻擊的樹形結(jié)構(gòu)圖。在該結(jié)構(gòu)圖中，攻擊的目標(biāo)是樹的根，實(shí)現(xiàn)它的不同方法表示為葉節(jié)點(diǎn)。AT中，除根節(jié)點(diǎn)外的不同節(jié)點(diǎn)是攻擊的目標(biāo)。通過自底向上的邏輯過程對(duì)AT進(jìn)行安全評(píng)估，并進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析。考慮到AT不涉及防御者對(duì)策和行動(dòng)，文獻(xiàn)[14]引入防御行為作為攻擊對(duì)策，提出一種利用攻擊防御樹(ADTree)進(jìn)行風(fēng)險(xiǎn)評(píng)估的方法。該方法不僅可以考慮攻擊者和防御者之間的攻擊場(chǎng)景并進(jìn)行迭代對(duì)抗，還可以估計(jì)所需成本和投資回報(bào)?？紤]到功能安全與網(wǎng)絡(luò)安全的相互依賴性，文獻(xiàn)[15]將適用于功能安全性(Safety)的蝴蝶結(jié)方法與適用于網(wǎng)絡(luò)安全性(Security)的攻擊樹方法相結(jié)合，提出適用于工業(yè)控制系統(tǒng)安全的風(fēng)險(xiǎn)分析方法。該方法首先對(duì)風(fēng)險(xiǎn)場(chǎng)景進(jìn)行建模，然后根據(jù)事件發(fā)生的可能性設(shè)計(jì)風(fēng)險(xiǎn)場(chǎng)景的評(píng)估方法，從而得到某一危險(xiǎn)場(chǎng)景的安全等級(jí)。

故障樹與AT方法可構(gòu)建邏輯關(guān)系，并給出定量的概率風(fēng)險(xiǎn)分析結(jié)果，形式結(jié)構(gòu)簡(jiǎn)便。該類方法只考慮組件故障，而無法表示組件間的故障及非線性邏輯關(guān)系。

PN由圓形節(jié)點(diǎn)庫(kù)所、方形節(jié)點(diǎn)變遷、庫(kù)所與變遷之間的有向弧以及庫(kù)所中的定態(tài)對(duì)象令牌組成。PN作為分布式、并行和實(shí)時(shí)系統(tǒng)建模、分析的重要形式化工具，為CPS建模奠定了堅(jiān)實(shí)的基礎(chǔ)。文獻(xiàn)[16]提出的廣義隨機(jī)PN模型增加了及時(shí)轉(zhuǎn)換與定時(shí)轉(zhuǎn)換，運(yùn)用該模型可定量評(píng)價(jià)入侵概率。文獻(xiàn)[17]利用有限隨機(jī)Petri網(wǎng)(limited stochastic Petri net,LSPN)方法建立防火墻保護(hù)模型，從而得到給定入侵場(chǎng)景下的穩(wěn)定入侵概率。在LSPN中，每個(gè)變遷都有一個(gè)初始速率，即在有效條件下某一時(shí)刻的平均變遷事件開始數(shù)。變遷分為瞬時(shí)變遷和延遲變遷。當(dāng)時(shí)間無限大時(shí)，系統(tǒng)達(dá)到動(dòng)態(tài)平衡，從而得到穩(wěn)定變遷速率。LSPN用于對(duì)具有并發(fā)、異步、分布式、并行、不確定性或隨機(jī)信息的CPS進(jìn)行建模，通過分析系統(tǒng)結(jié)構(gòu)的動(dòng)態(tài)行為信息，對(duì)系統(tǒng)進(jìn)行評(píng)估和改進(jìn)。PN法可以對(duì)各種事件之間的邏輯關(guān)系建模，以便對(duì)諸如核電數(shù)字化儀控系統(tǒng)等CPS進(jìn)行分析。但所建立的PN可能很大，以致無法生成系統(tǒng)的所有狀態(tài)。

BN是一種概率圖形模型，通過有向無環(huán)圖表示隨機(jī)變量及其條件依賴關(guān)系。BN有向無環(huán)圖中的節(jié)點(diǎn)表示隨機(jī)變量，有向邊描述隨機(jī)變量之間的相關(guān)關(guān)系，相關(guān)的程度用條件概率表達(dá)。BN將多元圖解可視化，適用于描述節(jié)點(diǎn)的因果關(guān)系及條件相關(guān)關(guān)系，可用于核電數(shù)字化儀控系統(tǒng)的CPS建模，從而進(jìn)行風(fēng)險(xiǎn)分析。文獻(xiàn)[18]提出了一種包含攻擊模型、函數(shù)模型和事件模型的有針對(duì)性的多級(jí)BN，通過一次貝葉斯推理可計(jì)算出所有潛在威脅時(shí)間的發(fā)生概率。該模型還可對(duì)未知攻擊造成的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分析。文獻(xiàn)[19]將BN與PN相結(jié)合，首先利用PN建立系統(tǒng)模型，然后利用BN絡(luò)建立網(wǎng)絡(luò)攻擊模型。該模型可根據(jù)攻擊行為的變化實(shí)時(shí)更新攻擊概率并定量計(jì)算攻擊后果，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)分析。由于節(jié)點(diǎn)的條件概率依賴于歷史數(shù)據(jù)，而網(wǎng)絡(luò)攻擊的歷史數(shù)據(jù)量過少，因此文獻(xiàn)[20]提出一種基于模糊概率貝葉斯網(wǎng)絡(luò)(fuzzy probabilistic Bayesian network,FPBN)的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估方法，用模糊概率代替條件概率，而后通過近似動(dòng)態(tài)推理算法對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)評(píng)估。BN可以將相對(duì)復(fù)雜的聯(lián)合概率分布分解為一系列相對(duì)簡(jiǎn)單的節(jié)點(diǎn)，降低了知識(shí)獲取的難度和概率推理的復(fù)雜性，從而解決了概率推理中聯(lián)合分布太大的問題。然而，BN只考慮網(wǎng)絡(luò)層面上的安全性，并未對(duì)網(wǎng)絡(luò)問題所造成的物理層面上的功能安全性進(jìn)行研究。

STPA是一種基于系統(tǒng)思維的新的危險(xiǎn)分析技術(shù)，由文獻(xiàn)[21]提出，并應(yīng)用于系統(tǒng)安全(Safety)領(lǐng)域。系統(tǒng)理論事故模型與過程(system theoretic accident model and processes,STAMP)是一種基于系統(tǒng)理論而非可靠性理論的新的事故原因分析模型，將傳統(tǒng)因果關(guān)系模型擴(kuò)展到直接相關(guān)的故障事件鏈或組件故障之外。基于STAMP提出的STPA方法，將安全問題視為一個(gè)動(dòng)態(tài)控制問題而非故障預(yù)防或可靠性問題。而故障是由于系統(tǒng)的不充分控制產(chǎn)生的。STPA方法步驟如下：①定義分析目的；②建立控制結(jié)構(gòu)的系統(tǒng)模型；③通過分析控制結(jié)構(gòu)中的控制動(dòng)作，研究控制動(dòng)作與第一步定義的損失之間的關(guān)系；④查明不安全控制發(fā)生原因。STPA-Sec[22]通過增加網(wǎng)絡(luò)安全控制約束，將STPA擴(kuò)展到網(wǎng)絡(luò)安全領(lǐng)域。STPA-SafeSec[23]將抽象的系統(tǒng)控制層擴(kuò)展到具體可視化的組件層，并細(xì)化了通用分析過程，最終得到損失場(chǎng)景的樹形結(jié)構(gòu)文本?；赟TPA的方法關(guān)注組件間的交互，除了技術(shù)問題還可以考慮人的因素，包括個(gè)人知識(shí)、操作人員網(wǎng)絡(luò)安全意識(shí)、組織網(wǎng)絡(luò)安全文化及業(yè)務(wù)流程等。但該方法并未給出定量結(jié)果。而在復(fù)雜環(huán)境中，識(shí)別控制器和系統(tǒng)組件之間的所有交互是極為復(fù)雜且耗費(fèi)資源的。

3 適用性分析

目前，針對(duì)核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法仍然不成熟，還需進(jìn)行更加深入的研究。本節(jié)將針對(duì)上述CPS的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法，從動(dòng)態(tài)分析、風(fēng)險(xiǎn)評(píng)價(jià)、數(shù)據(jù)來源、核安全與網(wǎng)絡(luò)安全等方面進(jìn)行適用性分析，為選用核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法提供參考建議。

3.1 動(dòng)態(tài)分析

在對(duì)CPS進(jìn)行風(fēng)險(xiǎn)分析時(shí)，基于公式的方法無法清晰顯示系統(tǒng)內(nèi)邏輯關(guān)系，因此大多采用基于模型的方法。無論是基于非圖形模型的方法還是基于圖形模型的方法，大多是基于威脅或漏洞對(duì)所要研究的系統(tǒng)進(jìn)行建模。對(duì)于核電數(shù)字化儀控系統(tǒng)而言，所遭受的攻擊很可能是未知的，并且在核電數(shù)字化儀控系統(tǒng)的全生命周期中可能需要對(duì)系統(tǒng)進(jìn)行部分升級(jí)。因此，若要選擇適用于核電數(shù)字化儀控系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法，以動(dòng)態(tài)分析方法為宜。

由于歷史數(shù)據(jù)的稀少及攻擊方式的不可預(yù)見性，文獻(xiàn)[18]采用多級(jí)BN對(duì)系統(tǒng)進(jìn)行建模，利用攻擊和系統(tǒng)狀態(tài)預(yù)測(cè)潛在危險(xiǎn)事件的發(fā)生，動(dòng)態(tài)生成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該概率方法可以較好地處理未知風(fēng)險(xiǎn)。

在調(diào)研的文獻(xiàn)中，所建立的模型大多適用于確定系統(tǒng)，在系統(tǒng)發(fā)生變化時(shí)大多需要對(duì)方法進(jìn)行調(diào)整。因此，可針對(duì)性地設(shè)計(jì)一種動(dòng)態(tài)分析方法，以應(yīng)對(duì)系統(tǒng)發(fā)生變化后的風(fēng)險(xiǎn)分析。如文獻(xiàn)[13]所采用的BDMP方法使用一種特殊類型的鏈接對(duì)系統(tǒng)的動(dòng)態(tài)特性進(jìn)行建模。當(dāng)然，還應(yīng)考慮采用這樣一種適應(yīng)系統(tǒng)變化情況的風(fēng)險(xiǎn)動(dòng)態(tài)分析方法，與在系統(tǒng)發(fā)生變化后重新使用靜態(tài)風(fēng)險(xiǎn)分析方法進(jìn)行成本問題的分析評(píng)估，針對(duì)不同系統(tǒng)采用不同的建模方法。

3.2 風(fēng)險(xiǎn)評(píng)價(jià)

在選擇適用的風(fēng)險(xiǎn)分析方法時(shí)，一項(xiàng)重要的內(nèi)容就是如何對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)。風(fēng)險(xiǎn)評(píng)價(jià)的意義是將系統(tǒng)內(nèi)各個(gè)風(fēng)險(xiǎn)進(jìn)行排序，在有限資源的情況下選擇較大的風(fēng)險(xiǎn)并實(shí)施相應(yīng)防范措施，從而更大限度地降低系統(tǒng)風(fēng)險(xiǎn)。

對(duì)于核電數(shù)字化儀控系統(tǒng)而言，評(píng)價(jià)標(biāo)準(zhǔn)首先考慮系統(tǒng)的可用性。系統(tǒng)可用性通常通過損失情況來表示。文獻(xiàn)[6]所采用的平均故障成本法，通過評(píng)估每個(gè)涉眾所承受的損失來評(píng)估系統(tǒng)的可用性。文獻(xiàn)[7]利用風(fēng)險(xiǎn)矩陣計(jì)算風(fēng)險(xiǎn)評(píng)分后得到的五個(gè)信任級(jí)別來表示系統(tǒng)可用性的受損程度。此外，還可以采用一些評(píng)價(jià)指標(biāo)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)。這些指標(biāo)可表示系統(tǒng)的風(fēng)險(xiǎn)水平。文獻(xiàn)[10]通過由嚴(yán)重程度和可能性兩個(gè)因素共同決定的網(wǎng)絡(luò)安全臨界數(shù)來評(píng)價(jià)風(fēng)險(xiǎn)。GB/T 36466—2018規(guī)定：風(fēng)險(xiǎn)是由安全事件發(fā)生的可能性及安全事件造成的損失共同決定的。

3.3 數(shù)據(jù)來源

在對(duì)核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，需要對(duì)一定的數(shù)據(jù)進(jìn)行計(jì)算，以實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)級(jí)或給出風(fēng)險(xiǎn)分?jǐn)?shù)。所采用的數(shù)據(jù)來源包括歷史數(shù)據(jù)、實(shí)際數(shù)據(jù)和專家意見。

采用歷史和實(shí)際數(shù)據(jù)通?？蛇M(jìn)行定量分析，比如在使用概率進(jìn)行分析的方法中，方法的準(zhǔn)確度依賴于概率的質(zhì)量。而在理想狀態(tài)下，概率應(yīng)來自客觀的經(jīng)驗(yàn)數(shù)據(jù)。核電儀控領(lǐng)域遭受網(wǎng)絡(luò)攻擊數(shù)據(jù)極少，且復(fù)雜系統(tǒng)可遭受攻擊的薄弱環(huán)節(jié)可能存在于系統(tǒng)的方方面面，因此威脅很可能是未知的。這使得該類數(shù)據(jù)無法對(duì)某些風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分析。

采用專家意見進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)可實(shí)現(xiàn)定性分析，但這又使得風(fēng)險(xiǎn)分析結(jié)果變得相對(duì)主觀，且相應(yīng)方法中缺少專家評(píng)定的細(xì)節(jié)。這會(huì)對(duì)風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)確性造成影響，導(dǎo)致無法反映風(fēng)險(xiǎn)的真實(shí)情況。

因此，對(duì)于核電數(shù)字化儀控系統(tǒng)而言，將歷史和實(shí)際數(shù)據(jù)與專家意見相結(jié)合的方法可以在一定程度上克服兩種數(shù)據(jù)來源各自的局限性，有利于對(duì)網(wǎng)絡(luò)攻擊所造成的真實(shí)風(fēng)險(xiǎn)水平進(jìn)行分析。

3.4 核安全與網(wǎng)絡(luò)安全

對(duì)于核電數(shù)字化儀控系統(tǒng)而言，核安全與網(wǎng)絡(luò)安全是相互依賴的，無論是突發(fā)事故還是惡意攻擊，最終都可能對(duì)系統(tǒng)資產(chǎn)(包括人員、財(cái)產(chǎn)、環(huán)境及服務(wù))造成損害。核安全與網(wǎng)絡(luò)安全的主要區(qū)別在于風(fēng)險(xiǎn)的來源，因此需采用不同的風(fēng)險(xiǎn)分析方法及標(biāo)準(zhǔn)。對(duì)于核安全而言，考慮由系統(tǒng)故障或某些意外條件的組合而導(dǎo)致的損害，損害情況通常是已知的、可以預(yù)測(cè)的。對(duì)于網(wǎng)絡(luò)安全而言，考慮由于系統(tǒng)存在薄弱環(huán)節(jié)，網(wǎng)絡(luò)攻擊對(duì)系統(tǒng)的重要資產(chǎn)及操作產(chǎn)生的影響、威脅很可能是未知的、難以預(yù)測(cè)的。

在選擇針對(duì)兩種安全性的風(fēng)險(xiǎn)分析方法時(shí)，需要考慮兩種安全性之間的交互關(guān)系。文獻(xiàn)[24]將其歸納為四種。①條件依賴：滿足其中一種安全要求即滿足另一種安全要求。②相互強(qiáng)化：其中一種安全要求的實(shí)現(xiàn)有助于另一種安全要求的實(shí)現(xiàn)。③對(duì)抗：同時(shí)考慮兩種安全性要求時(shí)，兩種安全要求會(huì)發(fā)生沖突。④相互獨(dú)立：兩種安全要求沒有相關(guān)性。

在對(duì)核電數(shù)字化儀控系統(tǒng)安全性進(jìn)行風(fēng)險(xiǎn)分析時(shí)，為了減輕系統(tǒng)所承受的風(fēng)險(xiǎn)，應(yīng)該將核安全與網(wǎng)絡(luò)安全相結(jié)合進(jìn)行風(fēng)險(xiǎn)分析。在此，有兩種方法可以考慮。其一是從威脅出發(fā)，對(duì)風(fēng)險(xiǎn)場(chǎng)景進(jìn)行建模，然后設(shè)計(jì)風(fēng)險(xiǎn)場(chǎng)景評(píng)估方法。例如，文獻(xiàn)[17]將適用于核安全的蝴蝶結(jié)方法與適用于網(wǎng)絡(luò)安全的AT方法相結(jié)合，建模風(fēng)險(xiǎn)場(chǎng)景，然后對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)。其二是從薄弱環(huán)節(jié)出發(fā)，對(duì)系統(tǒng)進(jìn)行建模，以識(shí)別不安全的控制行為，對(duì)不安全的控制行為進(jìn)行風(fēng)險(xiǎn)分析，例如基于STPA的方法。其中：前者關(guān)注組件故障，建模方法及形式簡(jiǎn)單，所考慮的威脅通常為已知威脅；后者建模過程相對(duì)復(fù)雜，建模相對(duì)困難，除了組件故障還考慮組件間的相互影響，除了已知威脅還可考慮未知威脅。

4 結(jié)論

計(jì)算機(jī)和網(wǎng)絡(luò)的核電數(shù)字化儀控系統(tǒng)在提高核電廠可靠性、降低使用和維護(hù)成本、便于運(yùn)行操作的同時(shí)，也存在遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。因此，需要使用合適的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法對(duì)其進(jìn)行風(fēng)險(xiǎn)分析。針對(duì)核電數(shù)字化儀控系統(tǒng)的網(wǎng)絡(luò)安全問題，國(guó)內(nèi)外發(fā)布了一系列標(biāo)準(zhǔn)和指南，作為有效開展網(wǎng)絡(luò)安全防護(hù)的要求和基礎(chǔ)。

本文將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法分為基于公式方法和基于模型方法(包括非圖形模型和圖形模型)這兩類進(jìn)行文獻(xiàn)綜述，并從動(dòng)態(tài)分析、風(fēng)險(xiǎn)評(píng)價(jià)、數(shù)據(jù)來源、核安全與網(wǎng)絡(luò)安全四個(gè)方面對(duì)核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法進(jìn)行了適用性分析，為核電數(shù)字化儀控系統(tǒng)選用適當(dāng)?shù)木W(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法提供了參考。