基于层次分析与灰色模糊理论的工控系统信息安全防护能力评估方法

◆夏 冀 范科峰 李 琳

基于层次分析与灰色模糊理论的工控系统信息安全防护能力评估方法

◆夏 冀 范科峰 李 琳

（中国电子技术标准化研究院 北京 100007）

工控系统广泛应用于交通、电力、石化等国家重要领域。作为控制核心，一旦其发生安全事故，将严重影响人民生命财产安全，危害社会稳定。针对工控系统开展信息安全评估，可有效发现风险隐患，提升工业企业安全防护能力，故已成为当前工控系统信息安全领域研究的热点。本文针对已有评估方法存在的评估专家评分主观因素对结果影响较大、评估结果仅是单一分值、无法对风险隐患给出危险等级建议等问题，提出一种工控系统信息安全评估新方法，该方法采用层次分析法综合识别评估因子权重比和专家打分权重比，结合灰色模糊理论构建各评估因子风险等级矩阵，评判了各评估因子的风险等级隶属度，最后通过该矩阵与评估因子权重比，得出工控系统信息安全防护能力等级。经分析，本文所提方法，结合层次分析和灰色模糊理论，可在一定程度上避免评估专家对评估结果主观的影响，提高了评估结果的客观性和有效性。同时，本方法可精确标识各评估因子风险权值，识别企业工控系统高危风险隐患，有利于工控系统的安全防患。

工控系统；信息安全；层次分析法；灰色模糊理论；评估因子

随着工业4.0和工业互联网的不断推进，工业企业以往自成体系且封闭独立的系统逐渐走向开放。工业控制系统（以下简称“工控系统”）与互联网的深入融合为工业生产带来极大便利的同时也带来诸多问题。进入21世纪以来，能源行业、水利行业、交通运输业等发生过数十起针对工控系统的重大安全事件，对企业和国家造成了巨大的经济损失。面对工控系统信息安全越发严峻的形势，世界各国政府都采取了相应措施。美国在过去十年间对国内近50个重点行业的工业企业进行安全评估，得出工业企业的安全风险分析及安全加固建议；中国近些年开展了工业行业信息安全风险评估工作，对电力、能源、轨道交通等行业或企业的信息安全防护水平进行了评估。这些措施旨在运用科学的方法和手段，系统地分析和诊断工控系统所面临的威胁及其存在的脆弱性。企业根据评估结果提出有针对性的抵御威胁的防护对策和整改措施，提升工控系统的“预防”能力[1]。

工控系统是指工业生产控制各业务环节涉及的有关人员、软硬件系统和平台。包括但不限于：可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监控系统（SCADA）等工业生产控制系统；制造执行系统（MES）、企业资源计划系统（ERP）等工业生产调度与管理信息系统。目前国内外学者对工控系统信息安全评估已有较深入研究，在评估的量化方面积累了丰富经验。Xie等[2-3]以贝叶斯网络为模型，结合专家知识用概率方法对各评估因子进行描述，可评估系统整体风险和单因子风险。刘琼等[4]基于层次分析法对信息安全评估进行研究，较好地处理了各种评估因子间的权重关系，但评估结果中专家的主观性较强。Xiao等[5-7]使用模糊层次分析法，降低客观事物的内部复杂关系对评估准确性的影响，一定程度上弥补了层次分析法的缺点[8-9]，但也未考虑专家打分的主观因素对评估结果的影响。

工控系统种类繁多、结构复杂，对其信息安全防护能力评估需考虑以下问题：一是评估因子在工控系统中的重要性受多种因素影响，包括系统所属行业、系统所处地点等；二是评估因子得分最终依赖于专家的经验，专家打分有偏差会影响评估结果的准确性[10-11]。综上，本文提出一种基于层次分析与灰色模糊理论的工控系统信息安全防护能力评估方法，通过层次分析法，针对不同工控系统计算其各自的评估因子权重，并利用灰色模糊理论，综合考虑各因子专家评分及各专家权重，得出系统的风险等级，以降低专家主观因素对评估结果的影响。

1 工控系统信息安全评估流程

基于层次分析与灰色模糊理论的工控系统信息安全评估流程如图1所示。

1.1 评估模型

安全评估目的在于发现工业企业安全薄弱点、提高安全防护能力。本文参考国家标准《工业控制系统安全控制应用指南》GB/T 32919-2016的安全控制项[12]，总结工控系统在安全管理、安全运维、安全技术三个维度的风险隐患[13]，以此搭建评估模型，如图2所示。模型从左到右依次为评估目标、评估维度和评估因子。

评估时需要专家根据系统的实际情况对各项评估因子进行打分。为提高打分的准确性，实际评估时需为每项因子制定评分要求。比如：软件安全需在系统内所有的工业主机上安装防病毒或者白名单软件，软件应来源正规，并定期更新病毒库或白名单规则。

图1 评估流程

1.2 评分等级

将评分等级定为5个风险级，分别为：强风险级、高风险级、中风险级、低风险级、弱风险级，如表1所示。强风险级代表该系统完全不符合该项评估因子的要求，系统处于高危状态；高风险级代表系统完成该项评估因子少量的要求，系统处于危险状态；中风险级代表系统完成该项评估因子半数的要求；低风险级代表系统完成该项评估因子大部分的要求，系统尚存风险；弱风险级代表系统完成该项评估因子的所有要求，系统比较安全。

1.3 评估因子权重比

（1）重要性程度

根据层次分析法[14-15]，将评估因子进行两两对比并且量化。两因子对比结果分为相同，稍强，较强，明显强，绝对强，用数字1-9进行量化，如表2所示。

图2 评估模型

表1 评分等级

表2 重要性程度

（2）构建比较矩阵

每次选取两个评估因子和进行比较，用a来表示，因子重要性对比的结果，构建比较矩阵：

（3）一致性检验

计算一致性指标CI：

表3 根据n查找一致性指标RI

计算一致性比例：

当<0.10时，比较矩阵的一致性可以接受，否则应对该矩阵做出修改。

（4）计算权重向量

根据以下公式采用方根法计算权重向量：

1.4 专家评估

评估现场情况复杂，不同专家对同一评估因子的理解不同，打分结果会存在较大差异。传统的安全评估未考虑评估专家打分的主观因素，使评估工作过度依赖于每位专家的经验及专业知识。若某位专家的评分严重失常，将最终影响评估结果的准确性和可信性。

因此，专家打分结束后应组织内部讨论，得出每位专家本次评分的权重比，方法同2.3。以此弱化打分过程中的主观因素，使评估结果更为合理和可信。

评估组得出专家评分权重比为：

根据2.2已确定的5个风险级，现将白化权函数规定如下[16]：

强风险级白化权函数：

高风险级白化权函数：

中风险级白化权函数：

低风险级白化权函数：

弱风险级白化权函数：

定义1：灰色统计值，表示评估因子处于某个风险级下的可能性。灰色统计值越大，处于该风险级的可能性越大，评估因子在风险级下的灰色统计值表示为，计算方法如下：

评估因子在强风险级下的灰色统计值为：

评估因子在高风险级下的灰色统计值为：

评估因子在中风险级下的灰色统计值为：

评估因子在低风险级下的灰色统计值为：

评估因子在弱风险级下的灰色统计值为：

评估因子灰色统计值的和为：

评估因子的灰色权向量为

其中，评估因子最大灰色权重值对应的级别即为该因子的风险级。同理，可求得其余各评估因子的灰色权向量，则个评估因子的灰色权矩阵为：

1.5 结果分析

定义3：综合评估向量，该工业企业最终评估结果称为综合评估向量，表示为。计算方法如下：

定义4：危险值，灰色权矩阵中某评估因子最大概率值与该因子权重值的乘积为该因子的危险值。处在同一风险级下的评估因子，按照该值高低排序，值越高代表应优先考虑在该方面改进。

2 实例分析

2.1 现场评估

为验证本文所提方法的科学有效性，针对发电行业浙江某公司开展工控系统信息安全防护能力综合评估，获取评估数据，验证评估结果。首先组织评估组，包括专家10人，其中4名信息安全风险评估人员、3名发电行业技术人员、3名工控系统信息安全人员。确定评估范围为：SIS系统和机组的DCS系统。SIS系统实现对所属发电机组运行状态、运行参数、设备异常状况等实时信息的采集和展示，DCS系统完成机组数据采集、控制和保护功能。

评估专家组首先确定评估因子权重比，比较矩阵如下：

计算比较矩阵的一致性比例：

由于该值小于0.1，因此，该评估矩阵的一致性可以接受，计算得各评估因子的权重比如下：

=（0.056，0.041，0.033，0.050，0.235，0.183，0.110，0.085，0.041，0.064，0.081，0.021）

由上可得，身份认证和边界防护的权重比明显高于其他因子。这是因为，一般的工控系统攻击行为分为三个阶段：发起阶段、作用阶段和结果阶段。其中突破关键设备的身份认证是发起阶段的核心环节，建立合理的身份认证制度且落实、对关键设备采用多因素认证，可有效防范非法攻击行为。

保证工控系统信息安全最终是为了保障企业生产正常进行、不引起生产事故。通过对工控网络、企业内网和互联网之间的边界进行防护，可在一定程度上避免发生大规模生产事故。

因此，该权重比是符合实际的。

专家对SIS系统和DCS系统的设备安全、数据安全、身份认证、边界防护等情况进行评估，依据评估要求进行打分。具体评分如表4所示。

表4 评分表

由表4可见，远程访问和配置与补丁的评分极不稳定。其中第4位专家和第9位专家对远程访问的评分有较大差异，第1位专家和第5位专家对配置与补丁的评分有较大差异。本次评估中，第1位专家对所有评估因子的评分偏高，第5位专家对所有评估因子的评分偏低。其中第1位专家是信息安全风险评估人员，他以对待传统信息安全的要求看待工控网络，认为该工控系统风险较高；第5位专家是发电行业技术人员，对信息安全的了解不够全面，其认为该系统的关键设备比较安全，风险较低。

为降低各个专家评估时的主观因素，现评估组对打分表进行赋值，得出专家评分权重比。比较矩阵如下：

计算比较矩阵的一致性比例：

由于该值小于0.1，因此，该评估矩阵的一致性可以接受，计算得各专家评分的权重比如下：

=（0.033，0.211，0.152，0.088，0.046，0.044，0.126，0.070，0.147，0.083）

根据专家打分表，可得设备安全属于强风险级的灰色统计值为：

其中代表评估因子设备安全。同理可得设备安全属于其他风险级的灰色统计值为：

进而得设备安全的灰色权向量为：

同理求得其余各评估因子的灰色权向量，则12个评估因子的灰色权矩阵为：

2.2 评估结果

通过现场评估得出专家打分表、专家评分权重、评估因子权重和灰色权矩阵，则该电厂的综合评估向量为：

强风险级、高风险级、中风险级、低风险级和弱风险级的概率依次为0.03616、0.10602、0.29480、0.54176、0.00861。评估结果表明，该电厂的SIS系统和DCS系统处于低风险级，系统尚存一些风险，仍需继续改进。

该电厂为通过信息安全等级保护三级测评，结合该电厂信息系统实际情况，开展了部分信息安全防护工作。目前该电厂DCS系统和SIS系统均已通过等保三级，故其整体风险较低，与本文评估结果相符。

处于高风险级的三项评估因子分别为：数据安全、软件安全和配置与补丁。计算其危险值为：

根据危险值排序，该系统的配置与补丁方面应优先考虑改进提升，然后依次为数据安全、软件安全。

若采用未考虑专家打分权重的算法，则灰色权矩阵为：

如图3所示，未考虑专家打分权重时，配置与补丁处在强风险级、高风险级和中风险级的概率分别为0.20、0.31和0.42，显示该因子处于中风险级。而电厂工业主机普遍未做安全配置、未及时更新补丁，该因子应处于高风险级。

造成结果有偏差的原因如下：第4，5名专家在该次评估中的打分普遍偏低，与实际不符；第1名专家的打分普遍偏高，与实际不符。若不考虑专家打分权重，配置与补丁由实际的高风险级转向中风险级，影响最终结果的准确性和可信性。

图3 配置与补丁对比图

若采用未考虑评估因子权重的算法，则处于高风险级的三项评估因子危险值为：

如表5所示，未考虑评估因子权重时，危险值排序由高到低为数据安全、配置与补丁和软件安全。电厂的数据安全主要风险如下：部分重要数据在动态传输时未经加密，原因是该数据对实时性要求较高；电厂未对测试数据进行保护等。电厂的配置与补丁主要风险包括：工业主机、工业控制网络未做安全配置，未建立相应配置清单；遇到重大工控安全漏洞并未及时采取措施，补丁安装前未进行安全测试等。经过对比，配置与补丁的改进优先级明显高于数据安全，综合考虑评估因子权重的危险值排序较为符合实际。

表5 未考虑评估因子权重时危险值排序

3 结束语

为解决不同工控系统评估因子重要性不同和个别专家主观评分影响评估结果的问题，本文提出基于层次分析和灰色模糊理论的工控系统信息安全评估方法，并通过实例验证了本方法的可行性和准确性。在传统灰色模糊理论中结合专家评分权重的优势在于能避免专家打分对评估结果的主观影响，提高评估的可信性。识别企业的高危风险隐患时考虑评估因子权重，这可以增加评估结果的客观性。

本文在评估模型部分只给出了十二项评估因子，并未对每项评估因子的具体要求进行研究。后续将针对不同的工业行业分别制定评估因子的详细要求，为专家评分提供直观依据。

[1]Piggin R，Stjohn-Green M，Mcdermid J A，et al. Combined security and safety risk assessment - what needs to be done for ICS and IoT[C]// Iet System Safety and Cyber Security. 2015.

[2]Xie P，Li J H，Ou X，et al. Using Bayesian networks for cyber security analysis[C]// Ieee/ifip International Conference on Dependable Systems and Networks. IEEE，2010：211-220.

[3]Wang L，Wang B，Peng Y. Research the information security risk assessment technique based on Bayesian network[C]// International Conference on Advanced Computer Theory and Engineering. IEEE，2010：V3-600-V3-604.

[4]刘琼.基于层次分析法的风险评估系统的研究与设计[D].西安电子科技大学，2009.

[5]Xiao L，Qi Y，Li Q. Information Security Risk Assessment Based on Analytic Hierarchy Process and Fuzzy Comprehensive[C]// International Conference on Risk Management & Engineering Management. IEEE Computer Society，2008：404-409.

[6]卢慧康，陈冬青，彭勇，等.工控系统信息安全风险评估量化研究[J].自动化仪表，2014，35（10）：21-25.

[7]Liu D L，Yang S S. An Information System Security Risk Assessment Model Based on Fuzzy Analytic Hierarchy Process[J]. 2009：1-4.

[8]Yong P，Jiang C，Feng X，et al. Industrial control system cybersecurity research[J].Qinghua Daxue Xuebao/journal of Tsinghua University，2012，52（10）：1396-1408.

[9]付沙，廖明华，肖叶枝.模糊层次分析法在信息安全领域中的研究探索[J].情报学报，2012，31（10）：1105-1109.

[10]CQ JIA，DQ Feng. Security assessment for industrial control systems based on fuzzy analytic hierarchy process[J]. Journal of Zhejiang University （Engineering Science Edition）， 2016，50（4）：759-765.

[11]Ge H H，Zheng S H，Chen T P，et al. Fuzzy risk assessment of information security threat scenario[J]. Journal of Beijing University of Posts & Telecommunications，2013，36（6）：89-68.

[12]GB/T 32919-2016，信息安全技术工控系统安全控制应用指南[S].北京：中国标准出版社，2016.

[13]Xia C M. Industrial Control System Security Analysis[J]. Information Security & Technology，2013.

[14]Guo J Y，Zhong-Bin E Z，Engineer S，et al. Study and Applications of Analytic Hierarchy Process[J].China Safety Science Journal，2008，47（1）：148-153.

[15]Deng X，Jia-Ming L I，Zeng H J，et al. Research on Computation Methods of AHP Wight Vector and Its Applications[J]. Mathematics in Practice & Theory，2012.

[16]Dong F Y，Xiao M D，Liu B，et al. Construction Method of Whitenization Weight Function in Grey System Teaching[J]. Journal of North China Institute of Water Conservancy & Hydroelectric Power，2010.

工信部工业转型升级专项（工信部规[2017]333号），工信部智能制造专项（“个性化定制关键技术标准研究与试验验证”项目）。