工業(yè)控制系統的安全功能失效不僅會(huì )由威脅主體通過(guò)網(wǎng)絡(luò )攻擊實(shí)現，也可能由系統內部引起，因此工業(yè)控制系統的功能安全和信息安全在一定程度上并不是獨立的，建立一套有效的綜合安全量化評估體系有助于及時(shí)了解工業(yè)控制系統的安全指標，并及時(shí)預防安全事故的發(fā)生。

為了建立綜合安全量化評估體系，要先闡述功能安全與信息安全的區別。各個(gè)領(lǐng)域的研究專(zhuān)家對功能安全與信息安全的認識存在誤差，根據美國國家標準與技術(shù)研究所（National Institute of Standards and Technology，NIST）發(fā)布的NISTSP-80053（聯(lián)邦政府信息和組織的安全控制措施），將ICS信息安全與功能安全的區別簡(jiǎn)要闡述，如表1所示?？梢钥闯?，功能安全與信息安全最主要的區別是功能安全的威脅來(lái)自?xún)炔?，由系統硬件失效或人為誤操作造成，而信息安全的威脅來(lái)自系統外部的黑客攻擊等行為。

表1 功能安全與信息安全屬性對比

搞清楚功能安全與信息安全的區別，有助于在建立工業(yè)控制系統模型時(shí)綜合考慮兩者的影響，進(jìn)而給出對工業(yè)控制系統最全面的安全量化。

2.1 層次化模型

在基于模糊層次分析法的工業(yè)控制系統安全量化評估中，最主要的是建立層次化模型。在國標GB/T20984-2007中明確指出，將信息安全風(fēng)險分析分為資產(chǎn)、脆弱性和威脅3個(gè)方面，攻擊者利用信息系統的脆弱性對系統構成安全威脅，并讓系統本身的資產(chǎn)受到損失。

層次分析法（Analytic Hierarchy Process，AHP）是美國運籌學(xué)專(zhuān)家SattyTL最先提出的，是一種處理復雜系統的多準則決策手段。在典型的層次化分析法中，將整個(gè)系統分為目標層、要素層和評價(jià)層，類(lèi)比信息安全分析的資產(chǎn)、威脅和脆弱性3要素，將層次分析法中的評價(jià)層表示為系統受到的各種安全攻擊，將要素層表示為系統的各種設備，將目標層表示為系統的最終安全評價(jià)值。

應用于實(shí)際的工業(yè)控制系統時(shí)，由于系統的復雜性，要先確定系統的網(wǎng)絡(luò )結構，從而對要分析的要素和評估對象有更深的認識。根據國家標準GB/T26333-201中提出的工控現場(chǎng)層次結構，將系統劃分成企業(yè)管理層、過(guò)程監控層和現場(chǎng)設備層3個(gè)層次，如圖1所示。由于過(guò)程監控層和現場(chǎng)設備層與工業(yè)控制領(lǐng)域密切相關(guān)，因此在實(shí)際分析時(shí)，將采用過(guò)程監控層和現場(chǎng)設備層作為系統的分析重點(diǎn)。

圖1 典型工業(yè)控制系統層次結構

2.2 攻擊樹(shù)模型

2.2.1 攻擊樹(shù)模型的基本概念

攻擊樹(shù)模型是Schneider在20世紀末提出來(lái)的一種用于描述系統所受攻擊的形象化方法，采用樹(shù)形結構描述整個(gè)系統，將葉節點(diǎn)表示為具體的攻擊事件，將根節點(diǎn)表示為最終被攻擊的目標。除了最下層的葉子節點(diǎn)外，其余節點(diǎn)分為AND與OR兩種類(lèi)型。在A(yíng)ND類(lèi)型中，只要將根節點(diǎn)的下一層的所有葉子都完成，才能到達根節點(diǎn)。相反，在OR類(lèi)型中，只需完成任何一個(gè)葉子節點(diǎn)，就可以完成對根節點(diǎn)的攻擊。攻擊樹(shù)模型的AND與OR圖形化表示方法如圖2所示。

圖2 攻擊樹(shù)模型的AND與OR圖形化表示方法

2.2.2 擊樹(shù)模型葉子節點(diǎn)概率值的計算

在風(fēng)險評估中，經(jīng)常用攻擊事件所造成的損失與攻擊事件發(fā)生的概率值的乘積作為風(fēng)險的評估值R，即：

在進(jìn)行根節點(diǎn)概率值計算時(shí)，要對葉子節點(diǎn)進(jìn)行指標量化。根據美國工業(yè)控制系統安全指南中所定義的攻擊事件發(fā)生的概率受到攻擊成本、攻擊難度和攻擊被發(fā)現的可能性3個(gè)因素的影響，。在計算每一個(gè)葉子節點(diǎn)的概率值時(shí)，需考慮這3個(gè)屬性。根據多屬性效用原理，將以上3個(gè)屬性轉化成效用值，便可得到每個(gè)葉子節點(diǎn)的概率值計算公式，即：

式（2）中，表示發(fā)生概率，與分別表示攻擊成本權重、攻擊難度權重和被發(fā)現的可能性權重，3個(gè)權重的和為1。在實(shí)例分析中，將采用模糊層次分析法確定這3個(gè)權重的具體值。分別表示攻擊事件的成本、難度和可能被發(fā)現的等級。、和分別代表攻擊成本、攻擊難度和攻擊被發(fā)現可能性的效用值。進(jìn)一步分析可以得出，、與與效用值成反比例關(guān)系。為了簡(jiǎn)化分析，這里取。

2.2.3 節點(diǎn)概率值的計算

在求得每個(gè)葉子節點(diǎn)的概率值后，便可求出根節點(diǎn)的概率值，下面分成AND與OR兩種情況討論：

（1）AND節點(diǎn)的概率值是各葉子節點(diǎn)概率值的乘積，即：

（2）OR節點(diǎn)是各葉子節點(diǎn)發(fā)生概率的最大值，即：

將FAHP運用到工業(yè)控制系統中解決實(shí)際的安全量化問(wèn)題，一般分為4個(gè)步驟：（1）根據具體問(wèn)題建立層次化分析模型；（2）構建評價(jià)層元素對要素層和要素層對目標層的兩兩判別矩陣；（3）由判別矩陣計算被比較元素的相對權重；（4）計算評價(jià)層與要素層的各元素的組合權重。

3.1 建立典型工控現場(chǎng)的層次化模型

以某電力設備系統為研究對象，對過(guò)程監控層和現場(chǎng)設備層建立如圖3所示的基于FAPH的工控系統層次化分析模型。目標層是工控系統的安全評估值，要素層是圖1中的各種系統設備，包括工程師站、操作員站、PLC和各種傳感器流量計以及無(wú)線(xiàn)設備。

圖3 基于FAHP的工控系統層次化分析模型

3.2 構建兩兩判別矩陣

在完成對系統的層次化建模后，要定量分析每一層元素遭到破壞后對上一層元素的影響，進(jìn)而建立元素的相對重要性判別矩陣。為此，將采用0.1～0.9共9個(gè)標度給兩個(gè)元素的相對重要性賦值，如表2所示。

表2　元素優(yōu)先關(guān)系數值標度表

評價(jià)層的5種安全威脅的特殊性，使其對要素層某一設備的影響存在較大差異。根據表2可以建立5種攻擊方式對設備層的影響判別矩陣。以OPC服務(wù)器為例，受到來(lái)自評價(jià)層的5種攻擊方式的影響，根據受到攻擊后所造成的影響進(jìn)行判別賦值。數據篡改能夠讓攻擊者獲取OPC服務(wù)器的核心數據，且整個(gè)攻擊過(guò)程不易被發(fā)掘，將造成嚴重危害。拒絕服務(wù)讓OPC服務(wù)器失去對下層系統的控制能力，造成信息混亂等影響，但是這種讓系統失去控制能力的攻擊容易被發(fā)現，相應可以采取補救措施，影響相對較小。竊聽(tīng)攻擊將導致OPC系統的數據被盜，相比數據篡改直接讓系統癱瘓來(lái)說(shuō)影響較小。蠕蟲(chóng)與木馬可以對OPC的服務(wù)程序進(jìn)行修改，使其喪失一部分的能力。

根據上述分析，邀請4位專(zhuān)家分別對這5種攻擊對OPC服務(wù)器的影響根據表2分別進(jìn)行賦值，得到判別賦值表如表3所示。表3中，每一個(gè)單元格包含4個(gè)元素，是4位專(zhuān)家對重要性的判別賦值，取單元格相同位置的元素組成判別矩陣。邀請多位專(zhuān)家是為了避免專(zhuān)家在評判過(guò)程中的主觀(guān)隨意性，使得評判的結果更具有說(shuō)服力。

表3 OPC服務(wù)器評價(jià)指標重要性賦值

根據表3可以得到OPC服務(wù)器的4個(gè)判別矩陣：

同理，可以得到其他要素層各個(gè)系統設備的4個(gè)判別矩陣。根據要素層設備受到攻擊后對目標層的影響大小，同樣可以建立要素層對目標層的判別矩陣。工程師站受到攻擊后對目標層的影響明顯大于操作員站；PLC對系統造成的損失很難被發(fā)現，且PLC是系統的下行可控制單元，相比工程師站來(lái)說(shuō)更加重要。根據同樣的思路，建立要素層各設備的重要性賦值表得到判別矩陣，同樣讓4位專(zhuān)家進(jìn)行評分，這里僅列出了某一位專(zhuān)家的判別矩陣：

在進(jìn)行下一步前，要對上述得到的判別矩陣進(jìn)行一致性檢驗，判斷矩陣是否符合一致性要求。如果不符合，需要進(jìn)行調整，步驟如下。

（1）計算矩陣的一致性指標：

是矩陣的最大特征值，n是矩陣的階數。

（2）查找隨機一致性指標RI，RI的取值如表4所示。

表4　1～10階一致性指標

（3）計算一致性比率，當滿(mǎn)足時(shí)，認為判別矩陣滿(mǎn)足要求，否則需要調整。

本例中的判別矩陣與的矩陣最大特征分別為5.112、5.024、5.403、5.276，矩陣階數n為5，RI根據表4得到為1.12，計算得到一致性比率CR分別為0.025、0.005、0.089和0.061，滿(mǎn)足一致性檢驗的要求。按照同樣的方法檢驗其余矩陣，若不滿(mǎn)足要求進(jìn)行相應的調整，最終得到所有的判別矩陣。

3.3 計算本層各元素對上層元素的權重

為了進(jìn)一步減少專(zhuān)家評價(jià)的主觀(guān)性，這里將判別矩陣進(jìn)行模糊化處理，得到模糊一致判別矩陣，利用式（11）和式（12）完成對矩陣的模糊化處理。得到模糊一致矩陣后，利用式（13）可以計算評價(jià)層中的指標（如拒絕服務(wù)指標）對要素層系統設備（如OPC服務(wù)器）的權重。

式（13）中參數滿(mǎn)足，并與權重的差異度成反比，即當時(shí)，各風(fēng)險因素相對權重的差異度達到最大。本例中n=5，得到=2。將上述得到的判別矩陣、、和進(jìn)行模糊化處理，得到模糊一直矩陣。取第一個(gè)專(zhuān)家的模糊判別矩陣，進(jìn)行分析，利用式（13）計算對OPC服務(wù)器的相對權重，得。同理，得到另外4種攻擊方式對OPC服務(wù)器的相對權重，得，進(jìn)而得到OPC服務(wù)器5個(gè)攻擊指標組合成的權重向量=[0.162,0.145,0.234,0.191,0.268]。以此類(lèi)推，根據其余3位專(zhuān)家的模糊判別矩陣，得到OPC服務(wù)器的5個(gè)攻擊指標的權重向量如下所示：

對上述得到的4個(gè)權值向量，按照相同位置取平均的方式得到最終的拒絕服務(wù)攻擊對OPC服務(wù)器的權值向量：

按照同樣的步驟，可以求出5種攻擊方式對要素層其余設施的權重向量以及要素層對目標層F的權重向量：

分析完每個(gè)要素對上一層的權重后，根據式（28）求出評價(jià)層各風(fēng)險元素對目標層F的綜合權重，整個(gè)計算過(guò)程如表5所示。

表5 評價(jià)層各風(fēng)險元素對目標層的綜合權重

得綜合權重：

風(fēng)險權重較大的是拒絕服務(wù)與數據篡改。對5種攻擊方式建立攻擊樹(shù)模型，定量分析每種攻擊方式所發(fā)生的概率。

根據2.2節的分析得知，系統發(fā)生風(fēng)險的概率受到攻擊成本、攻擊難度和攻擊被發(fā)現的可能性的影響。在上述分析中已經(jīng)得出各種攻擊方式對目標層的綜合權重，在建立攻擊樹(shù)模型時(shí)，直接將目標層作為攻擊節點(diǎn)。建立攻擊樹(shù)模型如圖4所示，由于5種攻擊方式都可直接對系統造成影響，采用圖2中的OR節點(diǎn)建立整個(gè)系統攻擊樹(shù)模型，并運用模糊層次分析法確定攻擊成本、攻擊難度和攻擊被發(fā)現的可能性的相對權重。

圖4 攻擊樹(shù)模型

圖4中，分別代表5種攻擊方式，、分別代表攻擊成本、攻擊難度和攻擊被發(fā)現的可能性。以數據篡改為例，從攻擊者的角度看，他/她更希望這次數據篡改的攻擊不易被發(fā)現，其權重大于攻擊成本與攻擊難度。攻擊難度的增加會(huì )降低整個(gè)攻擊事件的概率，相較于攻擊成本來(lái)說(shuō)權重略低。

采用模糊層次分析法的思路，建立模糊判別矩陣，并進(jìn)行一致性檢驗，得到3個(gè)影響因素的相對權重這里僅給出最終的分析結果。

對于攻擊難度、攻擊成本和被發(fā)現的可能性的等級評分標準，如表6所示。

表6 等級評分標準

在具體應用時(shí)，評估人員根據具體情況給出等級得分。在本工業(yè)控制系統中，邀請了多位專(zhuān)家給出等級得分，最后采用取平均值的方式給出具體的得分情況。在5種攻擊方式中，數據篡改的難度最大，成本較高，也很難被發(fā)現，相應的3個(gè)等級為5、4、1，其余4種攻擊的等級評分如表7所示。

表7 攻擊方式的等級評分

根據式（2）可以求得各種攻擊方式的攻擊概率分別為0.269 0、0.439 3、0.396 8、0.3940和0.384 3。由于這幾種攻擊發(fā)生的概率沒(méi)有確定的相互獨立關(guān)系，所以它們的和不是1。層次分析法中得到各個(gè)攻擊要素的權重為：

本文將權重與概率的乘積作為評價(jià)層5種攻擊方式的最終風(fēng)險值，結果分別為0.0607、0.0825、0.0829、0.0713和0.0753，據此得出最大可能的威脅攻擊是竊聽(tīng)攻擊和數據篡改，因此應著(zhù)重加強對竊聽(tīng)攻擊和數據篡改的防范。

本文針對工業(yè)控制系統安全量化評估的問(wèn)題，提出了一種將模糊層次分析法與攻擊樹(shù)相結合的方法。模糊層次分析法通過(guò)建立模糊判別矩陣，減小了專(zhuān)家的主觀(guān)因素，通過(guò)對多位專(zhuān)家所得到的權值向量取平均的群決策方式，進(jìn)一步減少了專(zhuān)家評判的主觀(guān)性。對工業(yè)控制信息安全與功能安全相結合的問(wèn)題，本文將拒絕服務(wù)、竊聽(tīng)攻擊、數據篡改、蠕蟲(chóng)木馬與系統硬件失效共同作為整個(gè)系統的威脅因素，建立層次化分析模型。建立攻擊樹(shù)，對系統安全威脅事件所發(fā)生的概率進(jìn)行量化分析，最終綜合考慮安全事件發(fā)生的概率與權值來(lái)定量分析系統的風(fēng)險。

后續可在以下方面繼續進(jìn)行深入研究：（1）在定量分析中，專(zhuān)家的評判結果會(huì )受到主觀(guān)因素的影響，本文僅僅通過(guò)對專(zhuān)家的評判結果取平均的方式確定了最終的威脅因素權重，如何建立更加有效量化方式是接下來(lái)的研究重點(diǎn)；（2）面對工業(yè)控制系統的復雜性，如何建立更加全面的層次化分析模型需要進(jìn)一步思考；（3）本文著(zhù)重考慮5種威脅因素各自對系統的影響，并未涉及到系統在受到5種威脅下的綜合安全量化值，是下一步研究的重點(diǎn)。