文档详细内容(约11页)
第17卷第5期 智能系统学报 Vol.17 No.5 2022年9月 CAAI Transactions on Intelligent Systems Sep.2022 D0:10.11992/tis.202107005 网络出版地址:https:/kns.cnki.net/kcms/detail/23.1538.TP.20220518.2144.012.html 基于云模型和组合权重的SCADA 系统安全风险评估研究 杨力,秦红梅,苏华文 (西南石油大学计算机科学学院,四川成都610500) 摘要:当前数据采集与监控系统(supervisory control and data acquisition,.SCADA)系统面临着巨大的安全威胁, 对其风险状况进行监测和评估是一项有效的应对措施。为有效处理评估过程中存在的模糊性和随机性问题, 将云模型理论引入SCADA系统安全风险评估中,提出了一种基于云模型和组合权重的安全风险评估模型。该 模型从SCADA系统的资产、威胁、脆弱性、安全措施4方面构建安全风险评估指标体系,采用最小二乘法求出 评估指标的最优组合权重,借助云发生器得到评估指标的云模型数字特征和SCADA系统的综合评估云,然后 基于黄金分割率构建标准评估云,同时结合改进的云相似度计算方法得出最终评估结果,最后通过实验验证了 模型的有效性和可行性。研究结果表明,该模型能够得到准确的评估结果,与模糊综合评价等方法相比,该评 估方法具备更高的可信性,评价效果更好。该方法不仅有助识别SCADA系统的安全风险威胁,而且为其他领 域的安全风险评估提供了一定的参考。 关键词:SCADA系统:安全风险评估;云模型;组合权重;云相似度;模糊性;随机性;云数字特征 中图分类号:TP399文献标志码:A文章编号:1673-4785(2022)05-0969-11 中文引用格式:杨力,秦红梅,苏华文.基于云模型和组合权重的SCADA系统安全风险评估研究.智能系统学报,2022, 17(5):969-979. 英文引用格式:YANG Li,QIN Hongmei,,SU Huawen.Research on security risk assessment of SCADA system based on the cloud model and combination weighting[J.CAAl transactions on intelligent systems,2022,17(5):969-979. Research on security risk assessment of SCADA system based on the cloud model and combination weighting YANG Li,QIN Hongmei,SU Huawen (School of Computer Science,Southwest Petroleum University,Chengdu 610500.China) Abstract:The current(supervisory control and data acquisition,SCADA)system faces a huge security threat,and mon- itoring and evaluating its risk status is an effective countermeasure.In this paper,a cloud model theory is introduced to the security risk assessment of the SCADA system,and a security risk assessment model is proposed based on the cloud model and combination weighting to effectively deal with the problem of ambiguity and randomness in the assessment process.Firstly,a security risk assessment index system is constructed from assets,threats,vulnerabilities,and security measures of a SCADA system,Then the least squares estimate is used to obtain optimal combination weighting,and the cloud digital characteristics are calculated with the help of cloud generator,to get comprehensive security risk assess- ment cloud.Next,according to the golden ratio,the standard evaluation cloud is constructed and combined with the im- proved cloud similarity calculation method to obtain the final evaluation result.Finally,the effectiveness and feasibility of the model are verified through experiments.The research results show that the model can obtain accurate evaluation results,and compared with the fuzzy comprehensive evaluation method,it shows that this method has higher credibility and better evaluation effect.This method not only helps in identifying security risk threats in the SCADA system but also provides a certain reference for security risk assessment in other fields. Keywords:SCADA system;security risk assessment;cloud model;combination weighting;cloud similarity;ambiguity; randomness;cloud digital characteristics 收稿日期:2021-07-05.网络出版日期:2022-05-19 数据采集与监控系统(supervisory control and 基金项目:国家自然科学基金项目(61175122):四川省科技计 划资助项目(2022 NSFSC0555). data acquisition,SCADA)系统是一个综合利用计 通信作者:杨力.E-mail:sexdyl@126.com 算机技术、控制技术和通信网络技术的数据采集
DOI: 10.11992/tis.202107005 网络出版地址: https://kns.cnki.net/kcms/detail/23.1538.TP.20220518.2144.012.html 基于云模型和组合权重的 SCADA 系统安全风险评估研究 杨力,秦红梅,苏华文 (西南石油大学 计算机科学学院,四川 成都 610500) 摘 要:当前数据采集与监控系统 (supervisory control and data acquisition, SCADA) 系统面临着巨大的安全威胁, 对其风险状况进行监测和评估是一项有效的应对措施。为有效处理评估过程中存在的模糊性和随机性问题, 将云模型理论引入 SCADA 系统安全风险评估中,提出了一种基于云模型和组合权重的安全风险评估模型。该 模型从 SCADA 系统的资产、威胁、脆弱性、安全措施 4 方面构建安全风险评估指标体系,采用最小二乘法求出 评估指标的最优组合权重,借助云发生器得到评估指标的云模型数字特征和 SCADA 系统的综合评估云,然后 基于黄金分割率构建标准评估云,同时结合改进的云相似度计算方法得出最终评估结果,最后通过实验验证了 模型的有效性和可行性。研究结果表明,该模型能够得到准确的评估结果,与模糊综合评价等方法相比,该评 估方法具备更高的可信性,评价效果更好。该方法不仅有助识别 SCADA 系统的安全风险威胁,而且为其他领 域的安全风险评估提供了一定的参考。 关键词:SCADA 系统;安全风险评估;云模型;组合权重;云相似度;模糊性;随机性;云数字特征 中图分类号:TP399 文献标志码:A 文章编号:1673−4785(2022)05−0969−11 中文引用格式:杨力, 秦红梅, 苏华文. 基于云模型和组合权重的 SCADA 系统安全风险评估研究 [J]. 智能系统学报, 2022, 17(5): 969–979. 英文引用格式:YANG Li, QIN Hongmei, SU Huawen. Research on security risk assessment of SCADA system based on the cloud model and combination weighting[J]. CAAI transactions on intelligent systems, 2022, 17(5): 969–979. Research on security risk assessment of SCADA system based on the cloud model and combination weighting YANG Li,QIN Hongmei,SU Huawen (School of Computer Science, Southwest Petroleum University, Chengdu 610500, China) Abstract: The current (supervisory control and data acquisition, SCADA) system faces a huge security threat, and monitoring and evaluating its risk status is an effective countermeasure. In this paper, a cloud model theory is introduced to the security risk assessment of the SCADA system, and a security risk assessment model is proposed based on the cloud model and combination weighting to effectively deal with the problem of ambiguity and randomness in the assessment process. Firstly, a security risk assessment index system is constructed from assets, threats, vulnerabilities, and security measures of a SCADA system, Then the least squares estimate is used to obtain optimal combination weighting, and the cloud digital characteristics are calculated with the help of cloud generator, to get comprehensive security risk assessment cloud. Next, according to the golden ratio, the standard evaluation cloud is constructed and combined with the improved cloud similarity calculation method to obtain the final evaluation result. Finally, the effectiveness and feasibility of the model are verified through experiments. The research results show that the model can obtain accurate evaluation results, and compared with the fuzzy comprehensive evaluation method, it shows that this method has higher credibility and better evaluation effect. This method not only helps in identifying security risk threats in the SCADA system but also provides a certain reference for security risk assessment in other fields. Keywords: SCADA system; security risk assessment; cloud model; combination weighting; cloud similarity; ambiguity; randomness; cloud digital characteristics 数据采集与监控系统 (supervisory control and data acquisition, SCADA) 系统是一个综合利用计 算机技术、控制技术和通信网络技术的数据采集 收稿日期:2021−07−05. 网络出版日期:2022−05−19. 基金项目:国家自然科学基金项目 (61175122);四川省科技计 划资助项目 (2022NSFSC0555). 通信作者:杨力. E-mail: scxdy1@126.com. 第 17 卷第 5 期 智 能 系 统 学 报 Vol.17 No.5 2022 年 9 月 CAAI Transactions on Intelligent Systems Sep. 2022
第17卷 智能系统学报 ·970· 与监视控制系统山,包含了上位机、下位机和数据 效集成,实现定性概念与其定量表示之间的转换, 通信网络3个部分,主要负责完成各种设备过程 比隶属函数具备更强的普适性和描述不确定性的 的自动控制、实时监控和数据采集,为安全生产、 能力。因此,本文提出了一种基于云模型和组合 调度、管理、优化和故障诊断提供了必要和完整 权重的SCADA系统安全风险评估模型,通过最 的数据及技术手段,在电力、冶金、石油、化工、 小二乘法求出组合权重,使权重的确定更加科学 铁路等领域应用十分广泛。 合理,再通过云模型的云发生器和相似度计算得 近年来,随着全球信息化和工业化融合进程 出综合风险评估结果,为SCADA系统的安全风 的不断加深,通用的软件、硬件、协议和技术越来 险评估研究提供一个新的途径。 越多地应用到工业生产领域)中,也将更多的漏 洞和威胁带人到SCADA系统中,使SCADA系统 1组合权重 面临着巨大的安全挑战。因此如何保障SCADA 评估指标的权重确定方法主要分为主观赋权 系统的安全已经成为当前国内外研究的热点问 和客观赋权两种。主观赋权依靠专家经验确定权 题,其中的一个重点就是如何对SCADA系统进 重,方法简单,在一定的程度上可以反映出实际 行安全评估,分析其安全现状。 情况,但人为主观性太强:客观赋权根据样本数 目前,国内外研究人员通常从定性、定量、定 据来确定权重,忽视了不同指标的重要程度,从 性与定量相结合三方面来对SCADA系统的安全 而可能导致权重结果与实际指标重要性相反。因 状况进行评估。定性评估方法具有较大的主观 此本文采用主客观组合赋权方法来克服单一赋权 性,无法给出量化的结论,系统安全状况之间的 方法的局限性,消除主客观偏差,降低信息损失, 差异很难区分。定量评估方法无法将所有的数据 使权重结果更加接近于实际结果。 信息完全量化,简化其过程又可能会导致评估结 1.1 主观权重 果产生误差。因此融合了二者优点的定性与定 采用层次分析法确定主观权重。层次分析法 量相结合的评估方法得到了更加广泛的应用,也 是将与决策相关的元素分解为目标、准则、指标等 取得了一定的成果,相关的研究方法包括了层次 层次,在此基础上进行定量和定性分析的方法。 分析法、模糊综合评估法、灰色评估等。例如姜 层次分析法的具体运算步骤如下: 莹莹等通过层次分析法(AHP),结合模糊综合 1)确定评估目标,建立层次分析模型。仔细 评估法对油气SCADA系统进行综合评估,得到 分析问题,逐层分解,确定问题的评估目标,建立 了系统的整体安全状况。Bian等通过改进的层 起目标、准则、指标三层评估模型。 次分析法和模糊综合评估法,从风险、公共、服务 2)构造判断矩阵。在指定上层某一元素的条 三方面进行网络安全态势的评估。Markovic-Pet- 件下,根据比较标度对本层的各元素进行两两比 rovic等提出了一种新的综合考虑了主客观因 较,建立起相应的判断矩阵。 素的模糊层次分析法,减少了主观性。Lⅰ等提 3)单层次计算并进行安全性判断,即层次单 出了一种基于熵权和灰色预测的SCADA系统通 排序。 信网络风险预测模型。万书亭等阁将变权模糊综 4)对判断矩阵进行一致性检验,计算出目标 合评估和灰色理论相结合构建出评估模型,实现 总排序。若一致性指标CR<0.1,则判断矩阵的一 了风电机组的性能评估。杨力等在综合分析油 致性可以接受,否则修正判断矩阵。 气SCADA系统的结构和安全威胁的基础上,提 1.2 客观权重 出了一种基于因素状态空间和模糊综合评估的新 采用嫡权法确定客观权重。嫡权法主要是根 型风险评估方法,以及将因素空间理论与MAT- 据指标信息熵的大小计算出相应指标的权重,某 LAB模糊逻辑工具结合得到Mamdani推理模型, 个指标的信息熵越小,表示其所含的信息量越 实现了SCADA系统的风险评估O 大,在评估中所起到的作用也就越大,所占权重 上述方法在评估过程中,大多采用单一权重 也越大;反之,指标信息嫡越大,所占权重越小。 和隶属函数,主观因素较强,且隶属函数在处理 具体运算步骤如下: 模糊现象时将模糊问题精确化,无法完整体现出 1)确定评估矩阵X。假设SCADA系统的评 评估过程中的不确定性,导致结果不够科学准 估指标有m个,每个指标有n个专家评估,x表示第 确。云模型能够将定性概念的模糊性和随机性有 个专家第j个指标的评估值
与监视控制系统[1] ,包含了上位机、下位机和数据 通信网络 3 个部分,主要负责完成各种设备过程 的自动控制、实时监控和数据采集,为安全生产、 调度、管理、优化和故障诊断提供了必要和完整 的数据及技术手段,在电力、冶金、石油、化工、 铁路等领域应用十分广泛。 近年来,随着全球信息化和工业化融合进程 的不断加深,通用的软件、硬件、协议和技术越来 越多地应用到工业生产领域[2] 中,也将更多的漏 洞和威胁带入到 SCADA 系统中,使 SCADA 系统 面临着巨大的安全挑战。因此如何保障 SCADA 系统的安全已经成为当前国内外研究的热点问 题,其中的一个重点就是如何对 SCADA 系统进 行安全评估,分析其安全现状。 目前,国内外研究人员通常从定性、定量、定 性与定量相结合三方面来对 SCADA 系统的安全 状况进行评估。定性评估方法具有较大的主观 性,无法给出量化的结论,系统安全状况之间的 差异很难区分。定量评估方法无法将所有的数据 信息完全量化,简化其过程又可能会导致评估结 果产生误差[3]。因此融合了二者优点的定性与定 量相结合的评估方法得到了更加广泛的应用,也 取得了一定的成果,相关的研究方法包括了层次 分析法、模糊综合评估法、灰色评估等。例如姜 莹莹等[4] 通过层次分析法 (AHP),结合模糊综合 评估法对油气 SCADA 系统进行综合评估,得到 了系统的整体安全状况。Bian 等 [5] 通过改进的层 次分析法和模糊综合评估法,从风险、公共、服务 三方面进行网络安全态势的评估。Markovic-Petrovic 等 [6] 提出了一种新的综合考虑了主客观因 素的模糊层次分析法,减少了主观性。Li 等 [7] 提 出了一种基于熵权和灰色预测的 SCADA 系统通 信网络风险预测模型。万书亭等[8] 将变权模糊综 合评估和灰色理论相结合构建出评估模型,实现 了风电机组的性能评估。杨力等[9] 在综合分析油 气 SCADA 系统的结构和安全威胁的基础上,提 出了一种基于因素状态空间和模糊综合评估的新 型风险评估方法,以及将因素空间理论与 MATLAB 模糊逻辑工具结合得到 Mamdani 推理模型, 实现了 SCADA 系统的风险评估[10]。 上述方法在评估过程中,大多采用单一权重 和隶属函数,主观因素较强,且隶属函数在处理 模糊现象时将模糊问题精确化,无法完整体现出 评估过程中的不确定性,导致结果不够科学准 确。云模型能够将定性概念的模糊性和随机性有 效集成,实现定性概念与其定量表示之间的转换, 比隶属函数具备更强的普适性和描述不确定性的 能力[11]。因此,本文提出了一种基于云模型和组合 权重的 SCADA 系统安全风险评估模型,通过最 小二乘法求出组合权重,使权重的确定更加科学 合理,再通过云模型的云发生器和相似度计算得 出综合风险评估结果,为 SCADA 系统的安全风 险评估研究提供一个新的途径。 1 组合权重 评估指标的权重确定方法主要分为主观赋权 和客观赋权两种。主观赋权依靠专家经验确定权 重,方法简单,在一定的程度上可以反映出实际 情况,但人为主观性太强;客观赋权根据样本数 据来确定权重,忽视了不同指标的重要程度,从 而可能导致权重结果与实际指标重要性相反。因 此本文采用主客观组合赋权方法来克服单一赋权 方法的局限性,消除主客观偏差,降低信息损失, 使权重结果更加接近于实际结果。 1.1 主观权重 采用层次分析法确定主观权重。层次分析法 是将与决策相关的元素分解为目标、准则、指标等 层次,在此基础上进行定量和定性分析的方法。 层次分析法的具体运算步骤如下[4] : 1) 确定评估目标,建立层次分析模型。仔细 分析问题,逐层分解,确定问题的评估目标,建立 起目标、准则、指标三层评估模型。 2) 构造判断矩阵。在指定上层某一元素的条 件下,根据比较标度对本层的各元素进行两两比 较,建立起相应的判断矩阵。 3) 单层次计算并进行安全性判断,即层次单 排序。 4) 对判断矩阵进行一致性检验,计算出目标 总排序。若一致性指标 CR<0.1,则判断矩阵的一 致性可以接受,否则修正判断矩阵。 1.2 客观权重 采用熵权法确定客观权重。熵权法主要是根 据指标信息熵的大小计算出相应指标的权重,某 个指标的信息熵越小,表示其所含的信息量越 大,在评估中所起到的作用也就越大,所占权重 也越大;反之,指标信息熵越大,所占权重越小。 具体运算步骤如下[7] : X m n xi j i j 1) 确定评估矩阵 。假设 SCADA 系统的评 估指标有 个,每个指标有 个专家评估, 表示第 个专家第 个指标的评估值。 第 17 卷 智 能 系 统 学 报 ·970·
·971· 杨力,等:基于云模型和组合权重的SCADA系统安全风险评估研究 第5期 2)对评估矩阵X进行标准化处理,得到矩阵Y。 w=A-1 B+ 1-ETA-BE (8) x-min(x) ETA-E 为= (1) max(xj)-min(xj) 3)计算指标的信息嫡。 2云模型 云模型是由李德毅等)在概率论和模糊数学 (2) 理论的基础上提出的用于处理某个定性概念与其 定量表示的不确定性转换模型。它利用3个数字 e=- ∑P,lnp) (3) 特征来描述定性概念,主要反映出概念的模糊性 4)计算出指标客观权重。 和随机性,并将二者完全集成在一起,构成概念 1-ej 内涵和概念外延之间的转换。目前云模型已经广 (4) 2a- 泛应用于众多领域行业中,例如陈圆超等将云 模型与级差最大化组合赋权相结合用以综合评估 1.3组合权重优化模型 矿井通风系统。张仕斌等针对复杂网络交易环境 利用一定的数学优化模型对主客观权重进行 中的信任问题,引入云模型进行可信度评估。受 有机组合得到的最优权重值,就是组合权重。本文 此启发,将云模型应用于SCADA系统的安全风 充分考虑影响SCADA系统风险大小的多种因素, 险评估中,能够有效克服过程中的不确定性,使 选择最小二乘法优化模型计算出最优组合权重值。 评估结果更加科学可信。 假设主观权重值为wc=[wcwc2…wcmJ,客 2.1云模型数字特征 观权重值为ws=[ws1ws2…WSmJT,组合权重值为 云模型用期望Ex、熵En和超嫡He3个数字特 w=[w2…wmJT,评估矩阵X标准化处理之后得 征来整体表征一个概念。 到的矩阵Y=ylm,其中n表示评估数据条数, 期望Ex是云滴在论域空间中分布的数学期 m表示评估指标个数,根据最小二乘法构造出最 望,是最能代表定性概念的点。距离期望越近, 优组合权重的目标函数和约束条件如下: 云滴就越集中,对概念的认知就越统一。 minf(w)= 22ioe-mr+oyw刊 熵E是对定性概念不确定性的度量,定性概 念的随机性和模糊性共同决定,既反映了云滴的 w=1,w≥0 离散程度,也反映了云滴的取值范围。 超嫡H是熵的不确定性度量,是嫡的嫡,表 (5) 示为云的厚度。 利用拉格朗日乘子法求解上述目标函数,偏 2.2云发生器 导方程组转化为矩阵形式如下: 云发生器是用来实现不确定性概念中定性与 [会F (6) 定量之间转换的算法,是云模型中最关键的部分, 其中: 主要分为正向云发生器和逆向云发生器,本文主 E=[11…1 要利用二阶正态云发生器。 正向云发生器是由云的数字特征Ex、En、He产 生定量的数值,即云滴,其算法过程如算法1 ∑6wG1+n 所示。 2 算法1正向云发生器算法 户0wc+w22 (7) 输入(Ex,En,He)和要生成的云滴个数W B= 2 输出(x,),i=1,2,…,N 1)生成以En为期望,He2为方差的一个正态随 了wcn+wsa2 机数y,=Rw(En,He): 2 2)生成以Ex为期望,y为方差的一个正态随 w=[w1w2…wnJT 机数x=Rw(Ex,): 对式(6)、(⑦)进行推导,得到最优组合权重为 3)计算确定度4:
2) 对评估矩阵 X 进行标准化处理,得到矩阵 Y。 yi j = xi j −min(xj) max(xj)−min(xj) (1) 3) 计算指标的信息熵。 pi j = yi j ∑n i=1 yi j (2) ej = − 1 lnn ∑n i=1 pi j ln(pi j) (3) 4) 计算出指标客观权重。 wsj = 1−ej ∑m j=1 (1−ej) (4) 1.3 组合权重优化模型 利用一定的数学优化模型对主客观权重进行 有机组合得到的最优权重值,就是组合权重。本文 充分考虑影响 SCADA 系统风险大小的多种因素, 选择最小二乘法优化模型计算出最优组合权重值。 wc = [wc1 wc2 ··· wcm] T ws = [ws1 ws2 ··· wsm] T w = [w1 w2 ··· wm] T X Y = [yi j]n×m n m 假设主观权重值为 ,客 观权重值为 ,组合权重值为 ,评估矩阵 标准化处理之后得 到的矩阵 ,其中 表示评估数据条数, 表示评估指标个数,根据最小二乘法构造出最 优组合权重的目标函数和约束条件如下: min f(w) = ∑n i=1 ∑m j=1 { [(wcj −wj)yi j] 2 +[(wsj −wj)yi j] 2 } s.t. ∑m j=1 wj = 1,wj ⩾ 0 (5) 利用拉格朗日乘子法求解上述目标函数,偏 导方程组转化为矩阵形式如下: [ A E E T 0 ] × [ w λ ] = [ B 1 ] (6) 其中: E = [1 1 ··· 1] T A = diag ∑n i=1 y 2 i1 ∑n i=1 y 2 i2 ··· ∑n i=1 y 2 im B = ∑n i=1 (wc1 +ws1)y 2 i1 2 ∑n i=1 (wc2 +ws2)y 2 i2 2 . . . ∑n i=1 (wcm +wsm)y 2 im 2 w = [w1 w2 ··· wm] T (7) 对式 (6)、(7) 进行推导,得到最优组合权重为 w = A −1 [ B+ 1− E TA −1B ETA−1E E ] (8) 2 云模型 云模型是由李德毅等[11] 在概率论和模糊数学 理论的基础上提出的用于处理某个定性概念与其 定量表示的不确定性转换模型。它利用 3 个数字 特征来描述定性概念,主要反映出概念的模糊性 和随机性,并将二者完全集成在一起,构成概念 内涵和概念外延之间的转换。目前云模型已经广 泛应用于众多领域行业中,例如陈圆超等[12] 将云 模型与级差最大化组合赋权相结合用以综合评估 矿井通风系统。张仕斌等[13] 针对复杂网络交易环境 中的信任问题,引入云模型进行可信度评估。受 此启发,将云模型应用于 SCADA 系统的安全风 险评估中,能够有效克服过程中的不确定性,使 评估结果更加科学可信。 2.1 云模型数字特征 云模型用期望 Ex 、熵 En 和超熵 He 3 个数字特 征来整体表征一个概念[11]。 期望 Ex 是云滴在论域空间中分布的数学期 望,是最能代表定性概念的点。距离期望越近, 云滴就越集中,对概念的认知就越统一。 熵 En 是对定性概念不确定性的度量,定性概 念的随机性和模糊性共同决定,既反映了云滴的 离散程度,也反映了云滴的取值范围。 超熵 He 是熵的不确定性度量,是熵的熵,表 示为云的厚度。 2.2 云发生器 云发生器是用来实现不确定性概念中定性与 定量之间转换的算法,是云模型中最关键的部分, 主要分为正向云发生器和逆向云发生器,本文主 要利用二阶正态云发生器。 正向云发生器是由云的数字特征 Ex、En、He 产 生定量的数值,即云滴,其算法过程如算法 1 所示。 算法 1 正向云发生器算法 输入 (Ex,En,He) 和要生成的云滴个数 N (xi 输出 ,ui), i = 1,2,··· ,N En He2 yi = RN(En,He) 1) 生成以 为期望, 为方差的一个正态随 机数 ; Ex y 2 i xi = RN(Ex, yi) 2) 生成以 为期望, 为方差的一个正态随 机数 ; 3) 计算确定度ui: ·971· 杨力,等:基于云模型和组合权重的 SCADA 系统安全风险评估研究 第 5 期
第17卷 智能系统学报 ·972· u=exp &-Ex)2 4)计算样本方差S2,如果S2-E2<0,转步骤 (9) 2y 5),反之转步骤6): 4)具有确定度4,的:,成为云的一个云滴; 5)重复步骤1)到4),直到生成N个云滴组成云。 s2- (12) 逆向云发生器是将一定数量的精确数据转换 5)删除当前样本中距离期望Ex最近的一个云 为以数字特征表示的定性概念。现有的逆向云发 滴样本后转步骤4): 生器算法可分为有确定度和无确定度两种。刘常 6)计算超嫡He=VS2-En2。 昱等于2004年根据一阶样本绝对中心距和样 本方差提出了一种经典的无确定度逆向云算法, 3 SCADA系统安全风险评估模型 然而该方法在SCADA系统安全风险评估计算过 3.1 SCADA系统安全风险评估指标体系 程中可能会出现样本方差过小或者嫡的估计值过 对SCADA系统进行安全风险评估,首先要分 大的情况,导致计算出的超嫡估计值会出现虚数。 析建立起科学全面的评估指标体系。本文依据 因此引入文献[15]改进的算法,具体过程如 GB/T29084-2007等标准规范、相关单位风险评 算法2所示。 估报告和前人的研究,详细分析了SCADA系统 算法2逆向云发生器算法 的基本结构以及系统所存在的薄弱点和问题,初 输入样本点x,i=1,2,…,n 步构建出评估指标体系,再采用delphi法和实地 输出数字特征(Ex,En,He)估计值 调研对指标进行合理性验证,最终从可能受影响 1)根据样本点x计算出相应的样本均值及: 的资产、威胁、脆弱性、安全措施4个方面构建出 (10) 包含4个一级评估指标(准则层)和22个二级指 n 标(指标层)的SCADA系统安全风险指标体系, 2)计算期望Ex=; 如图1所示。与现有的指标体系相比,本文所构 3)计算嫡En: 建的指标体系更加全面和客观,综合考虑了SCADA En= 11) 系统中影响安全的各种重要因素,安全事件发生 的不同阶段下保护措施配置情况,通用性更强。 SCADA系统安全风险评价A 威胁分析B 资产分析B 脆弱性分析B, 安全措施B 内 内 外 第 环 境威胁 有意威 部攻 威胁 方威 数据资产 硬 物 件资 威胁 件资产 资产 务资产 其他资产 环境 用安 主机安全 络安 数据安全C 应用中间件 管理安全 前防 前响 事后取 C C2 C 运维安全编 C C a C C 图1 SCADA系统安全风险评估指标体系 Fig.1 SCADA system safety risk assessment index system 自然环境威胁包括断电、静电、灰尘、潮湿、 和职责不明确等问题而导致的失误和系统被攻 温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、 击。外部攻击包括黑客、恐怖分子、敌对势力和 意外事故等环境危害或自然灾害。内部有意威胁 敌对国家等外部人员利用系统的脆弱性对系统进 包括不满的或有预谋的内部人员对系统重要信息 行破坏以获取利益。第三方威胁包括承包商或第 进行恶意窃取、泄露和破坏。内部无意威胁包括 三方平台存在的漏洞或后门被恶意利用等。 内部人员由于不注意或不遵循规章制度和操作流 数据资产包括源代码、控制台实时数据、应 程而导致故障、信息泄露和权限滥用等,以及内 用程序数据、数据库数据、操作产品/用户手册等 部人员由于缺乏培训、专业技能不足、规章制度 电子文档、生产运行计划和报告、各类纸质文档
ui = exp( − (xi −Ex) 2 2y 2 i ) (9) 4) 具有确定度ui的xi成为云的一个云滴; 5) 重复步骤 1) 到 4),直到生成 N 个云滴组成云。 逆向云发生器是将一定数量的精确数据转换 为以数字特征表示的定性概念。现有的逆向云发 生器算法可分为有确定度和无确定度两种。刘常 昱等[14] 于 2004 年根据一阶样本绝对中心距和样 本方差提出了一种经典的无确定度逆向云算法, 然而该方法在 SCADA 系统安全风险评估计算过 程中可能会出现样本方差过小或者熵的估计值过 大的情况,导致计算出的超熵估计值会出现虚数。 因此引入文献 [15] 改进的算法,具体过程如 算法 2 所示。 算法 2 逆向云发生器算法 xi 输入 样本点 , i = 1,2,··· ,n 输出 数字特征 (Ex,En,He) 估计值 xi 1) 根据样本点 计算出相应的样本均值 X¯: X¯ = 1 n ∑n i=1 xi (10) 2) 计算期望 Ex = X¯ ; 3) 计算熵 En: En = √ π 2 × 1 n ∑n i=1 |xi −Ex| (11) S 2 S 2 −En2 4) 计算样本方差 ,如果 < 0 ,转步骤 5),反之转步骤 6); S 2 = 1 n−1 ∑n i=1 (xi − X¯ 2 ) (12) 5) 删除当前样本中距离期望 Ex 最近的一个云 滴样本后转步骤 4); He = √ S 2 −En2 6) 计算超熵 。 3 SCADA 系统安全风险评估模型 3.1 SCADA 系统安全风险评估指标体系 对 SCADA 系统进行安全风险评估,首先要分 析建立起科学全面的评估指标体系。本文依据 GB/T 29084–2007 等标准规范、相关单位风险评 估报告和前人的研究,详细分析了 SCADA 系统 的基本结构以及系统所存在的薄弱点和问题,初 步构建出评估指标体系,再采用 delphi 法和实地 调研对指标进行合理性验证,最终从可能受影响 的资产、威胁、脆弱性、安全措施 4 个方面构建出 包含 4 个一级评估指标 (准则层) 和 22 个二级指 标 (指标层) 的 SCADA 系统安全风险指标体系, 如图 1 所示。与现有的指标体系相比,本文所构 建的指标体系更加全面和客观,综合考虑了 SCADA 系统中影响安全的各种重要因素,安全事件发生 的不同阶段下保护措施配置情况,通用性更强。 SCADA 系统安全风险评价 A 威胁分析 B1 资产分析 脆弱性分析 B3 B2 安全措施 B4 物 理 环 境 C31 应 用 安 全 C32 主 机 安 全 C33 网 络 安 全 C34 数 据 安 全 C35 应 用 中 间 件 C36 管 理 安 全 C37 运 维 安 全 C38 自 然 环 境 威 胁 C11 内 部 有 意 威 胁 C12 内 部 无 意 威 胁 C13 外 部 攻 击 威 胁 C14 第 三 方 威 胁 C15 事 前 防 御 C41 数 据 资 产 C21 硬 件 资 产 C22 软 件 资 产 C23 人 员 资 产 C24 服 务 资 产 C25 其 他 资 产 C26 事 前 响 应 C42 事 后 取 证 C43 图 1 SCADA 系统安全风险评估指标体系 Fig. 1 SCADA system safety risk assessment index system 自然环境威胁包括断电、静电、灰尘、潮湿、 温度、鼠蚁虫害、电磁干扰、洪灾、 火灾、地震、 意外事故等环境危害或自然灾害。内部有意威胁 包括不满的或有预谋的内部人员对系统重要信息 进行恶意窃取、泄露和破坏。内部无意威胁包括 内部人员由于不注意或不遵循规章制度和操作流 程而导致故障、信息泄露和权限滥用等,以及内 部人员由于缺乏培训、专业技能不足、规章制度 和职责不明确等问题而导致的失误和系统被攻 击。外部攻击包括黑客、恐怖分子、敌对势力和 敌对国家等外部人员利用系统的脆弱性对系统进 行破坏以获取利益。第三方威胁包括承包商或第 三方平台存在的漏洞或后门被恶意利用等。 数据资产包括源代码、控制台实时数据、应 用程序数据、数据库数据、操作/产品/用户手册等 电子文档、生产运行计划和报告、各类纸质文档 第 17 卷 智 能 系 统 学 报 ·972·
·973· 杨力,等:基于云模型和组合权重的SCADA系统安全风险评估研究 第5期 等。硬件资产包括PLC、DCS、RTU等现场控制 性、协议安全、数据完整性等。管理安全需要从 设备,路由器、网关、交换机等网络设备,防火墙、 安全策略、资产分类与控制、人员安全、系统开发 入侵检测系统等安全设备,服务器、工作站、小型 与维护等方面进行识别,运维安全需要从配置管 机等计算机设备,磁盘阵列、移动硬盘、光盘等存 理、密码管理、变更管理、外包运维管理等方面进 储设备,光纤、双绞线等传输线路,空调、文件 行识别。 柜、门禁等保障设备,以及打印机、传真等其他设 3.2标准评估云 备。软件资产包括数据库系统、上位组态和监控 安全风险评估结果的确定与评语的划分等级 软件、操作系统等系统软件,远程控制软件、数据 密切相关。根据实际情况,首先将SCADA系统 库软件、工具软件、OPC等应用软件,各种源程 的安全风险评估结果划分为低风险、较低风险、 序。人员资产包括运维人员、系统调试人员、安 全管理人员等。服务资产包括对外开展的各类信 中风险、较高风险、高风险5个等级,对应的评分 息服务、各种网络设备等提供的网络服务、各类 值取值范围设定为[0,1],数值越高,说明风险越 管理信息系统提供的办公服务。其他资产包括客 高,安全性就越差,然后基于黄金分割率的定性 户关系、企业公众形象等。 变量云化方法6和算法1计算不同等级的云滴群 脆弱性分析中物理环境主要从防盗、防火、防 的确定度,构建出标准评估云。 静电、电磁防护等方面进行识别;应用、主机、网 基于黄金分割率的变量云化方法的计算规则 络和数据安全除了从安全审计、访问控制、身份 如表1所示,其中B和Bx对应于评分取值范围, 鉴别等方面进行识别,还需要分别从应用健壮 He3为常数,视具体情况取值,本文中He3=0.008, 性、通信的完整性和保密性、人侵防范、恶意代码 根据此计算规则计算得出具体各等级的数字特征 防范、数据传输完整性和保密性、网络边界隔离 值如表2所示,同时根据表2构建出相应的标准 等方面进行识别。应用中间件需要识别交易完整 评估云,如图2所示。 表1标准评估云计算规则 Table 1 Standard Evaluation Cloud Computing Rules Ex值 En值 He值 EX1=Bmin En2 En1=0.618 He, He= 0.618 Ex=Ex,-0.382(B-Bm) 0.382(Bmax-Bmim) En,= 2 6 e,=068 Hes EX3=Bms+Bmin 2 En3=0.618En4 He; Ex=Ex3 0.382(Bman-Bmn) 0.382(Bmax-Bmin) He3 Hea= 2 Ena= 6 0.618 Exs Bmax Ena Ens= 0.618 Hes= Hea 0.618 表2各风险评估等级云数字特征 ·低风险·较低风险·中风险·较高风险·高风险 Table 2 Cloud digital characteristics at different risk as- 1.0 sessment levels 风险等级 云模型数字特征 低风险 (0,0104,0.021) 0.4 较低风险 (0.31,0.064,0.013) 0 中风险 (0.5,0.04,0.008) 0.2 0.4 0.60.81.0 较高风险 评价值 (0.69.0.064,0.013) 高风险 图2标准评估云 (1,0.104.0.021) Fig.2 Standard evaluation cloud
等。硬件资产包括 PLC、DCS、RTU 等现场控制 设备,路由器、网关、交换机等网络设备,防火墙、 入侵检测系统等安全设备,服务器、工作站、小型 机等计算机设备,磁盘阵列、移动硬盘、光盘等存 储设备,光纤、双绞线等传输线路,空调、文件 柜、门禁等保障设备,以及打印机、传真等其他设 备。软件资产包括数据库系统、上位组态和监控 软件、操作系统等系统软件,远程控制软件、数据 库软件、工具软件、OPC 等应用软件,各种源程 序。人员资产包括运维人员、系统调试人员、安 全管理人员等。服务资产包括对外开展的各类信 息服务、各种网络设备等提供的网络服务、各类 管理信息系统提供的办公服务。其他资产包括客 户关系、企业公众形象等。 脆弱性分析中物理环境主要从防盗、防火、防 静电、电磁防护等方面进行识别;应用、主机、网 络和数据安全除了从安全审计、访问控制、身份 鉴别等方面进行识别,还需要分别从应用健壮 性、通信的完整性和保密性、入侵防范、恶意代码 防范、数据传输完整性和保密性、网络边界隔离 等方面进行识别。应用中间件需要识别交易完整 性、协议安全、数据完整性等。管理安全需要从 安全策略、资产分类与控制、人员安全、系统开发 与维护等方面进行识别,运维安全需要从配置管 理、密码管理、变更管理、外包运维管理等方面进 行识别。 3.2 标准评估云 安全风险评估结果的确定与评语的划分等级 密切相关。根据实际情况,首先将 SCADA 系统 的安全风险评估结果划分为低风险、较低风险、 中风险、较高风险、高风险 5 个等级,对应的评分 值取值范围设定为 [0, 1],数值越高,说明风险越 高,安全性就越差,然后基于黄金分割率的定性 变量云化方法[16] 和算法 1 计算不同等级的云滴群 的确定度,构建出标准评估云。 Bmin Bmax He3 He3 = 0.008 基于黄金分割率的变量云化方法的计算规则 如表 1 所示,其中 和 对应于评分取值范围, 为常数,视具体情况取值,本文中 , 根据此计算规则计算得出具体各等级的数字特征 值如表 2 所示,同时根据表 2 构建出相应的标准 评估云,如图 2 所示。 表 1 标准评估云计算规则 Table 1 Standard Evaluation Cloud Computing Rules Ex 值 En 值 He 值 Ex1 = Bmin En1 = En2 0.618 He1 = He2 0.618 Ex2 = Ex3 − 0.382(Bmax − Bmin) 2 En2 = 0.382(Bmax − Bmin) 6 He2 = He3 0.618 Ex3 = Bmax + Bmin 2 En3 = 0.618En4 He3 Ex4 = Ex3 + 0.382(Bmax − Bmin) 2 En4 = 0.382(Bmax − Bmin) 6 He4 = He3 0.618 Ex5 = Bmax En5 = En4 0.618 He5 = He4 0.618 表 2 各风险评估等级云数字特征 Table 2 Cloud digital characteristics at different risk assessment levels 风险等级 云模型数字特征 低风险 (0,0.104,0.021) 较低风险 (0.31,0.064,0.013) 中风险 (0.5,0.04,0.008) 较高风险 (0.69,0.064,0.013) 高风险 (1,0.104,0.021) 0.2 0.4 0.6 0.8 1.0 评价值 0 0.2 0.4 0.6 0.8 1.0 确定度 低风险 较低风险 中风险 较高风险 高风险 图 2 标准评估云 Fig. 2 Standard evaluation cloud ·973· 杨力,等:基于云模型和组合权重的 SCADA 系统安全风险评估研究 第 5 期
