摘 ?要：在對風(fēng)險評估理論研究的基礎(chǔ)上，提出了基于改進層次分析法的SCADA系統(tǒng)信息安全風(fēng)險評估方法。首先建立了ACADA系統(tǒng)信息安全風(fēng)險評估層次結(jié)構(gòu)模型，分為管理和技術(shù)兩大類。然后針對傳統(tǒng)層次分析法中通過兩兩比較法構(gòu)造判斷矩陣難以符合一致性要求的問題，進行了一定的改進，提出通過排序賦值法構(gòu)造判斷矩陣，通過改進層次分析法和熵權(quán)法計算出各評價指標(biāo)權(quán)值。最后將以上方法用于對自來水廠SCADA系統(tǒng)信息安全風(fēng)險評估。

關(guān)鍵詞：SCADA系統(tǒng);信息安全風(fēng)險評估;層次分析法

中圖分類號：TP309 ? ?文獻標(biāo)識碼：A文章編號：2096-4706（2021）13-0133-03

Research and Application of SCADA System Information Security Risk Assessment

LI Dan

（Hubei University of Technology， Wuhan ?430068， China）

Abstract： Based on the research of risk assessment theory， an information security risk assessment method of SCADA system based on improved analytic hierarchy process is proposed. Firstly， the hierarchical structure model of information security risk assessment of ACADA system is established， which is divided into two categories of management and technology. Then， aimming at the problem that the judgment matrix constructed by paired comparison method in the traditional analytic hierarchy process is difficult to meet the consistency requirements， some improvements are made. The construction of judgment matrix by sorting assignment method is proposed， and the weight of each evaluation index is calculated by improved analytic hierarchy process and the entropy weight method. Finally， the above methods are used to evaluate the information security risk of SCADA system in waterworks.

Keywords： SCADA system; information security risk assessment; analytic hierarchy process

0 ?引 ?言

數(shù)據(jù)采集與監(jiān)控系統(tǒng)（Supervisory Control And Data Acquisition， SCADA）是眾多大型工業(yè)生產(chǎn)與各國基礎(chǔ)設(shè)施的控制系統(tǒng)，主要應(yīng)用于石油、化工、天然氣、電力、先進制造、鐵路、城市供水供熱等行業(yè)，這些領(lǐng)域與民生國計都息息相關(guān)，是我們衡量一個國家工業(yè)化程度的重要標(biāo)志。

近年來，工業(yè)SCADA系統(tǒng)受到攻擊的頻率越來越多，發(fā)生了很多重大信息安全事件[1]，例如：2001年澳大利亞昆士蘭州的污水處理廠遭受黑客攻擊，造成污水橫流，給自然環(huán)境造成極大的負擔(dān);2008年南美洲某國的電網(wǎng)控制系統(tǒng)遭到黑客控制，導(dǎo)致電網(wǎng)停止工作，給國民經(jīng)濟造成損失;2013年美國天然氣管道公司被黑客入侵，盜取重要的系統(tǒng)數(shù)據(jù)資料，給燃氣公司造成極大威脅。

信息安全風(fēng)險評估的方法主要圍繞著解決四類問題，即量化、不確定性、實時性和關(guān)聯(lián)性[2]。層次分析法是解決風(fēng)險評估的量化問題，他能夠全面系統(tǒng)的對信息系統(tǒng)存在的問題進行評估，但層次分析法在評估指標(biāo)過多時，采用兩兩比較法構(gòu)造的判斷矩陣難以符合一致性要求。

鑒于此，文章在對傳統(tǒng)層次分析法進行改進的基礎(chǔ)上，對SCADA系統(tǒng)開展較為全面的信息安全風(fēng)險評估，

1 ?信息安全風(fēng)險評估層次結(jié)構(gòu)模型

1.1 ?信息安全風(fēng)險評估基礎(chǔ)框架

信息安全風(fēng)險值是衡量安全事件發(fā)生后對信息系統(tǒng)產(chǎn)生影響的一個定量值，風(fēng)險值的計算是在完成資產(chǎn)識別、威脅識別和脆弱性識別后，采用適當(dāng)?shù)臄?shù)學(xué)計算方法來確定的。更具體地將說，信息安全風(fēng)險值應(yīng)該是由信息安全事件發(fā)生的可能性及其發(fā)生后所造成的影響兩個方面來確定的[3]。因此風(fēng)險值的計算公式為：

R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））

在以上計算風(fēng)險值的公式中，R表示計算風(fēng)險值的函數(shù)，A表示被評估對象所涉及的資產(chǎn)，T表示面臨的威脅，V表示評估對象存在的脆弱性。威脅利用資產(chǎn)所存在的脆弱點的可能性用函數(shù)L表示，一旦成功利用后所造成的損失用函數(shù)F表示，其中Ia表示安全事件所涉及的資產(chǎn)價值，Va表示該資產(chǎn)的脆弱性嚴(yán)重程度。

1.2 ?信息安全風(fēng)險評估層次結(jié)構(gòu)模型

構(gòu)建層次結(jié)構(gòu)模型是層次分析法的第一步，是緊接著構(gòu)造判斷矩陣的前提條件。該風(fēng)險評估層次結(jié)構(gòu)模型的構(gòu)建堅持全面性、獨立性與實用性的原則[4]，即所構(gòu)建的評估指標(biāo)能夠既全面又精準(zhǔn)的反映系統(tǒng)的信息安全狀況，指標(biāo)之間獨立無重疊，能夠確實應(yīng)用到SCADA信息系統(tǒng)的風(fēng)險評估。共包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界方面，一級評價指標(biāo)10項，二級評價指標(biāo)72項，每個評估指標(biāo)的評估內(nèi)容均不同。如圖1所示。

2 ?SCADA系統(tǒng)信息安全風(fēng)險評估

2.1 ?層次分析法的缺陷與改進

層次分析法美國運籌學(xué)家T.L.Saaty在20世紀(jì)70年代提出一種層次化、結(jié)構(gòu)化決策方法[5]，分為建立層次結(jié)構(gòu)模型、構(gòu)造判斷矩陣、計算權(quán)向量并做一致性檢驗、計算總排序權(quán)值幾個步驟。在實際應(yīng)用過程中，當(dāng)判斷矩陣的階數(shù)較多時，參評專家在對指標(biāo)的前后兩兩對比評價時容易產(chǎn)生邏輯矛盾，難以構(gòu)造符合一致性要求的判斷矩陣。針對該問題，本文提出通過排序賦值法構(gòu)造判斷矩陣。

假設(shè)現(xiàn)在需要對評價指標(biāo)X1，X2，X3，X4，…Xn構(gòu)造判斷矩陣A。

首先請參評專家對各評價指標(biāo)的重要性進行排序。y1，y2，y3，y4，…yn分別為指標(biāo)X1，X2，X3，X4，…Xn的排名序號，則有Y={y1，y2，y3，y4，…yn}，這樣可以消除邏輯上的不一致性。

然后在排序之后根據(jù)排序結(jié)果構(gòu)造判斷矩陣。由于排名表示著各指標(biāo)的重要性，指標(biāo)越重要，排序越靠后，本文采用排名的差值來表示重要性程度的比較，判斷矩陣的每個元素的具體值，可以通過如下公式來計算。

當(dāng)i>j時，

當(dāng)i=j時，aij=1

當(dāng)i

2.2 ?熵權(quán)法計算綜合評價指標(biāo)權(quán)值

相較于層次分析法主觀賦權(quán)法，熵權(quán)法是一種客觀賦權(quán)方法。本文通過層次分析法計算一位專家的指標(biāo)權(quán)值，通過熵權(quán)法綜合多名專家的指標(biāo)權(quán)值，最終得到一組較客觀的指標(biāo)權(quán)值。

下面具體介紹如何利用熵權(quán)法來綜合多名專家的指標(biāo)權(quán)值：

假設(shè)現(xiàn)在邀請的m位專家所構(gòu)造的判斷矩陣求得的指標(biāo)權(quán)值分別為W1，W2，W3，W4，…Wm，基于這些權(quán)值，作為熵權(quán)法的樣本數(shù)據(jù)，可以計算出m名專家的權(quán)重，最后得到n個評價指標(biāo)X1，X2，X3，X4，…Xn的綜合權(quán)值。

首先我們將m組權(quán)值安列排列用來構(gòu)造原始矩陣Z：

然后將原始矩陣進行數(shù)據(jù)標(biāo)準(zhǔn)化。第一步按列求原始矩陣最小值a;第二步按列求原始矩陣最大值b;第三步求標(biāo)準(zhǔn)矩陣Y：

，（i=1，2，3…n;j=1，2，3…m）

接著根據(jù)標(biāo)準(zhǔn)矩陣求各專家信息熵。第一步按列求和s;第二步求標(biāo)準(zhǔn)矩陣Y與和s的比值;第三步求信息熵E：

，（j=1，2，3…m）

最后計算綜合權(quán)重。由信息熵E計算專家權(quán)重W，由專家權(quán)重W和指標(biāo)權(quán)值Z可以求得指標(biāo)綜合權(quán)值C：

，（i=1，2，3…m）

C=WZT

3 ?應(yīng)用示例

本文將某自來水廠SCADA系統(tǒng)作為評估對象，對提出的風(fēng)險評估方法進行可行性的驗證。

3.1 ?對評價指標(biāo)進行排序賦值

由于評價指標(biāo)較多，在次只介紹專家對第一次指標(biāo)的排序情況。專家A1對第一層指標(biāo)排序后得到矩陣Y1=[1，2，2，1，3，3，4，4，5，5]。

3.2 ?根據(jù)排序賦值計算指標(biāo)權(quán)值

通過和積法計算特征值和特征向量，然后歸一化處理可得到評價指標(biāo)權(quán)值為：

W1=[0.219 4 ?0.129 5 ?0.129 5 ?0.206 6 ?0.078 9 ?0.078 9 ?0.048 1 ?0048 1 ?0.030 5 ?0.030 5]

同理計算其他權(quán)值。

3.3 ?熵權(quán)法計算指標(biāo)綜合權(quán)值

根據(jù)第2節(jié)介紹的方法，由原始評價指標(biāo)權(quán)重Z求得六位專家權(quán)重為：

W=[0.174 5 ?0.186 5 ?0.152 7 ?0.171 5 ?;0.171 4 ?0.143 4]

結(jié)合專家權(quán)重向量W與原始評價指標(biāo)權(quán)重Z求得一級測評項目下的10個指標(biāo)的層次權(quán)重為：

C=[0.183 1 ?0.157 5 ?0.120 8 ?0.204 5 ?0.072 9 ?0.058

5 ?0.048 1 ?0.056 6 ?0.039 4 ?0.058 6]

3.4 根據(jù)底層指標(biāo)值計算安全值

底層指標(biāo)值的獲取采取現(xiàn)場測評的方式，這里需要得到資產(chǎn)、威脅、脆弱性的具體賦值。傳統(tǒng)計算方式是采用“相乘發(fā)”計算風(fēng)險值。針對第1個二級指標(biāo)，資產(chǎn)重要性賦值A(chǔ)=5，威脅發(fā)生頻率賦值T=3，脆弱性賦值V1=2，V2=1，V3=1，V4=2。通過計算可以得到風(fēng)險值R421為2.783 2，R422為1.968 0，R423為1.968 0，R424為2.783 2。風(fēng)險值R為1-5標(biāo)度的反向值，R越大，安全性越差。本文計算的評估值E為百分制的正向值，因此需要公式（6-R）× 20將風(fēng)險值轉(zhuǎn)為評估值，為72.488 0。同理可以計算出其余71個二級測評指標(biāo)的評估值。然后逐層求解風(fēng)險值，計算出10個一級指標(biāo)安全值En和1個綜合安全值E。經(jīng)計算該水廠SCADA系統(tǒng)信息安全綜合值為70.57，安全級別屬于中等偏上。

3.5 ?結(jié)果分析

該水廠風(fēng)險評估的安全值為70.57，安全程度處于中等偏上，存在一定的安全隱患。從計算結(jié)果可以看出，重點應(yīng)該從計算環(huán)境、管理中心、管理人員、運維管理4個方面采取適當(dāng)防護措施，提高系統(tǒng)安全性。

計算環(huán)境方面測評存在最大的風(fēng)險是SCADA系統(tǒng)身份鑒別機制單一，主要是通過賬戶密碼登錄，并且密碼簡單不經(jīng)常更換，容易導(dǎo)致賬戶信息泄露。因此需要設(shè)置復(fù)雜的賬戶密碼并定期更換，必要時采用“雙因子”進行身份鑒別。

管理中心方面測評存在最大的風(fēng)險與計算環(huán)境方面的風(fēng)險具有一致性，應(yīng)對系統(tǒng)管理員和審計管理員的身份進行鑒別，并規(guī)定其工作職責(zé)和任務(wù)。

管理人員方面測評存在最大的風(fēng)險是對已經(jīng)離職的人員，沒有及時終止其所有訪問權(quán)限，可能后期被利益交易、不法利用，給單位造成不可估量的損失。因此需要在人事變動時，對離崗人員辦理好交接手續(xù)，簽訂相關(guān)保密協(xié)議，取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備，刪除賬戶信息。另外工作人員的安全意識也是非常重要的一個方面，需要定期開展安全意識培訓(xùn)工作。

運維管理方面測評存在最大的風(fēng)險是主機操作系統(tǒng)的安全軟件沒有更新，可能會被惡意代碼利用，讓主機失去正常工作性能。因此需要安裝防惡意代碼軟件的同時定期進行升級和更新防惡意代碼庫。

4 ?結(jié) ?論

本文構(gòu)建了SCADA系統(tǒng)信息安全風(fēng)險評估的層次結(jié)構(gòu)模型，然后采用對評價指標(biāo)排序賦值的方法，構(gòu)造了符合一致性要求的判斷矩陣，提高了工作效率。信息安全風(fēng)險是動態(tài)變化的，本文采用的層次分析法不能動態(tài)開展評估工作，只能重復(fù)性評估達到實時了解系統(tǒng)安全狀況，由于風(fēng)險評估工作數(shù)據(jù)量大，計算復(fù)雜，完成風(fēng)險評估結(jié)果的分析需要花費大量時間。因此可以開發(fā)一個評估系統(tǒng)，將計算工作交給電腦來處理，可以解放人力，提高工作效率。

參考文獻：

[1] 郭昊，何小蕓，孫學(xué)潔，等.國家電網(wǎng)邊緣計算應(yīng)用安全風(fēng)險評估研究 [J]，計算機工程與科學(xué)，2020，42（9）：1563-1571.

[2] 張炳，任家東，王苧.網(wǎng)絡(luò)安全風(fēng)險評估分析方法研究綜述 [J].燕山大學(xué)學(xué)報，2020， 44（3）：290-305.

[3] 王姣，范科峰，莫瑋.基于模糊集和DS證據(jù)理論的信息安全風(fēng)險評估方法 [J].計算機應(yīng)用研究，2017，34（11）：3432-3436.

[4] 許碩，唐作其，王鑫.基于D-AHP與灰色理論的信息安全風(fēng)險評估 [J].計算機工程，2019，45（7）：194-202.

[5] 梁智強，林丹生.基于電力系統(tǒng)的信息安全風(fēng)險評估機制研究 [J].信息網(wǎng)絡(luò)安全，2017（4）：86-90.

作者簡介：李丹（1993—），女，漢族，湖北孝感人，在讀碩士研究生，研究方向：信息安全。