摘要：油氣能源基礎(chǔ)設(shè)施安全越來越受到組織化攻擊威脅，因此，對(duì)能源基礎(chǔ)設(shè)施尤其是對(duì)高含硫氣田集輸SCADA系統(tǒng)安全狀態(tài)識(shí)別就顯得尤為必要。為了揭示高含硫氣田集輸SCADA 系統(tǒng)安全評(píng)估中隨機(jī)性和不完全性對(duì)安全狀態(tài)評(píng)估結(jié)果的影響，提出了基于云模型改進(jìn)白化權(quán)函數(shù)的灰云安全評(píng)估方法。首先，對(duì)評(píng)估結(jié)果進(jìn)行等級(jí)劃分，設(shè)計(jì)了組合權(quán)重優(yōu)化模型；然后，按照專家評(píng)分細(xì)則確定出樣本矩陣，利用云模型改進(jìn)白化權(quán)函數(shù)，形成灰色評(píng)估權(quán)矩陣；最后，結(jié)合優(yōu)化后的權(quán)重通過逐級(jí)評(píng)估得到系統(tǒng)最終的風(fēng)險(xiǎn)值并確定系統(tǒng)風(fēng)險(xiǎn)評(píng)估狀態(tài)。以3 個(gè)實(shí)際應(yīng)用場(chǎng)景為例，驗(yàn)證了方法的有效性。研究結(jié)果表明，與層次分析法、變異系數(shù)法、線性加權(quán)和乘法加權(quán)法比較，組合優(yōu)化賦權(quán)方法的離散度為0.456，線性加權(quán)和乘法加權(quán)的離散度為0.514 和0.860，層次分析法和變異系數(shù)法的離散度為1.294 和1.225，提出的組合優(yōu)化賦權(quán)模型的離散度最小，表明此方法比其他方法更有效；將SCADA 安全評(píng)估中風(fēng)險(xiǎn)指標(biāo)信息不完全性與專家知識(shí)的不完全性和隨機(jī)性結(jié)合起來，不僅能定性評(píng)估和預(yù)測(cè)整體SCADA 系統(tǒng)的安全狀態(tài)，而且實(shí)現(xiàn)二級(jí)指標(biāo)風(fēng)險(xiǎn)量化；該模型能揭示各風(fēng)險(xiǎn)指標(biāo)的脆弱程度，為下一步安全加固提供方向。本研究不僅有利于識(shí)別高含硫氣田SCADA 系統(tǒng)安全狀態(tài)，而且為其他行業(yè)安全評(píng)估提供了參考。

關(guān)鍵詞：SCADA；高含硫氣田；安全風(fēng)險(xiǎn)評(píng)估；云模型；層次分析法

引言

近年來，高含硫氣田的生產(chǎn)安全已提高到國家公共安全和反恐的高度。隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展，中國石油迅速推進(jìn)“油氣物聯(lián)網(wǎng)”建設(shè)，中國石化先后開展了“生產(chǎn)源頭數(shù)據(jù)采集系統(tǒng)”和“數(shù)字化氣田”建設(shè)，尤其是云計(jì)算、物聯(lián)網(wǎng)的廣泛應(yīng)用，工業(yè)控制系統(tǒng)（Industrial Control System，ICS）已開始從“封閉系統(tǒng)”變成了“開放系統(tǒng)”（如允許遠(yuǎn)程操控、允許與企業(yè)內(nèi)部或產(chǎn)業(yè)鏈上的其他系統(tǒng)互聯(lián)互通等）、從“專有技術(shù)系統(tǒng)”變成了“通用技術(shù)系統(tǒng)”（如采用Windows 操作系統(tǒng)、TCP/IP協(xié)議等），致使ICS 的安全形勢(shì)日益嚴(yán)峻，ICS 被攻擊的安全事件時(shí)有發(fā)生。油氣集輸數(shù)據(jù)采集與監(jiān)控系統(tǒng)（Supervisory Control and Data Acquisition，SCADA）安全狀態(tài)預(yù)測(cè)越來越受到研究人員的重視，但涉及因素多，主客觀影響大，給高含硫氣田集輸SCADA 基礎(chǔ)設(shè)施安全態(tài)勢(shì)評(píng)估的研究帶來了巨大挑戰(zhàn)?；诖?，研究者對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行了大量的研究[1 3]，但是在高含硫氣田集輸SCADA系統(tǒng)安全狀態(tài)方面還認(rèn)識(shí)不清楚，還存在高含硫工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估結(jié)果不確定性等問題。因此，針對(duì)高含硫氣田集輸SCADA 系統(tǒng)，如何事前、事中和事后對(duì)SCADA 系統(tǒng)進(jìn)行安全評(píng)價(jià)，如何建立一套發(fā)現(xiàn)風(fēng)險(xiǎn)源頭，并對(duì)系統(tǒng)整體安全狀況進(jìn)行識(shí)別的有效方法，是一個(gè)亟待解決的問題。

目前，研究者對(duì)工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估主要集中在定性、定量和定性與定量相結(jié)合等方面[4 7]。在基于層次分析法（Analytic Hierarchy Process，AHP）和模糊理論的風(fēng)險(xiǎn)評(píng)估方面，Bian 等將改進(jìn)的層次分析法和模糊綜合評(píng)判相結(jié)合，建立起多層次評(píng)估模型，對(duì)風(fēng)險(xiǎn)、公共和服務(wù)3 個(gè)要素進(jìn)行分析來得到系統(tǒng)的安全狀況[4]。左海強(qiáng)等將前饋模糊技術(shù)應(yīng)用到燃?xì)鉄崴鳒囟瓤刂浦?，并進(jìn)行了應(yīng)用效果驗(yàn)證[5]。楊肖等在層次分析法和模糊理論相結(jié)合的基礎(chǔ)上對(duì)油氣SCADA 系統(tǒng)進(jìn)行了安全評(píng)價(jià)[6]?；谀：碚摵虯HP 法的評(píng)估方法過程簡(jiǎn)單，考慮到了客觀事物所具有的模糊性，然而其隸屬度函數(shù)精確化會(huì)喪失了模糊性，且單一的AHP 方法所確定的權(quán)重存在較大的主觀性。在基于攻擊樹或攻擊圖的風(fēng)險(xiǎn)評(píng)估方面，龔斯諦將AHP 與信息熵相結(jié)合，對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行了安全評(píng)估，然后針對(duì)安全漏洞和系統(tǒng)主機(jī)所遭受的攻擊，提出了改進(jìn)的攻擊圖評(píng)估方法[7]。Roy 等通過構(gòu)建SCADA系統(tǒng)的攻擊樹，對(duì)攻擊事件的攻擊概率進(jìn)行定量分析，以此得到最小攻擊事件組合，實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估[8]。姚洪磊等提出一種基于攻擊樹和層次分析法策略的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，并將其應(yīng)用于中國列車運(yùn)行控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估實(shí)踐，為CTCS 系統(tǒng)的風(fēng)險(xiǎn)評(píng)估提供了一種新的解決方案[9]。在基于證據(jù)理論的風(fēng)險(xiǎn)評(píng)估方面，林云威等提出了一種基于AHP 法和證據(jù)理論（Dempster Shafer，D S）的評(píng)估方法，并通過火電廠工控系統(tǒng)驗(yàn)證了模型的有效性[10]。L¨U等通過深入分析WLAN 的典型特征和安全屬性，提出了基于改進(jìn)D S 和AHP 法的安全風(fēng)險(xiǎn)評(píng)估模型[11]。該方法利用AHP 法確定指標(biāo)權(quán)重，通過改進(jìn)的D S 證據(jù)理論組合規(guī)則將風(fēng)險(xiǎn)評(píng)估指標(biāo)自下而上進(jìn)行融合以消除不同評(píng)估值之間的沖突，然后綜合考慮資產(chǎn)價(jià)值、漏洞嚴(yán)重程度、威脅頻率等多種因素得出WLAN 的最終風(fēng)險(xiǎn)。證據(jù)理論能很好地處理專家評(píng)語的模糊性，提高評(píng)估結(jié)果的準(zhǔn)確度，但證據(jù)理論要求專家提供的證據(jù)必須相互獨(dú)立，這在實(shí)際工控情況中較難實(shí)現(xiàn)。在基于神經(jīng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估方面，王博愛等用長短時(shí)記憶網(wǎng)絡(luò)的循環(huán)神經(jīng)網(wǎng)絡(luò)模型，通過綜合微地震有效信號(hào)的能量特征，頻譜特征，統(tǒng)計(jì)特征等屬性來進(jìn)行模型訓(xùn)練，并加入ReLU 激活函數(shù)和L2 正則化的損失函數(shù)來進(jìn)行模型參數(shù)調(diào)優(yōu)。將訓(xùn)練好的模型應(yīng)用到實(shí)際微地震數(shù)據(jù)識(shí)別中，并取得良好效果，充分壓制了噪聲，優(yōu)化了數(shù)據(jù)成像[12]。Xu 等提出了一種基于模糊輸出和神經(jīng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估方法，實(shí)現(xiàn)了電力運(yùn)行的安全風(fēng)險(xiǎn)評(píng)估[13]。該方法從人員考察、機(jī)械裝置與設(shè)備、運(yùn)行時(shí)間與環(huán)境和運(yùn)行條件等方面選取了19項(xiàng)電力運(yùn)行風(fēng)險(xiǎn)評(píng)估指標(biāo)，構(gòu)建出神經(jīng)網(wǎng)絡(luò)評(píng)估模型，然后將電力評(píng)估指標(biāo)作為模型的輸入，訓(xùn)練輸出等5 個(gè)模糊風(fēng)險(xiǎn)隸屬度，進(jìn)而得到風(fēng)險(xiǎn)評(píng)估結(jié)果。神經(jīng)網(wǎng)絡(luò)有很好的自學(xué)習(xí)能力和自適應(yīng)性，能很好地處理復(fù)雜系統(tǒng)數(shù)據(jù)，但訓(xùn)練過程需要大量的學(xué)習(xí)樣本且樣本是否正確難以判斷。

基于云模型理論的評(píng)估方法首先由李德毅院士提出，奠定了云模型風(fēng)險(xiǎn)評(píng)估方法發(fā)展的基礎(chǔ)，羅凱等將二維云模型應(yīng)用到油氣管道環(huán)焊縫失效風(fēng)險(xiǎn)評(píng)價(jià)中，并取得了良好效果[14]，劉勁威等開始將云模型與油氣SCADA 系統(tǒng)相結(jié)合進(jìn)行安全評(píng)估[15 18]，但目前將該模型應(yīng)用于油氣安全領(lǐng)域尚處于初級(jí)階段，還需更加深入地研究。高含硫氣田工業(yè)控制系統(tǒng)不僅具有傳統(tǒng)生產(chǎn)安全工控系統(tǒng)，而且具有腐蝕檢測(cè)、泄漏檢測(cè)和緊急截?cái)嗫刂葡到y(tǒng)，涉及工控場(chǎng)站、網(wǎng)絡(luò)及工控設(shè)備多，一旦受到組織化攻擊，危害極大。因此，針對(duì)上述方法的不足，本文結(jié)合高含硫氣田集輸SCADA 系統(tǒng)的特點(diǎn)和結(jié)構(gòu)，對(duì)評(píng)估結(jié)果進(jìn)行等級(jí)劃分，對(duì)層次分析主觀法和變異系數(shù)客觀法進(jìn)行偏差平方和最小優(yōu)化形成組合權(quán)重優(yōu)化模型，實(shí)現(xiàn)對(duì)指標(biāo)權(quán)重進(jìn)行優(yōu)化，然后按照專家評(píng)分細(xì)則確定出樣本矩陣，利用云模型改進(jìn)白化權(quán)函數(shù)，形成灰色評(píng)估權(quán)矩陣，最后結(jié)合優(yōu)化的權(quán)重通過逐級(jí)評(píng)估得到系統(tǒng)最終的風(fēng)險(xiǎn)定量和定性值，并確定系統(tǒng)風(fēng)險(xiǎn)評(píng)估狀態(tài)。本文提出的方法對(duì)處理信息不完全性、隨機(jī)性和模糊性均能起到比較好的效果，對(duì)高含硫氣田集輸SCADA 系統(tǒng)風(fēng)險(xiǎn)狀態(tài)評(píng)估具有指導(dǎo)作用。