摘要：随着信息化和工业化的深度融合，工业控制系统信息安全形势日益严峻。信息安全风险评估作为一种了解工业控制系统安全风险的重要手段，越来越受到更多人的关注。本文以层次分析法为基础，将权重比引入工业控制系统信息安全评估中，可得到更为合理的评估结果。

关键词：工业控制系统；信息安全；权重比

1　引言

随着云计算、大数据、工业互联网等新兴技术在工业领域的广泛应用，信息安全威胁逐渐向工业领域蔓延，工业控制系统信息安全形势日益严峻。信息安全风险评估作为一种了解工业控制系统安全威胁的重要手段，受到越来越多人的关注。

工业控制系统信息安全风险评估方法主要有三类，分别为经验分析法、定性分析法和定量分析法^[1]。经验分析法适用于评估经验不足的评估者，由经验丰富的专家制定安全基线，供评估者借鉴使用；定量分析法是在度量风险时，对风险要素进行赋值，进而量化评估结果；定性分析法是对风险要素进行分级，一般可分为“高”，“中”，“低”三级，最终以级别表示评估结果。本文以层次分析法为基础，结合定量分析与定性分析进行工业控制系统信息安全风险评估。

2　工业控制系统信息安全风险评估模型

参考《信息安全技术工业控制系统风险评估实施指南》和《信息安全技术工业控制系统安全控制应用指南》，从资产、脆弱性、威胁和安全措施四方面对工业控制系统开展信息安全风险评估，评估模型如图1所示，由上至下依次为目标层，准则层和因素层^[2]。目标层为工业控制系统主体，准则层包括资产、脆弱性、威胁和安全措施，因素层包括硬件资产、软件资产、人员资产、其它资产、管理脆弱性、技术脆弱性、自然环境、内部无意风险、内部有意风险、外部威胁、事前防御、事中响应和事后取证^[3]。

图1 工业控制系统信息安全风险评估模型

硬件资产包括：IED、PLC、DCS等工业现场控制层设备；路由器、网关、交换机等网络设备；工业防火墙、入侵检测系统、网闸等安全设备；服务器、工作站、HMI等计算机设备；磁盘阵列、移动硬盘等存储设备。软件资产包括：数据库系统、操作系统等系统软件；组态软件、远程控制软件、数据库软件、工业控制系统工具软件、OPC等应用软件；工业控制代码、现场设备固件等源程序；工业生产数据、工业控制实时数据、运行管理数据。人员资产包括：操作人员，运维人员，工业控制系统设计人员，信息安全人员。其它资产包括除了硬件、软件和人员之外的资产。

管理脆弱性包括：工业生产环境脆弱性，生产设备脆弱性。技术脆弱性包括：工业控制网络边界脆弱性，工业控制系统网络设备脆弱性，工业控制系统网络通信脆弱性，工业无线网络脆弱性，工业控制系统硬件脆弱性、软件脆弱性、配置脆弱性。

自然环境包括：静电、灰尘、潮湿、电磁干扰、意外事故等环境危害或自然灾害。内部无意风险包括：内部员工未遵循规章制度和操作流程，导致工业控制系统故障或被攻击。内部有意风险包括：内部员工对工业控制系统进行破坏或窃取系统信息。外部威胁包括：外部人员对工业控制系统进行攻击。

3　工业控制系统信息安全风险评估

3.1　风险量化

风险量化的过程如图2所示。

图2 风险量化过程

3.2　构建风险评估模型

在开展工业控制系统信息安全评估前应首先构建风险评估模型，本文采用如图1所示的工业控制系统信息安全风险评估模型。

3.3　确定模型各层权重比

3.3.1　重要性程度

首先要将复杂的多因素问题转化为两两对比的问题，并且将他们量化。将两因素对比结果分成5个等级：相同、稍强、较强、明显强、绝对强，并用数字1-9来进行量化，如表1所示[4]。

表1 两因素对比结果

3.3.2　构建比较矩阵

每次选取两个因素a和b进行比较，用x_ab来表示a，b定量重要性的结果，构建出比较矩阵。

3.3.3　一致性检验

计算一致性指标CI，，n是比较矩阵的阶数，是比较矩阵的最大特征值。查找一致性指标RI，如表2所示。

表2一致性指标 RI

计算一致性比例CR，，当CR<0.10的时候，比较矩阵的一致性是可以接受的，不然应对该矩阵做出修改。

3.3.4　计算权重向量计算权重向量有方根法，求和法，特征向量法，

最小二乘法。方根法计算权重向量，如式（1）所示：

求和法计算权重向量，如式（2）所示：

特征向量法计算权重向量，

A是比较矩阵，W是权重向量；最小二乘法计算权重向量，用拟合方法确定权重向量，使残差平方和为最小，如式（3）所示：

3.4　专家评分

得出各项权重比之后，由专家对待评测的工业控制系统进行整体评估：每项分数为0到1，0到0.2为不具备安全措施，0.2到0.4安全性较差，0.4到0.6为安全性一般，0.6到0.8为安全性较好，0.8到1为安全措施完备。

通过得出系统总分数，w_i是i因素对应的权值，S_i是i因素的评估分数，S是求出的对应的系统评估分数。0到0.2为系统风险很高，0.2到0.4系统风险较高，0.4到0.6为风险一般，0.6到0.8为风险较低，0.8到1为系统安全。

3.5　评估结果

在得出总分数后，整理评估结果，包括系统整体评分、系统各层次重要性占比、各部分因素的评分、系统待改进排名^[5]。

4　实例论证

针对钢铁行业某集团开展工业控制系统信息安全风险评估，对其制造执行系统、监视控制与数据采集系统、分布式控制系统、可编程逻辑控制器等工业控制系统进行评估。集团下属钢铁厂采用的网络拓扑结构为三层网络，不同生产车间的生产设备通过L1层工业交换机与L2层服务器进行连接，通过L2层核心交换机进行数据汇集和交换，与L2层各个子网中的工程师站进行通信。为保证L1、L2生产控制网络的信息安全性，在L3层的网络出口处专门设置了网络防火墙进行安全隔离。

对“资产”下的四个风险因素进行评估，如图3所示，对4项风险因素进行两两判断赋值，构造出比较矩阵，如式（4）所示。

图3 资产模型

对该矩阵进行一致性检验，，此矩阵的一致性可以接受。用方根法计算得，“资产”中各要素的相对权重为：W_{1=(0.5147,0.1207,0.2959,0.0688)}（5）

同理，求得该钢铁厂“脆弱性”，“威胁”，“安全措施”中各要素的相对权重如下：

W₂=(0.6,0.4)

W₃=(0.5123,0.2811,0.1325,0.0741)

W₄=(0.2297,0.6483,0.1220)（6）

“资产”，“脆弱性”，“威胁”，“安全措施”之间的相对权重为：W₅=(0.3455,0.1105,0.1625,0.3815)（7）

因此，硬件资产占总体的0.5147*0.3455=0.1778，同理可求得其它因素占总体的权重比，结果如表3所示。

邀请专家对该工厂各因素进行评价打分，结合表3中各项因素的权重比，可以得出系统总分数。在各项因素分数中，权重比较大而又得分较低的因素为急需改进项。

表3 该工厂各因素占总体的权重比

5　结束语

本文针对工业控制系统信息安全风险评估问题，提出了一种基于层次分析的定量分析法，将因素权重比引入风险评估中，得到更为合理的评估结果。

作者简介

夏　冀（1992-），男，硕士，现任中国电子技术标准化研究院信息安全研究中心工控组工程师，主要从事工业信息安全标准研制、工业控制系统信息安全测评工作。

甘俊杰（1993-），男，硕士，毕业于北京邮电大学，现就职于中国电子技术标准化研究院，主要从事工业信息安全方面的研究。

李　琳，男，博士，现任中国电子技术标准化研究院信息安全研究中心高级工程师，工业控制系统安全标准和测评工业和信息化部重点实验室技术总监。

参考文献：

[1] 安克万，赵首花. 信息安全风险评估对两化融合的保障[J]. 西安邮电大学学报，2010，15 ( 6 ) : 62 - 63.

[2] 司应硕. 信息安全风险评估技术的研究[D]. 贵州大学，2008.

[3] 熊琦，彭勇. 工业控制系统的安全风险评估[J]. 中国信息安全，2012 ( 3 ) : 57 - 59.

[4] 郭金玉，张忠彬，孙庆云. 层次分析法的研究与应用[J]. 中国安全科学学报，2008，18 ( 5 ) : 148 - 153.

[5] 张烨. 工业控制系统信息安全风险评估[J]. 自动化博览，2015， ( S2 ).

摘自《工业控制系统信息安全专刊（第六辑）》