基于模糊层次分析的工业SCADA安全风险评估方法研究与应用

杨 肖 杨 力 杨子纯

(西南石油大学计算机科学学院 四川 成都 610500)

基于模糊层次分析的工业SCADA安全风险评估方法研究与应用

杨 肖 杨 力 杨子纯

(西南石油大学计算机科学学院 四川 成都 610500)

数据采集与监控系统SCADA(Supervisory Control And Data Acquisition)的安全防御受到越来越多的重视，风险评估是预防事故风险的发生、保障其安全性的重要手段。为了解决传统系统评估方法的缺陷及人为因素影响较大的问题，提出一种基于模糊综合评估的SCADA系统安全风险评估方法。首先建立安全评估指标体系，然后通过层次分析法得到准则层、指标层和目标层三级体系间下级对上级的权重影响，再通过专家打分的方式，结合模糊数学理论，采用隶属函数的方式得到各级指标的安全隶属度，最终实现对多维多因素的多级评估。实验结果表明，采用模糊综合评估能够较好地解决定量与定性相互转换的难题，使评估方式更能与实际情况相符，从而提高安全评估的准确性，使现场工作人员能对SCADA系统安全做出更正确的决策，从而提高工作效率，在为企业乃至国家带来利益的同时，尽可能降低事故发生的概率。

模糊评判 SCADA 信息安全 多维多因素 层次分析法

0 引 言

SCADA系统是以计算机为基础的生产过程控制与调度自动化系统。它综合利用了计算机技术、控制技术、通信与网络技术，完成对测控点分散的各种过程或设备的实时数据采集，本地或远程的自动控制，以及生产过程或设备的实时监控。SCADA系统，在电力、水利、化工、石油天然气、冶金以及交通运输等各个领域应用广泛，其安全一旦出现漏洞，将威胁到工业生产运行和国家经济安全。以往，人们一直认为SCADA系统是相对孤立的，并对它有着强有力的访问控制，是相对安全的。但是，随着计算机网络技术以及通信技术的迅速发展，SCADA系统已不再像以往那样，是一个相对安全的物理隔离的系统。如今很多SCADA系统已与企业网络互联，变得相对开放透明，这使得SCADA系统面临诸多安全问题，如恶意病毒、信息泄漏和篡改、系统不能使用等。

传统SCADA安全评估采用经典集合“二值理论”，即对每一现场指标都采用“非是即否”的评判方式，这对于采集数字信号“DI/DO”来说是正确的，但是在实际现场情况中，很难有完全符合“非是即否”的情况，在油气现场的工作人员的日常工作中，也大多使用带有模糊色彩的用语，例如：压力增大，密度减小等。从这里我们可以看出，影响整个油气SCADA安全的往往不是单维度的单因素，而是由多维度与多因素共同影响。并且，工作人员在面对不同的现场情况时往往通过不同的程度副词来描述情况，例如：井内硫化氢浓度增加很大和硫化氢浓度增加较大，这两种不同的描述可能造成的原因和导致的结果也完全不一样，这样模糊没有明显定量的用语，也使传统评估系统在评估上显得很无力。其次，面对不同的SCADA系统，在风险评估方面所侧重评估方面不一样，所以需要建立能够满足不同的SCADA系统的安全风险评估体系。为了解决定量与定性相互转换及安全风险评估体系的问题，我们将模糊综合评判方法引入到工业SCADA安全风险评估中，并收到良好效果。

1 相关工作

安全评估是对一些软件系统或者其他工程的安全进行评估，对影响其安全的因素进行风险识别评估，对事故发生的可能程度进行判断，从而达到对风险事故进行预防以避免其发生的效果。安全评估方法主要分为定量评估与定性评估，常见的评估方法有：因素图分析法、专家现场询问观察法、预先危险分析法、故障危险分析法、故障类型和影响分析法、运行危险分析法、安全检查表法等。

在SCADA系统安全研究方面，国外发达国家起步较早，在不同的工控系统中都进行了深入的研究。我国虽然起步较发达国家晚，但是在研究石油天然气方面，已经取得了一定的成果。在文献[4]中，聂永臣从甘森站SCADA系统出发具体研究，提出预防SCADA威胁的相应措施，如制定相关法律法规、加强对系统操作人员和维护人员的技术培训等。在文献[5]中，韩波等从中国石油输气管网的SCADA系统出发具体研究，提出了防范内部与外部失效风险的控制措施。在文献[6-7]中，徐金伟对我国的工业基础设施SCADA系统进行了简要的分析，并且对SCADA的系统安全提出了防御措施，为本文的研究提供了指向。在文献[8]中，魏倩使用层次分析法对网络信息安全进行评价，为本文评估方法的可行性提供了指导。在SCADA数据传输方面可能出现的问题，在文献[9]中，王婷婷进行了研究。最后在文献[10]中，王雁冰等对SCADA安全进行了多重的分析。尽管如此，研究发现国内外对SCADA系统，尤其是油气集输SCADA系统的安全评价研究仍存在严重不足。所以，本文研究一种用于油气集输SCADA系统安全评价的方法，可以起到预防各种威胁的作用，并可根据评价结果来提出相应措施以保证SCADA系统的安全运行，从而提高经济效益，具有重要的现实意义。

2 相关理论

2.1 模糊综合评估原理

模糊综合评估是一种定性与定量相结合的评估方法。综合评估即是由于在现实生活和日常生产中，影响实物安全的因素可能会有很多种，在对事物进行评估时，要考虑到各个方面的问题。特别是在油气SCADA这样复杂的系统中，在做出任何一个决策时，我们都需要对多个相关因素进行综合考虑。模糊综合评估就是借助模糊数学中的一些原理和概念，再结合综合评估对实际问题进行综合评估的一种方法。运用模糊关系合成的原理，将一些不容易被定量或边界不清晰的因素进行定量化。在较为复杂的系统中，影响结果的因素往往是多层次的，从而形成一个判别树状的结构。模糊综合评估包括以下几部分：

(1) 评估因素集合U。代表着包含所有影响评估因素的集合。

(2) 安全评语等级集合V。代表包含综合评估安全评语所组成的集合。

(3) 评判矩阵W。代表下级评估因素对上级评估对象的安全影响相对重要程度。

(4) 安全隶属度论域M。代表评估因素对应每个评语等级的隶属程度。

(5) 评估结果向量S。代表每个评估对象的综合状况分级程度。

2.2 模糊综合评估步骤

(1) 建立模糊综合评估指标体系

在评估工作开始前，需要构建模糊综合安全评估指标体系，这是整个评估的基础也是关键，此体系必须满足科学性、系统性和实用性这三个必要条件，因为它直接关系到评估本身是否具有意义。构建综合评估指标体系也就是要找出影响安全的客观因素对象，也即是上文中提到的评估因素论域U。

(2) 通过层次分析法(AHP)来确定指标权重

安全评估指标权重确定方法有很多，例如：专家评议法、层次分析法、专家调查法等，本文主要是运用层次分析法来确定评估指标的权重。在模糊综合评估指标体系中，每个因素指标对评估对象的影响是不一样的，为了更加恰当地进行综合评估，需要表示出每个因素指标对安全的影响程度，所以我们必须对每个评估因素指标赋予一定权重值。而层次分析法刚好可以有效地解决指标定性与定量之间的问题。这种方法首先确定模糊评估指标体系，然后通过体系建立模糊评判矩阵，进而根据模糊判断给予各层次指标相对重要性的定量表示，再利用数学方法求解权重值。

在构造两两比较判断矩阵时，比较两个指标对评价上级指标的重要程度，并且据此赋值，通常采用1～9及其倒数的形式，如表1所示。

表1 重要度定义

依据上述将指标因素进行两两比较的方法，我们可以得出各层次的评判矩阵，如下所示：

评判矩阵体现了评估者对指标因素间相对重要程度的认识，在参照重要度定义表得出以上的评判矩阵后，对矩阵使用“规范列平均法”进行计算。

Step1 求和。对评判矩阵A每一列进行求和；

Step2 构建标准化矩阵。在用每个元素除以它对应的列的总和，得到一个标准化的矩阵：

列出了平均随机一致性指标RI的取值，如表2所示。

表2 平均随机一致性指标RI

从前面的计算中可以得知，如果CR=0.1或者CR<0.1，则视为构建的判断矩阵的一致性比较好，但是如果CR>0.1，则表明需要重新调整判别矩阵以对权重系数进行重新分配。在完成上面的步骤后，并满足判断矩阵一致性，则计算出的W即视为该层次的权重向量。

(3) 构建评价矩阵，求安全隶属度

评语集是以评估者对被评估对象可能做出的各种评语结果为元素组成的集合，在安全评估中一般用五个评语等级V表示，即建立评语论域V=[V1,V2，…，V5]。在本文中对评语论域中的五个评语使用{很好，好，较好，一般，差}。根据专家调查评判打分结果以及相应的隶属函数，可确定各因素指标被评定为各Vi的隶属度，建立模糊评估矩阵：

在这个模糊评估矩阵中，rij所表示的是指标论域U其中的一个指标ui被评价为评语集V中的Vj的一个隶属度。

本文使用百分制评分求解的方式求得每个隶属度，对于评语集中的五个评语，以90、80、70、60、50这五个分数为界限，根据以下隶属函数公式的计算可求得每一个隶属度，从而得到模糊评估矩阵。

(1)

(2)

(3)

(4)

(5)

将专家的分数代入到5个隶属函数中，这样每一个指标将会得到5个不同隶属度，其分别代表这一指标属于这5个安全程度的隶属度，每个指标将得到1×5的安全隶属度矩阵。

(4) 评价矩阵和权重的合成

根据公式Bk=Wk○Rk计算得各层评价指标的综合评判结果：

B=[B1B2…Bm]T

如果∑B1≠1，则需要将其归一化处理。其中：“○”所代表的是合成算子。

(5) 多级模糊综合评判

在完成以上步骤后，可以看出仅仅是完成了对某一层次或者某一单元的评估，在本文中，指标体系层次共分为三层，所以一层评估结果不能达到解决问题的目的，这时就需要使用多级评估。所谓多级模糊综合评估，即将下一级的评估结果B=[B1B2…Bm]T作为上一级的评估矩阵，再将其与这一级所求得的权重向量W进行合成，得到总的综合评价结果为S=W○B，最后依据最大隶属度的原则判断综合评价的结果。

3 油气SCADA安全风险评估

通过深入调研中石油西南油气田SCADA系统及对相关领域专家的咨询，首先通过层次分析法建立评判矩阵两两比较得到油气SCADA系统各级安全评估指标的权重值，随机抽取方案层的任一评估对象，具体过程如下:

1) 建立判断矩阵，确定指标权重

例如：选取评价对象为硬件安全下的五个评价指标。分别是：服务器备份充分、硬件定期更换、物理隔离良好、存储介质安全、禁止非法物理接入。将这五个因素指标进行两两比较，用1～9标度对齐比较，结果如表3所示。

表3 指标层指标两两比较结果

经过表中判断矩阵两两比较后，我们得到比较结果从而构造出判别矩阵为：

将矩阵A按照规范列平均法进行矩阵的规范化，可得到按列规范化矩阵：

然后计算出矩阵A的特征向量:

W=[0.23 0.14 0.07 0.09 0.45]

求出特征向量后，检验此指标层判断矩阵的一致性：

根据最大特征根计算公式，计算出其最大特征根：

=5.13

2) 构建评价矩阵，求指标的安全隶属度

同样以指标层硬件安全为评估对象的指标进行模拟专家打分评判。其第一个因素“服务器备份充分” u1，假定模拟十位专家所给出的分数分别为“89，85，93，88，85，90，85，86，87，88”，然后将分数分别带入隶属函数，可得到因素服务器备份充分隶属于评语集V1，V2，V3，V4，V5的隶属度分别为rV1(u1)、rV2(u1)、rV3(u1)、rV4(u1)、rV5(u1)：

rV1(u1) =1/10[u1(89)+u1(85)+u1(93)+u1(88)+

u1(85)+u1(90)+u1(85)+u1(86)+u1(87)+u1(88)]

=1/10[0.9+0.5+1+0.8+0.5+1+0.5+

0.6+0.7+0.8]=0.73

u1(85)+u1(90)+u1(85)+u1(86)+u1(87)+u1(88)]

=1/10[0.1+0.5+0+0.2+0.5+0+0.6+

0.4+0.3+0.2]=0.27

同理可得：rV3(u1)=0，rV4(u1)=0，rV5(u1)=0。

由此可得，因素u1的隶属度r1为(0.73，0.27，0，0，0)，同理，硬件安全中硬件定期更换、物理隔离良好、存储介质安全、禁止非法物理接入的安全隶属度分别为(0.75,025,0,0,0)、(0.59,0.41,0,0,0)、(0.63,0.37,0,0,0)、(0.70,0.30,0,0,0)。

经整理得到硬件安全模糊评价矩阵为：

综合评估：

S=W○R=[0.23 0.14 0.07 0.09 0.45]○

根据最大隶属度原则，取隶属度最大的0.69所代表的安全评语等级来表示整个硬件安全的隶属度，表明硬件安全指标安很好，这样就完成了指标层中评估对象为硬件安全的模糊综合评判，也可叫作单元评估。由于本文研究时将指标分为三层树形结构，将硬件安全的安全隶属度保存下来与第二层指标权重进行矩阵计算，得到第二层各指标的安全隶属度，再将第二层各指标安全隶属度保存下来，然后再将第二层指标进行两两相互比较计算得到权重，再与隶属度进行计算得到第一层的1×5的安全隶属度矩阵，从中选取隶属度最大的评语等级作为整个油气SCADA的安全评估结果，这即是多级模糊安全评估。

3) 系统实现

在理论模型具有可行性的条件下，以模型为理论支撑，用C#作为编程语言，SQL Server 2008作为数据库工具来存储数据，Microsoft Visual Studio 2010作为开发环境工具，开发出了基于模糊综合评判的SCADA安全风险评估系统原型。这里将介绍系统原型，并将理论运用到实践的过程。本原型系统以西南油气田某月数据为参考数据进行测试。

(1) 安全风险评估指标体系

建立模糊综合评判指标体系，并且实现了对整个指标体系的维护。本指标体系构建为三层树形结构的整个体系，如图1所示。

图1 指标体系结构

(2) 指标权重获取

建立两两评判矩阵，检验所建立评判矩阵是否满足一致性。若满足即将结果录入数据库，为后面的评估做准备。评判矩阵如表4所示。

表4 两两评判矩阵

(3) 专家评分

模拟专家评分过程，安全评语集{很好，好，较好，一般，差}。专家对每个指标安全性进行百分制的评分，专家评分表如表5所示。再利用上文提到的隶属函数，最终计算出每项指标所属安全隶属度，结果如表6所示。

表5 专家评分表

续表5

表6 安全隶属度表

(4) 安全评估

结合上面专家打分得到的隶属度和评判矩阵得到的权重，经过多级综合评估得到整个SCADA系统的安全性，并且对评估细节进行展示与对所评估系统进行解释。测试评估结果SCADA系统安全性很好的隶属度为0.793，为所有隶属度中最大，根据最大隶属度原则，得到本次评估结果为此SCADA系统安全性很好。此评估结果符合西南油气田当月SCADA系统安全情况，经过上面的步骤，实现了对油气SCADA安全的模糊综合评判也表明了模糊综合评判SCADA安全风险评估系统原型开发成功。

4 结 语

在信息技术与计算机网络发展日新月异的今天，油气集输SCACA系统安全性将会受到越来越大的挑战，而油气集输SCADA系统的安全保障是石油工业发展实现信息化、现代化，从而实现高效、稳定发展的前提。随着近年来工业控制系统中的事故频发，SCADA系统的安全性必然会受到越来越多人的关注。对于安全评估的方法其实有很多，本文采用模糊综合评判的方式，将模糊数学理论运用到安全评估中，结合层次分析法确定权重，使用多级评估的方式，运用C#编程语言，Visual Studio 2010 开发环境和SQL Server2008数据库软件，建立了油气集输SCADA模糊综合评判原型。本文主要完成以下几方面内容：1) 结合油气集输SCADA安全风险评估实际，建立了对于大部分工控系统都适用的安全指标体系结构，并且完成相应的人机交互界面，可以对体系结构进行维护；2) 结合层次分析法，完成对指标层、准则层与目标层的权重确定；3) 结合模糊数学知识完成推理机制的建立；4) 采用代入数据的方式，对实际情况进行评判检测，以验证方法的准确性与可行性。实验结果显示了此原型方法的可行性。此次原型的成功建立，为以后类似工控系统的安全评估提供了模板，具有可移植性。同时，也使评估更加符合实际生产情况，评估结果更加偏向数据量化，减小了传统评估中人为因素的影响。

[1] 王华忠. 监控与数据采集(SCADA)系统及其应用[M]. 北京：电子工业出版社, 2010.

[2] Wiles J. Techno security’s guide to securing SCADA[M]. Rockland, MA, USA: Syngress Publishing, 2008.

[3] 吴晓平, 付钰. 信息系统安全风险评估理论与方法[M]. 北京：科学出版社, 2011.

[4] 聂永臣. 甘森站控SCADA系统安全性分析及应对措施[J]. 中国石油和化工标准与质量, 2012, 32(S1):123.

[5] 韩波, 刘巍. 中国石油输气管网SCADA系统建设浅析[J]. 天然气勘探与开发, 2004, 27(3):61-67.

[6] 徐金伟. 工业领域基础设施SCADA系统简介——关于我国SCADA系统信息安全的研究与思考之一[J].计算机安全, 2012(1):4-9.

[7] 徐金伟. SCADA系统信息安全风险防护措施——关于我国SCADA系统信息安全的研究与思考之三[J]. 计算机安全, 2012(1):11-14.

[8] 魏倩. 基于模糊层次分析法的网络信息安全评价研究[D]. 长春：吉林大学, 2008.

[9] 王婷婷. SCADA系统中数据传输安全性研究[D]. 上海：华东理工大学, 2013.

[10] 王雁冰, 谢孝宏. 关于SCADA系统多重安全性的探讨[J]. 自动化博览, 2009, 26(4):40-43.

[11] 罗阳青. 基于模糊层次分析法的服役石拱桥健康评估研究[D]. 长沙：湖南大学, 2011.

[12] 廖瑞金, 王谦, 骆思佳, 等. 基于模糊综合评判的电力变压器运行状态评估模型[J]. 电力系统自动化, 2008, 32(3):70-75.

[13] 余勇, 林为民. 工业控制SCADA系统的信息安全防护体系研究[J]. 信息网络安全, 2012(5):74-77.

[14] 兰昆, 饶志宏, 唐林, 等. 工业SCADA系统网络的安全服务框架研究[J]. 信息安全与通信保密, 2010(3):47-49.

RESEARCH AND APPLICATION OF INDUSTRIAL SCADA SECURITY RISK ASSESSMENT METHOD BASED ON FUZZY AHP

Yang Xiao Yang Li Yang Zichun

(SchoolofComputerScience,SouthwestPetroleumUniversity,Chengdu610500,Sichuan,China)

The security defense of supervisory control and data acquisition (SCADA) is paid more and more attention, and risk assessment is an important ways to prevent the occurrence of accident risk and ensure its security. In order to solve the problem of the traditional assessment method and the human factors, an SCADA system security risk assessment method based on fuzzy comprehensive evaluation is proposed. Firstly, the safety assessment index system is established, then the influence of the subordinate system between the three levels of the criteria layer, the index layer and the target layer on the weights of the superiors is obtained through the analytic hierarchy process. Then through the expert scoring method, combined with the fuzzy mathematics theory, the membership function is adopted to get the security membership degree of each index, and finally the multilevel evaluation of the multidimensional and multi-factor is realized. The experimental results show that the fuzzy comprehensive evaluation can solve the problem of quantitative and qualitative mutual conversion, so that the assessment method can be more consistent with the actual situation, thereby improving the accuracy of safety assessment. It also enables site staff to make more correct decision about SCADA system safety, thereby increasing productivity and reducing the probability of accidents as much as possible, while benefiting the business as well as the nation.

Fuzzy evaluation SCADA Information security Multidimensional and multi-factor AHP

2016-04-20。国家自然科学基金项目(61175122)；四川省教育厅重点项目(15ZA0049)；国家大学生创新创业基金。杨肖，硕士生，主研领域：SCADA安全。杨力，副教授。杨子纯，本科。

TP182

A

10.3969/j.issn.1000-386x.2017.05.010