高含硫气田集输SCADA 安全评估方法

摘要：油气能源基础设施安全越来越受到组织化攻击威胁，因此，对能源基础设施尤其是对高含硫气田集输SCADA系统安全状态识别就显得尤为必要。为了揭示高含硫气田集输SCADA 系统安全评估中随机性和不完全性对安全状态评估结果的影响，提出了基于云模型改进白化权函数的灰云安全评估方法。首先，对评估结果进行等级划分，设计了组合权重优化模型；然后，按照专家评分细则确定出样本矩阵，利用云模型改进白化权函数，形成灰色评估权矩阵；最后，结合优化后的权重通过逐级评估得到系统最终的风险值并确定系统风险评估状态。以3 个实际应用场景为例，验证了方法的有效性。研究结果表明，与层次分析法、变异系数法、线性加权和乘法加权法比较，组合优化赋权方法的离散度为0.456，线性加权和乘法加权的离散度为0.514 和0.860，层次分析法和变异系数法的离散度为1.294 和1.225，提出的组合优化赋权模型的离散度最小，表明此方法比其他方法更有效；将SCADA 安全评估中风险指标信息不完全性与专家知识的不完全性和随机性结合起来，不仅能定性评估和预测整体SCADA 系统的安全状态，而且实现二级指标风险量化；该模型能揭示各风险指标的脆弱程度，为下一步安全加固提供方向。本研究不仅有利于识别高含硫气田SCADA 系统安全状态，而且为其他行业安全评估提供了参考。

关键词：SCADA；高含硫气田；安全风险评估；云模型；层次分析法

引言

近年来，高含硫气田的生产安全已提高到国家公共安全和反恐的高度。随着网络与信息技术的发展，中国石油迅速推进“油气物联网”建设，中国石化先后开展了“生产源头数据采集系统”和“数字化气田”建设，尤其是云计算、物联网的广泛应用，工业控制系统（Industrial Control System，ICS）已开始从“封闭系统”变成了“开放系统”（如允许远程操控、允许与企业内部或产业链上的其他系统互联互通等）、从“专有技术系统”变成了“通用技术系统”（如采用Windows 操作系统、TCP/IP协议等），致使ICS 的安全形势日益严峻，ICS 被攻击的安全事件时有发生。油气集输数据采集与监控系统（Supervisory Control and Data Acquisition，SCADA）安全状态预测越来越受到研究人员的重视，但涉及因素多，主客观影响大，给高含硫气田集输SCADA 基础设施安全态势评估的研究带来了巨大挑战。基于此，研究者对工控系统网络安全进行了大量的研究[1 3]，但是在高含硫气田集输SCADA系统安全状态方面还认识不清楚，还存在高含硫工业控制系统安全风险评估结果不确定性等问题。因此，针对高含硫气田集输SCADA 系统，如何事前、事中和事后对SCADA 系统进行安全评价，如何建立一套发现风险源头，并对系统整体安全状况进行识别的有效方法，是一个亟待解决的问题。

目前，研究者对工业控制系统安全风险评估主要集中在定性、定量和定性与定量相结合等方面[4 7]。在基于层次分析法（Analytic Hierarchy Process，AHP）和模糊理论的风险评估方面，Bian 等将改进的层次分析法和模糊综合评判相结合，建立起多层次评估模型，对风险、公共和服务3 个要素进行分析来得到系统的安全状况[4]。左海强等将前馈模糊技术应用到燃气热水器温度控制中，并进行了应用效果验证[5]。杨肖等在层次分析法和模糊理论相结合的基础上对油气SCADA 系统进行了安全评价[6]。基于模糊理论和AHP 法的评估方法过程简单，考虑到了客观事物所具有的模糊性，然而其隶属度函数精确化会丧失了模糊性，且单一的AHP 方法所确定的权重存在较大的主观性。在基于攻击树或攻击图的风险评估方面，龚斯谛将AHP 与信息熵相结合，对工业控制网络进行了安全评估，然后针对安全漏洞和系统主机所遭受的攻击，提出了改进的攻击图评估方法[7]。Roy 等通过构建SCADA系统的攻击树，对攻击事件的攻击概率进行定量分析，以此得到最小攻击事件组合，实现风险评估[8]。姚洪磊等提出一种基于攻击树和层次分析法策略的网络安全风险评估方法，并将其应用于中国列车运行控制系统的风险评估实践，为CTCS 系统的风险评估提供了一种新的解决方案[9]。在基于证据理论的风险评估方面，林云威等提出了一种基于AHP 法和证据理论（Dempster Shafer，D S）的评估方法，并通过火电厂工控系统验证了模型的有效性[10]。L¨U等通过深入分析WLAN 的典型特征和安全属性，提出了基于改进D S 和AHP 法的安全风险评估模型[11]。该方法利用AHP 法确定指标权重，通过改进的D S 证据理论组合规则将风险评估指标自下而上进行融合以消除不同评估值之间的冲突，然后综合考虑资产价值、漏洞严重程度、威胁频率等多种因素得出WLAN 的最终风险。证据理论能很好地处理专家评语的模糊性，提高评估结果的准确度，但证据理论要求专家提供的证据必须相互独立，这在实际工控情况中较难实现。在基于神经网络的风险评估方面，王博爱等用长短时记忆网络的循环神经网络模型，通过综合微地震有效信号的能量特征，频谱特征，统计特征等属性来进行模型训练，并加入ReLU 激活函数和L2 正则化的损失函数来进行模型参数调优。将训练好的模型应用到实际微地震数据识别中，并取得良好效果，充分压制了噪声，优化了数据成像[12]。Xu 等提出了一种基于模糊输出和神经网络的风险评估方法，实现了电力运行的安全风险评估[13]。该方法从人员考察、机械装置与设备、运行时间与环境和运行条件等方面选取了19项电力运行风险评估指标，构建出神经网络评估模型，然后将电力评估指标作为模型的输入，训练输出等5 个模糊风险隶属度，进而得到风险评估结果。神经网络有很好的自学习能力和自适应性，能很好地处理复杂系统数据，但训练过程需要大量的学习样本且样本是否正确难以判断。

基于云模型理论的评估方法首先由李德毅院士提出，奠定了云模型风险评估方法发展的基础，罗凯等将二维云模型应用到油气管道环焊缝失效风险评价中，并取得了良好效果[14]，刘劲威等开始将云模型与油气SCADA 系统相结合进行安全评估[15 18]，但目前将该模型应用于油气安全领域尚处于初级阶段，还需更加深入地研究。高含硫气田工业控制系统不仅具有传统生产安全工控系统，而且具有腐蚀检测、泄漏检测和紧急截断控制系统，涉及工控场站、网络及工控设备多，一旦受到组织化攻击，危害极大。因此，针对上述方法的不足，本文结合高含硫气田集输SCADA 系统的特点和结构，对评估结果进行等级划分，对层次分析主观法和变异系数客观法进行偏差平方和最小优化形成组合权重优化模型，实现对指标权重进行优化，然后按照专家评分细则确定出样本矩阵，利用云模型改进白化权函数，形成灰色评估权矩阵，最后结合优化的权重通过逐级评估得到系统最终的风险定量和定性值，并确定系统风险评估状态。本文提出的方法对处理信息不完全性、随机性和模糊性均能起到比较好的效果，对高含硫气田集输SCADA 系统风险状态评估具有指导作用。