顧兆軍，彭 輝+

(1.中國民航大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300； 2.中國民航大學(xué) 信息安全測評中心，天津 300300)

0 引 言

隨著工業(yè)化和信息化的深度融合，網(wǎng)絡(luò)攻擊的范圍不再局限于信息域，已經(jīng)從虛擬空間擴(kuò)展至工業(yè)控制系統(tǒng)(industrial control system，ICS)。2010至2015年爆發(fā)的Stuxnet[1]、HaveX等病毒使人們意識到ICS攻擊的巨大危害，加強(qiáng)ICS的安全保障已迫在眉睫。風(fēng)險(xiǎn)評估是保障工業(yè)控制系統(tǒng)安全、穩(wěn)定運(yùn)行的一個(gè)有效手段。定量的風(fēng)險(xiǎn)評估方法[2-5]是風(fēng)險(xiǎn)評估的主要研究方向。

周小鋒等[6]基于ICS特殊的安全需求，提出一種分層次、分區(qū)域的評估模型，較為準(zhǔn)確的評估出ICS的安全性。林云威等[7]基于層次分析法和D-S證據(jù)理論對電廠工業(yè)控制系統(tǒng)進(jìn)行了風(fēng)險(xiǎn)評估，不僅有效處理了評估過程中的不確定性問題，而且對威脅的影響進(jìn)行了量化。但兩者在指標(biāo)權(quán)重確定的過程中，均未考慮專家的主觀性因素，影響了最終評估結(jié)果。賈馳千等[8]基于ICS設(shè)備和具體攻擊方式建立層次化模型，較為全面的評估了系統(tǒng)的安全性，并識別出系統(tǒng)的脆弱性。但評估結(jié)果不能體現(xiàn)資產(chǎn)在可用性、完整性、機(jī)密性(AIC)上的不同偏向需求。

針對上述問題，本文借鑒層次分析法的思想，結(jié)合ICS安全目標(biāo)建立ICS風(fēng)險(xiǎn)評估指標(biāo)體系，并在權(quán)重計(jì)算的過程中引入模糊集和信息熵來弱化專家評估的主觀性；同時(shí)，將灰色理論應(yīng)用到ICS風(fēng)險(xiǎn)評估中，避免對評估對象的精確量化，進(jìn)一步削減了專家主觀性影響，最終較為準(zhǔn)確地計(jì)算出ICS整體的風(fēng)險(xiǎn)值、各個(gè)ICS設(shè)備的風(fēng)險(xiǎn)值以及ICS設(shè)備在可用性、完整性、機(jī)密性3個(gè)方面存在的不同風(fēng)險(xiǎn)值。評估結(jié)果為ICS安全防護(hù)提供更加準(zhǔn)確、合理的決策依據(jù)。

1 工業(yè)控制系統(tǒng)信息安全分析

1.1 ICS信息安全的特點(diǎn)

明確ICS與傳統(tǒng)IT系統(tǒng)之間的差異是ICS信息安全研究的一個(gè)基礎(chǔ)前提。ICS與傳統(tǒng)IT系統(tǒng)最本質(zhì)的區(qū)別在于IT系統(tǒng)是信息領(lǐng)域的管理系統(tǒng)，通常將信息作為管理對象，而ICS是工業(yè)領(lǐng)域的生產(chǎn)系統(tǒng)，更多的是將生產(chǎn)過程作為管理對象，因此導(dǎo)致了兩者信息安全目標(biāo)的不同[7]。相比傳統(tǒng)IT系統(tǒng)遵循的CIA原則，ICS的安全目標(biāo)遵循AIC原則。ICS的可用性旨在保證系統(tǒng)能始終處于正常的工作狀態(tài)、工作人員能夠隨時(shí)對系統(tǒng)進(jìn)行訪問和操作；完整性可以防止系統(tǒng)信息被惡意修改，從而確?？刂菩畔⒌鹊陌踩?。機(jī)密性目標(biāo)是防止系統(tǒng)中工藝流程等關(guān)鍵數(shù)據(jù)的泄露。

1.2 ICS威脅分析

威脅利用系統(tǒng)的脆弱性對其造成破壞[9]，是風(fēng)險(xiǎn)產(chǎn)生的關(guān)鍵因素。根據(jù)IEC62443工業(yè)控制系統(tǒng)信息安全評估規(guī)范和ICS的實(shí)際情況，ICS常見的威脅種類主要有拒絕服務(wù)攻擊、病毒感染、重放攻擊、信息被篡改、信息非法獲取、訪問權(quán)限非法獲取、未授權(quán)的網(wǎng)絡(luò)連接、被植入木馬。不同種類的威脅會對ICS造成不同危害。如：控制信息被篡改會破壞信息的完整性，易誘發(fā)錯(cuò)誤判斷，進(jìn)而引發(fā)虛警；PLC遭受拒絕服務(wù)攻擊，使之可用性遭到破壞，失去控制能力，進(jìn)而無法控制生產(chǎn)過程；數(shù)據(jù)庫被植入木馬會導(dǎo)致工藝參數(shù)、設(shè)計(jì)參數(shù)等的泄露，破壞系統(tǒng)的機(jī)密性，造成較大的經(jīng)濟(jì)損失。

2 基于模糊集和熵的灰色風(fēng)險(xiǎn)評估模型

2.1 建立風(fēng)險(xiǎn)評估指標(biāo)體系

根據(jù)GB/T 20984-2007和文獻(xiàn)[10]中闡述的信息安全風(fēng)險(xiǎn)評估原理和風(fēng)險(xiǎn)評估過程，通過借鑒文獻(xiàn)[8]中面向系統(tǒng)設(shè)備和攻擊方式的層次化建模的思想，本文結(jié)合ICS的安全目標(biāo)，并參考1.2節(jié)的ICS威脅種類，建立基于ICS設(shè)備和威脅的風(fēng)險(xiǎn)評估指標(biāo)體系，如圖1所示。

圖1 風(fēng)險(xiǎn)評估指標(biāo)體系

指標(biāo)體系分為4層，目標(biāo)層是ICS風(fēng)險(xiǎn)指數(shù)F；準(zhǔn)則層是ICS設(shè)備，本文選取了工控系統(tǒng)中典型的設(shè)備，包括工程師站、操作員站、數(shù)據(jù)庫服務(wù)器、PLC進(jìn)行評估。在具體的工程實(shí)踐中，可根據(jù)系統(tǒng)的具體情況選取相應(yīng)的設(shè)備作為評估對象；評價(jià)層是ICS的信息安全目標(biāo)，可從可用性、完整性、機(jī)密性3個(gè)方面對設(shè)備進(jìn)行評價(jià)；風(fēng)險(xiǎn)因素層是系統(tǒng)面臨的常見威脅。

2.2 基于模糊集和信息熵的指標(biāo)權(quán)重確定

評估指標(biāo)的權(quán)重反映了該指標(biāo)對評估對象的影響程度，指標(biāo)權(quán)重值的合理確定將直接影響評估結(jié)果的準(zhǔn)確性。因此采用合理的方法確定指標(biāo)權(quán)重是風(fēng)險(xiǎn)評估的一個(gè)關(guān)鍵環(huán)節(jié)。本文通過融合模糊集理論和信息熵來依次確定風(fēng)險(xiǎn)因素層、評價(jià)層和準(zhǔn)則層的指標(biāo)權(quán)重，可以有效減小評價(jià)者的主觀性對評估結(jié)果的影響。下面首先計(jì)算風(fēng)險(xiǎn)因素層的風(fēng)險(xiǎn)因素相對于評價(jià)層的權(quán)重。

2.2.1 模糊集與隸屬度矩陣

按傳統(tǒng)的層次分析法，首先要計(jì)算風(fēng)險(xiǎn)因素相對于評價(jià)層的判斷矩陣。即對風(fēng)險(xiǎn)因素層的風(fēng)險(xiǎn)因素相對于可用性、完整性、機(jī)密性分別構(gòu)造判斷矩陣。為了克服風(fēng)險(xiǎn)因素間比較的主觀性，采用模糊判斷來定量評定各個(gè)風(fēng)險(xiǎn)因素。

首先構(gòu)造風(fēng)險(xiǎn)因素集U={u1,u2,…,un}； 接著構(gòu)造評判集，相對于上一層不同的安全目標(biāo)，專家對各風(fēng)險(xiǎn)因素逐一給出影響程度評語，將各風(fēng)險(xiǎn)因素的評語分為m個(gè)等級，用以衡量風(fēng)險(xiǎn)因素對相應(yīng)安全目標(biāo)的影響程度大小。對不同的安全目標(biāo)，可設(shè)定不同的評判集V={v1,v2,…,vm}。

針對上層不同的ICS安全目標(biāo)，專家給出各風(fēng)險(xiǎn)因素相應(yīng)的影響程度評語，并構(gòu)造模糊映射z∶U→Z(V)。其中Z(V) 是V上的模糊集全體ui→z(ui)=(qi1,qi2,…,qim)∈Z(V)， 映射z代表ui對評判集中各影響程度評語的支持度。ui對評判集V的隸屬向量為Qi=(qi1,qi2,…,qim),i=1,2,…,n， 由此得到風(fēng)險(xiǎn)因素隸屬度矩陣為

(1)

風(fēng)險(xiǎn)因素相對于不同的安全目標(biāo)得到不同的隸屬度矩陣。

2.2.2 信息熵及權(quán)重確定

熵是1865年由德國物理學(xué)家Glausius作為熱力學(xué)的一個(gè)概念提出來的。20世紀(jì)40年代，香農(nóng)提出了“信息熵”的概念，將熵的概念推廣至信息領(lǐng)域，使信息的量化問題得到了解決。

假設(shè)系統(tǒng)有n種不同的狀態(tài)：S1,S2,…,Sn，P(S=Si)=pi表示系統(tǒng)處于狀態(tài)Si下的概率為pi， 則熵可以表示為

(2)

(3)

3個(gè)條件時(shí)，則有唯一的形式

(4)

針對2.2.1節(jié)構(gòu)造的風(fēng)險(xiǎn)因素隸屬度矩陣，如果某風(fēng)險(xiǎn)因素ui對評判集中評語的支持度qij(其中1≤j≤m) 差距較大，則說明評價(jià)結(jié)果較分散，該風(fēng)險(xiǎn)因素在綜合評價(jià)中所起的作用較大；如果差距較小，則說明評價(jià)結(jié)果缺乏說服力，該風(fēng)險(xiǎn)因素對綜合評價(jià)的貢獻(xiàn)較小。

由上面的分析可知，信息熵能有效的反向反映每個(gè)風(fēng)險(xiǎn)因素支持度的分散程度。因此，利用信息熵來衡量風(fēng)險(xiǎn)因素ui的相對重要性

(5)

由熵的極值性可知，Hi≤lnm。 對Hi做歸一化處理

(6)

得到風(fēng)險(xiǎn)因素ui的相對重要程度，且0≤ei≤1。ei越大，ui的重要程度越小，為使計(jì)算值正向反映ui的重要程度，采用1-ei對ui進(jìn)行度量，并進(jìn)行歸一化可得ui的權(quán)值

(7)

ωBα β=(α1,α2,…,αn) 為風(fēng)險(xiǎn)因素從設(shè)備Bα角度考慮，相對于Bα β安全目標(biāo)的權(quán)重集。例如，從設(shè)備B1角度考慮，風(fēng)險(xiǎn)因素相對于可用性B11的權(quán)重集為ωB11。 通過上述方法確定的風(fēng)險(xiǎn)因素權(quán)重集可以較為有效地減少專家的主觀性影響，為后續(xù)的風(fēng)險(xiǎn)評估奠定良好的基礎(chǔ)。本文使用上述方法分別對評價(jià)層、準(zhǔn)則層的各項(xiàng)因素進(jìn)行權(quán)重計(jì)算得到相應(yīng)權(quán)重集，計(jì)算過程相似，不再贅述。

2.3 ICS灰色風(fēng)險(xiǎn)評估

灰色理論廣泛應(yīng)用于結(jié)構(gòu)復(fù)雜，難以采用定量的方法構(gòu)建精確模型的系統(tǒng)研究中，在無法完全獲取系統(tǒng)信息的情況下，可以較好解決指標(biāo)難以量化的問題，使評估結(jié)果較為客觀準(zhǔn)確[10]。本節(jié)將灰色理論應(yīng)用到ICS風(fēng)險(xiǎn)評估中，步驟如下：

(1)ICS風(fēng)險(xiǎn)等級劃分

本節(jié)采用GB/T 36466-2018中ICS風(fēng)險(xiǎn)的劃分等級：很高、高、中、低和很低[11]，并將這5個(gè)風(fēng)險(xiǎn)等級對應(yīng)的分?jǐn)?shù)設(shè)為5、4、3、2、1，同時(shí)將相應(yīng)的等級向量表示為G=(5,4,3,2,1)。 介于兩個(gè)劃分等級之間的風(fēng)險(xiǎn)值取對應(yīng)的等級分?jǐn)?shù)的中間值。

(2)構(gòu)建樣本評估矩陣

根據(jù)步驟(1)中確定的ICS風(fēng)險(xiǎn)等級，采用專家打分方式，對各風(fēng)險(xiǎn)因素進(jìn)行獨(dú)立打分，得到樣本評估矩陣。假設(shè)有g(shù)個(gè)評價(jià)者，根據(jù)評價(jià)者的評價(jià)結(jié)果，得到樣本評估矩陣D

(8)

其中，dji代表第j個(gè)評價(jià)者對ui的評價(jià)結(jié)果。

(3)白化權(quán)函數(shù)的確定[10]

設(shè)有t個(gè)評價(jià)灰類，根據(jù)步驟(1)中確定的ICS風(fēng)險(xiǎn)等級，本節(jié)中設(shè)t=5，相應(yīng)的白化權(quán)函數(shù)和閾值分別是f1,f2,…,f5和γ1,γ2,…,γ5。

(4)構(gòu)建灰色評價(jià)矩陣

對于風(fēng)險(xiǎn)因素ui，假設(shè)g個(gè)評價(jià)者給出的評價(jià)分別為k1i,k2i,…,kgi， 那么ui隸屬于第t個(gè)灰類的灰色統(tǒng)計(jì)數(shù)為

(9)

相應(yīng)的總灰色統(tǒng)計(jì)數(shù)為

(10)

根據(jù)計(jì)算得到的灰色統(tǒng)計(jì)數(shù)和總灰色統(tǒng)計(jì)數(shù)，可計(jì)算出灰色評價(jià)權(quán)

rit=Nit/Ni

(11)

此值用于衡量所有評價(jià)者主張風(fēng)險(xiǎn)因素ui隸屬于第t個(gè)灰類的強(qiáng)烈程度。

由rit可得ui對于各灰類的灰色評價(jià)權(quán)向量ri=(ri1,ri2,ri3,ri4,ri5),i=1,2,…,n， 進(jìn)而構(gòu)建風(fēng)險(xiǎn)因素ui關(guān)于各評價(jià)灰類的灰色評價(jià)矩陣R

(12)

(5)灰色綜合評價(jià)

針對評價(jià)層，由2.2節(jié)得到風(fēng)險(xiǎn)因素在設(shè)備Bα視角下，相對于安全目標(biāo)Bα β的權(quán)重集是ωBα β， 對安全目標(biāo)Bα β下的各風(fēng)險(xiǎn)因素進(jìn)行灰色評價(jià)得到對應(yīng)的灰色評價(jià)矩陣Rα β， 則安全目標(biāo)Bα β的灰色綜合評價(jià)向量為

L(Bα β)=ωBα β×Rα β

針對準(zhǔn)則層，已知設(shè)備Bα可從可用性、完整性、機(jī)密性3個(gè)安全目標(biāo)進(jìn)行評估，分別設(shè)為Bα1,Bα2,Bα3， 由2.2節(jié)計(jì)算得設(shè)備Bα下安全目標(biāo)的權(quán)重集為ωBα， 那么設(shè)備Bα的灰色綜合評價(jià)向量為

L(Bα)=ωBα×W(Bα)

其中

W(Bα)=(L(Bα1),L(Bα2),L(Bα3))T

針對目標(biāo)層，由圖1可知，風(fēng)險(xiǎn)指數(shù)F由4個(gè)設(shè)備組成，分別為B1,B2,B3,B4。 設(shè)F下各設(shè)備的權(quán)重集為ωF， 則F的灰色綜合評價(jià)向量為

L(F)=ωF×W(F)

其中

W(F)=(L(B1),L(B2),L(B3),L(B4))T

(6)ICS風(fēng)險(xiǎn)評估

將風(fēng)險(xiǎn)等級向量G和灰色綜合評價(jià)向量L(F) 進(jìn)行運(yùn)算[10]，得到ICS整體信息安全風(fēng)險(xiǎn)值

Risk=L(F)×GT

(13)

同理，可計(jì)算出設(shè)備Bα的風(fēng)險(xiǎn)值及Bα在可用性、完整性、機(jī)密性3方面存在的風(fēng)險(xiǎn)值，分別為

RiskBα=L(Bα)×GT

(14)

RiskBα1=L(Bα1)×GT

(15)

RiskBα2=L(Bα2)×GT

(16)

RiskBα3=L(Bα3)×GT

(17)

2.4 風(fēng)險(xiǎn)評估流程

此模型的風(fēng)險(xiǎn)評估流程如圖2所示。

圖2 風(fēng)險(xiǎn)評估流程

3 實(shí)驗(yàn)分析

3.1 民航某ICS系統(tǒng)

民航某ICS采用工控典型網(wǎng)絡(luò)架構(gòu)，主要分為企業(yè)管理層、過程監(jiān)控層和現(xiàn)場控制層3個(gè)邏輯層次，網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

圖3 民航某ICS網(wǎng)絡(luò)結(jié)構(gòu)

3.2 風(fēng)險(xiǎn)評估

(1)指標(biāo)權(quán)重確定

不同的設(shè)備在AIC這3個(gè)方面的信息安全需求不同。例如，PLC對可用性要求較高，一旦PLC可用性遭受破壞，則很有可能無法接受上層指令，進(jìn)而不能有效操作執(zhí)行器，最終導(dǎo)致系統(tǒng)的不可控。而數(shù)據(jù)庫服務(wù)器對機(jī)密性要求較高，工藝數(shù)據(jù)的泄露會造成較大的經(jīng)濟(jì)損失。

相同的攻擊方式可能會對不同設(shè)備造成不同的影響。若PLC遭受拒絕服務(wù)攻擊，則會失去控制能力，進(jìn)而無法控制生產(chǎn)過程，造成較大的危害；若操作員站遭受此攻擊，則很有可能被值班人員及時(shí)發(fā)現(xiàn)，進(jìn)而減少此攻擊造成的損失。根據(jù)上述分析，不同設(shè)備下的風(fēng)險(xiǎn)因素層和評價(jià)層的權(quán)重集存在差異。下面以工程師站B1為例，確定風(fēng)險(xiǎn)因素層和評價(jià)層的權(quán)重集。

針對風(fēng)險(xiǎn)因素層，首先確定風(fēng)險(xiǎn)因素對于工程師站B1下可用性的權(quán)重。設(shè)風(fēng)險(xiǎn)因素層的風(fēng)險(xiǎn)因素集為U={c1,c2,c3}， 評判集為VA={vA1,vA2,vA3,vA4,vA5}。 其中vA1表示威脅對可用性影響最小，vA5表示威脅對可用性影響最大。從vA1到vA5， 威脅對可用性的影響程度逐漸加大。結(jié)合專家的評定意見，得到可用性隸屬度矩陣

同理，類似設(shè)計(jì)完整性和機(jī)密性的評判集，可得完整性隸屬度矩陣和機(jī)密性隸屬度矩陣

同理，針對評價(jià)層，設(shè)因素集為U′={c′1,c′2,c′3} 評判集V={v1,v2,v3,v4,v5}， 結(jié)合專家評價(jià)，可得B1的隸屬度矩陣

根據(jù)式(6)、式(7)，計(jì)算工程師站B1下風(fēng)險(xiǎn)因素層和評價(jià)層的權(quán)重，分別為

ωB11=(0.166,0.239,0.595)ωB12=(0.432,0.245,0.323)ωB13=(0.726,0.274)ωB1=(0.315,0.421,0.264)

同理，可計(jì)算操作員站B2、 數(shù)據(jù)庫服務(wù)器B3、 PLCB4對應(yīng)的權(quán)重，結(jié)果見表1。

表1 B2-B4下評價(jià)層和風(fēng)險(xiǎn)因素層權(quán)重

風(fēng)險(xiǎn)指數(shù)F下準(zhǔn)則層權(quán)重見表2。

表2 準(zhǔn)則層權(quán)重

(2)灰色評價(jià)

以工程師站B1為例，由5位專家按照上文所述的五分制進(jìn)行打分，得到樣本評估矩陣D11、D12、D13， 分別對應(yīng)于工程師站B1下的可用性、完整性和機(jī)密性。評估矩陣為

本文的評價(jià)體系設(shè)置5個(gè)評價(jià)灰類，根據(jù)文獻(xiàn)[10]，本文確定的白化權(quán)函數(shù)為

根據(jù)2.3節(jié)的計(jì)算方法，得到對應(yīng)的灰色評價(jià)矩陣

根據(jù)步驟(1)確定的工程師站B1下風(fēng)險(xiǎn)因素層和評價(jià)層的指標(biāo)權(quán)重，計(jì)算可得可用性、完整性、機(jī)密性對應(yīng)的灰色綜合評價(jià)向量

L(B11)=ωB11×R11= (0.207,0.249,0.250,0.169,0.127)L(B12)=ωB12×R12= (0.230,0.273,0.228,0.156,0.113)L(B13)=ωB13×R13= (0.196,0.246,0.246,0.178,0.134)

進(jìn)而計(jì)算出B1的灰色綜合評價(jià)向量

L(B1)=ωB1×W(B1)= (0.214,0.259,0.239,0.165,0.123)

其中，W(B1)=(L(B11),L(B12),L(B13))T。

同理計(jì)算出其余ICS設(shè)備的灰色綜合評價(jià)向量以及可用性、完整性、機(jī)密性對應(yīng)的灰色綜合評價(jià)向量，結(jié)果見表3、表4。

根據(jù)2.3節(jié)風(fēng)險(xiǎn)值計(jì)算方法，計(jì)算出整體風(fēng)險(xiǎn)值和設(shè)備風(fēng)險(xiǎn)值以及在AIC這3方面存在的風(fēng)險(xiǎn)值，結(jié)果見表5。

表3 設(shè)備B2-B4下的AIC灰色綜合評價(jià)向量

表4 設(shè)備B2-B4的灰色綜合評價(jià)向量

表5 風(fēng)險(xiǎn)評估結(jié)果

最終求得系統(tǒng)整體風(fēng)險(xiǎn)值為

Risk=L(F)×GT=3.257

根據(jù)ICS風(fēng)險(xiǎn)等級，系統(tǒng)總體風(fēng)險(xiǎn)為中，需提高安全防護(hù)水平。由表5可知，風(fēng)險(xiǎn)最高的部分是PLC和工程師站，且PLC在可用性方面面臨較高的風(fēng)險(xiǎn)，工程師站在完整性方面面臨較高的風(fēng)險(xiǎn)，需采取針對性措施進(jìn)行防護(hù)。此外，數(shù)據(jù)庫在機(jī)密性方面面臨的風(fēng)險(xiǎn)較高，需提高數(shù)據(jù)保護(hù)強(qiáng)度。

4 結(jié)束語

針對日益嚴(yán)峻的ICS信息安全問題，本文提出了一種基于模糊集和熵的灰色風(fēng)險(xiǎn)評估模型。該模型較為有效地降低了專家主觀性影響，在評估系統(tǒng)整體風(fēng)險(xiǎn)值的同時(shí)，能較為準(zhǔn)確計(jì)算出設(shè)備的風(fēng)險(xiǎn)以及設(shè)備在可用性、完整性、機(jī)密性3方面存在的不同風(fēng)險(xiǎn)，為ICS的防護(hù)提供依據(jù)。但該方法仍有待進(jìn)一步研究：在建立風(fēng)險(xiǎn)評估指標(biāo)體系的過程中，需結(jié)合ICS實(shí)際情況對威脅和ICS設(shè)備進(jìn)行更全面的劃分，從而對系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行更準(zhǔn)確的評估。