工业控制系统信息安全风险评估量化研究 .pdfVIP

工业控制系统信息安全风险评估量化研究

卢慧康1陈冬青2彭勇2王华忠1

【摘要】摘要:为解决工控系统的信息安全风险量化评估问题，提出了基于模

糊层次分析法的工业控制系统信息安全风险评估方法。结合工控系统特点，构

造了层次结构模型，引入了模糊一致矩阵计算各要素相对重要性权值，克服了

层次分析法需多次进行一次性检验问题;自下而上对工控系统风险进行模糊综合

评判，并将评判结果反模糊化，得出了风险的精确值。实例表明，该方法能合

理有效地量化控制系统风险，为工业控制系统风险管理决策提供了依据。

【期刊名称】自动化仪表

【年(卷),期】2014(000)010

【总页数】5

【关键词】关键词:层次分析法信息安全工业控制系统风险评估风险分析

0引言

工业控制系统(industrialcontrolsystem，ICS)广泛应用于石油化工、交通运

输、水处理等国家关键基础设施中［1］。随着信息技术的发展以及“两化”融

合的深入，传统的工业控制系统与IT系统，甚至与Internet连接越来越紧密，

导致ICS面临的安全威胁不断增多。近年来，ICS领域的信息安全事件频发。

2010年一个名为“震网”的病毒攻击了伊朗的布什尔核电站，导致离心机大量

损坏，严重打击了伊朗的核计划［2］。层出不穷的控制系统信息安全事件表明，

加强ICS的保护已经变得迫在眉睫。

风险的量化评估是ICS信息安全研究的重要基础。国外ICS信息安全风险评估

起步较早，已建立了如NIST800-82、ISA/IEC62443等的国际标准和指南［3

－4］;而国内在该领域的研究尚处于探索阶段。目前，国内外还没有一套行之

有效的针对ICS信息安全风险量化评估方法。本文针对ICS的特点，以

NIST800-82和IEC62443为依据，进行了风险分析，提出了基于模糊层次分

析法(analytichierarchyprocess，AHP)的ICS信息安全风险评估方法。经过

实例论证，该方法行之有效，可以为工业控制领域信息安全风险评估工作提供

借鉴。

1信息安全风险分析

全面的风险分析是开展风险评估的前提。ICS有区别于传统IT系统的特点，如

ICS不能容忍延迟和无计划的中断发生，任何复杂的数据加密认证产生的延迟

都可能会造成系统故障，由于ICS的逻辑执行会直接影响物理世界，设备出现

故障后可能造成有毒原料泄漏、区域停电等大规模不可预知的影响［5］。ICS

的现实特点表明其对实时性和稳定性要求非常高。因此，在确保系统满足信息

安全需求的同时，应尽量避免所部署的安全设备对工艺过程的稳定性和实时性

造成影响。

风险分析分别从满足信息安全需求和工艺需求两个方面对资产进行识别，形成

资产类要素;根据资产脆弱点的严重程度识别系统脆弱性要素;再对ICS面临的威

胁要素和已部署的安全措施类要素进行全面的识别，最终建立风险评估模型。

通过分析各要素之间的关联程度，计算出系统的风险值。风险分析模型如图1

所示。

1.1资产识别

资产的价值属性是其风险存在的根源。ICS资产存在的形式多种多样，按照资

产不同的存在形式，可归为4大类:硬件资产、软件资产、人力资源、专利商誉。

从满足工艺需求和满足安全需求两个方面对资产进行识别。如满足工艺需求的

硬件资产主要有远程终端装置(remoteterminalunit，RTU)、可编程逻辑控制

器(programmablelogiccontroller，PLC)、SCADA服务器或主终端单元

(mainterminalunit，MTU)、智能电子设备(intelligentelectronicdevices，

IED)、输入/输出(I/O)服务器、现场总线系统等。满足安全需求的硬件资产包括

主机、交换机、路由器、网关、防火墙等。满足工艺需求的软件资产主要有组

态监控软件、工控编程软件等。满足安全需求的软件资产主要是指通信软件、

互联网应用软件、办公软件、防病毒软件等。

1.2威胁识别

工业控制系统遭受的威胁日益严峻。关键基础设施的安全是国家经济稳定运行

的关键，因此也成为了敌对政府、商业间谍、恐怖组织等外部恶意入侵者进行

信息战的重要战场［6］。系统内部有意的人为事故、无意的操作失误和设备故

障等也会对ICS造成破坏。例如，一些组织内部存在移动存储介质混用、随意

安装各类软件、访问未经授权网站等行为，这类行为不仅影响工作效率，造成