摘  要：社会的飞速进步带动了企业信息化与工业化的融合，使得工业控制系统在水利、化工、安防、交通及制造业领域都得到了很大程度的应用。然而，伴随信息技术和行业的整合，互联网等公共服务网络与工控系统之间不可避免的紧密相连，这将使工控系统持续的暴露在各种安全威胁之下。在此背景之下，需要以工业控制系统面临的安全问题和安全需求为出发点，基于安全评估的标准和方法构建信息安全评估模型，按设计的评估标准对工业控制系统完成安全评估。

关键词：工业控制系统;安全评估模型;评估准则

中图分类号：TP273;TP309      文献标识码：A 文章编号：2096-4706（2020）12-0131-03

Abstract：With the rapid progress of society，the integration of enterprise informatization and industrialization has been promoted，so that industrial control systems have been applied to a large extent in water conservancy，chemical industry，security，transportation and manufacturing. However，with the integration of information and industry，the internet and other public service networks are closely connected with the industrial control system，which will continuously subject the industrial control system to different security threats. Under this background，it is necessary to take the security problems and security needs faced by industrial control systems as a starting point，build an information security evaluation model based on the standards and methods of security evaluation，and complete the security evaluation of the industrial control system according to the designed evaluation standards.

Keywords：industrial control system;safety assessment model;assessment criteria

0  引  言

工业控制系统（Industrial Control System，ICS，下文簡称为“工控系统”）主要用于各种类型的工业设备，工业控制器和工业程序的管理软件的组合，将它们集成到一个完全自动化或半自动化的工控系统中，在我国制造业中此系统得到大范围的应用。现如今，我国多数设备通过工控系统实现自动化运行，通过上述可以看出，工业控制系统已是我国制造业日常生产作业的核心，其重要性显而易见，因此，我国各类工控系统的信息安全问题已成为国家级的战略问题。工控系统的安全评估是保证系统信息安全的一项必不可少的措施，其目的是及时发现系统中存在的问题，对风险损失与维护成本进行衡量，从中寻找出最佳的平衡点，进而采取转移风险、规避风险和降低风险的相应措施。

上海交通大学网络空间安全学院以历年工控系统遇到的安全问题和安全需求为出发点，基于安全评估的标准和方法进行了研究，构建了适用于当前工控系统的信息安全评估模型，并通过计算机技术设计和开发了安全评估系统。

1  研究现状

现今，工控系统信息安全事件的发生频率呈逐年上升的趋势，使得人们意识到现今的工控系统的安全防护并非是牢不可破，相对于信息安全事件的发生频率，工控系统中的安全事故频率较低，但是工控系统为国家发展建设的重要组成部分，若遭受不法分子通过网络进行攻击，将会导致国家经济出现下滑，甚至会导致社会出现动荡。而由此可以看出，对工控系统信息安全方面存在的问题进行研究十分必要，其是保障社会稳定、生产安全的重中之重。

2  现有安全评估方法

在对工控系统进行信息安全评估时，可选择的评估方法较多，其主要的目的都是为了能有效识别系统的资产以及为采取何种有效安全措施提供可靠依据。通过对系统的脆弱点和可能面临的风险进行详细的分析，以便组织采取相应的措施，从而让工业控制系统信息安全系数得到明显的提升。若将工控系统进行安全评估时所涉及的评估方法进行详细的划分，则可将其分为两种，分别是定性评估、定量评估这两种方法。

2.1  定性的评估方法

此评估方法主要是评估人员从自身经验出发，融入历史事件、政策的走向等非量化指标作为参考，进而对系统的风险状况进行定性的描述。例如：在日常生活中我们对事情进行评断的时候，通常可用“好事情”或“坏事情”来对该事情进行描述。定性评估为评估方法的总称，其中包括多种评估方法，如：历史比较法、专家评断法和逻辑分析法。

此种评估方法的优点是在进行信息安全评估的时候不需要依靠历史数据，只要依靠评估人员的经验，有针对性、系统地对系统信息安全进行评价。使用定性方法对工控系统执行信息安全评估也存在一定的缺点。例如评估人员在执行评估时通常会对产生安全事件之后所带来的损失投以过多的关注，这往往会导致评估人员忽视事件出现的概率。并且进行定性评估的时候，由于评估人知识背景、个人喜好等存在差异方面的影响，可能会给评估结果的准确性带来未知的干扰。

2.2  定量的评估方法

定量的评估方法含意为在对工控系统进行信息安全评估时，需建立相应的量化指标来对风险进行评判。所以使用此方法的时候，通过运用历史数据，并使用数学方法，对系统中的风险进行预测与分析。此评估方法包括：因子分析法、等风险法、决策树法和聚类分析法。

采用此方法进行工控系统信息安全评估可以将评估结果通过数据的形式展示出来，此结果相对于定性结果而言，能够将数据直观的展示出来。这将使得安全评估的严谨性、安全性及客观性明显加强，但是运用此方法进行信息安全评估也存在一些缺点，在进行实际评估的时候，对评估因素进行量化处理即为将复杂事情进行简单处理，在这样的过程中极有可能会遗漏重要的评估因素，而此种方法也不能很好的确保评估结果的准确性。

3  安全评估设计与建模

本文采取定量及定性相结合的评估方法，以工控系统信息安全評估初期的真实状况作为基础，从而展开安全评估工作，主要原因为：

（1）工控系统中呈现出的安全问题往往复杂程度都很高，如果单独采用定性或定量的方式对其进行评估，则无法从根本上满足实际的安全评估要求。

（2）从近年来我国信息安全评估的整体形势看出，整体发展速度较快，但现今工控系统的安全评估工作仍处在发展初期，并未出现极具代表性的先进研究成果。在实际的安全评估过程中，大部分的工作内容还需依赖于人工操作，这样将使得安全评估方法的准确性和可靠性得到保证。

（3）由上述分析可知，所采用的定性和定量相结合的方式能够尽可能地发挥出两种分析方法的优势。在实际评估过程中，如果可以突破上述所说的瓶颈限制影响，则证明该评估分析方法的可实施性较强。

本文的评估模型的结构分为三个层次：目标层、因素层，以及指标层，如图1所示。

在该模型下，通过对工控系统信息安全相关指南和标准进行分析，再加上对所选评估方法的考虑，最终建立的安全评估模型所得到的应是工控系统信息安全防护能力的总值，并对目标系统中资产、系统脆弱性、威胁及安全措施进行识别。对目标系统安全因素的识别主要体现判定指标层的指标，为此，在模型的构建过程中应将目标层定为工控系统信息的安全防护能力总值，并对工控系统信息安全防护能力的评估领域进行确定，确定的评估领域共十一个，如图2所示。

在实际的计算过程中首先应对权重进行计算，主要包括对十一个领域的权重及各个领域下不同问题的权重进行计算。计算过程中采用的方法和流程基本一致，分为五个步骤。

3.1  对模糊互补判断矩阵进行构建

已知，现已经建立安全评估模型的因素层中共包括十一个因素，分别为Fi（i=1，2，…，11），首先专家构建出上述十一个领域中的第一个模糊判断矩阵RF1进行构建，判断矩阵RF1为：

构建好判断矩阵之后，引入德尔菲法使其他参与评估过程的专家对十一个因素的模糊判断矩阵进行构建，在矩阵RFx=（rxij）11×11中，x表示的是专家代号。当全部评估专家完成对判断矩阵的构建后，应将全部矩阵相同位置处的元素取出并对其按顺序排列得到序列S，例如S11={S1，S2，…，Sn}，在该类型集合中，S11所表示是全部所构建的矩阵中第一行第一列元素的排列集合，由此原理能够得到S11，S12，…，Snn，其中n的最大值为11。完成此操作后将排列好的集合向专家进行反馈，根据得出的专家反馈结果第二次构建判断矩阵，一直到第三次矩阵成功构建结束。最后计算其中位数tM，公式为：

3.2  对模糊一致判断矩阵进行构建

3.4  对分数分布进行计算

对十一个评估领域及其元素包含问题的权重进行了计算，之后则对目标系统的安全值进行计算。在本文的研究中将工业控制系统信息安全值规定为满分一百分，将系统的安全级别划分为如下所示：{非常低、低、一般、高、很高}，各级别所对应的分段为：{0～20、20～40、40～60、60～80、80～100}。随之根据D=100 W，求出十一个领域内分数的分布向量DF=（dF1，dF2，…，dFn），n=（1，2，…，11）。

3.5  对安全总值进行计算

在所构建的评估模型中，其指标层主要由各领域中的各类问题组成，依照每个问题的实际判定情况，将判定为“是”时的相应得分确定为经过上述步骤所得到的分数。而将回判定“否”的情况，确定为不得分。将全部求得的分数dF1，dF2，…，dFn做加法后，求出信息安全总值G。

4  结  论

本文通过从工业控制系统现今面临的安全问题和安全需求为出发点，基于安全评估的标准和方法构建了信息安全评估模型，为工业控制系统的安全评估提供适合的模型。

参考文献：

[1] 胥强.烟草行业工业网络安全解决方案 [J].自动化博览，2019（12）：78-80.

[2] 刘莲.工业控制系统网络安全防护建设 [J].当代化工研究，2019（16）：125-126.

[3] 王智刚，李林森.工业控制系统安全量化评估 [J].通信技术，2019，52（12）：3050-3057.

[4] 卓明.安全RTU的研究与应用 [J].仪器仪表用户，2020，27（2）：99-101.

[5] ZHANG H X. Design of Industrial Computer Control System in Grease Production [J].Procedia Computer Science，2020，166：376-380.

作者简介：陈纯（1989.09—），男，汉族，上海人，信息系统项目管理师（高级），本科，研究方向：信息安全。