一種面向典型冶金工藝控制系統(tǒng)的信息安全風險評估方法
【專利摘要】一種面向典型冶金工藝控制系統(tǒng)的信息安全風險評估方法��,屬于工業(yè)控制系統(tǒng)信息安全【技術領域】���。通過建立冶金工藝流程典型場景下的攻擊模型,分析不同攻擊模式和策略下的系統(tǒng)魯棒性���,進而實現(xiàn)典型冶金工藝流程控制系統(tǒng)在不同攻擊模式和失效模式下安全風險評估���。該方法從風險理論出發(fā)��,將冶金工藝流程控制系統(tǒng)定義為一個信息物理融合系統(tǒng)����,用隨機概率方法進行安全風險評估�����,從攻擊源或失效源發(fā)生的概率和造成的影響兩個方面入手�,提出基于風險指標的安全評估方法。定量估計基于風險指標進行�,根據(jù)建立的信息物理融合模型和攻擊模型,構建安全事件集�����,結合計算的魯棒性評價指標���,進行量化評估���,從而有助于定位控制系統(tǒng)中安全薄弱環(huán)節(jié)��。
【專利說明】一種面向典型冶金工藝控制系統(tǒng)的信息安全風險評估方法
【技術領域】
[0001] 本發(fā)明屬于工業(yè)控制系統(tǒng)信息安全【技術領域】��,特別是涉及一種面向典型冶金工 藝控制系統(tǒng)的信息安全風險評估方法���。
【背景技術】
[0002] 冶金行業(yè)是我國國民經濟的支柱性產業(yè),是關系國計民生的基礎性行業(yè)�����。自動化 和信息化的高度融合成為冶金行業(yè)的發(fā)展趨勢���,以以太網(wǎng)為主的控制網(wǎng)絡系統(tǒng)得到普遍應 用��。隨著黑客攻擊手段和技術的日益復雜��、高級�,以工業(yè)控制系統(tǒng)作為目標的攻擊層出不 窮�,作為復雜的混合流程工業(yè),冶金行業(yè)的安全形勢比較嚴峻���,主要表現(xiàn)在以下幾個方面:
[0003] (1)工藝和控制網(wǎng)絡比較復雜。冶金企業(yè)是典型的混合流程型企業(yè),冶金企業(yè)具 有工業(yè)領域生產流程的典型特點����,包括連續(xù)和離散混合、物理變化和化學變化混合的過程����; 其自動化程度比較高,流程長�,環(huán)節(jié)多,工序之間相互耦合�����,涉及到的自動化設備��、子系統(tǒng)眾 多�����,促使控制系統(tǒng)網(wǎng)絡拓撲比較龐大�,復雜程度高,安全風險比較大���。
[0004] (2)單體設備成本高�����。冶金企業(yè)典型工藝流程涉及到大宗單體設備����,如高爐、轉爐����、 軋機機組等,設備成本高���,一旦受到攻擊���,直接危及到物理世界,造成的損失甚至難以估量��, 因此冶金企業(yè)控制網(wǎng)絡安全形勢比較嚴重��。
[0005] (3)信息安全管理復雜���。冶金行業(yè)由于控制網(wǎng)絡規(guī)模大����,工藝耦合比較強,安全邊 界難以界定�;由于其與物理世界緊密相連���,網(wǎng)絡實時性�����、可用性��、業(yè)務連續(xù)性要求較高[7]; 冶金企業(yè)是污染大戶�,能源環(huán)保對網(wǎng)絡的要求也增加了系統(tǒng)信息安全管理的復雜性�����。
[0006] (4)攻擊手段越來越高級����、隱蔽。傳統(tǒng)冶金行業(yè)控制系統(tǒng)��,早期設計早于互聯(lián)網(wǎng)���,它 需要采用專門的硬件��、軟件和通信協(xié)議��,設計上以可用性�����、可靠性為主�,基本沒有考慮互聯(lián) 互通所必須考慮的通信安全問題;利用工控設備漏洞���、以太網(wǎng)協(xié)議缺陷����、工業(yè)應用漏洞等��, 攻擊者可以針對性的構建更加隱蔽的攻擊通道�,以Stuxnet蠕蟲為例,其充分利用了伊朗 布什爾核電站工控網(wǎng)絡中工業(yè)PC與控制系統(tǒng)存在的安全漏洞��,為攻擊者入侵提供了七條 隱蔽的通道�。
[0007] 上述因素造成冶金工藝流程控制系統(tǒng)面臨的安全風險比較高。冶金工藝流程控制 系統(tǒng)及其安全性研究算是信息安全研究領域的一個新領域��,首先需要熟悉冶金工藝流程控 制系統(tǒng)��,其次重點研究冶金工藝流程控制系統(tǒng)自身的風險及脆弱性情況,并在此基礎上基 于模擬攻擊場景進行攻防推演分析��,進而對控制系統(tǒng)風險進行評估��。只有在充分了解冶金 工藝流程控制系統(tǒng)風險分布和構成的前提下�,才能逐步完善系統(tǒng)的安全性保障措施�����。
[0008] 研究方法上��,目前控制系統(tǒng)安全問題的研究基本沿用IT信息安全研究的思路��,采 用邊界防御的理論與方法�����,把焦點放在工業(yè)控制網(wǎng)絡本身的安全防御上��,如工業(yè)防火墻���、安 全隔離系統(tǒng)�����、流量入侵檢測系統(tǒng)等�,或者采用事后報警方式。但是流程行業(yè)業(yè)務連續(xù)性和高 實時性��,要求能夠一旦有風險�,及時發(fā)現(xiàn)并預防或者及時發(fā)現(xiàn)攻擊,采用補救措施�����,使系統(tǒng) 能夠安全"彈性"運行�����,這需要對控制系統(tǒng)安全風險進行評估才能夠實現(xiàn)���。單純從信息技術 的角度來研究控制系統(tǒng)的網(wǎng)絡安全����,無法解決工業(yè)環(huán)境下惡意攻擊的決策模型���、行為描述����、 安全風險評估等一系列理論和實踐問題。
[0009] 冶金行業(yè)典型工藝流程控制系統(tǒng)的本質是信息物理融合系統(tǒng)(CPS)��,多維異構的 計算單元和物理對象在網(wǎng)絡環(huán)境中高度集成與交互�,構成了一類新型的智能復雜系統(tǒng)。其 安全風險評估技術研究需要從信息物理融合的角度切入��,從控制的角度分析黑客的攻擊策 略��,建立理性黑客的攻擊行為模型和攻擊目標模型��,進而發(fā)現(xiàn)系統(tǒng)薄弱環(huán)節(jié)���,采用合適的技 術進行風險評估,雖然在工業(yè)控制領域和信息安全領域都分別有大量關于風險評估的研 究和討論����,但從信息物理融合角度進行的工業(yè)控制系統(tǒng)信息安全風險評估仍然處于起步階 段,針對冶金行業(yè)控制系統(tǒng)風險評估技術的研究還未見報道�����。
【發(fā)明內容】
[0010] 本發(fā)明的目的在于���,提供一種面向典型冶金工藝流程控制系統(tǒng)的信息安全風險評 估方法���,它基于信息物理融合的控制系統(tǒng)數(shù)學模型��,通過建立冶金工藝流程典型場景下的 攻擊模型����,分析不同攻擊模式和策略下的系統(tǒng)魯棒性����,進而實現(xiàn)典型冶金工藝流程控制系 統(tǒng)在不同攻擊模式和失效模式下安全風險評估。該方法從風險理論出發(fā)�����,將冶金工藝流程 控制系統(tǒng)定義為一個信息物理融合系統(tǒng)�,用隨機概率方法進行安全風險評估,從攻擊源或 失效源發(fā)生的概率和造成的影響兩個方面入手����,提出基于風險指標的安全評估方法。定量 估計基于風險指標進行����,根據(jù)建立的信息物理融合模型和攻擊模型,構建安全事件集,結合 計算的魯棒性評價指標����,進行量化估算,從而有助于定位控制系統(tǒng)中安全薄弱環(huán)節(jié)��。
[0011] 為解決上述技術問題��,本發(fā)明通過如下的技術方案實現(xiàn)���,具體工藝步驟如下:
[0012] (1)針對典型冶金工藝流程控制系統(tǒng)��,進行基于信息物理融合的控制系統(tǒng)數(shù)學建 模����,所述的基于信息物理融合的控制系統(tǒng)數(shù)學建模����,即基于MatlabSimulink&Petri-Net-S imulink-Block的混合建模方法�,其中,涉及到冶金工藝流程的連續(xù)動態(tài)模型采用一組傳統(tǒng) 的線性或非線性微分方程/狀態(tài)方程表示��,并用MatlabSimulink工具箱進行實現(xiàn)�;離散 事件采用PetriNet(PN)模型來表示,并用一個Simulink工具箱PNL進行實現(xiàn),PN離散模 型可以集成到Simulink框圖中�����,其中petriNet模型同步狀態(tài)轉移主要依賴外部事件的觸 發(fā)����。同時擴展PetriNet模型,對通信網(wǎng)絡組件進行建模�,通過信息模型時間延遲時間約束 來擴展模型,加入狀態(tài)同步機制���;
[0013] (2)風險識別�,所述的風險識別���,即對典型攻擊策略和手段進行建模�����,引入信息攻 擊模型�����,通過設置不同的攻擊條件和路徑���,進行系統(tǒng)魯棒性分析��,并計算魯棒性評價指標�����, 從實現(xiàn)風險識別���;所述的信息攻擊模型,主要指欺騙攻擊和拒絕服務攻擊這兩類常見攻擊 模式�����,主要包括注入���、篡改��、重播、封鎖�����、竊聽�����、延時、DoS攻擊形式�;
[0014] (3)根據(jù)風險識別結果,定義安全事件�,生成安全事件集;
[0015] (4)對安全事件進行風險評估��,所述的安全事件風險評估�����,即用隨機概率方法��,從 攻擊源或失效源發(fā)生的概率和造成的后果兩個方面入手�����,基于風險指標對安全事件進行定 量信息安全評估��。
[0016] (5)若所有安全事件集中的事件都評估完成����,則對所有的安全事件風險指標進行 綜合,得到一個綜合的系統(tǒng)信息安全風險指標�,用于評價系統(tǒng)信息安全整體狀況�����;如果安全 事件集中的事件還沒有評估完畢����,則直接轉至(4)��。
[0017] 本發(fā)明的典型的冶金工藝流程控制系統(tǒng)����,主要有高爐、轉爐���、連鑄�����、乳鋼等關鍵流 程工藝的控制系統(tǒng)�,由于冶金工藝流程這些典型的控制系統(tǒng)都是比較龐大的�,涉及到眾多 的工序、設備�,生產過程連續(xù)且復雜����,都屬于大規(guī)模信息物理融合系統(tǒng)�����,這種既有連續(xù)過程 又有離散事件和信息網(wǎng)絡組件的混合系統(tǒng)建模問題是建模領域的難題之一��。本發(fā)明提出基 于MatlabSimulink&Petri-Net-Simulink-Block的混合建模方法��,其中�,涉及到冶金工藝 流程的連續(xù)動態(tài)模型采用一組傳統(tǒng)的線性或非線性微分方程/狀態(tài)方程表示�����,并用Matlab Simulink工具箱進行實現(xiàn)�;離散事件采用PetriNet(PN)模型來表示,并用一個Simulink 工具箱PNL進行實現(xiàn)��,PN離散模型可以集成到Simulink框圖中�,其中petriNet模型同步 狀態(tài)轉移主要依賴外部事件的觸發(fā)。同時擴展PetriNet模型����,將信息網(wǎng)絡模型,即將網(wǎng)絡 中信息組件的模型引入����,加入狀態(tài)同步機制���,分析由于網(wǎng)絡通信引起的時間延遲、數(shù)據(jù)丟失 以及服務質量等因素對控制模型的影響���。
[0018] 本發(fā)明步驟(2)中所述的信息攻擊建模�����,主要從欺騙攻擊和拒絕服務攻擊這兩類 攻擊模式出發(fā)�,對典型攻擊策略和手段進行建模�,主要包括注入、篡改�、重播、封鎖����、竊聽、延 時����、DoS等攻擊形式;所述的魯棒性分析主要是基于魯棒性評價指標進行的,魯棒性評價指 標的計算從攻擊目標出發(fā)���,針對攻擊目標的數(shù)學描述,分析攻擊造成目標的損害程度來量 化該指標�����;如果攻擊目標對象是輸出測量���,魯棒性評價指標就是在不同攻擊策略和條件下 的輸出相對于預期輸出損失����,計算方法采用"最壞情況"原則�����,即采用最壞情況下?lián)p失程度 來度量�,同時考慮一些實現(xiàn)策略、物理容錯等約束條件�����。系統(tǒng)的綜合魯棒性評價指標����,采用 對各種攻擊條件或失效條件下指標的加權方式進行計算�,其計算公式如下:
【權利要求】
1. 一種面向典型冶金工藝控制系統(tǒng)的信息安全風險評估方法�,其特征在于,包括以下 步驟: (1) 針對典型冶金工藝流程控制系統(tǒng)�����,進行基于信息物理融合的控制系統(tǒng)數(shù)學建模���, 即基于Matlab Simulink&Petri-Net-Simulink-Block的混合建模方法���,其中,涉及到冶金 工藝流程的連續(xù)動態(tài)模型采用一組傳統(tǒng)的線性或非線性微分方程/狀態(tài)方程表示����,并用 Matlab Simulink工具箱進行實現(xiàn);離散事件采用Petri Net(PN)模型來表示����,并用一個 Simulink工具箱PNL進行實現(xiàn),PN離散模型可以集成到Simulink框圖中�,其中petri Net 模型同步狀態(tài)轉移主要依賴外部事件的觸發(fā)。同時擴展Petri Net模型�,對通信網(wǎng)絡組件 進行建模�,通過信息模型時間延遲時間約束來擴展模型����,加入狀態(tài)同步機制; (2) 風險識別���,所述的風險識別,即對典型攻擊策略和手段進行建模���,引入信息攻擊模 型�,通過設置不同的攻擊條件和路徑�����,進行系統(tǒng)魯棒性分析���,并計算魯棒性評價指標���,從實 現(xiàn)風險識別;所述的信息攻擊模型�,主要指欺騙攻擊和拒絕服務攻擊這兩類常見攻擊模式, 主要包括注入����、篡改���、重播、封鎖�����、竊聽��、延時�、DoS攻擊形式; (3) 根據(jù)風險識別結果����,定義安全事件,生成安全事件集����; (4) 對安全事件進行風險評估,所述的安全事件風險評估���,即用隨機概率方法�,從攻擊 源或失效源發(fā)生的概率和造成的后果兩個方面入手�����,基于風險指標對安全事件進行定量信 息安全評估。 (5) 若所有安全事件集中的事件都評估完成�����,則對所有的安全事件風險指標進行綜合��, 得到一個綜合的系統(tǒng)信息安全風險指標��,用于評價系統(tǒng)信息安全整體狀況�;當安全事件集 中的事件還沒有評估完畢�,則直接轉至(4)。
2. 根據(jù)權利要求1所述的方法��,其特征在于��,步驟(2)中所述的魯棒性評價指標��,其計 算方法是從攻擊目標出發(fā)����,針對攻擊目標的數(shù)學描述,分析攻擊造成目標的損害程度來量 化該指標����;當攻擊目標對象是輸出測量��,魯棒性評價指標就是在不同攻擊策略和條件下的 輸出相對于預期輸出損失��,計算方法采用"最壞情況"原則�����,即采用最壞情況下?lián)p失程度來 度量����,同時考慮一些實現(xiàn)策略�、物理容錯約束條件;系統(tǒng)的綜合魯棒性評價指標�,采用對各 種攻擊條件或失效條件下指標的加權方式進行計算,其計算公式如下:
其中�����,Si代表攻擊目標或失效目標���,a」代表特定狀態(tài)下的攻擊條件或失效條件����,^代 表在特定狀態(tài)的攻擊條件或失效條件%下,攻擊目標或失效目標Si的控制參數(shù)損失程度�, i G [1,N]���,j G [1��,M] ;Rimax代表攻擊目標或失效目標Si最壞情況下的魯棒性評價指標�; &代表每個攻擊目標Si的加權系數(shù)����,Ici根據(jù)該攻擊發(fā)生概率來估算;瓦表示系統(tǒng)綜合 魯棒性評價指標�; 系統(tǒng)魯棒性能與魯棒性評價指標成反比,即攻擊目標在最壞情況下?lián)p失程度越大�����,其 魯棒性越弱�。
3. 根據(jù)權利要求1所述的方法�,其特征在于,步驟(4)所述的風險指標���,需定量把握安 全事件發(fā)生的概率和后果這兩個風險的決定因素����;系統(tǒng)按照攻擊目標或失效目標來分類計 算,將系統(tǒng)風險指標定義為安全事件發(fā)生的概率與事件產生后果的乘積:
式中�,Si是攻擊目標或失效目標;Ej是未來時刻t發(fā)生的安全事件���;P (Ej)是安全事件 Ej發(fā)生的概率��;P (Ej, Cj)是在環(huán)境條件(即攻擊或失效條件)Cj下安全事件Ej發(fā)生時產生 的后果����;R(Si, E����,C)是風險指標值。
4. 根據(jù)權利要求3所述的方法�,其特征在于,所述的安全事件發(fā)生概率采用概率統(tǒng)計 模型來估算���, 安全事件發(fā)生次數(shù)的條件概率:假設目標系統(tǒng)在[〇���,T]時間段內遭受安全事件的次數(shù) 為n,安全事件的平均發(fā)生率為X�����,滿足n= XT,而且當T-…時����,n-…。為了確定在時
間t內(�?(= r)安全事件發(fā)生次數(shù)的分布函數(shù):如果在[0, T]內僅發(fā)生一次安全事件,那么 此安全事件發(fā)生在t內的概率p依賴于t與T的相對大小����。 滿足當T 時, f
在給定時間段t的情況下���,np為常數(shù)��;當t內發(fā)生一次安全事件 〇 記為"成功"����,而發(fā)生在t外記為"失敗";在t內發(fā)生k次安全事件的概率服從二項式概率 分布���,分布函數(shù)為:
如果對安全事件進行分類m種,類型為i的安全事件平均發(fā)生概率為Ai,那么在t時 間段內類型i的危險事件發(fā)生h次的概率可表示為:
5. 根據(jù)權利要求3所述的方法�,其特征在于�����,所述的攻擊或失效產生的后果能夠定義 為魯棒性評價指標的函數(shù)���,即: P(EpCj) = f (Rij) 式中,Rij是攻擊目標或失效目標Si在特定狀態(tài)的攻擊條件或失效條件a」下以及控制 參數(shù)損失程度A的情況下的魯棒性指標�。
6. 根據(jù)權利要求1所述的方法,其特征在于��,步驟(5)中所述的綜合的系統(tǒng)信息安全風 險指標�����,是所有安全事件風險指標的加權平均后的結果�,權值的確定根據(jù)安全事件的嚴重 程度來分配的。
【文檔編號】G05B23/02GK104331072SQ201410589958
【公開日】2015年2月4日 申請日期:2014年10月28日 優(yōu)先權日:2014年10月28日
【發(fā)明者】趙永麗, 蘆永明, 陳宏志 申請人:冶金自動化研究設計院