1.山东滨化滨阳燃化有限公司 山东 滨州 251800;
摘要:随着时代发展和科技进步,各行各业迅速进入网络时代,化工企业呈现出集团化、规模化和大型化的发展趋势,对化工工控系统信息的安全要求和保护等级越来越受到重视。企业对化工工控系统信息都建立起严格的制度和操作规范,确保化工工控系统信息安全和能正常的运行。本文对化工工控系统信息安全现状及风险进行安全风险评估的方法、标准和理论进行分析,提出化工工控系统信息安全进行定量的安全风险评估,并针对风险评估的结果有针对性的提出安全保护措施,对于化工工控系统信息安全保护和研究具有重要的意义。
关键词:模糊数学;层次分析;化工企业;工控系统;系统安全;风险评估;判断矩阵;层次保护;保护措施
中图分类号:TD 文献标志码:A 文章编号:
由于当前我国工业开始进入工业4.0、工业互联网、智能化和两化融合的快速发展时代,在互联网和智能分析等科学技术的推动下,工业控制系统的信息化和开放性也逐渐扩大,同时也让人们开始认识到化工工控系统信息安全和安全防护措施的重要性,如何实现化工工控系统信息安全的有效保护是当前信息安全的重要问题[1-2]。根据近几年统计的恶劣网络黑客攻击事件导致工业化工工控系统无法正常工作,处于全面停工停产的状态,给企业、人们带来严重的生命财产、社会环境影响[3]。
例如,伊朗布什尔核电站2010年遭受到网络病毒“Stuxnet蠕虫”的攻击,致使核电站化工工控系统全面瘫痪,并根据化工工控系统的保护措施漏洞对PLC进行攻击,对核电设施的离心机转速进行更改,致使机组长时间高负荷运转,最终导致核电重要设施离心机报废,并且大量的终端设施和核心设备遭受感染不能使用[4]。通过对安全评价方法对化工工控系统信息安全进行安全风险评估,全面的分析系统所面临的各类风险,找到系统漏洞和风险,并有针对性的制定预防措施和抵御威胁攻击,对于提供化工工控系统的信息安全具有重要的研究意义。
1 化工工控系统概况
当前我国化工工控系统(ICS)框架一般可以分为:现场设备层、现场控制层、过程监控层、生产管理层和企业资源层等五个层次,并且随着时代和技术的不断发展,化工工控系统的五层框架也随着现实情况不断发展和完善,不同的企业实际情况和发展状况实现框架层次间的合并,实现化工工控系统的与时俱进。
2 化工工控系统风险评估的风险辨识和评估流程
对工业的控制系统进行风险评估主要针对企业的资源、威胁、脆弱性和现阶段的安全防护措施四个方面进行风险辨识。对各要素进行系统全面的掌握了解,其各要素之间的关系。
(1)资产辨识分析。企业资产辨识分析就是要首先辨识关键设备和化工工控系统以及附属设备,了解其潜在的安全风险和特征属性。全面掌握其设备的重要参数、配置和工作原理理论知识,并在在测试阶段记录相关参数信息,测试系统能否在相关参数下正常的工作运行。
(2)威胁辨识分析。企业在生产运行中,其生产系统自身的安全性可以受到某些特定的因素对系统产生威胁,威胁性辨识分析是系统风险评估最重要的因素之一,系统的威胁一般来自环境因素和人为因素,可以是直接对化工工控系统的攻击威胁,也可以是间接的维修,如来自于未授权的修改、删除和泄露等方式。通过系统的漏洞和弱点最终威胁成化工工控系统的脆弱性,使其化工工控系统受到威胁,无法保证化工工控系统的安全。人为因素的威胁来自于安全管理的违章指挥,操作人员的不安全行为等对化工工控系统的信息安全威胁。
(3)脆弱性辨识分析。系统的脆弱性辨识可以分为技术和管理方面的脆弱性,对系统的脆弱性辨识分析首先从系统资产进行分析,通过资产的漏洞分析,辨识出系统的脆弱性,其辨识可以分为人工审查、文件查阅和问卷调查。
3 构建化工工控系统信息安全风险综合评估指标体系
对化工工控系统信息安全的综合风险评估主要从资源、威胁、脆弱性和现阶段的安全防护措施四个一级评估指标因素,构建起包括:完整性、保密性、实用性、人为因素、环境因素、管理方面脆弱性、技术方面脆弱性、保护性防护措施、预防性防护措施九个二级风险评估指标因素,其构建起的化工工控系统信息安全风险综合评估指标体系如下表1所示。
表1化工工控系统信息安全风险评估指标体系
目标 | 一级评估因素 | 二级评估指标因素 | 具体描述 |
化工工控系统信息安全风险评估指标体系 | 资产A1 | 完整性B1 | 确保系统信息和管理系统不被非法或非授权人员登入,并不被更改和破坏; |
保密性B2 | 数据信息由提供者一方向特定另一方传输,确保不泄露给未授权人的过程; | ||
实用性B3 | 按照资源和数据信息特性,授权者可以按要求进行获取、访问该数据资源; | ||
威胁A2 | 人为因素B4 | 按照信息安全被获取的目的性分为非恶意性和恶意性两种; | |
环境因素B5 | 根据系统信息被外界威胁的因素属性,分为不可抗力因素和其他物理因素; | ||
脆弱性A3 | 管理方面脆弱性B6 | 分为组织管理和技术管理的脆弱性; | |
技术方面脆弱性B7 | 技术方面的脆弱性分为网络层、物理层、系统层和应用层面的脆弱性; | ||
现阶段的安全防护措施A4 | 保护性防护措施B8 | 保护性安全防护措施可以有效的降低发生安全事故后对系统和组织的影响; | |
预防性防护措施B9 | 预防性安全防护措施可以有效的降低发生安全事故发生的可能性概率; |
3.1 风险评估指标因素赋权值的确定
根据上文确定的综合风险评估确定的指标因素,选取4名专家学者对评估指标体系中的9项指标因素进行赋权打分,按照1-10的评估标准进行赋权,其赋权结果如表3所示。对风险评估判断矩阵的极小值和极大值进行规范化统一处理,对其判断矩阵进行加权赋权处理,构建起加权赋权判断矩阵。根据其参评专家的赋权值进而确定化工工控系统信息安全风险评估赋权结果如表2所示。
表2 化工工控系统信息安全风险评估赋权值结果统计表
目标 | 一级评估因素 | 一级赋权值 | 二级评估指标因素 | 二级赋权值 | 综合赋值 |
化工工控系统信息安全风险评估指标体系 | A1 | 0.350 | B1 | 0.2411 | 0.0701 |
B2 | 0.3955 | 0.1245 | |||
B3 | 0.3634 | 0.1075 | |||
A2 | 0.450 | B4 | 0.4500 | 0.2250 | |
B5 | 0.5500 | 0.2750 | |||
A3 | 0.175 | B6 | 0.6014 | 0.1025 | |
B7 | 0.3986 | 0.0687 | |||
A4 | 0.025 | B8 | 0.3216 | 0.0069 | |
B9 | 0.6784 | 0.0182 |
综合可得出风险评估指标因素的赋权向量:W=(0.0701、0.1245、0.1075、0.2250、0.2750、0.1025、0.0687、0.0069、0.0182)。
参考文献:
[1]张春杰. 基于博弈理论的化工工控系统信息安全风险评估技术研究[D].长春工业大学,2021.
[2]贾驰千,冯冬芹. 基于模糊层次分析法的化工工控系统安全评估[J]. 浙江大学学报(工学版),2016,50(04):759-765.
[3]龚斯谛. 基于AHP和攻击图的化工工控系统信息安全风险评估研究[D].南昌航空大学,2017.
[4]彭道刚,卫涛. 基于D-AHP和TOPSIS的火电厂控制系统信息安全风险评估[J]. 控制与决策,2019,34(11):2445-2451.
[5]卢慧康,陈冬青,彭勇,王华忠. 工业控制系统信息安全风险评估量化研究[J]. 自动化仪表,2014,35(10):21-25.
作者简介:刘丽峰(1987.06~),男,汉族,山东阳信人,本科,设备工程师,主要从事化工设备和安全管理工作;
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网 琼ICP备2021005105号
