污水处理系统信息安全在线风险分析方法及系统

发布时间：2018-5-3 11:13:42  中国污水处理工程网

　　申请日2014.09.26

　　公开(公告)日2015.01.21

　　IPC分类号G06Q50/06

　　摘要

　　本发明公开了一种污水处理系统信息安全在线风险分析方法及系统。本发明先建立系统模型，包括资产损失分析模型、人员损失分析模型、环境损失分析模型、效益损失分析模型、安全事件模型、功能支撑模型以及贝叶斯攻击图;然后各网络节点作为从节点，监测其功能运行情况，并将监测结果发送给作为主节点的工程师工作站;最后主节点根据监测结果，利用建立的系统模型，分析系统损失。系统包括设置在工程师工作站上的主节点，设置在各网络节点上的从节点，以及连接主节点和所有从节点的一个工业通信网络。本发明综合考虑了污水处理系统在遭受入侵攻击时而导致各方面的损失，能够在资源受限的环境中进行全面、准确、快速的在线风险分析。

　　权利要求书

　　1.一种污水处理系统信息安全在线风险分析方法，该方法包括下述步 骤：

　　第1步建立系统模型，包括资产损失分析模型、人员损失分析模型、 环境损失分析模型、效益损失分析模型、安全事件模型、功能支撑模型以 及贝叶斯攻击图;

　　第2步各网络节点作为从节点，监测其功能运行情况，并将监测结果 发送给作为主节点的工程师工作站;

　　第3步主节点根据监测结果，利用建立的系统模型，分析系统损失。

　　2.根据权利要求1所述的污水处理系统信息安全在线风险分析方法， 其特征在于，第1步包括下述过程：

　　第1.1步建立资产损失评估模型：

　　分析污水处理系统的资产构成，生成资产清单，针对资产清单中的每 一个资产，首先分析其组件构成，生成组件清单，针对组件清单中的每一 个组件分析该组件提供的功能清单，建立资产损失评估模型;

　　第1.2步建立人员损失评估模型：分析污水处理系统的工作人员构 成，生成工作人员清单，针对每个工作人员建立人员损失评估模型;

　　第1.3步建立环境损失评估模型：首先分析发生哪些安全事故会对环 境造成污染，得到环境损失评估模型;

　　第1.4步建立安全事件分析模型：针对人员损失评估模型和环境损失 评估模型中的每一个安全事件，分析发生安全事故的条件，得到安全事件 分析模型;

　　第1.5步建立效益损失评估模型：分析污水处理系统的主要工艺流 程，分析当某工艺失效时，该工艺便无法产出产品，以至于后面的流程工 艺没有输入，导致后续工艺产品无法生成而产生的效益损失，对应的经济 损失通过后续工艺产品的价值计算得到;

　　第1.6步建立功能支撑模型：将资产损失分析模型、安全事件分析模 型和效益损失分析模型中的所有功能组成系统功能集合，针对集合中的每 个系统功能建立功能支持模型，以描述系统功能之间的支撑关系;

　　第1.7步建立贝叶斯攻击图：枚举攻击情景，根据攻击的过程，产生 贝叶斯攻击图的节点，然后计算节点间的状态转移概率，得到贝叶斯攻击 图。

　　3.根据权利要求1或2所述的污水处理系统信息安全在线风险分析方 法，其特征在于，第2步包括下述过程：

　　第2.1步首先建立系统功能失效与系统数据异常映射关系表;

　　第2.2步在系统中的每个网络节点上部署功能监测探针，功能监测探 针监测系统数据，并判断系统数据是否存在异常，如果存在异常，根据功 能失效与系统数据异常映射关系表分析系统功能失效，从而实现功能运行 情况监测的目的;

　　第2.3步每个系统的从节点将自身的功能监测探针的功能失效结果汇 总，并通过网络发送给主节点。

　　4.根据权利要求1或2所述的污水处理系统信息安全在线风险分析方 法，其特征在于，第3步中，主节点按照下述过程执行：

　　第3.1步对于没有检测出异常的系统功能，通过系统功能支撑模型分 析该功能是否失效;

　　第3.2步构建系统功能损失向量的维数为系统的功能总数， 主节点将所有从节点发送来的系统功能失效的结果汇总，生成当前时刻的 功能损失向量FFi是功能损失向量中的元素，每个元素都与一个系统 功能相对应;

　　第3.3步将系统当前的功能损失向量与贝叶斯攻击图中的节点进行 匹配;

　　第3.4步利用贝叶斯后验概率公式更新整个贝叶斯攻击图中每个节点 的可达概率;

　　第3.5步计算系统功能失效概率;

　　第3.6步根据系统功能的失效概率，利用安全事件分析模型，计算系 统安全事件的发生概率;

　　第3.7步根据资产损失分析模型计算系统资产损失;

　　第3.8步根据人员损失分析模型计算系统人员损失;

　　第3.9步根据环境损失评估模型计算系统环境损失;

　　第3.10步根据效益损失分析模型计算系统效益损失;

　　第3.11步根据第3.7步至第3.10步计算的各项损失，计算系统整体损 失：

　　第3.12步确定系统风险等级：

　　假设系统所有功能的损失概率均为1，然后计算系统的最大损失 SystemLossmax，生成风险等级表，根据风险等级表，将当前的系统损失 SystemLoss转化为系统当前的风险等级;

　　第3.13步转到第2步，对系统功能进行监测，直到系统关机。

　　5.根据权利要求4所述的污水处理系统信息安全在线风险分析方法， 其特征在于，第3.5步的具体过程为：

　　贝叶斯攻击图中的第i个节点对应的功能失效向量为设系统有n 个功能，则有

　　${\overrightarrow{\mathrm{FF}}}_i=\{{\mathrm{FF}}_{i1},{\mathrm{FF}}_{i2},···,{\mathrm{FF}}_{\mathrm{in}}\}$

　　设贝叶斯攻击图中有m个节点，则m个节点对应的功能失效向量构成 功能失效矩阵，如下式所示：

　　贝叶斯攻击图中的每一个节点的可达概率为APi，所有节点的可达概 率构成可达概率向量：(AP1，AP2，…，APm)T;

　　对于系统功能Fi的失效概率，计算公式为：

　　${\mathrm{PF}}_i=1-\underset{j=1}{\overset{m}{\Pi }}(1-{\mathrm{FF}}_{\mathrm{ji}}·{\mathrm{AP}}_j);;$

　　第3.6步，具体过程如下：

　　设安全事件Ei的支撑功能集合为EFSi={F1，F2，…，Fk}，其中k为支撑 功能集合的个数，则安全事件Ei发生概率为PEi，计算公式为：

　　${\mathrm{PE}}_i=1-\underset{j=1}{\overset{k}{\Pi }}(1-{\mathrm{PF}}_j)$

　　其中，PFj为支撑功能，Fj为失效概率。

　　6.根据权利要求4所述的污水处理系统信息安全在线风险分析方法， 其特征在于，第3.7步，具体过程如下：

　　设资产Ai由l个组件构成，利用每个组件所提供的功能的失效概率计算 该组件的失效概率CFP，计算公式为：

　　$\mathrm{CFP}=1-\underset{i=1}{\overset{o}{\Pi }}(1-{\mathrm{FP}}_i)$

　　其中，o为该组件支撑功能的个数，FPi为支撑功能Fi失效概率;

　　设更换组件的成本为CV，则资产Ai的损失计算公式为：

　　${\mathrm{AL}}_i=\underset{j=1}{\overset{p}{\Sigma }}({\mathrm{CFP}}_j·{\mathrm{CV}}_j)$

　　其中，p为资产Ai的组件个数;

　　系统的资产损失计算公式为：

　　其中，q为系统中资产的个数;

　　第3.8步，具体过程如下：

　　对于人员Hi，根据该人员的人员损失评估模型，计算该人员的人员损 失，计算公式为：${\mathrm{HL}}_i=\underset{j=1}{\overset{r}{\Sigma }}({\mathrm{HEP}}_j·{\mathrm{HH}}_j)$

　　其中，r为该人员安全评估模型中的安全事件的个数;HEPj为系统安全 事件的发生概率;HHj为系统安全事件发生时对该名工作人员造成的人员 损失。

　　系统的人员损失计算为：

　　$\mathrm{HumanLoss}=\underset{i=1}{\overset{s}{\Sigma }}{\mathrm{HL}}_i$

　　其中，s为系统中工作人员的个数。

　　7.根据权利要求4所述的污水处理系统信息安全在线风险分析方法， 其特征在于，第3.9步计算系统环境损失的具体过程如下：

　　根据环境损失评估模型，计算环境的损失，计算公式为：

　　$\mathrm{EnuirLoss}=\underset{j=1}{\overset{t}{\Sigma }}({\mathrm{EEP}}_j·{\mathrm{EH}}_j)$

　　其中，t为该人员安全评估模型中的安全事件的个数;EEPj为系统安全 事件的发生概率;EHj为系统安全事件发生时造成的环境损失;

　　第3.10步的具体过程如下：

　　针对每种产品，分别计算其不能正常产出的概率，计算方法为：将该 产品生产流程中涉及的每一个工艺，即系统功能，加入到该产品对应的功 能集合PSet，然后利用计算该产品不能正常产出的概率，计算公式为：

　　$P_P=1-\underset{F_i\in \mathrm{PSet}}{\Pi }(1-F_i)$

　　设污水处理系统有u种产品，分别是P1、P2、……、Pu，对应的价值为 PV1、PV2、……、PVu，不能正常产出的概率分别为则系统的效益损失的计算公式为：

　　$\mathrm{EcoLoss}=\underset{i=i}{\overset{u}{\Sigma }}{P}_{P_i}{\mathrm{PV}}_i.$

　　8.一种污水处理系统信息安全在线风险分析系统，包括设置在工程师 工作站上的主节点，设置在各网络节点上的从节点，以及连接主节点和所 有从节点的一个工业通信网络;

　　所述主节点用于收集系统所有节点功能失效数据，结合系统模型分析 系统当前损失，结合历史数据分析系统潜在损失，最终产生风险评估结果 即风险等级;

　　所述各从节点用于完成所在网络节点自身功能的监测，评估每一个功 能是否失效，并将功能失效数据通过网络发送给主节点;

　　所述工业通信网络负责各节点之间的消息传递。

　　9.根据权利要求8所述的污水处理系统信息安全在线风险分析系统， 其特征在于，主节点包括第一网络接口，系统损失评估模型以及风险评估 模块;

　　其中，第一网络接口用于负责接收网络报文，将从节点上报的系统功 能失效数据上报至当前损失评估模块以及潜在损失评估模块;

　　系统损失评估模块用于接收到从节点发送来的系统功能失效数据，利 用功能支撑模型计算没有检测到失效的功能失效，然后利用贝叶斯攻击图 对攻击进行预测，计算出系统所有功能失效的概率，结合资产损失评估模 型、人员损失评估模型以及环境损失评估模型分析系统的资产、人员、环 境的损失，并计算污水处理系统的总的当前损失，并上报至风险评估模块;

　　风险评估模块，根据风险等级表将系统损失转化为系统当前的风险等 级。

　　10.根据权利要求8或9所述的污水处理系统信息安全在线风险分析 系统，各从节点均包括第二网络接口、功能失效评估模块和功能监测探针;

　　其中，功能监测探针用于监测所在节点的功能状态，如果功能状态有 异常，将异常信息上报至该探针所在节点的功能失效评估模块;

　　功能失效评估模块用于对接收到的系统功能异常信息进行损失评估， 并将评估结果，即功能失效数据发送至该节点的第二网络接口;

　　第二网络接口用于将自身节点的功能失效数据发送至主节点。

　　说明书

　　一种污水处理系统信息安全在线风险分析方法及系统

　　技术领域

　　本发明涉及污水处理系统信息安全防护领域，更具体地，涉及一种针 对污水处理系统的信息安全在线风险分析方法及系统。

　　背景技术

　　随着计算机技术、传感器技术、网络通信技术以及自动控制技术的迅 速发展，网络化污水处理系统实现了宽广地域的管理、监视与控制，打破 了传统污水处理系统信息孤岛的僵局，但是享受开放带来便利的同时也面 临着各种各样的信息安全问题。例如，2001年，澳大利亚昆士兰州污水处 理厂的一名前雇员攻击该厂的SCADA系统，导致264,000加仑未经处理的 污水排放到附近的河流。由此可见，污水处理系统遭受到入侵攻击的后果 非常严重，其信息安全问题迫在眉睫，而在线风险分析是信息安全防护中 的重要一环。

　　典型的污水处理系统包括企业管理信息系统、中央控制室以及现场控 制站，其中企业管理信息系统通过Internet与其他污水处理系统以及污水处 理总公司相连，中央控制室通过安全路由器与企业层相连，现场控制站通 过ProfiNET与监控层相连。

　　污水处理系统属于信息物理融合系统，包括信息部分和物理控制对象 两部分，故要求污水处理系统的在线风险分析系统能够全面的考虑信息与 物理两方面因素;传统信息系统的在线风险分析系统对入侵检测结果的依 赖程度大，并且现在并没有一套针对污水处理系统行之有效的入侵检测方 案。由于上述特点，传统的信息安全在线风险分析方案不适合于污水处理 系统，因此污水处理系统亟需建立有效的在线风险分析系统。

　　在线风险分析是污水处理系统信息安全防护的重要环节，为决策制定 提供系统风险信息。现有风险分析方法按照运行状态分为在线和离线两种， 离线风险分析主要用于污水处理系统的非运行阶段，考虑系统存在的漏洞 以及可能遭受到的攻击，对系统可能遭受到的风险进行分析以及分析;而 在线风险分析是对运行中的污水处理系统进行实时风险分析，通过采集系 统的实时数据加以分析，分析系统当前时刻所面临的风险大小。现有风险 分析方法按照计算精度分为定性分析和定量分析，定性分析主要用于参考 数据较少时的风险分析，其分析速度快，但分析结果精度低、缺乏客观性; 定量风险分析综合系统大量数据进行风险分析，分析结果全面客观，但是 占用系统资源多，对数据的依赖性过强。上述风险分析方法及系统是针对 信息系统而提出的，没有有针对性的考虑污水处理系统实时性要求、资源 受限以及成本约束等特点，也没用全面反映污水处理系统信息与物理两方 面的风险。

　　期刊《计算机研究与发展》2010年第10期的论文《入侵进程的层次化 在线风险分析》和专利文献(CN 102394766A)提出了从服务、主机和网络自 下到上的层次化在线风险分析模型,并利用分析模型对系统进行在线风险 分析;专利文献(CN102663522A)公开了一种“电网在线风险分析方法”，通 过事件的严重度以及条件概率计算电网的在线风险。上述文献及专利申请 有的未能全面考虑污水系统所面临的风险，有的未能考虑入侵攻击造成系 统风险的时间特性，有的分析的不是信息安全方面的风险。此外污水处理 系统的在线风险分析系统运行时不能对原有系统功能造成影响。

　　发明内容

　　本发明的目的是为了解决现有在线风险分析方法用于网络化的污水处 理系统时的上述问题，提供一种污水处理系统信息安全在线风险分析方法 及系统，目的在于解决分析过程中的主观性、模糊性和不确定性问题，为 决策者提供全面、可靠、客观的数据。

　　本发明提供的一种污水处理系统信息安全在线风险分析方法，该方法 包括下述步骤：

　　第1步建立系统模型，包括资产损失分析模型、人员损失分析模型、 环境损失分析模型、效益损失分析模型、安全事件模型、功能支撑模型以 及贝叶斯攻击图;

　　第2步各网络节点作为从节点，监测其功能运行情况，并将监测结果 发送给作为主节点的工程师工作站;

　　第3步主节点根据监测结果，利用建立的系统模型，分析分析系统损 失。

　　本发明提供的一种污水处理系统信息安全在线风险分析系统，包括设 置在工程师工作站上的主节点，设置在各网络节点上的从节点，以及连接 主节点和所有从节点的一个工业通信网络;

　　所述主节点用于收集系统所有节点功能失效数据，结合系统模型分析 系统当前损失，结合历史数据分析系统潜在损失，最终产生风险评估结果 即风险等级;

　　所述各从节点用于完成所在网络节点自身功能的监测，评估每一个功 能是否失效，并将功能失效数据通过网络发送给主节点;

　　所述工业通信网络负责各节点之间的消息传递。

　　本发明综合考虑了污水处理系统在遭受入侵攻击时而导致各方面的损 失，能够在资源受限的环境中进行全面、准确、快速的在线风险分析，其 技术效果具体说明如下：

　　一、本发明面向污水处理网络化工业控制系统，所提出的在线风险分 析方法和系统考虑污水处理系统遭受入侵攻击时所面临的多种主要风险， 结合资产损失分析模型、人员损失分析模型、环境损失分析模型、效益损 失分析模型以及功能支撑模型对污水处理系统进行功能状态监测以及全面 的风险分析。

　　二、本发明根据收集到的系统异常分析攻击者的攻击意图，进而利用 多种系统模型分析污水处理系统可能遭受的损失，并将多种损失统一量化 构成系统实时风险，最后利用风险等表确定系统的实时风险等级，为决策 者提供客观的决策信息。

　　三、本发明可以软件实现，成本低，它可以在保留原有污水处理系统 结构的基础上部署风险分析系统，不会影响原有系统正常工作。分析过程 中产生的通信数据少，不会对原有系统的网络通信造成影响。而且本发明 具有可重构，适应性强等特点，可以运行在各种污水处理系统上。