一种面向典型冶金工艺控制系统的信息安全风险评估方法技术方案

一种面向典型冶金工艺控制系统的信息安全风险评估方法，属于工业控制系统信息安全技术领域。通过建立冶金工艺流程典型场景下的攻击模型，分析不同攻击模式和策略下的系统鲁棒性，进而实现典型冶金工艺流程控制系统在不同攻击模式和失效模式下安全风险评估。该方法从风险理论出发，将冶金工艺流程控制系统定义为一个信息物理融合系统，用随机概率方法进行安全风险评估，从攻击源或失效源发生的概率和造成的影响两个方面入手，提出基于风险指标的安全评估方法。定量估计基于风险指标进行，根据建立的信息物理融合模型和攻击模型，构建安全事件集，结合计算的鲁棒性评价指标，进行量化评估，从而有助于定位控制系统中安全薄弱环节。

【技术实现步骤摘要】
一种面向典型冶金工艺控制系统的信息安全风险评估方法
本专利技术属于工业控制系统信息安全
,特别是涉及一种面向典型冶金工艺控制系统的信息安全风险评估方法。
技术介绍
冶金行业是我国国民经济的支柱性产业，是关系国计民生的基础性行业。自动化和信息化的高度融合成为冶金行业的发展趋势，以以太网为主的控制网络系统得到普遍应用。随着黑客攻击手段和技术的日益复杂、高级，以工业控制系统作为目标的攻击层出不穷，作为复杂的混合流程工业，冶金行业的安全形势比较严峻，主要表现在以下几个方面：(1)工艺和控制网络比较复杂。冶金企业是典型的混合流程型企业，冶金企业具有工业领域生产流程的典型特点，包括连续和离散混合、物理变化和化学变化混合的过程；其自动化程度比较高，流程长，环节多，工序之间相互耦合，涉及到的自动化设备、子系统众多，促使控制系统网络拓扑比较庞大，复杂程度高，安全风险比较大。(2)单体设备成本高。冶金企业典型工艺流程涉及到大宗单体设备，如高炉、转炉、轧机机组等，设备成本高，一旦受到攻击，直接危及到物理世界，造成的损失甚至难以估量，因此冶金企业控制网络安全形势比较严重。(3)信息安全管理复杂。冶金行业由于控制网络规模大，工艺耦合比较强，安全边界难以界定；由于其与物理世界紧密相连，网络实时性、可用性、业务连续性要求较高[7]；冶金企业是污染大户，能源环保对网络的要求也增加了系统信息安全管理的复杂性。(4)攻击手段越来越高级、隐蔽。传统冶金行业控制系统，早期设计早于互联网，它需要采用专门的硬件、软件和通信协议，设计上以可用性、可靠性为主，基本没有考虑互联互通所必须考虑的通信安全问题；利用工控设备漏洞、以太网协议缺陷、工业应用漏洞等，攻击者可以针对性的构建更加隐蔽的攻击通道，以Stuxnet蠕虫为例，其充分利用了伊朗布什尔核电站工控网络中工业PC与控制系统存在的安全漏洞，为攻击者入侵提供了七条隐蔽的通道。上述因素造成冶金工艺流程控制系统面临的安全风险比较高。冶金工艺流程控制系统及其安全性研究算是信息安全研究领域的一个新领域，首先需要熟悉冶金工艺流程控制系统，其次重点研究冶金工艺流程控制系统自身的风险及脆弱性情况，并在此基础上基于模拟攻击场景进行攻防推演分析，进而对控制系统风险进行评估。只有在充分了解冶金工艺流程控制系统风险分布和构成的前提下，才能逐步完善系统的安全性保障措施。研究方法上，目前控制系统安全问题的研究基本沿用IT信息安全研究的思路，采用边界防御的理论与方法，把焦点放在工业控制网络本身的安全防御上，如工业防火墙、安全隔离系统、流量入侵检测系统等，或者采用事后报警方式。但是流程行业业务连续性和高实时性，要求能够一旦有风险，及时发现并预防或者及时发现攻击，采用补救措施，使系统能够安全“弹性”运行，这需要对控制系统安全风险进行评估才能够实现。单纯从信息技术的角度来研究控制系统的网络安全，无法解决工业环境下恶意攻击的决策模型、行为描述、安全风险评估等一系列理论和实践问题。冶金行业典型工艺流程控制系统的本质是信息物理融合系统(CPS)，多维异构的计算单元和物理对象在网络环境中高度集成与交互，构成了一类新型的智能复杂系统。其安全风险评估技术研究需要从信息物理融合的角度切入，从控制的角度分析黑客的攻击策略，建立理性黑客的攻击行为模型和攻击目标模型，进而发现系统薄弱环节，采用合适的技术进行风险评估，虽然在工业控制领域和信息安全领域都分别有大量关于风险评估的研究和讨论，但从信息物理融合角度进行的工业控制系统信息安全风险评估仍然处于起步阶段，针对冶金行业控制系统风险评估技术的研究还未见报道。
技术实现思路
本专利技术的目的在于，提供一种面向典型冶金工艺流程控制系统的信息安全风险评估方法，它基于信息物理融合的控制系统数学模型，通过建立冶金工艺流程典型场景下的攻击模型，分析不同攻击模式和策略下的系统鲁棒性，进而实现典型冶金工艺流程控制系统在不同攻击模式和失效模式下安全风险评估。该方法从风险理论出发，将冶金工艺流程控制系统定义为一个信息物理融合系统，用随机概率方法进行安全风险评估，从攻击源或失效源发生的概率和造成的影响两个方面入手，提出基于风险指标的安全评估方法。定量估计基于风险指标进行，根据建立的信息物理融合模型和攻击模型，构建安全事件集，结合计算的鲁棒性评价指标，进行量化估算，从而有助于定位控制系统中安全薄弱环节。为解决上述技术问题，本专利技术通过如下的技术方案实现，具体工艺步骤如下：(1)针对典型冶金工艺流程控制系统，进行基于信息物理融合的控制系统数学建模，所述的基于信息物理融合的控制系统数学建模，即基于MatlabSimulink&Petri-Net-Simulink-Block的混合建模方法，其中，涉及到冶金工艺流程的连续动态模型采用一组传统的线性或非线性微分方程/状态方程表示，并用MatlabSimulink工具箱进行实现；离散事件采用PetriNet(PN)模型来表示，并用一个Simulink工具箱PNL进行实现，PN离散模型可以集成到Simulink框图中，其中petriNet模型同步状态转移主要依赖外部事件的触发。同时扩展PetriNet模型，对通信网络组件进行建模，通过信息模型时间延迟时间约束来扩展模型，加入状态同步机制；(2)风险识别，所述的风险识别，即对典型攻击策略和手段进行建模，引入信息攻击模型，通过设置不同的攻击条件和路径，进行系统鲁棒性分析，并计算鲁棒性评价指标，从实现风险识别；所述的信息攻击模型，主要指欺骗攻击和拒绝服务攻击这两类常见攻击模式，主要包括注入、篡改、重播、封锁、窃听、延时、DoS攻击形式；(3)根据风险识别结果，定义安全事件，生成安全事件集；(4)对安全事件进行风险评估，所述的安全事件风险评估，即用随机概率方法，从攻击源或失效源发生的概率和造成的后果两个方面入手，基于风险指标对安全事件进行定量信息安全评估。(5)若所有安全事件集中的事件都评估完成，则对所有的安全事件风险指标进行综合，得到一个综合的系统信息安全风险指标，用于评价系统信息安全整体状况；如果安全事件集中的事件还没有评估完毕，则直接转至(4)。本专利技术的典型的冶金工艺流程控制系统，主要有高炉、转炉、连铸、轧钢等关键流程工艺的控制系统，由于冶金工艺流程这些典型的控制系统都是比较庞大的，涉及到众多的工序、设备，生产过程连续且复杂，都属于大规模信息物理融合系统，这种既有连续过程又有离散事件和信息网络组件的混合系统建模问题是建模领域的难题之一。本专利技术提出基于MatlabSimulink&Petri-Net-Simulink-Block的混合建模方法，其中，涉及到冶金工艺流程的连续动态模型采用一组传统的线性或非线性微分方程/状态方程表示，并用MatlabSimulink工具箱进行实现；离散事件采用PetriNet(PN)模型来表示，并用一个Simulink工具箱PNL进行实现，PN离散模型可以集成到Simulink框图中，其中petriNet模型同步状态转移主要依赖外部事件的触发。同时扩展PetriNet模型，将信息网络模型，即将网络中信息组件的模型引入，加入状态同步机制，分析由于网络通信引起的时间延迟、数据丢失以及服务质量等因素对本文档来自技高网...

【技术保护点】
一种面向典型冶金工艺控制系统的信息安全风险评估方法，其特征在于，包括以下步骤：(1)针对典型冶金工艺流程控制系统，进行基于信息物理融合的控制系统数学建模，即基于Matlab Simulink&Petri‑Net‑Simulink‑Block的混合建模方法，其中，涉及到冶金工艺流程的连续动态模型采用一组传统的线性或非线性微分方程/状态方程表示，并用Matlab Simulink工具箱进行实现；离散事件采用Petri Net(PN)模型来表示，并用一个Simulink工具箱PNL进行实现，PN离散模型可以集成到Simulink框图中，其中petri Net模型同步状态转移主要依赖外部事件的触发。同时扩展Petri Net模型，对通信网络组件进行建模，通过信息模型时间延迟时间约束来扩展模型，加入状态同步机制；(2)风险识别，所述的风险识别，即对典型攻击策略和手段进行建模，引入信息攻击模型，通过设置不同的攻击条件和路径，进行系统鲁棒性分析，并计算鲁棒性评价指标，从实现风险识别；所述的信息攻击模型，主要指欺骗攻击和拒绝服务攻击这两类常见攻击模式，主要包括注入、篡改、重播、封锁、窃听、延时、DoS攻击形式；(3)根据风险识别结果，定义安全事件，生成安全事件集；(4)对安全事件进行风险评估，所述的安全事件风险评估，即用随机概率方法，从攻击源或失效源发生的概率和造成的后果两个方面入手，基于风险指标对安全事件进行定量信息安全评估。(5)若所有安全事件集中的事件都评估完成，则对所有的安全事件风险指标进行综合，得到一个综合的系统信息安全风险指标，用于评价系统信息安全整体状况；当安全事件集中的事件还没有评估完毕，则直接转至(4)。...

【技术特征摘要】
1.一种面向典型冶金工艺控制系统的信息安全风险评估方法，其特征在于，包括以下步骤：(1)针对典型冶金工艺流程控制系统，进行基于信息物理融合的控制系统数学建模，即基于MatlabSimulink&Petri-Net-Simulink-Block的混合建模方法，其中，涉及到冶金工艺流程的连续动态模型采用一组传统的线性或非线性微分方程/状态方程表示，并用MatlabSimulink工具箱进行实现；离散事件采用PetriNet(PN)模型来表示，并用一个Simulink工具箱PNL进行实现，PN离散模型可以集成到Simulink框图中，其中petriNet模型同步状态转移主要依赖外部事件的触发，同时扩展PetriNet模型，对通信网络组件进行建模，通过信息模型时间延迟时间约束来扩展模型，加入状态同步机制；(2)风险识别，所述的风险识别，即对典型攻击策略和手段进行建模，引入信息攻击模型，通过设置不同的攻击条件和路径，进行系统鲁棒性分析，并计算鲁棒性评价指标，从而实现风险识别；所述的信息攻击模型，主要指欺骗攻击和拒绝服务攻击这两类常见攻击模式，主要包括注入、篡改、重播、封锁、窃听、延时、DoS攻击形式；(3)根据风险识别结果，定义安全事件，生成安全事件集；(4)对安全事件进行风险评估，所述的安全事件风险评估，即用随机概率方法，从攻击源或失效源发生的概率和造成的后果两个方面入手，基于风险指标对安全事件进行定量信息安全评估；(5)若所有安全事件集中的事件都评估完成，则对所有的安全事件风险指标进行综合，得到一个综合的系统信息安全风险指标，用于评价系统信息安全整体状况；当安全事件集中的事件还没有评估完毕，则直接转至(4)。2.根据权利要求1所述的方法，其特征在于，步骤(2)中所述的鲁棒性评价指标，其计算方法是从攻击目标出发，针对攻击目标的数学描述，分析攻击造成的目标损害程度来量化该指标；当攻击目标对象是系统输出量，鲁棒性评价指标就是在不同攻击策略和条件下的系统输出相对于预期系统输出损失，计算方法采用“最坏情况”原则，即采用最坏情况下损失程度来度量，同时考虑一些实现策略、物理容错约束条件；系统的综合鲁棒性评价指标，采用对各种攻击条件或失效条件下指标的加权方式进行计算，其计算公式如下：其中，si代表攻击目标或失效目标，aj代表特定状态下的攻击条件或失效条件，ri代表在特定状态的攻击条件或失效条件aj下，攻击目标或失效目标si的控制参数损失程度，i∈[1,N]，j∈[1,M]；函数F(si,aj,ri)...

【专利技术属性】
技术研发人员：赵永丽，芦永明，陈宏志，
申请(专利权)人：冶金自动化研究设计院，
类型：发明
国别省市：北京;11