（检测技术与自动化装置专业论文）自动化系统安全评估技术的研究.pdf

摘要 自动化系统安全评估技术的研究 摘要 近年来，安全问题日益受到各个行业的关注，工业自动控制系统也 不例外，国内外相关机构和学者正在筹措推出国际性的安全评估标准。 在此前提下，推动自动化系统的安全评估技术的发展就具有非常重要的 意义。本文对自动化系统的安全评估技术进行了理论研究和模拟仿真， 提出了改进系统安全性能的措施，具有重要的理论意义和应用价值。 在分析自动化系统存在的各种潜在威胁的基础上，以基于f f 现场总 线的环氧乙烷控制系统为例，利用故障树分析法对导致系统故障的危险 进行全面分析，构建系统的故障树，根据布尔代数法则计算出系统的最 小割集，从而可以定性地分析系统的危险性，提出相应的改进措施。在 此基础上提出了计算基本事件的结构重要度系数的公式，进而计算其权 重系数，将其应用于后续分析。模糊综合评价法采用了前面的基本事件 的权重系数，应用模糊变换原理和最大隶属度原则对整个系统的安全等 级进行定量分析，给出一个具体数值，便于直观的判断及针对性的改进。 在前面分析的基础上，本文利用m a t l a b s i m u l i n k 搭建了该生产系统的仿 真平台，对系统的正常运行及故障状态下的情况分别进行了仿真，为自 动化系统的安全评估领域的研究提供一个仿真平台。 课题从对系统进行安全评估，到搭建仿真平台进行模拟，全面地研 究分析了自动化系统的安全评估方法，并系统地提出了关于提高自动化 北京化工大学硕士学位论文 系统安全性能的改进措施，为此领域的研究提供参考。这种研究方法具 有创新性，对自动化系统的安全评估研究将起到推进作用。 关键词：自动化系统，风险，安全评估，系统仿真 s t u d yo fsa f e t ye 、么址i j a t i o n t e c h n o l o g yo f a u t o m 嗡t i c c o n t r o ls y s t e m m o r ea n dm o r ea t t e n t i o n sa r ep a i dt oi n d u s t r yf i e l d si n c l u d i n ga u t o m a t i c c o n t r o ls y s t e mf o rr e c e n ty e a r sa n da l s oal o to fa c a d e m i ci n s t i t u t i o n sa n d r e s e a r c h e r sa r ec o m m i t t i n gt h e m s e l v e st os e tu pt h es t a n d a r do fs a f e 哆 e v a l u a t i o nf o ra u t o m a t i cc o n t r o ls y s t e m s oi t s s i g n i f i c a n tt op u s ht h e s t a n d a r dt ob ee s t a b l i s h e d t h et h e o r ys t u d ya n ds i m u l a t i o nw e r ed o n ea b o u t t h es a f e t ye v a l u a t i o nf o ra u t o m a t i o ns y s t e mi nt h i sp a p e r i tm e a n sal o tf o r a c a d e m i ca n da p p l i c a t i o n b a s e do nc o m p r e h e n s i v ea n a l y s i sf o rt h ei n t e n t i o n a lr i s ko fa u t o m a t i c c o n t r o ls y s t e m ，t h ef a u l tt r e ea n a l y s i sc o n c l u d e st h ef a u l tt r e eo fe oc o n t r o l s y s t e ma n dc a l c u l a t e s t h el e a s tm u s t e ro ff a u l tw h i c hm a k e sq u a l i t a t i v e a n a l y s i sf o rt h ep o s s i b i l i t yo fs y s t e mf a u l t t h e nw ec a na v o i dt h er i s ka s p o s s i b l e a sw ec a n a l s ot h ep a p e rs u m m a r i z e saf o r m u l ai m p r o v e dt o c a l c u l a t et h ek e yp a r a m e t e ro fc o m p o n e n ta n dg e t saq u a n t i t a t i v er e s u l tw h i c h c a nb eu s e di na n a l y s i sl a t e r t h ef u z z yi n t e g r a t i v ee v a l u a t i o nc a na n a l y z et h e s y s t e m ，u s i n gt h ek e yp a r a m e t e ro fc o m p o n e n t ，a n dt h e nc o n c l u d ea n q u a n t i t a t i v ea n a l y s i sf o rs a f e t yl e v e lo fs y s t e m a n o t h e rp a r to ft h i sp a p e ri s i l l 北京化工大学硕士学位论文 t oe s t a b l i s has i m u l a t i o np l a t f o r mo fa u t o m a t i cc o n t r o ls y s t e mb a s e do nf f f i e l d b u si nm a t l a b s i m u l i n k w ec a nv i e wi t i n t u i t i v e l y a b o u tt h es t a t e t r a n s i t i o na n d r u n n i n go fw h o l es y s t e mi nm a t l a b s i m u l i n k t h ep o s s i b i l i t i e s o ff a u l ta r es i m u l a t e da n da n a l y z e db yt h i sp l a t f o r m t h i sp a p e rc o m p r e h e n s i v e l ym a k e sas t u d yo fs a f e t ye v a l u a t i o no f a u t o m a t i cc o n t r o ls y s t e mb ya n a l y s i s ，e v a l u a t i o na n ds i m u l a t i o n a l s ot h e r ei s ac o n c l u s i o na b o u th o wt oi m p r o v et h es a f e t yl e v e lo fc o n t r o ls y s t e m t h i s a p p r o a c hi sn e wa n dw i l lp r o m o t et h ed e v e l o p m e n to fs a f e t ye v a l u a t i o nf o r a u t o m a t i cc o n t r o ls y s t e m k e yw o r d s ：a u t o m a t i cc o n t r o ls y s t e m ；r i s k ；s a f e t ye v a l u a t i o n ；s y s t e m s i m u l a t i o n 符号说明 符号说明 故障树符号中的项上事件、中间事件 故障树符号中的省略事件 故障树符号中的基本事件 故障树中的逻辑门或门符号 故障树中的逻辑门与门符号 基本事件的结构重要度 基本事件的权重系数 环氧乙烷 着眼因素集合 抉择评语集合 评价矩阵 抉择评语集上的等级模糊子集，即评价结果 f o u n d a t i o nh e l d b u s ，基金会现场总线 f f 低速现场总线标准 i n t e r n a t i o n a lo r g a n i z a t i o nf o rs t a n d a r d i z a t i o n ，国际标准化组织 o p e ns y s t e mi n t e r c o n n e c t i o n ，开放系统互连 d a t al i n l 【l a y e r ，数据链路层 l o g i c a l l l l 【c o n t r o l ，逻辑链路控制子层 m e d i u m a c c e s sc o n t r o l ，媒体访问控制子层 d e v i c ed e s c r i p t i o nl a n g u a g e ，设备摇述语言 f i n i t es t a t em a c h i n e ，有限状态机 f i e l d b u s a c c e s ss u b l a y e r ，现场总线访问子层 f i e l d b u sm e s s a g es p e c i f i c a t i o n ，总线报文规范层 a p p l i c a t i o np r o c e s s ，应用进程 v i r t u a lc o m m u n i c a t i o nr e l a t i o n s h i p ，虚拟通信关系 l i n ka c t i v es c h e d u l e r ，链路活动调度器 d a t au n kp r o t o c o ld a t au n i t ，数据链路协议数据单元 c o m p e ld a t a ，强制数据 e s t a b l i s hc o n n e c t i o n ，建立连接 d i s c o n n e c tc o n n e c t i o n ，断开连接 d a t a ，数据帧 d a t a l i n kc o n n e c t i o ne n dp o i n t ，数掘链路层连接点 口o伞q肋u y r口即历册鲫础伽砒脚脚册肚眦19一优盯一 北京化工大学硕士学位论文 c ( r d ) 彤 c r c d a t au n ks e r v i c c a c c e s sp o i n t ，数据链路层服务访问点 p a s st o k e n ，传递令牌 l o c a ll i n kl i v el i s t ，链路活动表 两c d 帧发送时间间隔 i m m e d i a t er e s p o n s e r e c o v e r yd e l a y ，立即响应恢复延时 s l o tt i m e ，时隙 t o k e nr e c a ) v e r yd e l a y ，令牌恢复延时 t n n ed i s t r i b u t i o n ，时间发布消息 p i u m bn o d e ，探测节点地址帧 p l u m br e s p o n s e ，探测响应帧 r e m m n m gd u r a t i o nc o u n t e r ，令牌授权剩余时间计数器 r e q u e s ti n t e r v a l ，请求时间帧 c y c l er e d u n d a n c yc o d e ，循环冗余编码 x 刀删一一哪一m剧职 北京化工大学硕士学位论文 北京化工大学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本 论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均己在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 作者签名：日期： 关于论文使用授权的说明 学位论文作者完全了解北京化工大学有关保留和使用学位论文 的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北 京化工大学。学校有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编 学位论文。 本学位论文不属于保密范围，适用本授权书。 作者签名： 日期： 导师签名： 日期： 第一章概述 第一章概述 1 1 自动化系统安全评估简介 1 1 1 系统安全评估的定义“哪 安全评估是以实现系统安全为目的，应用安全系统工程原理和方法，对工程、 系统中存在的危险因素进行识别与分析，判断系统发生事故、职业危害的可能性及 其严重程度，提出对系统安全技术防范措施和管理对策措施的过程。国外也将安全 评估( 价) 称为风险评价或危险评价。它既需要安全评价理论的支持，又需要理论 与实际经验的结合，两者缺一不可 安全评价可在同一系统中用来比较风险的大小，但不能用来证明当必要的安全 设备未投入使用时系统的状态是安全的。 1 1 2 系统安全评估的目的 安全评估的目的是查找、分析和预测工程、系统中存在的危险危害因素及可能 导致的危险后果和程度，提出合理可行的安全对策措施，指导危险源监控和事故预 防，以达到最低事故率、最少事故损失和最优的安全投资效益。主要目的包括： 1 ) 实现全过程的安全控制 设计之前进行安全评估，目的是避免选用不安全的工艺的流程、危险的原材料 及不合适的设备；或当采用时，提出降低或消除危险的有效方法。设计之后进行安 全评估，目的是查出设计中的缺陷和不足，及早采取改进和预防措施。系统建成以 后运行阶段再进行安全评估，目的是了解系统的现实危险性，为进一步采取降低危 险性的措施提供依据。 2 ) 为选择系统安全的最优方案提供依据 通过分析系统存在的危险源的数量及分布、事故的概率、事故的严重程度，预 测并提出应采取的安全对策措旌等，为决策者和管理者根据评价结果选择系统安全 最优方案提供依据。 3 ) 为实现安全技术、安全管理的标准化和科学化创造条件 通过对设备、设施或系统在生产过程中的安全性是否符合有关技术标准和规范 规定的平价，对照技术标准、规范找出存在问题和不足，以实现安全技术和安全管 理的标准化、科学化。 北京化工大学硕士学位论文 4 ) 促进实现生产经营单位本质安全化 系统地从工程规划、设计、建设、运行等过程，对事故和事故隐患进行科学分 析，针对事故和事故隐患发生的各种可能原因事件和条件，提出消除危险的最佳技 术措施方案。特别是从设计上采取相应措施，实现生产过程的本质安全化，做到即 使发生误操作或设备故障时，系统存在的危险因素也不会导致重大事故发生。 1 1 3 系统安全评估的内容 安全评估是一个利用安全系统工程原理和方法识别和评估系统、工程存在的风 险的过程，这一过程包括危险因素分析、重大危险源辨识及危害后果分析、定性定 量的评价、安全对策措施的提出、安全评价结果的形成等内容。如图1 - 1 。 图1 - 1 系统安全评估的内容 f i g u r e1 - 1 t h ec o n t e n to fs a f e t ye v a l u a t i o no fs y s t e m 危险因素识别与分析 根据被评价对象的情况，识别和分析危险因素，确定危险因素的分布、存在方 式、事故发生的途径及变化规律。 重大危险源辨识及危害后果分析 按照国家蘑大危险源辨识标准g b l s 2 1 8 2 0 0 0 进行重大危险源辨识，选择合适的 分析模j 型，对重大危险源的危害后果进行模拟分析，为企业和政府部门制定安全对 第一章概述 策措施和事故应急救援预案提供依据。 定性、定量评价 在危险危害因素分析的基础上，划分评价单元，选择合理的评价方法，对工程、 系统中存在的事故隐患和发生事故的可能性和严重程度进行定性、定量评价。 安全对策措施及建议 根据定性、定量评价结果，提出消除或减少危害因素的技术和管理措施及建议。 评价结论 简要的列出主要危险因素的评价结果，指出工程系统应重点防范的重大危险因 素，明确生产经营者应重视和补充完善的重要安全措施。 1 1 4 系统安全评估的意义 安全评估的意义在于可有效的预防事故发生，减少财产损失和人员伤亡。安全 评估着眼于技术方面，对产生的损失和伤害的可能性、影响范围、严重程度及应采 取的措施方面进行分析论证和评估。 有助于政府安全监督管理部门对生产经营单位实施安全监督和宏观安全管理。 有助于生产经营单位安全投资的合理选择，提高提高经济效益及其安全管理水 平，增强其管理人员及员工的安全意识。 有助于保险公司对生产经营单位进行风险管理。 1 2 自动化系统安全评估方法研究现状 系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事 件发生所造成的影响。任何系统的安全性( s e c u r i t y ) 都可以通过风险的大小来衡量。 风险评估就是科学分析系统的安全风险，综合平衡风险和代价的过程 3 - 4 1 。威胁控制 系统安全的风险，就像天气一样，虽然我们不能控制它，但我们可以采取有效措施， 避免悲剧和灾难的发生1 5 卅。 近几年越来越多的机构和部门开始关注控制系统的安全性，2 0 0 2 年1 0 月2 1 2 3 日，i s a 在芝加哥召开会议集中讨论控制系统安全问题。然而，许多会议演讲者和座 谈小组成员根据个人对控制系统安全易受攻击性的认识提出了一些想法和建议。虽 然委员会和讨论会是有意义的，但是，在防止意外或者蓄意攻击方面，控制系统仍 处于萌芽时期。d u p o n t 工程公司的l a r r yf a l k e n a u 说：“成功地进行控制系统危险分 析的一个重要条件是组建一个交叉学科的团队，这个团队的成员来自i t 、控制系统、 过程工程师、运行和商业。f a l k e n a u 先生又说，很高兴地看到在会议期间人们之间 的互相合作与交流，原因是人们已经认识到丌放式系统结构的脆弱性【5 j 。 i e e e ( i n s t i t u t eo fe l e c t r i c a la n de l e c t r o n i c se n g i n e e r s ) 定义安全性为当危险发生时 北京化工大学硕士学位论文 具有可接受的风险1 7 1 。( s a f ei sh a v i n ga c c e p t a b l er i s ko ft h eo c c u r r e n c eo fah a z a r d ) 其中，风险就是发生反常事件或者故障的可能性与其可能导致系统各部分、操 作者、用户或环境的不良结果的结合体。( r i s ki st h ec o m b i n a t i o no ft h ep r o b a b i l i t yo f a l l a b n o r m a le v e n to rf a i l u r ea n dt h ec o n s e q u e n c eo ft h a te v e n to rf a i l u r et oas y s t e m s c o m p o n e n t s ，o p e r a t o r s ，h s e r so re n v i r o n m e n t ) 而危险就是内部具有的潜在引起损坏或伤害的特点和状况，或者是存在或潜在 具有的会导致灾祸的状况。( h a z a r di sa ni n t r i n s i cp r o p e r t yo rc o n d i t i o nt h a th a st h e p o t e n t i a lt oc a u s eh a r mo rd a m a g e ，o ra l le x i s t i n go rp o t e n t i a lc o n d i t i o nt h a tc a l lr e s u l ti na m i s h a p ) 灾祸即为意外事件或连续的恶性事件导致死亡，伤害，职业病，设备损坏和财 产的损失，或者环境污染。( m i s h a pi sa nu n p l a n n e de v e n to rs e r i e so fe v e n t sr e s u l t i n gi n d e a t h , i n j u r y , o c c u p a t i o n a li l l n e s s ，o rd a m a g et oo rl o s se q u i p m e n to rp r o p e r t y , o rd a m a g e t ot h ee n v i r o n m e n t ) 安全即为可以避免这些导致死亡，伤害，职业病，设备损坏和财产的损失的情 况。( s a f e t yi st h ef r e e d o mf r o mt h o s ec o n d i t i o n st h a tc a nc a u s ed e a t h , i n j u r y , o c c u p a t i o n a l i l l n e s s , o rd a m a g et oo rl o s se q u i p m e n to rp r o p e r t y ) 针对控制系统中存在的安全威胁及保护措施，国际上一些学者在深入研究的基 础上提出了自己的观点及分析方法。 ( a n a l y z i n gt h es e c u r i t ya n ds u r v i v a b i l i t yo fr e a l - t i m ec o n t r o ls y s t e m ) ) 1 8 j 一文描 述了一种将实时控制系统的生存性和安全性问题转换成图表或者调度算法以直观地 进行分析和评估的方法。这种变换过程分五个步骤，如图1 2 ，过程是从左下角的应 用进程a 开始，按顺时针进行，通过五步变换最后变成相应的应用进程x 。 首先是建立模型，把现实世界中的应用变换成带有任务模型说明的图表，一般 模型是基于直接的图表，g = ( v ，e ) ，v 是顶点v i 的有限序列，e 是连线e i j 的有限 序列，并且i j 。建立这个模型最重要的是要使模型中的对象与控制系统安全要求的 特点相匹配。 第二步是进行参数确定。模型建立后就要进行相应的参数描述，例如网络的吞 吐量，通信费用，可靠性的灵敏度，服务失败造成损失的重要性等。图表中的顶点 和连线需要分配权值来区分特性。如果需要同时考虑多重参数，则需要定义多级权 值。 第三步是模型的抽取和描述。参数确定后，具有操作对象的图表本身可以代表 理论上的公式图表，操作对象可以是最大流量或者最小截流量等。简单的描述这个 模型，可以采用s = ( a | b y ) 来表示，其中a 代表过程环境，b 表示资源的特征，y 表示最优标准。在模型中描述的过程必须与系统安全的要求相一致。 4 第一章概述 图1 - 2 变换过程模型 f i g u r e1 - 2 t r a n s a c t i o nm o d e l 第四步是图表和调度算法。已建立的图表g 和调度模型s 相互支持。通过这个 变换了解了系统的图表和调度结构后，研究者就可以利用大量已有的算法对实时控 制系统的安全性进行探查和测试。目的就是为了通过应用最适宜的算法及观察其对 所关心的重要特性的影响，从而找到最优或者局部优化的安全评估标准。当然，算 法需要通过验证是否符合最优化标准。内容包括响应时间，计算要求及所需费用等。 最后一步是逆变换。即图表和调度算法的解决方法必须变换回原始的问题或者 特定的应用进程。这就要求一种类似于建立模型所采用的变换的逆变换。最后一步 由解决问题的空间变换回应用空问的过程。 文中列举了一个采用最短路径算法，利用变换将s c a d a 系统的脆弱性分析转 换成图表的例子。然后可以通过开发工具和方法来改进由图表分析出的系统薄弱环 节，这种五步变换过程也可以帮助对实时控制系统的仿真和评估。 在控s m j t 程中的( g e ts a f e ：p r e p a r e f o r s e c u r i t y i n t r u s i o n ) ) 【5 l 一文为综述性和引导 性的一篇文章，讲述了和控制系统的安全评估相关的一些情况及方法，并推荐了进 行控制系统安全评估的几个方面，对以后的相关工作具有指导意义。 根据c y b e r s e c u r i t y 信息共享论坛( 华盛顿) 化学药品部门发言人的叙述，论坛 成员一个子团体的任务是： 从大量风险评估方法中寻找出一个通用的控制系统安全评估方法； 开发短期推荐标准，用户可以将这些推荐标准应用于已安装的系统； 开发控制系统安全标准，论坛鼓励生产商将这些安全标准作为其未来产品的一部 分。 最后一项充分展示了未来控制系统的发展趋势，但是，系统在现场一般保持1 0 年到2 0 年，因此，增强已安装系统的安全至关重要。 d u p o n t 工程公司的t h o m a sg o o d 说：“一个好的控制系统结构消除系统入口点 或者使系统入口点最小化。所有中高度危险的控制系统必须与所有的外部网络断丌， 北京化工大学硕士学位论文 如l a n 7w a n , i n t e r n e t ，或者控制系统必须有防火墙保护，并由控制系统和r r 专家 共同管理和监控。”使用第二和第三交换层实现的虚拟局域n ( v l a n ) ，虽然没有特 别蓄意的提供网络安全，但v l a n 是将网络分成功能分散子网的极好方式。 d u p o n t 工程公司在几年中发展了d u p o n t 网络安全分析方法( d n s a m ) 。d n s a m 是一种综合的安全系统分析方法： 提供标准过程用于分析信息安全风险的概率和重要性。 包括一些指导原则，这些原则用于保护网络化过程控制的应用程序、数据和设备。 加强商业和生产过程控制系统之间的安全政策和手续。 d n s a m 的优势在于它的简明设计、被证明的使用记录以及广泛应用于任意控制 系统、任何公司或者工业。 作者提出的控制系统安全评估的七点建议： 一辨识所有对安全构成威胁的风险 一辨识所有以前发生过的对系统构成威胁的事故 一辨识所有工程和管理的过程和规则，提供早期检测和预警 一详细列出风险威胁产生的结果，包括工程和管理的过程、策略及控制的失败 一形成一个系统在物理和电路方面的切入点的详细文档 一考虑人为因素的影响 提供由物理和管理控制的失败引起的对安全和健康的可能影响的有效评估 在( s e c u r i t yr i s ka n a l y s i sa n de v a l u a t i o n ) 【9 】一文中，作者提出了一个风险管理 的框架，例如仿真不同类型的攻击，并描述了一个模型来测量安全风险的经济影响， 另外提出应用数据提取技术( d a t am i n i n g ) 来有效预测和避免攻击。 2 0 0 2 年，据美国计算机安全协会c s i 和联邦调查局f b i 的调查显示，参与调查 的部门组织中9 0 的计算机安全遭到攻击，其中的7 4 证明他们的网络连接部分是 经常受到攻击的重点，但只有3 4 诉诸于法律解决伺题。遭受攻击的主要是大的部 门组织，如政府机构，高科技企业，电信部门，金融服务业，制造业和教育业等。 而由于遭受攻击产生的经济影响是关键的问题。c s i f b i 报导2 0 0 2 年美国在该方面 的损失为4 5 6 亿美元，预计2 0 0 6 年美国各组织公司花在安全上的费用将达到4 4 5 亿美元，相对2 0 0 1 年的1 6 9 0 万美元无疑是巨大的。所以量化经济损失是非常重要 的。 作者提出建立一个模型，应用像频率这样的分量来仿真事件的数量，将整体的 损失分量作为模型的输出，假设各风险的相关值为零，是相互独立的。系统模型输 出包括e l ( e x p e c t e dl o s s ) ，即由损失分量计算得到的平均值，另一个是v a r ( v a l u e a tr i s k ) ，即一个目标在一定时问范围内的最大损失。利用e l 、v a r 进行安全评估和 风险预算，从而改进安全性。e l 值作为机构的商务花费，而v a r 作为计算机安全遭 6 第一章概述 受攻击的经济风险。 另外作者认为可以从网络活动的记录文件夹中提取有用信息，通过数据的提取 可以预测用户的行为，这是一个较新的概念。现在实用的工具和理论概念仍很缺乏， 需要广大学者深入研究。 m i c r o s o f ts e c u r i t ya s s e s s m e n tt o o i ( m s a t ) i l o j 的目标是找出并解决计算环境中的 安全风险，该工具使用种全盘方法来衡量涉及人员、流程和技术主题的安全战略， 并在得出评估结果的同时提供了建议的缓冲工作，包括一些指向详细信息的链接， 以便在需要时提供附加指导。评估共包含1 7 2 个问题，细分为3 个类别，公司信息 ( 6 ) ，业务风险配置文件( 5 3 ) 及纵深防御评估( 1 1 3 ) 。该评估工具以一组关于公 司业务模式的问题开始，构建了业务风险配置文件( b r p ) ，可以根据所选的行业和 业务模式衡量公司面临的业务风险。第二组问题则整理出一个公司在一段时间内已 部署的安全措施清单。这些安全措施构成了多个防御层，可提供更强的保护能力以 防范安全风险和特定的漏洞。每一层都对纵深防御的组合战略做出贡献，其总和称 为纵深防御指数( d i d i ) 。最后将b r p 和d i d i 进行比较，以衡量基础架构、应用程 序、运作和人员分析区域( a o a ) 之间的风险分布。除了衡量安全风险和防御的调 整情况之外，该工具还可衡量组织的安全成熟度，即指加强安全和可维护经验的发 展程度。 其他一些学者在信息的安全评估及电力系统的安全分析方面也有研究【1 1 啦】，在 此不再赘述。 1 3 课题的研究内容及意义 本课题的研究内容是针对快速发展的自动化控制系统，为避免或减少系统因内 在的和外在的风险带来的灾难性损失而进行的系统安全风险分析，研究系统存在的 薄弱环节，从而针对整体或部分环节提出或改进一、两种有效的评估技术，从而增 强系统薄弱环节承受风险的能力，提高系统的可靠性、安全性及生存能力。 系统安全风险评估的总体目标是认清信息安全环境、信息安全状况，有助于达 成公式，明确责任，采取或完善安全保障措施，使其更加经济有效，并使信息安全 策略保持一致性和持续性，这是一个非常重要的问题。 我国信息系统安全评估工作是随着对信息安全问题的认识的逐步深化不断发展 的。早期的信息安全工作中心是信息保密，通过保密检查来发现问题，改进提高。 存在的问题：信息系统安全风险评估的研究积累不足；缺乏信息系统安全风险评估 的规范化标准；缺乏人才；信息系统安全风险评估的角色和责任有待进一步明确， 这罩涉及到一些人、管理体系、决策和责任有待进一步完善；风险评估存在的风险。 由于与信息系统漏洞有关的信息，而造成的一些风险。我国在信息安全产品的测评 北京化工大学硕士学位论文 认证方面开展了一些工作，积累了一些经验，但是对信息系统的风险评估还处于起 步阶段，有待规范提高，并需纳入等级保护的机制中，已经显现的问题和可能发生 的问题，也有待深入研究，提出解决方法1 4 j 。 一个很明显的问题是：“r r 组织已经负责保护商业信息财产几十年了，为什么我 们不能把r r 的技术和优秀实践用于控制系统呢? ”表面上看这是个合理的方法；然 而，r r 风险管理保护数据资产免受盗窃和( 或) 修改，它所保护的数据资产是相对 缓慢移动的。控制系统连接到数据资产可能会崩溃，因此控制系统需要不同的风险 评估方法和保护设计。在信息系统的安全评估基础上，普及到自动化控制系统的安 全分析，这个过程是必然的。 为了系统的安全，必须分析确定系统风险及风险大小，进而决定采取什么措旅 去减少、转移、避免风险，把风险控制在可以容忍的范围内。以前处于垄断市场时， 控制系统设计时考虑的重点在于系统的可靠性( d e p e n d a b i l i t y ) ，现在市场自由化后， 系统的开放性使系统的安全问题成为关注的焦点，尤其是国家的基础结构部门，例 如电信、金融、电力、运输等，其中任何一项出现安全问题，其损失都是灾难性的。 从近几年突出的网络犯罪问题可见一斑。 在过程控制自动化系统中，例如s a c d a 系统，d c s 控制系统等，同样存在安 全风险问题。由于现在的控制系统已越来越开放，例如采用e t h e r n e t ，t c p i p 协议， 网络技术等，这样的结果一方面提高了控制系统的性能和便利，而另一方面也给危 险的发生提供了很大空间，在普通网络中存在的攻击同样可能侵入工业控制系统。 2 0 0 0 年澳大利亚发生了一起恶性事故，一位不满的雇员侵入了水控制系统并且将一 个宾馆淹没在下水道的污水之中。在2 0 0 3 年，史莱姆蠕虫病毒几乎侵入了遍布全球 的信息系统，使一个核工厂的安全监测系统瘫痪了将近5 个小时。威胁是巨大的， 我们必须重视系统的安全问题1 5 j 。 由此可见，制定一个全球统一的过程控制系统的安全评估标准是大势所趋。只 有对系统进行完整有效的安全评估之后，才能更有针对性的改善各个环节，避免灾 难的发生，将费用和损失降至最低，全面提高系统的安全性和稳定性。 8 第二章故障树分析方法 第二章故障树分析方法 2 1故障树分析方法介绍m 2 1 1 故障树分析方法定义 故障树分析( f a u l tt r c ca n a l y s i s ，f t a ) 是对既定的系统中可能出现的事故条件 及可能导致的灾害后果，按工艺流程、先后次序和因果关系绘成的程序方框图，表 示导致灾害、伤害事故( 不希望事件) 的各种因素之间的逻辑关系。它由输入符号 或关系符号组成，用以分析系统的安全问题或系统的运行功能问题，并为判明灾害 的发生途径及灾害、伤害之间的关系，提供一种最形象、简洁的表达方式。 2 1 2 故障树符号说明 1 ) 事件符号 口顶上事件、中间事件，需要进一步往下分析的事件。 省略事件，不能或不需要向下分析的事件。 u基本事件，不能再往下分析的事件。 2 ) 逻辑门符号 金或门，表示输入中的任一事件发生时，输出事件都可以发生。 与门，表示输入事件同时发生时，输出事件才发生。 l 生 2 1 3 布尔代数运算法则 1 ) 结合律 2 ) 分配律 3 ) 交换律 彳+ ( 占+ c ) 昌( 彳+ 口) + c 彳。p 。c ) 一口b ) c 月+ c ) t 爿c4 - b c 彳+ ( b c ) t o + b ) ( 月4 - c ) 彳8 。b 4 彳+ 口= 口+ 一 4 ) 等幂法则 4 彳；4 爿+ 爿= 爿 9 北京化工大学硕士学位论文 5 ) 吸收律 a 似+ b ) - a 2 1 4 故障树的表达式及最小割集 为了进行定性、定量分析，需要建立数学模型，写出它的数学表达式。把顶上 事件用布尔代数式表示，即可得到布尔表达式。例如 t _ x i x 2 + ( x 3 + x 4 ) ( x 3 + x 5 ) ( x 4 + z s ) 1 x t x 2 + j 3 x 3 x 4 + 石3 石3 以+ 工3 石5 x 4 + 邑x 5 x 5 + z 4 盖3 x 4 + x 4 x 3 2 5 + x 4 x 5 x 。+ x 4 x 5 2 5 能够引起顶上事件发生的最低限度的基本事件的集合称为最小割集。如果割集众 的任一基本事件不发生，则顶上事件绝对不会发生。 利用布尔代数法将上式化简得 t - x l x 2 + x 3 x 4 + x 3 2 5 + x 3 2 5 置4 + z 3 2 5 + 工3 工+ x 4 x 3 x 5 + z 4 x 5 + x 4 工5 - x l x 2 + x 3 x 4 + x 3 x 5 + x 4 x 5 则得到四个最小割集为 x ，x ： 、 z ，x 。 、 z ，工，) 、 x 4 x ，) a 最小割集的作用即是用来表示系统的危险性，每个最小割集都是顶上事件发生 的一种可能渠道。最小割集的数目越多，则系统越危险。事故的发生必然是某个最 小割集中几个事件同时存在的结果，求出事故树全部最小割集，就可以掌握事故发 生的各种可能，对掌握事故的规律，查明事故的原因大有帮助。另外一个最小割集 代表一种事故模式，根据最小割集，可以发现系统中最薄弱的环节，直观判断出哪 种模式最危险，哪些次之，以及如何采取预防措施。同时还可以通过最小割集来判 断基本事件的结构重要度。 2 2 方法改进 2 2 1 基本事件的结构重要度 结构重要度是用来分析基本事件对项上事件影响的大小，是为了改进系统安全 性提供重要信息的手段。通过结构重要度分析，可以定性地讨论出各基本事件对顶上 事件所产生的不同的影响程度，因而在制定安全措施时就可以分辨出各基本事件的 先后顺序，轻重缓急，使系统经济、安全、有效。 判断结构重要度有几个原则。 1 ) 一阶( 单事件) 最小割集中的基本事件结构重要度大于所有高阶最d , 害j j 集中基本 事件的结构重要度。 2 ) 仅在同一个最小割集中出现的所有基本事件，其结构重要度相等( 在其它割集中 1 0 第二章故障树分析方法 小出现) o 3 ) 几个最小割集均不含共同元素，则低阶最小割集中基本事件重要系数大于高阶割 集中基本事件重要系数。阶数相同，重要系数相同。 4 ) 比较两基本事件，若与之相关的割集阶数相同，则两事件结构重要系数大小，由 它们才出现的次数决定，出现次数大的系数大。 5 ) 相比较的两事件仅出现在基本事件个数不等的若干最小割集中，若它们在各最小 割集中重复出现的次数相等，则在少事件最小割集中出现的基本事件结构重要系数 大。若在少事件割集中出现的次数少，多事件割集中出现的次数多，以及其它复杂 情况，则可以用近似判别式： - 墨击，x e k ( 2 - 1 ) 式中为基本z ；的重要系数近似判别式：k i 为包含置的所有割集；n 为基本事 件石；所在割集中基本事件个数。 如在k 1 一仁l ，x 3 ) ，k 2 。仁l ，x 4 ，k 3 一仁2 ，x 3 ，x 5 ) ，k 4 一弘2 ，x 3 ，x 4 中， 1 1 - 刍+ 击一i 111 1 ：。芦+ 尹。i ； 卜刍+ 击+ 击一i 11 3 。歹+ 歹。i ； 11 1 s 。歹。i ； 所以，i l l ，3 ，4 ，2 j 5 。 在已有的故障树分析中，用割集判断基本事件结构重要系数时，必须按上述原则， 近似判别式是颇不得己而为之，不能完全用它。 2 2 2 权重系数 目前的故障树分析方法主要用于定性的分析系统的安全状况，具有一定的局限 性。通过探究分析，总结出一个利用最小割集计算基本事件结构重要系数的公式， 使用时不需要一步一步分析，只需直接计算即可，简单方便，并且可以利用其结果 来进行后续分析和整个系统的定量安全评价。其公式为： = k ，c ：，x ，k ，( 2 _ 2 ) 北京化工大学硕士学位论文 其中，k 为所有包含置的最小割集。利用该式计算满足上述的判别原则，并且 在复杂情况下可以区分的更清楚。利用该式上例的计算结果为： ，l l c ：+ c ；暑1 ； ，2 一c ：+ c ：- = j - ，o 1 3 c i + c ；+ c ；一导； ，- c ：+ c ；- ； l 卅一吉； 则，。，j ，j ，2 ) 1 5 。计算简便，尤其对复杂系统，省却了很多分析步骤。 由于结构重要度是在不考虑基本事件发生的概率是多少，仅从事故树结构上分 析各基本事件的发生对顶上事件发生的影响程度，因此在定量分折整个系统的安全 情况时，就需要分析基本事件对整个系统安全性的影响权重。采用的方法是利用基 本事件发生的概率相对应的系数来修正结构重要系数，然后将其标准化( 除以总和) 即可得到基本事件的权重系数q 。基本事件权重修正系数表见表2 1 。 表2 1基本事件权重修正系数表 t a b l e2 - 1t h ea m e n d a t o r yf a c t o rf o rb a s i ci s s u e sw e i g h tf a c t o r l 修正系数p 10 90 8o 70 60 5o 4o 3 0 20 1 l 故障发生频率( 次年) 1 052lo 50 20 1o 0 5o 0 1 1 6 - 1 7 ，1 8 - 1 9 一1 1 4 一k 1 3 一i - 1 5 1 1 0 i l l 一，1 2 一i n 。 根据修正系数表及权重系数标准化公式，则可以计算该系统中各基本事件的标准 化权重系数如表2 2 。 表2 - 2 系统各基本事件的标准权重系数 t a b l e 2 - 2 t h es l a n d a r