核電廠數字化儀表控制系統網絡安全風險分析方法綜述

黃曉津,田宇琨,李江海

(1.清華大學核能與新能源技術研究院,北京 100084；2.先進反應堆工程與安全教育部重點實驗室,北京 100084)

0 引言

核電廠儀表和控制系統(簡稱“儀控系統”)與核電站操作人員共同構成了核電廠的“中樞神經系統”。通過各種組成要素(如設備、模塊、子系統、冗余系統等)。儀控系統可感知基本參數、監控性能、整合信息，并根據需要對電廠運行進行自動調整。隨著信息時代的到來，計算機技術、網絡通信技術等信息技術與核電廠數字化儀控系統相結合[1]，使得基于計算機和聯網技術的數字化儀控系統逐步被采用。國內首個核電數字化儀控系統投用于江蘇田灣核電站。嶺澳二期核電站也使用了該技術[2]。數字化儀控系統的使用提高了核電廠的可靠性、降低了運營和維護成本，使核電廠的運行更加高效。但是，由于數字化儀控系統基于計算機和網絡技術，可能存在漏洞，特別是通用協議、軟件和設備對原有專用系統的取代[3]，使得系統和網絡更容易遭受黑客、病毒、蠕蟲等偶然或惡意的網絡攻擊。這將對核電廠系統及設備的可用性、信息和數據的保密性和完整性造成損害，并由此產生新的網絡安全風險[2]。因此，需要對核電廠數字化儀控系統進行風險管理。風險管理是分析、評估和處理風險的實踐標準，通過適用的網絡風險分析方法，對惡意網絡攻擊行為進行有效的識別和監測，從而保證核電廠系統的可用性，以及信息和數據的完整性和保密性，降低由攻擊事件導致的危害。

網絡安全風險分析方法最初產生于信息技術(information technology，IT)領域。當信息系統與物理系統相結合后，人們開始關心信息物理系統(cyber physical system,CPS)中基于網絡和軟件而產生的網絡安全問題，由此產生了眾多相關風險分析方法。核電數字化儀控系統對于遭受網絡攻擊而產生的網絡安全問題的研究尚處于起步階段，相關文獻較少，風險分析方法體系尚不完善。因此，本文對CPS的網絡安全風險分析方法進行綜述。所列網絡安全風險分析方法不僅包含核電領域，還包含電網、運輸系統等多個領域。通過文獻綜述，本文提出核電數字化儀控系統網絡安全風險分析方法的參考建議。文獻選擇范圍為2011—2021年間發表的、能夠獲取全文的研究成果，且至少涵蓋一種不同的網絡安全風險分析方法。本文主要涉及網絡安全風險分析方法中風險的場景、可能性及后果等問題，但風險緩解技術并不包含在本文綜述范圍內。

1 網絡安全風險分析的基礎

1.1 風險理論

傳統意義上的風險是不確定性和損害的結合。風險分析過程可以看作對三個問題的回答，即：①會發生什么；②有多大可能性；③如果真的發生了，其后果是什么[4]。

隨著信息技術的發展，對CPS的網絡安全風險的研究進一步深入。在網絡安全風險管理指南ISO/IEC 27005:2011中，定義網絡安全風險涉及三個要素，即資產、威脅和漏洞。在CPS中，網絡安全風險既指物理層面的功能安全風險(Safety)，又指網絡層面的網絡安全風險(Security)，即系統正常運行時安全目標遭受網絡攻擊所造成的不利影響。風險分析過程的總體目標是識別風險及其對系統關鍵資產的影響。分析的目標是基于威脅/漏洞識別關鍵資產的安全風險。

R=f[h(V,T),A]

(1)

式中：R為風險值；f為風險模型；h為威脅與漏洞的關系；V、T分別為漏洞被利用的可能性和威脅利用漏洞的可能性；A為資產價值。

根據GB/T 36466—2018，風險分析流程如下。

①評估風險要素。風險要素評估包括關鍵數字資產評估、威脅評估、脆弱性評估以及保障能力評估。資產評估包括識別資產和評估資產價值兩個方面：首先，識別出系統中的關鍵系統和關鍵系統中的關鍵數字資產；然后，評估資產價值，得到資產的重要度權重。威脅評估考慮可能對系統造成破壞的攻擊行為：首先，識別出威脅源、威脅途徑和可能性，以及威脅所造成的影響；然后，對威脅進行賦值。脆弱性評估考慮重要資產本身的脆弱性，識別脆弱性并對脆弱性進行分析賦值。保障能力評估則是對系統管理、運行、人員和技術等方面提供保障措施和對策的能力進行評估。

②計算風險。風險值通過風險要素得出。通過計算得到的風險值可劃分為幾個等級，以表示相應的風險嚴重程度。

③控制風險殘留。如風險不可接受，則需制定風險控制措施并實施相應的控制行為，以降低相關風險。

1.2 核電廠數字化儀控系統網絡安全標準

針對核電行業如何有效進行網絡安全防護，可參照國內外制定的一系列網絡安全標準。

國內外數字化儀控系統網絡安全標準如表1所示。

總體而言，我國核電數字化儀控網絡安全領域相關標準與國外尚存在一定的差距，目前國內還沒有針對核電廠數字化儀控系統網絡安全的特定標準。相比之下，由美國核管會發布的RG 5.71導則為之提供了一套切實可行的方案，可以系統解決核電數字化儀控系統的網絡安全問題。因此，可參考RG 5.71導則，將其與我國國情相結合，作出適應性修改，從而制定我國針對核電廠數字化儀控系統的網絡安全標準。

2 網絡安全風險分析方法

網絡安全風險分析方法一般分為兩類[5]。一類是基于公式的方法，即使用一套計算風險或影響的公式。該方法不使用任何模型進行風險評估，而是以表格或文本的形式表示。另一類是基于模型的方法，即首先建立所研究系統或過程的模型，然后通過模型進行定性或定量分析。

2.1 基于公式的方法

基于公式的方法使用公式對網絡安全風險進行量化，包括平均故障成本法、加權風險評分等方法。

平均故障成本(mean failure cost,MFC)[6]作為單位時間的故障成本的函數，從經濟角度對故障進行量化。式(1)為MFC計算公式。

M=S×D×I×P

(2)

式中：M為MFC的值；S為網絡安全需求與所需成本的關系矩陣，其中網絡安全需求一般包括可用性、完整性、保密性；D為組件與組件對每個網絡安全需求所作貢獻之間的矩陣，由系統架構師填寫；I為各威脅對各組件影響情況的矩陣，由分析人員填寫；P為一個列向量，代表每個條目的出現概率，通過對模擬系統或真實系統進行操作，評估該段時間內出現的威脅數量生成，并隨著系統的發展作相應改進。

MFC以價格/時間為單位，提供了單位時間內的平均損失估計。通過定量分析結果，可以使用MFC方法，采取相應的安全措施以減少損失。

加權風險評分(risk score,RS)[7]方法關注系統的可用性，采用加權計算對風險水平進行量化。式(3)為RS計算公式。

R=A×L0+B×C0

(3)

式中：R為風險值；C0為初始發生可用性損失事件的后果；L0為損失事件發生的可能性；A、B為權重因子，兩者之和為1。

C0基于可用性損失及其影響，分為很低、低、中等、高、很高五級，根據級別高低賦予定量數值。L0獨立于C0，與攻擊成本成反比。攻擊成本包括經濟成本與實施攻擊所需技能與知識的組合成本，分為很低、低、中等、高、很高五級，根據級別高低賦予定量數值。

根據式(3)計算所得的風險值越高，則表示該損失事件的風險水平越高，即系統需要更多的保護機制。

基于公式的方法通常是定量的，所采用的數值可以清晰地展現系統的風險水平。而CPS通常有著復雜的結構，基于公式的方法無法對復雜結構進行表示與深入分析。因此，研究者一般首先對系統進行建模，然后使用基于模型的方法進行風險分析。

2.2 基于模型的方法

基于模型的方法通過是否可用邏輯圖形來表示所建立的模型進行區分，包括非圖形模型法和圖形模型法。

2.2.1 非圖形模型方法

對于復雜的系統而言，一般可以通過建立系統模型對網絡安全風險進行分析。CPS的網絡結構、功能、任務通常是相對固定的，且一般情況下不需要頻繁地更新和修改，以便對系統進行建模。因此，基于模型的風險分析方法適用于CPS。本節描述非圖形模型方法，包括風險矩陣(risk matrix,RM)法、層次分析(analytic hierarchy process,AHP)法、博弈論(game theory,GT)法等。

RM法[8]是一種將危險發生的可能性和危害的嚴重程度綜合評估風險大小的風險評估方法。RM結構如圖1所示。RM法將風險需要采取的對策分為風險轉移、風險規避、風險接受和風險緩解這四類。四類對策對應不同高低的風險概率和風險影響，通過賦值計算出各風險因素的風險值并進行分析。

圖1 RM結構示意圖

AHP法將決策有關元素分解成目標、準則、方案等多個層次，并在此基礎上進行定性和定量分析。各層因子受下層因子的影響，同時影響上層因子。AHP法適用于具有分層交錯的評價指標，而目標值又難以定量描述的決策問題。文獻[9]首先將風險指標體系分為網絡安全和主機安全兩個維度，并以惡意代碼防范、結構安全、安全訪問控制、網絡訪問控制、入侵檢測、架構安全、登錄安全、主機安全監控和備份恢復為指標級別，分級建立矩陣；然后采用秩和比的方法對系統風險水平進行綜合評估。

GT法提供了一個分析框架，考慮攻擊者和防御者之間的交互，并對這種交互過程進行建模。攻擊者可能是單個黑客、黑客團體、恐怖組織等。防御者發揮優化博弈過程作用，使攻擊行為對系統的損害最小化。對于攻擊者而言，系統中的任何漏洞或弱點都可以被利用。對于防御者而言，任何可以用來組織、最小化或減輕攻擊的動作都可被視為防御動作。在該分析框架中，攻擊者和系統之間的互動被視為一種兩玩家游戲。在這種游戲中，每個玩家都試圖從游戲中增加自己的收益。因此，每個玩家都對對手的策略作出相應的反應。在這種方法中，攻擊者的長期策略被視為風險的可能性，通過定義效用函數來定量管理風險。文獻[10]利用GT法，分析出攻擊者可能的攻擊方向，提出網絡安全臨界數作為網絡安全風險的評估標準，并與系統的風險偏好進行比較。文獻[11]將機器學習引入GT法中，運用該方法制定攻擊和防御策略，并采用Q學習算法制定最優策略。

2.2.2 圖形模型方法

與非圖形模型方法相比，將模型用圖形表示的方法相對更為直觀，且可對復雜系統內部的邏輯關系進行更細致的表述，并從不同角度對系統進行建模。因此，基于圖形模型的方法對CPS的網絡安全風險進行分析的研究得較多?；趫D形模型方法包括基于故障樹的方法、基于攻擊樹(attack tree,AT)的方法、基于Petri網(Petri net,PN)的方法、基于貝葉斯網絡(Bayesian networks,BN)的方法、基于系統理論過程分析(systems-theoretic process analysis,STPA)的方法等。

故障樹是一個非循環圖，標識可能導致事故或故障的所有事件分支，以及這些事件發生的概率。故障樹分析(fault tree analysis,FTA)是一種自頂向下的、演繹的故障分析方法，使用布爾邏輯和異常事件來分析不同期望的系統狀態。文獻[12]提出了一種基于故障樹的網絡攻擊場景公式，詳細列出了導致系統故障的關鍵攻擊路徑。然而，傳統故障樹無法表示序列，即不能表示基本事件之間的任何依賴關系。布爾邏輯驅動馬爾可夫過程(Boolean logic driven Markov processes,BDMP)是一種圖形建模方法，最初是為安全性和可靠性評估而設計的。BDMP形式上是傳統故障樹與馬爾可夫過程的結合。BDMP可以極大地減少操作應用中的組合問題。與故障樹相比，BDMP可對動態特性進行建模，對于諸如核電數字化儀控系統的復雜CPS更加適用。文獻[13]基于BDMP對Stuxnet攻擊進行建模，并給出了每種可能的攻擊序列的量化結果。

AT是對系統的攻擊的樹形結構圖。在該結構圖中，攻擊的目標是樹的根，實現它的不同方法表示為葉節點。AT中，除根節點外的不同節點是攻擊的目標。通過自底向上的邏輯過程對AT進行安全評估，并進行網絡安全風險分析?？紤]到AT不涉及防御者對策和行動，文獻[14]引入防御行為作為攻擊對策，提出一種利用攻擊防御樹(ADTree)進行風險評估的方法。該方法不僅可以考慮攻擊者和防御者之間的攻擊場景并進行迭代對抗，還可以估計所需成本和投資回報?？紤]到功能安全與網絡安全的相互依賴性，文獻[15]將適用于功能安全性(Safety)的蝴蝶結方法與適用于網絡安全性(Security)的攻擊樹方法相結合，提出適用于工業控制系統安全的風險分析方法。該方法首先對風險場景進行建模，然后根據事件發生的可能性設計風險場景的評估方法，從而得到某一危險場景的安全等級。

故障樹與AT方法可構建邏輯關系，并給出定量的概率風險分析結果，形式結構簡便。該類方法只考慮組件故障，而無法表示組件間的故障及非線性邏輯關系。

PN由圓形節點庫所、方形節點變遷、庫所與變遷之間的有向弧以及庫所中的定態對象令牌組成。PN作為分布式、并行和實時系統建模、分析的重要形式化工具，為CPS建模奠定了堅實的基礎。文獻[16]提出的廣義隨機PN模型增加了及時轉換與定時轉換，運用該模型可定量評價入侵概率。文獻[17]利用有限隨機Petri網(limited stochastic Petri net,LSPN)方法建立防火墻保護模型，從而得到給定入侵場景下的穩定入侵概率。在LSPN中，每個變遷都有一個初始速率，即在有效條件下某一時刻的平均變遷事件開始數。變遷分為瞬時變遷和延遲變遷。當時間無限大時，系統達到動態平衡，從而得到穩定變遷速率。LSPN用于對具有并發、異步、分布式、并行、不確定性或隨機信息的CPS進行建模，通過分析系統結構的動態行為信息，對系統進行評估和改進。PN法可以對各種事件之間的邏輯關系建模，以便對諸如核電數字化儀控系統等CPS進行分析。但所建立的PN可能很大，以致無法生成系統的所有狀態。

BN是一種概率圖形模型，通過有向無環圖表示隨機變量及其條件依賴關系。BN有向無環圖中的節點表示隨機變量，有向邊描述隨機變量之間的相關關系，相關的程度用條件概率表達。BN將多元圖解可視化，適用于描述節點的因果關系及條件相關關系，可用于核電數字化儀控系統的CPS建模，從而進行風險分析。文獻[18]提出了一種包含攻擊模型、函數模型和事件模型的有針對性的多級BN，通過一次貝葉斯推理可計算出所有潛在威脅時間的發生概率。該模型還可對未知攻擊造成的網絡安全風險進行分析。文獻[19]將BN與PN相結合，首先利用PN建立系統模型，然后利用BN絡建立網絡攻擊模型。該模型可根據攻擊行為的變化實時更新攻擊概率并定量計算攻擊后果，從而實現對網絡攻擊的風險分析。由于節點的條件概率依賴于歷史數據，而網絡攻擊的歷史數據量過少，因此文獻[20]提出一種基于模糊概率貝葉斯網絡(fuzzy probabilistic Bayesian network,FPBN)的動態風險評估方法，用模糊概率代替條件概率，而后通過近似動態推理算法對網絡安全風險進行動態評估。BN可以將相對復雜的聯合概率分布分解為一系列相對簡單的節點，降低了知識獲取的難度和概率推理的復雜性，從而解決了概率推理中聯合分布太大的問題。然而，BN只考慮網絡層面上的安全性，并未對網絡問題所造成的物理層面上的功能安全性進行研究。

STPA是一種基于系統思維的新的危險分析技術，由文獻[21]提出，并應用于系統安全(Safety)領域。系統理論事故模型與過程(system theoretic accident model and processes,STAMP)是一種基于系統理論而非可靠性理論的新的事故原因分析模型，將傳統因果關系模型擴展到直接相關的故障事件鏈或組件故障之外?；赟TAMP提出的STPA方法，將安全問題視為一個動態控制問題而非故障預防或可靠性問題。而故障是由于系統的不充分控制產生的。STPA方法步驟如下：①定義分析目的；②建立控制結構的系統模型；③通過分析控制結構中的控制動作，研究控制動作與第一步定義的損失之間的關系；④查明不安全控制發生原因。STPA-Sec[22]通過增加網絡安全控制約束，將STPA擴展到網絡安全領域。STPA-SafeSec[23]將抽象的系統控制層擴展到具體可視化的組件層，并細化了通用分析過程，最終得到損失場景的樹形結構文本?；赟TPA的方法關注組件間的交互，除了技術問題還可以考慮人的因素，包括個人知識、操作人員網絡安全意識、組織網絡安全文化及業務流程等。但該方法并未給出定量結果。而在復雜環境中，識別控制器和系統組件之間的所有交互是極為復雜且耗費資源的。

3 適用性分析

目前，針對核電數字化儀控系統網絡安全風險分析方法仍然不成熟，還需進行更加深入的研究。本節將針對上述CPS的網絡安全風險分析方法，從動態分析、風險評價、數據來源、核安全與網絡安全等方面進行適用性分析，為選用核電數字化儀控系統網絡安全風險分析方法提供參考建議。

3.1 動態分析

在對CPS進行風險分析時，基于公式的方法無法清晰顯示系統內邏輯關系，因此大多采用基于模型的方法。無論是基于非圖形模型的方法還是基于圖形模型的方法，大多是基于威脅或漏洞對所要研究的系統進行建模。對于核電數字化儀控系統而言，所遭受的攻擊很可能是未知的，并且在核電數字化儀控系統的全生命周期中可能需要對系統進行部分升級。因此，若要選擇適用于核電數字化儀控系統的網絡安全風險分析方法，以動態分析方法為宜。

由于歷史數據的稀少及攻擊方式的不可預見性，文獻[18]采用多級BN對系統進行建模，利用攻擊和系統狀態預測潛在危險事件的發生，動態生成網絡安全風險。該概率方法可以較好地處理未知風險。

在調研的文獻中，所建立的模型大多適用于確定系統，在系統發生變化時大多需要對方法進行調整。因此，可針對性地設計一種動態分析方法，以應對系統發生變化后的風險分析。如文獻[13]所采用的BDMP方法使用一種特殊類型的鏈接對系統的動態特性進行建模。當然，還應考慮采用這樣一種適應系統變化情況的風險動態分析方法，與在系統發生變化后重新使用靜態風險分析方法進行成本問題的分析評估，針對不同系統采用不同的建模方法。

3.2 風險評價

在選擇適用的風險分析方法時，一項重要的內容就是如何對風險進行評價。風險評價的意義是將系統內各個風險進行排序，在有限資源的情況下選擇較大的風險并實施相應防范措施，從而更大限度地降低系統風險。

對于核電數字化儀控系統而言，評價標準首先考慮系統的可用性。系統可用性通常通過損失情況來表示。文獻[6]所采用的平均故障成本法，通過評估每個涉眾所承受的損失來評估系統的可用性。文獻[7]利用風險矩陣計算風險評分后得到的五個信任級別來表示系統可用性的受損程度。此外，還可以采用一些評價指標對風險進行評價。這些指標可表示系統的風險水平。文獻[10]通過由嚴重程度和可能性兩個因素共同決定的網絡安全臨界數來評價風險。GB/T 36466—2018規定：風險是由安全事件發生的可能性及安全事件造成的損失共同決定的。

3.3 數據來源

在對核電數字化儀控系統網絡安全進行風險評估時，需要對一定的數據進行計算，以實現風險評級或給出風險分數。所采用的數據來源包括歷史數據、實際數據和專家意見。

采用歷史和實際數據通?？蛇M行定量分析，比如在使用概率進行分析的方法中，方法的準確度依賴于概率的質量。而在理想狀態下，概率應來自客觀的經驗數據。核電儀控領域遭受網絡攻擊數據極少，且復雜系統可遭受攻擊的薄弱環節可能存在于系統的方方面面，因此威脅很可能是未知的。這使得該類數據無法對某些風險進行準確分析。

采用專家意見進行風險評級可實現定性分析，但這又使得風險分析結果變得相對主觀，且相應方法中缺少專家評定的細節。這會對風險評價的準確性造成影響，導致無法反映風險的真實情況。

因此，對于核電數字化儀控系統而言，將歷史和實際數據與專家意見相結合的方法可以在一定程度上克服兩種數據來源各自的局限性，有利于對網絡攻擊所造成的真實風險水平進行分析。

3.4 核安全與網絡安全

對于核電數字化儀控系統而言，核安全與網絡安全是相互依賴的，無論是突發事故還是惡意攻擊，最終都可能對系統資產(包括人員、財產、環境及服務)造成損害。核安全與網絡安全的主要區別在于風險的來源，因此需采用不同的風險分析方法及標準。對于核安全而言，考慮由系統故障或某些意外條件的組合而導致的損害，損害情況通常是已知的、可以預測的。對于網絡安全而言，考慮由于系統存在薄弱環節，網絡攻擊對系統的重要資產及操作產生的影響、威脅很可能是未知的、難以預測的。

在選擇針對兩種安全性的風險分析方法時，需要考慮兩種安全性之間的交互關系。文獻[24]將其歸納為四種。①條件依賴：滿足其中一種安全要求即滿足另一種安全要求。②相互強化：其中一種安全要求的實現有助于另一種安全要求的實現。③對抗：同時考慮兩種安全性要求時，兩種安全要求會發生沖突。④相互獨立：兩種安全要求沒有相關性。

在對核電數字化儀控系統安全性進行風險分析時，為了減輕系統所承受的風險，應該將核安全與網絡安全相結合進行風險分析。在此，有兩種方法可以考慮。其一是從威脅出發，對風險場景進行建模，然后設計風險場景評估方法。例如，文獻[17]將適用于核安全的蝴蝶結方法與適用于網絡安全的AT方法相結合，建模風險場景，然后對風險進行評級。其二是從薄弱環節出發，對系統進行建模，以識別不安全的控制行為，對不安全的控制行為進行風險分析，例如基于STPA的方法。其中：前者關注組件故障，建模方法及形式簡單，所考慮的威脅通常為已知威脅；后者建模過程相對復雜，建模相對困難，除了組件故障還考慮組件間的相互影響，除了已知威脅還可考慮未知威脅。

4 結論

計算機和網絡的核電數字化儀控系統在提高核電廠可靠性、降低使用和維護成本、便于運行操作的同時，也存在遭受網絡攻擊的風險。因此，需要使用合適的網絡安全風險分析方法對其進行風險分析。針對核電數字化儀控系統的網絡安全問題，國內外發布了一系列標準和指南，作為有效開展網絡安全防護的要求和基礎。

本文將網絡安全風險分析方法分為基于公式方法和基于模型方法(包括非圖形模型和圖形模型)這兩類進行文獻綜述，并從動態分析、風險評價、數據來源、核安全與網絡安全四個方面對核電數字化儀控系統網絡安全風險分析方法進行了適用性分析，為核電數字化儀控系統選用適當的網絡安全風險分析方法提供了參考。