CN104299169A - 一种污水处理系统信息安全在线风险分析方法及系统 - Google Patents

Abstract

本发明公开了一种污水处理系统信息安全在线风险分析方法及系统。本发明先建立系统模型，包括资产损失分析模型、人员损失分析模型、环境损失分析模型、效益损失分析模型、安全事件模型、功能支撑模型以及贝叶斯攻击图；然后各网络节点作为从节点，监测其功能运行情况，并将监测结果发送给作为主节点的工程师工作站；最后主节点根据监测结果，利用建立的系统模型，分析系统损失。系统包括设置在工程师工作站上的主节点，设置在各网络节点上的从节点，以及连接主节点和所有从节点的一个工业通信网络。本发明综合考虑了污水处理系统在遭受入侵攻击时而导致各方面的损失，能够在资源受限的环境中进行全面、准确、快速的在线风险分析。

Description

一种污水处理系统信息安全在线风险分析方法及系统

技术领域

本发明涉及污水处理系统信息安全防护领域，更具体地，涉及一种针对污水处理系统的信息安全在线风险分析方法及系统。

背景技术

随着计算机技术、传感器技术、网络通信技术以及自动控制技术的迅速发展，网络化污水处理系统实现了宽广地域的管理、监视与控制，打破了传统污水处理系统信息孤岛的僵局，但是享受开放带来便利的同时也面临着各种各样的信息安全问题。例如，2001年，澳大利亚昆士兰州污水处理厂的一名前雇员攻击该厂的SCADA系统，导致264,000加仑未经处理的污水排放到附近的河流。由此可见，污水处理系统遭受到入侵攻击的后果非常严重，其信息安全问题迫在眉睫，而在线风险分析是信息安全防护中的重要一环。

典型的污水处理系统包括企业管理信息系统、中央控制室以及现场控制站，其中企业管理信息系统通过Internet与其他污水处理系统以及污水处理总公司相连，中央控制室通过安全路由器与企业层相连，现场控制站通过ProfiNET与监控层相连。

污水处理系统属于信息物理融合系统，包括信息部分和物理控制对象两部分，故要求污水处理系统的在线风险分析系统能够全面的考虑信息与物理两方面因素；传统信息系统的在线风险分析系统对入侵检测结果的依赖程度大，并且现在并没有一套针对污水处理系统行之有效的入侵检测方案。由于上述特点，传统的信息安全在线风险分析方案不适合于污水处理系统，因此污水处理系统亟需建立有效的在线风险分析系统。

在线风险分析是污水处理系统信息安全防护的重要环节，为决策制定提供系统风险信息。现有风险分析方法按照运行状态分为在线和离线两种，离线风险分析主要用于污水处理系统的非运行阶段，考虑系统存在的漏洞以及可能遭受到的攻击，对系统可能遭受到的风险进行分析以及分析；而在线风险分析是对运行中的污水处理系统进行实时风险分析，通过采集系统的实时数据加以分析，分析系统当前时刻所面临的风险大小。现有风险分析方法按照计算精度分为定性分析和定量分析，定性分析主要用于参考数据较少时的风险分析，其分析速度快，但分析结果精度低、缺乏客观性；定量风险分析综合系统大量数据进行风险分析，分析结果全面客观，但是占用系统资源多，对数据的依赖性过强。上述风险分析方法及系统是针对信息系统而提出的，没有有针对性的考虑污水处理系统实时性要求、资源受限以及成本约束等特点，也没用全面反映污水处理系统信息与物理两方面的风险。

期刊《计算机研究与发展》2010年第10期的论文《入侵进程的层次化在线风险分析》和专利文献(CN 102394766A)提出了从服务、主机和网络自下到上的层次化在线风险分析模型,并利用分析模型对系统进行在线风险分析；专利文献(CN102663522A)公开了一种“电网在线风险分析方法”，通过事件的严重度以及条件概率计算电网的在线风险。上述文献及专利申请有的未能全面考虑污水系统所面临的风险，有的未能考虑入侵攻击造成系统风险的时间特性，有的分析的不是信息安全方面的风险。此外污水处理系统的在线风险分析系统运行时不能对原有系统功能造成影响。

发明内容

本发明的目的是为了解决现有在线风险分析方法用于网络化的污水处理系统时的上述问题，提供一种污水处理系统信息安全在线风险分析方法及系统，目的在于解决分析过程中的主观性、模糊性和不确定性问题，为决策者提供全面、可靠、客观的数据。

本发明提供的一种污水处理系统信息安全在线风险分析方法，该方法包括下述步骤：

第1步建立系统模型，包括资产损失分析模型、人员损失分析模型、环境损失分析模型、效益损失分析模型、安全事件模型、功能支撑模型以及贝叶斯攻击图；

第2步各网络节点作为从节点，监测其功能运行情况，并将监测结果发送给作为主节点的工程师工作站；

第3步主节点根据监测结果，利用建立的系统模型，分析分析系统损失。

本发明提供的一种污水处理系统信息安全在线风险分析系统，包括设置在工程师工作站上的主节点，设置在各网络节点上的从节点，以及连接主节点和所有从节点的一个工业通信网络；

所述主节点用于收集系统所有节点功能失效数据，结合系统模型分析系统当前损失，结合历史数据分析系统潜在损失，最终产生风险评估结果即风险等级；

所述各从节点用于完成所在网络节点自身功能的监测，评估每一个功能是否失效，并将功能失效数据通过网络发送给主节点；

所述工业通信网络负责各节点之间的消息传递。

本发明综合考虑了污水处理系统在遭受入侵攻击时而导致各方面的损失，能够在资源受限的环境中进行全面、准确、快速的在线风险分析，其技术效果具体说明如下：

一、本发明面向污水处理网络化工业控制系统，所提出的在线风险分析方法和系统考虑污水处理系统遭受入侵攻击时所面临的多种主要风险，结合资产损失分析模型、人员损失分析模型、环境损失分析模型、效益损失分析模型以及功能支撑模型对污水处理系统进行功能状态监测以及全面的风险分析。

二、本发明根据收集到的系统异常分析攻击者的攻击意图，进而利用多种系统模型分析污水处理系统可能遭受的损失，并将多种损失统一量化构成系统实时风险，最后利用风险等表确定系统的实时风险等级，为决策者提供客观的决策信息。

三、本发明可以软件实现，成本低，它可以在保留原有污水处理系统结构的基础上部署风险分析系统，不会影响原有系统正常工作。分析过程中产生的通信数据少，不会对原有系统的网络通信造成影响。而且本发明具有可重构，适应性强等特点，可以运行在各种污水处理系统上。

附图说明

图1是污水处理系统的网络结构示意图；

图2是资产损失分析模型示意图；

图3是人员损失分析模型示意图；

图4是环境损失分析模型示意图；

图5是安全事件分析模型示意图；

图6是污水处理系统的工艺模型示意图；

图7是功能支撑模型示意图；

图8是污水处理系统的贝叶斯攻击示意图；

图9是平均概率计算的示意图；

图10是本发明实例提供的污水处理系统信息安全在线风险分析系统结构示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步说明。在此需要说明的是，对于这些实施方式的说明用于帮助理解本发明，但并不构成对本发明的限定。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明方法在污水处理系统中实现，基于的环境包括一个主节点、多个从节点，并且主节点及所有从节点连接在工业通信网络上，可以相互传递报文。

主节点，即负责进行在线风险分析的网络节点，一般为系统资源相对丰富的工控机。主节点负责收集其他从节点发送来的功能失效数据，分析整个系统的当前损失，预测整个系统的潜在损失。

从节点，即除去负责在线风险分析的网络节点之外的其他网络节点，负责监测自身的功能失效情况，对功能失效进行分析，并将分析结果通过网络发送至负责在线风险分析的网络节点。

在如图1所示的需要在线风险分析的污水处理系统中建立一种污水处理系统信息安全在线风险分析方法。

在线风险分析系统采用分布式结构，在工程师工作站上部署在线风险分析节点，即主节点；在其它网络节点上部署功能监测节点，即从节点，具体步骤如下：

第1步分析污水处理系统，建立资产损失分析模型、人员损失分析模型、环境损失分析模型、效益损失分析模型、安全事件模型、功能支撑模型以及贝叶斯攻击图，具体过程为：

第1.1步建立资产损失评估模型。分析污水处理系统的资产构成，生成资产清单，针对资产清单中的每一个资产，首先分析其组件构成，生成组件清单，针对组件清单中的每一个组件分析该组件提供的功能清单，建立资产损失评估模型，如图2所示。

该控制器分为4个组件，分别是CPU、I/O、以太网和串口。CPU组件提供了计算控制量和定时中断的功能；I/O组件提供了采集数据和执行命令的功能；以太网组件提供了收发以太网帧的功能，串口组件提供了收发串口帧的功能。

第1.2步建立人员损失评估模型。分析污水处理系统的工作人员构成，生成工作人员清单，针对每个工作人员建立人员损失评估模型。以工作人员甲为例，说明如何建立人员损失评估模型。首先分析发生哪些安全事故会对该工作人员造成人身伤害，建立人员甲的人员损失评估模型，如图3所示。

模型中的安全事件分别是氯气泄漏和硫化氢泄漏，每个事件都对应着发生的概率和发生后产生的损失。事件发生的概率在线实时计算，事件发生产生的损失离线计算。

以氯气泄漏为例，对事件造成的人员损失的计算加以说明。人员的损失程度根据《工伤鉴定标准》将人员的损失分为11个等级，分别是一级伤残、二级伤残，……，十级伤残，死亡。结合历史记录统计氯气泄漏事件对人造成的损失程度以及发生的概率，根据《工伤赔偿标准》计算每种损失程度对应的经济损失，建立表一。

最终计算氯气泄露事件对人员甲造成的损失，如公式(1.1)所示。

${\mathrm{HEL}}_{\mathrm{Cl}}=\underset{i=1}{\overset{11}{\mathrm{\Σ}}}{\mathrm{Pay}}_i{\mathrm{HEP}}_i---\left(1.1\right)$

第1.3步建立环境损失评估模型。首先分析发生哪些安全事故会对环境造成污染，建立环境损失评估模型，如图4所示。

环境损失评估模型中有氯气泄漏、硫化氢泄露、污水外流等等安全事件，每个事件都对应着发生的概率和发生后产生的损失。事件发生的概率实时计算，事件发生产生的损失离线计算。

以氯气泄露为例，对事件造成的环境损失的计算加以说明。氯气泄露会对水体、空气和土壤造成不同程度的污染，污染程度分为轻度污染、中度污染、重度污染。结合历史记录统计氯气泄漏事件对环境造成的污染类型、损失程度以及发生的概率，根据相关法律法规以及处罚条例计算每种程度的污染对应的经济损失，建立表二。

最终计算氯气泄露事件对环境造成的损失，如公式(1.2)所示：

${\mathrm{EEL}}_{\mathrm{Cl}}=\underset{i=1}{\overset{9}{\mathrm{\Σ}}}{\mathrm{Fine}}_i{\mathrm{EEP}}_i---\left(1.2\right)$

第1.4步建立安全事件分析模型。针对人员损失评估模型和环境损失评估模型中的每一个安全事件，分析发生安全事故的条件。以出水pH值异常这一安全事故为例，对安全事故的发生条件加以说明。出水pH值异常有多方面原因，枚举可能的原因如下表三所示。

经过分析，这5个功能有任何一个功能失效都会导致该安全事件的发生，这5个功能成为该安全事件的支撑功能集合，故pH值异常这一事件的安全事件分析模型如图5所示。

第1.5步建立效益损失评估模型，以某污水系统为例，说明如何建立污水处理系统的效益损失评估模型，该污水处理系统的工艺模型如图6所示。该污水处理系统有4个主要的工艺流程，也是系统4个主要功能，分别是污水预处理、生化处理、沉淀和消毒。系统有3种产品，分别是水和两种污泥，分别用P₁、P₂和P₃表示，产品的价值分别用PV₁、PV₂和PV₃表示。当某工艺失效时，该工艺便无法产出产品，以至于后面的流程工艺没有输入。比如生化处理工艺失效时，导致产品污泥P₂和水P₁都无法生成，此时只有污泥P₃可以正常生成，此时产生的效益损失便是污泥P₂和水P₁，对应的经济损失可以通过两种产品的价值PV₂和PV₁计算得到。

第1.6步建立功能支撑模型。将资产损失分析模型、安全事件分析模型和效益损失分析模型中的所有功能组成系统功能集合，针对集合中的每个系统功能建立功能支持模型。功能支撑模型是描述系统功能之间的支撑关系的模型，系统功能正常工作需要其它功能的配合，如果其它配合的功能失效，那么被支撑的功能也无法正常工作。以添加氯气这个功能为例，说明如何建立功能支撑模型。添加氯气的功能有3个支撑功能，分别是形成真空、调节真空和控制气体投加量。如果有任何一个功能失效，添加氯气功能便失效。故添加氯气这个功能的功能支撑模型如图7所示。

第1.7步建立贝叶斯攻击图。根据专家经验以及历史数据，枚举攻击情景，根据攻击的过程，产生贝叶斯攻击图的节点。比如，某攻击的入侵过程如下。

●攻击者监听探测网络；

●攻击者对工程师站进行溢出攻击；

●攻击者获得工程师站的Root权限；

●攻击者向PLC发送错误的指令；

●阀门被关闭。

该攻击过程对应的贝叶斯攻击图中的节点如表四所示。

再比如，某攻击的入侵过程如下。

●攻击者监听探测网络；

●攻击者对工程师站植入木马；

●攻击者获得工程师站的Root权限；

●攻击者向PLC发起DoS攻击；

该攻击过程对应的贝叶斯攻击图中的节点如表五所示。

贝叶斯节点1和6为相同内容，对应的功能失效也一样，故可以合并为一个节点，同理，节点3和节点8同理也可以合并为一个节点。产生的贝叶斯攻击图如图8所示。

然后计算节点间的状态转移概率，计算方法是根据历史数据统计算得来。如果没有对应的历史统计，就按平均概率计算，如图9所示。

节点A1到A2的转移概率可以通过历史数据统计计算得到，是0.4，而节点A3和A4的转移概率历史数据中没有相关记录，那么就按平均概率计算，A3和A4的转移概率都是0.3。

第2步监测污水处理系统运行时的功能运行情况，具体过程为：

第2.1步首先建立系统功能失效与系统数据异常映射关系表，如表六所示。

对于系统功能F₁来说，当系统检测到系统数据D₁出现异常时，便可分析出系统功能F₁出现异常。

第2.2步在系统中的每个节点上部署功能监测探针。功能监测探针监测系统数据，并判断系统数据是否存在异常，如果存在异常，根据功能失效与系统数据异常映射关系表分析系统功能失效，从而实现功能运行情况监测的目的。

第2.3步每个系统的从节点将自身的功能监测探针的功能失效结果汇总，并通过网络发送给主节点。

第3步分析系统损失，具体过程为：

第3.1步对于没有检测出异常的系统功能，通过系统功能支撑模型分析该功能是否失效。

第3.2步构建系统功能损失向量的维数为系统的功能总数，主节点将所有从节点发送来的系统功能失效的结果汇总，生成当前时刻的功能损失向量FF_i是功能损失向量中的元素，每个元素都与一个系统功能相对应。FF_i的定义如下所示。

第3.3步将系统当前的功能损失向量与贝叶斯攻击图中的节点进行匹配，具体过程如下：贝叶斯攻击图中的每个节点都对应着功能失效集合，利用功能失效集合可以得到节点对应的系统功能损失向量然后针对贝叶斯攻击图中的每个节点，计算的值，然后取最小的节点作为攻击证据，即系统已经处在该攻击状态下，该节点的可达概率变为1。

第3.4步利用贝叶斯后验概率公式更新整个贝叶斯攻击图中每个节点的可达概率，贝叶斯后验概率公式如下所示：

$P\left(\mathrm{\Φ}\right|\mathrm{\Ψ})=P\left(\mathrm{\Ψ}\right|\mathrm{\Φ})\·\frac{P\left(\mathrm{\Φ}\right)}{P\left(\mathrm{\Ψ}\right)}$

式中，

Φ、Ψ表示贝叶斯攻击图中的两个节点，即系统的状态；

P(Φ|Ψ)表示已经达到状态Ψ的情况下达到状态Φ的概率；

P(Ψ|Φ)表示已经达到状态Φ的情况下达到状态Ψ的概率；

P(Φ)表示达到状态Φ的概率；

P(Ψ)表示达到状态Ψ的概率。

第3.5步计算系统功能失效概率。具体过程为，贝叶斯攻击图中的第i个节点对应的功能失效向量为设系统有n个功能，则有

${\stackrel{\→}{\mathrm{FF}}}_i=\{{\mathrm{FF}}_{i1},{\mathrm{FF}}_{i2},\·\·\·,{\mathrm{FF}}_{\mathrm{in}}\}$

设贝叶斯攻击图中有m个节点，则m个节点对应的功能失效向量构成功能失效矩阵，如下式所示：

贝叶斯攻击图中的每一个节点的可达概率为AP_i，所有节点的可达概率构成可达概率向量，如下式所示：

(AP_i，AP₂，…，AP_m)^T

对于系统功能F_i的失效概率，计算公式如下式：

${\mathrm{PF}}_i=1-\underset{j=1}{\overset{m}{\mathrm{\Π}}}(1-{\mathrm{FF}}_{\mathrm{ji}}\·{\mathrm{AP}}_j)$

第3.6步根据系统功能的失效概率，利用安全事件分析模型，计算系统安全事件的发生概率，具体过程如下：

设安全事件E_i的支撑功能集合为EFS_i＝{E₁，E₂，…，F_k}，其中k为支撑功能集合的个数，则安全事件E_i发生概率为PE_i，计算公式如下式：

${\mathrm{PE}}_i=1-\underset{j=1}{\overset{k}{\mathrm{\Π}}}(1-{\mathrm{PF}}_j)$

其中，PF_j为支撑功能，F_j为失效概率。

第3.7步计算系统资产损失，具体过程如下：

设资产A_i由l个组件构成，利用每个组件所提供的功能的失效概率计算该组件的失效概率CFP，计算公式如下式所示：

$\mathrm{CFP}=1-\underset{i=1}{\overset{o}{\mathrm{\Π}}}(1-{\mathrm{FP}}_i)$

其中，o为该组件支撑功能的个数，FP_i为支撑功能F_i的失效概率。

设更换组件的成本为CV，则资产A_i的损失计算如下式所示：

${\mathrm{AL}}_i=\underset{j=1}{\overset{p}{\mathrm{\Σ}}}({\mathrm{CFP}}_j\·{\mathrm{CV}}_j)$

其中，p为资产A_i的组件个数。

系统的资产损失计算如下式所示：

$\mathrm{AssetLoss}=\underset{i=1}{\overset{q}{\mathrm{\Σ}}}\left({\mathrm{AL}}_i\right)$

其中，q为系统中资产的个数。

第3.8步计算系统人员损失，具体过程如下：

对于人员H_i，根据该人员的人员损失评估模型，计算该人员的人员损失，计算公式如下所示：

${\mathrm{HL}}_i=\underset{j=1}{\overset{r}{\mathrm{\Σ}}}({\mathrm{HEP}}_j\·{\mathrm{HH}}_j)$

其中，r为该人员安全评估模型中的安全事件的个数；HEP_j为系统安全事件的发生概率；HH_j为系统安全事件发生时对该名工作人员造成的人员损失。

系统的人员损失计算如下式所示：

$\mathrm{HumanLoss}=\underset{i=1}{\overset{s}{\mathrm{\Σ}}}{\mathrm{HL}}_i$

其中，s为系统中工作人员的个数。

第3.9步计算系统环境损失，具体过程如下：

根据环境损失评估模型，计算环境的损失，计算公式如下所示：

$\mathrm{EnuirLoss}=\underset{j=1}{\overset{t}{\mathrm{\Σ}}}({\mathrm{EEP}}_j\·{\mathrm{EH}}_j)$

其中，t为该人员安全评估模型中的安全事件的个数；EEP_j为系统安全事件的发生概率；EH_j为系统安全事件发生时造成的环境损失。

第3.10步计算系统效益损失，具体过程如下：

针对每种产品，分别计算其不能正常产出的概率，计算方法为：将该产品生产流程中涉及的每一个工艺，即系统功能，加入到该产品对应的功能集合PSet，然后利用如下公式计算该产品不能正常产出的概率。

$P_P=1-\underset{F_i\∈\mathrm{PSet}}{\mathrm{\Π}}(1-F_i)$

设污水处理系统有u种产品，分别是P₁、P₂、……、P_u，对应的价值为PV₁、PV₂、……、PV_u，不能正常产出的概率分别为则系统的效益损失计算如下公式：

$\mathrm{EcoLoss}=\underset{i=i}{\overset{u}{\mathrm{\Σ}}}{P}_{P_i}{\mathrm{PV}}_i$

第3.11步计算系统整体损失，计算公式如下所示：

SystemLoss＝AssetLoss+HumanLoss+EnuirLoss+EcoLoss

第3.12步确定系统风险等级，具体过程如下：假设系统所有功能的损失概率均为1，然后计算系统的最大损失SystemLoss_max，生成风险等级表，如表七所示。

根据风险等级表，将当前的系统损失SystemLoss转化为系统当前的风险等级。

第3.13步转到第2步，对系统的功能进行监测。

上述过程，第1步可以离线进行，第2步在所有从节点上在线进行，第3步在主节点上在线进行。

如图10所示，为本发明提出的污水处理系统信息安全在线风险评估系统，该系统用于实现上述在线风险评估方法。

本发明提出的污水处理系统信息安全在线风险评估系统包括主节点1，从节点2、从节点3、…、从节点n以及连接主节点和所有从节点的一个工业通信网络，其中，n为所有从节点的个数。

主节点1负责收集系统所有节点功能失效数据，结合系统模型分析系统当前损失，结合历史数据分析系统潜在损失，最终产生风险评估结果——风险等级。

从节点2、从节点3、…、从节点n负责完成自身功能的监测，评估每一个功能是否失效，并将功能失效数据通过网络发送给主节点。

工业通信网络负责各节点之间的消息传递。

主节点1包括网络接口1.1，系统损失评估模块1.2，风险评估模块1.3。

其中，网络接口1.1，负责接收网络报文，将从节点上报的系统功能失效数据上报至系统损失评估模块1.2；

系统损失评估模块1.2，接收到从节点发送来的系统功能失效数据，利用功能支撑模型计算没有检测出失效的功能是否失效，然后利用贝叶斯攻击图对攻击进行预测，并给出系统所有功能的失效概率。结合资产损失评估模型、人员损失评估模型以及环境损失评估模型分析系统的资产、人员、环境和效益的损失，并计算污水处理系统的整体损失，并上报至风险评估模块1.3；

风险评估模块1.3，根据风险等级表将系统整体损失转化为系统当前的风险等级。

从节点2、3、…、n包括网络接口2.3、3.3、…、n.3，功能失效评估模块2.2、3.2、…、n.2，功能监测探针2.1、3.1、…、n.1。

其中，功能监测探针2.1、3.1、…、n.1监测所在节点的功能状态，如果功能状态有异常，将异常信息上报至该探针所在节点的功能失效评估模块；

功能失效评估模块2.2、3.2、…、n.2对接收到的系统功能异常信息进行损失评估，并将评估结果，即功能失效数据发送至该节点的网络接口；

网络接口2.3、3.3、…、n.3，将自身节点的功能失效数据发送至主节点。

在上述详细的具体实施方式中，尽管以具有一定程度特性的优选形式对本发明进行了描述，但是，在不背离其宗旨和范围的前提下实施本发明的各种明显不同实施例，应理解为，在不偏离权利要求的范围的情况下，发明不限于具体实施例。

表一

人员损失程度	经济损失(赔偿标准)	发生概率
			一级伤残	Pay1	HEP1
二级伤残	Pay2	HEP2
			三级伤残	Pay3	HEP3
四级伤残	Pay4	HEP4
			五级伤残	Pay5	HEP5

六级伤残	Pay6	HEP6
			七级伤残	Pay7	HEP7
八级伤残	Pay8	HEP8
			九级伤残	Pay9	HEP9
十级伤残	Pay10	HEP10
			死亡	Pay11	HEP11

表二

表三

原因	对应的功能失效
		pH计检测功能失效	pH检测功能
pH值数据传输过程中被人篡改	pH计与控制器之间的通信功能
		控制器给出水阀的控制指令错误	控制器的计算功能
控制指令在传输过程中被篡改	控制器与出水阀之间的通信功能
		出水阀开闭功能失效	出水阀开闭功能

表四

节点	描述	功能失效
			1	网络被监听	NONE
2	工程师站受到溢出攻击	NONE
			3	攻击者获得工程师站Root权限	NONE
4	PLC收到错误指令	PLC控制功能
			5	阀门被关闭	排水功能

表五

节点	描述	功能失效
			6	网络被监听	NONE
7	工程师站被植入木马	NONE
			8	攻击者获得工程师站Root权限	NONE
9	PLC遭受DoS攻击	PLC控制功能、通信功能

表六

系统功能失效	系统数据异常
		F1	D1
F2	D2、D4
		F3	D3、D5
…	…

表七

风险等级	系统损失范围
		1	[0，0.0625SystemLossmax]
2	(0.0625SystemLossmax，0.125SystemLossmax]
		3	(0.125SystemLossmax，0.25SystemLossmax]
4	(0.25SystemLossmax，0.5SystemLossmax]
		5	(0.5SystemLossmax，SystemLossmax]

Claims (10)

1.一种污水处理系统信息安全在线风险分析方法，该方法包括下述步骤：

第1步建立系统模型，包括资产损失分析模型、人员损失分析模型、环境损失分析模型、效益损失分析模型、安全事件模型、功能支撑模型以及贝叶斯攻击图；

第2步各网络节点作为从节点，监测其功能运行情况，并将监测结果发送给作为主节点的工程师工作站；

第3步主节点根据监测结果，利用建立的系统模型，分析系统损失。

2.根据权利要求1所述的污水处理系统信息安全在线风险分析方法，其特征在于，第1步包括下述过程：

第1.1步建立资产损失评估模型：

分析污水处理系统的资产构成，生成资产清单，针对资产清单中的每一个资产，首先分析其组件构成，生成组件清单，针对组件清单中的每一个组件分析该组件提供的功能清单，建立资产损失评估模型；

第1.2步建立人员损失评估模型：分析污水处理系统的工作人员构成，生成工作人员清单，针对每个工作人员建立人员损失评估模型；

第1.3步建立环境损失评估模型：首先分析发生哪些安全事故会对环境造成污染，得到环境损失评估模型；

第1.4步建立安全事件分析模型：针对人员损失评估模型和环境损失评估模型中的每一个安全事件，分析发生安全事故的条件，得到安全事件分析模型；

第1.5步建立效益损失评估模型：分析污水处理系统的主要工艺流程，分析当某工艺失效时，该工艺便无法产出产品，以至于后面的流程工艺没有输入，导致后续工艺产品无法生成而产生的效益损失，对应的经济损失通过后续工艺产品的价值计算得到；

第1.6步建立功能支撑模型：将资产损失分析模型、安全事件分析模型和效益损失分析模型中的所有功能组成系统功能集合，针对集合中的每个系统功能建立功能支持模型，以描述系统功能之间的支撑关系；

第1.7步建立贝叶斯攻击图：枚举攻击情景，根据攻击的过程，产生贝叶斯攻击图的节点，然后计算节点间的状态转移概率，得到贝叶斯攻击图。

3.根据权利要求1或2所述的污水处理系统信息安全在线风险分析方法，其特征在于，第2步包括下述过程：

第2.1步首先建立系统功能失效与系统数据异常映射关系表；

第2.2步在系统中的每个网络节点上部署功能监测探针，功能监测探针监测系统数据，并判断系统数据是否存在异常，如果存在异常，根据功能失效与系统数据异常映射关系表分析系统功能失效，从而实现功能运行情况监测的目的；

第2.3步每个系统的从节点将自身的功能监测探针的功能失效结果汇总，并通过网络发送给主节点。

4.根据权利要求1或2所述的污水处理系统信息安全在线风险分析方法，其特征在于，第3步中，主节点按照下述过程执行：

第3.1步对于没有检测出异常的系统功能，通过系统功能支撑模型分析该功能是否失效；

第3.2步构建系统功能损失向量的维数为系统的功能总数，主节点将所有从节点发送来的系统功能失效的结果汇总，生成当前时刻的功能损失向量FF_i是功能损失向量中的元素，每个元素都与一个系统功能相对应；

第3.3步将系统当前的功能损失向量与贝叶斯攻击图中的节点进行匹配；

第3.4步利用贝叶斯后验概率公式更新整个贝叶斯攻击图中每个节点的可达概率；

第3.5步计算系统功能失效概率；

第3.6步根据系统功能的失效概率，利用安全事件分析模型，计算系统安全事件的发生概率；

第3.7步根据资产损失分析模型计算系统资产损失；

第3.8步根据人员损失分析模型计算系统人员损失；

第3.9步根据环境损失评估模型计算系统环境损失；

第3.10步根据效益损失分析模型计算系统效益损失；

第3.11步根据第3.7步至第3.10步计算的各项损失，计算系统整体损失：

第3.12步确定系统风险等级：

假设系统所有功能的损失概率均为1，然后计算系统的最大损失SystemLoss_max，生成风险等级表，根据风险等级表，将当前的系统损失SystemLoss转化为系统当前的风险等级；

第3.13步转到第2步，对系统功能进行监测，直到系统关机。

5.根据权利要求4所述的污水处理系统信息安全在线风险分析方法，其特征在于，第3.5步的具体过程为：

贝叶斯攻击图中的第i个节点对应的功能失效向量为设系统有n个功能，则有

${\stackrel{\→}{\mathrm{FF}}}_i=\{{\mathrm{FF}}_{i1},{\mathrm{FF}}_{i2},\·\·\·,{\mathrm{FF}}_{\mathrm{in}}\}$

设贝叶斯攻击图中有m个节点，则m个节点对应的功能失效向量构成功能失效矩阵，如下式所示：

贝叶斯攻击图中的每一个节点的可达概率为AP_i，所有节点的可达概率构成可达概率向量：(AP₁，AP₂，…，AP_m)^T；

对于系统功能F_i的失效概率，计算公式为：

${\mathrm{PF}}_i=1-\underset{j=1}{\overset{m}{\mathrm{\Π}}}(1-{\mathrm{FF}}_{\mathrm{ji}}\·{\mathrm{AP}}_j);;$

第3.6步，具体过程如下：

设安全事件E_i的支撑功能集合为EFS_i＝{F₁，F₂，…，F_k}，其中k为支撑功能集合的个数，则安全事件E_i发生概率为PE_i，计算公式为：

${\mathrm{PE}}_i=1-\underset{j=1}{\overset{k}{\mathrm{\Π}}}(1-{\mathrm{PF}}_j)$

其中，PF_j为支撑功能，F_j为失效概率。

6.根据权利要求4所述的污水处理系统信息安全在线风险分析方法，其特征在于，第3.7步，具体过程如下：

设资产A_i由l个组件构成，利用每个组件所提供的功能的失效概率计算该组件的失效概率CFP，计算公式为：

$\mathrm{CFP}=1-\underset{i=1}{\overset{o}{\mathrm{\Π}}}(1-{\mathrm{FP}}_i)$

其中，o为该组件支撑功能的个数，FP_i为支撑功能F_i失效概率；

设更换组件的成本为CV，则资产A_i的损失计算公式为：

${\mathrm{AL}}_i=\underset{j=1}{\overset{p}{\mathrm{\Σ}}}({\mathrm{CFP}}_j\·{\mathrm{CV}}_j)$

其中，p为资产A_i的组件个数；

系统的资产损失计算公式为：

其中，q为系统中资产的个数；

第3.8步，具体过程如下：

对于人员H_i，根据该人员的人员损失评估模型，计算该人员的人员损失，计算公式为： ${\mathrm{HL}}_i=\underset{j=1}{\overset{r}{\mathrm{\Σ}}}({\mathrm{HEP}}_j\·{\mathrm{HH}}_j)$

其中，r为该人员安全评估模型中的安全事件的个数；HEP_j为系统安全事件的发生概率；HH_j为系统安全事件发生时对该名工作人员造成的人员损失。

系统的人员损失计算为：

$\mathrm{HumanLoss}=\underset{i=1}{\overset{s}{\mathrm{\Σ}}}{\mathrm{HL}}_i$

其中，s为系统中工作人员的个数。

7.根据权利要求4所述的污水处理系统信息安全在线风险分析方法，其特征在于，第3.9步计算系统环境损失的具体过程如下：

根据环境损失评估模型，计算环境的损失，计算公式为：

$\mathrm{EnuirLoss}=\underset{j=1}{\overset{t}{\mathrm{\Σ}}}({\mathrm{EEP}}_j\·{\mathrm{EH}}_j)$

其中，t为该人员安全评估模型中的安全事件的个数；EEP_j为系统安全事件的发生概率；EH_j为系统安全事件发生时造成的环境损失；

第3.10步的具体过程如下：

针对每种产品，分别计算其不能正常产出的概率，计算方法为：将该产品生产流程中涉及的每一个工艺，即系统功能，加入到该产品对应的功能集合PSet，然后利用计算该产品不能正常产出的概率，计算公式为：

$P_P=1-\underset{F_i\∈\mathrm{PSet}}{\mathrm{\Π}}(1-F_i)$

设污水处理系统有u种产品，分别是P₁、P₂、……、P_u，对应的价值为PV₁、PV₂、……、PV_u，不能正常产出的概率分别为则系统的效益损失的计算公式为：

$\mathrm{EcoLoss}=\underset{i=i}{\overset{u}{\mathrm{\Σ}}}{P}_{P_i}{\mathrm{PV}}_i.$

8.一种污水处理系统信息安全在线风险分析系统，包括设置在工程师工作站上的主节点，设置在各网络节点上的从节点，以及连接主节点和所有从节点的一个工业通信网络；

所述主节点用于收集系统所有节点功能失效数据，结合系统模型分析系统当前损失，结合历史数据分析系统潜在损失，最终产生风险评估结果即风险等级；

所述各从节点用于完成所在网络节点自身功能的监测，评估每一个功能是否失效，并将功能失效数据通过网络发送给主节点；

所述工业通信网络负责各节点之间的消息传递。

9.根据权利要求8所述的污水处理系统信息安全在线风险分析系统，其特征在于，主节点包括第一网络接口，系统损失评估模型以及风险评估模块；

其中，第一网络接口用于负责接收网络报文，将从节点上报的系统功能失效数据上报至当前损失评估模块以及潜在损失评估模块；

系统损失评估模块用于接收到从节点发送来的系统功能失效数据，利用功能支撑模型计算没有检测到失效的功能失效，然后利用贝叶斯攻击图对攻击进行预测，计算出系统所有功能失效的概率，结合资产损失评估模型、人员损失评估模型以及环境损失评估模型分析系统的资产、人员、环境的损失，并计算污水处理系统的总的当前损失，并上报至风险评估模块；

风险评估模块，根据风险等级表将系统损失转化为系统当前的风险等级。

10.根据权利要求8或9所述的污水处理系统信息安全在线风险分析系统，各从节点均包括第二网络接口、功能失效评估模块和功能监测探针；

其中，功能监测探针用于监测所在节点的功能状态，如果功能状态有异常，将异常信息上报至该探针所在节点的功能失效评估模块；

功能失效评估模块用于对接收到的系统功能异常信息进行损失评估，并将评估结果，即功能失效数据发送至该节点的第二网络接口；

第二网络接口用于将自身节点的功能失效数据发送至主节点。