CN107491694B

CN107491694B - 用于量化评估scada系统信息安全脆弱性的方法

Info

Publication number: CN107491694B
Application number: CN201710755463.2A
Authority: CN
Inventors: 黄慧萍; 唐猛; 梁红琴
Original assignee: Southwest Jiaotong University
Current assignee: Southwest Jiaotong University
Priority date: 2017-08-29
Filing date: 2017-08-29
Publication date: 2019-10-18
Anticipated expiration: 2037-08-29
Also published as: CN107491694A

Abstract

本发明涉及一种用于量化评估SCADA系统信息安全脆弱性的方法。本发明提出了一种基于层次分析法赋权和攻击防御树模型的SCADA系统信息安全脆弱性评估方法。旨在利用层次分析法为叶节点的各个计算指标科学地赋予权重值，然后计算攻击防御树的叶节点、攻击序列和系统整体的脆弱性，以及叶节点的脆弱性灵敏度，进而确定影响SCADA系统信息安全脆弱性的关键叶节点，为技术人员针对SCADA系统的薄弱环节采取防御措施提供量化的参考依据。

Description

用于量化评估SCADA系统信息安全脆弱性的方法

技术领域

本发明涉及一种用于量化评估SCADA系统信息安全脆弱性的方法。

背景技术

SCADA(Supervisory Control and Data Acquisition)系统是一种综合应用计算机技术、控制技术、通信与网络技术的远程监督控制与数据采集系统。被广泛应用于电力、石油石化、轨道交通、矿山作业等领域，是国家关键基础设施的重要组成部分，关系到国家的战略安全。

现代工业SCADA系统具有网络化和智能化的特点，但是这些特点将网络的固有脆弱性和攻击威胁引入到了SCADA系统中。2012年6月国务院《关于推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号)》明确要求：保障工业控制系统安全，定期开展安全检查和风险评估。SCADA系统作为工业控制系统的核心，其信息安全已经成为一项重要的研究内容，是当前国际信息安全界高度关注的前沿技术之一，引起了学术界、工程技术界与政府机构的广泛关注。国内外学者的研究内容中涉及的一个重要方面就是对SCADA系统的信息安全脆弱性进行评估。这对于帮助我们认识SCADA系统在信息安全方面的薄弱环节有着重要意义，有利于我们有针对性地对SCADA系统的弱点和信息安全漏洞采取相应的防御措施。

SCADA系统与互联网的高度互联使得SCADA架构变得和普通计算机网络系统在一定程度上相似。但是二者在一些方面存在着差异性。主要区别在于以下几点：首先，相对于普通计算机网络系统，SCADA系统最突出的缺点就是采用了诸如Modbus这类不安全的通信协议，这是SCADA系统产生信息安全问题的关键原因之一。其次，从系统信息安全的角度分析，原先计算机网络安全指标遵循传统的CIA原则，即机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。而在工业SCADA系统中则应该遵循AIC原则，三个指标的优先级顺序发生了改变。第三，在维护升级方面，通常可以对普通计算机网络系统频繁的进行维护更新以保证系统安全。但是SCADA系统的生命周期长，且牵涉到大量生产控制过程的实时运行，由于自身的稳定性需求，一般不能频繁进行相关的升级或者更新维护工作。这些差异使得我们不能完全照搬普通计算机网络安全风险评估的方法和技术，而要做适当改变。例如，传统计算机网络安全分析中多是从信息的机密性、完整性、可用性等角度来进行分析。而在针对工业SCADA系统进行信息安全分析时，则可以参考美国工业控制系统安全指南，从攻击难度、攻击被发现的可能性、攻击所造成的后果的严重程度以及所采取的防御措施这几方面来予以分析。

近年来，国内外研究人员借鉴通用信息安全风险评估中的一些相关技术和方法，对工业SCADA系统的信息安全风险评估展开了研究。总体来说，主要分为两大类，即定性和定量的风险评估技术和方法。

定性风险评估方法简单直观，主要依靠评估者的经验和主观意见来对问题做出定性分析和判断。例如，Chittester C,Haimes YY.Risks of terrorism to informationtechnology and to critical interdependent infrastructures.[J].Homel SecurEmerg Manag 2004；1(4):396-402利用等级全息建模(Hierarchical HolographicModelling，HHM)方法提出了一种风险评估框架，并将其应用于一个铁路SCADA系统中。SongJ,Lee J,Lee C,Kwon K,Lee D.A cyber security risk assessment for the design ofI&C Systems in nuclear power plants[J].Nucl Eng Technol 2012；44(8):919–28提出了一种在SCADA系统设计阶段执行的信息安全风险评估方法。该方法包括6项工作步骤，符合相关的NIST标准。Francia GA III,Thornton D,Dawson J.Security best practicesand risk assessment of SCADA and industrial control systems[C]运用CORAS这种基于模型的风险评估方法来对一个SCADA系统进行信息安全风险分析。姜莹莹,曹谢东,白琳.基于层次分析法的SCADA系统安全评价[J].物联网技术,2013,32(12):71-75结合应用层次分析法和模糊评判集来对一个油气田SCADA系统的信息安全性进行了综合评价。这些系统性的分析方法能对复杂的系统进行分解，无需高深的数学工具，所需定量数据信息较少。但是，其评价结果通常在很大程度上依赖于评估专家的经验，更具主观性，对负面事件发生的可能性以及所带来的后果无法给出量化的结果。

定量评估技术和方法能从数值上说明评估对象的危险程度，并给出后果的数字化值，从而得出风险的量化值，能从数量上说明评估对象的危险程度，准确描述系统的危险性，因此它是当前工业控制SCADA系统信息安全风险评估的一个主要研究方向。例如，PatelS C,Graham J H,Ralston P.Quantitatively assessing the vulnerability ofcritical information systems:A new method for evaluating securityenhancements[J].International Journal of Information Management,2008,28(6):483–491提出了一种用“信息安全程度”指标的数值大小来量化评估系统信息安全状态的定量评估方法。该方法在基本漏洞树的基础上增加了“威胁影响”和“信息脆弱性”两项指标，并根据历史数据来计算攻击发生的概率大小。Ten C W,LIU Chenching,GovindarasuM.Vulnerability assessment of cybersecurity for SCADA system using attacktrees[A].In:of Electrical and Electronics Engineers Inc.IEEE Transactions onpower systems[C].The 2007IEEE Conference on Power Engineering Society GeneralMeeting.Tampa,USA:2007,1836-1847基于攻击树模型来计算得到一个信息安全脆弱性指标，从而量化地表示一种特定攻击场景发生的可能性大小。Woo P S,Kim B H.A Study onQuantitative Methodology to Assess Cyber Security Risk of SCADA Systems[J].Advanced Materials Research,2014,960-961:1602-1611针对一个电力SCADA系统提出了一种系统信息安全风险定量评估方法。该方法为系统的每一个组件分配一个信息安全脆弱性指标，同时量化表示系统的每一种威胁，最后根据威胁和脆弱性的概率值以及资产成本之积来计算得到金钱量化表示的风险值。王丙东(电网调度操作安全风险量化评估方法研究与工程实践[D].天津大学,2014)针对电网调度操作信息安全风险进行了量化评估方法研究，给出了风险计算的数学表达式，结合风险评估需要，定义了风险评估指标体系并给出了各个指标的计算方法。

综合以上研究成果可以看出，定量风险评估能量化说明评估对象的危险程度，是目前的一个主要研究方向。并且，采用树、图这类图形化方式的定量风险评估方法也得到了广泛的应用，取得了良好的评估效果，这也是目前的一个研究热点。其中基于攻击树建模的分析评估是一种应用普遍成熟的方法。

攻击树建模技术是由Schneier提出的一种图形化的风险建模和分析方法。该方法具有模型结构简单、表达方式易于理解的优点，因而已经被广泛应用在有关风险分析和安全管理的各类技术领域中。目前已经有不少国内外学者利用攻击树建模技术来对SCADA系统的信息安全进行分析评估，例如，前面提到的Ten使用攻击树对一个SCADA系统的信息安全脆弱性进行了评估。Park G Y,Lee C K,Choi J G,at al.Cyber security analysis byattack trees for a Reactor protection system[A].In:Korean NuclearSociety.Proceedings of the Korean Nuclear Society(KNS)Fall Meeting[C].KoreanNuclear Society(KNS)Fall Meeting.Pyeong Chang,Korea:2008,651-658利用攻击树模型来分析一个反应器保护系统的信息安全。Byres E J,Franz M,Miller D.The use ofattack trees in assessing vulnerabilities in SCADA systems[J].IEEEConf.international Infrastructure Survivability Workshop.institute forElectrical&Electronics Engineers,2004使用攻击树建模方法对一个基于MODBUS协议栈的工业控制SCADA通信系统进行了漏洞分析。蒋健雷(某泵站放江SCADA系统及其安全性研究[D].上海:华东理工大学,2011)应用攻击树建模分析了某泵站放江SCADA系统的安全性问题及对策。但是目前这些现有技术还存在如下问题：

第一，目前使用的是攻击树的基本形式，没有考虑防御措施，因此存在未考虑防御措施对于SCADA系统脆弱性的影响的问题；第二，上述现有技术在计算攻击树叶节点的相关指标时，对于多个指标的权重分配，是依据经验来设定的，未使用更加客观的数学方法来计算确定指标权重值。

发明内容

本发明的目的，就是针对上述问题，提出了一种基于层次分析法赋权和攻击防御树模型的SCADA系统信息安全脆弱性评估方法。旨在利用层次分析法为叶节点的各个计算指标科学地赋予权重值，然后计算攻击防御树的叶节点、攻击序列和系统整体的脆弱性，以及叶节点的脆弱性灵敏度，进而确定影响SCADA系统信息安全脆弱性的关键叶节点，为技术人员针对SCADA系统的薄弱环节采取防御措施提供量化的参考依据。

为了便于理解，现在对本发明所采用的攻击防御树模型的基本概念进行说明：

攻击树(Attack Tree)模型是B.Schneier在1999年提出的一种描述系统可能受到的多种攻击的方法。它采用树形结构来表示针对系统的各种攻击行为。在一棵攻击树中，树的根结点表示攻击者的最终攻击目标，叶结点表示具体的攻击事件，即攻击者可能采取的各种攻击手段，其他为中间节点。攻击树的各个分支表示为达到最终攻击目标可能采取的各种攻击序列。除了叶结点以外，攻击树的各结点分为与(AND)结点、或(OR)结点两类。And节点表示必须全部完成此节点下的各分支才能到达该节点；OR节点表示只要完成此节点下的一个分支即可到达该节点。任何一条从叶节点到根节点的路径表示实现这个攻击目标而进行的一次完整的攻击过程。遍历整个攻击树可以生成实现以根结点为攻击目标的所有网络攻击路径。

在基本攻击树模型的基础上，使每个攻击叶节点附有一个或多个防御措施，即可得到攻击防御树，如图1所示。图中标有Cn的标注框即代表针对相应原子攻击事件可以采取的防御措施。

攻击防御树的建立方式为：将攻击者针对SCADA系统的最终攻击目标作为根节点，将他们可能采取的具体攻击行为表示为叶节点，针对每种攻击事件分析可以采取哪些防御措施，其他为中间节点，从而得到攻击防御树模型。每条从叶节点到根节点穿过整棵攻击防御树的路径表示对SCADA系统的一次具体攻击过程，即一个攻击序列。

本发明的技术方案为：

用于量化评估SCADA系统信息安全脆弱性的方法，其特征在于，包括以下步骤：

S1、建立系统的攻击防御树模型：

将攻击者针对SCADA系统的最终攻击目标作为根节点，攻击者可能采取的具体攻击行为表示为叶节点，其他为中间节点，建立攻击防御树模型，即每条从叶节点到根节点穿过整棵攻击防御树的路径表示对SCADA系统的一次具体攻击过程，即一个攻击序列；

S2、根据影响攻击防御树叶节点脆弱性的因素，采用层次分析法确定影响叶节点脆弱性的各个因素的权重：

层次分析法(Analytic Hierarchy Process，AHP)是由美国运筹学家匹兹堡大学教授T.L.Saaty于上世纪70年代初提出的一种层次权重决策分析方法。该方法将定量分析与定性分析结合起来，用决策者的经验判断各标准之间的相对重要程度，并合理地给出每个决策方案的每个标准的权数，利用权数求出各方案的优劣次序。

设定影响攻击防御树叶节点脆弱性的因素为：攻击后果严重程度、攻击难度、被发现的可能性，构造一个m×m的两两判断矩阵D，D的元素d_ij表示因素X_i相对于因素Xj的重要程度，判断矩阵的特征根和特征向量具有如下关系：

D＝ω×λ_max

其中，ω的分量即表示相应因素单排序的权值，λ_max表示该判断矩阵的最大特征根；

本发明中所述的判断矩阵的基本思想是在发给专家的调查表中，专家并不需要直接给出各个指标的权重系数，而是只需要他们用两两指标间的重要性程度之比的形式，即运用成对比较法来给出两个指标之间的相对重要性程度等级。对于m个评估指标，专家只需要构造一个m×m的两两判断矩阵D即可。D的元素d_ij表示评估指标X_i相对于评估指标Xj的重要程度，本发明中下标i、j表示不同的因素，可以采用多种形式的标度方法来表示重要程度，本领域中通常采用1-9级标度方法，在实际应用过程中根据具体情况进行设置，由此直接得出各个因素的权重。

得到判断矩阵以后，下一步则需要计算判断矩阵的特征根和特征向量，对于判断矩阵D，算出满足D＝ω×λ_max的特征根与特征向量；

S3、计算叶节点的脆弱性指标：

采用如下公式获取不考虑防御措施时叶节点脆弱性：

V(E_k)＝W_impact*U(impact_k)+W_diff*U(diff_k)+W_det*U(det_k)

采用如下公式获取考虑防御措施时叶节点脆弱性：

其中，k表示任意一个叶子节点，V(E_k)表示该叶子节点的脆弱性指标；impact_k表示该叶子节点代表的攻击事件所造成后果的严重程度；diff_k表示实现该叶子节点攻击的难易程度；det_k表示该叶子节点的攻击事件可能被发现的等级；W_impact表示后果严重程度参数的权重；W_diff表示攻击难度参数的权重；W_det表示攻击被发现的可能性参数的权重，且这三个权重系数之和为1；U(impact_k)表示攻击后果严重程度参数的效用值；U(diff_k)表示攻击难度参数的效用值；U(det_k)表示攻击被发现可能性参数的效用值；n_k表示该叶子节点攻击事件所采取的防御措施的个数；m表示防御措施最多的叶子节点的措施数量加1，即m＝max{n₁,n₂,…n_k}+1；

求叶子节点的脆弱性值涉及到的三个权重系数W_impact、W_diff和W_det将按照层次分析法(AHP)来确定。此外，还需要制定合适的评分标准来对impact_k、diff_k和det_k这三个属性进行评价。实践工作中，评估人员可以根据实际情况建立相应的评分标准，再依据此标准给出每个叶节点相应属性的得分。

S4、评估各攻击序列的脆弱性：

每条从叶节点到根节点穿过整棵攻击防御树的路径表示对SCADA系统的一次具体攻击过程，即一个攻击序列。首先要从攻击防御树中分析出所有可能的攻击序列，每一个攻击序列都是由树中的若干个按照“AND”或者“OR”的逻辑关系组合的攻击叶节点构成。

根据步骤S3获得的每个叶节点的脆弱性指标，根据如下公式获取攻击者针对SCADA系统根节点的各攻击序列的脆弱性：

其中，K表示系统攻击序列的总数，I＝{i₁,i₂,...i_k}表示整棵攻击防御树中所有攻击序列的集合；一个攻击序列的脆弱性等于相应叶节点的脆弱性的乘积，其中，S₁,S₂,...,S_k∈S，S_k表示构成某个攻击序列的若干叶节点的集合，S表示整棵树中所有叶节点的集合；

S5、根据步骤S4的结果获取SCADA系统的脆弱性，一个攻击序列代表了从叶节点到根节点穿过整棵攻击防御树的一条路径，是对SCADA系统的一次完整的具体攻击过程。因此，系统整体脆弱性指标值是所有攻击序列脆弱性指标值中的最大值：

V_s＝max{V(i₁),V(i₂),...,V(i_k)}

S6、获取叶节点的脆弱性灵敏度：

通过增加或者改善叶节点的防御措施，能够降低叶节点的脆弱性，从而降低系统整体的脆弱性，提高系统的信息安全性。为了找到有助于降低系统脆弱性的那些关键叶节点，定义一个脆弱性灵敏度指标来反映叶节点对于系统整体脆弱性影响的大小，即所述叶节点的脆弱性灵敏度为用于反映叶节点对于系统整体脆弱性影响的大小，则通过如下公式获取脆弱性灵敏度：

其中，V(E_k)和V’(E_k)分别是未采取和采取了防御措施时叶节点的脆弱性指标，V_s和V’_s是对应两种情况下的系统整体脆弱性值。通过比较各个叶节点的脆弱性灵敏度指标的大小，就能够找到其中的关键性叶节点，增强它们的防御措施有助于高效地提高SCADA系统的信息安全性。

在上述方案的步骤S2中，由于客观事物的复杂性和人们认知上的多样性等原因，建立的判断矩阵可能无法满足一致性，特别是对于指标因素多规模大的问题。但是，我们可以要求判断具有大体的一致性。例如，在判断中若出现A比B重要，B比C重要，C又比A重要的这种情况显然是违背常识的。因此，为了保证应用层分析法分析得到的结论合情合理，就需要对构造的判断矩阵进行一致性检验。

当判断矩阵无法保证具有完全一致性时，相应的判断矩阵的特征根也将会发生变化，这样就可以通过判断矩阵特征根的变化来检验判断的一致性程度。因此，在层次分析法中引入判断矩阵除最大特征根以外的其余特征根的负平均值来作为度量判断矩阵偏离一致性的指标：

CI值越大，则表示该判断矩阵偏离完全一致性的程度越大；CI值越小(接近于0)，则表示该判断矩阵的完全一致性越好。由此可见。当判断矩阵的CI值等于0时，那么这个矩阵具备了完全一致性。因此可以根据CI＝0，λ₁＝λ_max＝n，来判断矩阵是否具有一致性。

对于不同阶的判断矩阵，人们判断的一致性误差不同，对于CI值的要求也是不同的，要衡量不同阶判断矩阵是否具有满意的一致性，还需要引入判断矩阵的平均随机一致性指标RI值(根据实际情况设定)。对于本发明采用的1～9阶判断矩阵，RI的值在实施例中进行说明(表5)。对于1，2阶判断矩阵，RI值只具有形式上的意义，因为1，2阶判断矩阵永远具有完全一致性。当判断矩阵的阶数大于2时，判断矩阵的一致性指标CI与同阶平均随机一致性指标RI之比称为随机一致性比率，表示为CR，当CR满足关系式：

则可以判定该判断矩阵具有满意的一致性，否则就要对判断矩阵进行调整以使其满足一致性。

本发明的有益效果为，得到了叶节点、攻击序列和系统整体的3级脆弱性指标，以及叶节点的脆弱性灵敏度指标，进而确定了影响系统脆弱性的关键叶节点，能够帮助技术人员分析出脆弱性较高的攻击事件，进而有重点、有针对性地增强防御措施。

附图说明

图1为攻击防御树模型的逻辑示意图；

图2为SCADA系统的一个攻击防御树实例；

图3为各叶节点的脆弱性灵敏度指标示意图。

具体实施方式

下面结合实施例进一步详细描述本发明的技术方案：

实施例

本例中通过构建SCADA系统的一棵攻击防御树实例，并应用本发明所述方法来评估其叶节点、攻击序列和系统整体的脆弱性。

根据SCADA系统的定义和组成结构，它的信息安全威胁可能来自三处，即来自主站、从站和通信网络。通过分析，构建如图2所示的一棵攻击防御树实例。其根节点、中间结点、叶结点和防御节点的含义如表1所示：

表1攻击防御树中各节点的含义

在实际应用中，评估人员可以根据实际情况建立相应的评分标准，再依据此标准给出每个叶节点相应属性的得分，本例中采用如下表2所示的评分标准对该攻击防御树模型中的各个叶节点的属性值打分，

表2等级评分标准

评分结果如下表3所示：

表3各叶子节点的属性得分

信息安全脆弱性指标用于衡量一棵攻击树或者一个叶节点被潜在攻击人员危害的可能性。脆弱性指标的值从0到1，对应表示最不易受攻击危害到最容易受攻击危害。用三级脆弱性指标V(Ek)、V(Ik)和VS分别来表示攻击树中的每个攻击叶节点、每个攻击序列以及整个系统的信息安全脆弱性。

为了计算叶节点的脆弱性，需要计算效用值U(impact_k)、U(diff_k)、U(det_k)。通过分析可知，impact_k、diff_k、det_k与U(impact_k)、U(diff_k)、U(det_k)成反比例关系。采用本发明所述的层次分析法算三个权重系数W_impact、W_diff和W_det。根据表4，利用9级分制标度法通过专家打分的方法构造出如下所示的判断矩阵D：

表4九级分制标度法表

计算得D的最大特征值λ_max＝3.1055416。根据表5所示，3阶矩阵中RI＝0.58，代入公式中可得：

表5 1～9阶判断矩阵的RI值

1	2	3	4	5	6	7	8	9
									0.00	0.00	0.58	0.90	1.12	1.24	1.32	1.41	1.45

由于CR＝0.090984137<0.1，所以可知构造的判断矩阵D满足一致性条件。求解判断矩阵D对应于最大特征根λ_max的特征向量为

由此可知，攻击后果严重程度、攻击难度、被发现的可能性这三种属性的权重分别为W_impact＝0.4291、W_diff＝0.4280和W_det＝0.1429。将各值代入步骤S3中的公式。这样可以得到基本攻击树和攻击防御树两种情况下各叶子节点的脆弱性指标，结果如表6所示

表6各叶子节点的脆弱性

V(E1)	V(E2)	V(E3)	V(E4)	V(E5)	V(E6)	V(E7)	V(E8)
								0.3927	0.3689	0.4287	0.7145	0.3927	0.4999	0.5715	0.6432
V’(E1)	V’(E2)	V’(E3)	V’(E4)	V’(E5)	V’(E6)	V’(E7)	V’(E8)
								0.0982	0.0922	0.3215	0.1786	0.0982	0.375	0.4286	0.3216

分析可知，要实现图2所示攻击防御树的最终攻击目标，共有6种不同的组合，即有6组攻击序列：i1＝{E1}；i2＝{E2,E3}；i3＝{E2,E4}；i4＝{E5,E6}；i5＝{E5,E7}；i6＝{E5,E8}。

通过计算可得署防御措施前后各攻击序列的脆弱性结果如表7所示：

表7各攻击序列的脆弱性

系统整体脆弱性为攻击序列脆弱性中的最大值，未考虑防御措施时系统整体脆弱性为Vs＝0.3927，采用图2所示的各项防御措施后，系统整体脆弱性指标为V’s＝0.0982。

计算各叶节点的脆弱性灵敏度指标，结果如图3所示。由图3可知，对于实施例所列举的这个SCADA系统攻击防御树实例，其叶节点E1、E2、E4和E5是影响系统脆弱性的关键节点。

对实施例的计算结果表明，通过部署防御措施，能够降低叶节点自身的脆弱性，从而减小SCADA系统整体的脆弱性指标值，提高系统抵御信息攻击的能力。通过分析叶节点的脆弱性灵敏度指标，可以找到影响SCADA系统信息安全脆弱性的那些关键节点。在制订防护方案时，应该采取多种手段增强它们的防御措施。例如，安装防火墙、入侵检测系统、异常流量分析工具，提高SCADA系统主、从站人机接口应用程序自身的安全性等。

Claims

1.用于量化评估SCADA系统信息安全脆弱性的方法，其特征在于，包括以下步骤：

S1、建立系统的攻击防御树模型：

设定影响攻击防御树叶节点脆弱性的因素为：攻击后果严重程度、攻击难度、被发现的可能性，采用九级分制标度法通过专家打分的方式构造一个p×p的两两判断矩阵D，D的元素d_ij表示因素X_i相对于因素Xj的重要程度，判断矩阵的特征根和特征向量具有如下关系：

D＝ω×λ_max

判断矩阵是否具有一致性，具体为：引入判断矩阵除最大特征根以外的其余特征根的负平均值作为度量判断矩阵偏离一致性的指标CI：

1，2阶判断矩阵永远具有完全一致性，判断矩阵的阶数大于2时，判断矩阵的一致性指标CI与同阶平均随机一致性指标RI之比称为随机一致性比率，表示为CR，当CR满足关系式：

判定该判断矩阵具有满意的一致性，否则对判断矩阵进行调整以使其满足一致性；

S3、计算叶节点的脆弱性指标：

采用如下公式获取不考虑防御措施时叶节点脆弱性：

V(E_k)＝W_impact*Uimpact_k+W_diff*Udiff_k+W_det*U det_k

采用如下公式获取考虑防御措施时叶节点脆弱性：

其中，k表示任意一个叶子节点，V(E_k)表示该叶子节点的脆弱性指标；impact_k表示该叶子节点代表的攻击事件所造成后果的严重程度；diff_k表示实现该叶子节点攻击的难易程度；det_k表示该叶子节点的攻击事件可能被发现的等级；W_impact表示后果严重程度参数的权重；W_diff表示攻击难度参数的权重；W_det表示攻击被发现的可能性参数的权重，且这三个权重系数之和为1；Uimpact_k表示攻击后果严重程度参数的效用值；Udiff_k表示攻击难度参数的效用值；Udet_k表示攻击被发现可能性参数的效用值；n_k表示该叶子节点攻击事件所采取的防御措施的个数；m表示防御措施最多的叶子节点的措施数量加1，即m＝max{n₁,n₂,…n_k}+1；

S4、评估各攻击序列的脆弱性：

S5、根据步骤S4的结果获取SCADA系统的脆弱性：

V_s＝max{V(i₁),V(i₂),...,V(i_k)}

S6、获取叶节点的脆弱性灵敏度：

所述叶节点的脆弱性灵敏度为用于反映叶节点对于系统整体脆弱性影响的大小，则通过如下公式获取脆弱性灵敏度：

其中，V(E_k)和V’(E_k)分别是未采取和采取了防御措施时叶节点的脆弱性指标，V_s和V’_s是对应两种情况下的系统整体脆弱性值。