[发明专利]一种核电厂安全级数字化仪控系统脆弱性分析方法

说明书

本发明提供了一种核电厂安全级数字化仪控系统脆弱性分析方法，利用攻击图理论实现对核电数字化仪控系统信息安全脆弱性的可视化路径分析。立足于系统设计人员的角度建立攻击图的分析方法，对于每一个潜在的攻击起始结点进行分析，分别得到对于整个系统所有攻击路径，并通过运算寻找对系统脆弱性贡献值较大的设备。确定的最佳攻击目标可作为数字化仪控系统安全防护的重点排查对象，从而为评估系统网络安全风险以及应对措施提供参考依据。

技术领域

本发明涉及核电站安全级系统网络安全技术领域，尤其涉及一种核电厂安全级数字化仪控系统脆弱性分析方法。

背景技术

随着信息电子和网络技术的不断发展，传统工业正朝着自动化、信息化方向发展，工业控制网络在加快生产速度、管理生产过程、提高加工效率以及保证生产安全等多方面发挥着越来越重要的作用。传统工控企业在享受信息、管理便捷的同时也不同程度遭受到了不良网络攻击的困扰。核电厂信息安全作为工业信息安全的一部分，其安全隐患随着数字化技术的深度应用也越发明显，核电厂信息安全已经成为核安全的重要组成部分。

核电厂的数字化仪控系统是一种典型的工业控制系统，在整个系统设计、研发、测试、运行、维护的生命周期中，一直以来都在注重于丰富功能并提高可靠性，缺乏对于网络安全角度的优化。绝大多数核电厂对于网络安全的重视程度严重不足，在防御方面还停留在利用物理方法进行被动防护的阶段，这种防御网络攻击的方法已经远远不能满足当下的安全防护需求，尤其是随着工业化和信息化的融合，核电厂将面临更多的网络安全威胁。

近年来，ICS安全事件频发包括核设施领域，说明ICS领域存在安全脆弱性，只有了解这些潜在的安全隐患，才能更有针对性地实施安全防护措施。脆弱性分析是核电厂信息安全防范计划制定和实施过程中的重要一环，能针对性地发现问题，为信息安全防范计划的制定提出要求和依据。处于纵深防御和分等级保护的角度，对于整个核电厂所有设备，通过对系统中设备的信息资产、重要程度结合攻击难度进行综合考量，找出系统的脆弱性设备。

发明内容

本发明的实施例提供了一种核电厂安全级数字化仪控系统脆弱性分析方法，用于解决发明人发现的如下技术问题：核电厂在应对网络安全的措施方面存在很大的不足，传统的网络安全防御方法不足以维护核电厂的设备的安全运行，对于系统的脆弱性分析方面还需要提供更加有效的分析手段，丰富核电厂应对网络安全防御的防御策略。

为了实现上述目的，本发明采取了如下技术方案。

一种核电厂安全级数字化仪控系统脆弱性分析方法，包括：

基于核电站数字化仪控系统获得系统拓扑图；

基于系统拓扑图，通过攻击图理论建立攻击模型，并利用该攻击模型获得系统脆弱性；

通过对系统脆弱性进行分析，获得核电站数字化仪控系统的脆弱设备和脆弱路径。

优选地，基于系统拓扑图，通过攻击图理论建立攻击模型，并利用该攻击模型获得系统脆弱性包括：

基于攻击图理论，获取攻击模型的变量的种类；

通过计算获得攻击模型的变量的取值；

基于攻击模型的变量的取值，计算获得系统脆弱性。

优选地，攻击模型的变量包括：网络的结点、结点攻击价值、结点之间的连接关系和结点的脆弱性；

通过计算获得攻击模型的变量的取值包括：

通过Node＝{Ip,Pro,Conpri} (1)计算网络结点的取值，式中，Node为结点，Ip为地址属性，Pro为结点攻击价值属性，Conpri为结点权限属性；