SCADA系统^[1]是工业控制系统的核心，也是油气田安全稳定运行的关键，其安全性关系到整个油气田的生产运行。而高速发展的信息技术以及工业技术使我们快速进入了 “工业4.0”时代。信息网络化分布式智能生产成为了潮流和趋势，这使得针对工控系统的恶意攻击数量有迅猛增加的趋势,如“Stuxnet”、“Flame”、“Duqu”、“Havex”等各种攻击工业控制系统的病毒层出不穷。因此，对油气SCADA系统定期地开展系统信息安全评价是针对工控系统信息安全问题的首要应对措施。为了深入分析和防范工业信息系统的安全问题，各国先后成立了专门的研究机构。例如，美国针对信息安全问题，成立了相应的网络应急部门ICS-CERT^[2-4],对工业控制系统中的问题进行分析后，及时发出警报并提供相关的解决办法，从而及时解决当前遇到的安全问题。

目前针对油气SCADA系统信息安全的评价方法主要存在评价规范不够完善、评估对象模糊等问题。为此本文进行积极地探索，提出云模型评价方法，最终通过MATLAB的仿真实验，发现该方法起到较好的评价作用，在一定程度上提高了系统的安全性。

1 SCADA系统信息安全评价条件因素

在油气SCADA系统中，为了保障系统生产、控制和管理过程的安全性，需要采取一些相关的信息安全技术和措施。事前、事中、事后防御体系^[5]是一种常用的安全评价技术路线，本文将采取这种防御技术体系。

油气SCADA工控系统的信息安全评价包括事件发生前期、中期和后期三个过程。事件发生前主要针对网络分段^[6]、信息加密等过程进行评价。事件发生时主要对资源，通信的完整性、实时稳定性^[7]等进行评价。而事件发生后的评价包括系统的异常恢复，分析和审计等过程。本文主要针对事中因素的资源控制进行评价。工控系统主机的资源占用的大小，不仅会影响到系统的实时性和稳定性，还可能对工业生产带来不可估量的损失。本文首先建立了油气SCADA系统的因素空间评价模型，再针对SCADA信息安全事中因素的资源控制采用云模型评价方法，系统的资源占用为其评价因素，最后通过MATLAB仿真得到评价结果。

2 因素空间模型的建立 2.1 因素空间理论

因素空间^[8] 是一个坐标架，它以因素为轴。它是信息描述普适性框架，所有对象均可以看作该空间上的一个点。

因素空间的定义：如果满足公理

1) $F = F( \vee , \wedge ,c,1,0)$ 是完全的布尔代数( $F \subset V$ )；

2) $X(0) = \{ \theta \} $ ；

3)若因素族 $T \subset F$ 满足： $\forall {{s}},t \in T,s \ne t \Rightarrow s \wedge t = 0$ ，则 ${ \vee _{t \in T}}{f_t} = \prod\nolimits_{t \in T} f $ ；那么称集合族 $\{ X(f)\} (f \in F)$ 为 $U$ 上的因素空间，记作 $f \in F$ 。 $f$ 是U到 $X(f)$ 上的一个映射，如式(1)所示。

$f:U \to X(f),u \mapsto \left\{ {\begin{array}{*{20}{c}} {f(u),\,\,u \in D(f)}&{\begin{array}{*{20}{c}} {}&{} \end{array}} \\ {\theta ,\,\,u \in U\backslash D(f)}&{\begin{array}{*{20}{c}} {}&{} \end{array}} \end{array}} \right.$

(1)

2.2 SCADA系统信息安全因素空间模型的建立

根据因素空间理论，定义因素 ${f_0}$ ( ${f_0}$ =时间 $ \in $ V(SCADA系统信息安全))，将SCADA系统信息安全分为事前、事中和事后3类，它们可以看作是由因素 ${f_0}$ 诱导出来的因素族。 ${f_0}$ 的状态空间：

$X({f_0}){{ = }}\left\{ {{\text{事前}};\;{\text{事中}};\;{\text{事后}}} \right\}$

在事前因素族中，定义 ${f_{10}}$ =“网络分段”， ${f_{11}}$ =“访问控制”， ${f_{12}}$ =“信息加密”， ${f_{13}}$ =“外设管理”， ${f_{14}}$ =“数据包防火墙”， ${f_{15}}$ =“虚拟专用网”， ${f_{16}}$ =“漏洞检测技术”， ${f_{17}}$ =“补丁修复”。

在事中因素族中，定义 ${f_{20}}$ =“资源占用”， ${f_{21}}$ =“通信完整性”， ${f_{22}}$ =“通信稳定性”， ${f_{23}}$ =“通信实时性”， ${f_{24}}$ =“入侵检测”， ${f_{25}}$ =“恶意软件防御”。

在事后因素族中，定义 ${f_{30}}$ =“系统异常恢复”， ${f_{31}}$ =“取证分析”， ${f_{32}}$ =“审计”， ${f_{33}}$ =“学习、追踪、反制”。

从而可建立如图1所示的油气SCADA信息安全的“因素滕网^[9]”评价模型。

在因素藤网中，每个节点都是一个因素空间也是一个因素神经元，神经元可以存储与评价相关的操作或算法，它们既有输入也有输出，输入即是条件因素的状态空间，而输出是评价因素的状态。

在上述评价模型中，每个神经元的都有其相应的算法且其计算不仅可采用因素分析法，还可采用其他算法，而本文采用云模型推理法对系统进行评价。

3 云模型推理信息安全评价 3.1 正态云模型理论

正态云模型^[10]采用3个定量的参数：期望 ${E_x}$ (Expected value)、熵 ${E_n}$ (Entropy)、超熵 ${H_e}$ (Hyper entropy)共同表示一个定性的概念。 ${E_x}$ 和 ${E_n}$ 两个定量的值决定一个在论域上服从正态分布的定性语言。

设 $U$ 为具体数字论域， $C$ 表示 $U$ 上定性描述语言,再设定量值 $x \in U$ ，且 $x$ 为 $C$ 上任意映射， $\mu (x)$ 是0~1之间的任意值，如果 $x$ 符合式(2)的条件：

$\begin{array}{l}\mu :\;U \to [0,1]\\\forall x \in U,x \mapsto \mu (x)\end{array}$

(2)

$x$ 于论域 $U$ 上的二维分布称为云 $C(x)$ ，每个点 $(x,\mu (x))$ 称为云滴^[11]。云模型用3个数字参数： ${E_x}\text{、}$ ${E_n}\text{、}{H_e}$ 来表示云模型的特征如图2所示。

前向云生成器(FCG)的原理是由参数 $({{{E}}_{{x}}},{{{E}}_{{n}}},{{{H}}_{{e}}})$ 通过 $G \sim {N^3}({E_x},{E_n},{H_e})$ 生成符合规则的云滴 ${{drop}}(x,u)$ 的过程，生成N个云滴后就构成了云。它将一个概念性问题从内向外的延展。

后向云生成器(BCG)的原理是由已知的云滴 ${{drop}}(x,u)$ 反过来得到参数 $({E_x},{E_n},{H_e})$ 的过程，它是一个定性问题转化为定量问题的过程。FCG和BCG示意图如图3所示。

二维云规则生成器的工作原理：

由条件A和B得到结果C(A、B、C都是由 ${E_x}$ 、 ${E_n}$ 、 ${H_e}$ 表示的云规则定性概念)，当输入 $({x_1},{x_2})$ 时激活 ${{{CG}}_a}$ ，得到符合要求的云滴 ${{drop}}({x_1},{x_2},{\mu _i})$ (云滴表示出 $({x_1},{x_2})$ 对该规则的激活强度)叫做二维X条件云，也称为二维前件云发生器；在 ${{{CG}}_b}$ 输入 ${\mu _i}$ 通过计算得到符合要求的云滴 ${{drop}}({y_i},{\mu _i})$ ，该云滴称为Y条件云，也叫作二维后向云生成器。

将前向云生成器与后向云生成器按照给定规则相结合得到如图4所示的单条件规则生成器。

规则1：If ${A_1}$ and ${B_1}$ then ${C_1}$

规则2：If ${A_2}$ and ${B_2}$ then ${C_2}$

　　 $ \cdots $

规则n：If ${A_n}$ and ${B_n}$ then ${C_n}$

用n条上述形式表示的规则相结合组成一个二维多规则云生成器，其结构示意图如图5所示。

3.2 SCADA资源占用的安全评价

本文引入云模型推理方法对事中因素的资源占用进行评价，其基本思路是：资源占用中的 “很高、高、中、低、很低”分别表示评价指标中的“很差、差、一般、好、很好”，资源占用由CPU和内存在“因素占用率”映射下的状态空间共同决定。本文在资源占用的评价中，根据CPU占用和内存占用这两个条件因素构造二维 $X$ 条件云，然后根据资源占用这个结果因素构造 $Y$ 条件云，再将两个条件云结合，代入逆向云生成器进行计算，从而得到一个二维的多规则云生成器对资源占用进行评价。

4 SCADA系统安全评价的推理设计 4.1 云模型的推理机设计

对于资源占用的评价，本文设计了一个二维多规则的云模型推理机，输入二维值 $({x_1},{x_2})$ ( ${x_1}$ 为CPU占用率， ${x_2}$ 为内存的占用率)得到输出值E_x(资源占用的大小)。三维参数 $({E_x},{E_n},{H_e})$ (期望，熵，超熵)则表示定性的概念。

通过对大量的数据的聚类处理^[13]，本文得到10条定性规则如表1所示。

其中设定资源占用率[0,25]、(25,40]、(40,65]、(65,85] 、(85,100]依次为：很低、低、中、高、很高。如表1中的由条件得到结果的过程称为变量云化。将表1的10条定性规则用云对象^[14]进行处理后得到表2所示的数字特征和参数。

云对象输入云化的方法有定量、定性两种。当输入为定量输入云化时，输入的变量需满足双边限制条件或者单边限制条件。然后利用正态云规则“ $3{E_n}$ ”，可以得出定性规则参数 ${E_x},{E_n}$ 。

双边限制的计算可按照式(3)进行计算：

$\begin{array}{c}{{E_x}}{{ = }}({B_{{{max}}}} + {B_{\min }}){{/2}}\\{{E_n}}{{ = }}({B_{{{max}}}}{{ - }}{B_{\min }}){{/6}}\\{{H_e}} = k\end{array}$

(3)

而当输入为定性输入云化 $({{E_x}},{{E_n}},{{H_e}})$ 表示时，可按式(4)进行计算：

$\begin{array}{c}{E_x}{{ = }}\displaystyle\frac{{{{{E}}_{{{x}}1}} \times {{{E}}_{{{n}}1}} + {{{E}}_{{{x}}2}} \times {{{E}}_{{{n}}2}} + \cdot \cdot \cdot + {{{E}}_{{xn}}} \times {{{E}}_{{nn}}}}}{{{{{E}}_{{{n}}1}} + {{{E}}_{{{n}}2}} + \cdot \cdot \cdot + {{{E}}_{{nn}}}}}\\[6pt]{E_n} = {{{E}}_{{{n}}1}}{{ + }}{{{E}}_{{{n}}1}}{{ + }} \cdot \cdot \cdot {{ + }}{{{E}}_{{nn}}}\\[2pt]{H_e} = \displaystyle\frac{{{{{H}}_{{{e}}1}} \times {{{E}}_{{{n}}1}} + {{{H}}_{{{e}}2}} \times {{{E}}_{{{n}}2}} + \cdot \cdot \cdot + {{{H}}_{{en}}} \times {{{E}}_{{nn}}}}}{{{{{E}}_{{{n}}1}} + {{{E}}_{{{n}}2}} + \cdot \cdot \cdot + {{{E}}_{{nn}}}}}\end{array}$

(4)

在CPU占用很高的情况下，用式(3)可以计算出 ${E_x}{{ = }}91.6$ , ${E_n} = 2.79$ 。取 ${H_e} = 0.21$ ，得到一维云分布如图6所示。

同样的用规则9依据正态二维云发生器形成的CPU占用率很高且内存占用很低的二维云模型的三维云图如图7所示。

推理的步骤如下：

1)假设CPU和内存占用率都是0.5，即 $({x_1},{x_2})$ =(0.5，0.5)。

2)将 $({x_1},{x_2})$ 输入到X条件云，得到云滴 ${{drop}}({x_1},{x_2},$ ${y_i})$ ，其中 ${y_i}$ 表示在论域 $({x_1},{x_2})$ 的隶属度。

3)计算最大隶属度 ${y_1}$ 和次最大隶属度 ${y_2}$ ,并将 ${y_1}$ 、 ${y_2}$ 送入Y条件云得到两个距离最近的云滴。

4)将3)得到的两个云滴送入逆向云发生器，得到一组定量值 $({E_x},{E_n},{H_e})$ ，用来描述定性的概念，其中 ${E_x}$ 为推理机输出结果代表资源占用的高低。

单规则的前向云生成器(FCG)过程：

输入：规则的前向云参数。

$({{{E}}_{{{x}}1}},{{{E}}_{{{n}}1}},{{{H}}_{{{e}}1}})$ ， $({{{E}}_{{{x}}2}},{{{E}}_{{{n}}2}},{{{H}}_{{{e}}2}})$ 和给定输入 $({x_1},{x_2})$

输出 ${{drop}}({x_1},{x_2},\mu )$ 。

Begin{

//对于表中的每条规则， $({{E}_{{{n}}1}},{{E}_{{{n}}2}})$ 表示期望， $({H_1},{H_2})$ 表示方差，得到二维正态分布的随机值。

$({{{E}}_1},{{{E}}_2}) = {{binormrnd}}({{{E}}_{{{n}}1}},{{{E}}_{{{n}}2}},{{{H}}_{{{e}}1}},{{{H}}_{{{e}}2}})$

//在前件规则生成器输入 $({x_1},{x_2})$ ，按公式 $\mu = $ $ \exp ( - ({({x_1} - {{{E}}_{{x_1}}})^2}/(2{{E}}_1^2) + {({x_2} - {{{E}}_{{x_2}}})^2}/(2{{E}}_2^2)))$ 可计算出激活强度 $\mu $ 。

$q = {({x_1} - {{{E}}_{{x_1}}})^2}/{{{E}}_{12}}$

$d = {({x_2} - {{{E}}_{{x_2}}})^2}/{{{E}}_{22}}$

$\mu = \exp ( - (1/2)*(q + d))$

}END

针对单规则的后向云生成器(BCG)的具体实现过程：

输入：规则后件云参数 $({{{E}}_{{{n}}3}},{H_3})$ 规则激活强度 ${\mu _1}$ 。

输出： ${{drop}}({y_1},{\mu _1})$ ， ${{drop}}({y_2},{\mu _1})$ 。

Begin {

//通过后向云生成器 $({E_{n3}},{H_3})$ 任意生成期望是 ${E_{n3}}$ ，方差是 ${H_3}$ 的一维正态随机值 ${E_{n31}}$ 。

${{{E}}_{n31}} = {{normrnd}}({{{E}}_{n3}},{{{H}}_{e3}})\text{；}$

//根据激活强度和正态随机数E_n31按公式 ${\mu _1} = \exp ( - ({({y_1} - {{{E}}_{{x_1}}})^2}/(2{{E}}_{n31}^2)))$ 反求出 ${y_1}$ ， ${y_2}$ 。

${y_1} = {{{E}}_x} + {{{E}}_{nn}}*{{sqrt}}( - 2*\log ({\mu _1}))\text{；}$

${y_2} = {{{E}}_x} - {{{E}}_{nn}}*{{sqrt}}( - 2*\log ({\mu _1}))$

}END

4.2 传统隶属度函数法对比实验

传统隶属度函数法^[15]是系统评价的传统方法之一，而本文使用的云模型评价法也是以传统隶属度函数法为基础。因此用传统隶属度方法做对比实验，可以更好地分析云模型的优缺点。使用MATLAB做仿真分析，操作步骤如下：

1)运用模糊工具箱，由表2中数据选择隶属度函数为Gauss型(正态型)，规则共10条，每条规则有2个输入，一个输出，均按照期望( ${{{E}}_x}$ )和方差( ${{{E}}_n}$ )建立Gauss隶属函数。

2)隶属度函数的推理规则为：

如果条件 $a$ 是 ${a_1}$ 并且条件 $b$ 是 ${b_1}$ ，得到推论 $c$ 是 ${c_1}$ 。

3)传统隶属度函数法得到Surface图如图8所示，输入数据后可得到结果并与云模型得到的结果进行对比分析。

4.3 实验分析

假设资源占用的CPU和内存占用率分别为10%、25%，即输入(10,25)，得到云模型推理资源占用结果如图9所示。

同样输入(10，25)，隶属度函数法评价得到系统资源占用的情况如图10所示。

通过对比云模型和隶属度函数法对资源占用进行评价的两个实验，分析并得出以下结论：

1)云模型推理机进行了10次循环推理得出：第10条云规则为最大触发强度，第8条云规则为次最大触发强度。而隶属度函数法也用同样的输入经推导后得到的系统资源占用输出为16.7，其占用率很低。

2)对比云模型和隶属度函数法针对SCADA系统评价的数据，可以看出云模型得到的系统评价是一个正态分布的数据，有别于传统隶属度函数得到的确切数据，这体现出云模型算法的随机性。

3)隶属度函数法得到的结果是单纯按照训练样本规则来进行计算的，如果待测数据不相似于训练样本，隶属度函数法就不能很好地推理出结论，而通过云模型评价可以进行很好的评价，所以云模型评价得到的系统评价更为科学和可信。

5 结束语

本文首先利用因素空间相关理论为SCADA系统构造了信息安全评价的模型，该数学框架描述了信息安全的油气SCADA系统，并创新性地提出云模型推理算法来处理模糊信息，接着构造二维多规则发生器，并在MATLAB上采用云模型对资源占用进行评价。本文将信息的随机性和模糊性特点结合，克服了传统隶属函数法数据不完整的缺点以及模糊推理评价法依赖专家和决策者偏好的主观性，比传统隶属度函数法在结果展现上更为客观，本文的工作对云模型的深入的研究具有重要意义。但是由于本文只针对事中因素的资源占用进行评价，考虑的评价因素不够完善，因此，今后的研究重点会考虑更多的因素，进一步形成系统的风险评价。