第17卷 智能系统学报 ·970· 与监视控制系统山，包含了上位机、下位机和数据 效集成，实现定性概念与其定量表示之间的转换， 通信网络3个部分，主要负责完成各种设备过程 比隶属函数具备更强的普适性和描述不确定性的 的自动控制、实时监控和数据采集，为安全生产、 能力。因此，本文提出了一种基于云模型和组合 调度、管理、优化和故障诊断提供了必要和完整 权重的SCADA系统安全风险评估模型，通过最 的数据及技术手段，在电力、冶金、石油、化工、 小二乘法求出组合权重，使权重的确定更加科学 铁路等领域应用十分广泛。 合理，再通过云模型的云发生器和相似度计算得 近年来，随着全球信息化和工业化融合进程 出综合风险评估结果，为SCADA系统的安全风 的不断加深，通用的软件、硬件、协议和技术越来 险评估研究提供一个新的途径。 越多地应用到工业生产领域)中，也将更多的漏 洞和威胁带人到SCADA系统中，使SCADA系统 1组合权重 面临着巨大的安全挑战。因此如何保障SCADA 评估指标的权重确定方法主要分为主观赋权 系统的安全已经成为当前国内外研究的热点问 和客观赋权两种。主观赋权依靠专家经验确定权 题，其中的一个重点就是如何对SCADA系统进 重，方法简单，在一定的程度上可以反映出实际 行安全评估，分析其安全现状。 情况，但人为主观性太强：客观赋权根据样本数 目前，国内外研究人员通常从定性、定量、定 据来确定权重，忽视了不同指标的重要程度，从 性与定量相结合三方面来对SCADA系统的安全 而可能导致权重结果与实际指标重要性相反。因 状况进行评估。定性评估方法具有较大的主观 此本文采用主客观组合赋权方法来克服单一赋权 性，无法给出量化的结论，系统安全状况之间的 方法的局限性，消除主客观偏差，降低信息损失， 差异很难区分。定量评估方法无法将所有的数据 使权重结果更加接近于实际结果。 信息完全量化，简化其过程又可能会导致评估结 1.1 主观权重 果产生误差。因此融合了二者优点的定性与定 采用层次分析法确定主观权重。层次分析法 量相结合的评估方法得到了更加广泛的应用，也 是将与决策相关的元素分解为目标、准则、指标等 取得了一定的成果，相关的研究方法包括了层次 层次，在此基础上进行定量和定性分析的方法。 分析法、模糊综合评估法、灰色评估等。例如姜 层次分析法的具体运算步骤如下： 莹莹等通过层次分析法(AHP),结合模糊综合 1)确定评估目标，建立层次分析模型。仔细 评估法对油气SCADA系统进行综合评估，得到 分析问题，逐层分解，确定问题的评估目标，建立 了系统的整体安全状况。Bian等通过改进的层 起目标、准则、指标三层评估模型。 次分析法和模糊综合评估法，从风险、公共、服务 2)构造判断矩阵。在指定上层某一元素的条 三方面进行网络安全态势的评估。Markovic-Pet- 件下，根据比较标度对本层的各元素进行两两比 rovic等提出了一种新的综合考虑了主客观因 较，建立起相应的判断矩阵。 素的模糊层次分析法，减少了主观性。Lⅰ等提 3)单层次计算并进行安全性判断，即层次单 出了一种基于熵权和灰色预测的SCADA系统通 排序。 信网络风险预测模型。万书亭等阁将变权模糊综 4)对判断矩阵进行一致性检验，计算出目标 合评估和灰色理论相结合构建出评估模型，实现 总排序。若一致性指标CR<0.1,则判断矩阵的一 了风电机组的性能评估。杨力等在综合分析油 致性可以接受，否则修正判断矩阵。 气SCADA系统的结构和安全威胁的基础上，提 1.2 客观权重 出了一种基于因素状态空间和模糊综合评估的新 采用嫡权法确定客观权重。嫡权法主要是根 型风险评估方法，以及将因素空间理论与MAT- 据指标信息熵的大小计算出相应指标的权重，某 LAB模糊逻辑工具结合得到Mamdani推理模型， 个指标的信息熵越小，表示其所含的信息量越 实现了SCADA系统的风险评估O 大，在评估中所起到的作用也就越大，所占权重 上述方法在评估过程中，大多采用单一权重 也越大；反之，指标信息嫡越大，所占权重越小。 和隶属函数，主观因素较强，且隶属函数在处理 具体运算步骤如下： 模糊现象时将模糊问题精确化，无法完整体现出 1)确定评估矩阵X。假设SCADA系统的评 评估过程中的不确定性，导致结果不够科学准 估指标有m个，每个指标有n个专家评估，x表示第 确。云模型能够将定性概念的模糊性和随机性有 个专家第j个指标的评估值。与监视控制系统[1] ，包含了上位机、下位机和数据 通信网络 3 个部分，主要负责完成各种设备过程 的自动控制、实时监控和数据采集，为安全生产、 调度、管理、优化和故障诊断提供了必要和完整 的数据及技术手段，在电力、冶金、石油、化工、 铁路等领域应用十分广泛。 近年来，随着全球信息化和工业化融合进程 的不断加深，通用的软件、硬件、协议和技术越来 越多地应用到工业生产领域[2] 中，也将更多的漏 洞和威胁带入到 SCADA 系统中，使 SCADA 系统 面临着巨大的安全挑战。因此如何保障 SCADA 系统的安全已经成为当前国内外研究的热点问 题，其中的一个重点就是如何对 SCADA 系统进 行安全评估，分析其安全现状。 目前，国内外研究人员通常从定性、定量、定 性与定量相结合三方面来对 SCADA 系统的安全 状况进行评估。定性评估方法具有较大的主观 性，无法给出量化的结论，系统安全状况之间的 差异很难区分。定量评估方法无法将所有的数据 信息完全量化，简化其过程又可能会导致评估结 果产生误差[3]。因此融合了二者优点的定性与定 量相结合的评估方法得到了更加广泛的应用，也 取得了一定的成果，相关的研究方法包括了层次 分析法、模糊综合评估法、灰色评估等。例如姜 莹莹等[4] 通过层次分析法 (AHP)，结合模糊综合 评估法对油气 SCADA 系统进行综合评估，得到 了系统的整体安全状况。Bian 等 [5] 通过改进的层 次分析法和模糊综合评估法，从风险、公共、服务 三方面进行网络安全态势的评估。Markovic-Pet￾rovic 等 [6] 提出了一种新的综合考虑了主客观因 素的模糊层次分析法，减少了主观性。Li 等 [7] 提 出了一种基于熵权和灰色预测的 SCADA 系统通 信网络风险预测模型。万书亭等[8] 将变权模糊综 合评估和灰色理论相结合构建出评估模型，实现 了风电机组的性能评估。杨力等[9] 在综合分析油 气 SCADA 系统的结构和安全威胁的基础上，提 出了一种基于因素状态空间和模糊综合评估的新 型风险评估方法，以及将因素空间理论与 MAT￾LAB 模糊逻辑工具结合得到 Mamdani 推理模型， 实现了 SCADA 系统的风险评估[10]。 上述方法在评估过程中，大多采用单一权重 和隶属函数，主观因素较强，且隶属函数在处理 模糊现象时将模糊问题精确化，无法完整体现出 评估过程中的不确定性，导致结果不够科学准 确。云模型能够将定性概念的模糊性和随机性有 效集成，实现定性概念与其定量表示之间的转换， 比隶属函数具备更强的普适性和描述不确定性的 能力[11]。因此，本文提出了一种基于云模型和组合 权重的 SCADA 系统安全风险评估模型，通过最 小二乘法求出组合权重，使权重的确定更加科学 合理，再通过云模型的云发生器和相似度计算得 出综合风险评估结果，为 SCADA 系统的安全风 险评估研究提供一个新的途径。 1 组合权重 评估指标的权重确定方法主要分为主观赋权 和客观赋权两种。主观赋权依靠专家经验确定权 重，方法简单，在一定的程度上可以反映出实际 情况，但人为主观性太强；客观赋权根据样本数 据来确定权重，忽视了不同指标的重要程度，从 而可能导致权重结果与实际指标重要性相反。因 此本文采用主客观组合赋权方法来克服单一赋权 方法的局限性，消除主客观偏差，降低信息损失， 使权重结果更加接近于实际结果。 1.1 主观权重 采用层次分析法确定主观权重。层次分析法 是将与决策相关的元素分解为目标、准则、指标等 层次，在此基础上进行定量和定性分析的方法。 层次分析法的具体运算步骤如下[4] ： 1) 确定评估目标，建立层次分析模型。仔细 分析问题，逐层分解，确定问题的评估目标，建立 起目标、准则、指标三层评估模型。 2) 构造判断矩阵。在指定上层某一元素的条 件下，根据比较标度对本层的各元素进行两两比 较，建立起相应的判断矩阵。 3) 单层次计算并进行安全性判断，即层次单 排序。 4) 对判断矩阵进行一致性检验，计算出目标 总排序。若一致性指标 CR<0.1，则判断矩阵的一 致性可以接受，否则修正判断矩阵。 1.2 客观权重 采用熵权法确定客观权重。熵权法主要是根 据指标信息熵的大小计算出相应指标的权重，某 个指标的信息熵越小，表示其所含的信息量越 大，在评估中所起到的作用也就越大，所占权重 也越大；反之，指标信息熵越大，所占权重越小。 具体运算步骤如下[7] ： X m n xi j i j 1) 确定评估矩阵 。假设 SCADA 系统的评 估指标有 个，每个指标有 个专家评估, 表示第 个专家第 个指标的评估值。 第 17 卷 智 能 系 统 学 报 ·970·