一种智能仪表功能安全和信息安全策略融合方法和系统

1.本发明属于智能仪表安全防护领域，更具体地，涉及一种智能仪表功能安全和信息安全策略融合方法和系统。


背景技术：

2.随着信息和通信技术的发展，使用具有人机交互、总线通信等功能的智能仪表能够极大的提高工业生产的效率。然而，相较于传统仪表，智能仪表面临着更多的功能安全失效要素和信息安全威胁。例如，总线通信数据在传输过程中容易发生丢包、时延等现象；另外，攻击者可通过人机交互接口或通信接口对智能仪表的软件、固件或通信传输数据进行篡改，导致智能仪表功能异常。因此，智能仪表存在着功能安全和信息安全防护的迫切需求。
3.实施功能安全策略的目的是为了保障智能仪表的实时性、可靠性和安全性；实施信息安全策略的目的是为了保障智能仪表的可用性、完整性和机密性，由于防护目标的不同，智能仪表功能安全策略和信息安全策略存在着功能冲突和冗余。实施信息安全策略既可能增强功能安全，又可能削弱功能安全，例如在智能仪表开发设计阶段，通过实施身份认证策略既能减少智能仪表由于设计错误导致的错线、开路、短路等故障，又能减少智能仪表存储数据被篡改的可能性。而实施安全通信策略主要是增强通信传输数据的机密性，但也会影响网络通信功能的实时性。
4.目前已有的功能冲突和冗余解决办法主要针对工业控制系统，对于工业控制系统信息层面的冲突和冗余，优先保留信息安全策略，对于物理层的冲突和冗余，优先保留功能安全策略。这类方法无法直接应用到智能仪表中，且主要采用定性的方法，准确性不高。


技术实现要素：

5.针对现有技术的以上缺陷或改进需求，本发明提供了一种智能仪表功能安全和信息安全策略融合方法和系统，其目的在于解决智能仪表功能安全策略和信息安全策略存在的功能冲突和冗余问题。
6.为实现上述目的，按照本发明的一个方面，提供了一种智能仪表功能安全和信息安全策略融合方法，包括：
7.s1.分别对智能仪表软件、硬件和数据资产潜在的故障、信息攻击以及资产失效导致的功能失效后果进行分析，构建智能仪表两安失效风险量化模型，并对两安失效风险进行量化；所述两安失效风险指故障事件或信息攻击事件可能引起的失效风险；
8.s2.将智能仪表功能安全和信息安全策略按照防御类策略和恢复类策略进行归类，分析各防御类策略能够防止的故障、信息攻击以及恢复类策略能够恢复的失效功能，构建智能仪表两安策略风险收益量化模型，对智能仪表两安策略的风险收益进行量化；所述风险收益指实施功能安全策略或信息安全策略能够降低的失效风险值；
9.s3.将智能仪表信息安全策略中与同类别的功能安全策略存在冲突的策略进行删
除，并利用风险收益对剩余的信息安全策略进行冗余消除，得到智能仪表两安融合无冲突无冗余策略集。
10.进一步地，步骤s1包括：
11.s1.1.根据智能仪表的软硬件结构，识别智能仪表的硬件、软件和数据资产，分析各类资产面临的故障、信息攻击事件以及资产失效导致的功能失效后果；
12.s1.2.根据智能仪表面临的故障与资产失效之间的关联关系、信息攻击与资产失效之间的关联关系，资产失效之间的关联关系、资产与功能失效后果之间的关联关系，功能失效后果之间的关联关系，构建智能仪表两安失效风险量化模型：
13.m:(f,v,z,s,gv→z,gf→z,gz→z,gz→s,gs→s)
14.其中，f＝(f1,f2,
…fl(f)
)为智能仪表故障集合，l(f)为故障个数，v＝(v1,v2,
…vl(v)
)为针对智能仪表的信息攻击集合，l(v)为信息攻击个数，z＝(z1,z2,
…zl(z)
)为智能仪表资产集合，l(z)为智能仪表资产个数，s＝(s1,s2,
…sl(s)
)为智能仪表功能失效后果集合，l(s)为功能失效后果个数；为描述故障和资产失效之间因果关系的矩阵，为描述信息攻击和资产失效之间因果关系的矩阵，为描述资产失效之间因果关系的矩阵，为描述资产失效和功能失效后果之间因果关系的矩阵，为描述功能失效后果之间因果关系的矩阵；
15.s1.3.计算功能失效后果节点概率值p(s1),p(s2),
…
,p(si),
…
,p(s
l(s)
)：
16.如果该节点的各前置条件需同时满足才能导致节点事件发生，节点概率值p(ci)为该节点的各前置条件节点概率值；
17.如果该节点的任意一个前置条件满足即可导致节点事件发生，节点概率值
18.前两种情况混合，节点概率值：
19.p(a)＝1-(1-p(c1)p(c2)
…
p(ci))(1-p(cj)
…
p(cn))；
20.s1.4.对智能仪表功能失效后果严重程度进行等级评分；
21.s1.5.对智能仪表两安失效风险进行量化：
[0022][0023]
其中，r为智能仪表两安失效风险，ζj为第j个功能失效后果的严重程度等级。
[0024]
进一步地，采用模糊矩阵判别法，对智能仪表功能失效后果严重程度进行等级评分。
[0025]
进一步地，步骤s2包括：
[0026]
s2.1.构建智能仪表防御类策略风险收益量化模型：
[0027]mp
:(f,v,z,s,p,gv→z,gf→z,gz→z,gz→s,gs→s,g
p
→f,g
p
→v)
[0028]
p＝(p1,p2,
…
,p
l(p)
)是智能仪表防御类策略集合，l(p)是智能仪表防御类策略个数；为描述防御类策略和防止的故障事件之间因果关系的矩阵，为描述防御类策略和防止的信息攻击之间因果关系的矩阵；
[0029]
构建智能仪表恢复类策略风险收益量化模型：
[0030]
mr:(f,v,z,s,r,gv→z,gf→z,gz→z,gz→s,gs→s,gr→s)
[0031]
r＝(r1,r2,
…
,r
l(r)
)是智能仪表恢复类策略集合，l(r)是智能仪表恢复类策略个数；为描述智能仪表恢复类策略和防止的功能失效后果之间因果关系的矩阵；
[0032]
s2.2.由智能仪表防御类策略评价模型和恢复类策略评价模型构成两安策略风险收益量化模型，将收益量化模型中与待分析的智能仪表安全策略关联的故障、信息攻击或者功能失效节点概率值置0，重新计算功能失效后果节点概率值
[0033]
对智能仪表两安策略的风险收益进行量化，公式如下：
[0034][0035]
其中，
△ri
为第i个待分析的智能仪表安全策略风险收益值。
[0036]
进一步地，步骤s3包括：
[0037]
依次从智能仪表信息安全策略集中选取一个策略，并与同类别的功能安全策略进行对比，若存在冲突，则删去该信息安全策略，否则，保留该信息安全策略，经过迭代后获取智能仪表两安无冲突策略集；
[0038]
依次从剩余的智能仪表信息安全策略集中选取一个策略，并与同类别的功能安全策略进行对比，若存在冗余，进一步判断该信息安全策略的风险收益是否大于被比较的功能安全策略，若是，则保留该信息安全策略，否则，删去该信息安全策略，经过迭代后获取智能仪表两安无冗余策略集。
[0039]
本发明还提供了一种智能仪表功能安全和信息安全策略融合系统，包括：
[0040]
失效风险量化模块，用于分别对智能仪表软件、硬件和数据资产潜在的故障、信息攻击以及资产失效导致的功能失效后果进行分析，构建智能仪表两安失效风险量化模型，并对两安失效风险进行量化；所述两安失效风险指故障事件或信息攻击事件可能引起的失效风险；
[0041]
风险收益量化模块，用于将智能仪表功能安全和信息安全策略按照防御类策略和恢复类策略进行归类，分析各防御类策略能够防止的故障、信息攻击以及恢复类策略能够恢复的失效功能，构建智能仪表两安策略风险收益量化模型，对智能仪表两安策略的风险收益进行量化；所述风险收益指实施功能安全策略或信息安全策略能够降低的失效风险值；
[0042]
冲突消解和冗余消除模块，用于将智能仪表信息安全策略中与同类别的功能安全策略存在冲突的策略进行删除，并利用风险收益对剩余的信息安全策略进行冗余消除，得到智能仪表两安融合无冲突无冗余策略集。
[0043]
进一步地，失效风险量化模块包括：
[0044]
资产分解单元，用于根据智能仪表的软硬件结构，识别智能仪表的硬件、软件和数据资产，分析各类资产面临的故障、信息攻击事件以及资产失效导致的功能失效后果；
[0045]
因果失效模型构建单元，用于根据智能仪表面临的故障与资产失效之间的关联关系、信息攻击与资产失效之间的关联关系，资产失效之间的关联关系、资产与功能失效后果之间的关联关系，功能失效后果之间的关联关系，构建智能仪表两安失效风险量化模型：
[0046]
m:(f,v,z,s,gv→z,gf→z,gz→z,gz→s,gs→s)
[0047]
其中，f＝(f1,f2,
…fl(f)
)为智能仪表故障集合，l(f)为故障个数，v＝(v1,v2,
…vl(v)
)为针对智能仪表的信息攻击集合，l(v)为信息攻击个数，z＝(z1,z2,
…zl(z)
)为智能仪表资产集合，l(z)为智能仪表资产个数，s＝(s1,s2,
…sl(s)
)为智能仪表功能失效后果集合，l(s)为功能失效后果个数；为描述故障和资产失效之间因果关系的矩阵，为描述信息攻击和资产失效之间因果关系的矩阵，为描述资产失效之间因果关系的矩阵，为描述资产失效和功能失效后果之间因果关系的矩阵，为描述功能失效后果之间因果关系的矩阵；
[0048]
功能失效概率计算单元，用于按照以下公式计算功能失效后果节点概率值p(s1),p(s2),
…
,p(si),
…
,p(s
l(s)
)：
[0049]
如果该节点的各前置条件需同时满足才能导致节点事件发生，节点概率值p(ci)为该节点的各前置条件节点概率值；
[0050]
如果该节点的任意一个前置条件满足即可导致节点事件发生，节点概率值
[0051]
前两种情况混合，节点概率值：
[0052]
p(a)＝1-(1-p(c1)p(c2)
…
p(ci))(1-p(cj)...p(cn))；
[0053]
失效等级划分单元，用于对智能仪表功能失效后果严重程度进行等级评分；
[0054]
失效风险量化单元，用于对智能仪表两安失效风险进行量化：
[0055][0056]
其中，r为智能仪表两安失效风险，ζj为第j个功能失效后果的严重程度等级。
[0057]
进一步地，风险收益量化模块包括：
[0058]
策略分析单元，用于构建智能仪表防御类策略风险收益量化模型：
[0059]mp
:(f,v,z,s,p,gv→z,gf→z,gz→z,gz→s,gs→s,g
p
→f,g
p
→v)
[0060]
p＝(p1,p2,
…
,p
l(p)
)是智能仪表防御类策略集合，l(p)是智能仪表防御类策略个数；为描述防御类策略和防止的故障事件之间因果关系的矩阵，
为描述防御类策略和防止的信息攻击之间因果关系的矩阵；
[0061]
构建智能仪表恢复类策略风险收益量化模型：
[0062]
mr:(f,v,z,s,r,gv→z,gf→z,gz→z,gz→s,gs→s,gr→s)
[0063]
r＝(r1,r2,
…
,r
l(r)
)是智能仪表恢复类策略集合，l(r)是智能仪表恢复类策略个数；为描述智能仪表恢复类策略和防止的功能失效后果之间因果关系的矩阵；
[0064]
功能失效概率二次计算单元，用于由智能仪表防御类策略风险收益量化模型和恢复类策略风险收益量化模型构成两安策略风险收益量化模型，将统一评价模型中与待评价的智能仪表安全策略关联的故障、信息攻击或者功能失效节点概率值置0，重新计算功能失效后果节点概率值
[0065]
风险收益量化单元，用于对智能仪表两安策略的风险收益进行量化，公式如下：
[0066][0067]
其中，
△ri
为第i个待分析的智能仪表安全策略风险收益值。
[0068]
进一步地，冲突消解和冗余消除模块包括：
[0069]
冲突消解单元，用于依次从智能仪表信息安全策略集中选取一个策略，并与同类别的功能安全策略进行对比，若存在冲突，则删去该信息安全策略，否则，保留该信息安全策略，经过迭代后获取智能仪表两安无冲突策略集；
[0070]
冗余消除单元，用于依次从剩余的智能仪表信息安全策略集中选取一个策略，并与同类别的功能安全策略进行对比，若存在冗余，进一步判断该信息安全策略的风险收益是否大于被比较的功能安全策略，若是，则保留该信息安全策略，否则，删去该信息安全策略，经过迭代后获取智能仪表两安无冗余策略集。
[0071]
总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果。
[0072]
(1)本发明采用定性和定量相结合的方法对智能仪表功能安全和信息安全策略进行融合，相比于定性方法，提高了准确性以及为安全策略决策提供了一定的理论依据；同时将冲突消解问题设置更高的优先级，即先解决冲突消解，再解决冗余消除，得到的融合解集适用的失效场景更全面，防护效果更好。
[0073]
(2)本发明在量化过程中考虑了智能仪表的硬件、软件、数据等资产，更全面，更具通用性；同时本发明从智能仪表功能失效后果角度实现了对智能仪表功能安全和信息安全策略的风险收益属性的统一量化，更加科学、合理，更具有实际应用价值。
附图说明
[0074]
图1是实施例提供的智能仪表通用结构图；
[0075]
图2是一种智能仪表的功能安全和信息安全策略融合方法框架图；
[0076]
图3是智能仪表功能安全和信息安全策略冲突消解流程示意图；
[0077]
图4是智能仪表功能安全和信息安全策略冗余消除流程示意图。
具体实施方式
[0078]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0079]
以下结合图1所示的智能仪表通用结构，具体阐述实施例提供的这种智能仪表的功能安全和信息安全策略融合方法。
[0080]
本发明提供了一种仪表功能安全和信息安全策略融合方法，其流程如图2所示，包括如下步骤：
[0081]
步骤1：根据智能仪表软硬件结构，识别智能仪表的硬件、软件和数据资产，分析智能仪表资产潜在的故障、信息攻击以及资产失效导致的功能失效后果，构建智能仪表两安失效风险量化模型，对智能仪表两安失效风险进行量化；
[0082]
步骤1.1：根据智能仪表的软硬件结构，识别智能仪表的资产，分析智能仪表资产面临的故障、信息攻击事件以及资产失效导致的功能失效后果。
[0083]
智能仪表的资产参见表1所示。
[0084]
表1实施例某智能仪表资产案例表
[0085]
[0086][0087]
智能仪表资产潜在的故障参见表2所示。
[0088]
表2实施例某智能仪表故障案例表
[0089]
[0090][0091]
智能仪表资产面临的信息攻击参见表3所示。
[0092]
表3实施例某智能仪表信息攻击案例表
[0093]
[0094][0095]
智能仪表由于资产失效导致的功能失效后果参见表4所示。
[0096]
表4实施例某智能仪表功能失效后果案例表
[0097]
[0098][0099]
步骤1.2：根据智能仪表面临的故障与资产之间的关联关系、信息攻击与资产之间的关联关系，资产与资产之间关联关系、资产与功能失效后果之间的关联关系，功能失效后果之间的关联关系，构建智能仪表两安失效风险量化模型，如下所示：
[0100]
m:(f,v,z,s,gv→z,gf→z,gz→z,gz→s,gs→s)
[0101]
其中，f＝(f1,f2,
…fl(f)
)为智能仪表故障集合，l(f)为故障个数，v＝(v1,v2,
…vl(v)
)为针对智能仪表的信息攻击集合，l(v)为信息攻击个数，z＝(z1,z2,
…zl(z)
)为智能仪表资产集合，l(z)为智能仪表资产个数，s＝(s1,s2,
…sl(s)
)为智能仪表功能失效后果集合，l(s)为功能失效后果个数。
[0102]
为描述故障和资产失效之间因果关系的矩阵，如下所示：
[0103][0104][0105]
为描述信息攻击和资产失效之间因果关系的矩阵，如下所示：
[0106][0107][0108]
为描述资产失效之间因果关系的矩阵，如下所示：
[0109][0110][0111]
为描述资产失效和功能失效后果之间因果关系的矩阵，如下所示：
[0112][0113][0114]
为描述功能失效后果之间因果关系的矩阵，如下所示：
[0115][0116][0117]
步骤1.3：结合历史数据或者行业专家知识，获取智能仪表两安失效风险量化模型中的故障节点和信息攻击节点概率值，进一步根据智能仪表两安失效风险量化模型中的各节点和其前置条件节点之间的关系，计算功能失效后果节点概率值p(s1),p(s2),
…
,p
(si),
…
,p(s
l(s)
)，
[0118]
(a)如果该节点的各前置条件需同时满足才能导致节点事件发生，节点概率值p(ci)为该节点的各前置条件节点概率值；
[0119]
(b)如果该节点的任意一个前置条件满足，即可导致节点事件发生，节点概率值
[0120]
(c)前两种情况混合，节点概率值：
[0121]
p(a)＝1-(1-p(c1)p(c2)
…
p(ci))(1-p(cj)
…
p(cn))。
[0122]
步骤1.4：结合模糊矩阵判别法，对智能仪表功能失效后果严重程度进行等级评分；
[0123]
构建智能仪表功能失效后果严重程度判断矩阵，判断矩阵中的元素表示功能失效后果之间的相对严重程度，分为9个等级，如下表所示：
[0124][0125][0126]
对构建的判断矩阵进行一致性检验，若未通过则重新构造判断矩阵直至通过一致性检验，通过检验后的判断矩阵的最大特征根对应的归一化特征向量即为功能失效后果严重程度权重ω1,ω2,
…
,ωi,
…
,ω
l(s)
，在ω1,ω2,
…
,ωi,
…
,ω
l(s)
的最大值和最小值组成的区间内，将n个值进行均匀的五等分模糊化，得到智能仪表功能失效后果严重性等级ζ1,ζ2,
…
,ζi,
…
,ζ
l(s)
，ζi∈{1,2,3,4,5}。
[0127]
对智能仪表两安失效风险进行量化，公式如下：
[0128][0129]
其中，r为智能仪表两安失效风险，ζj为第j个功能失效后果的严重程度等级。
[0130]
本发明中两安失效风险具体是指故障事件或信息攻击事件都有可能引起的失效
风险，比如传输数据发生丢包或时延会导致智能仪表通信功能失效，攻击者通过对传输的数据进行截获或篡改也会导致功能仪表通信失效。
[0131]
步骤2：将智能仪表功能安全和信息安全策略按照“防御类”策略和“恢复类”策略进行归类，分析各“防御类”策略能够防止的故障、信息攻击以及“恢复类”策略能够恢复的失效功能，构建智能仪表两安策略风险收益量化模型，结合风险收益量化公式，对智能仪表两安策略的风险收益进行量化；
[0132]
步骤2.1：分析智能仪表功能安全和信息安全策略的防护目标，将智能仪表安全策略按照“防御类”策略和“恢复类”策略进行归类，“防御类”策略是指能够防止故障事件或信息攻击事件进一步渗透影响的策略，“恢复类”策略是指在检测到故障或者信息攻击事件发生后，采取相应动作恢复失效功能的策略；
[0133]
表5实施例某智能仪表功能安全和信息安全策略案例表
[0134][0135]
构建智能仪表“防御类”策略风险收益量化模型，如下所示：
[0136]mp
:(f,v,z,s,p,gv→z,gf→z,gz→z,gz→s,gs→s,g
p
→f,g
p
→v)
[0137]
其中，p＝(p1,p2,
…
,p
l(p)
)是智能仪表“防御类”策略集合，l(p)是智能仪表防御类策略个数。
[0138]
为描述“防御类”策略和防止的故障事件之间因果关系的矩阵，如下所示：
[0139][0140][0141]
为描述“防御类”策略和防止的信息攻击之间因果关系的矩阵，如下所示：
[0142][0143][0144]
构建智能仪表“恢复类”策略风险收益量化模型如下：
[0145]
mr:(f,v,z,s,r,gv→z,gf→z,gz→z,gz→s,gs→s,gr→s)
[0146]
其中，r＝(r1,r2,
…
,r
l(r)
)是智能仪表“恢复类”策略集合，l(r)是智能仪表“恢复类”策略个数。
[0147]
为描述智能仪表“恢复类”策略和防止的功能失效后果之间因果关系的矩阵，如下所示：
[0148][0149][0150]
步骤2.2：将由智能仪表防御类策略风险收益量化模型和恢复类策略风险收益量化模型构成的两安策略风险收益量化模型中与待分析的智能仪表安全策略关联的故障、信息攻击或者功能失效节点概率值置0，重新计算功能失效后果节点概率值对智能仪表两安策略的风险收益进行量化，公式如下：
[0151][0152]
其中，
△ri
为第i个待分析的智能仪表安全策略风险收益值。
[0153]
本发明中风险收益指实施功能安全策略或信息安全策略能够降低的两安失效风险值；
[0154]
步骤3：根据制定的智能仪表功能安全和信息安全策略融合规则以及量化的策略风险收益属性，获取智能仪表两安无冲突无冗余策略集。其流程如图3，4所示。
[0155]
步骤3.1：依次从智能仪表信息安全策略集中选取一个策略，并与同类别的功能安全策略进行对比，若存在冲突，则删去该信息安全策略，否则，保留该信息安全策略，经过迭代后获取智能仪表两安无冲突策略集；
[0156]
依次从智能仪表信息安全策略集中选取一个策略，并与同类别的功能安全策略进行对比，若存在冗余，进一步判断该信息安全策略的风险收益是否大于被比较的功能安全策略，若大于，则保留该信息安全策略，否则，删去该信息安全策略，经过迭代后获取智能仪表两安无冗余策略集。例如，实施通信链路关断策略会对智能仪表的实时性和可靠性造成影响，因此在策略融合阶段，删去该信息安全策略。
[0157]
本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。