工業(yè)控制系統(tǒng)安全評估的研究與系統(tǒng)實現(xiàn).pdf

1、工業(yè)控制系統(tǒng)安全評估的研究與系統(tǒng)實現(xiàn)重慶大學碩士學位論文（專業(yè)學位）學生姓名：王雅萍指導教師：傅鸝教授學位類別：工程碩士（軟件工程領域）重慶大學軟件學院二O一四年五月重慶大學碩士學位論文中文摘要I摘要近年來ICS（工業(yè)控制系統(tǒng)）相關安全事件不斷爆發(fā)，其影響范圍涉及各個工業(yè)生產部門及國家關鍵基礎設施。然而ICS安全的研究近幾年才開始，無論是在安全指標還是評估方法上都還不成熟。又由于ICS安全攻擊大多為大規(guī)模、多方協(xié)作、長持續(xù)時間的APT（

2、高級持續(xù)威脅）攻擊，傳統(tǒng)信息系統(tǒng)的安全評估方法在此并非完全適用。國內乃至國際，ICS相關的安全指標匱乏，無法形成全面的、系統(tǒng)性的安全法規(guī)對ICS安全進行評估與指導。此外，受數(shù)據少、客觀性低等因素的限制，ICS安全評估的量化模型實施困難。并且，國內外市場上還不具有量化分析能力的ICS安全評估工具。本文針對ICS安全評估領域的缺陷，進行了如下主要工作：1.對比分析了ICS與傳統(tǒng)信息系統(tǒng)在系統(tǒng)特征以及安全性上差異。結合分析國內外ICS相關的安

3、全準則，提出了SCIAM（Safety，Confidentiality，Integrality，Availability，Manageability）安全屬性模型，強調人員、物理的安全及法律法規(guī)管理在ICS安全中的突出作用。參照AHP（層次分析法）形成樹狀層次模型，進而構建系統(tǒng)性的安全評估指標體系以及安全屬性實施細則，為安全評估人員進行系統(tǒng)性評估提供指標依據。2.客觀量化計算評估信息。采用灰色多屬性決策方法規(guī)避了ICS安全數(shù)據量少、質低