工业控制系统功能安全与信息安全的需求分析及融合方法

摘要

本发明公开了一种工业控制系统功能安全与信息安全的需求分析及融合方法，包括分析系统中的资产，明确其相关属性，形成系统资产清单；根据系统资产与危害事件之间的关联性确定危害事故发生的可能性；确定哪些危害事件需要进一步采取功能安全保障措施，进而确定对系统中功能安全需求集；分析资产的固有漏洞及其可能面临的信息安全威胁及对应的防护措施；判断需要加强保护的系统资产，进而确定资产的信息安全防护措施，所有资产需要的保护措施就形成了系统的信息安全需求集；将功能安全需求集与信息安全需求集进行冲突协调，得到系统整体的安全需求集；依据各安全措施的实施成本，结合系统的总体成本约束，对系统的整体安全需求集进行优化。

说明书

技术领域

本发明涉及工业控制系统安全控制领域，更具体地，涉及一种针对工 业控制系统的功能安全与信息安全的需求分析及融合方法。

背景技术

工业控制系统属于生产运行系统，是国家关键基础设施和各类工业生 产的大脑和中枢神经，保障其安全运行至关重要。工业控制系统安全防护 需求分析是是保障系统安全运行的前提和基础。

在工业控制系统中，功能安全是安全控制的一个重要方面，在IEC61508 标准中，功能安全主要是针对与E/E/PE相关的设备及控制系统，避免在系 统故障或失效时，被控对象/过程或其他相关系统导致不可接受的风险，导 致经济损失、人员伤亡或环境污染。信息通信技术在工业控制系统中的广 泛应用极大的降低了系统的设计维护成本提高了系统的性能，但同时也将 信息安全问题引入到了工业控制系统中，信息安全业已成为工业控制系统 安全控制的另一个重要的方面。这两种安全并不是相互独立、毫无关系的， 而是相互影响、密切联系的。从安全防护的视角来看，信息安全防护策略 有可能会增大系统功能安全方面的风险，功能安全保障措施也有可能给系 统引入新的信息安全漏洞；同时，在某些时刻二者也会体现出相互促进的 一面。总体来说，功能安全保障与信息安全防护在总体目标上是一致的， 都是为了保证系统安全稳定运行，但是其具体的侧重点又有不同。功能安 全强调的是系统运行过程中不导致资产损失、人员伤亡或环境污染，考虑 的是系统随机的故障与失效对外界产生的风险。信息安全强调的是恶意攻 击不干扰系统的正常运行，考虑的是恶意的入侵攻击对系统内产生的风险。

功能安全标准IEC61508中规定了工业控制系统功能安全防护步骤，现 在已经制定的IEC62443部分标准也大致明晰了工业控制系统信息安全防护 的流程。但是这些标准大多是从一个方面的安全出发进行考虑，且涉及的 安全相关知识较为专业、门槛过高。而目前，关于综合工业控制系统功能 安全与信息安全方面的研究，多是集中于区分二者的概念与关系，对于其 综合安全需求分析与融合尚未提出有效的解决方案。

发明专利申请(CN201210186363.X)公开了一种“基于系统资产的软 件安全需求分析方法”，在确定系统资产后，通过建成的系统资产库半自 动地获得具有系统性、权威性的分析结果(包括资产所对应的威胁、攻击模 式和用于缓和威胁的CC标准安全功能组件)，最终根据结果完成安全概要 规范。发明授权专利(CN201110208744.9)，公开了一种“一种等级驱动 的安全需求分析方法”，根据用户对系统提出的安全需求等级要求，对根 据威胁选择的安全功能组件进行筛选，再由安全需求分析人员考虑具体技 术和安全策略，将最终选定的安全功能组件描述成安全概要规范。这些专 利都是属于IT领域，且仅考虑的是信息安全。

功能安全与信息安全的这些异同点在分析系统安全需求时就使得存在 一些相互冗余或矛盾的安全需求，需要进行融合以获得具有一致性的系统 安全需求。目前，国内外尚未有一套工业控制系统的综合功能安全与信息 安全的需求分析与融合方法。

发明内容

本发明的目的在于提供一种用于工业控制系统的功能安全和信息安全 需求分析及融合的方法，该方法能够为工业控制系统安全控制及防护(综 合功能安全和信息安全)提供一套快速、完整获取安全需求的流程，减小 安全需求开发难度、降低安全需求开发成本，提高系统综合安全能力。

本发明提供了工业控制系统中功能安全与信息安全的需求分析及融合 方法，包括下述步骤；

步骤(1)分析系统中的资产，明确其相关属性，形成系统资产清单。 其具体过程为：

(1.1)搜集、分析及整理系统的设计文档、说明文档以及用例图；

(1.2)分析系统中的功能、数据信息、软硬件资源以及系统运行涉及 的人员，将系统的资产进行分类，分为信息资产、软件资产、物理资产、 服务、人员以及无形资产，确定资产的属性，包括：资产名称、数量、位 置、随机失效概率、资产失效后可能引发的危害事故、资产的重要性以及 资产的固有漏洞。其中资产的重要性可以分为非常重要(VI)、重要(I)、 一般(GI)、不重要(UI)、非常不重要(VUI)五个等级。最后形成系统 的资产清单。

步骤(2)依据系统的资产清单，分析系统资产失效可能引发的危害事 故，评估其后果，根据系统资产与危害事件之间的关联性确定危害事故发 生的可能性，其具体过程为：

(2.1)根据系统资产清单及各资产可能引发的危害事故，确定系统中 可能发生的危害事故集合。

(2.2)对危害事故集合中的每种危害事故根据专家评估结果采用模糊 综合评估方法评估其发生后产生的后果。

(2.3)依据系统资产间的依赖关系，结合资产的失效概率，确定危害 事故集合中的每种危害可能发生的概率。

步骤(3)根据危害事故的分析结果，评估其功能安全方面的潜在风险， 结合行业对系统的风险承受能力，确定哪些危害事件需要进一步采取功能 安全保障措施，进而确定对系统中功能安全保护需求(即功能安全需求)， 其具体过程为：

(3.1)结合危害事故发生造成的后果和可能发生的概率，评估各类危 险事件的功能安全风险；

(3.2)结合各类危险事件的应对措施，根据各类危险事件功能安全风 险等级，判断是否需要施加对应的功能安全保障措施来降低或消除风险；

(3.3)将整个系统所需的功能安全保障综合起来，形成系统的功能安 全需求集R_safety。

步骤(4)根据系统的资产，分析资产的固有漏洞及其可能面临的信息 安全威胁及对应的防护措施，具体过程为：

(4.1)针对资产清单中的各种资产，依据其固有的漏洞，分析可能面 临的威胁列表、以及所有可用的保护措施。

(4.2)分析资产的固有漏洞和可能面临的信息安全威胁，依据行业的 历史数据，利用专家评估的数据通过模糊评估方法判断各种漏洞可能被威 胁所利用的概率。

步骤(5)，根据资产的重要性等级、其漏洞被利用的可能性，采用模 糊评估的方法评估资产的信息安全风险等级，结合系统能够承受的信息安 全风险等级，判断需要加强保护的系统资产，进而确定资产的信息安全防 护措施，所有资产需要的保护措施就形成了系统的信息安全防护需求(即 信息安全需求集)，其具体过程为：

(5.1)将资产对应的漏洞列表中的每个漏洞可能被利用的概率进行模 糊化得到对应的模糊向量。

(5.2)根据系统的资产列表获得其在系统中的重要性程度(如表1所 示，分为三个等级)，并同样将其进行模糊化，得到对应的模糊向量。

(5.3)将信息安全风险按照行业或系统要求划分等级，例如划分“高 (HR)、中(MR)、低(LR)”三个等级。

(5.4)设计系统的信息安全风险模糊评估的隶属度矩阵。然后，结合 资产重要性的模糊向量和对应漏洞被利用可能性的模糊向量，计算出该漏 洞的风险模糊向量。并通过模糊向量的方模糊化得到该漏洞的风险等级。

(5.5)根据系统中资产对信息安全风险的承受能力，判断该漏洞是否 需要进行防护，若是则给出防护措施。

(5.6)依据上述(5.1)-(5.5)完成所有资产的所有漏洞的评估与 防护。将整个系统的将系统的信息安全防护措施综合起来，形成系统的信 息安全需求集R_security。

步骤(6)，将上述步骤(3)中得到的功能安全需求集R_safety与步骤(5) 中信息安全需求集R_security进行冲突协调，通过定性的方法对两种安全需求进 行融合得到系统整体的安全需求集R_system，其具体过程为：

(6.1)分别将功能安全需求集和信息安全需求集，按照“预防类”、 “检测类”、“响应类”进行分类。预防类需求是指在功能安全保障或信 息安全防护中起预防作用的措施对应的需求；检测类需求是指在功能安全 保障或信息安全防护中进行实时检测(故障检测及入侵检测)对应的需求； 响应类需求是指在功能安全保障或信息安全防护中在检测到问题后(故障 或入侵)系统有针对性的进行响应对应的需求。

(6.2)对于功能安全需求集和信息安全需求集中的预防类需求，没有 交叉的，则直接添加进系统整体安全需求集R_system中；有交叉的，针对上层 的预防类需求以信息安全需求为准，针对下层的预防类需求以功能安全需 求为准，去掉冲突的需求，然后融入系统整体安全需求集R_system中。

(6.3)对于功能安全需求集和信息安全需求集中没有交叉的检测类需 求，直接添加入系统整体安全需求集R_system中；对于有交叉的检测类需求， 按照求并集的方式进行融合(即尽量更全面的进行检测)，然后添加进系 统整体安全需求集R_system中。

(6.4)对于功能安全需求集和信息安全需求集中响应类需求，需要进 行更为精细的融合。首先分析功能安全需求集和信息安全需求集中的各种 响应类需求，结合系统的实际情况，依次制定每个需求的冲突解决策略， 例如，对于安全关键系统，可制定冲突解决策略为：“当需求集R_safety-r和 R_security-r中的需求有冲突时，以R_safety-r中的需求为准，删除R_security-r中冲突的需 求”；还可以以发生冲突的需求涉及的资产所面临的功能安全风险，与信 息安全风险之间的大小来制定冲突解决策略；然后将功能安全需求集和信 息安全需求集中的响应类需求逐一对比，没有冲突的直接添加入系统整体 安全需求集R_system中；有冲突的，按照制定的冲突解决策略进行解决，然后 融入到系统整体安全需求集R_system中。冲突解决策略的制订需要结合响应类 需求的具体情况和系统的具体应用来确定。

步骤(7)依据各安全措施的实施成本，结合系统的总体成本约束，对 系统的整体安全需求集进行优化，具体过程为：

(7.1)分析系统整体安全需求集中每一则安全需求应对的风险，列举 出能够减缓该风险的所有安全措施(即能够提供相同类型的安全防护的措 施)，构成一类安全措施集合。对于每一类安全措施集合，评估其实施成 本。安全措施的实施成本是指系统为实施安全措施而需要付出的额外代价， 这里通过计算量和通信量两个指标来衡量,计算量成本利用专家知识和大 致估算相结合的方法获得，通信量成本指安全措施需要额外增加的通信字 节数，可以根据具体的安全措施直接确定。

(7.2)根据系统的设计规范，获取系统的安全防护(包括功能安全和 信息安全)总的成本约束，即系统为功能安全保障和信息安全防护所能够 付出的最大，包括总的计算量成本和总的通信量成本。

(7.3)依据系统的总成本约束，结合各安全措施集和中各安全措施的 实施成本，对系统的整体安全需求集R_system进行优化。(a)首先，将步骤(6) 中获得的系统整体安全需求集，按照每则需求所应对的风险等级大小由低 到高排序。(b)依据安全措施的实施成本，计算整个需求集的实施总成本， 若没有超出系统安全防护总的成本约束，则完成优化过程；若超出系统安 全防护总的成本约束，则继续。(c)首先判断R_system中的需求是否已处理完， 若处理完，则说明在当前系统安全防护总的成本约束下，无法设计出满足 系统或行业风险等级要求的系统安全需求，需要修改系统安全防护总的成 本约束，然后再重新进行系统安全需求设计；若没有处理完，则顺序取出 一则需求，在其对应的安全措施集合中，选取比当前需求中选定的安全措 施成本更低的安全措施，作为该则需求修改后的结果，然后继续。(d)依 据步骤(3)和(5)判断该则修改后的需求能否满足对应资产对风险的要 求，若能满足则跳转到(b)；若不能满足则跳转到(c)。

与现有技术相比，本发明以保护工业控制系统的功能安全和信息安全 为目的，克服了现有安全需求分析方法在用于工业控制系统时仅考虑一种 安全问题的缺陷。该发明能够在对工业控制系统进行安全需求分析时，综 合考虑功能安全与信息安全，并在需求层面进行两种安全的融合及协调优 化，使安全需求在满足系统成本约束的前提下保证系统综合安全性。预期 的有益效果包括：

一、在需求层面，综合考虑工业控制系统的功能安全和信息安全，能 够保证系统安全控制中两种安全的相互协调，避免系统整体安全需求中的 冲突和冗余，为有效的提升系统的整体安全性打下了基础。

二、按照对系统的动作和影响，将功能安全需求和信息安全需求进行 分类，采用定量的方法对同一类型的安全需求进行融合，提高需求融合效 率，同时也使得需求融合过程中尽可能的保证安全需求的全面性和准确性。

三、考虑工业控制系统资源成本受限的特性，采用成本约束的方法对 融合后的系统安全需求进行进一步的优化，确保在满足系统安全防护总成 本的同时保证系统的整体安全。

四、该发明综合利用专家数据采取模糊评估等多种实用的工程评估方 法，使其能够运用于实际工业控制系统需求分析中，降低工业控制系统安 全需求分析设计门槛，同时切实减小系统开发成本。

附图说明

图1是工业控制系统功能安全与信息安全的需求分析及融合流程；

图2(a)是多个资产同时失效引发危害事故的关系示意图；

图2(b)是独立的多个资产失效引发危害事故的关系示意图；

图2(c)是两种关系混合的多个资产失效引发危害事故的关系示意图；

图3是功能安全需求集与信息安全需求集融合流程；

图4是预防类安全需求集的融合过程；

图5是检测类安全需求集的融合过程；

图6基于成本的系统整体安全需求集的优化过程。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图 及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体 实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的 本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可 以相互组合。

参见图1所示，图1中的优化后的系统整体安全需求集就是本发明申 请中最终需要获得到结果。

本发明的一种用于工业控制系统功能安全与信息安全的需求分析及融 合方法。该方法能够为工业控制系统安全控制及防护(综合功能安全和信 息安全)提供一套快速、完整获取安全需求的流程，减小安全需求开发难 度、降低安全需求开发成本，提高系统综合安全能力。首先分析系统的资 产，然后分别获取系统的功能安全需求集和信息安全需求集，最后融合得 到系统整体的安全需求集，具体包括以下步骤：

步骤一：分析系统中的资产，明确其相关属性，形成系统资产清单。

(1)首先搜集、分析及整理系统的设计文档、说明文档以及用例图， 并获得与系统相关人员进行沟通、调研的结果。

(2)然后结合系统的设计文档，对系统中的资产进行分类：资产包括 具体的资产和抽象的资产，工业控制系统中的资产一般可以分为：信息资 产、软件资产、物理资产、服务、人员以及无形资产六大类。(a)信息资 产包括数据库和数据文件、合同协议、系统文件、研究信息、用户手册、 操作或者支持规程、基本维持运行的安排、审核踪迹、归档信息等。(b) 软件资产包括应用软件、系统软件、开发工具、实用程序等。(c)物理资 产包括工业控制系统设备、电控设备、通信设备可移动媒体以及其他设备。 (d)服务包括设计、安装、调试、运行、维护、计算和通信服务、公用服 务设施等。(e)人员包括系统涉及的所有人员，主要考虑人员的资格、技 能以及经验。(f)无形资产是指系统涉及的组织机构的声誉、形象等。最 后，查明系统中各种资产的各种属性，包括资产名称、数量、位置、失效 时可能引发的危险事件、资产固有的漏洞、失效概率以及资产在系统中的 重要性以及，形成资产清单。如表1所示，给出实施例某工业控制系统部 分资产清单。其中，各资产的失效概率以及重要性利用专家评分结果采取 获取，初始可以设置为0，危害事故通过分析调研行业和系统的历史数据获 得，这里仅给出危害事件的编号，具体危害事件需要结合实际系统给出。

表1实施例某工业控制系统部分资产清单

步骤二：依据系统的资产清单，分析系统资产失效可能引发的危害事 故，评估其后果，根据危害事故与资产之间的关联关系，确定危害事故发 生的可能性

(1)根据系统资产清单及各资产可能引发的危害事故，确定系统中可 能发生的危害事故集合。

分析系统的资产清单，综合系统资产清单中涉及的危害事件，得到系 统的危害事件集Accident＝{a₁,...,a_i,...,a_n}，其中a_i(i＝1,2,...,n)为第i个危害事 件，n为系统中危害事件的总个数。对于危害事件集中的危害事件a_i，采用 三元组表示，即a_i＝(Na_i,Ca_i,Pa_i)，其中Na_i为危害事件a_i的编号，Ca_i为危害 事件a_i发生后产生的后果，采用“非常严重(VS)、严重(S)、一般(G)、 不严重(US)、极不严重(VUS)”五个等级表示，Pa_i为危害事件a_i可能发 生的概率，用百分比表示。

(2)对危害事故集合中的每种危害事故根据专家评估结果采用模糊综 合评估方法评估其发生后产生的后果。

首先构造判断矩阵J如下：

其中j_xy·j_yx＝1；x,y＝1,2,...,n。j_xy表示危险事件a_x相对于a_y产生的后果的重要 程度，其评判标准如下表2所示。

表2判断矩阵中元素的标度表

完成判断矩阵J后，对其进行一致性验证，验证指标为

$\mathrm{CI}=\frac{\lambda -n}{n-1}---\left(2\right)$

其中λ为判断矩阵J的最大特征根。一致性指标CI的含义为：

●当CI＝0时，表示有完全的一致性

●当CI接近于0时，表示有满意的一致性

●当CI＝1时，表示完全不具有一致性

为使评估更为科学，可以采用多组评分结果进行评估，分别构造判断矩阵， 求取对应一致性指标CI₁,CI₂,...,CI_k,计算随机一致性指标RI如下

$\mathrm{RI}=\frac{{\mathrm{CI}}_1+{\mathrm{CI}}_2+...{\mathrm{CI}}_k}{k}---\left(3\right)$

然后计算一致性比率CR如下

$\mathrm{CR}=\frac{\mathrm{CI}}{\mathrm{RI}}---\left(4\right)$

一般的，当一致性比率CR＜0.1时，认为对应J的不一致性在容许的范围内， 有满意的一致性，通过一致性检验。如果CR≥0.1时，认为对应J的不一致 性不再允许范围内，需要重新选择矩阵的数值，直到通过一致性检验。

通过一致性检验的判断矩阵J，计算其特征根，设最大特征根对于的特 征向量为A＝(ω₁,ω₂,...,ω_n)，在ω₁,ω₂,...,ω_n最大、最小值的区间内，将n个值进 行均匀的五等分模糊化，最终得到危害事故a_i发生后产生的后果Ca_i。

(3)依据系统资产间的依赖关系，结合资产的失效概率，确定危害事 故集合中的每种危害可能发生的概率。

计算危害事件a_i可能发生的概率，依据系统的资产清单，分析危害事 故与资产之间的关系，这种关系包括：(a)几种资产同时失效引发某一危 害事故，(b)几种资产中，只要有一种资产失效，则引发危险事件，(c) 前两种情况的混合。如图2所示示例中，对情况(a)危害事件a_i可能发生 的概率为其中为图2(a)中第i个资产的失效概率；对于 情况(b)危害事件a_i可能发生的概率为对于情况(c) 危害事件a_i可能发生的概率为

步骤三：根据危害事故的分析结果，评估其功能安全方面的潜在风险， 结合行业对系统的风险承受能力，确定哪些危害事件需要进一步采取功能 安全保障措施，进而确定对系统中功能安全保护需求(即功能安全需求 R_safety)

(1)结合危害事故发生造成的后果和可能发生的概率，评估各类危险 事件的功能安全风险。

将危害事件可能发生的概率进行等级化(一般采用三等级、五等级或 七等级)，这里以分为五等级为例(极有可能发生HL、较有可能发生VL、 可能发生L、较不可能发生VUL、极不可能发生HUL)，一般是在区间[0,1] 内均匀划分。功能安全风险与危害事件可能发生的概率和其后果相关，将 功能安全风险分等级，一般可分为三等级(可视行业要求进行修改)。

表3风险等级划分

风险等级 描述 H 具有极高的风险 M 具有中等的风险 L 具有较低的风险

结合危害事件发生后可能，构建风险评估表如下表4所示，进而得到 对应危害事件的功能安全风险等级。

表4风险等级评估表

(2)结合各类危险事件的应对措施，根据各类危险事件功能安全风险 等级，判断是否需要施加对应的功能安全保障措施来降低或消除风险。

依据行业或系统对危险事件的风险承受能力(例如行业要求系统本能 出现危害事件的高于L的情况)，确定不满足要求的危害事件。分别针对不 满足要求的危害事件，从功能安全组件库选取合适的安全组件，缓解功能 安全风险。

(3)将整个系统所需的功能安全保障综合起来，形成系统的功能安全 需求集R_safety。

系统所有的功能安全组件构成了系统对功能安全的需求，即可获得系 统的功能安全需求集R_safety。

步骤四：根据系统的资产，分析资产的固有漏洞及其可能面临的信息 安全威胁及对应的防护措施。

(1)针对资产清单中的各种资产，依据其固有的漏洞，分析可能面临 的威胁列表、以及所有可用的保护措施。

首先，将系统中涉及到的漏洞收集形成漏洞集V＝{v₁,v₂,...,v_i,...v_p}，其 中v_i为第i个漏洞，p为漏洞集中漏洞的个数。

然后，针对漏洞集中的每个漏洞分析其保护措施，面临的威胁，将漏 洞形式化的表示为如下所示：

v_i＝(protectlist_i,pv_i,[threat_i-1,pv_i-1],[threat_i-2,pv_i-2],...,[threat_i-j,pv_i-j],...)

其中protectlist_i为针对漏洞v_i的防护措施列表，pv_i为漏洞被利用的概率， [threat_i-j,pv_i-j]分别为漏洞v_i面临的第j个威胁以及漏洞v_i被威胁threat_i-j利用 的概率。其中防护措施列表和威胁通过分析调研获得。

(2)分析资产的固有漏洞和可能面临的信息安全威胁，依据行业的历 史数据，利用专家评估的数据通过模糊评估方法判断各种漏洞可能被威胁 所利用的概率。

首先分析资产的固有漏洞和可能面临的信息安全威胁，然后依据行业 的历史数据，利用专家评估的数据通过模糊评估方法判断各种漏洞可能被 威胁所利用的概率。针对一个漏洞存在多个威胁的情况，通过多个威胁于 漏洞之间的关系获得漏洞被利用的概率pv_i，其计算方式类同图2所示。

步骤五：根据资产的重要性等级、其漏洞被利用的可能性，采用模糊 评估的方法评估资产的信息安全风险等级，结合系统能够承受的信息安全 风险等级，判断需要加强保护的系统资产，进而确定资产的信息安全防护 措施，所有资产需要的保护措施形成了系统的信息安全防护需求(即信息 安全需求集R_security)

(1)将资产对应的漏洞列表中的每个漏洞可能被利用的概率进行模糊 化得到对应的模糊向量。

将漏洞被利用的概率在区间[0,1]上均匀划分为五等级，分别为“非常 高(VH)、高(H)、中等(M)、低(L)、非常低(VL)”，并且将pv_i进 行模糊化的到模糊向量

(2)根据系统的资产列表获得其在系统中的重要性程度(如表1所示， 分为三个等级)，并同样将其进行模糊化，得到对应的模糊向量。

针对资产a_i，评定其重要性程度Ia_i，一般将其分为三个等级：重要资 产(CA)、一般资产(MA)、非重要资产(NCA)，并将其进行模糊化的到 自残的重要性程度的模糊量

(3)将信息安全风险按照行业或系统要求划分等级，例如划分“高 (HR)、中(MR)、低(LR)”三个等级。

(4)设计系统的信息安全风险模糊评估的隶属度矩阵，其一般原则是 资产越重要而且漏洞被利用的概率也越大，则风险等级越高；资产越不重 要而且漏洞被利用的概率也越小，则风险等级越低。具体依据行业和系统 的具体情况而定。然后，结合资产重要性的模糊向量和对应漏洞被利用可 能性的模糊向量，计算出该漏洞的风险模糊向量。并通过模糊向量的方模 糊化得到该漏洞的风险等级。

首先，构造由资产重要性程度和漏洞被利用程度组成的信息安全 风险模糊评估的隶属度矩阵，表5为一个信息安全风险模糊评估的隶属度 矩阵实例。

表5信息安全风险模糊评估的隶属度矩阵

然后，通过资产重要性程度和漏洞被利用程度以及信息安全风险 模糊评估的隶属度矩阵求取资产a_i的风险模糊向量按照隶属度最大原 则进行反模糊化，得到资产a_i的风险等级Risk_i。

(5)根据系统中资产对信息安全风险的承受能力，判断该漏洞是否需 要进行防护，若是给出防护措施。

依据行业或系统对信息安全风险等级的要求，判断资产是否需要添加 防护，对于需要添加防护的资产，从其对应漏洞的保护列表选取保护措施。

(6)形成系统的信息安全需求集。

依据上述(1)-(5)子步骤完成所有资产的所有漏洞的评估与防护。 将整个系统的将系统的信息安全防护措施综合起来，形成系统的信息安全 需求集R_security。

步骤六：将上述步骤三中得到的功能安全需求集R_safety与步骤五中信息 安全需求集R_security进行冲突协调，通过定性的方法对两种安全需求进行融合 得到系统整体的安全需求集R_system，其流程如图3所示。

(1)分别将功能安全需求集R_safety和信息安全需求集R_security，都按照“预 防类”、“检测类”、“响应类”进行分类。

按照安全需求(包括功能安全需求和信息安全需求)对系统的影响将 两个需求集R_safety和R_security都分为三类：预防类需求、检测类需求以及响应类 需求，即得到功能安全预防类需求集R_safety-p、功能安全检测类需求集R_safety-d、 功能安全响应类需求集R_safety-r和信息安全预防类需求集R_security-p、信息安全检 测类需求集R_security-d、信息安全响应类需求集R_security-r。两个安全需求集中相 同类型的需求有可能存在冗余信息和冲突，不同类型的需求是相互独立的。 因此对两个安全需求集同类型的需求进行融合，

(2)融合功能安全需求集和信息安全需求集中的预防类需求。

对于预防类需求集R_safety-p和R_security-p，是预先设置防范措施用于保护系统 的安全需求。工业控制系统中，信息安全一般是由信息层面逐渐向下引入 到现场控制层面，功能安全一般是系统内部逐渐向底层扩散，进而影响物 理系统，最后造成财产损失、人员伤亡或环境破坏。信息安全的预防类措 施一般集中于较为上层的信息处理层，功能安全的预防类措施一般集中于 较为下层的实时控制层以及物理系统，其冲突较少。功能安全预防类需求 集R_safety-p和信息安全预防类需求集R_security-p的融合过程如图4所示，具体为： 从R_safety-p中的预防类需求集中取出一则需求，依次与R_security-p中的每则需求进 行比较：若都无冲突和冗余，则将该则需求添加到系统整体安全需求集R_system中；若有冲突则检查保护点的位置，若处于信息层面，则丢弃该则需求， 若处于现场控制层面或物理系统，则该则需求添加到系统整体安全需求集 R_system中，并将R_security-p相应冲突的需求删除；若有冗余，也丢弃该则需求。 依次步骤，直至R_safety-p为空集，然后，将R_security-p中剩余的需求添加到系统整 体安全需求集R_system中。

(3)融合功能安全需求集和信息安全需求集中的检测类需求。

对于检测类需求集R_safety-d和R_security-d，在工业控制系统中，一般对系统的 影响主要体现在对系统资源的占用方面，此外，检测类需求一般不会有相 互冲突的需求，更多的是检测项的冗余。因此R_safety-d与R_security-d的融合主要是 消除冗余信息，其过程如图5所示，具体为：从R_safety-d中取出一则需求依次 与R_security-d中的需求进行比较，若有没有冗余信息，则将该则需求添加到系 统整体安全需求集R_system中；否则将这两则需求合并为一则需求，然后添加 到系统整体安全需求集R_system中。直至R_safety-d为空集，然后，将R_security-d中剩余 的需求添加到系统整体安全需求集R_system中。

(4)融合功能安全需求集和信息安全需求集中的响应类需求。

对于响应类需求集R_safety-r和R_security-r，在工业控制系统中，一般会直接改 变系统的行为以应对故障或攻击，两个需求集R_safety-r和R_security-r中的这类需求 由于都是对系统采取动作，在融合过程中，主要是解决需求的冲突问题。 同时，这类需求实现后产生动作对系统影响最大，有冲突的功能安全响应 和信息安全响应不仅不能完成本身的安全保障任务，还可能会对系统造成 严重的影响，因此需要设计更为精细的融合方案。首先，结合行业和系统 的实际情况，制订融合的过程中冲突解决的基本策略，例如，对于安全关 键系统，可制定冲突解决策略为：“当需求集R_safety-r和R_security-r中的需求有冲 突时，以R_safety-r中的需求为准，删除R_security-r中冲突的需求。”还可以以发生 冲突的需求涉及的资产所面临的功能安全风险，与信息安全风险之间的大 小来制定冲突解决策略。然后，从R_safety-r中取出需求依次与R_security-r中的需求 比较，若有冲突，采用预先制定的策略进行解决，然后将融合后的需求添 加到系统整体安全需求集R_system中；若没有冲突则直接将该需求添加到系统 整体安全需求集R_system中。直至R_safety-r为空集，然后，将R_security-r中剩余的需求 添加到系统整体安全需求集R_system中。

步骤七：依据各安全措施的实施成本，结合系统的总体成本约束，对 系统的整体安全需求集进行优化。

工业控制系统中，其安全防护(包括功能安全保障和信息安全防护) 并不是越多越好，在安全需求设计阶段，安全防护是受到系统分配的安全 防护总成本的约束。因此，在通过上述六个步骤得到系统的整体安全需求 集后，还需要根据系统的安全防护总体成本约束，对需求集进行优化，获 得在满足成本约束前提下的系统整体安全需求集。

(1)分析所有安全需求，评估其实施成本。

在进行优化前，首先需要分析系统整体安全需求集中每一则安全需求 应对的风险，列举出能够减缓该风险的所有安全措施(即能够提供相同类 型的安全防护的措施)，构成一类安全措施集合。对于每一类安全措施集合， 评估其实施成本。安全措施的实施成本是指系统为实施安全措施而需要付 出的额外代价，这里通过计算量和通信量两个指标来衡量,计算量成本利用 专家评估结果通过估算的方法获得，通信量成本指安全措施需要额外增加 的通信字节数，可以根据具体的安全措施直接确定。

(2)获取系统安全需求设计的总成本约束。

然后，根据系统的设计规范，获取系统的安全防护(包括功能安全和 信息安全)总的成本约束，即系统为功能安全保障和信息安全防护所能够 付出的最大，包括总的计算量成本和总的通信量成本。

(3)对系统的整体安全需求集进行优化。

系统整体安全需求集的具体优化过程如图6所示，具体流程为：(a) 首先，将步骤(6)中获得的系统整体安全需求集，按照每则需求所应对的 风险等级大小由低到高排序。(b)依据安全措施的实施成本，计算整个需 求集的实施总成本，若没有超出系统安全防护总的成本约束，则完成优化 过程；若超出系统安全防护总的成本约束，则继续。(c)首先判断R_system中 的需求是否已处理完，若处理完，则说明在当前系统安全防护总的成本约 束下，无法设计出满足系统或行业风险等级要求的系统安全需求，需要修 改系统安全防护总的成本约束，然后再重新进行系统安全需求设计；若没 有处理完，则顺序取出一则需求，在其对应的安全措施集合中，选取比当 前需求中选定的安全措施成本更低的安全措施，作为该则需求修改后的结 果，然后继续。(d)依据步骤三和五判断该则修改后的需求能否满足对应 资产对风险的要求，若能满足则跳转到(b)；若不能满足则跳转到(c)。

最终得到优化后系统整体安全需求集R_system，即融合功能安全需求与信 息安全需求、且满足系统成本约束的系统安全需求集。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等 同替换和改进等，均应包含在本发明的保护范围之内。