SCADA系统信息安全定量风险评估方法

为有效分析和评估数据采集与监视控制(SCADA)系统的信息安全风险,解决传统评估方法难以量化风险问题,首先根据信息安全风险评估模型,确立威胁、脆弱性和资产3要素,选取典型的SCADA系统进行分析和解构,获取可能存在的威胁、脆弱性和可能受影响的资产;其次采用层次分析法(AHP)确定不同要素对SCADA系统信息安全风险的影响程度;然后研究3要素对信息安全风险的判定矩阵构成和组合权重,对威胁-脆弱性-资产进行有效性组合配对,从而获得相对量化和具有可比性的风险评估值;最后利用该方法定量评估某典型SCADA系统的信息安全风险。结果表明:AHP法可操作性强,可找出系统信息安全的薄弱环节;层次构建可清楚展示原本复杂的SCADA系统内部关系,层次构建得越精细,精度分析越高,但过于精细也存在过分依赖专家经验的问题。