基于EASI模型的实物保护系统动态评估方法

李爱国，雷鲁飞，陈 博，苏 越

(西安科技大学计算机学院，陕西 西安 710054)

1 引言

随着经济和社会的快速发展，各类关键设施及关键资产越来越多，这类关键设施和资产事关国家安全、社会和经济的稳定及可持续发展，其遭遇破坏或失窃的后果将难以接受，其面临的风险也日益增大。尤其是面对怀有恶意的人员，恐怖分子，或遭遇区域冲突的时候，对关键设施和资产进行保护的重要性更加突出。目前我国对关键设施和资产的网络安全的关注和研究程度要远高于对实体防护的研究[1，2]。美国桑迪亚国家实验室是最早对实物保护系统(Physical Protec-tion System，PPS)开展研究的，提出的一种针对核设施和核电站的安全保护系统设计和脆弱性评估方法。实物保护系统(PPS)是指为了保护关键资产和设施防止他人偷窃，破坏或其它恶意行为的一个集成人员，程序和设备的系统工程。PPS能够有效防止关键设施或资产遭到盗窃、破坏或任何其它类型的恶意攻击[3]。

实物保护系统(PPS)通过探测、延迟和响应三个主要功能对目标设施或资产进行有效防护。①探测：探测功能用于发现敌方的入侵行为，包括隐蔽或公然的入侵行为。探测功能的效能取决于侦测入侵行为的概率，以及报警复核所需时间。②延迟：延迟功能是PPS第二个功能，借助于墙体、门锁和栅栏等延迟装置延缓敌方入侵。③响应：响应功能是PPS第三个主要功能，响应是反应力量在收到通信报警信息后阻止入侵者得逞的行为。

PPS的脆弱性评估不仅对保护系统设计和安装起指导作用，也可以对现有的保护系统升级和改进提供依据。要对PPS进行评估，评估人员需要对PPS目标和设计深入了解。设计和评估PPS的一个简单方法是依据标准和规范进行定性评估，虽然此类方法简明、易操作，但PPS注重对保护对象的防护效能，而不是某些标准是否达标。随着保护目标重要性的提高，定性分型越来越难以满足评估需求，通常采用更加容易被人所接受的定量评估方法。定量分析最常用的模型是EASI模型[3]，在本文2.1节详细介绍，大多数定量分析模型和方法都是基于此模型展开的。如综合路径分析模型(SAVI)[5]、估算核保障和核安保措施的分析系统和软件(ASSESS)[6]、组合立体几何模型(CSG)[7]、多路径分析随机计算工具(MAPPS)[8]、证据推论法(Evidential Approach)[9]、虚拟环境下实物保护系统有效性分析技术[10]等，这些模型都是采取定期的静态评估，缺乏时效性和应对极端气候环境变化的适应性，对某一时刻系统效能的降低或失效没有及时的评估和应对措施。然而有经验的敌对分子通常会选取在这些时刻进行入侵，例如在大雾，大雨的环境下。本文结合某项目研究课题和实际需求，针对在极端气候条件下，PPS防护效能的变化，提出一种基于EASI模型的实物保护系统动态脆弱性评估方法(DAPPS)。该方法实时动态的对实物保护系统的防护性能进行计算评估，当系统的某一装置的效能突然降低或失效时，自动增加延时或探测后重新评估，始终保持系统防护性能在给定的阈值之上。

2 EASI模型

2.1 传统的EASI模型

EASI模型是通过计算敌方入侵路径上的一系列探测装置和延迟装置所产生的效果，从而定量的分析敌方到达保护目标之前被下响应部队拦截的可能性，其计算公式如下

P=P(D1)×P(C1)×PR│A1+

(1)

式(1)中，P(D)表示探测器探测到敌方的概率；P(C)表示报警复核率；P(R|A)表示在报警复核成功的条件下敌对势力在抵达目标之前被响应部队拦截的概率。式(1)中第一项表示最外围保护层报警且复核成功后的拦截概率，第二项则为其它各层的拦截概率。式(1)的计算结果为各层的累计拦截概率，该拦截概率越大，PPS对目标的防护能力就越强。

2.2 探测和延时

探测和延时功能是PPS评估的核心。越早探测到敌方的入侵，响应部队就会有更长的时间去部署拦截。同样，探测到敌方的入侵后，对敌方的延时时间越长也会给响应部队更多的时间去部署拦截。

探测率P(D)的值是指PPS中各防护层中的防护单元探测到敌方入侵的概率，包括探测、报告和复核过程。P(D)值常被用作度量PPS探测功能的有效性的指标。当该防护层成功探测到敌方时，该防护层之后的所有探测器无论是否探测到敌方都不会产生实际作用。只有该防护层未探测到目标，后面的防护层的探测器才会产生作用。用PE表示后续每层防护层的实际探测概率。这个概率的计算公式如式(2)分所示：

(2)

(3)

(4)

在计算实际累积延时时间(Ti)时还应考虑延时装置所产生的真实延时时间，因为探测可能在以下三种情况中发生：

1)在延时装置生效之前探测器报警(用“B”表示)，例如一个围栏上的振动传感器；

2)在延时装置生效当中探测器报警(用一个“M”表示)例如防盗门里面的玻璃锁传感器；

3)在延时装置生效之后探测器报警(用“E”表示)，例如直接放在门口之后的运动传感器。

在传感器报警之前，入侵者穿越的所有延时装置均是无效的，这是因为没有报警，响应部队就不会有任何行动。在以上的三种情况之中，延时装置对敌方所产生的实际延时时间和实际累积延迟时间如式(6)和(7)式所示。其中CF为修正因子，用于计算三种情况下的真实延时时间，其取值如式(5)所示。真实延迟时间和真实累积延迟时间的方差可按式(8)和(9)计算。

(5)

Ti=CF×tdi

(6)

(7)

σTi2=(CF×σtdi)2

(8)

(9)

2.3 响应时间

响应时间(RFT)即为响应部队收到报警通知后从其所在位置抵达保护目标所在位置所需的时间。响应时间根据响应部队多次模拟响应演练所采样的数据确定，实际响应时间的值成正态分布，其均值用RFT表示，标准差用σRFT表示，如图1所示。

图1 实际响应时间正态分布图

首次报警复核成功的条件下，入侵者所在防护层的累积延时时间与响应时间的时差Zi如式(10)所示。

(10)

若要计算拦截成功能的概率只需计算Zi为正数的部分，即累计延时时间大于响应时间。拦截成功概率为概率密度函数Zi从0积分到+∞的值。图2黑色部分所示，即为Zi大于零(累积延迟时间大于响应时间的)的部分，其面积即为拦截成功的概率。

图2 拦截概率示意图

综上所述，EASI模型是基于敌方路径上的概率计算工具，通过计算所有路径的拦截概率可以确定最小拦截概率的路径即为最薄弱路径。在设计或改进PPS时，可以对最薄弱路径的探测装置或延时装置进行改进，从而提升PPS的整体防护性能。值得注意的是这种评估方法需要定期对系统进行评估，缺乏时效性，在某些极端气候条件下其评估结果并不准确。本文对PPS的防护性能发生变化时的情况进行了探索，提出了动态评估模型，进一步提高了PPS的可靠性。

3 基于EASI模型的实物保护系统动态评估

3.1 仿真模拟场景实例

本文采用国际原子能机构研究所核设施模拟场景进行计算评估，其场景布局如图3所示[3]。

场景模拟：假设敌方打算破坏核反应堆。敌方已经获得了该设施场地布局的所有信息。敌方攻击最多由五名袭击者组成，他们装备有半自动步枪、小型武器、数量有限的炸药(用来穿透墙壁或门，并最终破坏反应堆)、便携式电动工具和双向无线电通信系统。

该核设施的入侵序列图如图4所示。入侵序列图(图4)显示敌方所有可能的潜入路径。

图4 核设施入侵序列图

图4中的每个区域和保护元件的探测和延时信息如表1所示。

表1 各区域和保护元件探测和延时信息

表1中的延时类型分为为探测发生在时间延迟的开始(B)、中间(M)或结束(E)。每个保护元件的探测概率(PD)、延迟时间(td)，td取决于保护元件得防护性能，其值是根据美国桑迪亚国家实验室的评估确定，其标准差为td的30%。

此外，报警复核概率PC的值为0.95。响应部队的平均响应时间(RFT)为700s，响应时间的标准差为RFT的30%。该设施要求PPS的拦截概率不低于0.8。

3.2 动态评估方法

3.2.1 方法概述

本文采取的动态评估方法是通过在实物保护系统中增设一些气候传感器[12-15]。这些传感器将保护场地的气候数据实时传回评估系统，评估系统根据实时数据调整探测率等参数，动态计算当前环境下的拦截概率。当出现极端气候导致拦截概率不能满足需求时，评估系统立即通知PPS开启自动延时装置，提高延时时间或派出人员对某一区域加强巡逻，增加PPS的探测概率。然后重新计算拦截概率，直至其满足要求。其逻辑流程如图5。

图5 动态评估系统工作逻辑流程

其步骤可总结如下：

1)气候传感器实时传回气候数据给评估系统；

2)评估系统根据传回数据重新计算拦截概率；

3)评估系统根据评估计算结果反馈给实物保护系统；

4)实物保护系统根据反馈采取相应措施

图5中判断拦截概率是否满足要求即要判断当前拦截概率是否高于给定的阈值。若当前拦截概率低于给定阈值，先自动启动临时延时装置或通知安保人员加强巡逻再重新计算拦截概率。当采取所有的临时措施拦截概率均不能达到预期的值时，立即警示安保中心采取更强有力的措施。

3.2.2 气候变化对探测器的影响

根据模拟场景实例，分别对大雾、雨雪、大风、温度等极端气候环境下探测器的探测率降低情况进行探索：

1)大雾：大雾天气对室外视频探测器的探测率有着显著的影响[16]。在该场地中，当能见度将至20m以下时，已获悉监控摄像头布局的入侵者能完全躲避室外视频监控。图4中编号为④和⑧的探测率全部重置为0。在此情况下通过梯子等工具直接翻越外围护栏被也不会被发现，图4中编号为③的探测率重置为0。

2)雨雪：暴雨暴雪会不仅会降低能见度，而且会掩盖入侵分子入侵时所产生的动静，进一步降低探测率。图4中编号为④和⑧的探测率重置为0，编号为③和⑦的探测率分别重置为0.1和0.2。

3)大风：大风天气对震动传感器影响较大[17]。图4中编号为编号为③和⑦的探测率分别重置为0.2和0.4。

4)温度：高温天气对红外传感器影响较大，图4中编号为编号为②、⑥和⑨的探测率分别重置为0.4、0.5和0.5。

3.2.1 采取的措施

根据先探测、后延时的基本原则，本文在计算中所采取的措施主要有两种。其一，在反应堆周围设置自动拦截护栏，其延迟时间为120s，标准差为36s。当拦截概率不能满足要求时，系统自动开启该拦截装置。其二，派出人员在限制区域加强巡逻，该区域探测率可增加至0.8。当采取第一项措施后，保护系统的拦截概率仍不满足要求时，则采取第二项措施。

4 计算结果

使用EASI等传统评估方法，通过计算机程序对图4中的所有路径(90条)进行计算，获得最薄弱路径，其路径信息如表2所示。

表2 该核设施的最薄弱路径

敌方沿着上述最薄弱路径进行破坏行动的的拦截概率计算结果是0.846。拦截概率大于给定阈值0.8，认为系统防护性能满足要求。入侵者选择最薄弱路径进行突破是最优的策略。选择其它任何路径进行突破的拦截概率将会更高。

当实物保护系统所在场地出现极端气候条件时，基于EASI的传统评估方法和本文所提出的动态评估方法(DAPPS)对实物保护系统的拦截概率对比见图6。

图6 实物保护系统拦截概率对比

其中在大雾、大风、高温等恶劣气候环境下，只需自动开启延时装置。在无需人员管控或操作的情况下，可保持PPS的拦截概率始终高于给定的阈值。暴雨暴雪环境下，不仅需要需要开启拦截装置，还需派出人员加强限制区域巡逻方可保持PPS的拦截概率高于给定阈值。

通过图6对比可知，在大雾、雨雪、大风、温度等环境下，动态评估的方法(DAPPS)比传统的静态评估方法更加可靠。在极端气候条件下，通过动态评估方法PPS采取相应措施可使其的防护性能提高5～25个百分点。这种提高的幅度看似不多。但实际上，实物保护系统的防护性能提高几个百分点在硬件上可能会花费数千万以上的成本。极端气候属于偶发事件，只需让系统在这些事件上采取一些临时措施，即可保证系统的防护性能不发生退化。

5 结论

本文介绍了一种基于EASI模型的的实物保护系统动态评估方法。首先，利用模拟场景建立入侵序列图，对所有入侵路径进行计算，确定最薄弱路径上的拦截概率。其次，根据外部环境动态调整受影响元件的探测率从而动态计算拦截概率。最后，在拦截概率低于给定阈值时，增加延时或探测确保PPS始终保持良好的防护性能。

相比于传统的静态评估方法，本文所提出的动态评估方法在极端气候条件下表现更为突出。因为一个有经验的入侵者往往会在这种条件下实施入侵行动。依据此方法，PPS能更好的应对极端环境，大大提高其防护性能。这种方法也能为未来实物保护系统的设计评估及升级改造提供一定的理论依据。

在未来，通过大数据和人工智能等技术可以更加准确的发现PPS某些组件性能发现变化甚至失效的情况。而基于EASI模型的的实物保护系统动态评估方法能够及时有效进行评估计算，并通知系统采取相应措施，确保PPS的防护性能任何时候都能满足要求。