一、 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的目的

　　隨著“兩化融合”的進(jìn)程日益推進(jìn)，企業(yè)的業(yè)務(wù)需求和商業(yè)模式也在經(jīng)歷深刻的變革，傳統(tǒng)意義上相對(duì)封閉的工控系統(tǒng)，正在逐步打破“信息孤島”的局面，隨之而來的一個(gè)負(fù)面影響就是其不可避免的暴露在各種網(wǎng)絡(luò)攻擊、安全威脅之下。

　　2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）正式實(shí)施，網(wǎng)絡(luò)安全已經(jīng)提高到了一個(gè)前所未有的高度。在“第三章網(wǎng)絡(luò)運(yùn)行安全”的“第二節(jié)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”中明確說明：“國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！庇纱丝梢?，作為關(guān)鍵信息基礎(chǔ)設(shè)施的一部分，工業(yè)控制系統(tǒng)信息安全需要重點(diǎn)關(guān)注及重點(diǎn)保護(hù)。

　　不同行業(yè)的工業(yè)控制系統(tǒng)差異較大，有其各自的特殊性，如何貫徹習(xí)總書記的“要全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改”的要求是每一個(gè)工控安全從業(yè)者需要深入思考的問題。從風(fēng)險(xiǎn)評(píng)估入手，使用符合工控系統(tǒng)特點(diǎn)的理論、方法和工具，準(zhǔn)確發(fā)現(xiàn)工控系統(tǒng)存在的主要問題和潛在風(fēng)險(xiǎn)，才能更好的指導(dǎo)工控系統(tǒng)的安全防護(hù)，才能建立滿足生產(chǎn)需要的工控系統(tǒng)信息安全縱深防御體系。

　　二、 如何開展工控系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估

　　評(píng)估流程

　　圖：風(fēng)險(xiǎn)評(píng)估流程

　　評(píng)估范圍

　　工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估的范圍概括講包含如下三個(gè)大的方面：物理安全、技術(shù)安全和管理安全，其中每部分又可以劃分為許多小的方面。物理安全包含防雷、防火、防盜、溫濕度控制等方面；技術(shù)安全包括工控網(wǎng)絡(luò)安全、工控設(shè)備安全、工控主機(jī)的安全等，在具體的評(píng)估過程中，還要再具體細(xì)分，如邊界防護(hù)安全、工控協(xié)議安全、工控?cái)?shù)據(jù)安全等不同的內(nèi)容；管理安全通常涉及機(jī)構(gòu)、制度、流程、安全意識(shí)等。

　　評(píng)估方法

　　經(jīng)驗(yàn)分析：又稱為基于知識(shí)的分析方法，可以采用該方法找出當(dāng)前工控系統(tǒng)的安全現(xiàn)狀和安全基線之間的差距。

　　定性分析法：定性分析法主要是根據(jù)操作者的經(jīng)驗(yàn)知識(shí)、業(yè)界的一些標(biāo)準(zhǔn)和慣例等非量化方式對(duì)風(fēng)險(xiǎn)狀況作出判斷的過程，定性分析法操作起來相對(duì)簡單，為風(fēng)險(xiǎn)管理諸要素（資產(chǎn)價(jià)值、威脅出現(xiàn)的概率、弱點(diǎn)被利用的容易度、現(xiàn)有控制措施的效力等）的大小或高低程度定性分級(jí)，該方法具有很強(qiáng)的主觀性，同時(shí)也會(huì)因?yàn)椴僮髡叩慕?jīng)驗(yàn)和直覺偏差導(dǎo)致分析結(jié)果發(fā)生偏差，從而出現(xiàn)多次評(píng)估結(jié)果不一致的情況。

　　定量分析：是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值，當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果就都可以被量化了。簡單地說，定量分析就是試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。定量分析的優(yōu)點(diǎn)是評(píng)估結(jié)果用直觀的數(shù)據(jù)來表示，看起來一目了然。但是也存在為了量化而把復(fù)雜事物簡單化的問題，甚至有些風(fēng)險(xiǎn)要素因量化而被曲解。

　　不管是采用上述一種或者是多種方法，其核心就是根據(jù)威脅出現(xiàn)的頻率、脆弱性嚴(yán)重程度來確認(rèn)安全事件發(fā)生的可能性，同時(shí)利用資產(chǎn)的價(jià)值和脆弱性嚴(yán)重程度來評(píng)估安全事件造成的損失，最后通過安全事件的可能性和和損失來計(jì)算風(fēng)險(xiǎn)值，原理如圖所示：

　　圖：風(fēng)險(xiǎn)值原理圖

　　評(píng)估工具

　　風(fēng)險(xiǎn)評(píng)估過程中，可以利用一些輔助性的工具和方法來采集數(shù)據(jù)，包括：

　　問卷調(diào)查表：該表可以對(duì)資產(chǎn)、業(yè)務(wù)、歷史安全事件、管理制度等各方面的信息進(jìn)行搜集和統(tǒng)計(jì)。

　　檢查列表：是對(duì)某一評(píng)估對(duì)象進(jìn)行評(píng)估的具體條目。

　　人員訪談：通過訪談?wù)莆瞻踩贫?、安全意識(shí)、安全流程等信息，也可以了解一些沒有記錄在案的歷史信息。

　　漏洞掃描：通常是指用于工控系統(tǒng)的專業(yè)漏洞掃描工具，其內(nèi)置的漏洞庫既包含傳統(tǒng)IT系統(tǒng)的漏洞，更重要的是需要包含工控系統(tǒng)相關(guān)的漏洞。

　　漏洞挖掘：通常是指用于工控設(shè)備的專業(yè)漏洞挖掘工具，該類工具是基于模糊測試的理論，發(fā)現(xiàn)設(shè)備的未知漏洞。

　　工控審計(jì)：該工具主要用于收集工控系統(tǒng)的數(shù)據(jù)流量、網(wǎng)絡(luò)會(huì)話、操作變更等信息，發(fā)現(xiàn)一些潛在的安全威脅。

　　滲透測試：這不單指一種工具，而是評(píng)估人員利用工具和技術(shù)方法的行為集合，這是一種模擬黑客行為的漏洞探測活動(dòng)，既要發(fā)現(xiàn)漏洞，也要利用漏洞來展現(xiàn)一些攻擊的場景。

　　其他的一些工具可能包含無線評(píng)估工具、數(shù)據(jù)庫評(píng)估工具、中間件評(píng)估工具等。

　　三、 工控系統(tǒng)與IT系統(tǒng)風(fēng)險(xiǎn)評(píng)估的差別

　　在討論工控系統(tǒng)與IT系統(tǒng)風(fēng)險(xiǎn)評(píng)估的差別之前，我們先看二者自身有哪些本質(zhì)的區(qū)別。

　　表：工控系統(tǒng)與IT系統(tǒng)的區(qū)別

　　通過系統(tǒng)本身差別，我們自然可以推導(dǎo)出一些在開展風(fēng)險(xiǎn)評(píng)估方面的差別之處，主要體現(xiàn)在如下幾個(gè)方面：

　　評(píng)估的對(duì)象不同

　　IT系統(tǒng)風(fēng)險(xiǎn)評(píng)估的主要評(píng)估對(duì)象是IT系統(tǒng)的組成部分，如：IT網(wǎng)絡(luò)、辦公主機(jī)、路由器、交換機(jī)、數(shù)據(jù)庫等，但是在工控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估中，上述對(duì)象也會(huì)存在，但更重要的是工控系統(tǒng)的組成部分：如工控網(wǎng)絡(luò)、工業(yè)主機(jī)、工控設(shè)備、生產(chǎn)工藝等。

　　評(píng)估的工具不同

　　評(píng)估對(duì)象的不同決定了評(píng)估工具也有所差異，首先傳統(tǒng)IT系統(tǒng)風(fēng)險(xiǎn)評(píng)估中所使用的評(píng)估工具大多數(shù)可以應(yīng)用于工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估中；其次部分工具需要根據(jù)工控系統(tǒng)的特點(diǎn)進(jìn)行升級(jí)，如漏洞掃描工具在工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估中就要有工控的特色，漏洞庫要包含工控相關(guān)的漏洞；最后有些工具使用是工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估所獨(dú)有的，如工控漏洞挖掘工具就是用于對(duì)工控設(shè)備的未知漏洞挖掘，而一般不會(huì)應(yīng)用于IT系統(tǒng)風(fēng)險(xiǎn)評(píng)估中。

　　評(píng)估的標(biāo)準(zhǔn)不同

　　工控系統(tǒng)往往優(yōu)先級(jí)要高于IT系統(tǒng)，任何對(duì)生產(chǎn)造成影響的安全問題都會(huì)帶來直接的經(jīng)濟(jì)損失甚至是人員傷亡，因此同樣的評(píng)估對(duì)象其評(píng)估標(biāo)準(zhǔn)可能會(huì)有所不同，如：工業(yè)控制系統(tǒng)現(xiàn)場中根據(jù)實(shí)際控制、生產(chǎn)的需要，很多PLC室/DCS室、操作臺(tái)等都需要安置在生產(chǎn)一線，這樣就使得防盜報(bào)警系統(tǒng)、火災(zāi)自動(dòng)消防系統(tǒng)、防水檢測和報(bào)警、溫濕度自動(dòng)調(diào)節(jié)等被很多實(shí)際情況制約，其評(píng)估的標(biāo)準(zhǔn)與IT系統(tǒng)的機(jī)房就不能一概而論；同樣是主機(jī)防護(hù)措施，工業(yè)主機(jī)和辦公主機(jī)因?yàn)橛猛静煌?，U盤使用、軟件安裝的要求就不一樣，防護(hù)的要求也有所不同，防病毒軟件往往就不完全適合用于工業(yè)主機(jī)的安全防護(hù)。

　　四、 當(dāng)前工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估的局限性

　　工控系統(tǒng)的敏感性和時(shí)效性都要求比較高，因此技術(shù)性的評(píng)估設(shè)備在使用過程中，需要做好充分的風(fēng)險(xiǎn)識(shí)別和處置預(yù)案，如漏洞掃描原則上不能直接應(yīng)用于工控系統(tǒng)，而是通過在備用系統(tǒng)或者停產(chǎn)系統(tǒng)上漏掃的方式進(jìn)行。對(duì)工控系統(tǒng)進(jìn)行在線漏洞掃描很可能造成生產(chǎn)異常，在這方面是有很多真實(shí)案例：某一安全廠商受邀對(duì)國內(nèi)某著名火電集團(tuán)的工控系統(tǒng)做風(fēng)險(xiǎn)評(píng)估，由于使用在線的漏洞掃描方式，導(dǎo)致數(shù)據(jù)采集服務(wù)器宕機(jī)，從而造成關(guān)鍵生產(chǎn)數(shù)據(jù)丟失。

　　滲透測試作為風(fēng)險(xiǎn)評(píng)估的有效工具方法，其直觀性顯而易見，但是正所謂凡事有利就有弊，滲透測試的過程控制在工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估中尤其重要。如果滲透人員對(duì)工控系統(tǒng)了解不足，在滲透過程中有誤操作行為產(chǎn)生，那么很可能帶來直接的安全問題生產(chǎn)災(zāi)難，將測試變成了攻擊。

　　五、 工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估發(fā)展展望

　　工控安全從原來的“少量關(guān)注”到現(xiàn)在的“高度重視”，原因是多方面的：從政策面的驅(qū)動(dòng)日漸加大到工控安全事件逐年上升，從產(chǎn)業(yè)發(fā)展的需要到企業(yè)管理人員的安全意識(shí)提高，都帶動(dòng)了工控安全這個(gè)領(lǐng)域的不斷發(fā)展。

　　工控系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估既是工控安全全生命周期解決方案中不可或缺的一部分，同時(shí)也是工控安全防護(hù)方案的重要依據(jù)。隨著安全防護(hù)理論水平和產(chǎn)品技術(shù)的不斷發(fā)展，也推動(dòng)工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估在理論和方法上的不斷進(jìn)步。

　　企業(yè)重視程度越來越高

　　從當(dāng)前現(xiàn)狀來看，企業(yè)從原來對(duì)工控安全不夠重視到今天主動(dòng)進(jìn)行工控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，這些變化充分表明：企業(yè)對(duì)工控安全的理解越來越深，工控安全不再是安全公司的“獨(dú)角戲”，工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估會(huì)成為企業(yè)一種常態(tài)化的安全措施。

　　評(píng)估方法和工具提升

　　工控系統(tǒng)本身的復(fù)雜性和多樣性對(duì)評(píng)估人員的技能要求非常高，因此評(píng)估工具和評(píng)估方法的進(jìn)步有助于提升評(píng)估的效率和質(zhì)量，為數(shù)不少的工控安全解決方案供應(yīng)商正在不斷努力，在積累評(píng)估經(jīng)驗(yàn)的同時(shí)，也在方案和工具方面不斷推陳出新，

　　評(píng)估組織和人員不斷增加

　　當(dāng)工控安全的需求在不斷釋放時(shí)，開展工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估的機(jī)構(gòu)和參與評(píng)估的人員也在不斷增加，盡管良莠不齊，但是大浪淘沙，真正專注在工控安全領(lǐng)域耕耘的公司才會(huì)在未來的市場競爭中立于不敗之地。