一、 工業(yè)控制系統(tǒng)信息安全風險評估的目的

　　隨著“兩化融合”的進程日益推進，企業(yè)的業(yè)務需求和商業(yè)模式也在經歷深刻的變革，傳統(tǒng)意義上相對封閉的工控系統(tǒng)，正在逐步打破“信息孤島”的局面，隨之而來的一個負面影響就是其不可避免的暴露在各種網(wǎng)絡攻擊、安全威脅之下。

　　2017年6月1日，《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）正式實施，網(wǎng)絡安全已經提高到了一個前所未有的高度。在“第三章網(wǎng)絡運行安全”的“第二節(jié)關鍵信息基礎設施的運行安全”中明確說明：“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。”由此可見，作為關鍵信息基礎設施的一部分，工業(yè)控制系統(tǒng)信息安全需要重點關注及重點保護。

　　不同行業(yè)的工業(yè)控制系統(tǒng)差異較大，有其各自的特殊性，如何貫徹習總書記的“要全面加強網(wǎng)絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改”的要求是每一個工控安全從業(yè)者需要深入思考的問題。從風險評估入手，使用符合工控系統(tǒng)特點的理論、方法和工具，準確發(fā)現(xiàn)工控系統(tǒng)存在的主要問題和潛在風險，才能更好的指導工控系統(tǒng)的安全防護，才能建立滿足生產需要的工控系統(tǒng)信息安全縱深防御體系。

　　二、 如何開展工控系統(tǒng)信息安全風險評估

　　評估流程

　　圖：風險評估流程

　　評估范圍

　　工控系統(tǒng)風險評估的范圍概括講包含如下三個大的方面：物理安全、技術安全和管理安全，其中每部分又可以劃分為許多小的方面。物理安全包含防雷、防火、防盜、溫濕度控制等方面；技術安全包括工控網(wǎng)絡安全、工控設備安全、工控主機的安全等，在具體的評估過程中，還要再具體細分，如邊界防護安全、工控協(xié)議安全、工控數(shù)據(jù)安全等不同的內容；管理安全通常涉及機構、制度、流程、安全意識等。

　　評估方法

　　經驗分析：又稱為基于知識的分析方法，可以采用該方法找出當前工控系統(tǒng)的安全現(xiàn)狀和安全基線之間的差距。

　　定性分析法：定性分析法主要是根據(jù)操作者的經驗知識、業(yè)界的一些標準和慣例等非量化方式對風險狀況作出判斷的過程，定性分析法操作起來相對簡單，為風險管理諸要素（資產價值、威脅出現(xiàn)的概率、弱點被利用的容易度、現(xiàn)有控制措施的效力等）的大小或高低程度定性分級，該方法具有很強的主觀性，同時也會因為操作者的經驗和直覺偏差導致分析結果發(fā)生偏差，從而出現(xiàn)多次評估結果不一致的情況。

　　定量分析：是對構成風險的各個要素和潛在損失的水平賦予數(shù)值，當度量風險的所有要素（資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，風險評估的整個過程和結果就都可以被量化了。簡單地說，定量分析就是試圖從數(shù)字上對安全風險進行分析評估的一種方法。定量分析的優(yōu)點是評估結果用直觀的數(shù)據(jù)來表示，看起來一目了然。但是也存在為了量化而把復雜事物簡單化的問題，甚至有些風險要素因量化而被曲解。

　　不管是采用上述一種或者是多種方法，其核心就是根據(jù)威脅出現(xiàn)的頻率、脆弱性嚴重程度來確認安全事件發(fā)生的可能性，同時利用資產的價值和脆弱性嚴重程度來評估安全事件造成的損失，最后通過安全事件的可能性和和損失來計算風險值，原理如圖所示：

　　圖：風險值原理圖

　　評估工具

　　風險評估過程中，可以利用一些輔助性的工具和方法來采集數(shù)據(jù)，包括：

　　問卷調查表：該表可以對資產、業(yè)務、歷史安全事件、管理制度等各方面的信息進行搜集和統(tǒng)計。

　　檢查列表：是對某一評估對象進行評估的具體條目。

　　人員訪談：通過訪談掌握安全制度、安全意識、安全流程等信息，也可以了解一些沒有記錄在案的歷史信息。

　　漏洞掃描：通常是指用于工控系統(tǒng)的專業(yè)漏洞掃描工具，其內置的漏洞庫既包含傳統(tǒng)IT系統(tǒng)的漏洞，更重要的是需要包含工控系統(tǒng)相關的漏洞。

　　漏洞挖掘：通常是指用于工控設備的專業(yè)漏洞挖掘工具，該類工具是基于模糊測試的理論，發(fā)現(xiàn)設備的未知漏洞。

　　工控審計：該工具主要用于收集工控系統(tǒng)的數(shù)據(jù)流量、網(wǎng)絡會話、操作變更等信息，發(fā)現(xiàn)一些潛在的安全威脅。

　　滲透測試：這不單指一種工具，而是評估人員利用工具和技術方法的行為集合，這是一種模擬黑客行為的漏洞探測活動，既要發(fā)現(xiàn)漏洞，也要利用漏洞來展現(xiàn)一些攻擊的場景。

　　其他的一些工具可能包含無線評估工具、數(shù)據(jù)庫評估工具、中間件評估工具等。

　　三、 工控系統(tǒng)與IT系統(tǒng)風險評估的差別

　　在討論工控系統(tǒng)與IT系統(tǒng)風險評估的差別之前，我們先看二者自身有哪些本質的區(qū)別。

　　表：工控系統(tǒng)與IT系統(tǒng)的區(qū)別

　　通過系統(tǒng)本身差別，我們自然可以推導出一些在開展風險評估方面的差別之處，主要體現(xiàn)在如下幾個方面：

　　評估的對象不同

　　IT系統(tǒng)風險評估的主要評估對象是IT系統(tǒng)的組成部分，如：IT網(wǎng)絡、辦公主機、路由器、交換機、數(shù)據(jù)庫等，但是在工控系統(tǒng)的風險評估中，上述對象也會存在，但更重要的是工控系統(tǒng)的組成部分：如工控網(wǎng)絡、工業(yè)主機、工控設備、生產工藝等。

　　評估的工具不同

　　評估對象的不同決定了評估工具也有所差異，首先傳統(tǒng)IT系統(tǒng)風險評估中所使用的評估工具大多數(shù)可以應用于工控系統(tǒng)風險評估中；其次部分工具需要根據(jù)工控系統(tǒng)的特點進行升級，如漏洞掃描工具在工控系統(tǒng)風險評估中就要有工控的特色，漏洞庫要包含工控相關的漏洞；最后有些工具使用是工控系統(tǒng)風險評估所獨有的，如工控漏洞挖掘工具就是用于對工控設備的未知漏洞挖掘，而一般不會應用于IT系統(tǒng)風險評估中。

　　評估的標準不同

　　工控系統(tǒng)往往優(yōu)先級要高于IT系統(tǒng)，任何對生產造成影響的安全問題都會帶來直接的經濟損失甚至是人員傷亡，因此同樣的評估對象其評估標準可能會有所不同，如：工業(yè)控制系統(tǒng)現(xiàn)場中根據(jù)實際控制、生產的需要，很多PLC室/DCS室、操作臺等都需要安置在生產一線，這樣就使得防盜報警系統(tǒng)、火災自動消防系統(tǒng)、防水檢測和報警、溫濕度自動調節(jié)等被很多實際情況制約，其評估的標準與IT系統(tǒng)的機房就不能一概而論；同樣是主機防護措施，工業(yè)主機和辦公主機因為用途不同，U盤使用、軟件安裝的要求就不一樣，防護的要求也有所不同，防病毒軟件往往就不完全適合用于工業(yè)主機的安全防護。

　　四、 當前工控系統(tǒng)風險評估的局限性

　　工控系統(tǒng)的敏感性和時效性都要求比較高，因此技術性的評估設備在使用過程中，需要做好充分的風險識別和處置預案，如漏洞掃描原則上不能直接應用于工控系統(tǒng)，而是通過在備用系統(tǒng)或者停產系統(tǒng)上漏掃的方式進行。對工控系統(tǒng)進行在線漏洞掃描很可能造成生產異常，在這方面是有很多真實案例：某一安全廠商受邀對國內某著名火電集團的工控系統(tǒng)做風險評估，由于使用在線的漏洞掃描方式，導致數(shù)據(jù)采集服務器宕機，從而造成關鍵生產數(shù)據(jù)丟失。

　　滲透測試作為風險評估的有效工具方法，其直觀性顯而易見，但是正所謂凡事有利就有弊，滲透測試的過程控制在工控系統(tǒng)風險評估中尤其重要。如果滲透人員對工控系統(tǒng)了解不足，在滲透過程中有誤操作行為產生，那么很可能帶來直接的安全問題生產災難，將測試變成了攻擊。

　　五、 工控系統(tǒng)風險評估發(fā)展展望

　　工控安全從原來的“少量關注”到現(xiàn)在的“高度重視”，原因是多方面的：從政策面的驅動日漸加大到工控安全事件逐年上升，從產業(yè)發(fā)展的需要到企業(yè)管理人員的安全意識提高，都帶動了工控安全這個領域的不斷發(fā)展。

　　工控系統(tǒng)信息安全風險評估既是工控安全全生命周期解決方案中不可或缺的一部分，同時也是工控安全防護方案的重要依據(jù)。隨著安全防護理論水平和產品技術的不斷發(fā)展，也推動工控系統(tǒng)風險評估在理論和方法上的不斷進步。

　　企業(yè)重視程度越來越高

　　從當前現(xiàn)狀來看，企業(yè)從原來對工控安全不夠重視到今天主動進行工控系統(tǒng)的風險評估，這些變化充分表明：企業(yè)對工控安全的理解越來越深，工控安全不再是安全公司的“獨角戲”，工控系統(tǒng)風險評估會成為企業(yè)一種常態(tài)化的安全措施。

　　評估方法和工具提升

　　工控系統(tǒng)本身的復雜性和多樣性對評估人員的技能要求非常高，因此評估工具和評估方法的進步有助于提升評估的效率和質量，為數(shù)不少的工控安全解決方案供應商正在不斷努力，在積累評估經驗的同時，也在方案和工具方面不斷推陳出新，

　　評估組織和人員不斷增加

　　當工控安全的需求在不斷釋放時，開展工控系統(tǒng)風險評估的機構和參與評估的人員也在不斷增加，盡管良莠不齊，但是大浪淘沙，真正專注在工控安全領域耕耘的公司才會在未來的市場競爭中立于不敗之地。