一、 工業控制系統信息安全風險評估的目的

　　隨著“兩化融合”的進程日益推進，企業的業務需求和商業模式也在經歷深刻的變革，傳統意義上相對封閉的工控系統，正在逐步打破“信息孤島”的局面，隨之而來的一個負面影響就是其不可避免的暴露在各種網絡攻擊、安全威脅之下。

　　2017年6月1日，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）正式實施，網絡安全已經提高到了一個前所未有的高度。在“第三章網絡運行安全”的“第二節關鍵信息基礎設施的運行安全”中明確說明：“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護?！庇纱丝梢?，作為關鍵信息基礎設施的一部分，工業控制系統信息安全需要重點關注及重點保護。

　　不同行業的工業控制系統差異較大，有其各自的特殊性，如何貫徹習總書記的“要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改”的要求是每一個工控安全從業者需要深入思考的問題。從風險評估入手，使用符合工控系統特點的理論、方法和工具，準確發現工控系統存在的主要問題和潛在風險，才能更好的指導工控系統的安全防護，才能建立滿足生產需要的工控系統信息安全縱深防御體系。

　　二、 如何開展工控系統信息安全風險評估

　　評估流程

　　圖：風險評估流程

　　評估范圍

　　工控系統風險評估的范圍概括講包含如下三個大的方面：物理安全、技術安全和管理安全，其中每部分又可以劃分為許多小的方面。物理安全包含防雷、防火、防盜、溫濕度控制等方面；技術安全包括工控網絡安全、工控設備安全、工控主機的安全等，在具體的評估過程中，還要再具體細分，如邊界防護安全、工控協議安全、工控數據安全等不同的內容；管理安全通常涉及機構、制度、流程、安全意識等。

　　評估方法

　　經驗分析：又稱為基于知識的分析方法，可以采用該方法找出當前工控系統的安全現狀和安全基線之間的差距。

　　定性分析法：定性分析法主要是根據操作者的經驗知識、業界的一些標準和慣例等非量化方式對風險狀況作出判斷的過程，定性分析法操作起來相對簡單，為風險管理諸要素（資產價值、威脅出現的概率、弱點被利用的容易度、現有控制措施的效力等）的大小或高低程度定性分級，該方法具有很強的主觀性，同時也會因為操作者的經驗和直覺偏差導致分析結果發生偏差，從而出現多次評估結果不一致的情況。

　　定量分析：是對構成風險的各個要素和潛在損失的水平賦予數值，當度量風險的所有要素（資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，風險評估的整個過程和結果就都可以被量化了。簡單地說，定量分析就是試圖從數字上對安全風險進行分析評估的一種方法。定量分析的優點是評估結果用直觀的數據來表示，看起來一目了然。但是也存在為了量化而把復雜事物簡單化的問題，甚至有些風險要素因量化而被曲解。

　　不管是采用上述一種或者是多種方法，其核心就是根據威脅出現的頻率、脆弱性嚴重程度來確認安全事件發生的可能性，同時利用資產的價值和脆弱性嚴重程度來評估安全事件造成的損失，最后通過安全事件的可能性和和損失來計算風險值，原理如圖所示：

　　圖：風險值原理圖

　　評估工具

　　風險評估過程中，可以利用一些輔助性的工具和方法來采集數據，包括：

　　問卷調查表：該表可以對資產、業務、歷史安全事件、管理制度等各方面的信息進行搜集和統計。

　　檢查列表：是對某一評估對象進行評估的具體條目。

　　人員訪談：通過訪談掌握安全制度、安全意識、安全流程等信息，也可以了解一些沒有記錄在案的歷史信息。

　　漏洞掃描：通常是指用于工控系統的專業漏洞掃描工具，其內置的漏洞庫既包含傳統IT系統的漏洞，更重要的是需要包含工控系統相關的漏洞。

　　漏洞挖掘：通常是指用于工控設備的專業漏洞挖掘工具，該類工具是基于模糊測試的理論，發現設備的未知漏洞。

　　工控審計：該工具主要用于收集工控系統的數據流量、網絡會話、操作變更等信息，發現一些潛在的安全威脅。

　　滲透測試：這不單指一種工具，而是評估人員利用工具和技術方法的行為集合，這是一種模擬黑客行為的漏洞探測活動，既要發現漏洞，也要利用漏洞來展現一些攻擊的場景。

　　其他的一些工具可能包含無線評估工具、數據庫評估工具、中間件評估工具等。

　　三、 工控系統與IT系統風險評估的差別

　　在討論工控系統與IT系統風險評估的差別之前，我們先看二者自身有哪些本質的區別。

　　表：工控系統與IT系統的區別

　　通過系統本身差別，我們自然可以推導出一些在開展風險評估方面的差別之處，主要體現在如下幾個方面：

　　評估的對象不同

　　IT系統風險評估的主要評估對象是IT系統的組成部分，如：IT網絡、辦公主機、路由器、交換機、數據庫等，但是在工控系統的風險評估中，上述對象也會存在，但更重要的是工控系統的組成部分：如工控網絡、工業主機、工控設備、生產工藝等。

　　評估的工具不同

　　評估對象的不同決定了評估工具也有所差異，首先傳統IT系統風險評估中所使用的評估工具大多數可以應用于工控系統風險評估中；其次部分工具需要根據工控系統的特點進行升級，如漏洞掃描工具在工控系統風險評估中就要有工控的特色，漏洞庫要包含工控相關的漏洞；最后有些工具使用是工控系統風險評估所獨有的，如工控漏洞挖掘工具就是用于對工控設備的未知漏洞挖掘，而一般不會應用于IT系統風險評估中。

　　評估的標準不同

　　工控系統往往優先級要高于IT系統，任何對生產造成影響的安全問題都會帶來直接的經濟損失甚至是人員傷亡，因此同樣的評估對象其評估標準可能會有所不同，如：工業控制系統現場中根據實際控制、生產的需要，很多PLC室/DCS室、操作臺等都需要安置在生產一線，這樣就使得防盜報警系統、火災自動消防系統、防水檢測和報警、溫濕度自動調節等被很多實際情況制約，其評估的標準與IT系統的機房就不能一概而論；同樣是主機防護措施，工業主機和辦公主機因為用途不同，U盤使用、軟件安裝的要求就不一樣，防護的要求也有所不同，防病毒軟件往往就不完全適合用于工業主機的安全防護。

　　四、 當前工控系統風險評估的局限性

　　工控系統的敏感性和時效性都要求比較高，因此技術性的評估設備在使用過程中，需要做好充分的風險識別和處置預案，如漏洞掃描原則上不能直接應用于工控系統，而是通過在備用系統或者停產系統上漏掃的方式進行。對工控系統進行在線漏洞掃描很可能造成生產異常，在這方面是有很多真實案例：某一安全廠商受邀對國內某著名火電集團的工控系統做風險評估，由于使用在線的漏洞掃描方式，導致數據采集服務器宕機，從而造成關鍵生產數據丟失。

　　滲透測試作為風險評估的有效工具方法，其直觀性顯而易見，但是正所謂凡事有利就有弊，滲透測試的過程控制在工控系統風險評估中尤其重要。如果滲透人員對工控系統了解不足，在滲透過程中有誤操作行為產生，那么很可能帶來直接的安全問題生產災難，將測試變成了攻擊。

　　五、 工控系統風險評估發展展望

　　工控安全從原來的“少量關注”到現在的“高度重視”，原因是多方面的：從政策面的驅動日漸加大到工控安全事件逐年上升，從產業發展的需要到企業管理人員的安全意識提高，都帶動了工控安全這個領域的不斷發展。

　　工控系統信息安全風險評估既是工控安全全生命周期解決方案中不可或缺的一部分，同時也是工控安全防護方案的重要依據。隨著安全防護理論水平和產品技術的不斷發展，也推動工控系統風險評估在理論和方法上的不斷進步。

　　企業重視程度越來越高

　　從當前現狀來看，企業從原來對工控安全不夠重視到今天主動進行工控系統的風險評估，這些變化充分表明：企業對工控安全的理解越來越深，工控安全不再是安全公司的“獨角戲”，工控系統風險評估會成為企業一種常態化的安全措施。

　　評估方法和工具提升

　　工控系統本身的復雜性和多樣性對評估人員的技能要求非常高，因此評估工具和評估方法的進步有助于提升評估的效率和質量，為數不少的工控安全解決方案供應商正在不斷努力，在積累評估經驗的同時，也在方案和工具方面不斷推陳出新，

　　評估組織和人員不斷增加

　　當工控安全的需求在不斷釋放時，開展工控系統風險評估的機構和參與評估的人員也在不斷增加，盡管良莠不齊，但是大浪淘沙，真正專注在工控安全領域耕耘的公司才會在未來的市場競爭中立于不敗之地。