工业控制系统信息安全风险评估浅谈

　　1、工业控制系统信息安全风险评估的目的

　　随着“两化融合”的进程日益推进，企业的业务需求和商业模式也在经历深刻的变革，传统意义上相对封闭的工控系统，正在逐步打破“信息孤岛”的局面，随之而来的一个负面影响就是其不可避免的暴露在各种网络攻击、安全威胁之下。

　　2017年6月1日，《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施，网络安全已经提高到了一个前所未有的高度。在“第三章网络运行安全”的“第二节关键信息基础设施的运行安全”中明确说明：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”由此可见，作为关键信息基础设施的一部分，工业控制系统信息安全需要重点关注及重点保护。

　　不同行业的工业控制系统差异较大，有其各自的特殊性，如何贯彻习总书记的“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”的要求是每一个工控安全从业者需要深入思考的问题。从风险评估入手，使用符合工控系统特点的理论、方法和工具，准确发现工控系统存在的主要问题和潜在风险，才能更好的指导工控系统的安全防护，才能建立满足生产需要的工控系统信息安全纵深防御体系。

　　2、如何开展工控系统信息安全风险评估

　　(1)评估流程

　　图1：风险评估流程

　　(2)评估范围

　　工控系统风险评估的范围概括讲包含如下三个大的方面：物理安全、技术安全和管理安全，其中每部分又可以划分为许多小的方面。物理安全包含防雷、防火、防盗、温湿度控制等方面;技术安全包括工控网络安全、工控设备安全、工控主机的安全等，在具体的评估过程中，还要再具体细分，如边界防护安全、工控协议安全、工控数据安全等不同的内容;管理安全通常涉及机构、制度、流程、安全意识等。

　　(3)评估方法

　　经验分析：又称为基于知识的分析方法，可以采用该方法找出当前工控系统的安全现状和安全基线之间的差距。

　　定性分析法：定性分析法主要是根据操作者的经验知识、业界的一些标准和惯例等非量化方式对风险状况作出判断的过程，定性分析法操作起来相对简单，为风险管理诸要素(资产价值、威胁出现的概率、弱点被利用的容易度、现有控制措施的效力等)的大小或高低程度定性分级，该方法具有很强的主观性，同时也会因为操作者的经验和直觉偏差导致分析结果发生偏差，从而出现多次评估结果不一致的情况。

　　定量分析：是对构成风险的各个要素和潜在损失的水平赋予数值，当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值，风险评估的整个过程和结果就都可以被量化了。简单地说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。定量分析的优点是评估结果用直观的数据来表示，看起来一目了然。但是也存在为了量化而把复杂事物简单化的问题，甚至有些风险要素因量化而被曲解

　　不管是采用上述一种或者是多种方法，其核心就是根据威胁出现的频率、脆弱性严重程度来确认安全事件发生的可能性，同时利用资产的价值和脆弱性严重程度来评估安全事件造成的损失，最后通过安全事件的可能性和和损失来计算风险值，原理如图所示：

　　图2：风险值原理图

　　(4)评估工具

　　风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：

　　问卷调查表：该表可以对资产、业务、历史安全事件、管理制度等各方面的信息进行搜集和统计。

　　检查列表：是对某一评估对象进行评估的具体条目。

　　人员访谈：通过访谈掌握安全制度、安全意识、安全流程等信息，也可以了解一些没有记录在案的历史信息。

　　漏洞扫描：通常是指用于工控系统的专业漏洞扫描工具，其内置的漏洞库既包含传统IT系统的漏洞，更重要的是需要包含工控系统相关的漏洞。

　　漏洞挖掘：通常是指用于工控设备的专业漏洞挖掘工具，该类工具是基于模糊测试的理论，发现设备的未知漏洞。

　　工控审计：该工具主要用于收集工控系统的数据流量、网络会话、操作变更等信息，发现一些潜在的安全威胁。

　　渗透测试：这不单指一种工具，而是评估人员利用工具和技术方法的行为集合，这是一种模拟黑客行为的漏洞探测活动，既要发现漏洞，也要利用漏洞来展现一些攻击的场景。

　　其他的一些工具可能包含无线评估工具、数据库评估工具、中间件评估工具等。

　　3、工控系统与IT系统风险评估的差别

　　在讨论工控系统与IT系统风险评估的差别之前，我们先看二者自身有哪些本质的区别。

　　表1：工控系统与IT系统的区别

　　通过系统本身差别，我们自然可以推导出一些在开展风险评估方面的差别之处，主要体现在如下几个方面：

　　(1)评估的对象不同

　　IT系统风险评估的主要评估对象是IT系统的组成部分，如：IT网络、办公主机、路由器、交换机、数据库等，但是在工控系统的风险评估中，上述对象也会存在，但更重要的是工控系统的组成部分：如工控网络、工业主机、工控设备、生产工艺等。

　　(2)评估的工具不同

　　评估对象的不同决定了评估工具也有所差异，首先传统IT系统风险评估中所使用的评估工具大多数可以应用于工控系统风险评估中;其次部分工具需要根据工控系统的特点进行升级，如漏洞扫描工具在工控系统风险评估中就要有工控的特色，漏洞库要包含工控相关的漏洞;最后有些工具使用是工控系统风险评估所独有的，如工控漏洞挖掘工具就是用于对工控设备的未知漏洞挖掘，而一般不会应用于IT系统风险评估中。

　　(3)评估的标准不同

　　工控系统往往优先级要高于IT系统，任何对生产造成影响的安全问题都会带来直接的经济损失甚至是人员伤亡，因此同样的评估对象其评估标准可能会有所不同，如：工业控制系统现场中根据实际控制、生产的需要，很多PLC室/DCS室、操作台等都需要安置在生产一线，这样就使得防盗报警系统、火灾自动消防系统、防水检测和报警、温湿度自动调节等被很多实际情况制约，其评估的标准与IT系统的机房就不能一概而论;同样是主机防护措施，工业主机和办公主机因为用途不同，U盘使用、软件安装的要求就不一样，防护的要求也有所不同，防病毒软件往往就不完全适合用于工业主机的安全防护。

　　4、当前工控系统风险评估的局限性

　　工控系统的敏感性和时效性都要求比较高，因此技术性的评估设备在使用过程中，需要做好充分的风险识别和处置预案，如漏洞扫描原则上不能直接应用于工控系统，而是通过在备用系统或者停产系统上漏扫的方式进行。对工控系统进行在线漏洞扫描很可能造成生产异常，在这方面是有很多真实案例：某一安全厂商受邀对国内某著名火电集团的工控系统做风险评估，由于使用在线的漏洞扫描方式，导致数据采集服务器宕机，从而造成关键生产数据丢失。

　　渗透测试作为风险评估的有效工具方法，其直观性显而易见，但是正所谓凡事有利就有弊，渗透测试的过程控制在工控系统风险评估中尤其重要。如果渗透人员对工控系统了解不足，在渗透过程中有误操作行为产生，那么很可能带来直接的安全问题生产灾难，将测试变成了攻击。

　　5、工控系统风险评估发展展望

　　工控安全从原来的“少量关注”到现在的“高度重视”，原因是多方面的：从政策面的驱动日渐加大到工控安全事件逐年上升，从产业发展的需要到企业管理人员的安全意识提高，都带动了工控安全这个领域的不断发展。

　　工控系统信息安全风险评估既是工控安全全生命周期解决方案中不可或缺的一部分，同时也是工控安全防护方案的重要依据。随着安全防护理论水平和产品技术的不断发展，也推动工控系统风险评估在理论和方法上的不断进步。

　　(1)企业重视程度越来越高

　　从当前现状来看，企业从原来对工控安全不够重视到今天主动进行工控系统的风险评估，这些变化充分表明：企业对工控安全的理解越来越深，工控安全不再是安全公司的“独角戏”，工控系统风险评估会成为企业一种常态化的安全措施。

　　(2)评估方法和工具提升

　　工控系统本身的复杂性和多样性对评估人员的技能要求非常高，因此评估工具和评估方法的进步有助于提升评估的效率和质量，为数不少的工控安全解决方案供应商正在不断努力，在积累评估经验的同时，也在方案和工具方面不断推陈出新，

　　(3)评估组织和人员不断增加

　　当工控安全的需求在不断释放时，开展工控系统风险评估的机构和参与评估的人员也在不断增加，尽管良莠不齐，但是大浪淘沙，真正专注在工控安全领域耕耘的公司才会在未来的市场竞争中立于不败之地。

　　声明：本文来自CAA发电自动化公众号，版权归作者所有。文章内容仅代表作者独立观点，不代表万方安全立场，转载目的在于传递更多信息。如有侵权，请联系删除。