★蔡麗麗中衡特爾維檢測技術(shù)（北京）有限公司

關(guān)鍵詞：數字化；智能化；工業(yè)控制系統；風(fēng)險評估

1　引言

黨的二十大報告提出，到2035年基本實(shí)現新型工業(yè)化。在推動(dòng)新階段新型工業(yè)化進(jìn)程中，數字化、智能化成為工業(yè)企業(yè)技改升級的重要抓手。繼工業(yè)互聯(lián)網(wǎng)賦能之后，工業(yè)企業(yè)圍繞“數字化轉型”“智能化升級”，加強新一代信息技術(shù)與工業(yè)生產(chǎn)的集成應用，加速發(fā)展新質(zhì)生產(chǎn)力。網(wǎng)絡(luò )化是數字化、智能化的基礎資源保障和數據要素來(lái)源，經(jīng)典工業(yè)控制系統模型在網(wǎng)絡(luò )化背景下已發(fā)生改變，能否針對工業(yè)控制系統實(shí)施信息安全風(fēng)險控制、防范化解網(wǎng)絡(luò )和數據安全風(fēng)險隱患，成為工業(yè)企業(yè)順利實(shí)現轉型升級的關(guān)鍵因素。

2　新型工業(yè)化背景下的工業(yè)控制系統風(fēng)險

經(jīng)典的工業(yè)控制系統層次結構圖，從上到下依次為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監控層、現場(chǎng)控制層和現場(chǎng)設備層。隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展，以及企業(yè)的數字化轉型、智能化升級提速，該層次已不能完全適用。新技術(shù)、新裝備的使用，以及工業(yè)企業(yè)上云等，使得對應風(fēng)險評估的資產(chǎn)、脆弱性和威脅也發(fā)生了變化。

（1）新型工業(yè)化背景下的工業(yè)控制系統風(fēng)險現狀

經(jīng)典工業(yè)控制系統通常包括SCADA（監控和數采系統）、DCS（分布式控制系統）、PLC（可編程邏輯控制器）等，應用環(huán)境封閉、獨立，信息安全隱患不足為慮。我國大部分工業(yè)控制系統建設較早，在信息技術(shù)欠發(fā)達時(shí)代考慮的信息安全較少，且并沒(méi)有隨著(zhù)科技發(fā)展而升級，導致其自身安全能力不足^[1]。隨著(zhù)新技術(shù)如云計算、大數據、人工智能、邊緣計算等在工業(yè)生產(chǎn)中的應用，以及越來(lái)越多的軟硬件設施包括智能終端、采集設備等接入網(wǎng)絡(luò )，打破了相對封閉可信的傳統工業(yè)控制系統環(huán)境，OT、IT、DT、CT緊密融合，安全邊界逐漸模糊，互聯(lián)網(wǎng)的威脅進(jìn)入工業(yè)控制系統，工業(yè)控制系統的脆弱性被黑客瞄準。與此同時(shí)，邊緣計算平臺、云平臺接入工業(yè)控制系統，匯聚了海量的多源異構數據，使得數據處理和利用不斷促進(jìn)數字化、智能化，但也引入了數據安全風(fēng)險。所以傳統的僅針對工業(yè)控制系統的信息安全風(fēng)險評估在新形勢下的適用性、有效性大幅下降，從而催生了新型工業(yè)化背景下的工業(yè)控制系統信息安全風(fēng)險評估，進(jìn)而為數智升級提供可靠保障。

（2）工業(yè)企業(yè)上云導致的風(fēng)險

《2023上半年云安全態(tài)勢報告》顯示，工業(yè)云是遭受攻擊最多的三大行業(yè)之一^[2]。在數字化轉型過(guò)程中，工業(yè)企業(yè)使用工業(yè)互聯(lián)網(wǎng)平臺、邊緣計算平臺存儲、處理數據。對于工業(yè)互聯(lián)網(wǎng)平臺，涉及到如MES（生產(chǎn)過(guò)程執行系統）、PLM（產(chǎn)品生命周期管理系統）等系統的云化部署、本地部署的常規工業(yè)控制系統數據上云。對于邊緣計算平臺，通過(guò)控制器、網(wǎng)關(guān)或服務(wù)器連接大量的現場(chǎng)設備、機床或產(chǎn)線(xiàn)，使得存儲和計算下移。工業(yè)互聯(lián)網(wǎng)平臺、邊緣計算平臺帶來(lái)的其自身的風(fēng)險評估情況、接入安全風(fēng)險及公有云安全風(fēng)險管理，都將成為工業(yè)控制系統信息安全風(fēng)險評估考量的因素。

（3）智能資產(chǎn)導致的風(fēng)險

在智能化升級過(guò)程中，智能裝備如數控機床、數控電氣，智能設備如工業(yè)機器人、智能車(chē)載等資產(chǎn)的廣泛使用，使得工業(yè)控制系統呈現新的風(fēng)險因素。智能資產(chǎn)系統可能存在漏洞及后門(mén)，攻擊者可以通過(guò)漏洞控制設備、通過(guò)后門(mén)竊取數據，造成工業(yè)企業(yè)的損失。另外，智能資產(chǎn)所在的網(wǎng)絡(luò )區域，若未使用防火墻、網(wǎng)閘等邊界安全設備，同時(shí)又使用智能終端通過(guò)互聯(lián)網(wǎng)對其進(jìn)行遠程監測時(shí)，IT和OT的邊界消失，極易遭受來(lái)自IT端的網(wǎng)絡(luò )攻擊。因此，智能資產(chǎn)的信息安全風(fēng)險評估成為工業(yè)控制系統風(fēng)險評估的一部分。

（4）供應鏈安全導致的風(fēng)險

新型工業(yè)化背景下，工業(yè)企業(yè)應用固件、軟件、組件和系統越來(lái)越多，軟件或系統封裝層級越來(lái)越高，針對供應鏈各個(gè)環(huán)節的攻擊急劇上升，導致整體供應鏈安全威脅越來(lái)越大。針對供應鏈的安全攻擊事件呈快速增長(cháng)態(tài)勢，Gartner曾預測，到2025年全球至少45%的企業(yè)機構將遭遇軟件供應鏈攻擊。再者軟件開(kāi)發(fā)工具，若植入惡意代碼，將會(huì )編譯出缺陷代碼。曾疑似IOS開(kāi)發(fā)工具Xcode被植入了惡意代碼，用該工具編譯的App會(huì )泄漏手機隱私信息。因此開(kāi)展供應鏈安全風(fēng)險評估，是對新型工業(yè)化背景下工業(yè)控制系統要求的細化，可以幫助企業(yè)識別供應鏈安全弱點(diǎn)、實(shí)施控制措施、提升其關(guān)鍵環(huán)節的安全防護能力。

3　新型工業(yè)化背景下的工業(yè)控制系統信息安全風(fēng)險評估依據

我國高度重視工業(yè)控制系統信息安全風(fēng)險評估，多部法律法規提出了風(fēng)險評估要求，多項國家標準對風(fēng)險評估實(shí)施過(guò)程提供了指導，針對風(fēng)險評估進(jìn)行已有安全措施確認。新階段的工業(yè)企業(yè)風(fēng)險評估不能僅遵守工業(yè)控制系統相關(guān)的風(fēng)險評估，而應能更適應聯(lián)網(wǎng)化、數字化、智能化的發(fā)展趨勢，為企業(yè)數智升級提供安全保障。

（1）法律法規對工業(yè)控制系統風(fēng)險評估的規定

《中華人民共和國網(wǎng)絡(luò )安全法》規定：國家實(shí)行網(wǎng)絡(luò )安全等級保護制度，國家網(wǎng)信部門(mén)協(xié)調有關(guān)部門(mén)建立健全網(wǎng)絡(luò )安全風(fēng)險評估和應急工作機制，國家推進(jìn)網(wǎng)絡(luò )安全社會(huì )化服務(wù)體系建設，鼓勵有關(guān)企業(yè)、機構開(kāi)展網(wǎng)絡(luò )安全認證、檢測和風(fēng)險評估等安全服務(wù)?！吨腥A人民共和國數據安全法》規定：國家支持有關(guān)部門(mén)、行業(yè)組織、企業(yè)、教育和科研機構、有關(guān)專(zhuān)業(yè)機構等在數據安全風(fēng)險評估、防范、處置等方面開(kāi)展協(xié)作；重要數據的處理者應當按照規定對其數據處理活動(dòng)定期開(kāi)展風(fēng)險評估，并向有關(guān)主管部門(mén)報送風(fēng)險評估報告。

《工業(yè)控制系統網(wǎng)絡(luò )安全防護指南》提出，新建或升級工業(yè)控制系統上線(xiàn)前、工業(yè)控制網(wǎng)絡(luò )與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連接前，應開(kāi)展安全風(fēng)險評估?！豆I(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全分類(lèi)分級指南（試行）》規定：三級工業(yè)互聯(lián)網(wǎng)企業(yè)應當至少每年進(jìn)行一次網(wǎng)絡(luò )安全風(fēng)險評估與審計?！豆I(yè)和信息化領(lǐng)域數據安全管理辦法（試行）》規定：工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者應當自行或委托第三方評估機構，每年對其數據處理活動(dòng)至少開(kāi)展一次風(fēng)險評估，及時(shí)整改風(fēng)險問(wèn)題，并向本地區行業(yè)監管部門(mén)報送風(fēng)險評估報告；中央企業(yè)應當督促指導所屬企業(yè)，在重要數據和核心數據目錄備案、核心數據跨主體處理風(fēng)險評估、風(fēng)險信息上報、年度數據安全事件處置報告、重要數據和核心數據風(fēng)險評估等工作中履行屬地管理要求。

（2）工業(yè)控制系統風(fēng)險評估的參考標準

GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險評估方法》是工業(yè)互聯(lián)網(wǎng)企業(yè)針對工業(yè)控制系統實(shí)施風(fēng)險評估的核心依據，它從資產(chǎn)、脆弱性、威脅、已有安全措施四個(gè)方面進(jìn)行風(fēng)險識別，通過(guò)風(fēng)險分析計算事件發(fā)生的可能性、評估對象的損失、系統資產(chǎn)面臨的風(fēng)險值，最終計算出業(yè)務(wù)風(fēng)險值。GB/T36466-2018《信息安全技術(shù)工業(yè)控制系統風(fēng)險評估實(shí)施指南》根據工業(yè)控制系統的資產(chǎn)安全特性，分析威脅、脆弱性和保障能力，通過(guò)風(fēng)險計算完成綜合分析與評價(jià)，最后根據判定結果及企業(yè)自身情況進(jìn)行殘留風(fēng)險處置。GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理》提供了信息安全風(fēng)險管理指導，可用于工業(yè)企業(yè)。當前該標準正在升級轉版，新標準名稱(chēng)定為《信息安全技術(shù)信息安全風(fēng)險管理指導》。

（3）已有安全措施確認的標準依據

針對工業(yè)控制系統網(wǎng)絡(luò )安全進(jìn)行測評的標準，涵蓋網(wǎng)絡(luò )安全等級保護2.0標準體系，包括GB/T22239-2019《網(wǎng)絡(luò )安全等級保護基本要求》、GB/T28448-2019《網(wǎng)絡(luò )安全等級保護測評要求》等；工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全系列標準包括GB/T44462.1-2024《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全第1部分：應用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)防護要求》、GB/T44462.2-2024《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全第2部分：平臺企業(yè)防護要求》等。這些標準可以用于企業(yè)對工業(yè)控制系統已有安全措施進(jìn)行有效性確認。企業(yè)采取的防護措施包括防火墻、入侵檢測、數據加密、訪(fǎng)問(wèn)控制等，是降低脆弱性并抵御威脅的手段，可通過(guò)配置核查、漏洞掃描、滲透測試等技術(shù)手段驗證防護措施的有效性。

4　結語(yǔ)

由于風(fēng)險評估涉及的企業(yè)多樣、人員差異等因素，導致其結果存在一定的不確定性，因此在開(kāi)展工業(yè)控制信息系統信息全風(fēng)險評估過(guò)程中要盡量考慮全面，并定期實(shí)施。

（1）工業(yè)控制系統風(fēng)險評估面臨的問(wèn)題

一是，工業(yè)控制系統應用于多種類(lèi)型的工業(yè)企業(yè)，如鋼鐵、有色、石化等，企業(yè)類(lèi)型及規模大小不同，其風(fēng)險評估側重也有所不同；二是，風(fēng)險評估具有主觀(guān)性，工控系統風(fēng)險評估無(wú)論依賴(lài)于第三方還是自身，都有其盲區，評估者的視角和經(jīng)驗都會(huì )影響評估結果；三是，風(fēng)險評估的方法并不一致，智能資產(chǎn)、云平臺或關(guān)鍵部件若單獨進(jìn)行風(fēng)險評估，評估方法一致性是工業(yè)控制系統信息安全風(fēng)險評估結果準確性的重要因素。

（2）定期開(kāi)展工業(yè)控制系統信息安全風(fēng)險評估

由于工業(yè)控制系統相關(guān)的資產(chǎn)、脆弱性和威脅不是一成不變的，因此工業(yè)企業(yè)需要通過(guò)定期開(kāi)展信息安全風(fēng)險評估，全面了解自身的網(wǎng)絡(luò )和數據安全水平，根據評估結果優(yōu)化防護措施，及時(shí)消除不可接受的風(fēng)險隱患，將風(fēng)險控制在可接受范圍內，為企業(yè)數智升級提供保障，為實(shí)現新型工業(yè)化目標打下基礎。

作者簡(jiǎn)介

蔡麗麗（1990-），女，河北張家口人，助理工程師，學(xué)士，現就職于中衡特爾維檢測技術(shù)（北京）有限公司，主要從事信息系統安全性維護、信息系統測試、質(zhì)量管理等方面的研究。

參考文獻：

[1] 張真愷. 煙廠(chǎng)制絲車(chē)間工業(yè)控制系統信息安全風(fēng)險評估研究[D]. 昆明: 云南大學(xué), 2022.

[2] 工業(yè)級大模型應用是一把“雙刃劍”? [EB/OL].

摘自《自動(dòng)化博覽》2025年1月刊