1　工業(yè)控制系統風(fēng)險評估的作用與意義

風(fēng)險評估是實(shí)現工控系統信息安全縱深防御的基礎，風(fēng)險評估能夠準確地評估工控系統存在的主要信息安全問(wèn)題和潛在的風(fēng)險，風(fēng)險評估的結果是工控系統安全防護與監控策略建立的基礎。

工控系統與辦公系統不同，工控系統中使用智能設備、嵌入式操作系統和各種專(zhuān)用協(xié)議，尤其是智能設備具有集成度高、行業(yè)性強、內核不對外開(kāi)放、數據交互接口無(wú)法進(jìn)行技術(shù)管控等特點(diǎn)。因此，工控系統的安全風(fēng)險評估，是基于IT風(fēng)險評估原理，同時(shí)結合工業(yè)控制系統的特點(diǎn)而開(kāi)展的。

同時(shí)，工業(yè)控制系統作為關(guān)鍵基礎設施，應該注重整個(gè)生命周期的風(fēng)險評估，而不同的生命周期，其風(fēng)險評估重點(diǎn)也有所不同。工控系統的風(fēng)險評估，應該從設備的采購、設備的運行、設備的維護、設備的報廢幾個(gè)階段分別進(jìn)行。

2　工業(yè)控制系統風(fēng)險評估的方法與工具

在工控風(fēng)險評估過(guò)程中，可以采用多種操作方法，包括經(jīng)驗分析、定性分析和定量分析。無(wú)論何種方法，共同的目標都是找出組織信息資產(chǎn)面臨的風(fēng)險及影響，以及目前安全水平與組織安全需求之間的差距。

在工控風(fēng)險分析的過(guò)程中，需要采用風(fēng)險評估工具進(jìn)行風(fēng)險評估，以提高風(fēng)險評估效率，及時(shí)發(fā)現工控系統面臨的風(fēng)險。

2.1　經(jīng)驗分析法

經(jīng)驗分析法又稱(chēng)為基于知識的分析方法，可以采用基于知識的分析方法來(lái)找出目前的安全狀況和基線(xiàn)安全標準之間的差距。通過(guò)多種途徑采集相關(guān)信息，識別組織的風(fēng)險所在和當前的安全措施，與特定的標準或最佳慣例進(jìn)行比較，從中找出不符合的地方，并按照標準或最佳慣例的推薦選擇安全措施，最終達到消減和控制風(fēng)險的目的。經(jīng)驗風(fēng)險法比較適合經(jīng)驗比較少的操作者，由經(jīng)驗比較豐富的操作者按照標準和慣例制訂安全基線(xiàn)，供經(jīng)驗比較少的操作者借鑒使用。

基于知識的分析方法，最重要的還在于評估信息的采集。信息采集方法包括：會(huì )議討論；對當前的信息安全策略和相關(guān)文檔進(jìn)行復查；制作問(wèn)卷，進(jìn)行調查；對相關(guān)人員進(jìn)行訪(fǎng)談；進(jìn)行實(shí)地考察等。

2.2　定量分析法

定量分析法是對構成風(fēng)險的各個(gè)要素和潛在損失的水平賦予數值或貨幣金額，當度量風(fēng)險的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險評估的整個(gè)過(guò)程和結果就都可以被量化了。簡(jiǎn)單地說(shuō)，定量分析就是試圖從數字上對安全風(fēng)險進(jìn)行分析評估的一種方法。

對定量分析來(lái)說(shuō)，有兩個(gè)指標是最為關(guān)鍵的，一個(gè)是事件發(fā)生的可能性，另一個(gè)就是威脅事件可能引起的損失。理論上講，通過(guò)定量分析可以對安全風(fēng)險進(jìn)行準確地分級，但這有個(gè)前提，那就是可供參考的數據指標是準確的，可事實(shí)上，在信息系統日益復雜多變的今天，定量分析所依據的數據的可靠性是很難保證的，再加上數據統計缺乏長(cháng)期性，計算過(guò)程又極易出錯，這就給分析的細化帶來(lái)了很大困難，所以，目前的信息安全風(fēng)險分析，采用定量分析或者純定量分析方法的比較少了。

2.3　定性分析法

定性分析方法是目前采用最為廣泛的一種方法，它具有很強的主觀(guān)性，往往需要憑借分析者的經(jīng)驗和直覺(jué)，或者業(yè)界的標準和慣例，為風(fēng)險管理諸要素（資產(chǎn)價(jià)值、威脅的可能性、弱點(diǎn)被利用的容易度、現有控制措施的效力等）的大小或高低程度定性分級，例如分為“高”、“中”、“低”三級。

定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（Checklist）、問(wèn)卷（Questionnaire）、人員訪(fǎng)談（Interview）、調查（Survey）等。定性分析操作起來(lái)相對容易，但也可能因為操作者經(jīng)驗和直覺(jué)的偏差而使分析結果失準。

與定量分析相比較，定性分析的準確性稍好但精確性不夠，定量分析則相反；定性分析沒(méi)有定量分析那樣繁多的計算負擔，卻要求分析者具備一定的經(jīng)驗和能力；定量分析依賴(lài)大量的統計數據，而定性分析沒(méi)有這方面的要求；定性分析較為主觀(guān)，定量分析基于客觀(guān)；此外，定量分析的結果很直觀(guān)，容易理解，而定性分析的結果則很難有統一的解釋。

總之，不管是經(jīng)驗分析法，還是定性、定量分析法，其核心思想都是依據威脅出現的頻率、脆弱性的嚴重程度來(lái)確認安全事件發(fā)生的可能性，依據資產(chǎn)價(jià)值和脆弱性的嚴重程度來(lái)確認安全事件會(huì )造成的損失，最終從安全事件發(fā)生的可能性和損失來(lái)判斷風(fēng)險值。其原理圖如圖1所示。

圖1 風(fēng)險值判斷識別原理示意圖

2.4　風(fēng)險評估的工具

風(fēng)險評估過(guò)程中，可以利用一些輔助性的工具和方法來(lái)采集數據，包括：

（1）調查問(wèn)卷——風(fēng)險評估者通過(guò)問(wèn)卷形式對組織信息安全的各個(gè)方面進(jìn)行調查，問(wèn)卷解答可以進(jìn)行手工分析，也可以輸入自動(dòng)化評估工具進(jìn)行分析。從問(wèn)卷調查中，評估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執行情況。

（2）檢查列表——檢查列表通常是基于特定標準或基線(xiàn)建立的，對特定系統進(jìn)行審查的項目條款。通過(guò)檢查列表，操作者可以快速定位系統目前的安全狀況與基線(xiàn)要求之間的差距。

（3）人員訪(fǎng)談——風(fēng)險評估者通過(guò)與組織內關(guān)鍵人員的訪(fǎng)談，可以了解到組織的安全意識、業(yè)務(wù)操作、管理程序等重要信息。

（4）漏洞掃描器——漏洞掃描器（包括基于網(wǎng)絡(luò )探測和基于主機審計）可以對信息系統中存在的技術(shù)性漏洞（弱點(diǎn)）進(jìn)行評估。許多掃描器都會(huì )列出已發(fā)現漏洞的嚴重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner等。

（5）滲透測試——這是一種模擬黑客行為的漏洞探測活動(dòng)，它不但要掃描目標系統的漏洞，還會(huì )通過(guò)漏洞利用來(lái)驗證此種威脅場(chǎng)景。

總之，工業(yè)控制系統風(fēng)險評估采用的理念和方法，是在IT風(fēng)險評估的理念和方法的基礎上，結合工業(yè)控制系統相對比較封閉、規模大、資產(chǎn)數量多、漏洞數量多、脆弱性問(wèn)題多的特點(diǎn)，建立工業(yè)控制系統風(fēng)險評估理念與方法。下面我們通過(guò)案例來(lái)展示風(fēng)險評估在工業(yè)控制系統中的應用。

3　工業(yè)控制系統風(fēng)險評估的步驟與內容

3.1　工業(yè)控制系統風(fēng)險評估的步驟

工業(yè)控制系統的風(fēng)險評估，按照工控系統的生命周期來(lái)評估，每個(gè)生命周期，其風(fēng)險評估具有不同的特點(diǎn)，但總得來(lái)說(shuō)，每個(gè)生命周期的風(fēng)險評估，都可以分以下4個(gè)階段進(jìn)行，如圖2所示。

（1）系統調研階段：確定風(fēng)險評估的范圍，分析系統的拓撲結構，評估相關(guān)子系統的重要性。

（2）脆弱性檢測階段：獲取設備清單，識別系統的關(guān)鍵資產(chǎn)，確定設備用途，分析基本組成，對資產(chǎn)進(jìn)行脆弱性檢測。

（3）風(fēng)險評估階段：對檢測到的每一個(gè)脆弱點(diǎn)，根據不同設備類(lèi)型，結合現有的安全防護措施，評估其可能面臨的威脅，及其可能造成的風(fēng)險。

（4）風(fēng)險處理階段：論證殘余風(fēng)險是否可以接受。如果不可接受，那么需要啟動(dòng)風(fēng)險處置計劃。如果風(fēng)險可以接受，則建立安全基線(xiàn)列表。

圖2 生命周期風(fēng)險評估的四個(gè)階段

3.2　工業(yè)控制系統風(fēng)險評估的范圍

工控設備安全保密風(fēng)險需求主要涉及到三大方面，如圖3所示。一是工控設備所處的物理環(huán)境安全，如防偷竊、非授權接觸、是否有竊聽(tīng)竊視裝置等；二是工控設備自身的安全，主要分析包括硬件、軟件、網(wǎng)絡(luò )等方面的安全；三是工控設備的安全保密管理問(wèn)題，包括其管理機構、人員、制度、流程等。

圖3 工業(yè)控制系統風(fēng)險評估的范圍示意圖

4　工業(yè)控制系統威脅源及其引入途徑

4.1　工業(yè)控制系統安全威脅源

工業(yè)控制系統威脅源包括內部威脅、外部威脅、可用性威脅。內部威脅包括操作人員、維護人員。外部威脅包括工業(yè)間諜、病毒、異常行為，其可能給工控系統帶來(lái)的風(fēng)險和等級如表1所示。

表1 工業(yè)控制系統安全威脅源可能給其帶來(lái)的風(fēng)險和等級

4.2　工業(yè)控制系統風(fēng)險引入途徑

工業(yè)控制系統威脅入侵途徑是多種多樣的，按照類(lèi)型可以劃分為以下六類(lèi)：來(lái)自互聯(lián)網(wǎng)的攻擊、來(lái)自企業(yè)網(wǎng)的攻擊、工業(yè)無(wú)線(xiàn)網(wǎng)絡(luò )帶來(lái)的威脅、現場(chǎng)操作人員造成的威脅、現場(chǎng)運維人員帶來(lái)的威脅、遠程運維帶來(lái)的威脅。在風(fēng)險評估的過(guò)程中，要充分評估以上六種風(fēng)險引入的可能性。

作者簡(jiǎn)介

張曄（1973-），男，現就職于啟明星辰信息技術(shù)集團股份有限公司，主要研究方向為工業(yè)控制系統信息安全。發(fā)明了工業(yè)控制系統現場(chǎng)運維審計與管理系統，填補了國內該產(chǎn)品的空白；發(fā)明了動(dòng)態(tài)安全保障體系模型和等級保護技術(shù)架構模型；在國內首次提出了工控系統安全的“四化”理念。在相關(guān)媒體發(fā)表過(guò)《工業(yè)控制系統安全體系架構與管理平臺》、《工業(yè)控制系統安全理念與方法論》、《論信息系統安全“四化”建設》、《信息安全動(dòng)態(tài)保障體系建設探討》等系列文章。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第二輯）》