楊向東++馬卓元++趙首花

摘 要：隨著信息化的推動和工業(yè)化進程的加速，工業(yè)控制系統(tǒng)越來越容易受到信息安全的威脅。論文分析了工業(yè)控制系統(tǒng)資產、威脅、脆弱性、風險計算問題，為評估工業(yè)控制系統(tǒng)信息安全風險狀況提供了簡便、有效的方法。

關鍵詞：工業(yè)控制系統(tǒng)；信息安全；風險評估

Abstract： With the promotion of information technology and the acceleration of the industrialization process， industrial control systems are increasingly vulnerable to information security. This paper focuses on the analysis of the assets， threats， vulnerabilities and provides a simple and effective method for assessing the information security risk of industrial control system.

Key words： industrial control system； information security； risk assessment

1 引言

工業(yè)控制系統(tǒng)是包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)、分布控制系統(tǒng)等多種類型控制系統(tǒng)的總稱 ，目前已廣泛應用于鋼鐵、化工、電力、民航等關乎國計民生的關鍵基礎設施領域，成為國家安全戰(zhàn)略的重要組成部分。

隨著智能制造和工業(yè)4.0時代的到來，以及工業(yè)化與信息化的深度融合，針對工業(yè)控制系統(tǒng)的病毒、木馬、入侵等安全威脅和攻擊不斷增多，工業(yè)控制系統(tǒng)信息安全（以下簡稱“工控安全”）面臨著巨大的挑戰(zhàn)。因此，論文對工控安全風險評估進行了研究分析。

2 工控安全的資產分析

2.1 資產分類

工業(yè)控制系統(tǒng)資產可分為硬件（遠程終端單元、主終端單元、過程控制系統(tǒng)、可編程邏輯控制器、工業(yè)控制計算機、輸入輸出服務器等），軟件（組態(tài)監(jiān)控軟件、工控編程軟件、互聯(lián)網應用軟件、數(shù)據(jù)庫軟件、防病毒軟件等），信息（數(shù)據(jù)文件、審核蹤跡、系統(tǒng)文件、培訓材料等），人力（主機維護主管、系統(tǒng)維護者、掌握重要信息和核心業(yè)務的人員等），無形資產（相關專利、商譽、技術秘密等）。

2.2 資產賦值

通過分析工業(yè)控制系統(tǒng)資產的可用性、完整性、機密性的達成程度，將工業(yè)控制系統(tǒng)資產劃分為“高”（資產重要性很高，其安全屬性破壞后會帶來非常嚴重的影響）；“較高”（資產重要性較高，其安全屬性破壞后會帶來比較嚴重的影響）；“一般”（資產重要性一般，其安全屬性破壞后會帶來中等程度的影響）；“較低”（資產重要性較低，其安全屬性破壞后會帶來較低程度的影響）；“低”（資產重要性低，其安全屬性破壞后帶來的影響可忽略不計）五個重要性等級，其中工業(yè)控制系統(tǒng)資產重要性程度與其級別成正比。

3 工控安全的威脅分析

3.1 威脅分類

工控安全威脅的表現(xiàn)形式可分為人為失誤（設置錯誤、配置錯誤、操作失誤等），管理缺失（策略和制度不完善、操作規(guī)程不明晰、職責不明確等），越權或濫用（未授權連接訪問、濫用權限非正常修改或破壞重要信息等），信息泄密（內部或外部的信息泄露等），安全漏洞（網絡漏洞、軟硬件漏洞、通信協(xié)議漏洞等），軟硬件故障（工業(yè)控制系統(tǒng)自身缺陷、設備故障、應用軟件故障等），惡意代碼（病毒、蠕蟲、木馬、后門、邏輯炸彈等），入侵攻擊（敵對勢力或工業(yè)間諜的攻擊摧毀、數(shù)據(jù)和應用的竊取和破壞、拒絕服務攻擊等），自然災害（洪災、地震、其他不可預知事件等），物理影響（停電、斷網、靜電、電磁干擾等）。

3.2 威脅賦值

結合威脅發(fā)生的頻率和其對資產造成的影響，將工業(yè)控制系統(tǒng)所面臨的威脅劃分為“高”（威脅發(fā)生的頻率高（≥1次/天），會造成嚴重影響）；“較高”（威脅發(fā)生的頻率較高（≥1次/周），會造成一定影響）；“一般”（威脅發(fā)生的頻率一般（≥1次/月），可能會造成影響）；“較低”（威脅發(fā)生的頻率較低（≥1次/年），造成影響的幾率?。?；“低”（威脅發(fā)生的頻率十分低，幾乎不造成影響）五個等級，其中威脅出現(xiàn)的頻率與其級別成正比。

4 工控安全的脆弱性分析

4.1 脆弱性識別

工業(yè)控制系統(tǒng)的脆弱性按照不同的屬性可以分為技術脆弱性和管理脆弱性。

技術脆弱性可從物理環(huán)境（物理隔離、防盜竊破壞、防雷擊靜電、防水防潮、溫濕度控制、應急供電設施、電磁屏蔽、穩(wěn)壓器等），生產管理（網絡架構、邊界防護、通信傳輸、無線使用控制、訪問控制、口令管理、身份鑒別、安全審計、資源控制、網絡協(xié)議、入侵及惡意代碼防范、安全監(jiān)視等），應用和數(shù)據(jù)（組態(tài)軟件、監(jiān)控軟件、編程軟件、數(shù)據(jù)庫軟件、服務器軟件、軟件容錯、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護等），設備和計算（主機、系統(tǒng)及軟硬件產品漏洞、訪問控制、身份鑒別、口令保護、設備故障、網絡設備端口安全等）方面進行識別。

管理脆弱性可從策略和制度（工控安全工作的總體方針、安全策略、管理活動中的各類管理內容、日常管理操作的操作規(guī)程等），機構和人員（指導和管理工控安全工作的委員會或領導小組、工控安全工作的職能部門、系統(tǒng)管理員、網絡管理員、安全管理員、第三方人員安全等），開發(fā)管理（安全產品采購和使用、第三方管理的執(zhí)行、安全性測試和評估的創(chuàng)建和執(zhí)行、外包軟件驗收交付的檢查等），運維管理（資產、介質及設備的存放環(huán)境、使用、維護和銷毀等安全管理、系統(tǒng)維護維修活動、日常監(jiān)測和報警機制、漏洞和風險管理等）和應急管理（應急演練、應急預案、應急保障隊伍等）方面進行識別。

4.2 脆弱性賦值

依據(jù)工業(yè)控制系統(tǒng)脆弱性被威脅成功利用的難易程度，將工業(yè)控制系統(tǒng)的脆弱性劃分為“高”（脆弱性程度高，易被威脅利用，將造成完全損害）；“較高”（脆弱性程度較高，較易被威脅利用，將造成重大損害）；“一般”（脆弱性程度中等，可能被威脅利用，將造成一般損害）；“較低”（脆弱性程度較低，較難被威脅利用，將造成較小損害）；“低”（脆弱性程度低，難以被威脅利用，幾乎不造成損害）五個嚴重程度等級，其中脆弱性對工業(yè)控制系統(tǒng)所造成的嚴重程度與其級別成正比。

5 工控安全的風險分析

5.1風險計算

工業(yè)控制系統(tǒng)風險計算的方法有很多種，如矩陣法和相乘法，評估者可根據(jù)自身情況，參照GB/T 20984-2007《信息安全技術信息安全風險評估規(guī)范》 中風險值的范化形式，選擇相應的風險計算方法計算工業(yè)控制系統(tǒng)的風險值。

5.2 風險結果

結合計算出的工業(yè)控制系統(tǒng)的風險值，將風險計算結果劃分為“高”（一旦發(fā)生將造成惡劣影響，嚴重危害工業(yè)控制系統(tǒng)）；“較高”（一旦發(fā)生將造成重大影響，一定程度上危害工業(yè)控制系統(tǒng)）；“一般”（一旦發(fā)生將造成中等影響，一般程度上危害工業(yè)控制系統(tǒng)）；“較低”（一旦發(fā)生將造成較低影響，較小程度上危害工業(yè)控制系統(tǒng)，采取有效措施便可解決）；“低”（一旦發(fā)生造成的影響幾乎不存在）五個等級，其中工業(yè)控制系統(tǒng)的風險與其級別成正比。

根據(jù)評估出的風險等級，工業(yè)控制系統(tǒng)應在風險管理中設定可接受風險值的基準，從而確定工控安全的相應策略，保障工業(yè)控制系統(tǒng)安全運行。

6 結束語

我國關于工控安全的研究仍然處于起步發(fā)展階段。本文重點研究與分析了工控安全風險評估中資產、威脅、脆弱性問題，并提出了對應分析方法，對提高工業(yè)控制系統(tǒng)的安全防護能力有推動作用。

參考文獻

[1] 彭勇，等.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學學報（自然科學版），2012.52（10）：1396-1408.

[2] 中華人民共和國國家質量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術信息安全風險評估規(guī)范：GB/T 20984—2007[S].北京：中國標準出版社，2007.endprint