工業控制系統信息安全風險評估研究與分析

楊向東++馬卓元+趙首花

摘 要：隨著信息化的推動和工業化進程的加速，工業控制系統越來越容易受到信息安全的威脅。論文分析了工業控制系統資產、威脅、脆弱性、風險計算問題，為評估工業控制系統信息安全風險狀況提供了簡便、有效的方法。

關鍵詞：工業控制系統；信息安全；風險評估

Abstract： With the promotion of information technology and the acceleration of the industrialization process， industrial control systems are increasingly vulnerable to information security. This paper focuses on the analysis of the assets， threats， vulnerabilities and provides a simple and effective method for assessing the information security risk of industrial control system.

Key words： industrial control system； information security； risk assessment

1 引言

工業控制系統是包括監控和數據采集系統、分布控制系統等多種類型控制系統的總稱 ，目前已廣泛應用于鋼鐵、化工、電力、民航等關乎國計民生的關鍵基礎設施領域，成為國家安全戰略的重要組成部分。

隨著智能制造和工業4.0時代的到來，以及工業化與信息化的深度融合，針對工業控制系統的病毒、木馬、入侵等安全威脅和攻擊不斷增多，工業控制系統信息安全（以下簡稱“工控安全”）面臨著巨大的挑戰。因此，論文對工控安全風險評估進行了研究分析。

2 工控安全的資產分析

2.1 資產分類

工業控制系統資產可分為硬件（遠程終端單元、主終端單元、過程控制系統、可編程邏輯控制器、工業控制計算機、輸入輸出服務器等），軟件（組態監控軟件、工控編程軟件、互聯網應用軟件、數據庫軟件、防病毒軟件等），信息（數據文件、審核蹤跡、系統文件、培訓材料等），人力（主機維護主管、系統維護者、掌握重要信息和核心業務的人員等），無形資產（相關專利、商譽、技術秘密等）。

2.2 資產賦值

通過分析工業控制系統資產的可用性、完整性、機密性的達成程度，將工業控制系統資產劃分為“高”（資產重要性很高，其安全屬性破壞后會帶來非常嚴重的影響）；“較高”（資產重要性較高，其安全屬性破壞后會帶來比較嚴重的影響）；“一般”（資產重要性一般，其安全屬性破壞后會帶來中等程度的影響）；“較低”（資產重要性較低，其安全屬性破壞后會帶來較低程度的影響）；“低”（資產重要性低，其安全屬性破壞后帶來的影響可忽略不計）五個重要性等級，其中工業控制系統資產重要性程度與其級別成正比。

3 工控安全的威脅分析

3.1 威脅分類

工控安全威脅的表現形式可分為人為失誤（設置錯誤、配置錯誤、操作失誤等），管理缺失（策略和制度不完善、操作規程不明晰、職責不明確等），越權或濫用（未授權連接訪問、濫用權限非正常修改或破壞重要信息等），信息泄密（內部或外部的信息泄露等），安全漏洞（網絡漏洞、軟硬件漏洞、通信協議漏洞等），軟硬件故障（工業控制系統自身缺陷、設備故障、應用軟件故障等），惡意代碼（病毒、蠕蟲、木馬、后門、邏輯炸彈等），入侵攻擊（敵對勢力或工業間諜的攻擊摧毀、數據和應用的竊取和破壞、拒絕服務攻擊等），自然災害（洪災、地震、其他不可預知事件等），物理影響（停電、斷網、靜電、電磁干擾等）。

3.2 威脅賦值

結合威脅發生的頻率和其對資產造成的影響，將工業控制系統所面臨的威脅劃分為“高”（威脅發生的頻率高（≥1次/天），會造成嚴重影響）；“較高”（威脅發生的頻率較高（≥1次/周），會造成一定影響）；“一般”（威脅發生的頻率一般（≥1次/月），可能會造成影響）；“較低”（威脅發生的頻率較低（≥1次/年），造成影響的幾率小）；“低”（威脅發生的頻率十分低，幾乎不造成影響）五個等級，其中威脅出現的頻率與其級別成正比。

4 工控安全的脆弱性分析

4.1 脆弱性識別

工業控制系統的脆弱性按照不同的屬性可以分為技術脆弱性和管理脆弱性。

技術脆弱性可從物理環境（物理隔離、防盜竊破壞、防雷擊靜電、防水防潮、溫濕度控制、應急供電設施、電磁屏蔽、穩壓器等），生產管理（網絡架構、邊界防護、通信傳輸、無線使用控制、訪問控制、口令管理、身份鑒別、安全審計、資源控制、網絡協議、入侵及惡意代碼防范、安全監視等），應用和數據（組態軟件、監控軟件、編程軟件、數據庫軟件、服務器軟件、軟件容錯、數據完整性、數據保密性、數據備份恢復、剩余信息保護等），設備和計算（主機、系統及軟硬件產品漏洞、訪問控制、身份鑒別、口令保護、設備故障、網絡設備端口安全等）方面進行識別。

管理脆弱性可從策略和制度（工控安全工作的總體方針、安全策略、管理活動中的各類管理內容、日常管理操作的操作規程等），機構和人員（指導和管理工控安全工作的委員會或領導小組、工控安全工作的職能部門、系統管理員、網絡管理員、安全管理員、第三方人員安全等），開發管理（安全產品采購和使用、第三方管理的執行、安全性測試和評估的創建和執行、外包軟件驗收交付的檢查等），運維管理（資產、介質及設備的存放環境、使用、維護和銷毀等安全管理、系統維護維修活動、日常監測和報警機制、漏洞和風險管理等）和應急管理（應急演練、應急預案、應急保障隊伍等）方面進行識別。

4.2 脆弱性賦值

依據工業控制系統脆弱性被威脅成功利用的難易程度，將工業控制系統的脆弱性劃分為“高”（脆弱性程度高，易被威脅利用，將造成完全損害）；“較高”（脆弱性程度較高，較易被威脅利用，將造成重大損害）；“一般”（脆弱性程度中等，可能被威脅利用，將造成一般損害）；“較低”（脆弱性程度較低，較難被威脅利用，將造成較小損害）；“低”（脆弱性程度低，難以被威脅利用，幾乎不造成損害）五個嚴重程度等級，其中脆弱性對工業控制系統所造成的嚴重程度與其級別成正比。

5 工控安全的風險分析

5.1風險計算

工業控制系統風險計算的方法有很多種，如矩陣法和相乘法，評估者可根據自身情況，參照GB/T 20984-2007《信息安全技術信息安全風險評估規范》 中風險值的范化形式，選擇相應的風險計算方法計算工業控制系統的風險值。

5.2 風險結果

結合計算出的工業控制系統的風險值，將風險計算結果劃分為“高”（一旦發生將造成惡劣影響，嚴重危害工業控制系統）；“較高”（一旦發生將造成重大影響，一定程度上危害工業控制系統）；“一般”（一旦發生將造成中等影響，一般程度上危害工業控制系統）；“較低”（一旦發生將造成較低影響，較小程度上危害工業控制系統，采取有效措施便可解決）；“低”（一旦發生造成的影響幾乎不存在）五個等級，其中工業控制系統的風險與其級別成正比。

根據評估出的風險等級，工業控制系統應在風險管理中設定可接受風險值的基準，從而確定工控安全的相應策略，保障工業控制系統安全運行。

6 結束語

我國關于工控安全的研究仍然處于起步發展階段。本文重點研究與分析了工控安全風險評估中資產、威脅、脆弱性問題，并提出了對應分析方法，對提高工業控制系統的安全防護能力有推動作用。

參考文獻

[1] 彭勇，等.工業控制系統信息安全研究進展[J].清華大學學報（自然科學版），2012.52（10）：1396-1408.

[2] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術信息安全風險評估規范：GB/T 20984—2007[S].北京：中國標準出版社，2007.endprint