水電廠工控系統網絡安全風險評估概述

郭 江，張志華

（天津水利電力機電研究所，天津 301900）

1 引言

隨著“兩化融合”的日益推進和物聯網的迅猛發展以及智能設備的廣泛使用，水電廠工控系統也在經歷深刻的變革，傳統意義上的相對封閉和穩定環境的工控系統，正在逐步打破“信息孤島”的局面，隨之而來的各種網絡攻擊、安全威脅也不可避免的暴露出來。2017年6月1日，《中華人民共和國網絡安全法》正式實施，網絡安全已經提高到一個前所未有的高度。網絡安全法明確指出：“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。水電廠作為國家關鍵基礎設施的重要組成部分，水電廠工控系統網絡安全需要重點關注及重點保護，貫徹“要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改”的要求，從網絡安全風險評估入手，使用符合水電廠工控系統特點的理論、方法和工具，準確發現工控系統存在的主要問題和潛在風險，指導水電廠工控系統的安全防護，建立水電廠工控系統網絡安全縱深防御體系。

2 風險評估的意義

風險評估是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生所造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，其防范和化解信息安全風險的有效性得到了世界各國的高度認可。風險評估已成為目前各類信息安全服務中需求最為普遍的基礎性服務之一。

水電廠工控系統網絡安全風險評估與傳統信息系統風險評估有著本質的不同，首先是評估的對象不同：傳統信息系統風險評估的主要評估對象是信息系統的組成部分，如IT網絡、辦公主機、路由器、交換機、數據庫等，而水電廠工控系統風險評估的主要評估對象除了上述外，更重要的是工控系統的組成部分：如工控網絡、工業主機、工控設備、生產工藝等。其次是評估的工具不同：傳統信息系統風險評估所使用的評估工具大多可以用于水電廠工控系統風險評估，部分工具需要根據水電廠工控系統的特點進行升級，如漏洞掃描工具，就要有水電廠工控系統的特色，漏洞庫要包含工控相關的漏洞，有些工具是工控系統風險評估所獨有的，如漏洞挖掘檢測工具，就是用于對工控設備的未知漏洞挖掘和檢測，而一般不會應用于信息系統風險評估中。最后是評估的標準不同：水電廠工控系統的優先級要高于信息系統，任何對生產過程造成影響的安全問題都會帶來直接的經濟損失，甚至是人員傷亡，因此，同樣的評估對象其評估標準也有所不同，如：同樣是主機防護措施，工控系統主機和辦公主機因為用途不同，U盤使用、軟件安裝的要求就不一樣，防護的要求也有所不同，防病毒軟件往往就不適合用于工控系統主機的安全防護，其評估的標準與信息系統的主機就不能一概而論。因此，不能采取傳統的信息安全風險評估方法，應建立適合水電廠工控網絡安全的風險評估模型。

通過風險評估可以了解水電廠工控資產所面臨的威脅狀況、漏洞情況，合規要求和嚴重程度情況。全面掌握水電廠工控系統安全狀況，為加強風險管理、安全防護建設提供重要的依據；提高內部人員對信息安全的認識。風險評估過程中，通過回答問題、訪談調研、工具接入分析、風險分析計算等活動，使內部人員對水電廠工控系統網絡安全的認識得到逐步提高；形成關鍵資產與合規的信息安全風險列表，為風險管理提供可視可控的基礎數據，為水電廠建立風險管理長效機制奠定基礎。

3 風險評估的內容及方法

水電廠工控系統網絡安全風險評估應在深入調研水電廠工控系統網絡安全現狀的基礎上，參照《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》（國能安全〔2015〕36號）、《電力行業信息安全等級保護基本要求》（電監會〔2012〕62號）及《電力監控系統安全防護規定》（發改委-2014-14號令），建立風險評估模型，開展風險評估工作。水電廠工控系統網絡安全風險評估的主要內容包含技術評估和管理評估兩個方面，其中技術評估包括流量風險、漏洞分析等；管理評估涉及資產識別、人員訪談、問卷調查、現場核實等。表1為水電廠工控系統網絡安全風險評估一覽表。

技術評估方法：采用專用設備接入檢測的方式進行（圖1）。將威脅評估管理平臺通過端口鏡像的形式接入到系統核心交換機，識別工控系統中的設備資產，并與威脅評估平臺的工控漏洞庫進行比較分析，發現各級別的漏洞風險，從而為后續有針對性的開展風險處置提供參考依據；獲取工控網絡中的網絡流量，展開深度流量、端口、協議等風險分析,發現可能存在的風險。

管理評估方法：通過人員訪談、制度調閱、問卷調查和現場核實等方式，了解水電廠工控系統管理方面存在的風險。

表1 水電廠工控系統網絡安全風險評估一覽表

圖1 技術評估方法

4 風險評估的分析計算及風險處置

水電廠工控系統網絡安全風險評估主要涉及資產、威脅和脆弱性3個基本要素，每個要素有其各自的屬性。資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等；脆弱性的屬性是嚴重程度。

對水電廠工控系統的資產進行識別（包括硬件資產、軟件資產等），并對資產價值進行賦值，即資產賦值；對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值，即威脅賦值；對脆弱性進行識別，并對具體嚴重程度賦值，即脆弱性賦值；根據威脅賦值即威脅利用脆弱的難易程度判斷安全事件發生的可能性；根據脆弱性的嚴重程度及安全事件所作用的資產的賦值計算安全事件造成的損失；根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發生對組織的影響，即風險值。（風險評估模型如圖2所示）

圖2 風險評估模型

計算公式為：風險值=資產價值×脆弱性值×威脅值。根據計算風險值的大小，分為極高風險、高風險、中風險和低風險4級。

風險處置是整個風險評估工作中的最后一個重要環節，也是實施周期最長、難度最大的階段。風險處置的主要工作內容是根據前一階段的評估結果，對每一項風險采取相應的措施，最終將風險降低到可以接受的水平。

對于極高、高風險，工控系統危急、高危漏洞必須采取安全措施進行風險消除；對于中風險、工控系統中危漏洞，經評審后，原則上需納入風險處置計劃進行整改，消除風險。對于水電廠無法對該風險實施有效控制的或不具備對該風險采取有效管控的中風險、中危漏洞可以考慮接受；對于低風險、工控系統低危漏洞，由于發生可能性低或發生后影響較低，可以接受，不納入風險處理計劃。

針對不同風險，主要采取以下處理方法:

（1）制度修訂：通過新增或修訂現有制度或安全管理策略文件的方式，將安全管理要求落實在制度或安全管理策略文件內，并要求遵照執行。

（2）管理優化：針對現有各類安全管理要求，加強安全意識教育和培訓，加強對各類要求的落實情況監督檢查。

（3）技術改造：針對現有技術管控中存在的不足，對現有工控設備、工具進行改造或引入成熟工具、設備，從技術上實現相應的管控要求。

5 結語

《中華人民共和國網絡安全法》第17條規定“國家推進網絡安全社會化服務體系建設，鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務。”第24條規定“有關行業組織建立健全本行業的網絡安全保護規范和協作機制，加強對網絡安全風險的分析評估”，及第33條規定“對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托專業檢驗檢測機構對網絡存在的安全風險進行檢測評估”。因此，信息安全風險評估工作，已經成為當前及未來我國各行業網絡安全工作的重點，也是網絡安全的常態化工作，更是遵守和落實我國網絡安全法治建設的關鍵。

未來的水電廠工控系統將會融合更多先進的信息安全技術，如可信計算、云安全等。因此，需通過風險評估掌握水電廠工控系統網絡安全現狀，服務器、控制器、網絡設備、安全設備等存在的安全漏洞，人員及管理等方面存在的安全風險，通過風險評估，提出水電廠工控系統網絡安全對策，指導水電廠工控系統安全防護，建立水電廠工控系統網絡安全縱深防御體系。

[1]郭嫻.互聯網+時代下工業控制系統網絡安全[J].自動化博覽，2015（7）.

[2]謝豐.美國工控安全保障管理的啟示[J].中國信息安全，2012（3）.

[3]王孝良,崔保紅,李思其.關于工控系統信息安全的思考與建議[J].信息網絡安全,2012（8）.

[4]劉威,李冬,孫波.工業控制系統安全分析[J].信息網絡安全,2012（8）.

[5]Stouffer K，Falco J，Scarfone K.Guide to Industrial Control Systems(ICS)Security[Z]，2011.

[6]北京匡恩網絡科技有限公司.2016年工業控制網絡安全態勢報告[R]，2016.

[7]郭江，張志華，張志民.水利工業控制系統網絡安全問題初探 [C]//中國水利學會泵及泵站專業委員會.2015年學術年會.

[8]郭江，張志華.工控系統網絡安全現狀及風險分析[C]//抽水蓄能電站自動控制技術應用研討會.2016年學術交流會論文集.

[9]張志華，郭江，秦繼偉.水電站控制系統網絡安全現狀及安全對策[C]//全國水電站機電技術討論會優秀論文集,2016.

[10]胡明遠，張志華.水電站工控網絡安全現狀及解決方案[C]//中國水力發電工程學會信息化專委會、中國水力發電工程學會水電控制設備專委會.2017年學術交流會論文集.

[11]胡明遠，張志華.泵站工控網絡安全現狀及解決方案[C]//中國水利學會泵及泵站專業委員會2017年學術年會.