智能工廠工控系統安全風險評估*

黃兆軍

(珠海城市職業技術學院 人工智能學院，廣東 珠海 519090)

0 引言

制造業作為實體經濟的主體，一直都是立國之本。而近年來隨著云計算、大數據、人工智能、物聯網等新興技術的快速發展，推動著傳統制造業逐步向智能制造的方向轉型。為了搶占制造業的制高點，國家發布了《中國制造2025》產業規劃，目的也是為了推動制造業向智能化方向發展，從而實現制造業由大到強的轉變。雖然與歐洲、美國和日本三大智能制造中心相比，我國的智能制造還處于起步階段，但是國內的很多制造型企業已經摩拳擦掌，例如三一重工、海爾、美的等，都已經開始了智能工廠的建設實踐，并且已經取得了初步的成果，可以說智能制造在國內呈現出如火如荼的發展態勢。但是，在這蓬勃發展的智能工廠建設浪潮中，“工業控制網絡安全問題”卻一直得不到有效的重視，甚至被忽視。與傳統的工廠相比，智能工廠的核心支撐框架其實就是一個工業控制網絡，因此也存在網絡安全問題，加強對工控系統網絡安全風險的評估，是智能工廠建設的重要基礎環節。

1 智能工廠及其工控安全發展現狀

智能工廠很顯然就是“智能”和“工廠”的結合，是云計算、虛擬仿真、物聯網等先進技術在制造業領域的應用[1]。智能工廠是一個復雜而龐大的生產系統，具有豐富的內涵，不同的行業會有不同的框架體系，但總的來說都是基于大數據技術、虛擬仿真技術和網絡通信技術的可以實現自感知、自決策和自執行的智能化信息物理系統[2]。智能工廠體系框架如圖1所示[3]。

圖1 智能工廠體系框架

在智能工廠中有工業路由器、協議轉換器、測控設備、SCDA系統、工控機、工業傳感器、PLC、數控機床等[4],所有這些設備都互聯互通地形成了一個工業控制系統網絡。在這個“工控網絡”中，傳統的計算機信息網絡所面臨的病毒、木馬、入侵攻擊等安全威脅都可以向工業控制系統擴散，其中的每一個設備或人機接口都有可能成為網絡攻擊點。特別是高精度數控機床、多軸機器人等設備(包括其中的芯片、定位裝置等)很多都依賴國外進口，在引進時沒有經過基本信息安全監測，在工業控制系統運行環境中存在大量的漏洞和隱患，特別是一些隱性后門使得生產系統與公用網絡存在接口，很容易被一些不法分子所攻擊。但目前的現狀是很多企業在進行智能工廠規劃或者建設的時候，往往不重視工控系統安全問題，在工控網絡安全感知和防護方面幾乎是空白，因此對工控系統網絡安全風險評估的理論和方法進行探索和研究，具有十分重要的現實意義。

2 智能工廠工控系統安全風險的評估

2.1 工控系統安全風險評估的概念

工控系統安全風險評估主要是圍繞著生產業務、控制系統及設備、脆弱性、威脅、風險等基本要素進行，并且在評估過程中需要充分考慮工控系統業務的復雜性、重要性、可用性、安全事件、參與風險等與基本要素相關的屬性。風險評估的主要目的就是量化識別風險，通過合理、適度的風險處置措施，將風險降低到可以接受的水平。在具體進行評估時主要考慮四大要素：資產(軟件和硬件等)、工業特征、工控系統脆弱性、工控系統威脅，其風險分析的主要內容如圖2所示。

圖2 工控系統風險分析原理示意圖

2.2 工控系統安全風險評估的方法

工控系統安全風險評估方法的選擇需要根據評估目標、工控系統的規模和安全需求綜合考慮，其具體方法可以參考以下幾種：

(1)面向業務流程的風險評估：通過對工業控制系統各業務系統及子系統的人員、資產、生產流程、數據流等存在信息交互和關聯的因素進行安全風險分析，發現在組織、管理、技術方面可能存在的風險，進行業務生命周期的風險評估。

(2)面向信息資產的風險評估：該方法主要是基于已經標準化的風險評估要素，通過量化的方法來進行評估。

(3)面向合規風險評估：這里的合規主要指的是符合有關國家政策標準、行業標準、監管要求和最佳實踐，結合風險評估的方法評估工控系統風險，重點排查企業可能存在的合規風險。

對于智能工廠的建設企業來說，具有安全風險評估的意識是首要的，在執行風險評估時主要有四種形式：自評估、檢查評估、上線安全評估和型式安全評估。在不影響工控系統生產業務的基礎上，企業可以根據相應行業的標準規范和實際需要來選擇相應風險評估方式。隨著技術的進步工控系統是在不斷發展的，其面臨的威脅也在不斷進化，因此工控系統的安全風險評估不是一蹴而就的，而是要根據實際情況，在工控系統的整個生命周期內不間斷地進行。具體的評估時間可以參考如下方法：

(1)周期性風險評估：建議對工業控制系統每年進行一次風險評估；

(2)工業控制系統發生變化，如升級改造等，應該進行風險評估；

(3)根據國家政策標準和行業監管要求進行的合規性的專項風險評估。

2.3 工控系統安全風險評估的基本流程

對工控系統安全風險進行評估時，首先要對工控系統的設備、工藝特征、脆弱性和威脅進行識別，然后識別系統當前安全措施，并結合上述已經識別的系統特征對當前的安全措施進行有效性驗證，然后對系統的風險進行計算。如果評估得到的風險無法接受，則需要增加安全措施，然后重新進行評估，直到系統風險可以被接受為止[5]。評估實施的具體流程如圖3所示。

圖3 工控系統風險評估實施流程

2.4 工控系統安全風險評估的實施

工控系統安全風險評估實施的主要步驟就是對評估對象進行資產識別和賦值，威脅識別和賦值，脆弱性識別和賦值，以及對生產工藝識別和賦值，根據各項資產在生產過程中的重要性，把工控系統風險進行量化。

2.4.1資產評估

資產評估就是對工控系統的信息資產進行識別，然后根據資產的機密性、可用性、完整性進行賦值和計算。

(1)資產識別就是對工控系統設備、數據和人員等系統構成元素進行分類和標記，從而明確資產的用途、使命和作用。根據資產的形式和內容各不相同，可以把資產分為數據、軟件、硬件、服務、人員和其他六類。

(2)資產賦值可以參考國家標準GB/T 20984-2007中的方法，采取分級的思路對資產的機密性、可用性和完整性進行賦值。一般情況下可以分為5個層級，分別賦值1～5分，分值越大，層級就越高，具體的操作如表1所示。

表1 資產評估賦值表

根據表1得出被評估資產在機密性(C)、完整性(I)和可用性(A)上的賦值之后，可以根據公式計算工控系統資產的最終賦值V，可以參考如下模型：

V=f(A,I,C)

根據實踐經驗，建議分別取A、I、C的最大值，然后相乘作為最終賦值。

2.4.2威脅評估

威脅評估應全面考慮系統外部和內部因素，并同步結合歷史事件統計分析結果、經驗、威脅情報、安防動態等信息綜合考慮。威脅評估主要包括兩個方面：一是根據工控系統的運行環境確定面臨的威脅；二是確定威脅的嚴重程度和發生的頻率。

不同的資產所處的環境和應用的場合不同，其面臨的威脅也不盡相同，因此需要對各類威脅進行有效的識別。工控系統可能面臨的威脅來源主要有環境因素、內部人員、黑客、惡意軟件作者、恐怖分子、工業間諜、境外國家力量等，而威脅的表現形式則主要有非法信息披露、非法分析、非法修改、篡改控制組件、錯誤操作、冒充合法用戶、抵賴、拒絕服務、提升權限、故障檢測缺失、病毒感染、非法物理存取等。通過交流、觀察和調查，并結合威脅出現的頻次對威脅進行賦值，賦值越高，說明資產面臨的風險也越大。具體的威脅賦值如表2所示。

表2 威脅評估賦值表

2.4.3脆弱性評估

脆弱性就是通常所說的弱點，主要指的是系統設計、實現或者操作和管理中存在的缺陷。脆弱性可以從物理環境、網絡、平臺和安全管理四個方面進行識別，并根據脆弱性對資產的影響程度進行賦值。脆弱性賦值主要依據嚴重程度和對系統安全屬性的影響這兩個方面來進行，其賦值如表3所示。

在進行脆弱性識別時主要考慮兩個方面：管理脆弱性和技術脆弱性。其管理脆弱性又包括組織管理脆弱性和技術管理脆弱性，而技術脆弱性的識別則主要從物理環境、接入網絡、平臺脆弱性、工業控制協議、工業控制系統漏洞等方面著手。以工業控制現場常用的Modbus工業協議為例，其常見的安全問題有缺乏認證、沒有加密、沒有消息校驗、沒有廣播抑制、惡意代碼注入等，這些脆弱性風險都是需要考慮的。

表3 脆弱性評估賦值表

2.4.4工藝特征識別與賦值

不同行業的工廠其生產工藝過程是不同的，對應的工控系統所面臨的安全威脅也是有差異的，工藝過程越復雜，其面臨的安全風險也就越大。工藝特征識別就是對系統工藝過程的重要性、影響性和復雜度進行分析和賦值，并在此基礎上得出一個綜合結果的過程。為了保證工控系統風險評估的準確性，企業應該結合行業和自身實際情況制定一份詳細的工藝特征評價標準，以指導工藝特征的識別。以工藝復雜度為例，其評定的方法可以根據生產工藝過程中工藝環節復雜度、工序數、系統及子系統符合狀態、系統的階段和層次等屬性進行綜合描述，如表4所示就將工藝復雜度分為了四個層級。

表4 系統工藝復雜度定義

2.5 工控系統安全風險的計算

工控系統安全風險的量化計算主要從兩個方面考慮：一個是安全事件發生的可能性；另一個是安全事件的后果影響程度。風險計算的原理可以參考以下模型：

風險值=R(A,P,T,V) 或者風險值=W(L(Ps×T，Pc×V)×Pi×F(Ia，Va)

其中，R和W表示安全風險計算函數；A、T、V分別表示工控系統設備、威脅和脆弱性；L和F分別表示威脅利用脆弱性導致安全事件發生的可能性和安全事件發生后產生的損失；Ia表示安全事件所作用的工控系統設備價值；Va表示脆弱性嚴重程度；P表示工控系統工藝特征，Pc表示工藝特征復雜度，Ps表示工藝特征重要性，Pi表示工藝特征影響性。

在具體進行風險評估時可以根據具體情況選擇相應風險計算方法，比如矩陣法和相乘法。矩陣法就需要構造二維矩陣，把可能性與損失建立二維關系；相乘法則通過構造經驗函數，將安全事件發生的可能性與安全事件造成的損失進行計算得到風險值[6]。

2.6 工控系統安全風險的等級劃分

為了對工控系統安全風險進行有效的控制和管理，可以考慮對風險評估的結果進行等級化處理，從而在風險處置時就可以根據不同的風險等級采取不同的處置策略。等級化處理的方法就是按照風險值的高低進行等級劃分，風險值越高，其對應的風險等級也越高。企業應該根據自身的情況和需要綜合考慮風險控制成本與風險造成的影響，設定一個可以接受的風險范圍。如果風險計算值在可接受的范圍內，則可以保持已有的安全措施。如果風險評估值在可接受的范圍外，則需要進一步采取安全措施以降低和控制風險，安全等級的劃分可參考GB/T 30976.1的方法[7]如表5所示。

表5 風險等級劃分表(示例)

3 結論

從總體上看，我國的工控系統網絡基本上處于“裸奔”狀態[8]，特別是工業控制基礎硬件安全問題長期得不到解決，更不要提現在剛剛興起的智能工廠，基本依靠使用國外設備和控制系統建立起來。國外廠商設備普遍存在未知的漏洞以及可能的后門，成為重大的安全隱患。智能工廠的智慧互聯的特性，使得整個工廠成為了一個互聯互通的基于信息技術和物聯網[9]的工業網絡，工控系統網絡安全問題一直得不到重視，甚至被忽視了，而目前在國家層面又相對缺少針對智能工廠工控安全的政策、法規和標準，因此加快對工控網絡安全策略的研究是十分緊迫的現實需求。如果等到智能工廠已經大規模的建成或者出現事故之后，再來對工控安全進行彌補和整改，代價將非常高昂，而且容易受制于人。本文結合目前的智能工廠建設現狀和一些相關的法規政策，對工控系統網絡安全風險的評估，總結了一些具體的理論和方法，希望能夠為智能工廠的工控安全體系的建設提供一些有益的參考。