工业控制系统信息安全风险评估研究与分析

杨向东++马卓元+赵首花

摘 要：随着信息化的推动和工业化进程的加速，工业控制系统越来越容易受到信息安全的威胁。论文分析了工业控制系统资产、威胁、脆弱性、风险计算问题，为评估工业控制系统信息安全风险状况提供了简便、有效的方法。

关键词：工业控制系统；信息安全；风险评估

Abstract： With the promotion of information technology and the acceleration of the industrialization process， industrial control systems are increasingly vulnerable to information security. This paper focuses on the analysis of the assets， threats， vulnerabilities and provides a simple and effective method for assessing the information security risk of industrial control system.

Key words： industrial control system； information security； risk assessment

1 引言

工业控制系统是包括监控和数据采集系统、分布控制系统等多种类型控制系统的总称 ，目前已广泛应用于钢铁、化工、电力、民航等关乎国计民生的关键基础设施领域，成为国家安全战略的重要组成部分。

随着智能制造和工业4.0时代的到来，以及工业化与信息化的深度融合，针对工业控制系统的病毒、木马、入侵等安全威胁和攻击不断增多，工业控制系统信息安全（以下简称“工控安全”）面临着巨大的挑战。因此，论文对工控安全风险评估进行了研究分析。

2 工控安全的资产分析

2.1 资产分类

工业控制系统资产可分为硬件（远程终端单元、主终端单元、过程控制系统、可编程逻辑控制器、工业控制计算机、输入输出服务器等），软件（组态监控软件、工控编程软件、互联网应用软件、数据库软件、防病毒软件等），信息（数据文件、审核踪迹、系统文件、培训材料等），人力（主机维护主管、系统维护者、掌握重要信息和核心业务的人员等），无形资产（相关专利、商誉、技术秘密等）。

2.2 资产赋值

通过分析工业控制系统资产的可用性、完整性、机密性的达成程度，将工业控制系统资产划分为“高”（资产重要性很高，其安全属性破坏后会带来非常严重的影响）；“较高”（资产重要性较高，其安全属性破坏后会带来比较严重的影响）；“一般”（资产重要性一般，其安全属性破坏后会带来中等程度的影响）；“较低”（资产重要性较低，其安全属性破坏后会带来较低程度的影响）；“低”（资产重要性低，其安全属性破坏后带来的影响可忽略不计）五个重要性等级，其中工业控制系统资产重要性程度与其级别成正比。

3 工控安全的威胁分析

3.1 威胁分类

工控安全威胁的表现形式可分为人为失误（设置错误、配置错误、操作失误等），管理缺失（策略和制度不完善、操作规程不明晰、职责不明确等），越权或滥用（未授权连接访问、滥用权限非正常修改或破坏重要信息等），信息泄密（內部或外部的信息泄露等），安全漏洞（网络漏洞、软硬件漏洞、通信协议漏洞等），软硬件故障（工业控制系统自身缺陷、设备故障、应用软件故障等），恶意代码（病毒、蠕虫、木马、后门、逻辑炸弹等），入侵攻击（敌对势力或工业间谍的攻击摧毁、数据和应用的窃取和破坏、拒绝服务攻击等），自然灾害（洪灾、地震、其他不可预知事件等），物理影响（停电、断网、静电、电磁干扰等）。

3.2 威胁赋值

结合威胁发生的频率和其对资产造成的影响，将工业控制系统所面临的威胁划分为“高”（威胁发生的频率高（≥1次/天），会造成严重影响）；“较高”（威胁发生的频率较高（≥1次/周），会造成一定影响）；“一般”（威胁发生的频率一般（≥1次/月），可能会造成影响）；“较低”（威胁发生的频率较低（≥1次/年），造成影响的几率小）；“低”（威胁发生的频率十分低，几乎不造成影响）五个等级，其中威胁出现的频率与其级别成正比。

4 工控安全的脆弱性分析

4.1 脆弱性识别

工业控制系统的脆弱性按照不同的属性可以分为技术脆弱性和管理脆弱性。

技术脆弱性可从物理环境（物理隔离、防盗窃破坏、防雷击静电、防水防潮、温湿度控制、应急供电设施、电磁屏蔽、稳压器等），生产管理（网络架构、边界防护、通信传输、无线使用控制、访问控制、口令管理、身份鉴别、安全审计、资源控制、网络协议、入侵及恶意代码防范、安全监视等），应用和数据（组态软件、监控软件、编程软件、数据库软件、服务器软件、软件容错、数据完整性、数据保密性、数据备份恢复、剩余信息保护等），设备和计算（主机、系统及软硬件产品漏洞、访问控制、身份鉴别、口令保护、设备故障、网络设备端口安全等）方面进行识别。

管理脆弱性可从策略和制度（工控安全工作的总体方针、安全策略、管理活动中的各类管理内容、日常管理操作的操作规程等），机构和人员（指导和管理工控安全工作的委员会或领导小组、工控安全工作的职能部门、系统管理员、网络管理员、安全管理员、第三方人员安全等），开发管理（安全产品采购和使用、第三方管理的执行、安全性测试和评估的创建和执行、外包软件验收交付的检查等），运维管理（资产、介质及设备的存放环境、使用、维护和销毁等安全管理、系统维护维修活动、日常监测和报警机制、漏洞和风险管理等）和应急管理（应急演练、应急预案、应急保障队伍等）方面进行识别。

4.2 脆弱性赋值

依据工业控制系统脆弱性被威胁成功利用的难易程度，将工业控制系统的脆弱性划分为“高”（脆弱性程度高，易被威胁利用，将造成完全损害）；“较高”（脆弱性程度较高，较易被威胁利用，将造成重大损害）；“一般”（脆弱性程度中等，可能被威胁利用，将造成一般损害）；“较低”（脆弱性程度较低，较难被威胁利用，将造成较小损害）；“低”（脆弱性程度低，难以被威胁利用，几乎不造成损害）五个严重程度等级，其中脆弱性对工业控制系统所造成的严重程度与其级别成正比。

5 工控安全的风险分析

5.1风险计算

工业控制系统风险计算的方法有很多种，如矩阵法和相乘法，评估者可根据自身情况，参照GB/T 20984-2007《信息安全技术信息安全风险评估规范》 中风险值的范化形式，选择相应的风险计算方法计算工业控制系统的风险值。

5.2 风险结果

结合计算出的工业控制系统的风险值，将风险计算结果划分为“高”（一旦发生将造成恶劣影响，严重危害工业控制系统）；“较高”（一旦发生将造成重大影响，一定程度上危害工业控制系统）；“一般”（一旦发生将造成中等影响，一般程度上危害工业控制系统）；“较低”（一旦发生将造成较低影响，较小程度上危害工业控制系统，采取有效措施便可解决）；“低”（一旦发生造成的影响几乎不存在）五个等级，其中工业控制系统的风险与其级别成正比。

根据评估出的风险等级，工业控制系统应在风险管理中设定可接受风险值的基准，从而确定工控安全的相应策略，保障工业控制系统安全运行。

6 结束语

我国关于工控安全的研究仍然处于起步发展阶段。本文重点研究与分析了工控安全风险评估中资产、威胁、脆弱性问题，并提出了对应分析方法，对提高工业控制系统的安全防护能力有推动作用。

参考文献

[1] 彭勇，等.工业控制系统信息安全研究进展[J].清华大学学报（自然科学版），2012.52（10）：1396-1408.

[2] 中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.信息安全技术信息安全风险评估规范：GB/T 20984—2007[S].北京：中国标准出版社，2007.endprint