1　工业控制系统风险评估的作用与意义

风险评估是实现工控系统信息安全纵深防御的基础，风险评估能够准确地评估工控系统存在的主要信息安全问题和潜在的风险，风险评估的结果是工控系统安全防护与监控策略建立的基础。

工控系统与办公系统不同，工控系统中使用智能设备、嵌入式操作系统和各种专用协议，尤其是智能设备具有集成度高、行业性强、内核不对外开放、数据交互接口无法进行技术管控等特点。因此，工控系统的安全风险评估，是基于IT风险评估原理，同时结合工业控制系统的特点而开展的。

同时，工业控制系统作为关键基础设施，应该注重整个生命周期的风险评估，而不同的生命周期，其风险评估重点也有所不同。工控系统的风险评估，应该从设备的采购、设备的运行、设备的维护、设备的报废几个阶段分别进行。

2　工业控制系统风险评估的方法与工具

在工控风险评估过程中，可以采用多种操作方法，包括经验分析、定性分析和定量分析。无论何种方法，共同的目标都是找出组织信息资产面临的风险及影响，以及目前安全水平与组织安全需求之间的差距。

在工控风险分析的过程中，需要采用风险评估工具进行风险评估，以提高风险评估效率，及时发现工控系统面临的风险。

2.1　经验分析法

经验分析法又称为基于知识的分析方法，可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。经验风险法比较适合经验比较少的操作者，由经验比较丰富的操作者按照标准和惯例制订安全基线，供经验比较少的操作者借鉴使用。

基于知识的分析方法，最重要的还在于评估信息的采集。信息采集方法包括：会议讨论；对当前的信息安全策略和相关文档进行复查；制作问卷，进行调查；对相关人员进行访谈；进行实地考察等。

2.2　定量分析法

定量分析法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单地说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。

对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性，另一个就是威胁事件可能引起的损失。理论上讲，通过定量分析可以对安全风险进行准确地分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的比较少了。

2.3　定性分析法

定性分析方法是目前采用最为广泛的一种方法，它具有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值、威胁的可能性、弱点被利用的容易度、现有控制措施的效力等）的大小或高低程度定性分级，例如分为“高”、“中”、“低”三级。

定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。

与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。

总之，不管是经验分析法，还是定性、定量分析法，其核心思想都是依据威胁出现的频率、脆弱性的严重程度来确认安全事件发生的可能性，依据资产价值和脆弱性的严重程度来确认安全事件会造成的损失，最终从安全事件发生的可能性和损失来判断风险值。其原理图如图1所示。

图1 风险值判断识别原理示意图

2.4　风险评估的工具

风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：

（1）调查问卷——风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。

（2）检查列表——检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款。通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求之间的差距。

（3）人员访谈——风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全意识、业务操作、管理程序等重要信息。

（4）漏洞扫描器——漏洞扫描器（包括基于网络探测和基于主机审计）可以对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner等。

（5）渗透测试——这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。

总之，工业控制系统风险评估采用的理念和方法，是在IT风险评估的理念和方法的基础上，结合工业控制系统相对比较封闭、规模大、资产数量多、漏洞数量多、脆弱性问题多的特点，建立工业控制系统风险评估理念与方法。下面我们通过案例来展示风险评估在工业控制系统中的应用。

3　工业控制系统风险评估的步骤与内容

3.1　工业控制系统风险评估的步骤

工业控制系统的风险评估，按照工控系统的生命周期来评估，每个生命周期，其风险评估具有不同的特点，但总得来说，每个生命周期的风险评估，都可以分以下4个阶段进行，如图2所示。

（1）系统调研阶段：确定风险评估的范围，分析系统的拓扑结构，评估相关子系统的重要性。

（2）脆弱性检测阶段：获取设备清单，识别系统的关键资产，确定设备用途，分析基本组成，对资产进行脆弱性检测。

（3）风险评估阶段：对检测到的每一个脆弱点，根据不同设备类型，结合现有的安全防护措施，评估其可能面临的威胁，及其可能造成的风险。

（4）风险处理阶段：论证残余风险是否可以接受。如果不可接受，那么需要启动风险处置计划。如果风险可以接受，则建立安全基线列表。

图2 生命周期风险评估的四个阶段

3.2　工业控制系统风险评估的范围

工控设备安全保密风险需求主要涉及到三大方面，如图3所示。一是工控设备所处的物理环境安全，如防偷窃、非授权接触、是否有窃听窃视装置等；二是工控设备自身的安全，主要分析包括硬件、软件、网络等方面的安全；三是工控设备的安全保密管理问题，包括其管理机构、人员、制度、流程等。

图3 工业控制系统风险评估的范围示意图

4　工业控制系统威胁源及其引入途径

4.1　工业控制系统安全威胁源

工业控制系统威胁源包括内部威胁、外部威胁、可用性威胁。内部威胁包括操作人员、维护人员。外部威胁包括工业间谍、病毒、异常行为，其可能给工控系统带来的风险和等级如表1所示。

表1 工业控制系统安全威胁源可能给其带来的风险和等级

4.2　工业控制系统风险引入途径

工业控制系统威胁入侵途径是多种多样的，按照类型可以划分为以下六类：来自互联网的攻击、来自企业网的攻击、工业无线网络带来的威胁、现场操作人员造成的威胁、现场运维人员带来的威胁、远程运维带来的威胁。在风险评估的过程中，要充分评估以上六种风险引入的可能性。

作者简介

张晔（1973-），男，现就职于启明星辰信息技术集团股份有限公司，主要研究方向为工业控制系统信息安全。发明了工业控制系统现场运维审计与管理系统，填补了国内该产品的空白；发明了动态安全保障体系模型和等级保护技术架构模型；在国内首次提出了工控系统安全的“四化”理念。在相关媒体发表过《工业控制系统安全体系架构与管理平台》、《工业控制系统安全理念与方法论》、《论信息系统安全“四化”建设》、《信息安全动态保障体系建设探讨》等系列文章。

摘自《工业控制系统信息安全专刊（第二辑）》