智能工厂工控系统安全风险评估

智能工厂工控系统安全风险评估

赵子龙

信义玻璃（天津）有限公司 天津市 301700

摘要：在这场蓬勃发展的智能工厂建设浪潮中，“工控网络安全问题”没有得到有效的重视，甚至被忽视。与传统工厂相比，智能工厂的核心支撑框架实际上是一个工业控制网络，因此也存在网络安全问题。加强工控系统网络安全风险评估是智能工厂建设的重要基础环节。

关键词：智能工厂；工控系统网络；安全风险评估；

一、工控系统安全风险评估的方法

1.面向业务流程的风险评估:通过对工业控制系统各业务系统及子系统的人员、资产、生产流程、数据流等存在信息交互和关联的因素进行安全风险分析，发现在组织、管理、技术方面可能存在的风险，进行业务生命周期的风险评估。

2.面向信息资产的风险评估:该方法主要是基于已经标准化的风险评估要素，通过量化的方法来进行评估。

3.面向合规风险评估:这里的合规主要指的是符合有关国家政策标准、行业标准、监管要求和最佳实践，结合风险评估的方法评估工控系统风险，重点排查企业可能存在的合规风险。对于智能工厂的建设企业来说，具有安全风险评估的意识是首要的，在执行风险评估时主要有四种形式:自评估、检查评估、上线安全评估和型式安全评估。在不影响工控系统生产业务的基础上，企业可以根据相应行业的标准规范和实际需要来选择相应风险评估方式。随着技术的进步工控系统是在不断发展的，其面临的威胁也在不断进化，因此工控系统的安全风险评估不是一蹴而就的，而是要根据实际情况，在工控系统的整个生命周期内不间断地进行。具体的评估时间可以参考如下方法:1)周期性风险评估:建议对工业控制系统每年进行一次风险评估;2)工业控制系统发生变化，如升级改造等，应该进行风险评估;3)根据国家政策标准和行业监管要求进行的合规性的专项风险评估。

二、工控系统安全风险评估的实施

1.资产评估。资产评估就是对工控系统的信息资产进行识别，然后根据资产的机密性、可用性、完整性进行赋值和计算。(1)资产识别就是对工控系统设备、数据和人员等系统构成元素进行分类和标记，从而明确资产的用途、使命和作用。根据资产的形式和内容各不相同，可以把资产分为数据、软件、硬件、服务、人员和其他六类。(2)资产赋值可以参考国家标准GB/T 20984-2007中的方法，采取分级的思路对资产的机密性、可用性和完整性进行赋值。一般情况下可以分为5个层级，分别赋值1～5分，分值越大，层级就越高，具体的操作如表1所示。

表1资产评估赋值表

根据表1得出被评估资产在机密性(C)、完整性(I)和可用性(A)上的赋值之后，可以根据公式计算工控系统资产的最终赋值V，可以参考如下模型:

V=f(A，I，C)

根据实践经验，建议分别取A、I、C的最大值，然后相乘作为最终赋值。

2.威胁评估。威胁评估应全面考虑系统外部和内部因素，并同步结合历史事件统计分析结果、经验、威胁情报、安防动态等信息综合考虑。威胁评估主要包括两个方面:一是根据工控系统的运行环境确定面临的威胁;二是确定威胁的严重程度和发生的频率。不同的资产所处的环境和应用的场合不同，其面临的威胁也不尽相同，因此需要对各类威胁进行有效的识别。工控系统可能面临的威胁来源主要有环境因素、内部人员、黑客、恶意软件作者、恐怖分子、工业间谍、境外国家力量等，而威胁的表现形式则主要有非法信息披露、非法分析、非法修改、篡改控制组件、错误操作、冒充合法用户、抵赖、拒绝服务、提升权限、故障检测缺失、病毒感染、非法物理存取等。通过交流、观察和调查，并结合威胁出现的频次对威胁进行赋值，赋值越高，说明资产面临的风险也越大。

3.脆弱性评估。脆弱性就是通常所说的弱点，主要指的是系统设计、实现或者操作和管理中存在的缺陷。脆弱性可以从物理环境、网络、平台和安全管理四个方面进行识别，并根据脆弱性对资产的影响程度进行赋值。脆弱性赋值主要依据严重程度和对系统安全属性的影响这两个方面来进行，在进行脆弱性识别时主要考虑两个方面:管理脆弱性和技术脆弱性。其管理脆弱性又包括组织管理脆弱性和技术管理脆弱性，而技术脆弱性的识别则主要从物理环境、接入网络、平台脆弱性、工业控制协议、工业控制系统漏洞等方面着手。以工业控制现场常用的Modbus工业协议为例，其常见的安全问题有缺乏认证、没有加密、没有消息校验、没有广播抑制、恶意代码注入等，这些脆弱性风险都是需要考虑的。

4.工艺特征识别与赋值。不同行业的工厂其生产工艺过程是不同的，对应的工控系统所面临的安全威胁也是有差异的，工艺过程越复杂，其面临的安全风险也就越大。工艺特征识别就是对系统工艺过程的重要性、影响性和复杂度进行分析和赋值，并在此基础上得出一个综合结果的过程。为了保证工控系统风险评估的准确性，企业应该结合行业和自身实际情况制定一份详细的工艺特征评价标准，以指导工艺特征的识别。以工艺复杂度为例，其评定的方法可以根据生产工艺过程中工艺环节复杂度、工序数、系统及子系统符合状态、系统的阶段和层次等属性进行综合描述，

5. 工控系统安全风险的计算。工控系统安全风险的量化计算主要从两个方面考虑:一个是安全事件发生的可能性;另一个是安全事件的后果影响程度。风险计算的原理可以参考以下模型:风险值=Ｒ(A，P，T，V)或者风险值=W(L(Ps×T，Pc×V)×Pi×F(Ia，Va)

其中，Ｒ和W表示安全风险计算函数;A、T、V分别表示工控系统设备、威胁和脆弱性;L和F分别表示威胁利用脆弱性导致安全事件发生的可能性和安全事件发生后产生的损失;Ia表示安全事件所作用的工控系统设备价值;Va表示脆弱性严重程度;P表示工控系统工艺特征，Pc表示工艺特征复杂度，Ps表示工艺特征重要性，Pi表示工艺特征影响性。在具体进行风险评估时可以根据具体情况选择相应风险计算方法，比如矩阵法和相乘法。矩阵法就需要构造二维矩阵，把可能性与损失建立二维关系;相乘法则通过构造经验函数，将安全事件发生的可能性与安全事件造成的损失进行计算得到风险值。

6.工控系统安全风险的等级划分。为了对工控系统安全风险进行有效的控制和管理，可以考虑对风险评估的结果进行等级化处理，从而在风险处置时就可以根据不同的风险等级采取不同的处置策略。等级化处理的方法就是按照风险值的高低进行等级划分，风险值越高，其对应的风险等级也越高。企业应该根据自身的情况和需要综合考虑风险控制成本与风险造成的影响，设定一个可以接受的风险范围。如果风险计算值在可接受的范围内，则可以保持已有的安全措施。如果风险评估值在可接受的范围外，则需要进一步采取安全措施以降低和控制风险，

总之。智能工厂的智慧互联的特性，使得整个工厂成为了一个互联互通的基于信息技术和物联网的工业网络，工控系统网络安全问题一直得不到重视，甚至被忽视了，而目前在国家层面又相对缺少针对智能工厂工控安全的政策、法规和标准，因此加快对工控网络安全策略的研究是十分紧迫的现实需求。

参考文献：

［1］张萍，智慧工厂的参考模型与关键2019．

［2］陈林，浅谈智能工厂工控系统安全风险评估.2020.