郭 江，張志華

（天津水利電力機(jī)電研究所，天津 301900）

1 引言

隨著“兩化融合”的日益推進(jìn)和物聯(lián)網(wǎng)的迅猛發(fā)展以及智能設(shè)備的廣泛使用，水電廠工控系統(tǒng)也在經(jīng)歷深刻的變革，傳統(tǒng)意義上的相對(duì)封閉和穩(wěn)定環(huán)境的工控系統(tǒng)，正在逐步打破“信息孤島”的局面，隨之而來的各種網(wǎng)絡(luò)攻擊、安全威脅也不可避免的暴露出來。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，網(wǎng)絡(luò)安全已經(jīng)提高到一個(gè)前所未有的高度。網(wǎng)絡(luò)安全法明確指出：“國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。水電廠作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，水電廠工控系統(tǒng)網(wǎng)絡(luò)安全需要重點(diǎn)關(guān)注及重點(diǎn)保護(hù)，貫徹“要全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改”的要求，從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估入手，使用符合水電廠工控系統(tǒng)特點(diǎn)的理論、方法和工具，準(zhǔn)確發(fā)現(xiàn)工控系統(tǒng)存在的主要問題和潛在風(fēng)險(xiǎn)，指導(dǎo)水電廠工控系統(tǒng)的安全防護(hù)，建立水電廠工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系。

2 風(fēng)險(xiǎn)評(píng)估的意義

風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生所造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，其防范和化解信息安全風(fēng)險(xiǎn)的有效性得到了世界各國(guó)的高度認(rèn)可。風(fēng)險(xiǎn)評(píng)估已成為目前各類信息安全服務(wù)中需求最為普遍的基礎(chǔ)性服務(wù)之一。

水電廠工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與傳統(tǒng)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估有著本質(zhì)的不同，首先是評(píng)估的對(duì)象不同：傳統(tǒng)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的主要評(píng)估對(duì)象是信息系統(tǒng)的組成部分，如IT網(wǎng)絡(luò)、辦公主機(jī)、路由器、交換機(jī)、數(shù)據(jù)庫(kù)等，而水電廠工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估的主要評(píng)估對(duì)象除了上述外，更重要的是工控系統(tǒng)的組成部分：如工控網(wǎng)絡(luò)、工業(yè)主機(jī)、工控設(shè)備、生產(chǎn)工藝等。其次是評(píng)估的工具不同：傳統(tǒng)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估所使用的評(píng)估工具大多可以用于水電廠工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估，部分工具需要根據(jù)水電廠工控系統(tǒng)的特點(diǎn)進(jìn)行升級(jí)，如漏洞掃描工具，就要有水電廠工控系統(tǒng)的特色，漏洞庫(kù)要包含工控相關(guān)的漏洞，有些工具是工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估所獨(dú)有的，如漏洞挖掘檢測(cè)工具，就是用于對(duì)工控設(shè)備的未知漏洞挖掘和檢測(cè)，而一般不會(huì)應(yīng)用于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中。最后是評(píng)估的標(biāo)準(zhǔn)不同：水電廠工控系統(tǒng)的優(yōu)先級(jí)要高于信息系統(tǒng)，任何對(duì)生產(chǎn)過程造成影響的安全問題都會(huì)帶來直接的經(jīng)濟(jì)損失，甚至是人員傷亡，因此，同樣的評(píng)估對(duì)象其評(píng)估標(biāo)準(zhǔn)也有所不同，如：同樣是主機(jī)防護(hù)措施，工控系統(tǒng)主機(jī)和辦公主機(jī)因?yàn)橛猛静煌?，U盤使用、軟件安裝的要求就不一樣，防護(hù)的要求也有所不同，防病毒軟件往往就不適合用于工控系統(tǒng)主機(jī)的安全防護(hù)，其評(píng)估的標(biāo)準(zhǔn)與信息系統(tǒng)的主機(jī)就不能一概而論。因此，不能采取傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法，應(yīng)建立適合水電廠工控網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估模型。

通過風(fēng)險(xiǎn)評(píng)估可以了解水電廠工控資產(chǎn)所面臨的威脅狀況、漏洞情況，合規(guī)要求和嚴(yán)重程度情況。全面掌握水電廠工控系統(tǒng)安全狀況，為加強(qiáng)風(fēng)險(xiǎn)管理、安全防護(hù)建設(shè)提供重要的依據(jù)；提高內(nèi)部人員對(duì)信息安全的認(rèn)識(shí)。風(fēng)險(xiǎn)評(píng)估過程中，通過回答問題、訪談?wù){(diào)研、工具接入分析、風(fēng)險(xiǎn)分析計(jì)算等活動(dòng)，使內(nèi)部人員對(duì)水電廠工控系統(tǒng)網(wǎng)絡(luò)安全的認(rèn)識(shí)得到逐步提高；形成關(guān)鍵資產(chǎn)與合規(guī)的信息安全風(fēng)險(xiǎn)列表，為風(fēng)險(xiǎn)管理提供可視可控的基礎(chǔ)數(shù)據(jù)，為水電廠建立風(fēng)險(xiǎn)管理長(zhǎng)效機(jī)制奠定基礎(chǔ)。

3 風(fēng)險(xiǎn)評(píng)估的內(nèi)容及方法

水電廠工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估應(yīng)在深入調(diào)研水電廠工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，參照《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》（國(guó)能安全〔2015〕36號(hào)）、《電力行業(yè)信息安全等級(jí)保護(hù)基本要求》（電監(jiān)會(huì)〔2012〕62號(hào)）及《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（發(fā)改委-2014-14號(hào)令），建立風(fēng)險(xiǎn)評(píng)估模型，開展風(fēng)險(xiǎn)評(píng)估工作。水電廠工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包含技術(shù)評(píng)估和管理評(píng)估兩個(gè)方面，其中技術(shù)評(píng)估包括流量風(fēng)險(xiǎn)、漏洞分析等；管理評(píng)估涉及資產(chǎn)識(shí)別、人員訪談、問卷調(diào)查、現(xiàn)場(chǎng)核實(shí)等。表1為水電廠工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估一覽表。

技術(shù)評(píng)估方法：采用專用設(shè)備接入檢測(cè)的方式進(jìn)行（圖1）。將威脅評(píng)估管理平臺(tái)通過端口鏡像的形式接入到系統(tǒng)核心交換機(jī)，識(shí)別工控系統(tǒng)中的設(shè)備資產(chǎn)，并與威脅評(píng)估平臺(tái)的工控漏洞庫(kù)進(jìn)行比較分析，發(fā)現(xiàn)各級(jí)別的漏洞風(fēng)險(xiǎn)，從而為后續(xù)有針對(duì)性的開展風(fēng)險(xiǎn)處置提供參考依據(jù)；獲取工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量，展開深度流量、端口、協(xié)議等風(fēng)險(xiǎn)分析,發(fā)現(xiàn)可能存在的風(fēng)險(xiǎn)。

管理評(píng)估方法：通過人員訪談、制度調(diào)閱、問卷調(diào)查和現(xiàn)場(chǎng)核實(shí)等方式，了解水電廠工控系統(tǒng)管理方面存在的風(fēng)險(xiǎn)。

表1 水電廠工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估一覽表

圖1 技術(shù)評(píng)估方法

4 風(fēng)險(xiǎn)評(píng)估的分析計(jì)算及風(fēng)險(xiǎn)處置

水電廠工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估主要涉及資產(chǎn)、威脅和脆弱性3個(gè)基本要素，每個(gè)要素有其各自的屬性。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是嚴(yán)重程度。

對(duì)水電廠工控系統(tǒng)的資產(chǎn)進(jìn)行識(shí)別（包括硬件資產(chǎn)、軟件資產(chǎn)等），并對(duì)資產(chǎn)價(jià)值進(jìn)行賦值，即資產(chǎn)賦值；對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值，即威脅賦值；對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體嚴(yán)重程度賦值，即脆弱性賦值；根據(jù)威脅賦值即威脅利用脆弱的難易程度判斷安全事件發(fā)生的可能性；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的賦值計(jì)算安全事件造成的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。（風(fēng)險(xiǎn)評(píng)估模型如圖2所示）

圖2 風(fēng)險(xiǎn)評(píng)估模型

計(jì)算公式為：風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×脆弱性值×威脅值。根據(jù)計(jì)算風(fēng)險(xiǎn)值的大小，分為極高風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)4級(jí)。

風(fēng)險(xiǎn)處置是整個(gè)風(fēng)險(xiǎn)評(píng)估工作中的最后一個(gè)重要環(huán)節(jié)，也是實(shí)施周期最長(zhǎng)、難度最大的階段。風(fēng)險(xiǎn)處置的主要工作內(nèi)容是根據(jù)前一階段的評(píng)估結(jié)果，對(duì)每一項(xiàng)風(fēng)險(xiǎn)采取相應(yīng)的措施，最終將風(fēng)險(xiǎn)降低到可以接受的水平。

對(duì)于極高、高風(fēng)險(xiǎn)，工控系統(tǒng)危急、高危漏洞必須采取安全措施進(jìn)行風(fēng)險(xiǎn)消除；對(duì)于中風(fēng)險(xiǎn)、工控系統(tǒng)中危漏洞，經(jīng)評(píng)審后，原則上需納入風(fēng)險(xiǎn)處置計(jì)劃進(jìn)行整改，消除風(fēng)險(xiǎn)。對(duì)于水電廠無法對(duì)該風(fēng)險(xiǎn)實(shí)施有效控制的或不具備對(duì)該風(fēng)險(xiǎn)采取有效管控的中風(fēng)險(xiǎn)、中危漏洞可以考慮接受；對(duì)于低風(fēng)險(xiǎn)、工控系統(tǒng)低危漏洞，由于發(fā)生可能性低或發(fā)生后影響較低，可以接受，不納入風(fēng)險(xiǎn)處理計(jì)劃。

針對(duì)不同風(fēng)險(xiǎn)，主要采取以下處理方法:

（1）制度修訂：通過新增或修訂現(xiàn)有制度或安全管理策略文件的方式，將安全管理要求落實(shí)在制度或安全管理策略文件內(nèi)，并要求遵照?qǐng)?zhí)行。

（2）管理優(yōu)化：針對(duì)現(xiàn)有各類安全管理要求，加強(qiáng)安全意識(shí)教育和培訓(xùn)，加強(qiáng)對(duì)各類要求的落實(shí)情況監(jiān)督檢查。

（3）技術(shù)改造：針對(duì)現(xiàn)有技術(shù)管控中存在的不足，對(duì)現(xiàn)有工控設(shè)備、工具進(jìn)行改造或引入成熟工具、設(shè)備，從技術(shù)上實(shí)現(xiàn)相應(yīng)的管控要求。

5 結(jié)語

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第17條規(guī)定“國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè)，鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)。”第24條規(guī)定“有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安全保護(hù)規(guī)范和協(xié)作機(jī)制，加強(qiáng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析評(píng)估”，及第33條規(guī)定“對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，必要時(shí)可以委托專業(yè)檢驗(yàn)檢測(cè)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估”。因此，信息安全風(fēng)險(xiǎn)評(píng)估工作，已經(jīng)成為當(dāng)前及未來我國(guó)各行業(yè)網(wǎng)絡(luò)安全工作的重點(diǎn)，也是網(wǎng)絡(luò)安全的常態(tài)化工作，更是遵守和落實(shí)我國(guó)網(wǎng)絡(luò)安全法治建設(shè)的關(guān)鍵。

未來的水電廠工控系統(tǒng)將會(huì)融合更多先進(jìn)的信息安全技術(shù)，如可信計(jì)算、云安全等。因此，需通過風(fēng)險(xiǎn)評(píng)估掌握水電廠工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀，服務(wù)器、控制器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等存在的安全漏洞，人員及管理等方面存在的安全風(fēng)險(xiǎn)，通過風(fēng)險(xiǎn)評(píng)估，提出水電廠工控系統(tǒng)網(wǎng)絡(luò)安全對(duì)策，指導(dǎo)水電廠工控系統(tǒng)安全防護(hù)，建立水電廠工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系。

[1]郭嫻.互聯(lián)網(wǎng)+時(shí)代下工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全[J].自動(dòng)化博覽，2015（7）.

[2]謝豐.美國(guó)工控安全保障管理的啟示[J].中國(guó)信息安全，2012（3）.

[3]王孝良,崔保紅,李思其.關(guān)于工控系統(tǒng)信息安全的思考與建議[J].信息網(wǎng)絡(luò)安全,2012（8）.

[4]劉威,李冬,孫波.工業(yè)控制系統(tǒng)安全分析[J].信息網(wǎng)絡(luò)安全,2012（8）.

[5]Stouffer K，F(xiàn)alco J，Scarfone K.Guide to Industrial Control Systems(ICS)Security[Z]，2011.

[6]北京匡恩網(wǎng)絡(luò)科技有限公司.2016年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告[R]，2016.

[7]郭江，張志華，張志民.水利工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題初探 [C]//中國(guó)水利學(xué)會(huì)泵及泵站專業(yè)委員會(huì).2015年學(xué)術(shù)年會(huì).

[8]郭江，張志華.工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀及風(fēng)險(xiǎn)分析[C]//抽水蓄能電站自動(dòng)控制技術(shù)應(yīng)用研討會(huì).2016年學(xué)術(shù)交流會(huì)論文集.

[9]張志華，郭江，秦繼偉.水電站控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀及安全對(duì)策[C]//全國(guó)水電站機(jī)電技術(shù)討論會(huì)優(yōu)秀論文集,2016.

[10]胡明遠(yuǎn)，張志華.水電站工控網(wǎng)絡(luò)安全現(xiàn)狀及解決方案[C]//中國(guó)水力發(fā)電工程學(xué)會(huì)信息化專委會(huì)、中國(guó)水力發(fā)電工程學(xué)會(huì)水電控制設(shè)備專委會(huì).2017年學(xué)術(shù)交流會(huì)論文集.

[11]胡明遠(yuǎn)，張志華.泵站工控網(wǎng)絡(luò)安全現(xiàn)狀及解決方案[C]//中國(guó)水利學(xué)會(huì)泵及泵站專業(yè)委員會(huì)2017年學(xué)術(shù)年會(huì).