尹肖棟，嚴 丹，趙一凡

?

論工業(yè)控制系統(tǒng)網(wǎng)絡安全風險評估試點工作

尹肖棟，嚴 丹，趙一凡

（浙江省電子信息產(chǎn)品檢驗所，浙江 杭州 310007）

為了保障工業(yè)控制系統(tǒng)的信息安全，我省工業(yè)企業(yè)主管部門設立了“浙江省工業(yè)控制系統(tǒng)網(wǎng)絡安全風險評估試點工作”專項課題，委托本所開展浙江省工業(yè)控制系統(tǒng)網(wǎng)絡安全風險評估工作。要求對重點工業(yè)企業(yè)進行全面檢查，對發(fā)現(xiàn)的問題進行分析研判，督促相關企業(yè)采取有效措施加以整改，切實提高工業(yè)控制系統(tǒng)網(wǎng)絡安全防護水平；本文從試點工作的流程和方法、試點發(fā)現(xiàn)的風險等角度出發(fā)，深入剖析了整個試點工作的意義。

工業(yè)控制系統(tǒng)；網(wǎng)絡安全；風險評估；試點

0 引言

工業(yè)控制領域正在發(fā)生重大的變革，其中德國的工業(yè)4.0 和美國的工業(yè)互聯(lián)網(wǎng)成為最具代表性的新模式[1]，2015年5月，中國政府發(fā)布了《中國制造2025》[2]，在兩化深度融合的基礎上繼續(xù)進行產(chǎn)業(yè)結(jié)構(gòu)調(diào)整和升級轉(zhuǎn)型[3]。與此同時，美國歐盟等國家地區(qū)對工業(yè)控制系統(tǒng)信息安全也日益重視，工業(yè)控制系統(tǒng)作為關鍵基礎設施作用日益突出。

近幾年，隨著“兩化融合”[4]和“智慧城市”[5]的深入開展，工業(yè)控制系統(tǒng)信息化日益成為我省社會和經(jīng)濟發(fā)展的基礎，政府、企事業(yè)單位對工業(yè)控制系統(tǒng)生產(chǎn)普遍比較重視，但工業(yè)控制系統(tǒng)信息安全防護機制還尚未建立。為加強對工業(yè)控制系統(tǒng)的安全監(jiān)管，保障工業(yè)控制系統(tǒng)的安全運行，我省工業(yè)企業(yè)主管部門委托本所對省內(nèi)重點領域的試點企業(yè)的工業(yè)控制系統(tǒng)信息安全情況開展網(wǎng)絡安全風險評估試點工作。

1 試點工作流程和方法

我所高度重視企業(yè)工控系統(tǒng)的網(wǎng)絡安全風險評估試點工作，積極配合，加強協(xié)調(diào)，優(yōu)化進度，確定試點企業(yè)，落實相關人員，確保評估工作有序開展。特別在此次試點工作中注重強化安全保密意識，指定專人負責管理相關文檔和數(shù)據(jù)，確保工作中涉及到的信息知悉范圍得到有效控制。在評估工作中，強化風險控制措施，嚴格工作紀律和操作規(guī)程，做好重要數(shù)據(jù)和系統(tǒng)配置的備份，確保被評估系統(tǒng)的安全運行，確保試點企業(yè)的正常生產(chǎn)。

1.1 領導重視，統(tǒng)籌協(xié)調(diào)

本次試點工作得到了各級領導的高度重視，為此特地成立由省、市兩級工業(yè)企業(yè)主管部門和我所相關負責領導組成的試點工作組。省級主管部門負責人擔任工作組組長，市級主管部門負責人和本所技術負責人擔任副組長；相關成員單位為小組成員，審議試點工作的實施方案。

1.2 優(yōu)選骨干、加強研究

本所全力配合工作組開展試點工作，在成立的風險評估現(xiàn)場實施項目組的過程中，特地根據(jù)工業(yè)控制系統(tǒng)的特殊性以及所里的優(yōu)勢，選調(diào)了經(jīng)驗豐富的高級工程師、多名自動化專業(yè)、計算機、通訊專業(yè)等專業(yè)的碩士研究生，開展對工控系統(tǒng)相關標準的理論研究，特別是對NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》[6]、GB/T 30976.1-2014《工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范》[7]、GB/T 20984-2007《信息安全技術信息安全風險評估規(guī)范》[8]、GB/T 22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》[9]、GB/T 18336.2-2015 《信息技術安全技術信息技術安全評估準則第2部分：安全功能組件》等標準的研究分析，并結(jié)合省內(nèi)工業(yè)企業(yè)實際情況，編制《工業(yè)企業(yè)控制系統(tǒng)網(wǎng)絡安全調(diào)查表》，確保試點項目的順利實施和推進。

1.3 方案細致、過程規(guī)范

通過前期研究工業(yè)控制系統(tǒng)相關標準要求以及信息安全的特殊性，現(xiàn)場實施項目組集中力量編制了《工業(yè)控制系統(tǒng)脆弱性評估表》，該評估表覆蓋6個層面，涉及85個評估項，共制定了150多個評估指標，涵蓋了內(nèi)部信息系統(tǒng)及其網(wǎng)絡環(huán)境，涉及物理環(huán)境、網(wǎng)絡架構(gòu)、網(wǎng)絡安全設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)、安全管理體系等，為下一步的風險評估工作打下了基礎。

由于工業(yè)控制系統(tǒng)的重要性及特殊性，現(xiàn)場實施項目組嚴格按照規(guī)范組織實施。評估工作開展之前先與每個被評估單位簽訂保密協(xié)議和風險告知書，明確整個項目實施過程中雙方所應承擔的保密責任和義務，評估工作可能引入的風險；現(xiàn)場風險評估時通過召開啟動會的方式，將本次風險評估的目的、意義和風險等內(nèi)容與被評估單位相關領導和負責同志進行溝通，確定現(xiàn)場風險評估范圍，各項內(nèi)容均需得到被評估單位認可；現(xiàn)場評估時，項目組也需嚴格按照前期制定的《工業(yè)控制系統(tǒng)網(wǎng)絡安全風險評估實施方案》開展風險評估；現(xiàn)場評估完成后，項目組會同被評估單位相關領導和負責同志，將現(xiàn)場評估脆弱性進行再次確認，同時將初步結(jié)果進行及時反饋，整個現(xiàn)場評估過程的規(guī)范程度得到了被評估單位的高度認可。

1.4 定期溝通、分步實施

試點實施小組的相關人員定期就試點風險評估工作進行交流，探討試點工作中遇到的難點問題，為后續(xù)的現(xiàn)場評估打好基礎。同時在定期交流溝通的基礎上，有條不紊的分步開展試點工作，主要分為前期調(diào)研、確定試點單位、現(xiàn)場風險評估、數(shù)據(jù)匯總分析、風險分析與報告編制等過程。

（1）前期調(diào)研：項目組協(xié)同工作組開展三個地市近十家工業(yè)企業(yè)進行現(xiàn)場調(diào)研。經(jīng)過初期的調(diào)研工作，項目組初步掌握了各單位工業(yè)控制系統(tǒng)網(wǎng)絡安全基本情況，并向各家單位下發(fā)《工業(yè)企業(yè)控制系統(tǒng)網(wǎng)絡安全調(diào)查表》。

（2）確定試點單位：項目組再次趕赴各工業(yè)企業(yè)進一步調(diào)查，做好風險評估的準備工作。項目組多次會同工業(yè)控制信息安全領域的專家就試點工作開展內(nèi)部交流，認真聽取多方意見和建議，經(jīng)過反復的醞釀和修改，最終確定了三家試點單位。

（3）現(xiàn)場風險評估：工作組先后赴三家工業(yè)企業(yè)開展現(xiàn)場風險評估，評估工作嚴格依據(jù)之前制定《工業(yè)控制系統(tǒng)網(wǎng)絡安全風險評估實施方案》，開展資產(chǎn)識別、威脅識別和脆弱性識別，獲取現(xiàn)場數(shù)據(jù)。

（4）數(shù)據(jù)匯總分析：項目組就現(xiàn)場收集到的各類資產(chǎn)、威脅、脆弱性信息進行整理和分析，并將各賦值結(jié)果進行關聯(lián)分析，結(jié)合安全事件發(fā)生可能性和安全事件的損失，計算出資產(chǎn)所存在的風險等級，并劃定風險值為緊急、高、中、低、很低五檔。

（5）風險分析與報告編制：項目組將風險評估結(jié)果歸納分析，同時針對每個脆弱性給出了合理和細致的風險處置建議，并且結(jié)合每個系統(tǒng)的主要風險，綜合考慮整個工控網(wǎng)絡架構(gòu)后給出整體解決方案和措施，形成工業(yè)控制系統(tǒng)風險評估報告；并將風險評估結(jié)果和整改建議反饋至試點單位。

2 試點發(fā)現(xiàn)的風險

（1）工控系統(tǒng)網(wǎng)絡邊界防護薄弱：工控系統(tǒng)和辦公網(wǎng)絡、互聯(lián)網(wǎng)直接互聯(lián)，且系統(tǒng)邊界處未部署邊界隔離設備；部分工控系統(tǒng)雖然與互聯(lián)網(wǎng)物理隔離，但是系統(tǒng)中的智能儀表進行數(shù)據(jù)傳輸時未采用加密措施，存在從互聯(lián)網(wǎng)到工控系統(tǒng)的攻擊通路。

（2）縱深防御機制缺失：網(wǎng)絡結(jié)構(gòu)扁平化，工控網(wǎng)絡同辦公網(wǎng)絡、甚至門禁監(jiān)控設備在一張網(wǎng)中，且未采用分區(qū)分域的隔離措施；網(wǎng)絡中一般僅采用核心交換機的VLAN訪問控制，且允許非工控網(wǎng)段的其他設備訪問，無法限制非授權訪問行為。

（3）關鍵設施使用不規(guī)范：核心交換機、防火墻、服務器和工程師站等設備大量采用弱口令也未定期更換，組態(tài)軟件在平時使用中存在多人共用一個賬號登錄，也未按最小化原則進行權限分離；工程師站、服務器開啟遠程桌面的方式進行運維，操作系統(tǒng)未關閉多余的服務和端口，無法限制非授權的遠程訪問。

（4）審計功能未配置完全：核心交換機審計日志記錄不全，網(wǎng)絡層也未部署審計設備可對網(wǎng)絡訪問行為進行監(jiān)測和記錄，無法及時發(fā)現(xiàn)非授權的網(wǎng)絡訪問行為；工程師站及組態(tài)軟件未配置審計功能，服務器操作系統(tǒng)也開啟審計策略，一旦發(fā)生誤操作無法及時追溯。

（5）介質(zhì)管控措施缺失：大部分設備的USB接口缺少技術管控措施，可非授權接入U盤和手機數(shù)據(jù)線等存儲介質(zhì)，容易通過擺渡方式實施攻擊。

（6）信息安全方針未建立，信息安全組織機構(gòu)未成立：未按照國家相關政策和標準建立信息安全方針，無法對信息安全工作提供指導；未成立信息安全組織機構(gòu)，無法從整個體系上對工控系統(tǒng)的信息安全工作進行指導和監(jiān)督；未確定信息安全主管和網(wǎng)絡管理員，沒有專人負責信息安全工作，易導致出現(xiàn)責任推諉和管理不到位的情況，發(fā)生信息安全事件時難以進行針對性地部署。

（7）系統(tǒng)運維依賴性強：工控系統(tǒng)的運維大量依賴外包，尤其是重點設備的升級維護等，而單位內(nèi)部管理人員對系統(tǒng)配置等技術能力偏弱，缺少工控系統(tǒng)的應急預案和備份恢復措施。

3 結(jié)語

從試點工作的情況來看，目前我省對工業(yè)控制系統(tǒng)的信息安全工作尚在探索時期。雖然政府、企事業(yè)單位對工業(yè)控制系統(tǒng)生產(chǎn)普遍比較重視，但缺乏工業(yè)控制系統(tǒng)的法規(guī)和標準依據(jù)，不能對工業(yè)控制系統(tǒng)實行有效的安全評估。同時大多數(shù)企業(yè)對控制系統(tǒng)還是以管理為主的被動防御，在技術上缺乏主動防御的控制類安全產(chǎn)品，在行業(yè)上缺少工業(yè)控制系統(tǒng)風險評估的專業(yè)隊伍，大部分工控系統(tǒng)核心產(chǎn)品嚴重依賴進口[10]，這些都表明我省的工業(yè)控制系統(tǒng)信息安全形勢十分嚴峻，加固工業(yè)控制系統(tǒng)刻不容緩。

[1] 楊帥. 工業(yè)4.0與工業(yè)互聯(lián)網(wǎng): 比較、啟示與應對策略[J]. 當代財經(jīng), 2015(8): 100.

[2] 李金華. 德國“工業(yè)4.0”與“中國制造2025”的比較及啟示[J]. 中國地質(zhì)大學學報, 2015(9)第15卷第5期: 71.

[3] 梁東黎. 我國工業(yè)結(jié)構(gòu)調(diào)整的轉(zhuǎn)型升級進程[J]. 探索與爭鳴, 2011(4): 53.

[4] 杜傳忠, 楊志坤. 我國信息化與工業(yè)化融合水平測度及提升路徑分析[J]. 中國地質(zhì)大學學報(社會科學版), 2015(3): 84.

[5] 喬宏章, 付長軍. “智慧城市”發(fā)展現(xiàn)狀與思考[J]. 無線電通信技術, 2014(6): 1.

[6] 王毅凡, 宋志慧, 周密. 美國加強工業(yè)控制系統(tǒng)安全建設的主要舉措探究[J]. 信息安全與通信保密, 2014(6): 48.

[7] 李揚. 新形勢下工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析與建議[J]. 保密科學技術, 2017(7): 35.

[8] 黃水清, 任妮. 字圖書館信息安全風險評估的方法與模型[J]. 圖書情報工作, 2014(2): 16.

[9] 郭啟全. 國家信息安全等級保護工作的開展與實施[J]. 警察技術, 2007(5): 9.

[10] 張向宏, 耿貴寧. 基于可信計算的工業(yè)控制安全體系架構(gòu)研究[J]. 保密科學技術, 2014(8): 6.

Discussion on the Pilot Work of Network Security Risk Assessment for Industrial Control System

YIN Xiao-dong1, YAN Dan2, ZHAO Yi-fan2

(No. 50th Tianmu Road, Hangzhou 310007, China)

In order to protection the information security of industrial control system,The competent department of industrial enterprises in our province has set up “the pilot work of the network security risk assessment of industrial control system in Zhejiang province” special project,commissioned the unit to carry out the network security risk assessment of industrial control system in Zhejiang Province,require a comprehensive inspection of key industrial enterprises, analyze and study the problems found, urge relevant enterprises to take effective measures for rectification,improving the network security protection level of industrial control system; from the perspective of the process and method of the pilot work and the risk of the pilot discovery, this paper deeply analyzes the significance of the whole pilot work.

Industrial control systems; Network security; Risk assessment; Pilot

TP399

A

10.3969/j.issn.1003-6970.2018.09.012

浙江省科技計劃項目“威脅態(tài)勢感知平臺”(2017F10030)

尹肖棟(1982-)，男，碩士，高級工程師，主要研究方向為信息安全；嚴丹(1983-)，女，碩士，工程師，主要研究方向為信息安全；趙一凡(1987-)，男，碩士，工程師，主要研究方向為信息安全。

本文著錄格式：尹肖棟，嚴丹，趙一凡. 論工業(yè)控制系統(tǒng)網(wǎng)絡安全風險評估試點工作[J]. 軟件，2018，39（9）：55-57