尹肖棟，嚴(yán) 丹，趙一凡

?

論工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作

尹肖棟，嚴(yán) 丹，趙一凡

（浙江省電子信息產(chǎn)品檢驗(yàn)所，浙江 杭州 310007）

為了保障工業(yè)控制系統(tǒng)的信息安全，我省工業(yè)企業(yè)主管部門設(shè)立了“浙江省工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作”專項(xiàng)課題，委托本所開展浙江省工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作。要求對(duì)重點(diǎn)工業(yè)企業(yè)進(jìn)行全面檢查，對(duì)發(fā)現(xiàn)的問題進(jìn)行分析研判，督促相關(guān)企業(yè)采取有效措施加以整改，切實(shí)提高工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平；本文從試點(diǎn)工作的流程和方法、試點(diǎn)發(fā)現(xiàn)的風(fēng)險(xiǎn)等角度出發(fā)，深入剖析了整個(gè)試點(diǎn)工作的意義。

工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)評(píng)估；試點(diǎn)

0 引言

工業(yè)控制領(lǐng)域正在發(fā)生重大的變革，其中德國(guó)的工業(yè)4.0 和美國(guó)的工業(yè)互聯(lián)網(wǎng)成為最具代表性的新模式[1]，2015年5月，中國(guó)政府發(fā)布了《中國(guó)制造2025》[2]，在兩化深度融合的基礎(chǔ)上繼續(xù)進(jìn)行產(chǎn)業(yè)結(jié)構(gòu)調(diào)整和升級(jí)轉(zhuǎn)型[3]。與此同時(shí)，美國(guó)歐盟等國(guó)家地區(qū)對(duì)工業(yè)控制系統(tǒng)信息安全也日益重視，工業(yè)控制系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施作用日益突出。

近幾年，隨著“兩化融合”[4]和“智慧城市”[5]的深入開展，工業(yè)控制系統(tǒng)信息化日益成為我省社會(huì)和經(jīng)濟(jì)發(fā)展的基礎(chǔ)，政府、企事業(yè)單位對(duì)工業(yè)控制系統(tǒng)生產(chǎn)普遍比較重視，但工業(yè)控制系統(tǒng)信息安全防護(hù)機(jī)制還尚未建立。為加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的安全監(jiān)管，保障工業(yè)控制系統(tǒng)的安全運(yùn)行，我省工業(yè)企業(yè)主管部門委托本所對(duì)省內(nèi)重點(diǎn)領(lǐng)域的試點(diǎn)企業(yè)的工業(yè)控制系統(tǒng)信息安全情況開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作。

1 試點(diǎn)工作流程和方法

我所高度重視企業(yè)工控系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作，積極配合，加強(qiáng)協(xié)調(diào)，優(yōu)化進(jìn)度，確定試點(diǎn)企業(yè)，落實(shí)相關(guān)人員，確保評(píng)估工作有序開展。特別在此次試點(diǎn)工作中注重強(qiáng)化安全保密意識(shí)，指定專人負(fù)責(zé)管理相關(guān)文檔和數(shù)據(jù)，確保工作中涉及到的信息知悉范圍得到有效控制。在評(píng)估工作中，強(qiáng)化風(fēng)險(xiǎn)控制措施，嚴(yán)格工作紀(jì)律和操作規(guī)程，做好重要數(shù)據(jù)和系統(tǒng)配置的備份，確保被評(píng)估系統(tǒng)的安全運(yùn)行，確保試點(diǎn)企業(yè)的正常生產(chǎn)。

1.1 領(lǐng)導(dǎo)重視，統(tǒng)籌協(xié)調(diào)

本次試點(diǎn)工作得到了各級(jí)領(lǐng)導(dǎo)的高度重視，為此特地成立由省、市兩級(jí)工業(yè)企業(yè)主管部門和我所相關(guān)負(fù)責(zé)領(lǐng)導(dǎo)組成的試點(diǎn)工作組。省級(jí)主管部門負(fù)責(zé)人擔(dān)任工作組組長(zhǎng)，市級(jí)主管部門負(fù)責(zé)人和本所技術(shù)負(fù)責(zé)人擔(dān)任副組長(zhǎng)；相關(guān)成員單位為小組成員，審議試點(diǎn)工作的實(shí)施方案。

1.2 優(yōu)選骨干、加強(qiáng)研究

本所全力配合工作組開展試點(diǎn)工作，在成立的風(fēng)險(xiǎn)評(píng)估現(xiàn)場(chǎng)實(shí)施項(xiàng)目組的過程中，特地根據(jù)工業(yè)控制系統(tǒng)的特殊性以及所里的優(yōu)勢(shì)，選調(diào)了經(jīng)驗(yàn)豐富的高級(jí)工程師、多名自動(dòng)化專業(yè)、計(jì)算機(jī)、通訊專業(yè)等專業(yè)的碩士研究生，開展對(duì)工控系統(tǒng)相關(guān)標(biāo)準(zhǔn)的理論研究，特別是對(duì)NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》[6]、GB/T 30976.1-2014《工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范》[7]、GB/T 20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》[8]、GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》[9]、GB/T 18336.2-2015 《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第2部分：安全功能組件》等標(biāo)準(zhǔn)的研究分析，并結(jié)合省內(nèi)工業(yè)企業(yè)實(shí)際情況，編制《工業(yè)企業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全調(diào)查表》，確保試點(diǎn)項(xiàng)目的順利實(shí)施和推進(jìn)。

1.3 方案細(xì)致、過程規(guī)范

通過前期研究工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)要求以及信息安全的特殊性，現(xiàn)場(chǎng)實(shí)施項(xiàng)目組集中力量編制了《工業(yè)控制系統(tǒng)脆弱性評(píng)估表》，該評(píng)估表覆蓋6個(gè)層面，涉及85個(gè)評(píng)估項(xiàng)，共制定了150多個(gè)評(píng)估指標(biāo)，涵蓋了內(nèi)部信息系統(tǒng)及其網(wǎng)絡(luò)環(huán)境，涉及物理環(huán)境、網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、安全管理體系等，為下一步的風(fēng)險(xiǎn)評(píng)估工作打下了基礎(chǔ)。

由于工業(yè)控制系統(tǒng)的重要性及特殊性，現(xiàn)場(chǎng)實(shí)施項(xiàng)目組嚴(yán)格按照規(guī)范組織實(shí)施。評(píng)估工作開展之前先與每個(gè)被評(píng)估單位簽訂保密協(xié)議和風(fēng)險(xiǎn)告知書，明確整個(gè)項(xiàng)目實(shí)施過程中雙方所應(yīng)承擔(dān)的保密責(zé)任和義務(wù)，評(píng)估工作可能引入的風(fēng)險(xiǎn)；現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估時(shí)通過召開啟動(dòng)會(huì)的方式，將本次風(fēng)險(xiǎn)評(píng)估的目的、意義和風(fēng)險(xiǎn)等內(nèi)容與被評(píng)估單位相關(guān)領(lǐng)導(dǎo)和負(fù)責(zé)同志進(jìn)行溝通，確定現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估范圍，各項(xiàng)內(nèi)容均需得到被評(píng)估單位認(rèn)可；現(xiàn)場(chǎng)評(píng)估時(shí)，項(xiàng)目組也需嚴(yán)格按照前期制定的《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方案》開展風(fēng)險(xiǎn)評(píng)估；現(xiàn)場(chǎng)評(píng)估完成后，項(xiàng)目組會(huì)同被評(píng)估單位相關(guān)領(lǐng)導(dǎo)和負(fù)責(zé)同志，將現(xiàn)場(chǎng)評(píng)估脆弱性進(jìn)行再次確認(rèn)，同時(shí)將初步結(jié)果進(jìn)行及時(shí)反饋，整個(gè)現(xiàn)場(chǎng)評(píng)估過程的規(guī)范程度得到了被評(píng)估單位的高度認(rèn)可。

1.4 定期溝通、分步實(shí)施

試點(diǎn)實(shí)施小組的相關(guān)人員定期就試點(diǎn)風(fēng)險(xiǎn)評(píng)估工作進(jìn)行交流，探討試點(diǎn)工作中遇到的難點(diǎn)問題，為后續(xù)的現(xiàn)場(chǎng)評(píng)估打好基礎(chǔ)。同時(shí)在定期交流溝通的基礎(chǔ)上，有條不紊的分步開展試點(diǎn)工作，主要分為前期調(diào)研、確定試點(diǎn)單位、現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)匯總分析、風(fēng)險(xiǎn)分析與報(bào)告編制等過程。

（1）前期調(diào)研：項(xiàng)目組協(xié)同工作組開展三個(gè)地市近十家工業(yè)企業(yè)進(jìn)行現(xiàn)場(chǎng)調(diào)研。經(jīng)過初期的調(diào)研工作，項(xiàng)目組初步掌握了各單位工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基本情況，并向各家單位下發(fā)《工業(yè)企業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全調(diào)查表》。

（2）確定試點(diǎn)單位：項(xiàng)目組再次趕赴各工業(yè)企業(yè)進(jìn)一步調(diào)查，做好風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備工作。項(xiàng)目組多次會(huì)同工業(yè)控制信息安全領(lǐng)域的專家就試點(diǎn)工作開展內(nèi)部交流，認(rèn)真聽取多方意見和建議，經(jīng)過反復(fù)的醞釀和修改，最終確定了三家試點(diǎn)單位。

（3）現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估：工作組先后赴三家工業(yè)企業(yè)開展現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估，評(píng)估工作嚴(yán)格依據(jù)之前制定《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方案》，開展資產(chǎn)識(shí)別、威脅識(shí)別和脆弱性識(shí)別，獲取現(xiàn)場(chǎng)數(shù)據(jù)。

（4）數(shù)據(jù)匯總分析：項(xiàng)目組就現(xiàn)場(chǎng)收集到的各類資產(chǎn)、威脅、脆弱性信息進(jìn)行整理和分析，并將各賦值結(jié)果進(jìn)行關(guān)聯(lián)分析，結(jié)合安全事件發(fā)生可能性和安全事件的損失，計(jì)算出資產(chǎn)所存在的風(fēng)險(xiǎn)等級(jí)，并劃定風(fēng)險(xiǎn)值為緊急、高、中、低、很低五檔。

（5）風(fēng)險(xiǎn)分析與報(bào)告編制：項(xiàng)目組將風(fēng)險(xiǎn)評(píng)估結(jié)果歸納分析，同時(shí)針對(duì)每個(gè)脆弱性給出了合理和細(xì)致的風(fēng)險(xiǎn)處置建議，并且結(jié)合每個(gè)系統(tǒng)的主要風(fēng)險(xiǎn)，綜合考慮整個(gè)工控網(wǎng)絡(luò)架構(gòu)后給出整體解決方案和措施，形成工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告；并將風(fēng)險(xiǎn)評(píng)估結(jié)果和整改建議反饋至試點(diǎn)單位。

2 試點(diǎn)發(fā)現(xiàn)的風(fēng)險(xiǎn)

（1）工控系統(tǒng)網(wǎng)絡(luò)邊界防護(hù)薄弱：工控系統(tǒng)和辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)直接互聯(lián)，且系統(tǒng)邊界處未部署邊界隔離設(shè)備；部分工控系統(tǒng)雖然與互聯(lián)網(wǎng)物理隔離，但是系統(tǒng)中的智能儀表進(jìn)行數(shù)據(jù)傳輸時(shí)未采用加密措施，存在從互聯(lián)網(wǎng)到工控系統(tǒng)的攻擊通路。

（2）縱深防御機(jī)制缺失：網(wǎng)絡(luò)結(jié)構(gòu)扁平化，工控網(wǎng)絡(luò)同辦公網(wǎng)絡(luò)、甚至門禁監(jiān)控設(shè)備在一張網(wǎng)中，且未采用分區(qū)分域的隔離措施；網(wǎng)絡(luò)中一般僅采用核心交換機(jī)的VLAN訪問控制，且允許非工控網(wǎng)段的其他設(shè)備訪問，無法限制非授權(quán)訪問行為。

（3）關(guān)鍵設(shè)施使用不規(guī)范：核心交換機(jī)、防火墻、服務(wù)器和工程師站等設(shè)備大量采用弱口令也未定期更換，組態(tài)軟件在平時(shí)使用中存在多人共用一個(gè)賬號(hào)登錄，也未按最小化原則進(jìn)行權(quán)限分離；工程師站、服務(wù)器開啟遠(yuǎn)程桌面的方式進(jìn)行運(yùn)維，操作系統(tǒng)未關(guān)閉多余的服務(wù)和端口，無法限制非授權(quán)的遠(yuǎn)程訪問。

（4）審計(jì)功能未配置完全：核心交換機(jī)審計(jì)日志記錄不全，網(wǎng)絡(luò)層也未部署審計(jì)設(shè)備可對(duì)網(wǎng)絡(luò)訪問行為進(jìn)行監(jiān)測(cè)和記錄，無法及時(shí)發(fā)現(xiàn)非授權(quán)的網(wǎng)絡(luò)訪問行為；工程師站及組態(tài)軟件未配置審計(jì)功能，服務(wù)器操作系統(tǒng)也開啟審計(jì)策略，一旦發(fā)生誤操作無法及時(shí)追溯。

（5）介質(zhì)管控措施缺失：大部分設(shè)備的USB接口缺少技術(shù)管控措施，可非授權(quán)接入U(xiǎn)盤和手機(jī)數(shù)據(jù)線等存儲(chǔ)介質(zhì)，容易通過擺渡方式實(shí)施攻擊。

（6）信息安全方針未建立，信息安全組織機(jī)構(gòu)未成立：未按照國(guó)家相關(guān)政策和標(biāo)準(zhǔn)建立信息安全方針，無法對(duì)信息安全工作提供指導(dǎo)；未成立信息安全組織機(jī)構(gòu)，無法從整個(gè)體系上對(duì)工控系統(tǒng)的信息安全工作進(jìn)行指導(dǎo)和監(jiān)督；未確定信息安全主管和網(wǎng)絡(luò)管理員，沒有專人負(fù)責(zé)信息安全工作，易導(dǎo)致出現(xiàn)責(zé)任推諉和管理不到位的情況，發(fā)生信息安全事件時(shí)難以進(jìn)行針對(duì)性地部署。

（7）系統(tǒng)運(yùn)維依賴性強(qiáng)：工控系統(tǒng)的運(yùn)維大量依賴外包，尤其是重點(diǎn)設(shè)備的升級(jí)維護(hù)等，而單位內(nèi)部管理人員對(duì)系統(tǒng)配置等技術(shù)能力偏弱，缺少工控系統(tǒng)的應(yīng)急預(yù)案和備份恢復(fù)措施。

3 結(jié)語

從試點(diǎn)工作的情況來看，目前我省對(duì)工業(yè)控制系統(tǒng)的信息安全工作尚在探索時(shí)期。雖然政府、企事業(yè)單位對(duì)工業(yè)控制系統(tǒng)生產(chǎn)普遍比較重視，但缺乏工業(yè)控制系統(tǒng)的法規(guī)和標(biāo)準(zhǔn)依據(jù)，不能對(duì)工業(yè)控制系統(tǒng)實(shí)行有效的安全評(píng)估。同時(shí)大多數(shù)企業(yè)對(duì)控制系統(tǒng)還是以管理為主的被動(dòng)防御，在技術(shù)上缺乏主動(dòng)防御的控制類安全產(chǎn)品，在行業(yè)上缺少工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的專業(yè)隊(duì)伍，大部分工控系統(tǒng)核心產(chǎn)品嚴(yán)重依賴進(jìn)口[10]，這些都表明我省的工業(yè)控制系統(tǒng)信息安全形勢(shì)十分嚴(yán)峻，加固工業(yè)控制系統(tǒng)刻不容緩。

[1] 楊帥. 工業(yè)4.0與工業(yè)互聯(lián)網(wǎng): 比較、啟示與應(yīng)對(duì)策略[J]. 當(dāng)代財(cái)經(jīng), 2015(8): 100.

[2] 李金華. 德國(guó)“工業(yè)4.0”與“中國(guó)制造2025”的比較及啟示[J]. 中國(guó)地質(zhì)大學(xué)學(xué)報(bào), 2015(9)第15卷第5期: 71.

[3] 梁東黎. 我國(guó)工業(yè)結(jié)構(gòu)調(diào)整的轉(zhuǎn)型升級(jí)進(jìn)程[J]. 探索與爭(zhēng)鳴, 2011(4): 53.

[4] 杜傳忠, 楊志坤. 我國(guó)信息化與工業(yè)化融合水平測(cè)度及提升路徑分析[J]. 中國(guó)地質(zhì)大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版), 2015(3): 84.

[5] 喬宏章, 付長(zhǎng)軍. “智慧城市”發(fā)展現(xiàn)狀與思考[J]. 無線電通信技術(shù), 2014(6): 1.

[6] 王毅凡, 宋志慧, 周密. 美國(guó)加強(qiáng)工業(yè)控制系統(tǒng)安全建設(shè)的主要舉措探究[J]. 信息安全與通信保密, 2014(6): 48.

[7] 李揚(yáng). 新形勢(shì)下工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析與建議[J]. 保密科學(xué)技術(shù), 2017(7): 35.

[8] 黃水清, 任妮. 字圖書館信息安全風(fēng)險(xiǎn)評(píng)估的方法與模型[J]. 圖書情報(bào)工作, 2014(2): 16.

[9] 郭啟全. 國(guó)家信息安全等級(jí)保護(hù)工作的開展與實(shí)施[J]. 警察技術(shù), 2007(5): 9.

[10] 張向宏, 耿貴寧. 基于可信計(jì)算的工業(yè)控制安全體系架構(gòu)研究[J]. 保密科學(xué)技術(shù), 2014(8): 6.

Discussion on the Pilot Work of Network Security Risk Assessment for Industrial Control System

YIN Xiao-dong1, YAN Dan2, ZHAO Yi-fan2

(No. 50th Tianmu Road, Hangzhou 310007, China)

In order to protection the information security of industrial control system,The competent department of industrial enterprises in our province has set up “the pilot work of the network security risk assessment of industrial control system in Zhejiang province” special project,commissioned the unit to carry out the network security risk assessment of industrial control system in Zhejiang Province,require a comprehensive inspection of key industrial enterprises, analyze and study the problems found, urge relevant enterprises to take effective measures for rectification,improving the network security protection level of industrial control system; from the perspective of the process and method of the pilot work and the risk of the pilot discovery, this paper deeply analyzes the significance of the whole pilot work.

Industrial control systems; Network security; Risk assessment; Pilot

TP399

A

10.3969/j.issn.1003-6970.2018.09.012

浙江省科技計(jì)劃項(xiàng)目“威脅態(tài)勢(shì)感知平臺(tái)”(2017F10030)

尹肖棟(1982-)，男，碩士，高級(jí)工程師，主要研究方向?yàn)樾畔踩?；?yán)丹(1983-)，女，碩士，工程師，主要研究方向?yàn)樾畔踩?；趙一凡(1987-)，男，碩士，工程師，主要研究方向?yàn)樾畔踩?/p>

本文著錄格式：尹肖棟，嚴(yán)丹，趙一凡. 論工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作[J]. 軟件，2018，39（9）：55-57