论工业控制系统网络安全风险评估试点工作

尹肖栋，严 丹，赵一凡



论工业控制系统网络安全风险评估试点工作

尹肖栋，严 丹，赵一凡

（浙江省电子信息产品检验所，浙江 杭州 310007）

为了保障工业控制系统的信息安全，我省工业企业主管部门设立了“浙江省工业控制系统网络安全风险评估试点工作”专项课题，委托本所开展浙江省工业控制系统网络安全风险评估工作。要求对重点工业企业进行全面检查，对发现的问题进行分析研判，督促相关企业采取有效措施加以整改，切实提高工业控制系统网络安全防护水平；本文从试点工作的流程和方法、试点发现的风险等角度出发，深入剖析了整个试点工作的意义。

工业控制系统；网络安全；风险评估；试点

0 引言

工业控制领域正在发生重大的变革，其中德国的工业4.0 和美国的工业互联网成为最具代表性的新模式[1]，2015年5月，中国政府发布了《中国制造2025》[2]，在两化深度融合的基础上继续进行产业结构调整和升级转型[3]。与此同时，美国欧盟等国家地区对工业控制系统信息安全也日益重视，工业控制系统作为关键基础设施作用日益突出。

近几年，随着“两化融合”[4]和“智慧城市”[5]的深入开展，工业控制系统信息化日益成为我省社会和经济发展的基础，政府、企事业单位对工业控制系统生产普遍比较重视，但工业控制系统信息安全防护机制还尚未建立。为加强对工业控制系统的安全监管，保障工业控制系统的安全运行，我省工业企业主管部门委托本所对省内重点领域的试点企业的工业控制系统信息安全情况开展网络安全风险评估试点工作。

1 试点工作流程和方法

我所高度重视企业工控系统的网络安全风险评估试点工作，积极配合，加强协调，优化进度，确定试点企业，落实相关人员，确保评估工作有序开展。特别在此次试点工作中注重强化安全保密意识，指定专人负责管理相关文档和数据，确保工作中涉及到的信息知悉范围得到有效控制。在评估工作中，强化风险控制措施，严格工作纪律和操作规程，做好重要数据和系统配置的备份，确保被评估系统的安全运行，确保试点企业的正常生产。

1.1 领导重视，统筹协调

本次试点工作得到了各级领导的高度重视，为此特地成立由省、市两级工业企业主管部门和我所相关负责领导组成的试点工作组。省级主管部门负责人担任工作组组长，市级主管部门负责人和本所技术负责人担任副组长；相关成员单位为小组成员，审议试点工作的实施方案。

1.2 优选骨干、加强研究

本所全力配合工作组开展试点工作，在成立的风险评估现场实施项目组的过程中，特地根据工业控制系统的特殊性以及所里的优势，选调了经验丰富的高级工程师、多名自动化专业、计算机、通讯专业等专业的硕士研究生，开展对工控系统相关标准的理论研究，特别是对NIST SP800-82《工业控制系统安全指南》[6]、GB/T 30976.1-2014《工业控制系统信息安全第1部分：评估规范》[7]、GB/T 20984-2007《信息安全技术信息安全风险评估规范》[8]、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》[9]、GB/T 18336.2-2015 《信息技术安全技术信息技术安全评估准则第2部分：安全功能组件》等标准的研究分析，并结合省内工业企业实际情况，编制《工业企业控制系统网络安全调查表》，确保试点项目的顺利实施和推进。

1.3 方案细致、过程规范

通过前期研究工业控制系统相关标准要求以及信息安全的特殊性，现场实施项目组集中力量编制了《工业控制系统脆弱性评估表》，该评估表覆盖6个层面，涉及85个评估项，共制定了150多个评估指标，涵盖了内部信息系统及其网络环境，涉及物理环境、网络架构、网络安全设备、操作系统、数据库系统、应用系统、安全管理体系等，为下一步的风险评估工作打下了基础。

由于工业控制系统的重要性及特殊性，现场实施项目组严格按照规范组织实施。评估工作开展之前先与每个被评估单位签订保密协议和风险告知书，明确整个项目实施过程中双方所应承担的保密责任和义务，评估工作可能引入的风险；现场风险评估时通过召开启动会的方式，将本次风险评估的目的、意义和风险等内容与被评估单位相关领导和负责同志进行沟通，确定现场风险评估范围，各项内容均需得到被评估单位认可；现场评估时，项目组也需严格按照前期制定的《工业控制系统网络安全风险评估实施方案》开展风险评估；现场评估完成后，项目组会同被评估单位相关领导和负责同志，将现场评估脆弱性进行再次确认，同时将初步结果进行及时反馈，整个现场评估过程的规范程度得到了被评估单位的高度认可。

1.4 定期沟通、分步实施

试点实施小组的相关人员定期就试点风险评估工作进行交流，探讨试点工作中遇到的难点问题，为后续的现场评估打好基础。同时在定期交流沟通的基础上，有条不紊的分步开展试点工作，主要分为前期调研、确定试点单位、现场风险评估、数据汇总分析、风险分析与报告编制等过程。

（1）前期调研：项目组协同工作组开展三个地市近十家工业企业进行现场调研。经过初期的调研工作，项目组初步掌握了各单位工业控制系统网络安全基本情况，并向各家单位下发《工业企业控制系统网络安全调查表》。

（2）确定试点单位：项目组再次赶赴各工业企业进一步调查，做好风险评估的准备工作。项目组多次会同工业控制信息安全领域的专家就试点工作开展内部交流，认真听取多方意见和建议，经过反复的酝酿和修改，最终确定了三家试点单位。

（3）现场风险评估：工作组先后赴三家工业企业开展现场风险评估，评估工作严格依据之前制定《工业控制系统网络安全风险评估实施方案》，开展资产识别、威胁识别和脆弱性识别，获取现场数据。

（4）数据汇总分析：项目组就现场收集到的各类资产、威胁、脆弱性信息进行整理和分析，并将各赋值结果进行关联分析，结合安全事件发生可能性和安全事件的损失，计算出资产所存在的风险等级，并划定风险值为紧急、高、中、低、很低五档。

（5）风险分析与报告编制：项目组将风险评估结果归纳分析，同时针对每个脆弱性给出了合理和细致的风险处置建议，并且结合每个系统的主要风险，综合考虑整个工控网络架构后给出整体解决方案和措施，形成工业控制系统风险评估报告；并将风险评估结果和整改建议反馈至试点单位。

2 试点发现的风险

（1）工控系统网络边界防护薄弱：工控系统和办公网络、互联网直接互联，且系统边界处未部署边界隔离设备；部分工控系统虽然与互联网物理隔离，但是系统中的智能仪表进行数据传输时未采用加密措施，存在从互联网到工控系统的攻击通路。

（2）纵深防御机制缺失：网络结构扁平化，工控网络同办公网络、甚至门禁监控设备在一张网中，且未采用分区分域的隔离措施；网络中一般仅采用核心交换机的VLAN访问控制，且允许非工控网段的其他设备访问，无法限制非授权访问行为。

（3）关键设施使用不规范：核心交换机、防火墙、服务器和工程师站等设备大量采用弱口令也未定期更换，组态软件在平时使用中存在多人共用一个账号登录，也未按最小化原则进行权限分离；工程师站、服务器开启远程桌面的方式进行运维，操作系统未关闭多余的服务和端口，无法限制非授权的远程访问。

（4）审计功能未配置完全：核心交换机审计日志记录不全，网络层也未部署审计设备可对网络访问行为进行监测和记录，无法及时发现非授权的网络访问行为；工程师站及组态软件未配置审计功能，服务器操作系统也开启审计策略，一旦发生误操作无法及时追溯。

（5）介质管控措施缺失：大部分设备的USB接口缺少技术管控措施，可非授权接入U盘和手机数据线等存储介质，容易通过摆渡方式实施攻击。

（6）信息安全方针未建立，信息安全组织机构未成立：未按照国家相关政策和标准建立信息安全方针，无法对信息安全工作提供指导；未成立信息安全组织机构，无法从整个体系上对工控系统的信息安全工作进行指导和监督；未确定信息安全主管和网络管理员，没有专人负责信息安全工作，易导致出现责任推诿和管理不到位的情况，发生信息安全事件时难以进行针对性地部署。

（7）系统运维依赖性强：工控系统的运维大量依赖外包，尤其是重点设备的升级维护等，而单位内部管理人员对系统配置等技术能力偏弱，缺少工控系统的应急预案和备份恢复措施。

3 结语

从试点工作的情况来看，目前我省对工业控制系统的信息安全工作尚在探索时期。虽然政府、企事业单位对工业控制系统生产普遍比较重视，但缺乏工业控制系统的法规和标准依据，不能对工业控制系统实行有效的安全评估。同时大多数企业对控制系统还是以管理为主的被动防御，在技术上缺乏主动防御的控制类安全产品，在行业上缺少工业控制系统风险评估的专业队伍，大部分工控系统核心产品严重依赖进口[10]，这些都表明我省的工业控制系统信息安全形势十分严峻，加固工业控制系统刻不容缓。

[1] 杨帅. 工业4.0与工业互联网: 比较、启示与应对策略[J]. 当代财经, 2015(8): 100.

[2] 李金华. 德国“工业4.0”与“中国制造2025”的比较及启示[J]. 中国地质大学学报, 2015(9)第15卷第5期: 71.

[3] 梁东黎. 我国工业结构调整的转型升级进程[J]. 探索与争鸣, 2011(4): 53.

[4] 杜传忠, 杨志坤. 我国信息化与工业化融合水平测度及提升路径分析[J]. 中国地质大学学报(社会科学版), 2015(3): 84.

[5] 乔宏章, 付长军. “智慧城市”发展现状与思考[J]. 无线电通信技术, 2014(6): 1.

[6] 王毅凡, 宋志慧, 周密. 美国加强工业控制系统安全建设的主要举措探究[J]. 信息安全与通信保密, 2014(6): 48.

[7] 李扬. 新形势下工业控制系统信息安全现状分析与建议[J]. 保密科学技术, 2017(7): 35.

[8] 黄水清, 任妮. 字图书馆信息安全风险评估的方法与模型[J]. 图书情报工作, 2014(2): 16.

[9] 郭启全. 国家信息安全等级保护工作的开展与实施[J]. 警察技术, 2007(5): 9.

[10] 张向宏, 耿贵宁. 基于可信计算的工业控制安全体系架构研究[J]. 保密科学技术, 2014(8): 6.

Discussion on the Pilot Work of Network Security Risk Assessment for Industrial Control System

YIN Xiao-dong1, YAN Dan2, ZHAO Yi-fan2

(No. 50th Tianmu Road, Hangzhou 310007, China)

In order to protection the information security of industrial control system,The competent department of industrial enterprises in our province has set up “the pilot work of the network security risk assessment of industrial control system in Zhejiang province” special project,commissioned the unit to carry out the network security risk assessment of industrial control system in Zhejiang Province,require a comprehensive inspection of key industrial enterprises, analyze and study the problems found, urge relevant enterprises to take effective measures for rectification,improving the network security protection level of industrial control system; from the perspective of the process and method of the pilot work and the risk of the pilot discovery, this paper deeply analyzes the significance of the whole pilot work.

Industrial control systems; Network security; Risk assessment; Pilot

TP399

A

10.3969/j.issn.1003-6970.2018.09.012

浙江省科技计划项目“威胁态势感知平台”(2017F10030)

尹肖栋(1982-)，男，硕士，高级工程师，主要研究方向为信息安全；严丹(1983-)，女，硕士，工程师，主要研究方向为信息安全；赵一凡(1987-)，男，硕士，工程师，主要研究方向为信息安全。

本文著录格式：尹肖栋，严丹，赵一凡. 论工业控制系统网络安全风险评估试点工作[J]. 软件，2018，39（9）：55-57