黄兆军

(珠海城市职业技术学院 人工智能学院，广东 珠海 519090)

0 引言

制造业作为实体经济的主体，一直都是立国之本。而近年来随着云计算、大数据、人工智能、物联网等新兴技术的快速发展，推动着传统制造业逐步向智能制造的方向转型。为了抢占制造业的制高点，国家发布了《中国制造2025》产业规划，目的也是为了推动制造业向智能化方向发展，从而实现制造业由大到强的转变。虽然与欧洲、美国和日本三大智能制造中心相比，我国的智能制造还处于起步阶段，但是国内的很多制造型企业已经摩拳擦掌，例如三一重工、海尔、美的等，都已经开始了智能工厂的建设实践，并且已经取得了初步的成果，可以说智能制造在国内呈现出如火如荼的发展态势。但是，在这蓬勃发展的智能工厂建设浪潮中，“工业控制网络安全问题”却一直得不到有效的重视，甚至被忽视。与传统的工厂相比，智能工厂的核心支撑框架其实就是一个工业控制网络，因此也存在网络安全问题，加强对工控系统网络安全风险的评估，是智能工厂建设的重要基础环节。

1 智能工厂及其工控安全发展现状

智能工厂很显然就是“智能”和“工厂”的结合，是云计算、虚拟仿真、物联网等先进技术在制造业领域的应用[1]。智能工厂是一个复杂而庞大的生产系统，具有丰富的内涵，不同的行业会有不同的框架体系，但总的来说都是基于大数据技术、虚拟仿真技术和网络通信技术的可以实现自感知、自决策和自执行的智能化信息物理系统[2]。智能工厂体系框架如图1所示[3]。

图1 智能工厂体系框架

在智能工厂中有工业路由器、协议转换器、测控设备、SCDA系统、工控机、工业传感器、PLC、数控机床等[4],所有这些设备都互联互通地形成了一个工业控制系统网络。在这个“工控网络”中，传统的计算机信息网络所面临的病毒、木马、入侵攻击等安全威胁都可以向工业控制系统扩散，其中的每一个设备或人机接口都有可能成为网络攻击点。特别是高精度数控机床、多轴机器人等设备(包括其中的芯片、定位装置等)很多都依赖国外进口，在引进时没有经过基本信息安全监测，在工业控制系统运行环境中存在大量的漏洞和隐患，特别是一些隐性后门使得生产系统与公用网络存在接口，很容易被一些不法分子所攻击。但目前的现状是很多企业在进行智能工厂规划或者建设的时候，往往不重视工控系统安全问题，在工控网络安全感知和防护方面几乎是空白，因此对工控系统网络安全风险评估的理论和方法进行探索和研究，具有十分重要的现实意义。

2 智能工厂工控系统安全风险的评估

2.1 工控系统安全风险评估的概念

工控系统安全风险评估主要是围绕着生产业务、控制系统及设备、脆弱性、威胁、风险等基本要素进行，并且在评估过程中需要充分考虑工控系统业务的复杂性、重要性、可用性、安全事件、参与风险等与基本要素相关的属性。风险评估的主要目的就是量化识别风险，通过合理、适度的风险处置措施，将风险降低到可以接受的水平。在具体进行评估时主要考虑四大要素：资产(软件和硬件等)、工业特征、工控系统脆弱性、工控系统威胁，其风险分析的主要内容如图2所示。

图2 工控系统风险分析原理示意图

2.2 工控系统安全风险评估的方法

工控系统安全风险评估方法的选择需要根据评估目标、工控系统的规模和安全需求综合考虑，其具体方法可以参考以下几种：

(1)面向业务流程的风险评估：通过对工业控制系统各业务系统及子系统的人员、资产、生产流程、数据流等存在信息交互和关联的因素进行安全风险分析，发现在组织、管理、技术方面可能存在的风险，进行业务生命周期的风险评估。

(2)面向信息资产的风险评估：该方法主要是基于已经标准化的风险评估要素，通过量化的方法来进行评估。

(3)面向合规风险评估：这里的合规主要指的是符合有关国家政策标准、行业标准、监管要求和最佳实践，结合风险评估的方法评估工控系统风险，重点排查企业可能存在的合规风险。

对于智能工厂的建设企业来说，具有安全风险评估的意识是首要的，在执行风险评估时主要有四种形式：自评估、检查评估、上线安全评估和型式安全评估。在不影响工控系统生产业务的基础上，企业可以根据相应行业的标准规范和实际需要来选择相应风险评估方式。随着技术的进步工控系统是在不断发展的，其面临的威胁也在不断进化，因此工控系统的安全风险评估不是一蹴而就的，而是要根据实际情况，在工控系统的整个生命周期内不间断地进行。具体的评估时间可以参考如下方法：

(1)周期性风险评估：建议对工业控制系统每年进行一次风险评估；

(2)工业控制系统发生变化，如升级改造等，应该进行风险评估；

(3)根据国家政策标准和行业监管要求进行的合规性的专项风险评估。

2.3 工控系统安全风险评估的基本流程

对工控系统安全风险进行评估时，首先要对工控系统的设备、工艺特征、脆弱性和威胁进行识别，然后识别系统当前安全措施，并结合上述已经识别的系统特征对当前的安全措施进行有效性验证，然后对系统的风险进行计算。如果评估得到的风险无法接受，则需要增加安全措施，然后重新进行评估，直到系统风险可以被接受为止[5]。评估实施的具体流程如图3所示。

图3 工控系统风险评估实施流程

2.4 工控系统安全风险评估的实施

工控系统安全风险评估实施的主要步骤就是对评估对象进行资产识别和赋值，威胁识别和赋值，脆弱性识别和赋值，以及对生产工艺识别和赋值，根据各项资产在生产过程中的重要性，把工控系统风险进行量化。

2.4.1资产评估

资产评估就是对工控系统的信息资产进行识别，然后根据资产的机密性、可用性、完整性进行赋值和计算。

(1)资产识别就是对工控系统设备、数据和人员等系统构成元素进行分类和标记，从而明确资产的用途、使命和作用。根据资产的形式和内容各不相同，可以把资产分为数据、软件、硬件、服务、人员和其他六类。

(2)资产赋值可以参考国家标准GB/T 20984-2007中的方法，采取分级的思路对资产的机密性、可用性和完整性进行赋值。一般情况下可以分为5个层级，分别赋值1～5分，分值越大，层级就越高，具体的操作如表1所示。

表1 资产评估赋值表

根据表1得出被评估资产在机密性(C)、完整性(I)和可用性(A)上的赋值之后，可以根据公式计算工控系统资产的最终赋值V，可以参考如下模型：

V=f(A,I,C)

根据实践经验，建议分别取A、I、C的最大值，然后相乘作为最终赋值。

2.4.2威胁评估

威胁评估应全面考虑系统外部和内部因素，并同步结合历史事件统计分析结果、经验、威胁情报、安防动态等信息综合考虑。威胁评估主要包括两个方面：一是根据工控系统的运行环境确定面临的威胁；二是确定威胁的严重程度和发生的频率。

不同的资产所处的环境和应用的场合不同，其面临的威胁也不尽相同，因此需要对各类威胁进行有效的识别。工控系统可能面临的威胁来源主要有环境因素、内部人员、黑客、恶意软件作者、恐怖分子、工业间谍、境外国家力量等，而威胁的表现形式则主要有非法信息披露、非法分析、非法修改、篡改控制组件、错误操作、冒充合法用户、抵赖、拒绝服务、提升权限、故障检测缺失、病毒感染、非法物理存取等。通过交流、观察和调查，并结合威胁出现的频次对威胁进行赋值，赋值越高，说明资产面临的风险也越大。具体的威胁赋值如表2所示。

表2 威胁评估赋值表

2.4.3脆弱性评估

脆弱性就是通常所说的弱点，主要指的是系统设计、实现或者操作和管理中存在的缺陷。脆弱性可以从物理环境、网络、平台和安全管理四个方面进行识别，并根据脆弱性对资产的影响程度进行赋值。脆弱性赋值主要依据严重程度和对系统安全属性的影响这两个方面来进行，其赋值如表3所示。

在进行脆弱性识别时主要考虑两个方面：管理脆弱性和技术脆弱性。其管理脆弱性又包括组织管理脆弱性和技术管理脆弱性，而技术脆弱性的识别则主要从物理环境、接入网络、平台脆弱性、工业控制协议、工业控制系统漏洞等方面着手。以工业控制现场常用的Modbus工业协议为例，其常见的安全问题有缺乏认证、没有加密、没有消息校验、没有广播抑制、恶意代码注入等，这些脆弱性风险都是需要考虑的。

表3 脆弱性评估赋值表

2.4.4工艺特征识别与赋值

不同行业的工厂其生产工艺过程是不同的，对应的工控系统所面临的安全威胁也是有差异的，工艺过程越复杂，其面临的安全风险也就越大。工艺特征识别就是对系统工艺过程的重要性、影响性和复杂度进行分析和赋值，并在此基础上得出一个综合结果的过程。为了保证工控系统风险评估的准确性，企业应该结合行业和自身实际情况制定一份详细的工艺特征评价标准，以指导工艺特征的识别。以工艺复杂度为例，其评定的方法可以根据生产工艺过程中工艺环节复杂度、工序数、系统及子系统符合状态、系统的阶段和层次等属性进行综合描述，如表4所示就将工艺复杂度分为了四个层级。

表4 系统工艺复杂度定义

2.5 工控系统安全风险的计算

工控系统安全风险的量化计算主要从两个方面考虑：一个是安全事件发生的可能性；另一个是安全事件的后果影响程度。风险计算的原理可以参考以下模型：

风险值=R(A,P,T,V) 或者风险值=W(L(Ps×T，Pc×V)×Pi×F(Ia，Va)

其中，R和W表示安全风险计算函数；A、T、V分别表示工控系统设备、威胁和脆弱性；L和F分别表示威胁利用脆弱性导致安全事件发生的可能性和安全事件发生后产生的损失；Ia表示安全事件所作用的工控系统设备价值；Va表示脆弱性严重程度；P表示工控系统工艺特征，Pc表示工艺特征复杂度，Ps表示工艺特征重要性，Pi表示工艺特征影响性。

在具体进行风险评估时可以根据具体情况选择相应风险计算方法，比如矩阵法和相乘法。矩阵法就需要构造二维矩阵，把可能性与损失建立二维关系；相乘法则通过构造经验函数，将安全事件发生的可能性与安全事件造成的损失进行计算得到风险值[6]。

2.6 工控系统安全风险的等级划分

为了对工控系统安全风险进行有效的控制和管理，可以考虑对风险评估的结果进行等级化处理，从而在风险处置时就可以根据不同的风险等级采取不同的处置策略。等级化处理的方法就是按照风险值的高低进行等级划分，风险值越高，其对应的风险等级也越高。企业应该根据自身的情况和需要综合考虑风险控制成本与风险造成的影响，设定一个可以接受的风险范围。如果风险计算值在可接受的范围内，则可以保持已有的安全措施。如果风险评估值在可接受的范围外，则需要进一步采取安全措施以降低和控制风险，安全等级的划分可参考GB/T 30976.1的方法[7]如表5所示。

表5 风险等级划分表(示例)

3 结论

从总体上看，我国的工控系统网络基本上处于“裸奔”状态[8]，特别是工业控制基础硬件安全问题长期得不到解决，更不要提现在刚刚兴起的智能工厂，基本依靠使用国外设备和控制系统建立起来。国外厂商设备普遍存在未知的漏洞以及可能的后门，成为重大的安全隐患。智能工厂的智慧互联的特性，使得整个工厂成为了一个互联互通的基于信息技术和物联网[9]的工业网络，工控系统网络安全问题一直得不到重视，甚至被忽视了，而目前在国家层面又相对缺少针对智能工厂工控安全的政策、法规和标准，因此加快对工控网络安全策略的研究是十分紧迫的现实需求。如果等到智能工厂已经大规模的建成或者出现事故之后，再来对工控安全进行弥补和整改，代价将非常高昂，而且容易受制于人。本文结合目前的智能工厂建设现状和一些相关的法规政策，对工控系统网络安全风险的评估，总结了一些具体的理论和方法，希望能够为智能工厂的工控安全体系的建设提供一些有益的参考。