智能工廠工控系統(tǒng)安全風(fēng)險評估*

黃兆軍

(珠海城市職業(yè)技術(shù)學(xué)院 人工智能學(xué)院，廣東 珠海 519090)

0 引言

制造業(yè)作為實體經(jīng)濟的主體，一直都是立國之本。而近年來隨著云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展，推動著傳統(tǒng)制造業(yè)逐步向智能制造的方向轉(zhuǎn)型。為了搶占制造業(yè)的制高點，國家發(fā)布了《中國制造2025》產(chǎn)業(yè)規(guī)劃，目的也是為了推動制造業(yè)向智能化方向發(fā)展，從而實現(xiàn)制造業(yè)由大到強的轉(zhuǎn)變。雖然與歐洲、美國和日本三大智能制造中心相比，我國的智能制造還處于起步階段，但是國內(nèi)的很多制造型企業(yè)已經(jīng)摩拳擦掌，例如三一重工、海爾、美的等，都已經(jīng)開始了智能工廠的建設(shè)實踐，并且已經(jīng)取得了初步的成果，可以說智能制造在國內(nèi)呈現(xiàn)出如火如荼的發(fā)展態(tài)勢。但是，在這蓬勃發(fā)展的智能工廠建設(shè)浪潮中，“工業(yè)控制網(wǎng)絡(luò)安全問題”卻一直得不到有效的重視，甚至被忽視。與傳統(tǒng)的工廠相比，智能工廠的核心支撐框架其實就是一個工業(yè)控制網(wǎng)絡(luò)，因此也存在網(wǎng)絡(luò)安全問題，加強對工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險的評估，是智能工廠建設(shè)的重要基礎(chǔ)環(huán)節(jié)。

1 智能工廠及其工控安全發(fā)展現(xiàn)狀

智能工廠很顯然就是“智能”和“工廠”的結(jié)合，是云計算、虛擬仿真、物聯(lián)網(wǎng)等先進技術(shù)在制造業(yè)領(lǐng)域的應(yīng)用[1]。智能工廠是一個復(fù)雜而龐大的生產(chǎn)系統(tǒng)，具有豐富的內(nèi)涵，不同的行業(yè)會有不同的框架體系，但總的來說都是基于大數(shù)據(jù)技術(shù)、虛擬仿真技術(shù)和網(wǎng)絡(luò)通信技術(shù)的可以實現(xiàn)自感知、自決策和自執(zhí)行的智能化信息物理系統(tǒng)[2]。智能工廠體系框架如圖1所示[3]。

圖1 智能工廠體系框架

在智能工廠中有工業(yè)路由器、協(xié)議轉(zhuǎn)換器、測控設(shè)備、SCDA系統(tǒng)、工控機、工業(yè)傳感器、PLC、數(shù)控機床等[4],所有這些設(shè)備都互聯(lián)互通地形成了一個工業(yè)控制系統(tǒng)網(wǎng)絡(luò)。在這個“工控網(wǎng)絡(luò)”中，傳統(tǒng)的計算機信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊等安全威脅都可以向工業(yè)控制系統(tǒng)擴散，其中的每一個設(shè)備或人機接口都有可能成為網(wǎng)絡(luò)攻擊點。特別是高精度數(shù)控機床、多軸機器人等設(shè)備(包括其中的芯片、定位裝置等)很多都依賴國外進口，在引進時沒有經(jīng)過基本信息安全監(jiān)測，在工業(yè)控制系統(tǒng)運行環(huán)境中存在大量的漏洞和隱患，特別是一些隱性后門使得生產(chǎn)系統(tǒng)與公用網(wǎng)絡(luò)存在接口，很容易被一些不法分子所攻擊。但目前的現(xiàn)狀是很多企業(yè)在進行智能工廠規(guī)劃或者建設(shè)的時候，往往不重視工控系統(tǒng)安全問題，在工控網(wǎng)絡(luò)安全感知和防護方面幾乎是空白，因此對工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估的理論和方法進行探索和研究，具有十分重要的現(xiàn)實意義。

2 智能工廠工控系統(tǒng)安全風(fēng)險的評估

2.1 工控系統(tǒng)安全風(fēng)險評估的概念

工控系統(tǒng)安全風(fēng)險評估主要是圍繞著生產(chǎn)業(yè)務(wù)、控制系統(tǒng)及設(shè)備、脆弱性、威脅、風(fēng)險等基本要素進行，并且在評估過程中需要充分考慮工控系統(tǒng)業(yè)務(wù)的復(fù)雜性、重要性、可用性、安全事件、參與風(fēng)險等與基本要素相關(guān)的屬性。風(fēng)險評估的主要目的就是量化識別風(fēng)險，通過合理、適度的風(fēng)險處置措施，將風(fēng)險降低到可以接受的水平。在具體進行評估時主要考慮四大要素：資產(chǎn)(軟件和硬件等)、工業(yè)特征、工控系統(tǒng)脆弱性、工控系統(tǒng)威脅，其風(fēng)險分析的主要內(nèi)容如圖2所示。

圖2 工控系統(tǒng)風(fēng)險分析原理示意圖

2.2 工控系統(tǒng)安全風(fēng)險評估的方法

工控系統(tǒng)安全風(fēng)險評估方法的選擇需要根據(jù)評估目標(biāo)、工控系統(tǒng)的規(guī)模和安全需求綜合考慮，其具體方法可以參考以下幾種：

(1)面向業(yè)務(wù)流程的風(fēng)險評估：通過對工業(yè)控制系統(tǒng)各業(yè)務(wù)系統(tǒng)及子系統(tǒng)的人員、資產(chǎn)、生產(chǎn)流程、數(shù)據(jù)流等存在信息交互和關(guān)聯(lián)的因素進行安全風(fēng)險分析，發(fā)現(xiàn)在組織、管理、技術(shù)方面可能存在的風(fēng)險，進行業(yè)務(wù)生命周期的風(fēng)險評估。

(2)面向信息資產(chǎn)的風(fēng)險評估：該方法主要是基于已經(jīng)標(biāo)準(zhǔn)化的風(fēng)險評估要素，通過量化的方法來進行評估。

(3)面向合規(guī)風(fēng)險評估：這里的合規(guī)主要指的是符合有關(guān)國家政策標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、監(jiān)管要求和最佳實踐，結(jié)合風(fēng)險評估的方法評估工控系統(tǒng)風(fēng)險，重點排查企業(yè)可能存在的合規(guī)風(fēng)險。

對于智能工廠的建設(shè)企業(yè)來說，具有安全風(fēng)險評估的意識是首要的，在執(zhí)行風(fēng)險評估時主要有四種形式：自評估、檢查評估、上線安全評估和型式安全評估。在不影響工控系統(tǒng)生產(chǎn)業(yè)務(wù)的基礎(chǔ)上，企業(yè)可以根據(jù)相應(yīng)行業(yè)的標(biāo)準(zhǔn)規(guī)范和實際需要來選擇相應(yīng)風(fēng)險評估方式。隨著技術(shù)的進步工控系統(tǒng)是在不斷發(fā)展的，其面臨的威脅也在不斷進化，因此工控系統(tǒng)的安全風(fēng)險評估不是一蹴而就的，而是要根據(jù)實際情況，在工控系統(tǒng)的整個生命周期內(nèi)不間斷地進行。具體的評估時間可以參考如下方法：

(1)周期性風(fēng)險評估：建議對工業(yè)控制系統(tǒng)每年進行一次風(fēng)險評估；

(2)工業(yè)控制系統(tǒng)發(fā)生變化，如升級改造等，應(yīng)該進行風(fēng)險評估；

(3)根據(jù)國家政策標(biāo)準(zhǔn)和行業(yè)監(jiān)管要求進行的合規(guī)性的專項風(fēng)險評估。

2.3 工控系統(tǒng)安全風(fēng)險評估的基本流程

對工控系統(tǒng)安全風(fēng)險進行評估時，首先要對工控系統(tǒng)的設(shè)備、工藝特征、脆弱性和威脅進行識別，然后識別系統(tǒng)當(dāng)前安全措施，并結(jié)合上述已經(jīng)識別的系統(tǒng)特征對當(dāng)前的安全措施進行有效性驗證，然后對系統(tǒng)的風(fēng)險進行計算。如果評估得到的風(fēng)險無法接受，則需要增加安全措施，然后重新進行評估，直到系統(tǒng)風(fēng)險可以被接受為止[5]。評估實施的具體流程如圖3所示。

圖3 工控系統(tǒng)風(fēng)險評估實施流程

2.4 工控系統(tǒng)安全風(fēng)險評估的實施

工控系統(tǒng)安全風(fēng)險評估實施的主要步驟就是對評估對象進行資產(chǎn)識別和賦值，威脅識別和賦值，脆弱性識別和賦值，以及對生產(chǎn)工藝識別和賦值，根據(jù)各項資產(chǎn)在生產(chǎn)過程中的重要性，把工控系統(tǒng)風(fēng)險進行量化。

2.4.1資產(chǎn)評估

資產(chǎn)評估就是對工控系統(tǒng)的信息資產(chǎn)進行識別，然后根據(jù)資產(chǎn)的機密性、可用性、完整性進行賦值和計算。

(1)資產(chǎn)識別就是對工控系統(tǒng)設(shè)備、數(shù)據(jù)和人員等系統(tǒng)構(gòu)成元素進行分類和標(biāo)記，從而明確資產(chǎn)的用途、使命和作用。根據(jù)資產(chǎn)的形式和內(nèi)容各不相同，可以把資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員和其他六類。

(2)資產(chǎn)賦值可以參考國家標(biāo)準(zhǔn)GB/T 20984-2007中的方法，采取分級的思路對資產(chǎn)的機密性、可用性和完整性進行賦值。一般情況下可以分為5個層級，分別賦值1～5分，分值越大，層級就越高，具體的操作如表1所示。

表1 資產(chǎn)評估賦值表

根據(jù)表1得出被評估資產(chǎn)在機密性(C)、完整性(I)和可用性(A)上的賦值之后，可以根據(jù)公式計算工控系統(tǒng)資產(chǎn)的最終賦值V，可以參考如下模型：

V=f(A,I,C)

根據(jù)實踐經(jīng)驗，建議分別取A、I、C的最大值，然后相乘作為最終賦值。

2.4.2威脅評估

威脅評估應(yīng)全面考慮系統(tǒng)外部和內(nèi)部因素，并同步結(jié)合歷史事件統(tǒng)計分析結(jié)果、經(jīng)驗、威脅情報、安防動態(tài)等信息綜合考慮。威脅評估主要包括兩個方面：一是根據(jù)工控系統(tǒng)的運行環(huán)境確定面臨的威脅；二是確定威脅的嚴(yán)重程度和發(fā)生的頻率。

不同的資產(chǎn)所處的環(huán)境和應(yīng)用的場合不同，其面臨的威脅也不盡相同，因此需要對各類威脅進行有效的識別。工控系統(tǒng)可能面臨的威脅來源主要有環(huán)境因素、內(nèi)部人員、黑客、惡意軟件作者、恐怖分子、工業(yè)間諜、境外國家力量等，而威脅的表現(xiàn)形式則主要有非法信息披露、非法分析、非法修改、篡改控制組件、錯誤操作、冒充合法用戶、抵賴、拒絕服務(wù)、提升權(quán)限、故障檢測缺失、病毒感染、非法物理存取等。通過交流、觀察和調(diào)查，并結(jié)合威脅出現(xiàn)的頻次對威脅進行賦值，賦值越高，說明資產(chǎn)面臨的風(fēng)險也越大。具體的威脅賦值如表2所示。

表2 威脅評估賦值表

2.4.3脆弱性評估

脆弱性就是通常所說的弱點，主要指的是系統(tǒng)設(shè)計、實現(xiàn)或者操作和管理中存在的缺陷。脆弱性可以從物理環(huán)境、網(wǎng)絡(luò)、平臺和安全管理四個方面進行識別，并根據(jù)脆弱性對資產(chǎn)的影響程度進行賦值。脆弱性賦值主要依據(jù)嚴(yán)重程度和對系統(tǒng)安全屬性的影響這兩個方面來進行，其賦值如表3所示。

在進行脆弱性識別時主要考慮兩個方面：管理脆弱性和技術(shù)脆弱性。其管理脆弱性又包括組織管理脆弱性和技術(shù)管理脆弱性，而技術(shù)脆弱性的識別則主要從物理環(huán)境、接入網(wǎng)絡(luò)、平臺脆弱性、工業(yè)控制協(xié)議、工業(yè)控制系統(tǒng)漏洞等方面著手。以工業(yè)控制現(xiàn)場常用的Modbus工業(yè)協(xié)議為例，其常見的安全問題有缺乏認證、沒有加密、沒有消息校驗、沒有廣播抑制、惡意代碼注入等，這些脆弱性風(fēng)險都是需要考慮的。

表3 脆弱性評估賦值表

2.4.4工藝特征識別與賦值

不同行業(yè)的工廠其生產(chǎn)工藝過程是不同的，對應(yīng)的工控系統(tǒng)所面臨的安全威脅也是有差異的，工藝過程越復(fù)雜，其面臨的安全風(fēng)險也就越大。工藝特征識別就是對系統(tǒng)工藝過程的重要性、影響性和復(fù)雜度進行分析和賦值，并在此基礎(chǔ)上得出一個綜合結(jié)果的過程。為了保證工控系統(tǒng)風(fēng)險評估的準(zhǔn)確性，企業(yè)應(yīng)該結(jié)合行業(yè)和自身實際情況制定一份詳細的工藝特征評價標(biāo)準(zhǔn)，以指導(dǎo)工藝特征的識別。以工藝復(fù)雜度為例，其評定的方法可以根據(jù)生產(chǎn)工藝過程中工藝環(huán)節(jié)復(fù)雜度、工序數(shù)、系統(tǒng)及子系統(tǒng)符合狀態(tài)、系統(tǒng)的階段和層次等屬性進行綜合描述，如表4所示就將工藝復(fù)雜度分為了四個層級。

表4 系統(tǒng)工藝復(fù)雜度定義

2.5 工控系統(tǒng)安全風(fēng)險的計算

工控系統(tǒng)安全風(fēng)險的量化計算主要從兩個方面考慮：一個是安全事件發(fā)生的可能性；另一個是安全事件的后果影響程度。風(fēng)險計算的原理可以參考以下模型：

風(fēng)險值=R(A,P,T,V) 或者風(fēng)險值=W(L(Ps×T，Pc×V)×Pi×F(Ia，Va)

其中，R和W表示安全風(fēng)險計算函數(shù)；A、T、V分別表示工控系統(tǒng)設(shè)備、威脅和脆弱性；L和F分別表示威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性和安全事件發(fā)生后產(chǎn)生的損失；Ia表示安全事件所作用的工控系統(tǒng)設(shè)備價值；Va表示脆弱性嚴(yán)重程度；P表示工控系統(tǒng)工藝特征，Pc表示工藝特征復(fù)雜度，Ps表示工藝特征重要性，Pi表示工藝特征影響性。

在具體進行風(fēng)險評估時可以根據(jù)具體情況選擇相應(yīng)風(fēng)險計算方法，比如矩陣法和相乘法。矩陣法就需要構(gòu)造二維矩陣，把可能性與損失建立二維關(guān)系；相乘法則通過構(gòu)造經(jīng)驗函數(shù)，將安全事件發(fā)生的可能性與安全事件造成的損失進行計算得到風(fēng)險值[6]。

2.6 工控系統(tǒng)安全風(fēng)險的等級劃分

為了對工控系統(tǒng)安全風(fēng)險進行有效的控制和管理，可以考慮對風(fēng)險評估的結(jié)果進行等級化處理，從而在風(fēng)險處置時就可以根據(jù)不同的風(fēng)險等級采取不同的處置策略。等級化處理的方法就是按照風(fēng)險值的高低進行等級劃分，風(fēng)險值越高，其對應(yīng)的風(fēng)險等級也越高。企業(yè)應(yīng)該根據(jù)自身的情況和需要綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，設(shè)定一個可以接受的風(fēng)險范圍。如果風(fēng)險計算值在可接受的范圍內(nèi)，則可以保持已有的安全措施。如果風(fēng)險評估值在可接受的范圍外，則需要進一步采取安全措施以降低和控制風(fēng)險，安全等級的劃分可參考GB/T 30976.1的方法[7]如表5所示。

表5 風(fēng)險等級劃分表(示例)

3 結(jié)論

從總體上看，我國的工控系統(tǒng)網(wǎng)絡(luò)基本上處于“裸奔”狀態(tài)[8]，特別是工業(yè)控制基礎(chǔ)硬件安全問題長期得不到解決，更不要提現(xiàn)在剛剛興起的智能工廠，基本依靠使用國外設(shè)備和控制系統(tǒng)建立起來。國外廠商設(shè)備普遍存在未知的漏洞以及可能的后門，成為重大的安全隱患。智能工廠的智慧互聯(lián)的特性，使得整個工廠成為了一個互聯(lián)互通的基于信息技術(shù)和物聯(lián)網(wǎng)[9]的工業(yè)網(wǎng)絡(luò)，工控系統(tǒng)網(wǎng)絡(luò)安全問題一直得不到重視，甚至被忽視了，而目前在國家層面又相對缺少針對智能工廠工控安全的政策、法規(guī)和標(biāo)準(zhǔn)，因此加快對工控網(wǎng)絡(luò)安全策略的研究是十分緊迫的現(xiàn)實需求。如果等到智能工廠已經(jīng)大規(guī)模的建成或者出現(xiàn)事故之后，再來對工控安全進行彌補和整改，代價將非常高昂，而且容易受制于人。本文結(jié)合目前的智能工廠建設(shè)現(xiàn)狀和一些相關(guān)的法規(guī)政策，對工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險的評估，總結(jié)了一些具體的理論和方法，希望能夠為智能工廠的工控安全體系的建設(shè)提供一些有益的參考。