工业控制系统信息安全风险评估(2)

　　对应上述安全属性的赋值，依据最终赋值将资产划分为五级，资产越重要则其等级越高，亦可根据组自身实际情况确定资产识别中的赋值依据和等级。表3中的资产等级划分描述了不同等级的重要性。风险评估可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行。
　　 　　
　　2.3  威胁识别
　　
　　威胁可以通过多种途径进行描述，比如威胁主体、资源、动机、途径等。造成威胁的因素可分为人为因素和环境因素。基于威胁的动机，人为因素又可分为恶意和非恶意两种。自然界不可抗的因素和其他物理因素属于环境因素。当前，工控系统已广泛应用于电力、石化、轨道交通等国家关键工业行业，其威胁源可能具有较强技术实力和大量资源，攻击手段更为多样，应针对此特点重点考虑。具体可参考 GB/T 32919-2016 附录 A 部分。
　　
　　2.4  脆弱性识别
　　
　　脆弱性是由于自身设计缺陷或其他因素而本身存在的，脆弱性本身对资产无害除非被相应的威胁利用。在一个健壮的系统中，严重的威胁也不会导致安全事件发生，并造成损失。总而言之，对造成危害的前提包括资产的脆弱性和相应的威胁，二者缺一不可。
　　
　　进行脆弱性识别的数据必须真实可靠以保证风险评估的有效性，所以所使用数据需来自资产所有者、使用者或相关业务领域的专业人员等权威人员。脆弱性识别可以采取多种方法，如问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
　　
　　2.5  已有安全措施确认
　　
　　风险评估工作应稳扎稳打，步步为营，即评估过程中应不断地对已经采取的安全措施进行有效性确认，确保前一步工作的可用性，包括系统的脆弱性是否得到了真正的降低，是否真正能够抵御入侵的威胁。确认有效的安全措施应继续保持，可以避免安全措施的重复实施，这样可以避免后期不必要的工作及花费。当然对于确认的不合适的安全措施应立即对其进行取消或修改，亦可使用恰当的安全措施进行替换。
　　
　　2.6  风险分析
　　
　　为实现对风险的工业控制，可以对风险评估的结果进行等级化处理。可以将风险划分为五级，等级越高风险越高。
　　
　　在计算资产的风险值时，需要评估者结合资产的特点选取合适的风险计算方法，并根据风险值的分布情况，给每个等级设定风险值的范围，然后对所有风险计算结果进行等级处理。不同等级对应相应的风险严重程度。表 4 提供了一种风险等级划分方法。
　　 　　
　　2.7  风险评估文档记录
　　
　　记录风险评估过程的相关文档，应符合以下要求 :
　　
　　●确保文档发布前是得到批准的 ;
　　
　　●确保文档的更改和现行修订状态是可识别的 ;
　　
　　●确保文档的分发得到适当的控制，并确保在使用时可获得有关版本的适用文档 ;
　　
　　●防止作废文档的非预期使用，若因任何目的需保留作废文档时，应对这些文档进行适当的标识。
　　
　　对于风险评估过程中形成的相关文档，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。相关文档是否需要以及详略程度由管理者决定。
　　
　　3  工控系统信息安全风险评估典型方法
　　
　　在工控风险评估中有多种方法可供选择，其中较为典型的方法包括经验分析、定性分析和定量分析等。其目的都是为了确定资产面临的风险及威胁的影响，以及当前安全措施与安全需求之间的差距，以提高资产的安全性及可靠性。
　　
　　（1） 经验分析法
　　
　　基于知识的分析方法可以找出目前的安全状况和基线安全标准之间的差距。通过多种途径采集相关信息，识别风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。经验风险法比较适合经验比较少的操作者，由经验比较丰富的操作者按照标准和惯例制定安全基线，供经验比较少的操作者借鉴使用。基于知识的分析方法，最重要的还在于评估信息的采集。
　　
　　这种方法的具体操作步骤是通过多渠道收集相关信息，确定资产的风险类型及级别，然后与特定标准或惯例进行比较，即可发现不符合之处，并按照标准或惯例选择合适的安全措施，以减少或控制风险。经验分析法所得结果准确与否取决于评估信息的收集，所以这些信息必须有相关权威或者专业人员提供。
　　
　　具体安全基线，可参考 GB/T 32919-2016 中附录C 部分。依据不同等级的工控系统安全需求，开展风险评估活动，从而形成适合企业自身实际情况的安全防护策略。
　　
　　（2） 定性分析法
　　
　　定性分析方法是目前采用最为广泛的一种方法，具有很强的主观性，往往需要凭借分析者的经验和直觉或业界的标准和惯例，为风险管理诸要素 （ 资产价值、威胁的可能性、弱点被利用的容易度、现有控制措施的效力等 ） 的大小或高低程度定性分级，例如分为“高” 、“中” 、“低” 三级。定性分析的操作方法可以多种多样，包括小组讨论、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。
　　
　　总之，不管是经验分析法，还是定性、定量分析法，其核心思想都是依据威胁出现的频率、脆弱性的严重程度来确认安全事件发生的可能性，依据资产价值和脆弱性的严重程度来确认安全事件会造成的损失，最终从安全事件发生的可能性和损失来判断风险值。在定性分析过程中，还应考虑工控系统可用性、完整性的要求，充分考虑工业生产业务流程的特点，开展风险评估工作，获得评估结果。
　　
　　4  结语
　　
　　工业行业关键基础设施工业控制系统一旦发生事故，不仅后果严重而且影响广泛。这就要求对系统提前进行相应的风险评估，明确系统的安全漏洞，进而对系统进行有效的加固，尽可能控制信息安全事件发生的概率。本文提出风险评估的过程及典型方法，通过此流程及方法可以对工业控制系统进行一定程度的风险评估，有效地掌握被测系统的信息安全状况，进而改善系统的安全状况。