郭 江，张志华

（天津水利电力机电研究所，天津 301900）

1 引言

随着“两化融合”的日益推进和物联网的迅猛发展以及智能设备的广泛使用，水电厂工控系统也在经历深刻的变革，传统意义上的相对封闭和稳定环境的工控系统，正在逐步打破“信息孤岛”的局面，随之而来的各种网络攻击、安全威胁也不可避免的暴露出来。2017年6月1日，《中华人民共和国网络安全法》正式实施，网络安全已经提高到一个前所未有的高度。网络安全法明确指出：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。水电厂作为国家关键基础设施的重要组成部分，水电厂工控系统网络安全需要重点关注及重点保护，贯彻“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”的要求，从网络安全风险评估入手，使用符合水电厂工控系统特点的理论、方法和工具，准确发现工控系统存在的主要问题和潜在风险，指导水电厂工控系统的安全防护，建立水电厂工控系统网络安全纵深防御体系。

2 风险评估的意义

风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生所造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，其防范和化解信息安全风险的有效性得到了世界各国的高度认可。风险评估已成为目前各类信息安全服务中需求最为普遍的基础性服务之一。

水电厂工控系统网络安全风险评估与传统信息系统风险评估有着本质的不同，首先是评估的对象不同：传统信息系统风险评估的主要评估对象是信息系统的组成部分，如IT网络、办公主机、路由器、交换机、数据库等，而水电厂工控系统风险评估的主要评估对象除了上述外，更重要的是工控系统的组成部分：如工控网络、工业主机、工控设备、生产工艺等。其次是评估的工具不同：传统信息系统风险评估所使用的评估工具大多可以用于水电厂工控系统风险评估，部分工具需要根据水电厂工控系统的特点进行升级，如漏洞扫描工具，就要有水电厂工控系统的特色，漏洞库要包含工控相关的漏洞，有些工具是工控系统风险评估所独有的，如漏洞挖掘检测工具，就是用于对工控设备的未知漏洞挖掘和检测，而一般不会应用于信息系统风险评估中。最后是评估的标准不同：水电厂工控系统的优先级要高于信息系统，任何对生产过程造成影响的安全问题都会带来直接的经济损失，甚至是人员伤亡，因此，同样的评估对象其评估标准也有所不同，如：同样是主机防护措施，工控系统主机和办公主机因为用途不同，U盘使用、软件安装的要求就不一样，防护的要求也有所不同，防病毒软件往往就不适合用于工控系统主机的安全防护，其评估的标准与信息系统的主机就不能一概而论。因此，不能采取传统的信息安全风险评估方法，应建立适合水电厂工控网络安全的风险评估模型。

通过风险评估可以了解水电厂工控资产所面临的威胁状况、漏洞情况，合规要求和严重程度情况。全面掌握水电厂工控系统安全状况，为加强风险管理、安全防护建设提供重要的依据；提高内部人员对信息安全的认识。风险评估过程中，通过回答问题、访谈调研、工具接入分析、风险分析计算等活动，使内部人员对水电厂工控系统网络安全的认识得到逐步提高；形成关键资产与合规的信息安全风险列表，为风险管理提供可视可控的基础数据，为水电厂建立风险管理长效机制奠定基础。

3 风险评估的内容及方法

水电厂工控系统网络安全风险评估应在深入调研水电厂工控系统网络安全现状的基础上，参照《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）、《电力行业信息安全等级保护基本要求》（电监会〔2012〕62号）及《电力监控系统安全防护规定》（发改委-2014-14号令），建立风险评估模型，开展风险评估工作。水电厂工控系统网络安全风险评估的主要内容包含技术评估和管理评估两个方面，其中技术评估包括流量风险、漏洞分析等；管理评估涉及资产识别、人员访谈、问卷调查、现场核实等。表1为水电厂工控系统网络安全风险评估一览表。

技术评估方法：采用专用设备接入检测的方式进行（图1）。将威胁评估管理平台通过端口镜像的形式接入到系统核心交换机，识别工控系统中的设备资产，并与威胁评估平台的工控漏洞库进行比较分析，发现各级别的漏洞风险，从而为后续有针对性的开展风险处置提供参考依据；获取工控网络中的网络流量，展开深度流量、端口、协议等风险分析,发现可能存在的风险。

管理评估方法：通过人员访谈、制度调阅、问卷调查和现场核实等方式，了解水电厂工控系统管理方面存在的风险。

表1 水电厂工控系统网络安全风险评估一览表

图1 技术评估方法

4 风险评估的分析计算及风险处置

水电厂工控系统网络安全风险评估主要涉及资产、威胁和脆弱性3个基本要素，每个要素有其各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是严重程度。

对水电厂工控系统的资产进行识别（包括硬件资产、软件资产等），并对资产价值进行赋值，即资产赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值，即威胁赋值；对脆弱性进行识别，并对具体严重程度赋值，即脆弱性赋值；根据威胁赋值即威胁利用脆弱的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用的资产的赋值计算安全事件造成的损失；根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。（风险评估模型如图2所示）

图2 风险评估模型

计算公式为：风险值=资产价值×脆弱性值×威胁值。根据计算风险值的大小，分为极高风险、高风险、中风险和低风险4级。

风险处置是整个风险评估工作中的最后一个重要环节，也是实施周期最长、难度最大的阶段。风险处置的主要工作内容是根据前一阶段的评估结果，对每一项风险采取相应的措施，最终将风险降低到可以接受的水平。

对于极高、高风险，工控系统危急、高危漏洞必须采取安全措施进行风险消除；对于中风险、工控系统中危漏洞，经评审后，原则上需纳入风险处置计划进行整改，消除风险。对于水电厂无法对该风险实施有效控制的或不具备对该风险采取有效管控的中风险、中危漏洞可以考虑接受；对于低风险、工控系统低危漏洞，由于发生可能性低或发生后影响较低，可以接受，不纳入风险处理计划。

针对不同风险，主要采取以下处理方法:

（1）制度修订：通过新增或修订现有制度或安全管理策略文件的方式，将安全管理要求落实在制度或安全管理策略文件内，并要求遵照执行。

（2）管理优化：针对现有各类安全管理要求，加强安全意识教育和培训，加强对各类要求的落实情况监督检查。

（3）技术改造：针对现有技术管控中存在的不足，对现有工控设备、工具进行改造或引入成熟工具、设备，从技术上实现相应的管控要求。

5 结语

《中华人民共和国网络安全法》第17条规定“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”第24条规定“有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估”，及第33条规定“对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托专业检验检测机构对网络存在的安全风险进行检测评估”。因此，信息安全风险评估工作，已经成为当前及未来我国各行业网络安全工作的重点，也是网络安全的常态化工作，更是遵守和落实我国网络安全法治建设的关键。

未来的水电厂工控系统将会融合更多先进的信息安全技术，如可信计算、云安全等。因此，需通过风险评估掌握水电厂工控系统网络安全现状，服务器、控制器、网络设备、安全设备等存在的安全漏洞，人员及管理等方面存在的安全风险，通过风险评估，提出水电厂工控系统网络安全对策，指导水电厂工控系统安全防护，建立水电厂工控系统网络安全纵深防御体系。

[1]郭娴.互联网+时代下工业控制系统网络安全[J].自动化博览，2015（7）.

[2]谢丰.美国工控安全保障管理的启示[J].中国信息安全，2012（3）.

[3]王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012（8）.

[4]刘威,李冬,孙波.工业控制系统安全分析[J].信息网络安全,2012（8）.

[5]Stouffer K，Falco J，Scarfone K.Guide to Industrial Control Systems(ICS)Security[Z]，2011.

[6]北京匡恩网络科技有限公司.2016年工业控制网络安全态势报告[R]，2016.

[7]郭江，张志华，张志民.水利工业控制系统网络安全问题初探 [C]//中国水利学会泵及泵站专业委员会.2015年学术年会.

[8]郭江，张志华.工控系统网络安全现状及风险分析[C]//抽水蓄能电站自动控制技术应用研讨会.2016年学术交流会论文集.

[9]张志华，郭江，秦继伟.水电站控制系统网络安全现状及安全对策[C]//全国水电站机电技术讨论会优秀论文集,2016.

[10]胡明远，张志华.水电站工控网络安全现状及解决方案[C]//中国水力发电工程学会信息化专委会、中国水力发电工程学会水电控制设备专委会.2017年学术交流会论文集.

[11]胡明远，张志华.泵站工控网络安全现状及解决方案[C]//中国水利学会泵及泵站专业委员会2017年学术年会.