摘要

網絡風險有3個關鍵變量：威脅、漏洞和後果。為了降低工業控制系統的網絡風險，企業需要做好網絡安全漏洞評估和風險評估。

現在，大多數離散和過程製造工廠的控制和操作，都由基於Ethernet TCP/IP網絡和微軟操作系統的自動化系統完成的。這些系統的網絡安全漏洞，可能會造成潛在重大風險，包括健康、安全和環境等風險。為了解決風險，需要了解它，但是如何做去做呢？功能安全評估側重於隨機硬件故障或系統性軟件故障，一般不會考慮網絡威脅或網絡漏洞。

要了解網絡風險，有必要進行網絡漏洞評估和網絡風險評估。毫不奇怪，這正是網絡安全標準和法規所要求的。

網絡安全法規和標準

幸運的是，我們有可用的資源。在過去10年中，已經制定了許多標準和法規用來解決這個已知的問題：我們的工業控制系統（ICS）容易受到網絡威脅。

諸如北美電力可靠性委員會（NERC）、國際自動化協會（ISA）、美國石油學會（API）、美國國家標準與技術研究所（NIST）、國際電工委員會（IEC）以及其它機構，已經開發了許多標準和文件，來說明保護ICS免受網絡攻擊的必要性，以及如何做到這一點。

功能安全標準現在也開始對網絡漏洞和風險評估做出要求。IEC 61511第二版（功能安全：過程工業安全儀表系統）已於2016年頒佈。其中一項新增條款規定：應進行安全風險評估，以識別安全儀表系統（SIS）的安全漏洞。另外一條規定， SIS的設計應對已經識別出的安全風險提供必要的防禦。新標準也向讀者推薦了ISA 84技術報告和ISA /IEC 62443-3-2標準（安全風險評估和系統設計），這些標準提供了進一步的指導，包括如何進行網絡漏洞和風險評估。

網絡安全風險是什麼？

風險有不同的類型和不同的組成部分，網絡安全就是其中之一。對工廠運營來說，可能面臨不同的風險，比如機械設備可能會失效、人可能犯錯誤、電子元件可能會失效、或網絡威脅會損害控制系統。要進行風險管理，必須瞭解風險所有的組成部分，包括網絡。儘管要比掌握機械風險困難的多，但是網絡風險是可以評估和管理的。否則的話，銀行帳戶早就被網絡罪犯洗劫一空了。

網絡風險，通常被認為是3個變量——威脅、漏洞和後果——的函數。威脅是觸發事件，如黑客或計算機病毒。威脅隨著黑客的技巧和動機以及惡意軟件的複雜程度而變化。漏洞是計算機系統的內在缺陷，這是攻擊實現的前提條件。最後，如果攻擊成功，會造成不想看到的後果。網絡安全風險就是利用網絡漏洞進行攻擊的可能性以及其後果所造成嚴重程度的組合。

ICS網絡安全漏洞評估

漏洞是網絡風險的一個關鍵變量。理論上，如果沒有網絡漏洞,就沒有網絡風險。當然，在現實中所有的ICS都有漏洞，只是有的系統多一些，有的少一些而已。漏洞的數量和嚴重程度取決於所使用的組件、它們是如何配置的以及它們是如何聯網的。

那麼ICS網絡安全漏洞評估是什麼呢？它是對ICS設計的評估。一套老舊ICS的設計，可能是從竣工圖紙或可找到的圖紙開始的（如圖1所示）。

圖1：工業控制系統（ICS）的網絡安全漏洞評估是一種對ICS設計的評估。圖片來源：aeSolutions

控制系統是如何構成的？系統由哪些設備組成？它們是如何連接起來的？如何通訊？現代控制系統很多基於以太網和微軟操作系統。在大量設施中，要清楚的理解這些組成部分是如何連接起來的，有時比較困難。這些系統經常是經歷了幾十年來的成長和發展才成為現在的樣子的，因此整個系統體系結構圖有時可能並不存在。

瞭解這些網絡是如何構建的，可以從分析網絡通信以及數據是如何在整個系統中流動的開始。這可以通過記錄實際網絡流量並將其圖示化來實現，以便更好的查看這些數據。

識別哪些設備互相通信，哪些設備應該互相通訊？什麼設備已經相互通訊，但是其實不應該這麼做，或者不期望這麼做？是否有控制系統設備正試圖與以太網通訊？圖示化通訊，更容易發現異常情況。

然後，漏洞評估將分析構成系統的實際服務器和工作站。目前控制工業設施的操作系統大部分是微軟系統平臺，如XP系統和Windows Server 2003。識別漏洞需要考察控制裝置本身、可編程邏輯控制器、安全儀表系統、操作員界面，變頻驅動器、分析儀等等。這些設備大多有以太網端口，並連接到組成控制系統網絡的公共網絡。

漏洞評估的下一步是將系統劃分為不同區域（如圖2所示）。這樣做有助於更好地分析系統，更好地提供保護功能，以確保真正需要通訊的信息才能進出該區域。

圖2：網絡安全漏洞評估還需要將系統劃分為不同的區域。

漏洞評估還應包括政策和程序的審查，以及差距分析。該系統如何與行業標準和最佳實踐相結合？最後，評估應列出已發現的漏洞以及縮小差距的推薦措施。

ICS網絡安全風險評估

瞭解漏洞只是瞭解了公式的一部分。網絡風險是威脅、漏洞和後果的組合。大多數組織想了解什麼是真正的網絡風險。已有方法可以實現該功能——這就是網絡風險評估或網絡PHA（過程危害分析）。這是一種非常系統性的方法，在許多方面與PHA或危害和可操作性（HAZOP）研究類似。實際分析過程在IEC 62443-3-2標準中有記錄。遵循高危險工藝過程安全管理化學品法規（29 CFR 1910.119），該方法已經獲得多次應用。因為它本質上和HAZOP（該技術在工業領域的使用已經超過40年）非常相似，因此該方法效果良好。圖3所示就是網絡危險評估研究的實例。

圖3：網絡風險評估研究示例

在該研究中，尋找的是攻擊而不是傳統上的原因。同時還考慮了漏洞和後果。該方法使用與組織內部其它風險排序相同的風險矩陣。進行這樣的研究，有助於區分活動和資源，幫助設計師精心設計和採取對策措施，幫助形成文檔和驗證決策。網絡風險評估將記錄為什麼某些控制措施已經就位，有時也會說明為何沒有就位。

這還是一個非常有效的培訓和宣傳運動。像HAZOP一樣，這些研究需要多學科的團隊。需要來自IT、運營、工程及自動化的人員，一起研究系統。遵循該流程，團隊最終將形成風險登記和風險狀況文件，提供排序的風險清單，以及系統中可能存在風險區域。最終，得到減輕這些風險的一組建議和計劃。

這網絡風險評估效益

通過網絡風險評估,企業將受益良多。它們是任何風險管理程序的基礎，提供了與管理層進行風險溝通的一致方法。由於沒有任何一個企業或組織擁有無限的資源和無限的預算，因此風險評估的結果對管理層設置緩解措施的優先級非常有幫助。

結構化方法有助於揭示隱藏的風險，或推翻長期以來假定的、有可能被誇大的那些高風險領域。參與由主題專家進行的網絡風險評估，是一種有效的培訓網絡安全人員的方法，同時提高他們對所推薦的緩解措施的接受度。最後，網絡風險評估過程中會產生詳細的文檔和評估，記錄所採用以及沒有采用的緩解措施的理由。

本文來自於《控制工程中文版》（CONTROL ENGINEERING China ）2017年8月刊《技術文章》欄目，原標題為：工業控制系統的網絡安全漏洞和風險評估