伴随着工业化和信息化的深度融合，注重可用性和可靠性的工业网络将同时面临传统信息安全风险和工业信息安全风险。工业网络安全已经上升到了国家的高度，如何有效进行工业网络安全防护，降低工业网络安全风险是目前国家监管机构、工业企业、工业网络安全企业等面临的最迫切的问题。根据工业网络安全合规标准和国内外的最佳实践，通过常态化的工业网络安全评估，分析安全状况和防护水平，定位工业网络安全风险，找到与合规基准的差距，有针对性地采取安全防护措施，是提升工业网络安全防护能力，切实保障工业网络安全的有效途径。

 

　　工业网络安全形势

 

　　随着工业信息化进程的快速推进以及工业互联网、工业云等新兴技术的兴起，信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用，极大地提高了企业的综合效益。为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往采用专用系统、封闭运行的模式，开始在系统中采用一些标准的、通用的通信协议及硬软件系统，甚至有些工业控制系统也能以某些方式连接到互联网中。这使得工业控制系统必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁，由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中，攻击行为所导致的安全事故造成的社会影响和经济损失会更为严重。出于政治、军事、经济、信仰等目的，敌对的组织、国家以及恐怖犯罪分子都可能把工业控制系统作为达成其目的的攻击目标。

 

　　近年来，以“伊朗布什尔核电站遭到‘震网病毒’攻击”为代表的一系列针对工业控制系统的信息安全事件表明，攻击者正普遍采用被称为高级持续性威胁(Advanced Persistent Threat，简称 APT)的新型攻击手段。攻击者不仅具有明确的攻击目标，而且在攻击时也多采用有组织的多攻击协同模式。显然，这种新型的攻击手段更难防御，对工业企业、安全厂商及相关研究机构的安全检测和服务能力提出了更高的挑战。

 

　　国家政策法规标准

 

　　工业网络脆弱的安全状况以及所面临的日益严重的攻击威胁，已经引起了国家的高度重视，提升到“国家安全战略”的高度，在政策、标准、技术、方案等方面展开了积极应对，以下对已经发布的法规和标准进行简要的分析：

 

　　《网络安全法》第三十八条规定：关键基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门；第三十九条：国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取以下措施：(一)对关键信息基础实施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；《网络安全法》对工业网络安全监管机构以及工业企业定期开展安全风险评估都提出了相应的要求。

 

　　《GB/T 30976.1-2014工业控制系统信息安全 第1部分：评估规范》是由中国机械工业联合会提出，由全国工业过程测量和控制标准化技术委员会(SAC/TC 124)和全国信息安全标准化技术委员会(SAC/TC 260)归口；该标准规定了工业控制系统(SCADA、DCS、PLC、PCS等)信息安全评估的目标、评估的内容、实施过程等；评估内容主要包括组织机构管理评估和系统能力评估两个方面；同时还强调了工业控制系统全生命周期各阶段的风险评估，风险评估应该贯穿于工业工控系统生命周期的各个阶段，包括规划、设计、实施、运行维护和废弃阶段，并对各个阶段风险评估的对象、目的和要求进行了详细阐述。

 

　　2017年7月31日工信部印发《工业控制系统信息安全防护能力评估工作管理办法》，主要为工业企业按照《工业控制系统信息安全防护指南》建立的安全防护能力开展综合评估；该办法也强调了针对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展安全防护能力综合评价；同时，对评估管理组织、评估机构和人员要求、评估工具要求、评估工作程序和监督管理进行了详细描述。该方法的评价模型采用定量分析，根据《工业控制系统信息安全防护指南》的11个方面设置了30个大项，61个小项，129个评分细项，对每个细项都赋予了相应的分值和评分细则。

 

　　《GB/T 36047-2018 电力信息系统安全检查规范》是由国家电力监管委员会提出，由电力监管标准化技术委员会(SAC/TC 296)归口；该标准主要规定了电力信息安全检查工作的流程、方法和内容，对检查工作流程、检查内容和检查方法进行了详细阐述，检查内容包括组织体系、规章制度、安全分区防御体系、网络安全防护、主机和设备安全防护等15个方面，同时还根据检查对象的不同，检查内容进一步细分为通用检查项、仅适用于管理信息类系统的检查项和仅适用于生产控制类系统的检查项；最后，该标准还提出了定性分析和定量分析两种方法，为最终的风险评估提供依据和指导。

 

　　全生命周期评估

 

　　工业控制系统全生命周期包括规划、设计、实施、运行、维护、废弃阶段，每个阶段关注工控系统信息安全的角色在变化，关注的评估对象、目标和具体指标也有所差异，每个阶段都存在信息安全威胁，因此，关注每个阶段的安全风险评估，并进行有效的管理和防护，可以很大程度上降低工业网络的信息安全风险。

 

　　在《GB/T 30976.1-2014工业控制系统信息安全 第1部分：评估规范》和工信部印发《工业控制系统信息安全防护能力评估工作管理办法》中都提到了工业控制系统全生命周期的安全风险评估。《GB/T 30976.1-2014工业控制系统信息安全 第1部分：评估规范》中生命周期概述为：

 

　　在规划设计阶段，通过风险评估以确定系统的安全目标；

 

　　在建设验收阶段，通过风险评估确定系统的安全目标达成与否；

 

　　在运行维护阶段，要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。

 

　　因此每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。

 

　　自动化的安全评估实践

 

　　无论是监管机构的安全检查还是工业企业自查，复杂多样的工业环境和数量巨大的评估对象都对评估人员的技术水平和工作量提出了很大的考验；因此，借助评估工具，集成权威的检查模板，配以专业的检查知识指导和自动化的检查工具，可以大大减轻现场评估工作量，方便评估人员现场评估。根据大量的现场评估实践，总结了工业网络安全评估工具应具备以下典型功能：

 

　　权威的检查模板：评估工具应该集成权威的标准、指南或最佳实践，须拆解成适用于现场的、易懂、易评估的指标项；同时，可以支持现场评估人员自定义或根据需要自主导入检查模板，作为现场评估的基准；

 

　　成熟的检查指导：所有检查指标项都应该有汇集了众多专家知识和现场实践经验的检查知识库，可以指导评估人员对评估对象进行现场评估；同时，应该提供统一的评判标准以判断某一指标项是否合规；

 

　　完整的评价模型：评估工具应该针对不同的检查模板提供响应的定量或定性合规评价模型，根据现场评估过程输入的数据和信息，自动进行分析并展示评价结果，以定位工业网络的合规现状以及与基准之间的差距；

 

　　多样的检查工具：评估工具应该集成多样的辅助检查工具，常见的工具包括资产识别、漏洞扫描、配置核查、网络数据采集、入侵检测、异常行为审计、病毒和恶意代码检测、无线WIFI扫描和弱口令检查等工具，辅助完成合规指标项的检查和评判；

 

　　无损的检查功能：考虑到工业现场业务的可用性和可靠性要求，评估工具接入扫描的工具应采用轻量化扫描技术和无损扫描技术，以减少评估工作对业务正常运行的影响，避免次生风险。

 

　　绿盟工业网络安全合规评估工具 ISCAT

 

　　绿盟工业网络安全合规评估工具(NSFOCUS Industrial Network Security Compliance Assessment Toolkit, 简称：NSFOCUS ISCAT)配置一体化便携式、高性能专用硬件装备，集信息收集(对象、资产、流量)、合规评估、资产信息管理、资产统计分析、资产安全评估、网络异常行为审计、无线WiFi评估、通信流量诊断(流量统计、工控协议合规性分析、数据包分布统计、诊断数据统计、IP流量统计)、视频监控设备评估、主机恶意代码评估于一体的综合评估工具集，为用户提供标准、专业的检查指导，并支持对评估结果数据的关联分析、统计对比，可帮助用户快速分析展示合规现状，定位工业网络安全风险。