★蔡麗麗中衡特爾維檢測(cè)技術(shù)（北京）有限公司

關(guān)鍵詞：數(shù)字化；智能化；工業(yè)控制系統(tǒng)；風(fēng)險(xiǎn)評(píng)估

1　引言

黨的二十大報(bào)告提出，到2035年基本實(shí)現(xiàn)新型工業(yè)化。在推動(dòng)新階段新型工業(yè)化進(jìn)程中，數(shù)字化、智能化成為工業(yè)企業(yè)技改升級(jí)的重要抓手。繼工業(yè)互聯(lián)網(wǎng)賦能之后，工業(yè)企業(yè)圍繞“數(shù)字化轉(zhuǎn)型”“智能化升級(jí)”，加強(qiáng)新一代信息技術(shù)與工業(yè)生產(chǎn)的集成應(yīng)用，加速發(fā)展新質(zhì)生產(chǎn)力。網(wǎng)絡(luò)化是數(shù)字化、智能化的基礎(chǔ)資源保障和數(shù)據(jù)要素來(lái)源，經(jīng)典工業(yè)控制系統(tǒng)模型在網(wǎng)絡(luò)化背景下已發(fā)生改變，能否針對(duì)工業(yè)控制系統(tǒng)實(shí)施信息安全風(fēng)險(xiǎn)控制、防范化解網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)隱患，成為工業(yè)企業(yè)順利實(shí)現(xiàn)轉(zhuǎn)型升級(jí)的關(guān)鍵因素。

2　新型工業(yè)化背景下的工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)

經(jīng)典的工業(yè)控制系統(tǒng)層次結(jié)構(gòu)圖，從上到下依次為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，以及企業(yè)的數(shù)字化轉(zhuǎn)型、智能化升級(jí)提速，該層次已不能完全適用。新技術(shù)、新裝備的使用，以及工業(yè)企業(yè)上云等，使得對(duì)應(yīng)風(fēng)險(xiǎn)評(píng)估的資產(chǎn)、脆弱性和威脅也發(fā)生了變化。

（1）新型工業(yè)化背景下的工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀

經(jīng)典工業(yè)控制系統(tǒng)通常包括SCADA（監(jiān)控和數(shù)采系統(tǒng)）、DCS（分布式控制系統(tǒng)）、PLC（可編程邏輯控制器）等，應(yīng)用環(huán)境封閉、獨(dú)立，信息安全隱患不足為慮。我國(guó)大部分工業(yè)控制系統(tǒng)建設(shè)較早，在信息技術(shù)欠發(fā)達(dá)時(shí)代考慮的信息安全較少，且并沒(méi)有隨著科技發(fā)展而升級(jí)，導(dǎo)致其自身安全能力不足^[1]。隨著新技術(shù)如云計(jì)算、大數(shù)據(jù)、人工智能、邊緣計(jì)算等在工業(yè)生產(chǎn)中的應(yīng)用，以及越來(lái)越多的軟硬件設(shè)施包括智能終端、采集設(shè)備等接入網(wǎng)絡(luò)，打破了相對(duì)封閉可信的傳統(tǒng)工業(yè)控制系統(tǒng)環(huán)境，OT、IT、DT、CT緊密融合，安全邊界逐漸模糊，互聯(lián)網(wǎng)的威脅進(jìn)入工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)的脆弱性被黑客瞄準(zhǔn)。與此同時(shí)，邊緣計(jì)算平臺(tái)、云平臺(tái)接入工業(yè)控制系統(tǒng)，匯聚了海量的多源異構(gòu)數(shù)據(jù)，使得數(shù)據(jù)處理和利用不斷促進(jìn)數(shù)字化、智能化，但也引入了數(shù)據(jù)安全風(fēng)險(xiǎn)。所以傳統(tǒng)的僅針對(duì)工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估在新形勢(shì)下的適用性、有效性大幅下降，從而催生了新型工業(yè)化背景下的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估，進(jìn)而為數(shù)智升級(jí)提供可靠保障。

（2）工業(yè)企業(yè)上云導(dǎo)致的風(fēng)險(xiǎn)

《2023上半年云安全態(tài)勢(shì)報(bào)告》顯示，工業(yè)云是遭受攻擊最多的三大行業(yè)之一^[2]。在數(shù)字化轉(zhuǎn)型過(guò)程中，工業(yè)企業(yè)使用工業(yè)互聯(lián)網(wǎng)平臺(tái)、邊緣計(jì)算平臺(tái)存儲(chǔ)、處理數(shù)據(jù)。對(duì)于工業(yè)互聯(lián)網(wǎng)平臺(tái)，涉及到如MES（生產(chǎn)過(guò)程執(zhí)行系統(tǒng)）、PLM（產(chǎn)品生命周期管理系統(tǒng)）等系統(tǒng)的云化部署、本地部署的常規(guī)工業(yè)控制系統(tǒng)數(shù)據(jù)上云。對(duì)于邊緣計(jì)算平臺(tái)，通過(guò)控制器、網(wǎng)關(guān)或服務(wù)器連接大量的現(xiàn)場(chǎng)設(shè)備、機(jī)床或產(chǎn)線(xiàn)，使得存儲(chǔ)和計(jì)算下移。工業(yè)互聯(lián)網(wǎng)平臺(tái)、邊緣計(jì)算平臺(tái)帶來(lái)的其自身的風(fēng)險(xiǎn)評(píng)估情況、接入安全風(fēng)險(xiǎn)及公有云安全風(fēng)險(xiǎn)管理，都將成為工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估考量的因素。

（3）智能資產(chǎn)導(dǎo)致的風(fēng)險(xiǎn)

在智能化升級(jí)過(guò)程中，智能裝備如數(shù)控機(jī)床、數(shù)控電氣，智能設(shè)備如工業(yè)機(jī)器人、智能車(chē)載等資產(chǎn)的廣泛使用，使得工業(yè)控制系統(tǒng)呈現(xiàn)新的風(fēng)險(xiǎn)因素。智能資產(chǎn)系統(tǒng)可能存在漏洞及后門(mén)，攻擊者可以通過(guò)漏洞控制設(shè)備、通過(guò)后門(mén)竊取數(shù)據(jù)，造成工業(yè)企業(yè)的損失。另外，智能資產(chǎn)所在的網(wǎng)絡(luò)區(qū)域，若未使用防火墻、網(wǎng)閘等邊界安全設(shè)備，同時(shí)又使用智能終端通過(guò)互聯(lián)網(wǎng)對(duì)其進(jìn)行遠(yuǎn)程監(jiān)測(cè)時(shí)，IT和OT的邊界消失，極易遭受來(lái)自IT端的網(wǎng)絡(luò)攻擊。因此，智能資產(chǎn)的信息安全風(fēng)險(xiǎn)評(píng)估成為工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的一部分。

（4）供應(yīng)鏈安全導(dǎo)致的風(fēng)險(xiǎn)

新型工業(yè)化背景下，工業(yè)企業(yè)應(yīng)用固件、軟件、組件和系統(tǒng)越來(lái)越多，軟件或系統(tǒng)封裝層級(jí)越來(lái)越高，針對(duì)供應(yīng)鏈各個(gè)環(huán)節(jié)的攻擊急劇上升，導(dǎo)致整體供應(yīng)鏈安全威脅越來(lái)越大。針對(duì)供應(yīng)鏈的安全攻擊事件呈快速增長(zhǎng)態(tài)勢(shì)，Gartner曾預(yù)測(cè)，到2025年全球至少45%的企業(yè)機(jī)構(gòu)將遭遇軟件供應(yīng)鏈攻擊。再者軟件開(kāi)發(fā)工具，若植入惡意代碼，將會(huì)編譯出缺陷代碼。曾疑似IOS開(kāi)發(fā)工具Xcode被植入了惡意代碼，用該工具編譯的App會(huì)泄漏手機(jī)隱私信息。因此開(kāi)展供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估，是對(duì)新型工業(yè)化背景下工業(yè)控制系統(tǒng)要求的細(xì)化，可以幫助企業(yè)識(shí)別供應(yīng)鏈安全弱點(diǎn)、實(shí)施控制措施、提升其關(guān)鍵環(huán)節(jié)的安全防護(hù)能力。

3　新型工業(yè)化背景下的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)

我國(guó)高度重視工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估，多部法律法規(guī)提出了風(fēng)險(xiǎn)評(píng)估要求，多項(xiàng)國(guó)家標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程提供了指導(dǎo)，針對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行已有安全措施確認(rèn)。新階段的工業(yè)企業(yè)風(fēng)險(xiǎn)評(píng)估不能僅遵守工業(yè)控制系統(tǒng)相關(guān)的風(fēng)險(xiǎn)評(píng)估，而應(yīng)能更適應(yīng)聯(lián)網(wǎng)化、數(shù)字化、智能化的發(fā)展趨勢(shì)，為企業(yè)數(shù)智升級(jí)提供安全保障。

（1）法律法規(guī)對(duì)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的規(guī)定

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，國(guó)家網(wǎng)信部門(mén)協(xié)調(diào)有關(guān)部門(mén)建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè)，鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)。《中華人民共和國(guó)數(shù)據(jù)安全法》規(guī)定：國(guó)家支持有關(guān)部門(mén)、行業(yè)組織、企業(yè)、教育和科研機(jī)構(gòu)、有關(guān)專(zhuān)業(yè)機(jī)構(gòu)等在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、防范、處置等方面開(kāi)展協(xié)作；重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。

《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》提出，新建或升級(jí)工業(yè)控制系統(tǒng)上線(xiàn)前、工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連接前，應(yīng)開(kāi)展安全風(fēng)險(xiǎn)評(píng)估。《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類(lèi)分級(jí)指南（試行）》規(guī)定：三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)至少每年進(jìn)行一次網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與審計(jì)。《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》規(guī)定：工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評(píng)估機(jī)構(gòu)，每年對(duì)其數(shù)據(jù)處理活動(dòng)至少開(kāi)展一次風(fēng)險(xiǎn)評(píng)估，及時(shí)整改風(fēng)險(xiǎn)問(wèn)題，并向本地區(qū)行業(yè)監(jiān)管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告；中央企業(yè)應(yīng)當(dāng)督促指導(dǎo)所屬企業(yè)，在重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案、核心數(shù)據(jù)跨主體處理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)信息上報(bào)、年度數(shù)據(jù)安全事件處置報(bào)告、重要數(shù)據(jù)和核心數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估等工作中履行屬地管理要求。

（2）工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的參考標(biāo)準(zhǔn)

GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》是工業(yè)互聯(lián)網(wǎng)企業(yè)針對(duì)工業(yè)控制系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)估的核心依據(jù)，它從資產(chǎn)、脆弱性、威脅、已有安全措施四個(gè)方面進(jìn)行風(fēng)險(xiǎn)識(shí)別，通過(guò)風(fēng)險(xiǎn)分析計(jì)算事件發(fā)生的可能性、評(píng)估對(duì)象的損失、系統(tǒng)資產(chǎn)面臨的風(fēng)險(xiǎn)值，最終計(jì)算出業(yè)務(wù)風(fēng)險(xiǎn)值。GB/T36466-2018《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》根據(jù)工業(yè)控制系統(tǒng)的資產(chǎn)安全特性，分析威脅、脆弱性和保障能力，通過(guò)風(fēng)險(xiǎn)計(jì)算完成綜合分析與評(píng)價(jià)，最后根據(jù)判定結(jié)果及企業(yè)自身情況進(jìn)行殘留風(fēng)險(xiǎn)處置。GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》提供了信息安全風(fēng)險(xiǎn)管理指導(dǎo)，可用于工業(yè)企業(yè)。當(dāng)前該標(biāo)準(zhǔn)正在升級(jí)轉(zhuǎn)版，新標(biāo)準(zhǔn)名稱(chēng)定為《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指導(dǎo)》。

（3）已有安全措施確認(rèn)的標(biāo)準(zhǔn)依據(jù)

針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行測(cè)評(píng)的標(biāo)準(zhǔn)，涵蓋網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系，包括GB/T22239-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T28448-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等；工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全系列標(biāo)準(zhǔn)包括GB/T44462.1-2024《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第1部分：應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)防護(hù)要求》、GB/T44462.2-2024《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第2部分：平臺(tái)企業(yè)防護(hù)要求》等。這些標(biāo)準(zhǔn)可以用于企業(yè)對(duì)工業(yè)控制系統(tǒng)已有安全措施進(jìn)行有效性確認(rèn)。企業(yè)采取的防護(hù)措施包括防火墻、入侵檢測(cè)、數(shù)據(jù)加密、訪(fǎng)問(wèn)控制等，是降低脆弱性并抵御威脅的手段，可通過(guò)配置核查、漏洞掃描、滲透測(cè)試等技術(shù)手段驗(yàn)證防護(hù)措施的有效性。

4　結(jié)語(yǔ)

由于風(fēng)險(xiǎn)評(píng)估涉及的企業(yè)多樣、人員差異等因素，導(dǎo)致其結(jié)果存在一定的不確定性，因此在開(kāi)展工業(yè)控制信息系統(tǒng)信息全風(fēng)險(xiǎn)評(píng)估過(guò)程中要盡量考慮全面，并定期實(shí)施。

（1）工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估面臨的問(wèn)題

一是，工業(yè)控制系統(tǒng)應(yīng)用于多種類(lèi)型的工業(yè)企業(yè)，如鋼鐵、有色、石化等，企業(yè)類(lèi)型及規(guī)模大小不同，其風(fēng)險(xiǎn)評(píng)估側(cè)重也有所不同；二是，風(fēng)險(xiǎn)評(píng)估具有主觀(guān)性，工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估無(wú)論依賴(lài)于第三方還是自身，都有其盲區(qū)，評(píng)估者的視角和經(jīng)驗(yàn)都會(huì)影響評(píng)估結(jié)果；三是，風(fēng)險(xiǎn)評(píng)估的方法并不一致，智能資產(chǎn)、云平臺(tái)或關(guān)鍵部件若單獨(dú)進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估方法一致性是工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確性的重要因素。

（2）定期開(kāi)展工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估

由于工業(yè)控制系統(tǒng)相關(guān)的資產(chǎn)、脆弱性和威脅不是一成不變的，因此工業(yè)企業(yè)需要通過(guò)定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估，全面了解自身的網(wǎng)絡(luò)和數(shù)據(jù)安全水平，根據(jù)評(píng)估結(jié)果優(yōu)化防護(hù)措施，及時(shí)消除不可接受的風(fēng)險(xiǎn)隱患，將風(fēng)險(xiǎn)控制在可接受范圍內(nèi)，為企業(yè)數(shù)智升級(jí)提供保障，為實(shí)現(xiàn)新型工業(yè)化目標(biāo)打下基礎(chǔ)。

作者簡(jiǎn)介

蔡麗麗（1990-），女，河北張家口人，助理工程師，學(xué)士，現(xiàn)就職于中衡特爾維檢測(cè)技術(shù)（北京）有限公司，主要從事信息系統(tǒng)安全性維護(hù)、信息系統(tǒng)測(cè)試、質(zhì)量管理等方面的研究。

參考文獻(xiàn)：

[1] 張真愷. 煙廠(chǎng)制絲車(chē)間工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估研究[D]. 昆明: 云南大學(xué), 2022.

[2] 工業(yè)級(jí)大模型應(yīng)用是一把“雙刃劍”? [EB/OL].

摘自《自動(dòng)化博覽》2025年1月刊