工业控制系统信息安全风险评估探讨

工业控制系统信息安全风险评估探讨

刘明杨

大庆油田信息技术公司北京分公司 163453

摘要：随着科技的不断进步，推动了工业化进程的加速，也使得工业控制系统在各个领域得到了十分广泛的应用。如今，工业控制系统已经在生产制造、交通、化工都等方面得以应用，为推动这些产业的现代化发展奠定了良好的基础。但是，随着工业控制系统的广泛应用，也使得信息安全问题越来越受到关注，在工业控制系统的应用中相继暴露出了一系列的安全风险和漏洞。因此，在工业控制系统的应用中必须要做好信息安全管理工作，对工业控制系统的信息安全风险进行科学的评估，并采取相应的措施搭建信息安全管理体系，保障工业控制系统的有效应用。本文通过探讨工业控制系统信息安全风险评估的措施，为相关工作的开展提供参考。

关键词：工业控制系统；信息安全；风险评估

引言：工业控制系统是目前广泛应用于工业生产制造中的先进技术体系，对提升工业生产效率和质量作出了积极的贡献。在工业控制系统的应用当中，信息安全风险会引发工业控制系统的安全隐患，造成严重的后果。因此，工业控制系统的应用必须首先解决信息安全的问题，对工业控制系统的信息安全风险进行预测和评估，再采取相应的信息安全管理措施，达到提高工业控制系统信息安全的目的。

1工业控制系统信息安全风险评估的内容

对工业控制系统进行信息安全风险评估的主要目的就是对与工业控制系统相关的软件系统、硬件设施及各项信息数据进行监控，以防工业控制系统遭遇非法入侵、破坏等信息安全漏洞，并借助于科学的风险预测对这些情况加以防控；此外，工业控制系统的信息安全风险评估还可以对系统运行中的数据泄露、篡改等风险进行监测和评估。这就表示信息安全风险评估有利于保障工业控制系统安全、可靠的运行。在工业控制系统的信息安全风险评估中包含了管理机制、人员、设施、环境等的评估和管控，具体而言主要涵盖了以下方面：

1.1对工业控制系统的物理安全进行评估

工业控制系统的物理安全涉及到了整个系统的设施、设备的安全稳定运行，是工业控制系统信息安全风险评估的重要组成部分。在对工业控制系统的物理安全进行评估时，必须要立足于整个系统，将涉及工业控制系统的供配电、防火、防雷、接地、线路、环境等全部纳入物理安全评估的范畴当中^[1]；并且，物理安全评估不但关系着信息安全风险的评估，也应当包含与工业控制系统运行相关的监控手段。

1.2工业控制系统信息安全风险评估的架构

工业控制系统的涉及范畴众多，体系架构比较复杂，因此在对工业控制系统的信息安全风险进行评估时必须要采取多层次、多角度、全方位的评估方式。对信息安全风险的评估指标应当涵盖工业控制系统的操作系统、通信协议、边界控制、层次结构等要素；此外，工业控制系统的信息安全风险评估架构还应当对涉及信息安全管理的用户登陆、访问控制、身份识别、网络服务、数据保护等进行风险评估。

1.3对工业控制系统的运行安全进行评估

除上述内容外，工业控制系统的信息安全风险评估还需要从安全管理的角度入手对系统潜在的安全风险进行甄别，从运维管理、安全监测、人员管理等方面确保信息安全管理可以满足工业控制系统的运行要求；此外，工业控制系统的运行安全评估还应当包括系统软件的安全管理，对网络流量进行监控，对工业控制系统进行日常的维护等。

2工业控制系统信息安全风险评估的方法

2.1分析法

分析法是工业控制系统信息安全风险评估的常用方法，采用分析法进行信息安全风险评估主要按照以下流程：

首先，对工业控制系统信息安全风险评估的相关资料、文件、管理记录等进行研究，以此对系统整体的运行情况进行查找，及时发现其中存在的安全隐患和漏洞；

其次，对工业控制系统的配置包括数据库、操作系统、网络设备进行检查，评估设备的安全防护性能，避免设备设施存在的安全隐患^[2]；

再次，对工业控制系统的架构进行检查，在这个环节可以将拓扑结构作为工业控制系统的架构，按照纵深防御的思路对工业控制系统的安全层次进行筛分，将工业控制系统的层次细分为设备层、过程控制层、集中监控层、制造执行层等。

2.2访谈法

在工业控制系统信息安全风险评估中所使用的访谈法就是通过对工业控制系统的操作人员进行访谈来对系统的运行情况进行评估，获取比较真实可靠的数据。在采用访谈法进行信息安全风险评估时，需要确保信息数据的准确性，挖掘潜在的系统风险和威胁，以此制定相应的防控手段。

2.3试验法

在工业控制系统的运行中，采用试验法可以对系统的安全性能进行准确的评估，以此来提高上述两类风险评估方法的不足。具体而言，在工业控制系统的信息安全风险评估中，如果仅采用分析法在准确性和全面性方面还存在一定的不足，此时就可以借助于试验法进行深层次的风险评估，对涉及工业控制系统运行的关键指标和数据进行填补

^[3]。在应用试验法进行工业控制系统信息安全风险评估时，最为关键的应当是对系统的安全性能进行测试。

3工业控制系统信息安全风险评估的流程

从评估流程的角度出发，对工业控制系统的信息安全风险进行评估的主要流程应当包含了评估前的准备阶段、信息安全风险评估阶段、数据计算阶段及管理控制阶段。在开展信息安全风险评估前，必须明确评估目标，以此划分评估范围、确定评估对象，而后制定完善的信息安全风险评估方案，匹配相应的评估人员，开展具体的评估工作。在对工业控制系统的信息安全风险进行评估时，一般需要包含资产识别、系统识别、风险识别、安全防控等具体举措。

例如，在对工业控制系统潜在的安全威胁进行评估和识别时，必须要对立足于整个系统对系统运行中存在的安全威胁的来源、动机等进行评价，同时对系统的主体、资源等进行合理的评估。在对安全威胁进行识别和评估时，需要考虑到工业控制系统不同的运行环境以及运维管理的人员影响^[4]。尤其是随着工业控制系统的精密程度、复杂程度都在不断提升的情况下，工业控制系统所使用的软硬件设备功能更全、系统架构更加复杂，在信息安全风险识别和评估上的难度也就更大，这就需要在信息安全风险评估中对系统漏洞和系统的脆弱性进行判定，而后选择适宜的安全防控措施，从多方面提升信息安全管理的等级。

结论：

工业控制系统依托于先进的科技手段，目前已经在工业产业的多个领域得到了十分广泛的应用。在工业控制系统的运行中，信息安全风险会对系统的安全稳定运行造成极大的威胁。针对这一问题，需要采取相应的评估机制，对信息安全风险进行分析和评估，而后采取相应的维护与管理措施，从而提升信息安全管理等级，降低信息安全风险，维护工业控制系统的安全可靠性。

参考文献：

1. 符鑫峰.工业控制系统信息安全分析及应对策略[J].冶金自动化,2018,42(01)7-12.

2. 尹肖栋,严丹,赵一凡.论工业控制系统网络安全风险评估试点工作[J].软件,2018,39(09):55-57.

3. 陶志坚,姚日煌.工业控制系统信息安全风险评估研究[J].电子产品可靠性与环境试验,2016(06):15-21.

4. 高魏轩,姚相振,范科峰等.工业行业关键基础设施信息安全风险评估[J].信息技术与标准化,2017(Z1):41-44+60.

作者简介：刘明杨，性别：男，民族：汉，籍贯：辽宁省沈阳市，出生年月：1983年9月，

文化程度：本科，现有职称：高级工程师，研究方向：网络，信息安全.