工業(yè)控制系統(tǒng)安全與實(shí)踐 課件 第7-9章 工業(yè)控制系統(tǒng)異常行為檢測、工控系統(tǒng)信息安全風(fēng)險(xiǎn)評估、入侵響應(yīng)

工業(yè)控制系統(tǒng)異常檢測技術(shù)17.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)7.2工業(yè)控制系統(tǒng)異常檢測產(chǎn)品7.3工業(yè)控制系統(tǒng)正常行為建模原理第七章工業(yè)控制系統(tǒng)異常檢測技術(shù)7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐27.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)如第7章所述，基于誤用的入侵檢測技術(shù)存在對未知攻擊檢測能力弱的缺點(diǎn)，越來越多的攻擊類型中的很大一部分都是我們之前未曾見過的，因此，我們無法通過已構(gòu)建的規(guī)則庫或知識庫來識別攻擊行為。工業(yè)控制系統(tǒng)的規(guī)律性可以構(gòu)成基于模型的控制系統(tǒng)異常檢測的基礎(chǔ)。與基于誤用的入侵檢測技術(shù)類似，根據(jù)其采用的模型類型同樣可被分為基于規(guī)則、基于統(tǒng)計(jì)模型、基于人工智能算法等檢測方法。與基于誤用的入侵檢測技術(shù)明顯不同的是，其原理是建立系統(tǒng)正常流量或行為規(guī)則庫/模型，通過計(jì)算異常與正常流量/行為規(guī)則庫/模型的“偏差”來實(shí)現(xiàn)攻擊行為的檢測。37.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)根據(jù)檢測數(shù)據(jù)來源及檢測原理，本章將基于異常的入侵檢測技術(shù)分為：基于流量特性的檢測、基于操作行為的檢測、基于設(shè)備狀態(tài)異常的檢測、基于物理模型的檢測。同樣地，上述劃分方式并不是絕對的，尤其是近年來為了提高檢測精確度與可靠性，大多研究交叉使用多種方式實(shí)現(xiàn)異常檢測。4基于流量的檢測方式基于工控流量數(shù)據(jù)周期性的特點(diǎn)，建立正常流量模型，通過實(shí)時(shí)流量數(shù)據(jù)與正常流量模型的對比，實(shí)現(xiàn)異常檢測。例如：使用代表網(wǎng)絡(luò)流量和硬件運(yùn)行統(tǒng)計(jì)數(shù)據(jù)來預(yù)測“正?！毙袨?；建立Modbus流量模型，對TCP報(bào)頭和有狀態(tài)協(xié)議監(jiān)視分析，并輔Snort規(guī)則；將自適應(yīng)統(tǒng)計(jì)學(xué)習(xí)方法引入到系統(tǒng)中，檢測主機(jī)之間的通信模式和單個(gè)流量中的流量模式等。（1）基于流量的檢測方式7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)5

基于操作行為的檢測方式解析工控專有協(xié)議，提取正常行為特征，建立正常規(guī)則庫或行為模型實(shí)現(xiàn)異常檢測。我們區(qū)分了兩種與進(jìn)程相關(guān)的威脅：(1)利用現(xiàn)場設(shè)備訪問控制的威脅(2)利用集中式SCADA控制應(yīng)用程序漏洞的威脅。第一種類型的威脅通常導(dǎo)致向SCADA狀態(tài)估計(jì)發(fā)送錯誤數(shù)據(jù)，然后在系統(tǒng)狀態(tài)分析中產(chǎn)生錯誤。第二種威脅包括執(zhí)行合法用戶操作(來自控制應(yīng)用程序)的場景，這些操作可能對流程生產(chǎn)或設(shè)備產(chǎn)生負(fù)面影響。（2）

基于操作行為的檢測方式7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)6

在本文中，我們重點(diǎn)討論第二種與進(jìn)程相關(guān)的威脅。

MELISSA使用運(yùn)行在HMI上的控制應(yīng)用程序生成的日來檢測用戶對過程控制應(yīng)用程序的異常行為。其基本思想是，一個(gè)頻繁的行為，在一段較長的時(shí)間內(nèi)，很可能是正常的。相反，在半自動化和穩(wěn)定的SCADA環(huán)境中，一個(gè)罕見的事件很可能是反常的。例如，一個(gè)工程師在工作時(shí)間以外通常不工作的機(jī)器上操作被認(rèn)為是可疑的。

例如，一個(gè)關(guān)于丟失設(shè)備的重復(fù)錯誤隨著時(shí)間的推移會變得不那么有趣(因?yàn)椴僮鲉T應(yīng)該毫不拖延地解決這個(gè)問題)。如果它被忽略，它可以被認(rèn)為是正常行為)。

（2）

基于操作行為的檢測方式7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)7“臨界狀態(tài)”（criticalstate）是指系統(tǒng)所處的危險(xiǎn)狀態(tài)，如加熱爐溫度超過閾值、離心機(jī)轉(zhuǎn)速超過閾值、一條輸氣管道中，其壓強(qiáng)由２個(gè)開關(guān)V1和V2控制。他們通過２條錯位的合法控制消息，將系統(tǒng)置于危險(xiǎn)狀態(tài)。

具體來講，攻擊者訪問該網(wǎng)絡(luò)并向PLC注入寫消息，導(dǎo)致V2完全關(guān)閉且V1完全打開，迫使輸氣量及管道壓強(qiáng)最大化。在此操作中，每條命令在獨(dú)立檢測時(shí)都是合法的，但將它們以特定順序發(fā)送會導(dǎo)致系統(tǒng)進(jìn)入臨界狀態(tài)如圖7-1所示的污水處理仿真系統(tǒng)中鍋爐閥門關(guān)閉的情況下，壓力持續(xù)上升可能導(dǎo)致的鍋爐爆炸狀態(tài)等。（3）基于設(shè)備狀態(tài)的檢測方法7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)8可以從控制設(shè)備和現(xiàn)場設(shè)備兩個(gè)角度描述設(shè)備狀態(tài)：控制設(shè)備各組件數(shù)據(jù)，現(xiàn)場設(shè)備度量值?，F(xiàn)場設(shè)備狀態(tài)以二進(jìn)制、離散類型、連續(xù)類型呈現(xiàn)出來，以數(shù)值/沖突/次序定義的關(guān)系描述方式，以閾值表示的邊界限制方式。正常情況下，控制設(shè)備接受傳感器采集的現(xiàn)場設(shè)備的某些狀態(tài)信息，如壓力、水位、溫度等，將其放入自己的寄存器中，并轉(zhuǎn)換成輸入數(shù)字/模擬信號，使用其內(nèi)部的控制邏輯程序（CLP）計(jì)算出輸出數(shù)據(jù)，并以輸出數(shù)字/模擬信號的形式向現(xiàn)場設(shè)備發(fā)送命令。（3）基于設(shè)備狀態(tài)的檢測方法7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)9基于設(shè)備狀態(tài)的系統(tǒng)行為模型有：采用無隨機(jī)成分建立的確定型模型，如與/或圖、有限狀態(tài)自動機(jī)、關(guān)聯(lián)性規(guī)則;采用概率統(tǒng)計(jì)的方法通過計(jì)算各個(gè)操作促發(fā)條件及出現(xiàn)的頻率而建立的概率型模型，如支持向量機(jī)、貝葉斯網(wǎng)絡(luò)、Markov鏈；采用RNN、LSTM、GNN、GDN等機(jī)器學(xué)習(xí)、深度學(xué)習(xí)算法構(gòu)建的預(yù)測型模型；以及時(shí)序相關(guān)圖、狀態(tài)遷移圖、狀態(tài)轉(zhuǎn)換圖等模型。（3）基于設(shè)備狀態(tài)的檢測方法7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)10控制系統(tǒng)設(shè)計(jì)遵循一些物理方程，如牛頓定律、流體動力學(xué)、電磁定律等，被控過程的每個(gè)階段根據(jù)上述方程會導(dǎo)出物理不變量?；诳刂葡到y(tǒng)物理模型的檢測方法根據(jù)工控系統(tǒng)模型和參數(shù)，采用相關(guān)的算法對正常檢測參數(shù)變化進(jìn)行建模，通過比較由ICS控制過程的“物理”和“化學(xué)”屬性之間的數(shù)學(xué)關(guān)系所得到的上述物理不變量，是否在合理的閾值范圍內(nèi)或是否發(fā)生變化實(shí)現(xiàn)攻擊檢測，常用的算法AAKR模型、CUSUM算法、乘積ARIMA模型等。該方法主要問題在于，需要對工業(yè)過程有深刻的理解，然而這種理解往往很難獲得。（4）基于物理模型的檢測方式7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)11基于多模型的混合檢測方法是上述多種檢測方式結(jié)合的一個(gè)實(shí)例。該方法構(gòu)建了三個(gè)模型：通信模型、任務(wù)與資源模型、數(shù)據(jù)流與臨界狀態(tài)模型。通信模型包括通信狀態(tài)模型、通信計(jì)劃模型、工控網(wǎng)結(jié)構(gòu)模型、以及通信協(xié)議特征。任務(wù)與資源模型描述了正常的任務(wù)計(jì)劃和任務(wù)執(zhí)行狀態(tài)）數(shù)據(jù)流與臨界狀態(tài)模型選擇時(shí)間戳與取值范圍作為描述特征。數(shù)據(jù)源包含網(wǎng)絡(luò)數(shù)據(jù)包和由資源利用探針和任務(wù)活動探針收集的節(jié)點(diǎn)數(shù)據(jù)。（5）混合檢測方式7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)12異常檢測包含三個(gè)主要組件：1)基于通信的異常檢測組件;2)基于節(jié)點(diǎn)的異常檢測組件;3)基于應(yīng)用的異常檢測組件。

上述三個(gè)組件分別對應(yīng)構(gòu)建的三個(gè)模型。通過上述三個(gè)檢測組件獲得檢測結(jié)果經(jīng)過格式化和融合之后發(fā)送到HMM分類器，該分類器是通過離線訓(xùn)練生成的，將狀態(tài)分成三類：正常、系統(tǒng)發(fā)生錯誤、系統(tǒng)受到攻擊。（5）混合檢測方式7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)13

信息流與狀態(tài)流融合檢測方式，將來自控制系統(tǒng)的信息流和設(shè)備狀態(tài)流相融合，以實(shí)現(xiàn)對序列攻擊的精確檢測。該算法針對操作序列，以概率后綴樹的思想檢測操作次序的異常；依據(jù)樹中節(jié)點(diǎn)所攜帶的設(shè)備狀態(tài)變化屬性信息，采用閾值匹配方法判斷該節(jié)點(diǎn)前后設(shè)備狀態(tài)取值及其變化差值的合法性，實(shí)現(xiàn)對操作時(shí)序異常的檢測；依據(jù)樹中節(jié)點(diǎn)所攜帶的設(shè)備狀態(tài)發(fā)展趨勢屬性信息，采用閾值匹配和自回歸模型方法，判斷該節(jié)點(diǎn)與下個(gè)節(jié)點(diǎn)之間的設(shè)備狀態(tài)取值變化形式，以及時(shí)發(fā)現(xiàn)操作間隔中的設(shè)備狀態(tài)異常。（5）混合檢測方式7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)14

一般情況下，SCADA系統(tǒng)中多變量過程參數(shù)的狀態(tài)值長時(shí)間處于“正常狀態(tài)”，因此狀態(tài)值聚集成密集的有限群，而n維空間中的臨界狀態(tài)大多以噪聲數(shù)據(jù)的形式出現(xiàn)，即它們在n維空間中是稀疏分布的。因此，異常值檢測方法實(shí)現(xiàn)對使得系統(tǒng)進(jìn)入臨界狀態(tài)的攻擊方法檢測。

基于聚類的檢測方法是一個(gè)典型的異常值檢測方法，首先采用DBSCAN聚類算法對正常狀態(tài)和臨界狀態(tài)進(jìn)行有效區(qū)分，分別得到正常狀態(tài)和異常狀態(tài)簇集合的簇特征。

基于此，抽取臨界狀態(tài)和正常狀態(tài)檢測規(guī)則，通過判斷當(dāng)前狀態(tài)屬于正常狀態(tài)簇還是臨界狀態(tài)簇實(shí)現(xiàn)異常檢測。（5）混合檢測方式7.1工業(yè)控制系統(tǒng)異常檢測技術(shù)基礎(chǔ)157.2工業(yè)控制系統(tǒng)異常檢測產(chǎn)品工業(yè)入侵檢測產(chǎn)品商業(yè)解決方案具有被動性、透明性、易于部署性的特點(diǎn)。被動性：商業(yè)解決方案充分考慮工業(yè)控制系統(tǒng)持續(xù)運(yùn)行的要求，一般不會影響系統(tǒng)的正常運(yùn)行。透明性：異常檢測產(chǎn)品的執(zhí)行對現(xiàn)有的控制系統(tǒng)是不可見。易于部署：產(chǎn)品在工業(yè)控制系統(tǒng)上部署簡單。167.2工業(yè)控制系統(tǒng)異常檢測產(chǎn)品目前已經(jīng)有很多產(chǎn)品利用深度包檢測和/或機(jī)器學(xué)習(xí)技術(shù)來檢測異常行為或隱藏攻擊，這類產(chǎn)品通常部署為機(jī)架服務(wù)器或虛擬化解決方案。大多運(yùn)行在運(yùn)營網(wǎng)絡(luò)上，通過現(xiàn)有網(wǎng)絡(luò)設(shè)備的SPAN端口處理信息流。其他的部署策略：利用分布在工業(yè)系統(tǒng)中所有節(jié)點(diǎn)的代理搜集信息，最后監(jiān)測與現(xiàn)場設(shè)備交互行為，如SIGA提供的產(chǎn)品；嵌入在現(xiàn)場設(shè)備本身的系統(tǒng)，比如MissionSecure公司提供的負(fù)責(zé)檢查和驗(yàn)證現(xiàn)場設(shè)備的行為的產(chǎn)品。177.2工業(yè)控制系統(tǒng)異常檢測產(chǎn)品還有一些產(chǎn)品從整體的角度將工業(yè)控制系統(tǒng)、人類操作人員在內(nèi)的各種參與者的行為納入檢測系統(tǒng)。例如：Darktrace的企業(yè)免疫系統(tǒng)利用各種數(shù)學(xué)引擎，包括貝葉斯估計(jì)，構(gòu)建基于人、設(shè)備甚至整個(gè)業(yè)務(wù)的行為模型；Leidos的WisdomITI為內(nèi)部威脅檢測提供了一個(gè)主動和實(shí)時(shí)的平臺，該平臺不僅監(jiān)控系統(tǒng)活動指標(biāo)，而且還監(jiān)控人類員工的行為；187.2工業(yè)控制系統(tǒng)異常檢測產(chǎn)品值得注意的是，這些產(chǎn)品的大多數(shù)開始并沒有他們所?；畹沫h(huán)境或工業(yè)控制系統(tǒng)的知識。因此，他們需要基于監(jiān)控網(wǎng)絡(luò)流量訓(xùn)練來獲取他們最需要的知識。一些產(chǎn)品，如ICS2的套件或ThetaRay的產(chǎn)品，可以在線下獲得工業(yè)控制系統(tǒng)行為。例如，通過加載和處理訓(xùn)練文件，或通過查詢制造商提供的關(guān)于不同系統(tǒng)組件預(yù)期行為信息。197.3工業(yè)控制系統(tǒng)正常行為建模原理現(xiàn)有語義攻擊可分為兩種類型：基于次序的語義攻擊和基于時(shí)序的語義攻擊。1.基于次序的語義攻擊指攻擊者以不正常的順序發(fā)送消息指令，如一條輸氣管道中，其壓強(qiáng)由２個(gè)開關(guān)V1和V2控制。他們通過２條錯位的合法控制消息，將系統(tǒng)置于危險(xiǎn)狀態(tài)。具體來講，攻擊者訪問該網(wǎng)絡(luò)并向PLC注入寫消息，導(dǎo)致V2完全關(guān)閉且V1完全打開，迫使輸氣量及管道壓強(qiáng)最大化。在此操作中，每條命令在獨(dú)立檢測時(shí)都是合法的，但將它們以特定順序發(fā)送會導(dǎo)致系統(tǒng)進(jìn)入臨界狀態(tài)；2.基于時(shí)序的語義攻擊指攻擊者以不正常的頻率發(fā)送消息指令，如該攻擊場景是一個(gè)配水部門，其輸水管道由大量閥門進(jìn)行控制，一旦這些閥門快速開關(guān)，則會形成水錘效應(yīng)，導(dǎo)致大量管道同時(shí)破裂。因此，攻擊者可給PLC發(fā)送異常速率的合法寫命令序列，命令這些閥門以異常速率進(jìn)行開關(guān)操作，迫使水流在慣性等因素的作用下，對閥門和管道產(chǎn)生正常工作壓強(qiáng)幾十倍以上的瞬時(shí)壓強(qiáng)，造成閥門損壞或管道破裂。傳統(tǒng)的網(wǎng)絡(luò)入侵檢測方法針對這種基于消息序列的語義攻擊顯得無能為力。本書作者針對上述攻擊方式，提出一種基于狀態(tài)轉(zhuǎn)換圖模型的系統(tǒng)正常行為建模方法，在工控安全靶場平臺系統(tǒng)中進(jìn)行了應(yīng)用及驗(yàn)證?；跔顟B(tài)轉(zhuǎn)換圖模型的系統(tǒng)正常行為模型步驟如下：20本書作者針對上述攻擊方式，提出一種基于狀態(tài)轉(zhuǎn)換圖模型的系統(tǒng)正常行為建模方法，在工控安全靶場平臺系統(tǒng)中進(jìn)行了應(yīng)用及驗(yàn)證?；跔顟B(tài)轉(zhuǎn)換圖模型的系統(tǒng)正常行為模型步驟如下：1.系統(tǒng)正常狀態(tài)數(shù)據(jù)集2.數(shù)據(jù)預(yù)處理3.構(gòu)建狀態(tài)轉(zhuǎn)移圖4.狀態(tài)轉(zhuǎn)移圖表示7.3工業(yè)控制系統(tǒng)正常行為建模原理21從工控安全靶場平臺獲取系統(tǒng)正常運(yùn)行下的設(shè)備狀態(tài)數(shù)據(jù)；與之對應(yīng)地，從上位機(jī)采集的狀態(tài)數(shù)據(jù)集顯示如下。其中Time、T1P、T2P、T3P、P10S、P335S、P131S、P330S分別表示：、水池1、水池2、水池3的水位（連續(xù)型數(shù)據(jù)）、泵1、泵2的狀態(tài)（打開/關(guān)閉，1表示打開，0表示關(guān)閉）、管131、管330的狀態(tài)（打開/關(guān)閉，1表示打開，0表示關(guān)閉）。數(shù)據(jù)集具體內(nèi)容如圖7-2所示：7.3工業(yè)控制系統(tǒng)正常行為建模原理（1）系統(tǒng)正常狀態(tài)數(shù)據(jù)集22將各種類型狀態(tài)數(shù)據(jù)（連續(xù)型、離散型、二元型）統(tǒng)一描述為二元型狀態(tài)數(shù)據(jù)。連續(xù)變量離散化方法：首先將連續(xù)型數(shù)據(jù)和離散型數(shù)據(jù)統(tǒng)一表示為二元狀態(tài)數(shù)據(jù)。一般情況下，對于連續(xù)型數(shù)據(jù)而言，將連續(xù)的數(shù)據(jù)進(jìn)行分段，使其變?yōu)橐欢味蔚碾x散化的區(qū)間。傳統(tǒng)的分段原則有等寬法、等頻率或聚類的方法。等寬法將分布值分為幾個(gè)等分的分布區(qū)間屬性的值域從最小值到最大值分成具有相同寬度的n個(gè)區(qū)間，n由數(shù)據(jù)特點(diǎn)決定。比如屬性值在[0，100]之間，最小值為0，最大值為100，要將其分為5等分，則區(qū)間被劃分為[0，20]、[21，40]、[41，60]、[61，80]、[81，100]，每個(gè)屬性值對應(yīng)屬于它的那個(gè)區(qū)間。等頻法將相同數(shù)量的記錄放在每個(gè)區(qū)間，保證每個(gè)區(qū)間的數(shù)量基本一致。即將屬性值分為具有相同寬度的區(qū)間，區(qū)間的個(gè)數(shù)k根據(jù)實(shí)際情況來決定。比如有值域在[0，100]的200個(gè)樣本，我們要將其分為k=5部分。每區(qū)間段內(nèi)含有40個(gè)樣本?；诰垲惖姆侄畏椒ㄟx取聚類算法（K-Means算法）將連續(xù)屬性值進(jìn)行聚類；處理聚類之后得到的k個(gè)簇，得到每個(gè)簇對應(yīng)的分類值（類似這個(gè)簇的標(biāo)記），將在同一個(gè)簇內(nèi)的屬性值做為統(tǒng)一標(biāo)記。7.3工業(yè)控制系統(tǒng)正常行為建模原理（2）數(shù)據(jù)預(yù)處理23本節(jié)采用基于聚類的離散化方法。以下圖數(shù)據(jù)集中的T2P變量為例，說明離散化的原理。對于值域在[139.93，140]的T2P變量，分成三段，分別是[139.93，139.95]、[139.96，139.98]、[139.99，140]。根據(jù)離散化后的連續(xù)變量范圍，分別用不同標(biāo)簽表示連續(xù)變量，將此三段區(qū)間分別對應(yīng)表示為T2P_3、T2P_2、T2P_1。離散化后的連續(xù)變量表示如圖所示。7.3工業(yè)控制系統(tǒng)正常行為建模原理（2）數(shù)據(jù)預(yù)處理24進(jìn)一步地，對數(shù)據(jù)集進(jìn)行了擴(kuò)展，分別用3個(gè)變量T2P_1、T2P_2、T2P_3（二元變量）表示1個(gè)T2P（連續(xù)變量）。當(dāng)T2P取值在[139.99，140]時(shí)，對應(yīng)的T2P_1為1，T2P_2、T2P_3都為0；當(dāng)T2P取值在[139.96，139.98]時(shí)，對應(yīng)的T2P_2為1，T2P_1、T2P_3都為0；當(dāng)T3P取值在[139.99，140]時(shí)，對應(yīng)的T2P_3為1，T2P_1、T2P_2都為0。連續(xù)變量二元化表示如圖所示。7.3工業(yè)控制系統(tǒng)正常行為建模原理（2）數(shù)據(jù)預(yù)處理25

7.3工業(yè)控制系統(tǒng)正常行為建模原理（3） 構(gòu)建狀態(tài)轉(zhuǎn)移圖26舉例說明：如圖7-5所示的劃分方式，其狀態(tài)轉(zhuǎn)換圖中頂點(diǎn)和時(shí)延分別為：V0={1，0，1，0，0，0，1，1，0}20S（v0經(jīng)過20秒，轉(zhuǎn)換到下一狀態(tài)）V1={1，1，1，0，0，0，1，1，0}15S（v1經(jīng)過15秒，轉(zhuǎn)換到下一狀態(tài)）V2={1，1，0，0，0，0，1，1，0}20S（v2經(jīng)過20秒，轉(zhuǎn)換到下一狀態(tài)）V3={0，1，0，1，0，0，1，1，0}40S（v3經(jīng)過40秒，轉(zhuǎn)換到下一狀態(tài)）V4={0，1，0，0，1，0，1，1，0}5S（v4經(jīng)過5秒，轉(zhuǎn)換到下一狀態(tài)）V5={0，0，0，0，1，0，1，1，0}55S（v5經(jīng)過55秒，轉(zhuǎn)換到下一狀態(tài)）7.3工業(yè)控制系統(tǒng)正常行為建模原理（3） 構(gòu)建狀態(tài)轉(zhuǎn)移圖27上述頂點(diǎn)及狀態(tài)轉(zhuǎn)移關(guān)系對應(yīng)的如圖7-6所示。頂點(diǎn)及狀態(tài)轉(zhuǎn)移關(guān)系圖表示7.3工業(yè)控制系統(tǒng)正常行為建模原理（4） 狀態(tài)轉(zhuǎn)移圖表示28該部分通過判斷實(shí)時(shí)獲取的狀態(tài)數(shù)據(jù)是否存在于狀態(tài)轉(zhuǎn)移圖的節(jié)點(diǎn)集合中，以及狀態(tài)轉(zhuǎn)移關(guān)系是否滿足狀態(tài)轉(zhuǎn)移圖，實(shí)現(xiàn)工控系統(tǒng)下的異常檢測。狀態(tài)檢測流程圖如圖7-7所示。面向水分配系統(tǒng)產(chǎn)生的狀態(tài)數(shù)據(jù)流，將狀態(tài)數(shù)據(jù)流劃分為二元狀態(tài)組。如果當(dāng)前二元狀態(tài)組不為空，則遍歷二元狀態(tài)；執(zhí)行下一步。如果上一狀態(tài)為空，則將上一狀態(tài)賦值為本次狀態(tài)；執(zhí)行下一步。如果上一狀態(tài)與本次狀態(tài)相同，則將此狀態(tài)持續(xù)時(shí)間添加上狀態(tài)流獲取的時(shí)間間隔timeStep，執(zhí)行第（5）步；否則，執(zhí)行第（7）步。判斷當(dāng)前狀態(tài)是否在狀態(tài)時(shí)延轉(zhuǎn)換圖的狀態(tài)列表中，如果不存在，則執(zhí)行第（6）步；否則轉(zhuǎn)第（2）步。返回-1，表示狀態(tài)不存在，將當(dāng)前狀態(tài)添加到異常列表中，執(zhí)行第（2）步。獲取上一狀態(tài)持續(xù)時(shí)間。將上一狀態(tài)賦值為當(dāng)前狀態(tài)。判斷當(dāng)前狀態(tài)是否在狀態(tài)時(shí)延轉(zhuǎn)換圖的狀態(tài)列表中，如果不存在，執(zhí)行第（6）步，否則進(jìn)行下一步。7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐7.4.1正常行為建模技術(shù)29獲取上一狀態(tài)對應(yīng)的狀態(tài)時(shí)延轉(zhuǎn)換圖中的邊。獲取本次狀態(tài)轉(zhuǎn)換。判斷本次狀態(tài)轉(zhuǎn)換是否在狀態(tài)時(shí)延轉(zhuǎn)換圖中，如果不在，則返回-2，表示狀態(tài)轉(zhuǎn)換不存在，并將當(dāng)前狀態(tài)轉(zhuǎn)換添加到異常列表中，執(zhí)行第（2）步；否則，執(zhí)行下一步。判斷本次轉(zhuǎn)換持續(xù)時(shí)間是否在預(yù)期范圍內(nèi)，如果不在，則，返回-3，表示轉(zhuǎn)換持續(xù)時(shí)間不在預(yù)期范圍內(nèi)，并將當(dāng)前狀態(tài)轉(zhuǎn)換和持續(xù)時(shí)間添加到異常列表中，執(zhí)行第（2）步；否則執(zhí)行下一步；其中，第（13）步中，通過比較當(dāng)前持續(xù)時(shí)間與狀態(tài)轉(zhuǎn)換時(shí)延圖中相應(yīng)邊所對應(yīng)的持續(xù)時(shí)間集合，來確定本次轉(zhuǎn)換持續(xù)時(shí)間是否在預(yù)期范圍內(nèi)。根據(jù)狀態(tài)時(shí)延轉(zhuǎn)換圖中的邊，獲取下一預(yù)期狀態(tài)及其持續(xù)時(shí)間；執(zhí)行第（2）步。第（14）中，獲取下一預(yù)期狀態(tài)及其持續(xù)時(shí)間，通過以下步驟完成：根據(jù)當(dāng)前狀態(tài)在圖中對應(yīng)的索引，獲取以該索引為有向邊的頭節(jié)點(diǎn)，獲取所有邊集合；遍歷所有邊集合，獲取該邊對應(yīng)的所有的時(shí)延集合；將獲取的邊集合及與其對應(yīng)的時(shí)延集合作為預(yù)期轉(zhuǎn)換和預(yù)期時(shí)延。7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐7.4.1正常行為建模技術(shù)30基于上述異常檢測原理，本節(jié)介紹實(shí)驗(yàn)環(huán)境搭建方法、工控安全靶場平臺上的攻擊檢測方法。本實(shí)驗(yàn)在Python開發(fā)環(huán)境PyCharm中實(shí)現(xiàn)，安裝的包有numpy、pandas

socket等，程序分成兩個(gè)部分，分別是建模與檢測。本檢測軟件部署在工程師站（IP地址：61）上，包括兩個(gè)可執(zhí)行程序：CreatModule

AnormallyDetect。CreatModule執(zhí)行建模功能，基于7.2系統(tǒng)正常行為建模原理實(shí)現(xiàn)；AnormallyDetect執(zhí)行檢測功能，基于7.3基于行為模型的異常檢測技術(shù)實(shí)現(xiàn)。7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐7.4.2異常檢測環(huán)境搭建與應(yīng)用31系統(tǒng)行為模型構(gòu)建執(zhí)行CreateModule，在參數(shù)里輸入訓(xùn)練數(shù)據(jù)集路徑與模型參數(shù)存放路徑。執(zhí)行完畢后，生成如圖7-5類似的狀態(tài)轉(zhuǎn)移圖。7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐7.4.2異常檢測環(huán)境搭建與應(yīng)用322.檢測實(shí)驗(yàn)環(huán)境啟動與配置進(jìn)行檢測之前，需要啟動工控安全靶場平臺中的水分配系統(tǒng)仿真環(huán)境。1）仿真機(jī)啟動在仿真機(jī)（IP地址：00）上，以管理員身份在命令行執(zhí)行命令：python.\wds_server1.py打開模擬程序，模擬程序執(zhí)行命令如圖：然后，再重新打開一個(gè)命令行窗口，以管理員身份執(zhí)行命令：python.\ck.py該命令執(zhí)行與工程師站通信的偵聽功能，真挺功能執(zhí)行命令及顯示如圖：7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐7.4.2異常檢測環(huán)境搭建與應(yīng)用332）上位機(jī)啟動在上位機(jī)（ip地址：22）啟動ABFXSIE.mcp文件；以管理員身份在命令行輸入“python.\ATTACK.py”啟動攻擊腳本，攻擊腳本執(zhí)行命令如圖。然后以管理員身份打開在命令行輸入“python.\swj.py”啟動上位機(jī)程序，上位機(jī)啟動命令如圖。此時(shí)，仿真機(jī)正常運(yùn)行起來，仿真機(jī)運(yùn)行界面如圖。7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐34

3.啟動檢測程序執(zhí)行AnormallyDetect，在參數(shù)里輸入仿真機(jī)IP地址與端口號。此時(shí)，檢測程序啟動。4.上位機(jī)發(fā)起攻擊上位機(jī)攻擊發(fā)起時(shí)的運(yùn)行界面如圖：7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐7.4.2異常檢測環(huán)境搭建與應(yīng)用35

5.檢測結(jié)果檢測程序與仿真機(jī)連接成功后，可以看到在輸出窗口中顯示目前獲取的狀態(tài)數(shù)據(jù)。檢測功能執(zhí)行完畢后，檢測程序?qū)惓z測結(jié)果保存在日志文件statesLog.txt文件中，異常檢測文件內(nèi)容如圖：7.4工業(yè)控制系統(tǒng)異常檢測系統(tǒng)實(shí)踐7.4.2異常檢測環(huán)境搭建與應(yīng)用367.5本章小結(jié)本章首先介紹了工業(yè)控制系統(tǒng)異常檢測的基礎(chǔ)概念，以幫助讀者了解異常檢測的基礎(chǔ)知識。然后簡單介紹了異常檢測的商用產(chǎn)品，并以作者實(shí)際工作中構(gòu)建的正常行為模型為例，詳細(xì)描述了異常檢測技術(shù)中涉及的正常行為建模知識。最后基于正常行為建模的理論知識，向讀者介紹了如何搭建異常檢測環(huán)境，并使用該環(huán)境實(shí)現(xiàn)檢測功能。本章與第6章同屬檢測方面的內(nèi)容，使讀者掌握工業(yè)控制系統(tǒng)檢測相關(guān)理論與實(shí)踐知識。377.6習(xí)題一、選擇題1、基于流量的檢測方式主要關(guān)注網(wǎng)絡(luò)流量中的異常行為，以下哪項(xiàng)不屬于典型的網(wǎng)絡(luò)流量異常行為？A.大量的UDP數(shù)據(jù)包B.端口掃描C.惡意軟件的下載D.重復(fù)出現(xiàn)的正常流量

2、基于設(shè)備狀態(tài)的檢測方法可以采用傳統(tǒng)的異常檢測算法，也可以結(jié)合機(jī)器學(xué)習(xí)等方法進(jìn)行檢測。以下哪種方法常用于設(shè)備狀態(tài)異常檢測？A.主成分分析B.樸素貝葉斯C.決策樹D.神經(jīng)網(wǎng)絡(luò)387.6習(xí)題一、選擇題3、在數(shù)據(jù)預(yù)處理過程中，以下哪個(gè)步驟通常不是必要的？A.數(shù)據(jù)清洗B.特征選擇C.特征提取D.數(shù)據(jù)標(biāo)注4、正常行為建模技術(shù)中，基于機(jī)器學(xué)習(xí)的方法通常需要進(jìn)行訓(xùn)練集和測試集的劃分。以下哪個(gè)不是劃分方式？A.隨機(jī)劃分B.交叉驗(yàn)證C.時(shí)間序列劃分D.特征選擇397.6習(xí)題二、簡答題1、什么是數(shù)據(jù)預(yù)處理？數(shù)據(jù)預(yù)處理中的常見步驟有哪些？2、什么是系統(tǒng)正常狀態(tài)數(shù)據(jù)集？它的作用是什么？3、工業(yè)入侵檢測產(chǎn)品商業(yè)解決方案的特點(diǎn)?并具體說明一下？4、如何搭建工業(yè)控制系統(tǒng)異常檢測環(huán)境？40工控系統(tǒng)信息安全風(fēng)險(xiǎn)評估123風(fēng)險(xiǎn)評估的基本概念風(fēng)險(xiǎn)評估的組成、評估流程風(fēng)險(xiǎn)評估的方法與工具第八章

工控系統(tǒng)信息安全風(fēng)險(xiǎn)評估45風(fēng)險(xiǎn)評估方法實(shí)例－MulVAL的評估實(shí)驗(yàn)本章小結(jié)習(xí)題68.1風(fēng)險(xiǎn)評估的基本概念8.1.1風(fēng)險(xiǎn)的概念“風(fēng)險(xiǎn)”的字面意思是可能發(fā)生的危險(xiǎn)。從本意引申開來，是指某些特定的危險(xiǎn)事件發(fā)生的可能性及危險(xiǎn)事件發(fā)生時(shí)產(chǎn)生的影響。從信息安全的角度來講，風(fēng)險(xiǎn)的含意又有所擴(kuò)展，ClintBodgungen[3]等在《黑客大曝光：工業(yè)控制系統(tǒng)安全》中對信息安全領(lǐng)域中的“風(fēng)險(xiǎn)”進(jìn)行了詳細(xì)的描述：“風(fēng)險(xiǎn)是由于目標(biāo)存在的潛在的脆弱性，威脅源通過威脅載體引發(fā)威脅事件可能性，以及由此產(chǎn)生的后果和影響?！毕旅嫖覀儗ι鲜龆x中的各個(gè)關(guān)鍵字進(jìn)行逐一解析?！澳繕?biāo)”是指我們所要考察的系統(tǒng)（SystemUnderConsideration-SUC）,通俗來講，對于一個(gè)企業(yè)或組織而言，是整個(gè)企業(yè)的信息網(wǎng)絡(luò)，包括各類網(wǎng)絡(luò)通訊設(shè)備、主機(jī)和各類應(yīng)用服務(wù)器；對于一個(gè)典型的ICS來說，系統(tǒng)還包含類PLC、RTU和DCS控制器等，也即SUC是一個(gè)包含軟件硬件的綜合體。8.1風(fēng)險(xiǎn)評估的基本概念定義中的“威脅源”最直觀的理解是黑客，也即對系統(tǒng)發(fā)起攻擊從而對系統(tǒng)產(chǎn)生危害的攻擊者，攻擊者既可以來自系統(tǒng)外部，也可能來自系統(tǒng)內(nèi)部?！按嗳跣浴焙苋菀桌斫?，即我們通常所說的漏洞。一般來說，脆弱性是指軟硬件或協(xié)議的設(shè)計(jì)實(shí)現(xiàn)上存在的缺陷或錯誤，或是不合理的系統(tǒng)策略配置、運(yùn)行參數(shù)設(shè)置。這些缺陷或錯誤可能被有意或無意利用，導(dǎo)致信息系統(tǒng)不能正常運(yùn)行而產(chǎn)生非預(yù)期的后果。威脅載體是指攻擊者利用漏洞的傳遞方式、攻擊者的攻擊路徑。當(dāng)打開包含惡意程序的郵件附件導(dǎo)致系統(tǒng)被感染時(shí)，郵件是威脅載體；從網(wǎng)站下載運(yùn)行包含木馬程序的軟件導(dǎo)致系統(tǒng)被控制時(shí)，這個(gè)軟件包便是威脅載體。威脅事件即我們通常所說的攻擊者利用漏洞發(fā)起的攻擊行為。8.1風(fēng)險(xiǎn)評估的基本概念8.1.2風(fēng)險(xiǎn)評估的定義通常意義上的風(fēng)險(xiǎn)評估是指，對可能發(fā)生的風(fēng)險(xiǎn)事件的可能性以及對這些可能發(fā)生的風(fēng)險(xiǎn)事件發(fā)生時(shí)所造成的各方面的影響或損失進(jìn)行量化評估的過程。對于信息系統(tǒng)而言，其風(fēng)險(xiǎn)評估的定義又有所不同。在GB/T20984-2007[1]的引言部分，從信息安全風(fēng)險(xiǎn)評估（Informationsecurityriskassessment）的方式方法、評估的數(shù)據(jù)依據(jù)、評估的內(nèi)容及評估的目標(biāo)等方面對信息系統(tǒng)的安全風(fēng)險(xiǎn)評估進(jìn)行了全面的描述：信息安全風(fēng)險(xiǎn)評估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施，為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地保障信息安全提供科學(xué)依據(jù)。8.1風(fēng)險(xiǎn)評估的基本概念在GB/T20984-2007第3.7章節(jié)的術(shù)語定義部分，把“信息安全風(fēng)險(xiǎn)評估”定義為：依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價(jià)的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對組織造成的影響。從上述定義中，我們可以看出，信息安全風(fēng)險(xiǎn)評估它是一個(gè)評價(jià)過程，在這個(gè)評估過程中要遵循一定的技術(shù)與管理標(biāo)準(zhǔn)，在這個(gè)評估過程中所要評價(jià)的對象是資產(chǎn)，在遵循技術(shù)或管理標(biāo)準(zhǔn)對評價(jià)對象進(jìn)行評估時(shí)，重點(diǎn)關(guān)注評價(jià)對象的三個(gè)屬性（保密性、完整性和可用性－CIA）。定義的第二部分，明確的概括出了風(fēng)險(xiǎn)評估的內(nèi)容：資產(chǎn)面臨的威脅、安全事件的可能性及安全事件造成的影響。簡而言之，風(fēng)險(xiǎn)評估是發(fā)現(xiàn)SUC中存在的漏洞，評估這些漏洞被利用的可能性，以及評估這些漏洞被利用后對系統(tǒng)造成的后果和影響。8.1風(fēng)險(xiǎn)評估的基本概念8.1.3工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工控系統(tǒng)的信息安全風(fēng)險(xiǎn)評估本質(zhì)上是信息系統(tǒng)的風(fēng)險(xiǎn)評估的其中一類，但是工業(yè)控制系統(tǒng)與常規(guī)的IT系統(tǒng)在基礎(chǔ)設(shè)施、通訊協(xié)議、系統(tǒng)的實(shí)時(shí)性要求等方面存在差異，因而工控系統(tǒng)的信息安全風(fēng)險(xiǎn)評估與常規(guī)的信息系統(tǒng)安全風(fēng)險(xiǎn)評估相比，在評估對象、評估方法上等方面存在著差異。在比較兩者的安全風(fēng)險(xiǎn)評估差異之前，我們先了解一下工業(yè)控制系統(tǒng)與常規(guī)IT系統(tǒng)之間的差異[4]，如表所示：工業(yè)控制系統(tǒng)常規(guī)IT系統(tǒng)利用自動化控制技術(shù)、不同的工業(yè)協(xié)議實(shí)現(xiàn)工業(yè)自動化過程和設(shè)備的智能控制、監(jiān)測與管理。因行業(yè)的不同或設(shè)備的不同，網(wǎng)絡(luò)差異化顯著，通用性較差。利用通用的計(jì)算機(jī)、互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)數(shù)據(jù)處理和信息共享，網(wǎng)絡(luò)和設(shè)備的通用性強(qiáng)。可編程邏輯控制器、人機(jī)交互系統(tǒng)、監(jiān)控和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)、安全儀表系統(tǒng)，也可包含常規(guī)IT設(shè)備。PC、路由器、交換機(jī)、服務(wù)器、存儲陣列等傳統(tǒng)的ICS使用專有通信介質(zhì)，包括串行線纜，工業(yè)以太網(wǎng)使用與以太網(wǎng)相同的傳輸媒介，包括同軸電纜、屏蔽雙絞線、雙絞線以太網(wǎng)電纜等。同軸電纜、屏蔽雙絞線、雙絞線以太網(wǎng)電纜、光纖、無線使用專有的OT協(xié)議（PROFIBS、DeviceNet、ControlNet、Modbus、CIP等），目前的工業(yè)以太網(wǎng)也使用通用的IT技術(shù)（以太網(wǎng)和IP套件協(xié)議，EtherNet/IP、STRPTCP、EGD、MODBUSTCP、OPC）TCP/IP協(xié)議、HTTPS、SMTP、SMB、SNMP、FTP、TFTP、HTTP等信息傳輸和處理的實(shí)時(shí)性要求較高，生產(chǎn)作業(yè)中運(yùn)行的設(shè)備通常不能停機(jī)或重啟系統(tǒng)的實(shí)時(shí)性要求不要，信息傳輸允許一定程度的延遲，設(shè)備可以停機(jī)和重啟。不可預(yù)料的中斷會造成經(jīng)濟(jì)損失或?yàn)?zāi)難，系統(tǒng)故障必須緊急響應(yīng)處理。不可預(yù)料的中斷可能會造成任務(wù)損失，系統(tǒng)故障的處理響應(yīng)級別隨IT系統(tǒng)的要求而定。專有系統(tǒng)，兼容性差，軟硬件升級困難，一般很少進(jìn)行系統(tǒng)升級，如需升級可能需要整個(gè)系統(tǒng)升級換代。采用通用系統(tǒng)，兼容性好，軟硬件系統(tǒng)較容易。8.1風(fēng)險(xiǎn)評估的基本概念基于上表中兩系統(tǒng)之間的差別，我們能夠推斷出兩系統(tǒng)在風(fēng)險(xiǎn)評估中的差異。首先是兩者的評估對象的差異，常規(guī)IT系統(tǒng)的評估對象是PC、通用網(wǎng)絡(luò)設(shè)備等，對于ICS而言，雖然也包含常規(guī)的IT設(shè)備，但我們重點(diǎn)關(guān)注的是工業(yè)控制系統(tǒng)的組成部分。在GB/T36466-2018[2]的4.1中，依據(jù)ISO/IEC62264-1:2013的層次結(jié)構(gòu)模塊，給出了通用的工業(yè)控制系統(tǒng)的層次結(jié)構(gòu)模型，如圖所示：8.1風(fēng)險(xiǎn)評估的基本概念風(fēng)險(xiǎn)的概念在這個(gè)層次模型中，層次3：生產(chǎn)管理層和層次4：企業(yè)資源層用到的軟、硬件多為常規(guī)IT信息系統(tǒng)中的元素，按照信息系統(tǒng)的安全風(fēng)險(xiǎn)評估方法進(jìn)行評估，而最下面的現(xiàn)場設(shè)備層、現(xiàn)場控制層和過程監(jiān)控層是工業(yè)控制系統(tǒng)中特有的部分，也是工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估的主要評估對象。由于兩系統(tǒng)評估對象的不同，也決定了兩者的評估工具也有所不同。一部分常規(guī)IT信息系統(tǒng)的評估工具可直接用于工控系統(tǒng)的安全風(fēng)險(xiǎn)評估，部分工具可能需要根據(jù)工控系統(tǒng)的特點(diǎn)進(jìn)行適配后才能用于工控系統(tǒng)的風(fēng)險(xiǎn)評估，而有些工控系統(tǒng)的專有工具可能僅適用于工控系統(tǒng)而無法用于常規(guī)IT系統(tǒng)。最典型的例子，MulVAL既可以用于常規(guī)的IT系統(tǒng)也適用于工控系統(tǒng)，OpenVAS擴(kuò)充針對工控系統(tǒng)漏洞的檢測腳本后便可用于工業(yè)控制系統(tǒng)，而漏洞挖掘工具VHunterIVM僅適用于工控系統(tǒng)。8.1風(fēng)險(xiǎn)評估的基本概念此外，工業(yè)控制系統(tǒng)的設(shè)計(jì)需求與常規(guī)的IT系統(tǒng)也不同，工業(yè)控制系統(tǒng)的設(shè)計(jì)以高可靠性、高實(shí)時(shí)性和高可用性為主要目標(biāo)，同時(shí)兼顧應(yīng)用場景、控制管理等其它方面的因素，因此對工控系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估的評價(jià)指標(biāo)與常規(guī)IT系統(tǒng)的評價(jià)指標(biāo)、評估方法上有很大的不同。對于同樣一個(gè)影響系統(tǒng)實(shí)時(shí)響應(yīng)的漏洞而言，對工控系統(tǒng)的危害性是致命的，而對于常規(guī)IT系統(tǒng)來說，其影響可能比較輕微甚至是可以忽略不計(jì)。在評估方法上，以漏洞掃描為例，常規(guī)IT系統(tǒng)可以直接運(yùn)行漏掃工具進(jìn)行在線漏洞掃描，對于工控系統(tǒng)而言，在線的漏洞掃描可能造成單元設(shè)備的工作異常，引發(fā)生產(chǎn)設(shè)備的故障，甚至引發(fā)產(chǎn)生事故，因?yàn)橄噍^于常規(guī)IT系統(tǒng)，工控系統(tǒng)的單元設(shè)備或服務(wù)的重啟產(chǎn)生的后果和影響要嚴(yán)重的多。8.1風(fēng)險(xiǎn)評估的基本概念8.1.4風(fēng)險(xiǎn)評估的作用和意義隨著工業(yè)信息化的快速發(fā)展，工業(yè)4.0、智能制造和物聯(lián)網(wǎng)時(shí)代的到來，工業(yè)網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的互聯(lián)互通互融已是大勢所趨。工業(yè)控制網(wǎng)絡(luò)依靠安全的物理隔離來保證安全性的做法已經(jīng)無法滿足現(xiàn)實(shí)的應(yīng)用需求，在新形勢下工業(yè)控制網(wǎng)絡(luò)安全面臨著巨大的挑戰(zhàn)。近幾年來，許多企業(yè)的DCS控制系統(tǒng)中病毒感染或遭黑客攻擊的事件頻發(fā)。從2010年最初的伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊事件，到最近2021年科洛尼爾輸油管道公司系統(tǒng)遭遇Darkside黑客團(tuán)伙的攻擊，無一不提醒我們，業(yè)控制系統(tǒng)的信息安全對于保證國家關(guān)鍵基礎(chǔ)設(shè)施安全運(yùn)轉(zhuǎn)和維護(hù)國家安全都至關(guān)重要，當(dāng)前國內(nèi)外生產(chǎn)企業(yè)都已經(jīng)把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了日程。8.1風(fēng)險(xiǎn)評估的基本概念與傳統(tǒng)的信息系統(tǒng)相比，工控系統(tǒng)中大多使用智能設(shè)備，設(shè)備中運(yùn)行的是嵌入式操作系統(tǒng)，設(shè)備之間的通訊協(xié)議也大多是專用協(xié)議。工控系統(tǒng)中的智能設(shè)備具有集成度高、行業(yè)性強(qiáng)、內(nèi)核不對外開放、數(shù)據(jù)交互接口無法進(jìn)行技術(shù)管控等特點(diǎn)。此外，與傳統(tǒng)的信息系統(tǒng)安全需求不同，ICS系統(tǒng)設(shè)計(jì)需要兼顧應(yīng)用場景與控制管理等多方面因素，以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計(jì)理念的影響下，缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。追求可用性而犧牲安全，是當(dāng)前多數(shù)工業(yè)控制系統(tǒng)存在的通病，同時(shí)在工業(yè)系統(tǒng)運(yùn)行和維護(hù)中缺乏完整有效的安全策略與管理流程，給工業(yè)控制系統(tǒng)信息安全帶來了潛在的安全風(fēng)險(xiǎn)。通過對工控系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評估，能夠準(zhǔn)確地評估工控系統(tǒng)存在的主要信息安全問題和潛在的風(fēng)險(xiǎn)，降低安全事件發(fā)生的概率。評估的結(jié)果也能夠?yàn)楣た叵到y(tǒng)安全防護(hù)與監(jiān)控策略的制定提供可靠的依據(jù)，同時(shí)為提高工控系統(tǒng)的安全性，實(shí)現(xiàn)工控系統(tǒng)信息安全的縱深防御打下堅(jiān)實(shí)的基礎(chǔ)。8.2風(fēng)險(xiǎn)評估的組成、評估和流程國家制定了相關(guān)的標(biāo)準(zhǔn)，指導(dǎo)工控系統(tǒng)信息安全風(fēng)險(xiǎn)評估活動，2011年01月14日發(fā)布了《GB/T26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范》（以下簡稱《評估規(guī)范》），規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的一般方法和準(zhǔn)則，描述了工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的一般步驟。2018年6月7日發(fā)布了《GB/T3646-2018工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施指南》（以下簡稱《實(shí)施指南》），該標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施的方法和過程，用于指導(dǎo)對工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估的實(shí)施。下面我們按照這兩個(gè)標(biāo)準(zhǔn)的相關(guān)規(guī)定，詳細(xì)了解工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估的基本要素、組成、評估方法和評估實(shí)施的流程等相關(guān)內(nèi)容。8.2風(fēng)險(xiǎn)評估的組成、評估和流程8.2.1工控網(wǎng)絡(luò)風(fēng)險(xiǎn)評估的基本要素資產(chǎn)、威脅和脆弱性是系統(tǒng)風(fēng)險(xiǎn)評估的最主要的三個(gè)要素，《實(shí)施指南》中增加了保障能力作為基本要素之一。其中資產(chǎn)是對組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對象，工業(yè)生產(chǎn)的運(yùn)行要依賴系統(tǒng)中的這些資產(chǎn)去實(shí)現(xiàn)。系統(tǒng)中的脆弱性和威脅引發(fā)系統(tǒng)的風(fēng)險(xiǎn)，威脅可利用資產(chǎn)的脆弱性損害資產(chǎn)影響資產(chǎn)的安全。資產(chǎn)所面臨的威脅越多，其安全風(fēng)險(xiǎn)也就越大，而保障能力可減少資產(chǎn)的脆弱性降低資產(chǎn)的安全風(fēng)險(xiǎn)，同時(shí)保障能力也可抵御威脅，彌補(bǔ)或減少脆弱性，提高整個(gè)系統(tǒng)的安全性。保障能力的實(shí)施需要綜合考慮資產(chǎn)的價(jià)值和保障成本。保障能力能夠降低風(fēng)險(xiǎn)，但不可能使風(fēng)險(xiǎn)降低到零，殘余風(fēng)險(xiǎn)總是存在的，有些殘余風(fēng)險(xiǎn)來自于保障能力的不足，有些殘余風(fēng)險(xiǎn)則在折衷安全成本與收益之后是可以接受的未控制風(fēng)險(xiǎn)。8.2風(fēng)險(xiǎn)評估的組成、評估和流程對于這些可接受的未控風(fēng)險(xiǎn)如果放任不管，可能會誘發(fā)新的安全事件，因此應(yīng)當(dāng)對這些殘余風(fēng)險(xiǎn)進(jìn)行密切監(jiān)視。評估要素之間的相互關(guān)系，可用《實(shí)施指南》的下圖進(jìn)行描述：8.2風(fēng)險(xiǎn)評估的組成、評估和流程8.2.2工控網(wǎng)絡(luò)風(fēng)險(xiǎn)評估的組成在《評估規(guī)范》中，將工業(yè)控制網(wǎng)絡(luò)的風(fēng)險(xiǎn)評估程序分為確定評估目的的準(zhǔn)備階段、評估設(shè)計(jì)和規(guī)劃、評估計(jì)劃制定、評估實(shí)施和評估報(bào)告編寫五個(gè)階段。準(zhǔn)備階段的主要工作是確定評估對象和評估目的。評估對象工業(yè)控制網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評估，是為了保護(hù)控制系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换蛘邜阂馇址付馐芷茐?、更改及泄露，保證控制網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)、正常、可靠的運(yùn)行。因此，廣泛意義上的風(fēng)險(xiǎn)評估對象，包括了工控網(wǎng)絡(luò)中的各種關(guān)鍵信息資產(chǎn)、應(yīng)用系統(tǒng)、實(shí)物資產(chǎn)、設(shè)施和環(huán)境，以及人員、管理規(guī)程等。工業(yè)控制網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評估主要涉及到該控制系統(tǒng)的關(guān)鍵和敏感部分。具體到實(shí)際的工業(yè)控制網(wǎng)絡(luò)，同一類型的設(shè)備、部件、特性或子系統(tǒng)，在不同行業(yè)的ICS中的重要性權(quán)值方面可能會有所不同，也即ICS具有明顯的特異性。這就使得工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的對象的側(cè)重點(diǎn)，根據(jù)實(shí)際系統(tǒng)不同而有所差異，但從評估對象的類型來講，工控網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評估對象主要聚集于關(guān)鍵信息資產(chǎn)和應(yīng)用系統(tǒng)這兩類上。8.2風(fēng)險(xiǎn)評估的組成、評估和流程評估目的該規(guī)范將工控網(wǎng)絡(luò)風(fēng)險(xiǎn)評估的作用或目標(biāo)進(jìn)行了抽象和概括：“安全風(fēng)險(xiǎn)評估幫助系統(tǒng)擁有者在一個(gè)安全狀態(tài)下進(jìn)行組織活動”。圍繞這個(gè)總體目標(biāo)，該規(guī)范從兩個(gè)角度對風(fēng)險(xiǎn)評估的目的進(jìn)行了分解。從技術(shù)角度來講，風(fēng)險(xiǎn)評估用的目的是確定可能對ICS資產(chǎn)造成危害的威脅，確定所面臨威脅實(shí)施的可能性，確定可能受到威脅影響的資產(chǎn)及資產(chǎn)的價(jià)值、敏感性和嚴(yán)重性，以及這些資產(chǎn)發(fā)生安全事件時(shí)可能發(fā)生的損失和造成的影響。從管理角度來講，對ICS進(jìn)行風(fēng)險(xiǎn)評估，還有助于企業(yè)準(zhǔn)確了解其ICS的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀，通過對資產(chǎn)及其價(jià)值的分析，也能使企業(yè)更加明確ICS的信息安全需求，以制定更好的安全策略，指導(dǎo)企業(yè)網(wǎng)絡(luò)安全的建設(shè)和投入方向，培養(yǎng)企業(yè)自己的安全團(tuán)隊(duì)促進(jìn)企業(yè)整體系統(tǒng)安全解決方案的部署和實(shí)施。8.2風(fēng)險(xiǎn)評估的組成、評估和流程在評估對象和評估目的確立之后，下一步就要考慮進(jìn)行風(fēng)險(xiǎn)評估的項(xiàng)目類別?！对u估規(guī)范》中推薦了五種評估項(xiàng)目類別，每一個(gè)評估類別的測試要求、方法、條目，都有對應(yīng)的參照執(zhí)行標(biāo)準(zhǔn)，具體數(shù)據(jù)見下表：評估項(xiàng)目評估項(xiàng)目說明參照標(biāo)準(zhǔn)（GB/T）物理安全評估針對ICS設(shè)施環(huán)境的評估，確定基礎(chǔ)設(shè)施環(huán)境（包括車間場地、配電供水設(shè)施、防火防雷、電磁防護(hù)、溫度濕度控制、通訊線路防護(hù)、安全監(jiān)控設(shè)備等）的物理安全對整個(gè)系統(tǒng)安全的影響。9361-2011計(jì)算機(jī)場地安全要求、18336.3-2015信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件、20271-2006信息系統(tǒng)通用安全技術(shù)要求、21052-2007信息系統(tǒng)物理安全技術(shù)要求體系結(jié)構(gòu)安全評估評估系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)（包括操作系統(tǒng)、網(wǎng)絡(luò)的劃分策略、網(wǎng)絡(luò)隔離與邊界控制策略、通訊協(xié)議等）是符合系統(tǒng)安全目標(biāo)的要求。9387.2-1995開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)、18272.7-2006工業(yè)過程測量和控制第7部分：系統(tǒng)安全性能評估、18336.2-2015信息技術(shù)安全評估準(zhǔn)則第2部分：安全功能組件、20271-2006信息系統(tǒng)通用安全技術(shù)要求安全管理評估從管理的角度，判斷與信息控制、處理相關(guān)的各種技術(shù)活動（包括安全方針、人員安全、接入控制、系統(tǒng)管理、運(yùn)維管理、業(yè)務(wù)連接性、符合性等）是否處于有效安全監(jiān)控之下20269-2006信息系統(tǒng)安全管理要求、20271-2006信息系統(tǒng)通用安全技術(shù)要求、22081-2016信息安全控制實(shí)踐指南安全運(yùn)行評估基于控制系統(tǒng)的業(yè)務(wù)應(yīng)用，對控制系統(tǒng)實(shí)際運(yùn)行的安全性進(jìn)行測試。包括業(yè)務(wù)邏輯安全、業(yè)務(wù)交往的不可抵賴性、操作權(quán)限管理、故障排除與恢復(fù)、系統(tǒng)維護(hù)與變更、網(wǎng)絡(luò)流量監(jiān)控與分析、系統(tǒng)軟件和協(xié)議棧軟件、應(yīng)用軟件安全、數(shù)據(jù)庫安全等。20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求、17093.1-2008安全技術(shù)抗抵賴第1部分：概述、20271-2006信息系統(tǒng)通用安全技術(shù)要求、22239-2019網(wǎng)絡(luò)安全等級保護(hù)基本要求信息保護(hù)評估基于工業(yè)控制網(wǎng)絡(luò)業(yè)務(wù)信息流分析，對信息處理的功能、性能、和安全機(jī)制（包括訪問控制、數(shù)據(jù)保護(hù)、通信保密、識別與鑒別、網(wǎng)絡(luò)和服務(wù)設(shè)置、審計(jì)機(jī)制等）進(jìn)行測試。18336.2-2015信息技術(shù)安全評估準(zhǔn)則第3部分：安全保證要求、18336.2-2015信息技術(shù)安全評估準(zhǔn)則第2部分：安全功能組件8.2風(fēng)險(xiǎn)評估的組成、評估和流程8.2.3風(fēng)險(xiǎn)評估遵循的原則標(biāo)準(zhǔn)性原則標(biāo)準(zhǔn)性原則指的是進(jìn)行信息系統(tǒng)的安全風(fēng)險(xiǎn)評估，應(yīng)按照國家、行業(yè)或部門的標(biāo)準(zhǔn)中規(guī)定的評估流程、評估規(guī)范對各階段的工作實(shí)施評估。工控網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估的相關(guān)標(biāo)準(zhǔn)主要有兩個(gè)，前述章節(jié)我們已經(jīng)了解到，即GB/T26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范和GB/T35466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施指南。從工控信息安全風(fēng)險(xiǎn)評估的建議評估項(xiàng)目表中，我們看到工控系統(tǒng)作為信息系統(tǒng)下的一個(gè)細(xì)分的子類，某些評估項(xiàng)目如果沒有特定的工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)或規(guī)范來進(jìn)行約束，則需要遵循相關(guān)的信息安全類的標(biāo)準(zhǔn)或規(guī)范來實(shí)施評估工作。8.2風(fēng)險(xiǎn)評估的組成、評估和流程標(biāo)準(zhǔn)性原則標(biāo)準(zhǔn)性原則指的是進(jìn)行信息系統(tǒng)的安全風(fēng)險(xiǎn)評估，應(yīng)按照國家、行業(yè)或部門的標(biāo)準(zhǔn)中規(guī)定的評估流程、評估規(guī)范對各階段的工作實(shí)施評估。工控網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估的相關(guān)標(biāo)準(zhǔn)主要有兩個(gè)，前述章節(jié)我們已經(jīng)了解到，即GB/T26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范和GB/T35466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施指南。從工控信息安全風(fēng)險(xiǎn)評估的建議評估項(xiàng)目表中，我們看到工控系統(tǒng)作為信息系統(tǒng)下的一個(gè)細(xì)分的子類，某些評估項(xiàng)目如果沒有特定的工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)或規(guī)范來進(jìn)行約束，則需要遵循相關(guān)的信息安全類的標(biāo)準(zhǔn)或規(guī)范來實(shí)施評估工作。8.2風(fēng)險(xiǎn)評估的組成、評估和流程b.可控性追原則可控性原則包括人員與信息的可控性、過程可控性、服務(wù)的可控性及評估工具可控性。評估規(guī)范中，對人員的可控性做了明確的規(guī)定，包括評估人員的資質(zhì)要求（必須持有國際、國家認(rèn)證注冊的信息安全從業(yè)人員證書,對人員進(jìn)行嚴(yán)格的資格審查的備案）、評估人員的職責(zé)可控、評估人員變動或崗位變更的可控、評估人員掌握的工控系統(tǒng)信息的可控等。服務(wù)的可控性是指進(jìn)行評估前就評估服務(wù)工作、流程要向評估單位告知，并獲得被評估單位在實(shí)施評估過程中全力協(xié)作以確保評估工作順利進(jìn)行的承諾。評估工具的可控性是指在風(fēng)險(xiǎn)評估過程中使用的評估工具應(yīng)通過多方綜合對比和挑選，并取得有關(guān)專家或相關(guān)部門的論證，以確保工具的功能和性能滿足評估的需求，同時(shí)還需要將使用的評估工具通告被評估單位以獲得使用許可。8.2風(fēng)險(xiǎn)評估的組成、評估和流程C、完整性原則完整性原則是指對目標(biāo)工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)評估要完整覆蓋評估的要求和范圍，滿足事前制定的評估目標(biāo)。D、最小影響原則對目標(biāo)工控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估時(shí)，力求將風(fēng)險(xiǎn)評估工作對ICS網(wǎng)絡(luò)正常運(yùn)行的可能影響降低到最低限度，確保評估不會干擾工業(yè)控制系統(tǒng)設(shè)備的控制功能。尤其是使用在線評估方式時(shí)，可能需要系統(tǒng)下線；或者在虛擬/備份網(wǎng)絡(luò)上實(shí)施評估，也或是分部門分段在非生產(chǎn)周期/生產(chǎn)低峰期進(jìn)行評估。8.2風(fēng)險(xiǎn)評估的組成、評估和流程E、保密性原則保密性原則是指參與評估的人員不得對評估過程中所接觸到的工控網(wǎng)絡(luò)系統(tǒng)的信息向任何第三方透露，通常情況下評估人員會與被評估的ICS所屬單位簽署保密協(xié)議和非侵害協(xié)議。風(fēng)險(xiǎn)評估人員在評估過程中，對ICS網(wǎng)絡(luò)的工控設(shè)備類型、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、運(yùn)行的組態(tài)軟件、使用的通訊協(xié)議等各類軟硬件系統(tǒng)組成有較詳盡的了解，更會在評估過程中知悉該工控系統(tǒng)包含的脆弱性，這些敏感信息一旦泄漏并被惡意的利用，會嚴(yán)重威脅到工控系統(tǒng)的安全，因而要求參與評估人員遵循保密性原則是十分必要的。8.2風(fēng)險(xiǎn)評估的組成、評估和流程8.2.3風(fēng)險(xiǎn)評估流程工控系統(tǒng)信息安全風(fēng)險(xiǎn)評估的流程劃分為四個(gè)階段，分別是：風(fēng)險(xiǎn)評估的準(zhǔn)備階段、風(fēng)險(xiǎn)要素的評估階段、風(fēng)險(xiǎn)綜合分析階段。在完成風(fēng)險(xiǎn)評估得到風(fēng)險(xiǎn)評估報(bào)告之后，還有一個(gè)風(fēng)險(xiǎn)管理階段，用于對發(fā)現(xiàn)的殘余風(fēng)險(xiǎn)進(jìn)行管控。雖然這是風(fēng)險(xiǎn)評估的事后工作，但作為一個(gè)完整的風(fēng)險(xiǎn)評估流程來說，為識別到的殘余風(fēng)險(xiǎn)提供相應(yīng)管控建議來降低系統(tǒng)的安全風(fēng)險(xiǎn)也是風(fēng)險(xiǎn)評估的初衷，因此，風(fēng)險(xiǎn)管理也是評估流程中的必不可少的一環(huán)。風(fēng)險(xiǎn)評估流程各階段的邏輯關(guān)系如下圖所示：8.2風(fēng)險(xiǎn)評估的組成、評估和流程①、評估準(zhǔn)備工控系統(tǒng)與傳統(tǒng)的IT系統(tǒng)相比具有特殊性，行業(yè)性特征比較明顯，在進(jìn)行安全風(fēng)險(xiǎn)評估前要全面考慮到工控系統(tǒng)的行業(yè)差別、工業(yè)生產(chǎn)的持續(xù)性及業(yè)務(wù)的高可用性等特點(diǎn)。為保證安全風(fēng)險(xiǎn)評估工作的順利、有效的開展，充足的準(zhǔn)備工作是必不可少的，對目標(biāo)系統(tǒng)的安全需求、系統(tǒng)結(jié)構(gòu)和規(guī)模、業(yè)務(wù)流程的充分調(diào)研是整個(gè)評估過程有效性的保證。評估準(zhǔn)備階段的主要工作包括：A、確定評估目標(biāo)在信息系統(tǒng)生命周期的規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段及運(yùn)行維護(hù)階段都需要進(jìn)行安全風(fēng)險(xiǎn)評估，但不同生命周期階段風(fēng)險(xiǎn)評估的實(shí)施內(nèi)容、對象和安全需求均有所不同，因而在對目標(biāo)系統(tǒng)進(jìn)行評估前首先要明確系統(tǒng)所處的階段，進(jìn)而確定風(fēng)險(xiǎn)評估目標(biāo)?！禛B/T31509－2015信息安全風(fēng)險(xiǎn)評估實(shí)施指南》中規(guī)定了各階段的評估目標(biāo)的確立的原則：8.2風(fēng)險(xiǎn)評估的組成、評估和流程a)、規(guī)劃階段風(fēng)險(xiǎn)評估的目標(biāo)是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略,以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。b)、設(shè)計(jì)階段風(fēng)險(xiǎn)評估的目標(biāo)是根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設(shè)計(jì)階段的風(fēng)險(xiǎn)評估結(jié)果應(yīng)對設(shè)計(jì)方案所提供的安全功能符合性進(jìn)行判斷，作為采購過程風(fēng)險(xiǎn)控制的依據(jù)。c)、實(shí)施階段風(fēng)險(xiǎn)評估的目標(biāo)是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控制。d)、運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評估的目標(biāo)是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)。評估內(nèi)容包括信息系統(tǒng)的資產(chǎn)、面臨威脅、自身脆弱性以及已有安全措施等各方面。e)、廢棄階段風(fēng)險(xiǎn)評估目標(biāo)是確保廢棄資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹?，并對廢棄資產(chǎn)對組織的影響進(jìn)行分析，以確定是否會增加或引入新的風(fēng)險(xiǎn)。8.2風(fēng)險(xiǎn)評估的組成、評估和流程B、確定評估范圍評估范圍的確定要結(jié)合評估目標(biāo)和工控系統(tǒng)實(shí)際運(yùn)行情況來確定，應(yīng)包括工控系統(tǒng)的相關(guān)資產(chǎn)、管理機(jī)構(gòu)、關(guān)鍵業(yè)務(wù)流程等。從工控系統(tǒng)的邏輯結(jié)構(gòu)角度看，評估范圍可以是整個(gè)組織的信息及信息處理相關(guān)的資產(chǎn)、業(yè)務(wù)流程，即工控系統(tǒng)結(jié)構(gòu)模型中的所有層，也可以僅針對工控網(wǎng)絡(luò)特有的信息系統(tǒng)，即只包括現(xiàn)場設(shè)備、現(xiàn)場監(jiān)控和過程監(jiān)控三個(gè)層次的系統(tǒng)、資產(chǎn)及業(yè)務(wù)流程?？傮w而言，評估范圍的劃分，可以考慮以業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界、網(wǎng)絡(luò)及設(shè)備載體邊界、物理環(huán)境邊界或組織管理權(quán)限邊界來確定。C、組建評估團(tuán)隊(duì)該項(xiàng)準(zhǔn)備工作用于確定評估組成員，成員中應(yīng)該包括評估方和被評估方兩方人員，在工控系統(tǒng)生命周期的規(guī)劃、設(shè)計(jì)和實(shí)施階段，還可能需要包含工控系統(tǒng)產(chǎn)品供應(yīng)方的人員來配合評估工作。評估組應(yīng)該由相關(guān)安全領(lǐng)域的專家、工控系統(tǒng)專業(yè)人員、信息技術(shù)評估人員組成。評估組成員按照風(fēng)險(xiǎn)評估的可控性原則應(yīng)該具備相應(yīng)的能力及資質(zhì)，并按照保密性原則簽署相關(guān)的保密協(xié)議。當(dāng)評估組成員確定之后，需要明確每個(gè)組員的職責(zé)，以確保風(fēng)險(xiǎn)評估工作有效、順利的進(jìn)行。8.2風(fēng)險(xiǎn)評估的組成、評估和流程D、系統(tǒng)調(diào)研系統(tǒng)調(diào)研的目的在于深入、細(xì)致的了解評估對象，進(jìn)一步了解所評估的工控網(wǎng)絡(luò)的業(yè)務(wù)功能和要求，明確其網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)環(huán)境，明確工控系統(tǒng)的業(yè)務(wù)邏輯邊界、網(wǎng)絡(luò)和設(shè)備載體邊界、物理環(huán)境邊界、組織管理權(quán)限邊界等，詳細(xì)了解系統(tǒng)的主要軟硬件、系統(tǒng)和數(shù)據(jù)的敏感性等，了解目標(biāo)工控系統(tǒng)的人員組織和管理制度，包括信息安全管理組織建設(shè)和人員配備情況、信息安全管理制度等。系統(tǒng)調(diào)研的實(shí)施可以以包括但不限于現(xiàn)場查看、文檔查閱、資料收集或與相關(guān)人員現(xiàn)場交流等方式進(jìn)行，以取得評估對象的詳實(shí)數(shù)據(jù)。8.2風(fēng)險(xiǎn)評估的組成、評估和流程E、制定評估方案評估方案是評估準(zhǔn)備階段的最重要的工作成果，是后續(xù)評估工作實(shí)施活動的總體計(jì)劃，有助于實(shí)現(xiàn)各評估階段工件的可控?！秾?shí)施指南》中就評估方案包含的內(nèi)容做了相關(guān)的規(guī)定，主要包括：a)、風(fēng)險(xiǎn)評估框架：包括評估的目標(biāo)、范圍，評估依據(jù)和評估工具；b)、評估團(tuán)隊(duì)：包括評估組成員、組織結(jié)構(gòu)、角色、職責(zé)；c)、評估工作計(jì)劃：包括各階段的工作內(nèi)容和工作形式；d)、評估環(huán)境要求：根據(jù)具體的評估方法選取相應(yīng)的評估環(huán)境，包括工業(yè)控制系統(tǒng)現(xiàn)場環(huán)境、工業(yè)控制系統(tǒng)開發(fā)和測試環(huán)境，模擬仿真環(huán)境；e）、風(fēng)險(xiǎn)規(guī)避：包括保密協(xié)議、評估工作環(huán)境要求、評估依法、工具選擇、應(yīng)急預(yù)案等；f)、時(shí)間進(jìn)度安排：評估工作實(shí)施的時(shí)間進(jìn)度安排。8.2風(fēng)險(xiǎn)評估的組成、評估和流程F、搭建模擬仿真環(huán)境對于像漏洞掃描類需要實(shí)驗(yàn)法的評估條目，可能會導(dǎo)致工控系統(tǒng)的業(yè)務(wù)中斷。工控系統(tǒng)要求業(yè)務(wù)的持續(xù)性、可用性使得部分評估內(nèi)容只能在模擬仿真環(huán)境下實(shí)施，所以需要根據(jù)測試方案的需要，在保證與現(xiàn)場工業(yè)控制系統(tǒng)一致性的前提下搭建模擬仿真測試環(huán)境。“一致性”的保證，要實(shí)現(xiàn)系統(tǒng)架構(gòu)和網(wǎng)絡(luò)架構(gòu)的一致、使用的設(shè)備（包括現(xiàn)場控制設(shè)備、過程監(jiān)控設(shè)備、網(wǎng)絡(luò)邊界設(shè)備）在品牌/型號/固件/配置和運(yùn)行的服務(wù)要一致、設(shè)備之間使用的通訊協(xié)議要一致、使用的關(guān)鍵業(yè)務(wù)軟件的廠商/版本號/運(yùn)行參數(shù)配置要一致。8.2風(fēng)險(xiǎn)評估的組成、評估和流程②、風(fēng)險(xiǎn)要素評估該階段也稱之為識別階段，主要任務(wù)是對所要評估的工控網(wǎng)絡(luò)中的資產(chǎn)、威脅、脆弱性等評估要素進(jìn)行識別和評估，分析要素的價(jià)值并賦值。A、資產(chǎn)評估在風(fēng)險(xiǎn)評估的要素中，資產(chǎn)是中心要素，威脅、脆弱性和保障措施都是依賴于資產(chǎn)而存在的。資產(chǎn)的評估主要包括兩項(xiàng)工作，即資產(chǎn)的識別和資產(chǎn)價(jià)值的確定。對于一個(gè)企業(yè)或組織來說，它的資產(chǎn)存在多種形式，通常我們把資產(chǎn)劃分為六類：硬件、軟件、數(shù)據(jù)、服務(wù)、人員及其它。資產(chǎn)識別確定與風(fēng)險(xiǎn)評估相關(guān)的這些類型的資產(chǎn)有哪些，同時(shí)還要識別出資產(chǎn)自身的關(guān)鍵屬性有哪些，為確定資產(chǎn)的價(jià)值做好數(shù)據(jù)準(zhǔn)備。8.2風(fēng)險(xiǎn)評估的組成、評估和流程完成對評估范圍內(nèi)的資產(chǎn)識別后，下一步需要根據(jù)識別出的資產(chǎn)在業(yè)務(wù)流程中的作用進(jìn)行價(jià)值評估。在風(fēng)險(xiǎn)評估中，資產(chǎn)的價(jià)值并不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量的，而是由資產(chǎn)在CIA安全屬性（保密性、完整性和可用性）的達(dá)成程度或其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。CIA安全屬性在GB/T20984-2007中劃分為五個(gè)等級，分別為很高、高、中等、低和很低，每個(gè)屬性的每個(gè)等級都有相應(yīng)的等級含義，具體描述如見表。

等級賦值等級標(biāo)識定義C－保密性I－完整性A－可用性5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有決定性影響，如果泄露會造成災(zāi)難性的損害完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成業(yè)務(wù)的中斷，難以彌補(bǔ)可用性價(jià)值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)可用性價(jià)值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度90%以上，或系統(tǒng)允許中斷時(shí)間小于10分鐘3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可彌補(bǔ)可用性價(jià)值中等，合法使用者對信息或信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30分鐘2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成輕微損害完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)可用性價(jià)值較低，合法使用者對信息或信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或者系統(tǒng)允許中斷時(shí)間小于60分鐘1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略可用性價(jià)值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%8.2風(fēng)險(xiǎn)評估的組成、評估和流程按照上述表格的評定標(biāo)準(zhǔn)對資產(chǎn)的CIA屬性評定之后，下一步便是對資產(chǎn)的價(jià)值進(jìn)行綜合議定?？梢愿鶕?jù)信息系統(tǒng)所承載的業(yè)務(wù)對不同安全屬性的依賴程度，選擇CIA中最重要的一個(gè)屬性的賦值等級作為該資產(chǎn)的最終資產(chǎn)重要性等級，也可以根據(jù)業(yè)務(wù)的特點(diǎn)對不同CIA屬性的依賴程度，賦給CIA屬性不同的加權(quán)等級，最終的資產(chǎn)重要等級是按加權(quán)計(jì)算得到。與安全屬性等級類似，最終確定的資產(chǎn)等級也分為五級，級別越高表示資產(chǎn)越重要。在實(shí)際評估中，還可以根據(jù)工控系統(tǒng)的實(shí)際情況確定資產(chǎn)識別中的賦值依據(jù)和等級。各等級的含義及描述見下表。等級標(biāo)識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失3中等比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成很小的損失，甚至忽略不計(jì)8.2風(fēng)險(xiǎn)評估的組成、評估和流程B、威脅評估威脅的基本概念前述章節(jié)已經(jīng)講解過了，這兒需要強(qiáng)調(diào)的是威脅的客觀性，即對于任何一個(gè)信息系統(tǒng)來說，威脅總是存在的。從威脅的來源來說，包括由人為因素導(dǎo)致的威脅和由環(huán)境因素導(dǎo)致的威脅。對信息系統(tǒng)懷有惡意的黑客是人為因素導(dǎo)致威脅，信息系統(tǒng)硬件設(shè)備的故障也是環(huán)境因素導(dǎo)致威脅，這些威脅發(fā)生的可能性高低不同，對系統(tǒng)造成的影響大小不相同，但卻是實(shí)實(shí)在在存在的。威脅評估的任務(wù)是識別出威脅源，對威脅評估賦值。威脅源是產(chǎn)生威脅的主體，按照威脅源的來源來看，威脅源的類別主要包括環(huán)境因素的威脅、來自系統(tǒng)內(nèi)部的威脅、系統(tǒng)外部的攻擊和來自產(chǎn)品供應(yīng)鏈的威脅。其中環(huán)境因素的威脅是那些影響ICS系統(tǒng)正常運(yùn)行的物理因素，包括供電、靜電、粉塵、溫濕度、電磁干擾、水災(zāi)地震等自然災(zāi)害和意外事故等環(huán)境危害。環(huán)境因素的威脅除了不可抗因素的自然災(zāi)害外，都可以通過加強(qiáng)保障能力來抵御。8.2風(fēng)險(xiǎn)評估的組成、評估和流程來自系統(tǒng)內(nèi)部的威脅，從是否具備主觀故意性分為有意破壞和誤操作兩類。有意破壞類型的威脅是來自內(nèi)部的員工出于對組織的不滿或抱有某種惡意目的而對工業(yè)控制系統(tǒng)進(jìn)行的破壞。誤操作是由于內(nèi)部人員的失誤導(dǎo)致系統(tǒng)被攻擊或使系統(tǒng)發(fā)生故障，這些失誤或是由于個(gè)人能力不足（缺乏專業(yè)培訓(xùn)，專業(yè)技能不足）導(dǎo)致的，也可能是由于責(zé)任心不足、工作態(tài)度不嚴(yán)謹(jǐn)導(dǎo)致的，也可能是由于沒有嚴(yán)格遵循規(guī)章制度和操作流程導(dǎo)致的。來自系統(tǒng)外部的威脅源通常是惡意攻擊系統(tǒng)的外部人員或組織。這些外部攻擊者一般對系統(tǒng)抱有惡意目的，雖然他們不能直接物理接觸系統(tǒng)，但他們通常具備較高的攻擊能力，對系統(tǒng)實(shí)施的攻擊所造成的破壞和影響較大。8.2風(fēng)險(xiǎn)評估的組成、評估和流程《實(shí)施指南》以威脅源的表現(xiàn)形進(jìn)行了更細(xì)致的分類，以更加直觀更易理解的形式描述了工控系統(tǒng)可能面臨的威脅，詳見下表：威脅名稱描述災(zāi)難自然災(zāi)難使工業(yè)控制系統(tǒng)的一個(gè)或多個(gè)組件停止運(yùn)行，例如地震、火災(zāi)、洪水或其它未預(yù)期的事故停電自然災(zāi)難，惡意或無意的個(gè)人引起的停電事故，影響工業(yè)控制系統(tǒng)一個(gè)或多個(gè)組件的運(yùn)行非法信息披露無權(quán)限者進(jìn)行攻擊（嗅探，社會活動），以獲得儲存在工業(yè)控制系統(tǒng)組件中的敏感信息非法分析無權(quán)限者進(jìn)行攻擊（嗅探，社會活動），用于分析受保護(hù)的敏感信息非法修改無權(quán)限者進(jìn)行攻擊（修改，旁路，嗅探），以修改存儲于工業(yè)控制系統(tǒng)組件中的敏感信息非法破壞無權(quán)限者進(jìn)行攻擊（破壞，旁路），以破壞存儲于工業(yè)控制系統(tǒng)組件中的敏感信息篡改控制組件通過以下攻擊（修改，旁路，物理攻擊），工業(yè)控制系統(tǒng)組件被惡意的人員篡改錯誤操作合法操作員故意發(fā)布錯誤指令或進(jìn)行錯誤配置，導(dǎo)致受控工業(yè)控制系統(tǒng)過程和組件被破壞冒充合法用戶無權(quán)限者進(jìn)行攻擊（嗅探，欺騙，社會活動），以獲得存儲于工業(yè)控制系統(tǒng)組件中的用戶憑證，冒充合法用戶

抵賴合法用戶否認(rèn)在工業(yè)控制系統(tǒng)交互式系統(tǒng)中已執(zhí)行的錯誤操作拒絕服務(wù)無權(quán)限者進(jìn)行攻擊（破壞，DOS），使工業(yè)控制系統(tǒng)組件在一段時(shí)間內(nèi)無法使用，達(dá)到系統(tǒng)拒絕為合法用戶提供服務(wù)的目的提升權(quán)限無權(quán)限者進(jìn)行攻擊（錯誤操作，嗅探，欺騙，社會活動），以獲得存儲于工業(yè)控制系統(tǒng)服務(wù)器組件中的用戶憑證，提升工業(yè)控制系統(tǒng)組件訪問的權(quán)限，達(dá)成惡意目的故障檢測缺失操作員錯誤操作和安全違規(guī)的系統(tǒng)故障，在工業(yè)控制系統(tǒng)交互式系統(tǒng)中，執(zhí)行的日常任務(wù)沒有被檢測和審計(jì)，以作進(jìn)一步的分析和修正病毒感染個(gè)人惡意或無意地將病毒傳入工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，惡意代碼造成不必要的系統(tǒng)停機(jī)和數(shù)據(jù)損壞非法物理存取無權(quán)限者進(jìn)行一次物理攻擊，以實(shí)現(xiàn)對受保護(hù)工業(yè)控制系統(tǒng)組件的物理存取8.2風(fēng)險(xiǎn)評估的組成、評估和流程b)、威脅的賦值在識別出威脅源之后，接下來需要對威脅路徑及威脅的可能性進(jìn)行分析。威脅路徑是威脅源對工業(yè)控制系統(tǒng)或信息系統(tǒng)造成破壞的手段和路徑。通常情況下，威脅源對信息系統(tǒng)中某個(gè)目標(biāo)的攻擊不是直接達(dá)成的，而是通過中間若干媒介的傳遞完成的，從威脅源開始，到達(dá)成目標(biāo)所經(jīng)過的所有中間傳遞媒介組成的是一條威脅路徑。在風(fēng)險(xiǎn)評估中進(jìn)行威脅路徑調(diào)查，要明確威脅發(fā)生的起點(diǎn)、傳遞的中間點(diǎn)和終點(diǎn)，以此確定威脅在威脅路徑不同環(huán)節(jié)的特點(diǎn)，以便于分析系統(tǒng)各個(gè)環(huán)節(jié)威脅發(fā)生的可能性和造成的破壞。8.2風(fēng)險(xiǎn)評估的組成、評估和流程對于信息系統(tǒng)來說，威脅總是客觀存在的，對于不同的ICS系統(tǒng)或信息系統(tǒng)來說威脅發(fā)生的可能性是不同的，這與系統(tǒng)的脆弱性多少及嚴(yán)重程度的高低、系統(tǒng)的保障能力大小、攻擊者攻擊能力高低等因素密切相關(guān)的。威脅可能性的評估，通常是利用專家經(jīng)驗(yàn)分析或統(tǒng)計(jì)的方式取得，被評估系統(tǒng)中以往的安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)、通過現(xiàn)場檢測工具及系統(tǒng)各種安全日志發(fā)現(xiàn)的威脅及頻率等，對于部分使用統(tǒng)計(jì)方法可能性無法確定的威脅源，可以采用專家知識或經(jīng)驗(yàn)來確定威脅的頻率值。威脅影響是與威脅的目標(biāo)，或者進(jìn)一步講，與威脅的客體是密切相關(guān)的。威脅客體是威脅發(fā)生時(shí)受到影響的對象。威脅客體通常是組織的資產(chǎn)，它包括諸多對象，威脅的目標(biāo)是受到直接影響的資產(chǎn)，諸多受到間接影響的信息系統(tǒng)和組織也是威脅客體。通過威脅調(diào)查識別了威脅源、威脅路徑和威脅發(fā)生可能性后，綜合這些因素進(jìn)行威脅分析，確定由威脅源攻擊能力、威脅發(fā)生概率、影響程度計(jì)算威脅值的方法，計(jì)算確定威脅賦值。8.2風(fēng)險(xiǎn)評估的組成、評估和流程C、脆弱性評估脆弱性評估是工控網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估中最重要的一個(gè)環(huán)節(jié)，它包括兩個(gè)部分，即脆弱性識別和脆弱性賦值。a)、脆弱性識別脆弱性存在于資產(chǎn)之中，因而脆弱性的識別通常以資產(chǎn)為核心開展，圍繞組織中的每一項(xiàng)需要保護(hù)的資產(chǎn)，脆弱性識別主要是識別出它的相關(guān)特征，這些特征能夠準(zhǔn)確的表征出脆弱性對系統(tǒng)安全性方面的影響。這些特征的選擇，我們可以參考信息系統(tǒng)中的軟硬件漏洞評分系統(tǒng)所使用的評分指標(biāo)。目前業(yè)界對漏洞評分普遍認(rèn)同的是NationalVulnerabilityDatabase的通用漏洞評分系統(tǒng)CVSS（CommonVulnerabilityScoringSystem）,按照最新3.0版本的相關(guān)評分標(biāo)準(zhǔn)，它使用三類評分指標(biāo)來詳細(xì)描述一個(gè)漏洞的相關(guān)特征：基礎(chǔ)評分指標(biāo)（BaseScoreMetric）、時(shí)間評分指標(biāo)（TemporalScoreMetrics）和環(huán)境評分指標(biāo)（EnvironmentalScoreMetrics）。參照這些指標(biāo)，《GB/T31509-2015信息安全風(fēng)險(xiǎn)評估實(shí)施指南》中規(guī)定了可以確定所識別的脆弱性的各項(xiàng)特征：基本特征、時(shí)間特征和環(huán)境特征。8.2風(fēng)險(xiǎn)評估的組成、評估和流程基礎(chǔ)特征包含有六個(gè)子特征，分別是：訪問路徑：與CVSS的AV(AttackVector)指標(biāo)類似，反映了脆弱性被利用的路徑，即威脅以何種形式訪問到包含有脆弱性的資產(chǎn)，該特征可能的取值三個(gè)，即本地訪問、鄰近網(wǎng)絡(luò)訪問、遠(yuǎn)程網(wǎng)絡(luò)訪問。訪問復(fù)雜性：對應(yīng)于CVSS的AC（AttackComplexity），反映了攻擊者能訪問目標(biāo)系統(tǒng)時(shí)利用脆弱性的難易程序，用高、中、低三個(gè)值進(jìn)行度量。鑒別：該特征的難易了攻擊者為了利用脆弱性需要通過目標(biāo)系統(tǒng)鑒別的次數(shù)，可用多次、一次、0次值進(jìn)行度量。該特征類似于CVSS中PR（PrivilegesRequired）和UI（UserInteraction）兩個(gè)指標(biāo)的綜合體。保密性影響：該特征的反映了脆弱性被成功利用時(shí)對保密性的影響，用完全泄密、部分泄密和不泄密3個(gè)值度量，對應(yīng)于CVSS中的C（ConfidentialImpact）指標(biāo)。完整性影響：該特征反映了脆弱性被成功利用時(shí)對完整性的影響，度量值有三個(gè)：完全修改、部分修改、不能修改，對應(yīng)于CVSS中的I（IntegrityImpact）指標(biāo)?？捎眯杂绊懀悍从炒嗳跣员怀晒脮r(shí)對系統(tǒng)可用性的影響，對應(yīng)于CVSS中的A（AvailabilityImpact）指標(biāo)，使用完全不可用、部分可用、可用性不受影響三個(gè)值進(jìn)行度量。8.2風(fēng)險(xiǎn)評估的組成、評估和流程時(shí)間特征主要有三個(gè)子特征，分別是：可用性：反映了脆弱性可利用技術(shù)的狀態(tài)或脆弱性可利用代碼的可獲得性，有5個(gè)值用以度量該特征，即可用未證明、概念證明、可操作、易操作、不確定。該特征對應(yīng)于CVSS中的E（ExploitCodeMaturity）指標(biāo)。補(bǔ)救級別：反映了脆弱性可補(bǔ)救的級別，使用官方正式補(bǔ)救方案、官方臨時(shí)補(bǔ)救方案、非官方補(bǔ)救方案、無補(bǔ)救方案、不確定5個(gè)值來描述該特征，對應(yīng)于CVSS中的RL（RemediationLevel）指標(biāo)。報(bào)告可信性：該特征反映了脆弱性存在的可信度以及脆弱性技術(shù)細(xì)節(jié)的可信度，有4個(gè)度量值，即未證實(shí)、需進(jìn)一步證實(shí)、已證實(shí)和不確定。該特征對應(yīng)著CVSS中的RC（ReportConfidence）指標(biāo)。8.2風(fēng)險(xiǎn)評估的組成、評估和流程環(huán)境特征也包含三個(gè)子特征，即：破壞潛力：反映了通過破壞或偷竊財(cái)產(chǎn)和設(shè)備，造成物理資產(chǎn)和生命損失的潛在可能性，用無、低、中等偏低、中等偏高、高、不確定6個(gè)值進(jìn)行度量。目標(biāo)分布：該特征反映了存在特定脆弱性的系統(tǒng)比例，可用無、低、中、高、不確定5個(gè)值進(jìn)行度量。安全要求：該特征反映了組織和信息系統(tǒng)對IT資產(chǎn)的保密生、完整性和可用性的安全要求，使用低、中、高、不確定4個(gè)值度量。除了上述脆弱性自身的各種特征外，我們應(yīng)該認(rèn)識到，資產(chǎn)的脆弱性還具有隱蔽性這樣一個(gè)顯著的特點(diǎn)，絕大多數(shù)的脆弱性需要特定的條件和環(huán)境下才能顯現(xiàn)，這也是脆弱性識別的困難所在。目前脆弱性識別所使用的方法主要有以下這幾種：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透測試等。系統(tǒng)的脆弱性識別的具體內(nèi)容，我們通常從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)方面從物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)及數(shù)據(jù)等角度進(jìn)行資產(chǎn)脆弱性識別；管理方面主要從與技術(shù)管理活動相關(guān)的技術(shù)管理脆弱性及與管理環(huán)境相關(guān)的組織管理脆弱性方面進(jìn)行。8.2風(fēng)險(xiǎn)評估的組成、評估和流程物理環(huán)境脆弱性識別主要是識別工控系統(tǒng)所處的物理環(huán)境的安全風(fēng)險(xiǎn)。物理環(huán)境一般是指廠房、辦公建筑物和相關(guān)的配套設(shè)施等場所環(huán)境。物理環(huán)境的脆弱性包括建筑、設(shè)備或供水電通訊線路遭到破壞或出現(xiàn)故障、設(shè)備被非法訪問、設(shè)備被盜竊等情況，影響到組織設(shè)備、生產(chǎn)的正常運(yùn)轉(zhuǎn)或信息的泄露。