GB∕T 36466-2018 信息安全技术 工业控制系统风险评估实施指南

4.3.2风险评估流程

GB/T364662018

工业控制系统风险评估实施分为3个阶段，包括：风险评估准备阶段、风险要素评估阶段、综合分 阶段。根据工业控制系统风险评估的不同阶段，评估方制定相应的工作计划，保证评估工作的顺利 进行。 风险评估实施过程见第6章，风险评估实施流程如图3所示

图3风险评估实施流程图

检验检疫标准对工业控制系统进行风险评估需要进行调查、取证、分析和测试。工业控制系统风险评估的方法主 要有5种：文档查阅、现场访谈、现场核查、现场测试和模拟仿真环境测试

文档查阅用于确认被评估方的政策及技术方面是否全面且是最新的。被评估方应提供评估所需

GB/T 364662018

文件，以确保评估方对其进行全面审查。评估方查阅被评估方的工业控制系统规划设计方案、网络拓扑 图、系统安全防护计划、安全策略、架构、要求、标准作业程序、授权协议、系统互连备忘录、信息安全事件 应急响应计划等文档，评估其准确性和完整性。 文档查阅有助于评估方了解工业控制系统的基本信息，包括网络拓扑结构、主要软硬件构成等。文 当查阅可以发现可能导致丢失、不足或不正确执行的安全策略。评估方需验证被评估方的文档是否符 合标准和法规，查找被评估方政策的缺陷、过时内容或不合理。 实施指南如下： a）评估方在准备阶段编制一份通用的工业控制系统凤险评估文档查阅所需文件目录； b）被评估方根据文件目录提供相对应的文档； C 评估方审查相关文档内容是否完整合规； d）当所需文件不可调阅或不存在时，评估方对其

现场访谈用于收集客观事实材料，补充在文档查阅中未被发现的工业控制系统细节，进一步理解和 察工业控制系统的开发、集成、供应、使用、管理等过程。 评估方应在评估实施之前准备好访谈问卷或调查表。访谈中，可以根据被访者的反映，对调查问题 三调整或展开。现场访谈调查表参见附录A。 实施指南如下： a）评估方在评估准备阶段编制一份通用工业控制系统风险评估访谈调查表； b） 被评估方根据具体问题分配不同的人员配合评估方访谈，分配的人员应是最熟悉该评估对象 的人员； c） 若访谈对象对某些问题无法给出确定的答复，应对该问题进行标注，并在后续评估过程中对其 进行确认； d) 对访谈中需要验证的问题进行标注，以备后期现场核查及技术确认； 访谈对象在访谈结束后对访谈记录进行核查，若无误则需进行签学确认

现场核查是在工业控制系统现场生产环境下进行的核查工作，能够真实地反应系统的安全问题， 以下几种情况可能需要使用现场核查： a）对工业控制系统现场物理环境评估； b） 对工业控制系统配置、系统架构和系统日志等评估； c） 对工业控制系统安全管理评估； d）对已采取安全措施进行确认。 实施指南如下： a） 评估方需将需要现场核查的测试项与工业控制系统现场生产管理、操作人员进行沟通，制定现 场核查计划安排。如果工业控制系统分布区域很大，涉及多个部门，需提前做好计划安排，统 筹时间和人员等； b） 对于部分工业控制系统所在的现场环境恶劣的情况，应严格遵守被评估方现场规章制度；必 要时，在进入工业控制系统现场前，被评估方可组织评估人员进行安全教育培训，保障人员的 安全； c）评估方核查工业控制系统的访问控制、审计等功能时，需工业控制系统的现场生产管理、操作

GB/T364662018

人员和相应的信息安全人员在场，最好由工业控制系统操作人员对其进行核查操作，评估人员 只负责查看并记录结果； 口 现场核查测试时，评估方不应改动工业控制系统的任何配置； e) 记录现场核查的结果。若发现不符合项或脆弱项，需对其进行验证

工业控制系统分为离散型和连续型。 某些离散的工业控制系统，如数控机床等，处于非运行状态时 可以进行现场测试。现场测试是指直接在待评估工业控制系统现场环境上进行安全性测试，这种测试 方法能够更真实的反应工业控制系统存在的脆弱性。现场测试方法包括漏洞扫描、协议分析、设备漏洞 挖掘、渗透性测试等 渗透性测试的目的是为发现和确认工业控制系统的脆弱性，可在被评估方允许的前提下对离散过 程的工业控制系统实施。测试前应与相关专家讨论具体的实施方案和评估可能产生的后果，并制定相 应的处置计划。评估方应谨慎使用渗透性测试方法。 现场测试完成后，需要对系统进行验证才能再次投入使用

5.6模拟仿真环境测试

连续型工业控制系统往往处于不间断运行状态，任何系统故障都可能造成巨大的损失。风险评估 过程中脆弱性识别往往需要进行攻击测试或绕过系统的安全机制，若直接在生产系统上实施会带来更 大的安全风险，甚至导致工业控制系统崩溃或进入不可控状态。因此需要搭建模拟仿真测试环境并在 此基础上进行安全测试工作。由于测试工作仅在模拟环境中进行，不会对现场工业控制系统的正常运 行造成影响。模拟仿真环境下的测试评估是最有效的测试评估方法，能够在更大的范围内发现被测试 系统内的流程、协议、实现等安全漏洞。 模拟仿真测试评估在测试过程中可能会造成被测试设备的损坏，或导致被测试系统的数据库中产 生无效数据。若使用工业控制系统的开发、测试或备用系统作为模拟仿真测试环境，在测试完成后需要 经过验证才能将其投人使用，以承担其原本的功能。 模拟仿真测试最常用的技术测试方法包括：渗透测试、固件逆向分析、专用嵌人式系统分析、源代码 审计、程序的上传下载漏洞分析、专有协议分析、硬件板卡分析等。常用的检测工具包括漏洞扫描器，渗 透性测试工具，通讯协议数据捕获工具等。 在模拟仿真环境中既可对整个系统的安全性进行测试，评估系统整体安全状况，也可针对重要设备 进行单独的组件测试，以识别工业控制系统的关键风险

风险评估的准备是整个风险评估过程有效性的保证。评估方与被评估方都应充分做好风险 评估实施前的各项准备工作。为保障风险评估工作的顺利开展，应召开风险评估工作启动会议， GB/T31509一2015规定了启动会议的内容及意义。图4是工业控制系统风险评估准备工作 流程。

GB/T 364662018

图4风险评估准备工作流程

风险评估应贯穿于工业控制系统生命周期的各阶段中，由于工业控制系统生命周期各阶段中风险 平估实施的内容、对象、安全需求均不同，因此评估方应首先根据当前工业控制系统的实际情况来确定 在工业控制系统生命周期中所处的阶段，并以此来明确风险评估目标，如图5所示。具体实施过程见 GB/T20984—2007以及GB/T31509—2015

实施指南如下： a） 评估方应根据输人的文档材料及对相关人员的访谈，分析研判出工业控制系统现在所处的生 命周期； b）根据生命周期不同阶段的要求确定评估且标

风险评估实施范围是评估方工作的范围。评估范围可以是包括生产管理层和企业资源层在内的整 个工业控制系统，也可以是工业控制系统中特有部分或关键业务处理系统等。在确定评估范围时，应结 合评估目标以及工业控制系统的实际建设运行情况合理的确定评估范围边界。确定评估范围如图6 所示。

GB/T364662018

实施指南如下： a）评估方应了解工业控制系统所处的工业控制安全基线级别，具体见GB/T32919一2016； b） 评估方应了解被评估方要求评估的范围和实际工业控制系统建设情况； 风险评估实施范围应包括被评估方工业控制系统相关的资产、管理机构，关键业务流程等； 评估方应结合已确定的评估目标、被评估方要求评估的范围和实际工业控制系统建设情况， 合理定义评估对象和评估范围边界

风险评估实施团队可由评估方与被评估方的风险评估实施组、专家组共同组成。评估方应由工业 控制系统专业人员、信息技术评估人员等组成。一个运行的工业控制系统会涉及多个利益相关方，包括 提供工控产品的厂商、实际销售工控产品的分销商、集成并开发应用系统的集成商、为系统提供运行维 的厂商以及工控系统的所有者等。在进行工业控制系统的风险评估之前，需要清晰界定评估所针对 的是工控系统生态的哪一部分，涉及哪些利益相关方，从而确定风险评估过程中被评估方应当邀请的参 与人员。 评估实施团队应进行风险评估技术培训和保密教育，制定风险评估过程管理相关规定。评估方与 被评估方应签署保密协议。 每个团队成员应具有明确的职位和责任。为确保风险评估实施工作的顺利有效进行，应采用合理 的项目管理机制.评估团队和被评估方主要成员的职位与职责说明分别见表1和表2。

表1评估方成员职位与职责说明

GB/T364662018

表2被评估方成职位与职责说明

GB/T364662018

专家组由工业控制系统相关领域专家组成，职责包括： 对风险评估实施方案进行评审； b) 对风险评估报告等项目成果物进行评审； 对评估工作中出现的关键性问题提供指导； d）对风险评估整个过程进行监督

系统调研是熟悉了解被评估对象的过程，风险评估组应进行充分的系统调研，修正评估目标跟范 围，同时为风险评估依据和方法的选择、评估内容的实施奠定基础。评估方对工业控制系统进行调研可 采取文档查阅、资料收集、现场交流和现场查看等方式进行，如图7所示

评估组针对工业控制系统与系统运维、系统操作、关键产品供应商等相关人员进行交流，了

针对工业控制系统与系统运维、系统操作、关键产品供应商等相关人员进行交流，了解

GB/T 364662018

其承担的业务、网络结构、系统边界等。 b) 评估组查看其设计、使用说明等文档： 1）在工业控制系统中，若现场设备及其应用软件非被评估方自已开发，评估组需仔细审查 供应商提供的所有资料，并与供应商取得联系，以便评估实施时可以进行技术沟通； 2）查看工业控制系统的安全需求及对应工业控制系统所处安全控制基线级别，采取哪些工 业控制系统安全措施。 c) 评估组现场核查工业控制系统的物理环境、操作过程、设备组成等方面的信息并进行资料 收集。 d）评估组根据现场调研整理调研结果，编写调研报告

6.1.6制定评估方案

风险评估方案是评估工作实施活动总体计划，用于管理评估工作的开展，使评估各阶段工作可控， 年作为评估项目验收的主要依据之一。风险评估方案应得到被评估方的确认和认可。风险评估方案的 内容应包括（但不仅限于）： a）风险评估工作框架：包括评估目标、评估范围、评估依据、评估工具等，其中评估依据和评估工 具可根据GB/T31509—2015来确定； 评估团队：包括评估组成员、组织结构、角色、责任； 评估工作计划：包括各阶段工作内容和工作形式； d) 评估环境要求：根据具体的评估方法选取相应的评估环境，包括工业控制系统现场环境，工业 控制系统开发和测试环境，模拟仿真测试环境； e) 风险规避：包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等； 时间进度安排：评估工作实施的时间进度安排

被评估方应根据测试方案的需要，搭建合适的模拟仿真测试环境。模拟仿真测试环境搭建需保证 与现场工业控制系统的一致性，主要体现在以下5个方面： 现场控制层设备、过程监控层设备、网络边界设备，包括其品牌、型号、固件、配置、开启的服 务等； b) 关键软件，包括其厂商、版本号、补丁、配置等； c) 通讯协议； d) 系统架构及网络架构； e) 模拟仿真测试环境的规模不必与实际系统相同。 若被评估方存在工业控制系统的开发、测试环境，评估方需对其进行评判，满足模拟仿真环境的要 求后方可在其中进行进一步的测试评估工作。 图8是模拟仿直测试环境示例

GB/T364662018

图8模拟仿真测试环境

GB/T 364662018

6.2.1资产评估概述

资产是对被评估方其有价 策略的保护对象。资产价值是资产重要程度或 敏感程度的表征。资产评估包 2个方面内容

在一个组织中，资产有多种存在形式。不同类别的资产重要性不同，面临的威胁也不同。对工业控 制系统及相关的资产进行分类可以提高资产识别的效率。在实际工作中，具体的资产分类方法可以根 居具体的评估对象和要求，由评估方灵活把握。根据资产的表现形式，可将资产分为软资产、硬资产和 人力资产等，如表3所示。

表3一种基于表现形式的资产分类方法

资产调查是识别被评估方工业控制系统中资产的重要途径。资产调查一方面应识别出有哪些资 产，另一方面要识别出每项资产自身的关键属性。工业控制系统结构复杂，资产繁多，为保证风险评估 二作的进度要求及质量要求，有时不能对所有资产进行全面分析，应选取其中关键的资产进行分析，资 产调查如图9所示

GB/T364662018

协议也属于系统资产。工业控制系统广泛使用私有协议，往往会出现许多安全问题。资产调查过 星中，应识别出工业控制系统使用的通讯协议并对其进行评估， 实施指南如下： a）评估组根据评估目标和范围，确定风险评估对象，并梳理其基本信息，可以参照附录A中表A.1 进行访谈； b）评估方根据被评估方提供的规划书、设计方案、用户手册等文档并结合现场访谈相关人员识 别出工业控制系统的具体业务； c) 评估方根据工业控制系统的业务并结合现场访谈相关人员，识别出工业控制系统的工艺需求 以及安全需求； d） 评估方根据工业控制系统的工艺需求和安全需求，结合现场访谈相关人员，识别出关键功能 需求及安全需求； e 评估方根据识别的关键需求、被评估方提供的资产清单、网络拓扑图等识别出工业控制系统的 关键资产

根据工业控制系统承担的业务，判断资产的可用性、完整性和保密性的优先级。通常工业控制系统 将可用性作为首要需求。 进行资产赋值时可以参考如下因素： a）工业控制系统的重要性以及安全等级； b 资产对工业控制系统正常运行的重要程度： c）工业控制系统信息安全对资产的依赖程度； d) 资产可用性、完整性、保密性对工业控制系统以及相关业务的重要程度。 分析资产的可用性、完整性、保密性安全属性的等级，并参考对可用性、完整性、保密性赋值，经过综合 评定得到资产的最终赋值结果，如图10所示。将资产价值分为5个等级，具体含义见GB/T20984一2007

GB/T364662018

实施指南如下： a 根据系统承担的业务，分析研判资产的安全属性可用性、完整性和保密性的优先级；一般情况 下，工业控制系统会将可用性放在首位； D） 根据资产调查以及资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步的 风险评估。

6.3.1威胁评估概述

威胁是指可能导致危害系统或被评估方的不希望事故的潜在起因。威胁是客观存在的，不同的资 面临威胁不同，同一个资产不同威胁发生的可能性和造成的影响也不同。全面、准确地识别威胁有利 于做好防范措施。威胁评估要识别出威胁源、威胁途径及可能性和威胁影响，并对威胁进行分析赋值。

威胁源是产生威胁的主体。不同的威胁源具有不同的攻击能力，在进行威胁调查时，首要应识另 那些威胁源，同时分析这些威胁源的动机和能力。攻击者的能力越强，攻击成功的可能性就越大。 击能力主要包括：施展攻击的知识、技能、经验和必要的资金、人力和技术资源等。表4列出了工 副系统通常面临的威胁来源

表4基于威胁源的威胁分类

表5中提供了工业控制系统可能存在的威胁

GB/T364662018

表5工业控制系统可能面临的威励

工业控制系统网络化、系统化、自动化、集成化的不断提高，尤其是互联网技术进入工业控制领域， 信息系统与工业控制系统的集成，其面临的安全威胁日益增长。威胁调查就是要识别被评估方工业控 制系统中可能发生并造成影响的威胁，进而分析哪些威胁发生的可能性较大、可能会造成重大影响，如 图11所示

GB/T 364662018

工业控制系统大多部署网闸设备，在工业控制网络和外部网络之间进行网络隔离。威胁调查中要 着重识别针对网闸等网络隔离设备的威胁。 评估组将被评估的工业控制系统所处的自然环境、相关管理制定策略、资产清单、网络拓扑图、故障 记录等文件进行汇总，对系统相关人员进行访谈，以识别工业控制系统威胁，如图11所示。 实施指南如下： a）评估方通过查看系统日志，分析系统面临的威胁； b) 评估方可参考被评估方内其他工业控制系统面临的威胁来分析本系统所面临威胁； 评估方可收集一些第三方组织发布的安全态势方面的数据； 若系统运行过一段时间，可根据以往发生的安全事件记录，分析系统面临的威胁。例如，系统 维修频率，系统受到病毒攻击频率，系统不可用频率，系统遭遇黑客攻击频率等

6.3.3.2威胁途径及可

威胁速径是指威 对威胁客体造成 坏，有时候并不是直接的，而是通过中间若干媒介的传递，形成一条威胁路径。在风险评估工作中，调 威胁路径有利于分析各个环节威胁发生的可能性和造成的破坏 威胁是客观存在的，但对于不同的被评估方和工业控制系统，威胁发生的可能性不尽相同。威胁发 的可能性与威胁途径、攻击能力、动机、工业控制系统的脆弱性、保障能力是密切相关的。例如，当度 需要物理接触设备时，其可能性会大大降低 实施指南如下： a）评估方统计以往安全事件报告中出现过的威胁及其频率； 评估方统计现场工业控制系统中通过检测工具以及各种日志发现的威胁及其频率； c） 统计国际组织发布的关于该工业控制系统及其组件面临的威胁及其频率； 确定不同威胁的频率值； 非人为威胁途径表现为发生自然灾难、出现恶劣的物理环境、出现软硬件故障或性能降低等； f）人为的威胁途径表现为嘎探、重放、拒绝服务、误操作等；

GB/T364662018

g） 调查威胁攻击路径，要明确威胁发生的起点、威胁发生的中间点以及威胁发生的终点，并明确 威胁在不同环节的特点，确定威胁路径； h 根据威胁途径、攻击能力等判断威胁发生的可能性

6.33.3威胁的影响

威胁出现的频率是衡量威胁严重程度的重要要素，因此威胁识别后需要对发生频率进行赋值，以代 最后的风险计算中。 威胁客体是威胁发生时受到影响的对象，威胁影响跟威胁客体密切相关。当一个威胁发生时，会影 到多个对象。威胁客体有层次之分，通常威胁直接影响的对象是资产，间接影响到工业控制系统和 织。 实施指南如下： a)i 识别那些直接受影响的客体，再逐层分析间接受影响的客体； b) 确定威胁客体的价值，其价值越大，威胁发生的影响越大； C） 确定客体范围，其范围越广泛，威胁发生的影响越大； 受影响客体的可补救性也是威胁影响的一个重要方面。遭到威胁破坏的客体，有的可以补救 且补救代价可以接受，威胁发生的影响较小；有的不能补救或补救代价难以接受，威胁发生的 影响较大。

6.4.1脆弱性评估概述

制系统脆弱性具有难以修复、原则上需要保密的特点，从物理环境、网络、平台和安全管理4个方面对工 业控制系统脆弱性进行评估， 脆弱性评估分为脆弱性识别与脆弱性分析赋值两个环节。脆弱性识别的依据可以是国际标准或国 家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中相同的脆弱点，其脆弱性 严重程度是不同的，评估者应从被评估方安全策略的角度考虑、判断资产的脆弱性及其严重程度。

控制系统以往风险评估报告、审计说明、安全需求、安全测试结果、系统所处的安全等级、被评

GB/T 364662018

古方计划实施的安全措施、评估范围、常见脆弱性、依据国际或国家安全标准等均可作为评估方评估的 资料。评估方通过资料收集、文档查阅、现场访谈、现场核查、模拟仿真环境测试等方法识别工业控制系 统存在的脆弱性，如图12所示。 实施指南如下： a）评估方通过现场访谈和现场核查的方式对物理环境脆弱性进行识别，具体识别过程见6.4.2； b) 评估方通过现场访谈、现场核查等方式对网络脆弱性进行识别，具体识别过程见6.4.3； 评估方通过现场访谈、现场核查、模拟仿真环境测试的方式对平台脆弱性进行识别，具体识别 过程见6.4.4； d) 评估方通过文档查阅、现场访谈和现场核查的方式对安全管理脆弱性进行识别，具体识别过 程见6.4.5。

6.4.2物理环境脆弱性识别

物理环境脆弱性识别主要识别工业控制系统物理环境的安全风险，包括场所环境、电磁环境、设备 体、线路等方面。评估方核查已采取物理环境的安全措施及验证其已采取的安全措施有效性，同时查 基于该安全控制级别缺少哪些安全措施。 实施指南如下： a）评估方文档查阅及访谈被评估方相关人员确定工业控制系统所处的安全控制基线级别，参考 系统所处级别应采取的安全措施，查看系统是否存在明显不符的脆弱性； b) 评估方现场核查所在的场所建筑物是否坚固，是否存在易于闯入的任何缺口，所有外部门是 否使用控制机制来保护，防制未授权进入，采用哪些安全措施，验证核实已采用措施的有效性； c) 工业控制系统所在场所、办公室、公共访问接待区是否交叉，有无安全保卫人员，有无监控装 置等； d)i 评估方现场核查工业控制系统所在场所与办公室和公共访问接待区有交叉的建筑物是采用 何种方式的物理访问控制，并核实其采取的安全措施的有效性。例如门禁、身份标识、访客人 员登记、专人陪同、不准携带移动介质、相机等管理措施； e) 评估方查看工业控制系统所在场所是否安装避雷针、安装通风装置、配备灭火器、配备应急电 源、远离易燃易爆物品、建筑物漏水渗水等； 评估方查看工业控制系统场地是否处于复杂的电磁环境，内部电磁信息是否泄漏； 网络节点中心、网络设备、安全防护设备、办公设备、工作站、服务器和现场设备等设备安放位 置是否合适、是否将需要专门保护的组件隔离放置等； h）光缆、电缆、网络线缆等线路是否在地下布线，且将电源电缆与通信电缆分开布线，电缆设备 标识是否清晰。 表6列出了工业控制系统通常可能存在的物理环境脆弱性

GB/T364662018

6.4.3网络脆弱性识别

6.4.3.1网络结构及网络边界脆弱性识别

网络结构及网络边界 网络结构及网络边界存在的脆弱性。表7列出」 工业控制系统可能存在的网络结构 界脆弱性

酒店标准规范范本表7工业控制系统网络结构和网络边界脆弱性

GB/T 364662018

6.4.3.2网络设备脆弱性识别

网络设备脆弱性是指工业控制系统网络设备存在的脆弱性，表8列出了工业控制系统的网络设 常可能存在的脆弱性

表8工业控制系统网络设备脆弱性

GB/T364662018

a) 查看重要网络设备放置场所，场所有无物理访问控制、有无禁止无关人员进人的措施，是否安 装监视系统、是否安装空调等支持设备；针对被评估方采取的措施，验证其有效性； 查看是否留有不安全的物理端口，是否将无用的USB、PS/2、网络接口封堵，是否采用技术手 段对这些端口进行监控； C 否着设备的访同日志、安全配置及网络权限，在模拟环境中对设备进行测试，通过尝试使用口 令绕过，提取权限，修改ACL空调标准规范范本，发现设备的脆弱性，并验证其安全措施的有效性； d) 在模拟测试环境中查看设备是否开启不必要的端口并对其进行测试； e) 在模拟仿真测试环境中查找设备存在的系统漏洞； f) 查看网络设备口令更新周期及字符长度等配置； gy 现场访谈被评估方是否为网络硬件配备专门运维人员； h) 现场访谈及核查被评估方是否对替换下的网络硬件进行登记、保存或按照要求进行销毁

6.4.3.3通信和无线连接脆弱性识别

通信和无线连接脆弱性是指工业控制系统网络通信和无线连接存在的脆弱性。表9列出了工业 系统的通信和无线连接通常可能存在的脆弱性