隨著工業(yè)信息化進(jìn)程的快速推進(jìn)以及工業(yè)互聯(lián)網(wǎng)、工業(yè)云等新興技術(shù)的興起，信息、網(wǎng)絡(luò)以及物聯(lián)網(wǎng)技術(shù)在智能電網(wǎng)、智能交通、工業(yè)生產(chǎn)系統(tǒng)等工業(yè)控制領(lǐng)域得到了廣泛的應(yīng)用，極大地提高了企業(yè)的綜合效益。

為實(shí)現(xiàn)系統(tǒng)間的協(xié)同和信息分享，工業(yè)控制系統(tǒng)也逐漸打破了以往采用專用系統(tǒng)、封閉運(yùn)行的模式，開始在系統(tǒng)中采用一些標(biāo)準(zhǔn)的、通用的通信協(xié)議及硬軟件系統(tǒng)，甚至有些工業(yè)控制系統(tǒng)也能以某些方式連接到互聯(lián)網(wǎng)中。

這使得工業(yè)控制系統(tǒng)必將面臨病毒、木馬、黑客入侵、拒絕服務(wù)等傳統(tǒng)的信息安全威脅，由于工業(yè)控制系統(tǒng)多被應(yīng)用在電力、交通、石油化工、核工業(yè)等國家重要的行業(yè)中，攻擊行為所導(dǎo)致的安全事故造成的社會(huì)影響和經(jīng)濟(jì)損失會(huì)更為嚴(yán)重。

出于政治、軍事、經(jīng)濟(jì)、信仰等目的，敵對的組織、國家以及恐怖犯罪分子都可能把工業(yè)控制系統(tǒng)作為達(dá)成其目的的攻擊目標(biāo)。

尤其是，以“伊朗布什爾核電站遭到‘震網(wǎng)病毒’攻擊”為代表的一系列針對工業(yè)控制系統(tǒng)的信息安全事件表明，攻擊者正普遍采用被稱為高級持續(xù)性威脅（Advanced Persistent Threat，簡稱 APT）的新型攻擊手段。

攻擊者不僅具有明確的攻擊目標(biāo)，而且在攻擊時(shí)也多采用有組織的多攻擊協(xié)同模式。

顯然，這種新型的攻擊手段更難防御，對工業(yè)企業(yè)、安全廠商及相關(guān)研究機(jī)構(gòu)的安全檢測和服務(wù)能力提出了更高的挑戰(zhàn)。

同時(shí)，對于工控行業(yè)來說，最大的難題在于工業(yè)領(lǐng)域相對比較封閉，行業(yè)間的技術(shù)不通用，行業(yè)壁壘相對高，而且國內(nèi)大廠商使用的高端技術(shù)一半掌握在國外。

所以對于從事工控安全服務(wù)商來說，首先要理解行業(yè)客戶的需求和網(wǎng)絡(luò)設(shè)備狀況等，比如安全設(shè)施能不能部署到網(wǎng)絡(luò)里、怎么獲得和工業(yè)系統(tǒng)的兼容性測試并拿到客戶的認(rèn)可和報(bào)告。而從宏觀環(huán)境看，《中華人民共和國網(wǎng)絡(luò)安全法》對電力等核心基礎(chǔ)設(shè)施的工控安全做作了嚴(yán)格要求，工信部也表示，將于 2020 年底初步建成工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和產(chǎn)業(yè)體系，推動(dòng) 30 萬家以上工業(yè)企業(yè)上云，初步建立工業(yè)互聯(lián)網(wǎng)安全保障體系，工控安全領(lǐng)域或?qū)⒂瓉肀l(fā)期。

綠盟科技認(rèn)為，工控全生命周期包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行、維護(hù)、廢棄階段，每個(gè)階段關(guān)注工控系統(tǒng)信息安全的角色在變化，關(guān)注的評估對象、目標(biāo)和具體指標(biāo)也有所差異，每個(gè)階段都存在信息安全威脅。

因此，關(guān)注每個(gè)階段的安全風(fēng)險(xiǎn)評估，并進(jìn)行有效的管理和防護(hù)，可以很大程度上降低工業(yè)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)。

根據(jù)《GB/T 30976.1-2014 工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范》中指出，工控安全生命周期概述為：在規(guī)劃設(shè)計(jì)階段，通過風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段，通過風(fēng)險(xiǎn)評估確定系統(tǒng)的安全目標(biāo)達(dá)成與否；在運(yùn)行維護(hù)階段，要不斷地實(shí)施風(fēng)險(xiǎn)評估以識別系統(tǒng)面臨的不斷變化的風(fēng)險(xiǎn)和脆弱性，從而確定安全措施的有效性，確保安全目標(biāo)得以實(shí)現(xiàn)。因此每個(gè)階段風(fēng)險(xiǎn)評估的具體實(shí)施應(yīng)根據(jù)該階段的特點(diǎn)有所側(cè)重地進(jìn)行。

基于此，綠盟科技則發(fā)布了一款全新的工業(yè)網(wǎng)絡(luò)安全合規(guī)評估工具ISCAT。這個(gè)評估工具，一體化便攜式、高性能專用硬件裝備，集信息收集（對象、資產(chǎn)、流量）、合規(guī)評估、資產(chǎn)信息管理、資產(chǎn)統(tǒng)計(jì)分析、資產(chǎn)安全評估、網(wǎng)絡(luò)異常行為審計(jì)、無線WiFi評估、通信流量診斷（流量統(tǒng)計(jì)、工控協(xié)議合規(guī)性分析、數(shù)據(jù)包分布統(tǒng)計(jì)、診斷數(shù)據(jù)統(tǒng)計(jì)、IP流量統(tǒng)計(jì)）、視頻監(jiān)控設(shè)備評估、主機(jī)惡意代碼評估于一體的綜合評估工具集，為用戶提供標(biāo)準(zhǔn)、專業(yè)的檢查指導(dǎo)，并支持對評估結(jié)果數(shù)據(jù)的關(guān)聯(lián)分析、統(tǒng)計(jì)對比，可幫助用戶快速分析展示合規(guī)現(xiàn)狀，定位工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

簡單來說，ISCAT的模板管理能做到對環(huán)境內(nèi)工控設(shè)備的掃描，從而先確定環(huán)境里的設(shè)備情況——包括型號，廠商等，在評估時(shí)做好工控資產(chǎn)的梳理工作。工控漏洞模板則是對各類工控系統(tǒng)漏洞進(jìn)行了一個(gè)整理以及掃描。

而配置模板可以讓企業(yè)針對自己的工控環(huán)境使用預(yù)先準(zhǔn)備好的模板進(jìn)行評估。另外，模板管理功能中還包括了威脅特征、工控協(xié)議（超過30種工控協(xié)議）以及工控知識庫三個(gè)功能，幫助企業(yè)應(yīng)對潛在的威脅以及滿足企業(yè)的合規(guī)要求。

ISCAT同樣幫助企業(yè)減少了對評估人員的技術(shù)需求。工業(yè)企業(yè)對傳統(tǒng)工具缺乏信心的原因之一在于由于工業(yè)環(huán)境復(fù)雜，對于評估人員本身需要極強(qiáng)的專業(yè)知識以及對工具的熟練使用。而在ISCAT模板管理的幫助下，評估人員可以運(yùn)用計(jì)劃管理，在ISCAT系統(tǒng)的指導(dǎo)下進(jìn)行對工控網(wǎng)絡(luò)的檢測分析，大大降低了企業(yè)對技術(shù)人員的要求以及培訓(xùn)成本。

目前，ISCAT已經(jīng)在電力、石油石化以及化工等各個(gè)領(lǐng)域的企業(yè)進(jìn)行試點(diǎn)，幫助企業(yè)進(jìn)行評估以及合規(guī)。

等級保護(hù)

等級保護(hù)基本概念

信息系統(tǒng)安全等級保護(hù)是指對信息安全實(shí)行等級化保護(hù)和等級化管理。

根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國家利益、公共利益和社會(huì)穩(wěn)定。

等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范主機(jī)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。

等級保護(hù)保準(zhǔn)總體框架

等級保護(hù)基本要求構(gòu)架

風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估的基本概念

風(fēng)險(xiǎn)評估是以安全建設(shè)為出發(fā)點(diǎn)，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定，通過對用戶關(guān)心的重要資產(chǎn)的分級、安全威脅發(fā)生的可能性及嚴(yán)重性分析、對系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)系統(tǒng)平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運(yùn)行措施等等方面的安全脆弱性的分析，并通過對已有安全控制措施的確認(rèn)，借助定量、定性分許的方法，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級別制定風(fēng)險(xiǎn)處置計(jì)劃，確定下一步的安全需求方向。

風(fēng)險(xiǎn)要素關(guān)系

風(fēng)險(xiǎn)分析原理

等保測評與風(fēng)險(xiǎn)評估的區(qū)別

目的不同

等級測評：

以是否符合等級保護(hù)基本要求為目的

-照方抓藥

風(fēng)險(xiǎn)評估：

以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險(xiǎn)管理為目的

-對癥下藥

參照標(biāo)準(zhǔn)不同

等級測評：

GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》

GA/T 389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》

GA 388-2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》

GA/T389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》

GA/T 390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》

GA 291-2002《計(jì)算機(jī)系統(tǒng)安全等級保護(hù)管理要求》

……

風(fēng)險(xiǎn)評估：

BS7799 ISO17799 ISO27001 ISO27002 GBT20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》

……

流程不同

等級保護(hù)：

風(fēng)險(xiǎn)評估：