IEC 62443 系列教學 (五):如何像專家一樣進行風險評估

寫在前面:從基礎健檢到專家的深度診斷

在過去的文章中,我們已經了解,從選擇安全等級 (SL) 到實作基礎要求 (FR),再到準備保證文件 (SAR),這一切的源頭都指向一個核心動作——風險評估

在第二篇文章中,我們對風險評估做了一次「基礎健康檢查」,了解了它的基本概念。而今天,我們要進行的是「專家的深度診斷」。這意味著我們將學習一套更系統、更嚴謹的方法,一步步地找出系統的潛在病灶,並開出最精準的處方。

這篇文章將以 IEC 62443-3-2(工控系統安全風險評估標準)的精神為藍本,為您呈現一份清晰的實戰操作指南。


專家級風險評估的四大步驟

一個專業的風險評估,絕不是天馬行空的想像,而是一個有結構、有紀律的過程。

步驟一:準備與範疇定義 (Preparation & Scoping)

精神:沒有好的準備,就沒有好的開始。

在動手分析之前,必須先做好功課,這一步至關重要。

  1. 組建黃金團隊: 風險評估絕對不是資安或 IT 人員的獨角戲。你的團隊必須包含:

    • 操作人員 (OT):他們最了解生產流程與日常操作。
    • 控制工程師:他們懂系統架構與設備細節。
    • 廠務/維護人員:他們了解實體環境與維護流程。
    • IT/資安人員:他們提供資安專業知識與威脅情資。
    • 工廠管理層:他們能從業務衝擊的角度提供觀點,並給予支持。
  2. 定義評估範疇 (SUC): 明確定義本次要評估的「待議系統 (System Under Consideration, SUC)」是什麼。是「整座晶圓廠」,還是「三號鍋爐的燃燒控制系統」?範圍定義得越清楚,後續的分析就越聚焦、越準確。

  3. 收集基礎資料: 盡可能收集所有相關文件,例如:

    • 網路架構圖
    • 資產清單 (包含 PLC, HMI, Server 等)
    • 製程流程圖 (P&ID)
    • 現有的安全政策與程序

步驟二:系統分割與高階評估 (Partitioning & High-Level Assessment)

精神:化整為零,優先處理高風險區域。

直接分析一個龐大的系統是不切實際的,我們需要先進行分割和篩選。

  1. 劃分區域與管道 (Zoning): 將 SUC 依照功能、實體位置或網路分段,劃分成數個較小的「區域 (Zone)」。例如,一個「鍋爐安全儀控系統 (SIS)」可以是一個 Zone,而「生產數據歷史資料庫」則是另一個 Zone。

  2. 進行高階風險篩選: 針對每個劃分好的 Zone,快速地問一個問題:「如果這個 Zone 完全癱瘓,對工廠造成的最大衝擊是什麼?

    • 如果衝擊極低(例如:一個非關鍵的資料顯示看板),你可以將其標記為「低風險」,暫時不需進行深入分析。
    • 如果衝擊很高(例如:影響人員安全、導致產線停擺),則將其列為「高優先級」,進入下一步的詳細評估。

    這個步驟能幫助你集中火力,優先處理工廠的「皇冠上的寶石 (Crown Jewels)」。

步驟三:詳細風險評估 (Detailed Risk Assessment)

精神:深入每個高風險區域,找出具體的病灶。

這是整個流程的核心,我們將對每個高優先級的 Zone 進行地毯式搜索。

  1. 識別威脅 (Threat Identification): 針對這個 Zone,腦力激盪所有可能的威脅。可以參考 MITRE ATT&CK for ICS 這類框架來獲得靈感。

    • 範例:勒索軟體攻擊、惡意內部人員破壞、供應商遠端連線被劫持、釣魚郵件攻擊。
  2. 識別弱點 (Vulnerability Identification): 檢視這個 Zone 內是否存在可被威脅利用的弱點。

    • 範例:HMI 使用了過期的 Windows XP 系統且未更新、PLC 的工程密碼是原廠預設值、機櫃的門從來不上鎖、允許使用未經授權的 USB 隨身碟。
  3. 評估可能性 (Likelihood Assessment): 結合「威脅」與「弱點」,判斷攻擊發生的可能性有多高。

    • 範例:「一個普通的勒索軟體 (威脅)」攻擊一台「沒有安裝防毒軟體且聯網的電腦 (弱點)」,其成功的可能性非常高
  4. 評估衝擊 (Impact Assessment): 如果上述攻擊真的成功了,對這個 Zone 會造成多嚴重的後果?這裡需要非常具體。

    • 範例:鍋爐壓力失控,可能導致人員傷亡 (衝擊:災難性);配方資料被竊,導致商業機密外洩 (衝擊:高)
  5. 決定風險等級 (Risk Determination): 將「可能性」和「衝擊」放到風險矩陣中,得出最終的風險等級。

    高可能性 × 高衝擊 = 極高風險

    完成這一步後,你手上就有了一份針對該 Zone 的、按優先級排序的「風險清單」。

步驟四:風險應對與文件化 (Risk Mitigation & Documentation)

精神:針對風險開立處方,並留下完整紀錄。

  1. 制定應對策略: 針對清單上不可接受的風險(通常是中、高、極高風險),決定應對策略:

    • 降低 (Mitigate):最常見的策略。實施安全控制措施(也就是我們在第三篇學到的 FR)來降低可能性或衝擊。例如,為了降低勒索軟體風險,我們決定導入應用程式白名單 (FR3) 並加強網路分割 (FR5)。
    • 轉移 (Transfer):透過購買網路安全保險等方式,將財務損失的風險轉移給第三方。
    • 接受 (Accept):如果風險很低,或修復成本遠高於潛在損失,管理層可以書面形式正式接受此風險。
    • 規避 (Avoid):停止進行有風險的活動,例如,徹底斷開某個非必要系統的網路連線。
  2. 設定目標安全等級 (SL-T): 基於為了「降低風險」而需要導入的安全控制措施的強度,你可以為這個 Zone 設定一個明確的目標安全等級 (SL-T)。例如,若分析後發現需要導入多項對應到 SL3 的控制措施才能將風險降到可接受範圍,那麼此 Zone 的 SL-T 就應設為 3。

  3. 產出風險評估報告: 將以上所有步驟、分析、決策和結論,彙編成一份正式的風險評估報告。這份報告是:

    • 向管理層爭取預算的依據
    • 指導後續安全改善專案的藍圖
    • 未來接受稽核時,證明你已盡到管理責任的關鍵證據 (滿足 SAR 要求)。

結語與下一步

恭喜你!你已經學會了如何像專家一樣,有條不紊地執行一次完整的工控系統風險評估。這是一個化被動為主動的過程,讓你不再是「等著被打」,而是能「預測攻擊,並提前部署防禦」。

我們已經走過了理論、需求、保證、評估等所有核心環節。系列文的最後一塊拼圖,就是將這一切付諸實現,並成功通過終點線的考驗——取得認證

在下一篇,也就是本系列的最終章**「邁向認證之路:準備工作與實戰指南」**中,我們將分享如何啟動一個認證專案、如何準備必要的文件、以及如何與稽核員打交道的實戰經驗,為你的 IEC 62443 學習之旅畫上完美的句點。


本系列文章將持續更新,期待在工控資安的學習路上一同成長。若有任何疑問或想法,都歡迎留言交流!

聯絡作者

歡迎透過以上方式與我交流資安技術與 CTF 心得!