寫在前面:從基礎健檢到專家的深度診斷
在過去的文章中,我們已經了解,從選擇安全等級 (SL) 到實作基礎要求 (FR),再到準備保證文件 (SAR),這一切的源頭都指向一個核心動作——風險評估。
在第二篇文章中,我們對風險評估做了一次「基礎健康檢查」,了解了它的基本概念。而今天,我們要進行的是「專家的深度診斷」。這意味著我們將學習一套更系統、更嚴謹的方法,一步步地找出系統的潛在病灶,並開出最精準的處方。
這篇文章將以 IEC 62443-3-2(工控系統安全風險評估標準)的精神為藍本,為您呈現一份清晰的實戰操作指南。
專家級風險評估的四大步驟
一個專業的風險評估,絕不是天馬行空的想像,而是一個有結構、有紀律的過程。
步驟一:準備與範疇定義 (Preparation & Scoping)
精神:沒有好的準備,就沒有好的開始。
在動手分析之前,必須先做好功課,這一步至關重要。
組建黃金團隊: 風險評估絕對不是資安或 IT 人員的獨角戲。你的團隊必須包含:
- 操作人員 (OT):他們最了解生產流程與日常操作。
- 控制工程師:他們懂系統架構與設備細節。
- 廠務/維護人員:他們了解實體環境與維護流程。
- IT/資安人員:他們提供資安專業知識與威脅情資。
- 工廠管理層:他們能從業務衝擊的角度提供觀點,並給予支持。
定義評估範疇 (SUC): 明確定義本次要評估的「待議系統 (System Under Consideration, SUC)」是什麼。是「整座晶圓廠」,還是「三號鍋爐的燃燒控制系統」?範圍定義得越清楚,後續的分析就越聚焦、越準確。
收集基礎資料: 盡可能收集所有相關文件,例如:
- 網路架構圖
- 資產清單 (包含 PLC, HMI, Server 等)
- 製程流程圖 (P&ID)
- 現有的安全政策與程序
步驟二:系統分割與高階評估 (Partitioning & High-Level Assessment)
精神:化整為零,優先處理高風險區域。
直接分析一個龐大的系統是不切實際的,我們需要先進行分割和篩選。
劃分區域與管道 (Zoning): 將 SUC 依照功能、實體位置或網路分段,劃分成數個較小的「區域 (Zone)」。例如,一個「鍋爐安全儀控系統 (SIS)」可以是一個 Zone,而「生產數據歷史資料庫」則是另一個 Zone。
進行高階風險篩選: 針對每個劃分好的 Zone,快速地問一個問題:「如果這個 Zone 完全癱瘓,對工廠造成的最大衝擊是什麼?」
- 如果衝擊極低(例如:一個非關鍵的資料顯示看板),你可以將其標記為「低風險」,暫時不需進行深入分析。
- 如果衝擊很高(例如:影響人員安全、導致產線停擺),則將其列為「高優先級」,進入下一步的詳細評估。
這個步驟能幫助你集中火力,優先處理工廠的「皇冠上的寶石 (Crown Jewels)」。
步驟三:詳細風險評估 (Detailed Risk Assessment)
精神:深入每個高風險區域,找出具體的病灶。
這是整個流程的核心,我們將對每個高優先級的 Zone 進行地毯式搜索。
識別威脅 (Threat Identification): 針對這個 Zone,腦力激盪所有可能的威脅。可以參考 MITRE ATT&CK for ICS 這類框架來獲得靈感。
- 範例:勒索軟體攻擊、惡意內部人員破壞、供應商遠端連線被劫持、釣魚郵件攻擊。
識別弱點 (Vulnerability Identification): 檢視這個 Zone 內是否存在可被威脅利用的弱點。
- 範例:HMI 使用了過期的 Windows XP 系統且未更新、PLC 的工程密碼是原廠預設值、機櫃的門從來不上鎖、允許使用未經授權的 USB 隨身碟。
評估可能性 (Likelihood Assessment): 結合「威脅」與「弱點」,判斷攻擊發生的可能性有多高。
- 範例:「一個普通的勒索軟體 (威脅)」攻擊一台「沒有安裝防毒軟體且聯網的電腦 (弱點)」,其成功的可能性非常高。
評估衝擊 (Impact Assessment): 如果上述攻擊真的成功了,對這個 Zone 會造成多嚴重的後果?這裡需要非常具體。
- 範例:鍋爐壓力失控,可能導致人員傷亡 (衝擊:災難性);配方資料被竊,導致商業機密外洩 (衝擊:高)。
決定風險等級 (Risk Determination): 將「可能性」和「衝擊」放到風險矩陣中,得出最終的風險等級。
高可能性 × 高衝擊 = 極高風險
完成這一步後,你手上就有了一份針對該 Zone 的、按優先級排序的「風險清單」。
步驟四:風險應對與文件化 (Risk Mitigation & Documentation)
精神:針對風險開立處方,並留下完整紀錄。
制定應對策略: 針對清單上不可接受的風險(通常是中、高、極高風險),決定應對策略:
- 降低 (Mitigate):最常見的策略。實施安全控制措施(也就是我們在第三篇學到的 FR)來降低可能性或衝擊。例如,為了降低勒索軟體風險,我們決定導入應用程式白名單 (FR3) 並加強網路分割 (FR5)。
- 轉移 (Transfer):透過購買網路安全保險等方式,將財務損失的風險轉移給第三方。
- 接受 (Accept):如果風險很低,或修復成本遠高於潛在損失,管理層可以書面形式正式接受此風險。
- 規避 (Avoid):停止進行有風險的活動,例如,徹底斷開某個非必要系統的網路連線。
設定目標安全等級 (SL-T): 基於為了「降低風險」而需要導入的安全控制措施的強度,你可以為這個 Zone 設定一個明確的目標安全等級 (SL-T)。例如,若分析後發現需要導入多項對應到 SL3 的控制措施才能將風險降到可接受範圍,那麼此 Zone 的 SL-T 就應設為 3。
產出風險評估報告: 將以上所有步驟、分析、決策和結論,彙編成一份正式的風險評估報告。這份報告是:
- 向管理層爭取預算的依據。
- 指導後續安全改善專案的藍圖。
- 未來接受稽核時,證明你已盡到管理責任的關鍵證據 (滿足 SAR 要求)。
結語與下一步
恭喜你!你已經學會了如何像專家一樣,有條不紊地執行一次完整的工控系統風險評估。這是一個化被動為主動的過程,讓你不再是「等著被打」,而是能「預測攻擊,並提前部署防禦」。
我們已經走過了理論、需求、保證、評估等所有核心環節。系列文的最後一塊拼圖,就是將這一切付諸實現,並成功通過終點線的考驗——取得認證。
在下一篇,也就是本系列的最終章**「邁向認證之路:準備工作與實戰指南」**中,我們將分享如何啟動一個認證專案、如何準備必要的文件、以及如何與稽核員打交道的實戰經驗,為你的 IEC 62443 學習之旅畫上完美的句點。
本系列文章將持續更新,期待在工控資安的學習路上一同成長。若有任何疑問或想法,都歡迎留言交流!