工控系统信息安全风险评估是工业行业关键基础设施风险评估中必不可少的重要环节，做好工业控制系统的信息安全风险评估对于保障工业生产高效安全运行具备重要的意义。

工控系统信息安全风险评估内容涵盖：

1、文档查阅：确认评估方的政策及技术方面是否全面或最新；

2、现场访谈：用于收集资料，发现不足，进一步查找在工控系统开发集成供应管理等过程是否合理；

3、现场核查：在工控系统生产环境下进行核查，如对工控系统现场进行物理环境评估、系统配置、系统架构、系统日志等进行评估；

4、现场测试：（漏洞扫描、协议分析、渗透性测试、安全测试等）；

5、仿真测试：（渗透测试、固件逆向分析、专用嵌入系统分析、源代码审计、程序的上传下载漏洞分析、协议分析、硬件板卡分析等）

6、提供实验室测试或上门测试服务；

7、提供国家认可CNAS,CMA检测报告。

工控系统比普通信息系统对可用性要求更高，在工业生产过程中系统和设备不能受到干扰和中断。传统信息安全风险评估方法，例如渗透测试、漏洞扫描等将会受限。工控信息安全风险评估按照国家GB/T 26333等相关信息安全风险评估技术标准，系统分析工控系统面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障工控系统信息安全提供科学依据。

工控信息安全的本质是确保完成工业生产任务得流程不被破坏或篡改，实现正常的生产流程，完成既定的生产目标，且生产执行过程的要素流动不被监控或盗取。

工业控制系统的威胁主要来自自然因素和人为因素。自然因素属于不可抗拒因素，人为因素存在人员的误操作或者是恶意攻击（内部攻击、恶意软件）等情况。

分析工控系统安全防护现状与国家标准及行业规范要求之间的差距，并提出整改方案，指导客户落地实施满足政策要求的措施。用渗透测试、代码审计、漏洞挖掘等技术，对工控系统进行安全检测，发现已知安全漏洞、验证安全功能、挖掘安全缺陷及规范性缺陷。北京仪综所检测中心，CNAS和CMA认可的第三方检测公司，提供工控系统信息安全风险评估测试服务出具国家认可检测报告，第三方检测报告，CMA和CNAS检测报告，检测试验找仪综所实验室彭光琼136-9109-3503。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们