4.5 风险评估方法

风险评估方法主要有定性和定量风险评估方法、基于场景和资产风险评估方法、详细风险评估方法和高层次风险评估方法。

许多风险评估方法在市场上能够获得，其中有些风险评估方法是免费的，而有些风险评估方法在使用时需要验证。对这些风险评估方法进行评估，从而选取最有用的风险评估方法，是一件困难的事情。许多风险评估方法有一个共同的前提，即风险是事件发生与后果的可能性组合。对于一个特定的控制系统网络事故，设置适当的概率值并不是件容易的事，不仅因为历史数据缺乏，还因为一旦一个弱点暴露，历史数据并不能预测将来可能发生的事情。因此，许多公司和商业联盟针对自身特点开发出一些风险评估方法，以解决对公司重要问题的威胁和脆弱性。

有些方法充分支持高层次风险评估，而有些方法充分支持详细风险评估，以及支持基于场景和资产的风险评估等。这些方法允许输入易损性评估结果，也能够直接为相应的详细易损性评估提供指导。如果一种方法能够同时支持高层次和详细风险评估，那么这种方法对一个组织机构而言是非常有效的。因此，要确定某种风险评估方法一般需要进行筛选、选择、验证和确定4个步骤。

4.5.1 定性和定量风险评估方法

定性风险评估方法可依赖有经验的雇员或专家的意见，提供关于特定风险影响特定资产的可能性和严重性的信息。此外，不同层次的可能性和严重性可以通过一般级别，如高、中、低来识别，而不是特定的可能结果和经济影响。

在缺乏可靠信息时，定性风险评估方法不适用，改用定量风险评估方法更加适用，这些信息为特定风险对特定资产影响的可能性，或者特定资产损害带来影响的整体评估。

定量风险评估方法需要大量的数据支持，这些数据可以提供因风险和脆弱性带来损失的概率。如果这些信息可用，那么定量风险评估能够提供比定性风险评估更加精确的风险评估结果。根据最近提供的有关工业控制系统安全威胁的数据，事故发生及威胁迅速激化的现象相对较少发生，在这种情形下，定量风险评估方法在评价这些风险中更有效。

4.5.2 基于场景和资产的风险评估方法

基于场景和资产的风险评估方法是利用实际的或近乎实际的事故进行评估，如工业控制系统的装备在本地或远程未授权访问操作会带来什么结果、工业控制系统的数据被窃或被损害会带来什么后果等。

基于场景和资产的风险评估方法适用于组织机构对控制系统、工作方法和经济产生影响的特定资产有一定的认识。

基于场景和资产的风险评估方法不能深入发现风险对敏感资产的威胁，这些敏感资产之前并没有风险。由于这种方法不能发现某些威胁和漏洞，所以这些威胁和漏洞将使某些设备置于危险中。

4.5.3 详细风险评估方法

详细风险评估方法主要集中在个体工业控制系统网络和设备上，同时要考虑具体财产上的技术漏洞评估和现有政策的有效性，可能对于组织机构一次性工业控制系统资产执行详细风险评估不是很切合实际。在这种情况下，组织机构将会收集足够的关于工业控制系统信息，允许对系统做优先级排序，决定哪些信息首先由具体漏洞和风险评估做分析。

在详细风险评估方法中定义了风险，并进行优先级排序。定义风险之后，组织机构可能会选择对所有的系统风险进行优先级排序，对各个系统的个体风险，如某个地方的所有工业控制系统进行优先级排序。由于系统风险优先级最终驱动执行什么样的行动和投资改善计算机安全，因此，只有优先权的范围符合预算的范畴，组织机构才能决定做这些投资。例如，如果工业控制系统支持的特定生产线作为一个集团，则风险将通过与工业控制系统一起被优先级排序，以保证经营管理人员的决定过程。

4.5.4 高层次风险评估方法

高层次风险评估方法阐明了运用工业控制系统产生的个别风险的性质，这需要从根本上选择最有效的方法和分析配置的成本。高层次风险评估方法需要通过风险分析会议收集利益关系者的意见，也需要利用高级商业后果，这些后果在经营理念中已经阐述。风险分析会议中的文件列举了一些情景，这些情景描述了一个特定威胁怎样利用特定漏洞造成经济损失和负面的商业影响，这种会议也设定了后果等级标准和抗风险等级优先顺序。

利益关系者在业务上使用过工业控制系统，在相关风险关系上负有责任。因此，利益关系者需要参与风险评估，以进一步增长知识和经验。

如果要使风险分析会议成功举行，参与者就必须理解风险和漏洞的概念，否则，会议很可能只能找出漏洞而不能识别风险。例如，在控制系统HMI中，弱认证可能就是一个漏洞，相应的风险可能为经验不足的雇员能够在无监管的情况下，对控制系统HMI进行操作，设置不安全参数，于是由于安全控制问题，导致生产停止。组织机构列举网络漏洞，然后修复这些漏洞，这本身就是一个常见的缺陷。