今日頭條
官方微信
官方抖音
資訊頻道1 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的作用與意義
風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)工控系統(tǒng)信息安全縱深防御的基礎(chǔ),風(fēng)險(xiǎn)評(píng)估能夠準(zhǔn)確地評(píng)估工控系統(tǒng)存在的主要信息安全問(wèn)題和潛在的風(fēng)險(xiǎn),風(fēng)險(xiǎn)評(píng)估的結(jié)果是工控系統(tǒng)安全防護(hù)與監(jiān)控策略建立的基礎(chǔ)。
工控系統(tǒng)與辦公系統(tǒng)不同,工控系統(tǒng)中使用智能設(shè)備、嵌入式操作系統(tǒng)和各種專(zhuān)用協(xié)議,尤其是智能設(shè)備具有集成度高、行業(yè)性強(qiáng)、內(nèi)核不對(duì)外開(kāi)放、數(shù)據(jù)交互接口無(wú)法進(jìn)行技術(shù)管控等特點(diǎn)。因此,工控系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估,是基于IT風(fēng)險(xiǎn)評(píng)估原理,同時(shí)結(jié)合工業(yè)控制系統(tǒng)的特點(diǎn)而開(kāi)展的。
同時(shí),工業(yè)控制系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施,應(yīng)該注重整個(gè)生命周期的風(fēng)險(xiǎn)評(píng)估,而不同的生命周期,其風(fēng)險(xiǎn)評(píng)估重點(diǎn)也有所不同。工控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,應(yīng)該從設(shè)備的采購(gòu)、設(shè)備的運(yùn)行、設(shè)備的維護(hù)、設(shè)備的報(bào)廢幾個(gè)階段分別進(jìn)行。
2 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的方法與工具
在工控風(fēng)險(xiǎn)評(píng)估過(guò)程中,可以采用多種操作方法,包括經(jīng)驗(yàn)分析、定性分析和定量分析。無(wú)論何種方法,共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及影響,以及目前安全水平與組織安全需求之間的差距。
在工控風(fēng)險(xiǎn)分析的過(guò)程中,需要采用風(fēng)險(xiǎn)評(píng)估工具進(jìn)行風(fēng)險(xiǎn)評(píng)估,以提高風(fēng)險(xiǎn)評(píng)估效率,及時(shí)發(fā)現(xiàn)工控系統(tǒng)面臨的風(fēng)險(xiǎn)。
2.1 經(jīng)驗(yàn)分析法
經(jīng)驗(yàn)分析法又稱(chēng)為基于知識(shí)的分析方法,可以采用基于知識(shí)的分析方法來(lái)找出目前的安全狀況和基線安全標(biāo)準(zhǔn)之間的差距。通過(guò)多種途徑采集相關(guān)信息,識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施,與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較,從中找出不符合的地方,并按照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施,最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。經(jīng)驗(yàn)風(fēng)險(xiǎn)法比較適合經(jīng)驗(yàn)比較少的操作者,由經(jīng)驗(yàn)比較豐富的操作者按照標(biāo)準(zhǔn)和慣例制訂安全基線,供經(jīng)驗(yàn)比較少的操作者借鑒使用。
基于知識(shí)的分析方法,最重要的還在于評(píng)估信息的采集。信息采集方法包括:會(huì)議討論;對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查;制作問(wèn)卷,進(jìn)行調(diào)查;對(duì)相關(guān)人員進(jìn)行訪談;進(jìn)行實(shí)地考察等。
2.2 定量分析法
定量分析法是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額,當(dāng)度量風(fēng)險(xiǎn)的所有要素(資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等)都被賦值,風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就都可以被量化了。簡(jiǎn)單地說(shuō),定量分析就是試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。
對(duì)定量分析來(lái)說(shuō),有兩個(gè)指標(biāo)是最為關(guān)鍵的,一個(gè)是事件發(fā)生的可能性,另一個(gè)就是威脅事件可能引起的損失。理論上講,通過(guò)定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確地分級(jí),但這有個(gè)前提,那就是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的,可事實(shí)上,在信息系統(tǒng)日益復(fù)雜多變的今天,定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的,再加上數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性,計(jì)算過(guò)程又極易出錯(cuò),這就給分析的細(xì)化帶來(lái)了很大困難,所以,目前的信息安全風(fēng)險(xiǎn)分析,采用定量分析或者純定量分析方法的比較少了。
2.3 定性分析法
定性分析方法是目前采用最為廣泛的一種方法,它具有很強(qiáng)的主觀性,往往需要憑借分析者的經(jīng)驗(yàn)和直覺(jué),或者業(yè)界的標(biāo)準(zhǔn)和慣例,為風(fēng)險(xiǎn)管理諸要素(資產(chǎn)價(jià)值、威脅的可能性、弱點(diǎn)被利用的容易度、現(xiàn)有控制措施的效力等)的大小或高低程度定性分級(jí),例如分為“高”、“中”、“低”三級(jí)。
定性分析的操作方法可以多種多樣,包括小組討論(例如Delphi方法)、檢查列表(Checklist)、問(wèn)卷(Questionnaire)、人員訪談(Interview)、調(diào)查(Survey)等。定性分析操作起來(lái)相對(duì)容易,但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺(jué)的偏差而使分析結(jié)果失準(zhǔn)。
與定量分析相比較,定性分析的準(zhǔn)確性稍好但精確性不夠,定量分析則相反;定性分析沒(méi)有定量分析那樣繁多的計(jì)算負(fù)擔(dān),卻要求分析者具備一定的經(jīng)驗(yàn)和能力;定量分析依賴(lài)大量的統(tǒng)計(jì)數(shù)據(jù),而定性分析沒(méi)有這方面的要求;定性分析較為主觀,定量分析基于客觀;此外,定量分析的結(jié)果很直觀,容易理解,而定性分析的結(jié)果則很難有統(tǒng)一的解釋。
總之,不管是經(jīng)驗(yàn)分析法,還是定性、定量分析法,其核心思想都是依據(jù)威脅出現(xiàn)的頻率、脆弱性的嚴(yán)重程度來(lái)確認(rèn)安全事件發(fā)生的可能性,依據(jù)資產(chǎn)價(jià)值和脆弱性的嚴(yán)重程度來(lái)確認(rèn)安全事件會(huì)造成的損失,最終從安全事件發(fā)生的可能性和損失來(lái)判斷風(fēng)險(xiǎn)值。其原理圖如圖1所示。
圖1 風(fēng)險(xiǎn)值判斷識(shí)別原理示意圖
2.4 風(fēng)險(xiǎn)評(píng)估的工具
風(fēng)險(xiǎn)評(píng)估過(guò)程中,可以利用一些輔助性的工具和方法來(lái)采集數(shù)據(jù),包括:
(1)調(diào)查問(wèn)卷——風(fēng)險(xiǎn)評(píng)估者通過(guò)問(wèn)卷形式對(duì)組織信息安全的各個(gè)方面進(jìn)行調(diào)查,問(wèn)卷解答可以進(jìn)行手工分析,也可以輸入自動(dòng)化評(píng)估工具進(jìn)行分析。從問(wèn)卷調(diào)查中,評(píng)估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。
(2)檢查列表——檢查列表通常是基于特定標(biāo)準(zhǔn)或基線建立的,對(duì)特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款。通過(guò)檢查列表,操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距。
(3)人員訪談——風(fēng)險(xiǎn)評(píng)估者通過(guò)與組織內(nèi)關(guān)鍵人員的訪談,可以了解到組織的安全意識(shí)、業(yè)務(wù)操作、管理程序等重要信息。
(4)漏洞掃描器——漏洞掃描器(包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì))可以對(duì)信息系統(tǒng)中存在的技術(shù)性漏洞(弱點(diǎn))進(jìn)行評(píng)估。許多掃描器都會(huì)列出已發(fā)現(xiàn)漏洞的嚴(yán)重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner等。
(5)滲透測(cè)試——這是一種模擬黑客行為的漏洞探測(cè)活動(dòng),它不但要掃描目標(biāo)系統(tǒng)的漏洞,還會(huì)通過(guò)漏洞利用來(lái)驗(yàn)證此種威脅場(chǎng)景。
總之,工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估采用的理念和方法,是在IT風(fēng)險(xiǎn)評(píng)估的理念和方法的基礎(chǔ)上,結(jié)合工業(yè)控制系統(tǒng)相對(duì)比較封閉、規(guī)模大、資產(chǎn)數(shù)量多、漏洞數(shù)量多、脆弱性問(wèn)題多的特點(diǎn),建立工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估理念與方法。下面我們通過(guò)案例來(lái)展示風(fēng)險(xiǎn)評(píng)估在工業(yè)控制系統(tǒng)中的應(yīng)用。
3 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的步驟與內(nèi)容
3.1 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的步驟
工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,按照工控系統(tǒng)的生命周期來(lái)評(píng)估,每個(gè)生命周期,其風(fēng)險(xiǎn)評(píng)估具有不同的特點(diǎn),但總得來(lái)說(shuō),每個(gè)生命周期的風(fēng)險(xiǎn)評(píng)估,都可以分以下4個(gè)階段進(jìn)行,如圖2所示。
(1)系統(tǒng)調(diào)研階段:確定風(fēng)險(xiǎn)評(píng)估的范圍,分析系統(tǒng)的拓?fù)浣Y(jié)構(gòu),評(píng)估相關(guān)子系統(tǒng)的重要性。
(2)脆弱性檢測(cè)階段:獲取設(shè)備清單,識(shí)別系統(tǒng)的關(guān)鍵資產(chǎn),確定設(shè)備用途,分析基本組成,對(duì)資產(chǎn)進(jìn)行脆弱性檢測(cè)。
(3)風(fēng)險(xiǎn)評(píng)估階段:對(duì)檢測(cè)到的每一個(gè)脆弱點(diǎn),根據(jù)不同設(shè)備類(lèi)型,結(jié)合現(xiàn)有的安全防護(hù)措施,評(píng)估其可能面臨的威脅,及其可能造成的風(fēng)險(xiǎn)。
(4)風(fēng)險(xiǎn)處理階段:論證殘余風(fēng)險(xiǎn)是否可以接受。如果不可接受,那么需要啟動(dòng)風(fēng)險(xiǎn)處置計(jì)劃。如果風(fēng)險(xiǎn)可以接受,則建立安全基線列表。
圖2 生命周期風(fēng)險(xiǎn)評(píng)估的四個(gè)階段
3.2 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的范圍
工控設(shè)備安全保密風(fēng)險(xiǎn)需求主要涉及到三大方面,如圖3所示。一是工控設(shè)備所處的物理環(huán)境安全,如防偷竊、非授權(quán)接觸、是否有竊聽(tīng)竊視裝置等;二是工控設(shè)備自身的安全,主要分析包括硬件、軟件、網(wǎng)絡(luò)等方面的安全;三是工控設(shè)備的安全保密管理問(wèn)題,包括其管理機(jī)構(gòu)、人員、制度、流程等。
圖3 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的范圍示意圖
4 工業(yè)控制系統(tǒng)威脅源及其引入途徑
4.1 工業(yè)控制系統(tǒng)安全威脅源
工業(yè)控制系統(tǒng)威脅源包括內(nèi)部威脅、外部威脅、可用性威脅。內(nèi)部威脅包括操作人員、維護(hù)人員。外部威脅包括工業(yè)間諜、病毒、異常行為,其可能給工控系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)和等級(jí)如表1所示。
表1 工業(yè)控制系統(tǒng)安全威脅源可能給其帶來(lái)的風(fēng)險(xiǎn)和等級(jí)
4.2 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)引入途徑
工業(yè)控制系統(tǒng)威脅入侵途徑是多種多樣的,按照類(lèi)型可以劃分為以下六類(lèi):來(lái)自互聯(lián)網(wǎng)的攻擊、來(lái)自企業(yè)網(wǎng)的攻擊、工業(yè)無(wú)線網(wǎng)絡(luò)帶來(lái)的威脅、現(xiàn)場(chǎng)操作人員造成的威脅、現(xiàn)場(chǎng)運(yùn)維人員帶來(lái)的威脅、遠(yuǎn)程運(yùn)維帶來(lái)的威脅。在風(fēng)險(xiǎn)評(píng)估的過(guò)程中,要充分評(píng)估以上六種風(fēng)險(xiǎn)引入的可能性。
作者簡(jiǎn)介
張曄(1973-),男,現(xiàn)就職于啟明星辰信息技術(shù)集團(tuán)股份有限公司,主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全。發(fā)明了工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)運(yùn)維審計(jì)與管理系統(tǒng),填補(bǔ)了國(guó)內(nèi)該產(chǎn)品的空白;發(fā)明了動(dòng)態(tài)安全保障體系模型和等級(jí)保護(hù)技術(shù)架構(gòu)模型;在國(guó)內(nèi)首次提出了工控系統(tǒng)安全的“四化”理念。在相關(guān)媒體發(fā)表過(guò)《工業(yè)控制系統(tǒng)安全體系架構(gòu)與管理平臺(tái)》、《工業(yè)控制系統(tǒng)安全理念與方法論》、《論信息系統(tǒng)安全“四化”建設(shè)》、《信息安全動(dòng)態(tài)保障體系建設(shè)探討》等系列文章。
摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第二輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)