今日頭條
官方微信
官方抖音
資訊頻道
摘要:隨著工業(yè)領(lǐng)域出現(xiàn)越來越多的信息安全事件,針對工業(yè)領(lǐng)域的安全威脅與風險日益突出。然而與IT領(lǐng)域不同,針對工業(yè)領(lǐng)域的安全風險評估開展較少,主要原因在于工業(yè)網(wǎng)絡與系統(tǒng)有其特殊性,當前缺乏合適的標準、工具等。本文分析了工業(yè)信息安全威脅和需求,介紹了風險評估的總體思路與方法,并針對ISO27001[1- 8],等級保護[9-10]以及基于IEC62443[11-15]的工控系統(tǒng)安全評估方法與實踐進行了深入的探討。
關(guān)鍵詞:工業(yè)控制系統(tǒng);工業(yè)安全;風險評估;ISO2 7 0 0 1;等級保護;IEC62443
Abstract: With more and more industrial security incidents, the Industrial automation control system (IACS) is facing critical threats and risks. Unlike IT and Internet area, the systematic risk assessments are not well conducted in industrial area. Currently we need consider the difficulties of IACS risk assessment, such as the high availability
requirement of running system, lack of proper practical security tools and standards for this work. In this paper, we analyzed the industrial security threats and requirements, introduced the main process and methodology of risk assessment, and discussed how to implement the risk assessment based on different standards such as ISO 27001, Grade Protection and IEC 62443.
Key words: Industrial control system; Industrial security; Risk assessment; ISO27001; Grade protection; IEC62443
工業(yè)發(fā)展史上經(jīng)歷了三次大的變革,目前正在向“工業(yè)4.0”演進。第一次工業(yè)革命發(fā)生在1784年,以蒸汽機驅(qū)動為代表,第二次工業(yè)革命則以1870年的流水線和電力驅(qū)動為代表,第三次工業(yè)革命從19世紀70年代開始,出現(xiàn)了以PLC為代表的電氣和信息技術(shù)驅(qū)動的自動化生產(chǎn)。 “工業(yè)4.0”概念即是以智能制造為主導的第四次工業(yè)革命,或革命性的生產(chǎn)方法。該戰(zhàn)略旨在通過充分利用信息通訊技術(shù)和網(wǎng)絡空間虛擬系統(tǒng)—信息物理系統(tǒng)(Cyber-Physical System)相結(jié)合的手段,將制造業(yè)向智能化轉(zhuǎn)型。“工業(yè)4.0”概念包含了由集中式控制向分散式增強型控制的基本模式轉(zhuǎn)變,將建立一個高度靈活的個性化和數(shù)字化的產(chǎn)品與服務的生產(chǎn)模式。
這一趨勢為工業(yè)自動化生產(chǎn)帶來了全面的技術(shù)進步、生產(chǎn)力提高、成本降低與競爭實力的增強。但凡事有利必有弊,IT技術(shù)的開放、互聯(lián)的特點,同時也為各種網(wǎng)絡攻擊提供了滋生的土壤,導致各種潛在的安全威脅日益增長。近年來,隨著經(jīng)濟全球化的深入推進,國際競爭越來越激烈,工業(yè)控制系統(tǒng)作為能源、制造、軍工等關(guān)系到國計民生關(guān)鍵基礎設施,面臨著以網(wǎng)絡空間戰(zhàn)為代表的高風險運行環(huán)境。據(jù)統(tǒng)計,過去一年,國家信息安全漏洞共享平臺收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長近10倍。
在“工業(yè)4.0”的大趨勢下,工業(yè)控制系統(tǒng)與網(wǎng)絡與IT的結(jié)合更加緊密,面臨的安全威脅和風險日益突出。然而當前的工業(yè)控制系統(tǒng)信息安全工作還處于起步階段,有必要加強信息安全風險評估,對識別出來的安全風險進行有效的處置和管理。
1 工業(yè)信息安全威脅與需求
近年來,IT技術(shù)在工業(yè)控制系統(tǒng)中得到了廣泛的應用。包括工業(yè)控制系統(tǒng)的核心——過程控制系統(tǒng)PCS(Process Control System)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)SCADA(Supervisory Control And Data Acquisition)、分布式控制系統(tǒng)DCS(Distributed Control System)在內(nèi)的各工業(yè)控制系統(tǒng)逐漸從封閉、孤立的系統(tǒng)走向互聯(lián)(包括與IT辦公系統(tǒng)互聯(lián)),日益廣泛地采用各種IT技術(shù)。同時,以可編程邏輯控制器PLC(Programmable Logic Controller)為代表的現(xiàn)場控制設備也日益變得開放和標準化。現(xiàn)代工業(yè)控制網(wǎng)絡的發(fā)展呈現(xiàn)出一系列值得關(guān)注的趨勢。
2010年,第一個以SCADA為攻擊目標的 Stuxnet病毒出現(xiàn),成功侵襲了伊朗納坦茲核設施,令不少離心機癱瘓。由此可見,針對工業(yè)控制系統(tǒng)的攻擊行為,已經(jīng)對國家經(jīng)濟和社會發(fā)展產(chǎn)生深遠的影響。事實上,不僅是“震網(wǎng)(Stuxnet)”病毒,近年來相繼涌現(xiàn)出的著名惡意軟件如“毒區(qū)(Duqu)”、“火焰(Flame)”等,也將攻擊重心向石油、電力等國家命脈行業(yè)領(lǐng)域傾斜,工業(yè)控制系統(tǒng)面臨的安全形勢越來越嚴峻。
當前通用開發(fā)標準與互聯(lián)網(wǎng)技術(shù)的廣泛使用,使得針對ICS 系統(tǒng)的攻擊行為出現(xiàn)大幅度增長,ICS 系統(tǒng)對于信息安全管理的需求變得更加迫切。安全漏洞的涌現(xiàn),無疑為工業(yè)控制系統(tǒng)增加了風險,進而影響正常的生產(chǎn)秩序,甚至會危及人員健康和公共財產(chǎn)安全。從整個架構(gòu)上看,工業(yè)控制系統(tǒng)是由服務器、終端、前端的實時操作系統(tǒng)等共同構(gòu)成的網(wǎng)絡體系,同樣涉及物理層、網(wǎng)絡層、主機層、應用層等傳統(tǒng)信息安全問題。在整個工業(yè)控制系統(tǒng)中,大多數(shù)工控軟件都是運行在通用操作系統(tǒng)上,例如操作員站一般都是采用Linux或Windows平臺,由于考慮到系統(tǒng)運行的穩(wěn)定性,一般系統(tǒng)運行后不會對Linux或Windows平臺打補丁;另外,大多工業(yè)控制網(wǎng)絡都屬于專用內(nèi)部網(wǎng)絡,不與互聯(lián)網(wǎng)相連,即使安裝反病毒軟件,也不能及時地更新病毒數(shù)據(jù)庫。此外,工業(yè)控制系統(tǒng)的安全管理一直是個薄弱環(huán)節(jié),例如操作維護人員的安全意識,安全技能有待提高。在信息安全配置方面,弱口令,開放的危險端口與服務等現(xiàn)象較為突出,嚴重降低了工業(yè)控制系統(tǒng)的安全水平。
因此必須開展定期的信息安全風險評估,標識關(guān)鍵資產(chǎn)與保護對象,識別安全威脅與脆弱性,進而計算相關(guān)安全風險,并對安全風險進行有效的處置,逐步提升工業(yè)控制系統(tǒng)與網(wǎng)絡的信息安全整體水平。
2 風險評估主體思路和框架
通過對國際標準、國家政策以及行業(yè)中對于風險評估的理解、分析和總結(jié),我們認為在風險評估的整個過程中,主要包含三個要素,這三個要素之間相互作用和影響,他們之間的關(guān)系如圖1所示。
風險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性,資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性是威脅出現(xiàn)的頻率;脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析主要內(nèi)容為:
(1)對資產(chǎn)進行識別,并對資產(chǎn)的重要性進行賦值;
(2)對威脅進行識別,描述威脅的屬性,并對威脅出現(xiàn)的頻率賦值;
(3)對資產(chǎn)的脆弱性進行識別,并對具體資產(chǎn)的脆弱性的嚴重程度賦值;
(4)根據(jù)威脅和脆弱性的識別結(jié)果判斷安全事件發(fā)生的可能性;
(5)根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的重要性計算安全事件的損失;
(6)根據(jù)安全事件發(fā)生的可能性以及安全事件的損失,計算安全事件一旦發(fā)生對組織的影響,即風險值。
3 ISO27001評估方法
ISO27001是國際標準化組織(ISO)于2005年10月頒布的一個針對信息安全管理體系的國際標準,作為信息安全管理方面最著名的國際標準,ISO27001正迅速被全球所接受。依據(jù)ISO27001標準進行信息安全管理體系建設,是當前各行業(yè)組織在推動信息安全保護方面最普遍的思路和決策。 ISO27001以安全控制點/控制措施為主,強調(diào)以風險控制點的方式來達到信息安全管理的目的,其共涵蓋了11個安全領(lǐng)域(如表1所示),39個安全控制點,133個安全控制措施。
西門子的ISO27001差距分析是以ISO27001標準(包括ISO 27002)為標桿,評估ISO27001所要求的11個安全領(lǐng)域的133個基本安全控制在企業(yè)信息系統(tǒng)中的實施配置情況,涉及到信息系統(tǒng)安全技術(shù)和安全管理上的各項安全控制措施,進而全面得出:
(1)企業(yè)是否已經(jīng)通過實施及運作控制措施,有效管理企業(yè)面臨的信息安全風險;
(2)為明確企業(yè)信息安全需求和建立信息安全目標提供客觀依據(jù);
(3)企業(yè)安全管理與技術(shù)現(xiàn)狀與標準要求之間的差距,并給出詳細的差距分析說明。
4 信息安全等級保護評測
信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟建設、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其它組織的合法權(quán)益的危害程度等,由低到高劃分為五級。不同安全保護等級的信息系統(tǒng)應具有不同的安全保護能力。
基本安全要求是針對不同安全保護等級信息系統(tǒng)應該具有的基本安全保護能力提出的安全要求,根據(jù)實現(xiàn)方式的不同,基本安全要求分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān),主要通過在信息系統(tǒng)中部署軟硬件并正確地配置其安全功能來實現(xiàn);管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān),主要通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。
西門子根據(jù)國家標準GB/T 28448-2012信息系統(tǒng)安全等級保護測評要求,設計等級保護差距分析問卷,對關(guān)鍵工控系統(tǒng)是否達到基本安全控制要求進行等級保護測試評估,主要測評國家標準GB/T 22239-2008所要求的基本安全控制在關(guān)鍵工控系統(tǒng)中的實施配置情況,所涉及的評測內(nèi)容涉及到信息系統(tǒng)安全技術(shù)和安全管理上的各個安全控制措施,其中:
(1)安全技術(shù)類評測項包括物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全5個層面;
(2)安全管理評測包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理5個方面。
通過上述各安全領(lǐng)域的等級保護評測實施,將有效分析出關(guān)鍵信息系統(tǒng)整體的安全等級保護符合情況,特別是在安全技術(shù)控制方面的薄弱環(huán)節(jié),評測結(jié)果將用雷達圖及細化的柱狀分布圖予以展現(xiàn),并將提供詳細的評測結(jié)果分析。
5 基于IEC62443的風險評估
在I E C 6 2 4 4 3 中引入了信息安全保障等級(Security Assurance Level, SAL)的概念,嘗試用一種定量的方法來處理一個區(qū)域的信息安全。它既適用于終端用戶公司,也適用于工業(yè)控制系統(tǒng)和信息安全產(chǎn)品供應商。通過定義并比較用于信息安全掃描周期的不同階段的目標(Target)SAL、設計(Design)SAL、達到(Achieved)SAL和能力(Capability)SAL,實現(xiàn)預期設計結(jié)果的安全性。
國際上針對工業(yè)控制系統(tǒng)的信息安全評估和認證還處于起步階段,尚未出現(xiàn)一個統(tǒng)一的評估規(guī)范。IEC62443第2-4部分涉及到信息安全的認證問題,但由于IEC國際標準組織規(guī)定,其實現(xiàn)的標準文件中不能有認證類的詞匯,因此工作組決定將該部分標準名稱改為“工業(yè)控制系統(tǒng)制造商信息安全基本實踐”。然而,真正可用于工業(yè)控制系統(tǒng)信息安全評估的規(guī)范仍然空白。
國內(nèi)由全國工業(yè)過程測量和控制標準化技術(shù)委員會(SAC/TC124)和全國信息安全標準化技術(shù)委員會(SAC/TC260)牽頭,參考IEC62443正在制定我國的工業(yè)控制系統(tǒng)信息安全評估規(guī)范標準,目前處于送審階段。該標準規(guī)定了工業(yè)控制系統(tǒng)(SCADA、DCS、PLC、PCS等)信息安全評估的目標、評估的內(nèi)容、實施過程等;適用于系統(tǒng)設計方、設備生產(chǎn)商、系統(tǒng)集成商、工程公司、用戶、資產(chǎn)所有人以及評估認證機構(gòu)等對工業(yè)控制系統(tǒng)的信息安全進行評估時使用。
在該標準中將評估分為管理評估和51項系統(tǒng)能力(技術(shù))評估。其中系統(tǒng)能力(技術(shù))評估分為四個級別,由小到大分別對應系統(tǒng)能力等級(capability level)的CL1、CL2、CL3和CL4,該方案實現(xiàn)的主要技術(shù)指標將以系統(tǒng)能力(技術(shù))評估結(jié)果展現(xiàn)。
系統(tǒng)能力等級(CL)的說明如下:
(1)能力等級 CL1 :提供機制保護控制系統(tǒng)防范偶然的、輕度的攻擊。
(2)能力等級CL2 :提供機制保護控制系統(tǒng)防范有意的、利用較少資源和一般技術(shù)的簡單手段可能達到較小破壞后果的攻擊。
(3)能力等級CL3 :提供機制保護控制系統(tǒng)防范惡意的、利用中等資源、ICS特殊技術(shù)的復雜手段的可能達到較大破壞后果的攻擊。
(4)能力等級CL4 :提供機制保護控制系統(tǒng)防范惡意的、使用擴展資源、ICS特殊技術(shù)的復雜手段與工具可能達到重大破壞后果的攻擊。
6 風險處置
選擇處置措施的原則是權(quán)衡利弊:權(quán)衡每種選擇的成本與其得到的利益。例如,如果以相對較低的花費可以大大減小風險的程度,則應選擇實施這樣的處置方法。建議的風險處置措施如下:
(1)避免風險:在某些情況下,可以決定不繼續(xù)進行可能產(chǎn)生風險的活動來回避風險。在某些情況可能是較為穩(wěn)妥的處理辦法,但是在某些情況下可能會因此而喪失機會。
(2)降低風險可能性:在某些情況下,可以決定通過合同、要求、規(guī)范、法律、監(jiān)察、管理、測試、技術(shù)開發(fā)、技術(shù)控制等措施來達到減小風險的目的。
(3)減小風險的后果或影響:在某些情況下,可以決定通過制定實施應變計劃、合同、災難恢復計劃、資產(chǎn)重新布置等手段來減小資產(chǎn)價值本身或風險的后果/影響。這和“降低風險可能性”一起,可以達到減小風險的目的,也成為“風險控制”。
(4)轉(zhuǎn)移風險:這涉及承擔或分擔部分風險的另一方。手段包括合同、保險安排、合伙、資產(chǎn)轉(zhuǎn)移等。
(5)接受風險:不管如何處置,一般資產(chǎn)面臨的風險總是在一定程度上存在。決策者可以在繼續(xù)處置需要的成本和風險之間進行抉擇。在適當?shù)那闆r下,決策者可以選擇接受/承受風險。
7 結(jié)語
在全球產(chǎn)業(yè)升級與兩化融合的大背景下,我國關(guān)鍵工業(yè)基礎設施領(lǐng)域工業(yè)控制系統(tǒng)自動化、數(shù)字化、網(wǎng)絡化程度的不斷提高,工業(yè)控制系統(tǒng)的信息內(nèi)外交互不斷增多,作為工業(yè)基礎設施安全運行的控制核心,工業(yè)控制系統(tǒng)所面臨的信息安全威脅也日益嚴重,迫切需要在此領(lǐng)域開展相關(guān)的信息安全風險評估與管理工作,以應對這一嚴重的挑戰(zhàn)。
參考文獻
[1] ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems - Overview and vocabulary[S].
[2] ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements[S].
[3] ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls[S].
[4] ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance[S].
[5] ISO/IEC 27004:2009 Information technology — Security techniques — Information security management —Measurement[S] .
[6] ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (second edition)[S].
[7] ISO/IEC 27006:2011 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems[S].
[8] ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing[S].
[9] GB/T 20984-2007,信息安全風險評估規(guī)范[S].
[10] GB/T 22239—2008,信息系統(tǒng)安全等級保護基本要求[S].
[11] IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models[S].
[12] IEC62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].
[13] IEC62443-3: 2008 Security for industrial process measurement and control - network and system security[S].
[14] IEC62443-3-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems[S].
[15] 工業(yè)控制系統(tǒng)信息安全第1部分:評估規(guī)范報批稿[S].
作者簡介
胡建鈞(1980-),男,浙江人,碩士,現(xiàn)任西門子(中國)有限公司技術(shù)經(jīng)理,主要研究方向為信息安全。
北京市公安局海淀分局備案號:11010802023656號