今日頭條
官方微信
官方抖音
資訊頻道李俊 孫軍 張慧敏 工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所
1 引言
工業(yè)是國(guó)民經(jīng)濟(jì)的主體,工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)的核心大腦。隨著信息化和工業(yè)化融合的持續(xù)深入,工業(yè)控制系統(tǒng)正從封閉走向開(kāi)放和互聯(lián),呈現(xiàn)出數(shù)字化、網(wǎng)絡(luò)化和智能化等新特征,在不斷提升工業(yè)生產(chǎn)效率的同時(shí),也面臨著嚴(yán)峻的信息安全挑戰(zhàn)。工業(yè)控制系統(tǒng)信息安全已經(jīng)成為護(hù)航經(jīng)濟(jì)發(fā)展、保障社會(huì)穩(wěn)定、維護(hù)國(guó)家安全的基礎(chǔ)和前提。作為世界頭號(hào)工業(yè)強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó),美國(guó)7年前專門(mén)成立了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT),通過(guò)該國(guó)家級(jí)工業(yè)控制系統(tǒng)信息安全保障機(jī)構(gòu)的設(shè)立,逐步形成了完備的工控安全保障工作機(jī)制,有力提升了美國(guó)工控安全保障水平。
2 ICS-CERT成立背景
2.1 啟動(dòng)控制系統(tǒng)安全計(jì)劃
2003年12月17日,美國(guó)政府頒布了第7號(hào)國(guó)土安全總統(tǒng)令(HSPD-7)《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》,要求國(guó)土安全部(DHS)制定保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和重要資源(CIKR)的國(guó)家戰(zhàn)略計(jì)劃,并作為化工、關(guān)鍵制造、水利、國(guó)防工業(yè)基礎(chǔ)、核反應(yīng)堆與材料、應(yīng)急服務(wù)等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)與領(lǐng)域的責(zé)任部門(mén)。認(rèn)識(shí)到工業(yè)控制系統(tǒng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的重要性后,DHS下屬的國(guó)家防護(hù)與計(jì)劃司(NPPD)于2004年5月啟動(dòng)了“控制系統(tǒng)安全計(jì)劃(CSSP)”,旨在通過(guò)指導(dǎo)工業(yè)控制系統(tǒng)管理與運(yùn)營(yíng)部門(mén)和機(jī)構(gòu)加強(qiáng)工業(yè)控制系統(tǒng)信息安全保護(hù),減少國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)。同年8月,DHS在其下屬的美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT)組建了“控制系統(tǒng)安全中心(CSSC)”。通過(guò)合同外包等方式,CSSC依托以愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室(INL)為主的相關(guān)研究機(jī)構(gòu)開(kāi)展了部分工控系統(tǒng)漏洞與事件處理、風(fēng)險(xiǎn)評(píng)估等工作。
2.2 發(fā)布保障控制系統(tǒng)安全戰(zhàn)略,專門(mén)組建ICS-CERT
基于US-CERT框架的CSSC在落實(shí)《控制系統(tǒng)安全保護(hù)計(jì)劃》目標(biāo)與任務(wù)的過(guò)程存在兩方面的重大問(wèn)題。一是專業(yè)能力嚴(yán)重不足。US-CERT的主要職能是“計(jì)算機(jī)應(yīng)急準(zhǔn)備”(computer emergency readiness),其工作重點(diǎn)在于計(jì)算機(jī)安全風(fēng)險(xiǎn)信息的監(jiān)測(cè)通報(bào),在工業(yè)控制系統(tǒng)信息安全保障方面既無(wú)技術(shù)隊(duì)伍、也無(wú)專業(yè)能力,與工控安全相關(guān)的工作均采取外包的方式委托給美國(guó)能源部(DOE)下屬的國(guó)家實(shí)驗(yàn)室。二是資源條件十分匱乏:US-CERT并不具備開(kāi)展工控安全保障工作必須的現(xiàn)場(chǎng)測(cè)試條件、實(shí)驗(yàn)室環(huán)境、專家資源等,因此無(wú)法完成包括工業(yè)控制系統(tǒng)信息安全監(jiān)測(cè)、預(yù)警、處置、恢復(fù)等在內(nèi)的全流程、全方位的網(wǎng)絡(luò)應(yīng)急響應(yīng)(cyber emergency response)任務(wù)。
在充分考慮到上述兩方面問(wèn)題的基礎(chǔ)上,為“切實(shí)解決控制系統(tǒng)安全保護(hù)面臨的具體問(wèn)題”,2009年10月,DHS發(fā)布了《保障控制系統(tǒng)安全戰(zhàn)略》。《戰(zhàn)略》的核心內(nèi)容主要涉及兩項(xiàng)部署:一是建立工業(yè)控制系統(tǒng)聯(lián)合工作組(ICSJWG);二是明確ICS-CERT的職責(zé)范圍。《戰(zhàn)略》明確ICS-CERT的職責(zé)包括:ICS網(wǎng)絡(luò)威脅、脆弱性與惡意軟件分析;ICS安全事件響應(yīng)與分析;與聯(lián)邦、州、地方機(jī)構(gòu)和組織、情報(bào)聯(lián)合會(huì)、私營(yíng)部門(mén)共享ICS相關(guān)安全事件與信息等。《戰(zhàn)略》明確指出ICS的關(guān)注重點(diǎn)是關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)與網(wǎng)絡(luò),ICS-CERT在控制系統(tǒng)安全技術(shù)與響應(yīng)能力建設(shè)方面是對(duì)US-CERT的補(bǔ)充和支持,從而在職責(zé)范圍界定上將US-CERT和ICS-CERT區(qū)分開(kāi)來(lái)。《戰(zhàn)略》為組建ICS-CERT提供了政策依據(jù),2009年11月1號(hào)DHS正式依托INL國(guó)家實(shí)驗(yàn)室單獨(dú)組建ICS-CERT,并在DHS各財(cái)年預(yù)算中列入相關(guān)運(yùn)營(yíng)經(jīng)費(fèi)預(yù)算。
2.3 DHS內(nèi)部機(jī)構(gòu)重組,ICS-CERT正式納入NCCIC
2009年10月30日,DHS建立國(guó)家網(wǎng)絡(luò)安全與通信集成中心(NCCIC)。當(dāng)時(shí)ICS-CERT并未正式成為NCCIC的組成部分,而是作為《保障控制系統(tǒng)安全戰(zhàn)略》的實(shí)施機(jī)構(gòu)落實(shí)相關(guān)要求和部署。隨著《保障控制系統(tǒng)安全戰(zhàn)略》相關(guān)部署的持續(xù)推進(jìn),ICS-CERT在關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)安全態(tài)勢(shì)感知、信息共享、事件響應(yīng)、風(fēng)險(xiǎn)消減及災(zāi)難恢復(fù)等方面發(fā)揮著越來(lái)越重要的作用,2013年,NCCIC進(jìn)行機(jī)構(gòu)重組,正式將ICS-CERT作為與US-CERT并列的四個(gè)組成機(jī)構(gòu)之一。2014年,美國(guó)《國(guó)家網(wǎng)絡(luò)安全保護(hù)法》確立了NCCIC的法律地位,為NCCIC開(kāi)展信息共享、態(tài)勢(shì)感知、風(fēng)險(xiǎn)監(jiān)測(cè)、事件響應(yīng)等提供了法律依據(jù),并明確規(guī)定NCCIC的組成部分包括“NCCIC內(nèi)開(kāi)展網(wǎng)絡(luò)安全和通信活動(dòng)的機(jī)構(gòu)”。由此,作為NCCIC重要組成部分的ICS-CERT也有了法定身份,其職責(zé)定位與相關(guān)工作的開(kāi)展也有了法律依據(jù)。
3 ICS-CERT的主要工作職責(zé)
美國(guó)DHS負(fù)責(zé)工控系統(tǒng)信息安全的部門(mén)組織架構(gòu)如圖1所示。
圖1 DHS負(fù)責(zé)工控系統(tǒng)信息安全的部門(mén)組織架構(gòu)
從公開(kāi)資料來(lái)看,目前ICS-CERT的主要職責(zé)有以下七個(gè)方面:
(1)技術(shù)分析。ICS-CERT在INL國(guó)家實(shí)驗(yàn)室建立了高級(jí)分析實(shí)驗(yàn)室(Advanced Analytical Laboratory,AAL),為ICS-CERT提供了技術(shù)分析能力。ICS-CERT與廠商配合,從檢查、驗(yàn)證和潛在風(fēng)險(xiǎn)分析等方面開(kāi)展漏洞分析工作,并在必要時(shí)協(xié)同廠商在AAL實(shí)驗(yàn)室進(jìn)行研究分析。
(2)事件響應(yīng)。對(duì)影響關(guān)鍵基礎(chǔ)設(shè)施的信息安全事件進(jìn)行響應(yīng)和支持是ICS-CERT的重要職能。一般來(lái)說(shuō),ICS-CERT采用遠(yuǎn)程支持的方式響應(yīng)事件。通過(guò)AAL實(shí)驗(yàn)室對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供的惡意軟件、登陸文件、硬盤(pán)、電子郵件等進(jìn)行分析,評(píng)估事件是否已經(jīng)造成損失、損失的深度和廣度、關(guān)鍵基礎(chǔ)設(shè)施潛在的后果。對(duì)于那些需要現(xiàn)場(chǎng)支持的嚴(yán)重事件,ICS-CERT也會(huì)派出響應(yīng)小組進(jìn)行現(xiàn)場(chǎng)分析。
(3)漏洞通報(bào)。工控系統(tǒng)與產(chǎn)品漏洞及脆弱性的報(bào)告、分析、協(xié)調(diào)和發(fā)布工作是ICS-CERT最主要的工作之一。在收到漏洞報(bào)告后,ICS-CERT將對(duì)上報(bào)的漏洞進(jìn)行初步的分析,并與控制系統(tǒng)設(shè)備廠商建立安全、互信的合作伙伴關(guān)系,共同致力于緩解措施或補(bǔ)丁發(fā)布等解決方案,確保廠商有足夠的時(shí)間讓受影響的用戶在漏洞公布之前有足夠的時(shí)間獲得、測(cè)試并應(yīng)用解決方案。在與廠商協(xié)調(diào)并收集技術(shù)和風(fēng)險(xiǎn)信息后,ICSCERT將會(huì)把漏洞的相關(guān)信息通報(bào)給終端用戶。
(4)實(shí)體協(xié)調(diào)。ICS-CERT建立了工業(yè)控制系統(tǒng)聯(lián)合工作小組(ICSJWG)這一實(shí)體來(lái)加強(qiáng)與工控系統(tǒng)運(yùn)營(yíng)單位及相關(guān)行業(yè)之間的協(xié)調(diào),加速工控系統(tǒng)的安全措施設(shè)計(jì)和部署。每年ICS-CERT會(huì)在春季和秋季召開(kāi)兩次會(huì)議,交流工控系統(tǒng)信息安全的研究與保障工作。
(5)態(tài)勢(shì)感知。ICS-CERT通過(guò)與美國(guó)相關(guān)公司的合作,建立了工控系統(tǒng)態(tài)勢(shì)感知能力,通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)和搜索掌握了接入美國(guó)網(wǎng)絡(luò)的工控系統(tǒng)基本情況,并梳理了其中大量的關(guān)鍵基礎(chǔ)設(shè)施。
(6)檢查評(píng)估。對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)進(jìn)行檢查評(píng)估是ICS-CERT正在逐步強(qiáng)化的一項(xiàng)工作。ICSCERT已經(jīng)自主開(kāi)發(fā)了CSET、DAR和NAVV共3款專門(mén)用于工控系統(tǒng)信息安全檢查評(píng)估的工具,依托這些工具ICSCERT赴企業(yè)現(xiàn)場(chǎng)開(kāi)展檢查評(píng)估工作,發(fā)現(xiàn)了大量安全問(wèn)題,及時(shí)消減了美國(guó)關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)的安全隱患。
(7)信息安全培訓(xùn)。ICS-CERT提供初、中、高三個(gè)級(jí)別的工控安全免費(fèi)培訓(xùn),幫助關(guān)鍵基礎(chǔ)設(shè)施行業(yè)和控制系統(tǒng)運(yùn)營(yíng)單位更好地理解工控系統(tǒng)的安全風(fēng)險(xiǎn)。每年有數(shù)千人參加ICS-CERT培訓(xùn),該培訓(xùn)會(huì)定期公開(kāi)課程表,需要申請(qǐng)和審核,高級(jí)課程一般不允許外國(guó)人參加。
4 啟示和建議
美國(guó)通過(guò)ICS-CERT這一綜合性、專業(yè)化的國(guó)家級(jí)工業(yè)控制系統(tǒng)信息安全保障機(jī)構(gòu),開(kāi)展了大量工控安全保障工作,進(jìn)一步確保了美國(guó)在工控安全研究方面的世界領(lǐng)先地位。我國(guó)工控安全保障工作起步較晚,與發(fā)達(dá)國(guó)家相比在保障能力方面仍存在較大差距,應(yīng)充分借鑒美國(guó)等發(fā)達(dá)國(guó)家的有關(guān)做法,建設(shè)綜合性、專業(yè)化的國(guó)家級(jí)工控安全保障機(jī)構(gòu)。2016年5月13日,國(guó)務(wù)院發(fā)布了《關(guān)于深化制造業(yè)和互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔2016〕28號(hào)),明確提出“提升工業(yè)信息系統(tǒng)安全水平。……依托現(xiàn)有科研機(jī)構(gòu),建設(shè)國(guó)家工業(yè)信息安全保障中心”。我們要認(rèn)真貫徹落實(shí)28號(hào)文件精神,加快推動(dòng)國(guó)家工業(yè)信息安全保障中心的成立和掛牌運(yùn)行,盡早形成完善的工控安全保障工作機(jī)制,為我國(guó)重要工控系統(tǒng)安全運(yùn)行保駕護(hù)航。
作者簡(jiǎn)介
李俊(1986-),工學(xué)博士,現(xiàn)為工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所工控安全實(shí)驗(yàn)室負(fù)責(zé)人,主要研究方向?yàn)楣I(yè)信息安全感知、評(píng)估與防護(hù)保障技術(shù)。
摘自《工業(yè)控制系統(tǒng)信息安全》專刊第三輯
北京市公安局海淀分局備案號(hào):11010802023656號(hào)