烽臺科技 魏欽志
內容概述:隨著新漏洞的不斷出現或攻擊手段的提高,現有設備及系統的安全防護能力將無法抵御新的攻擊手段,因此工業用戶需要進行現場測評和周期性評估,以適應變化的安全環境,通過評估結果呈現的風險趨勢,并根據定制KPI安全指標綜合分析風險,幫助工業用戶識別、控制、降低或消除安全風險。本文基于持續“PDCA”的工控安全運維管理是依據國家相關標準、規范和指南要求,面向企業用戶、針對工控網絡與系統,簡要介紹所開展的全生命周期安全運維管理。通過循序漸進的評價和改進,統計隱患和潛在的工控安全隱患的實時趨勢,持續提供風險分析報告及安全整改建議,幫助企業發現漏洞,降低工業企業網絡與信息安全風險。
關鍵詞:工控安全運維;PDCA;測試評估服務;工控安全風險
1 工控系統應用與安全風險的博弈
工業控制系統面臨的風險,除了產品本身存在的出廠缺陷、軟件更新速度慢、防護策略缺失等因素外,核心要素還是因為聯網而引發的不確定性。但是技術發展的趨勢是不可逆的,在面臨新技術、新應用、新模式沖擊的同時,也接受著信息化、網絡化、智能化所帶給我們的便利,以及因開放、共享帶來的安全問題。因此,工控網絡與信息系統作為網絡安全中的關鍵信息基礎設施,信息管理人員必須做好防護工作,以保障“兩化融合”發展過程的快速、持續和穩定。
1.1 兩化融合、智能制造的大趨勢
兩化融合的提出背景是人類社會經過多年發展,進入了信息文明階段。人類社會文明走過了三個階段,并與之相對應產生了三種文明形態。
第一是農業階段,大家從一萬多年前形成了農業文明;第二從十七世紀末開始進入了工業文明,與之相對應形成了工業文化。那么從20世紀50年代開始經過第三次浪潮的描述,也就是說世界進入了信息化階段。在農業階段解決了人類的生存問題,在工業階段解決了機器代替手工,快速提高人類生活品質的問題。在信息化階段,通過信息通信技術實現了社會與經濟的融合,將信息化貫穿了人類生活的方方面面。
工業化正經歷世界經濟的第三次革命,隨著科學與技術革命的發展,其內涵也在不斷的發生變化。工業化經歷了三次的工業革命的劇變,第一次工業革命以1775年,蒸汽機發明為代表的大機器生產取代手工業生產,極大提高了生產力。第二次工業革命,自然科學開始同技術生產緊密結合起來,在提高生產力發展方面發揮更為重要的作用。第三次工業革命,是自動化技術快速發展提高了生產力,帶來了全新的研發設計、生產制造和經營管理過程。在第三次工業革命有這樣一些代表性的事件,1952年第一臺數控機床的出現,1971年微處理芯片的發明,80年代初計算機輔助設計的技術在產品設計中的應用。那么第三次工業革命在不同的時期又可以分為數字化、網絡化、智能化階段。
1.2 信息產業發展與安全行業監管的兩難境地
傳統信息安全與工業控制信息安全區別之一是對業務的整合能力。傳統信息安全在不同用戶之間所面臨的系統非常類似,而工控系統在不同用戶、不同行業的應用方法存在很大差異,信息安全管理人員需要從企業生產和業務流程的視角,理解風險與安全。
作為工業領域的信息化決策者,首先要保證的一定是生產運行的實時性、持續性和穩定性,也就是信息和網絡系統的功能性和可用性。信息化決策是由企業最高決策層負責的,俗稱信息化工程皆為“一把手”工程,從決策主體的角度,保障了信息化和企業經營發展的高度一致。
雖然這些信息化、智能化技術提高了生產力并降低了成本,但它們使關鍵任務系統暴露在新的風險中,例如工業關鍵業務系統突然停機、上位機誤操作和竊取敏感信息等,這些風險直接威脅到工業用戶的業務增長和連續性。無論是短暫還是長時間的停機,在工業制造的操作環境中是至關重要的,并且直接影響公司的收入流,造成不可估量的損失。例如,在汽車行業業務的停機時間成本高達130萬美元每小時。一旦攻擊者進入連續生產的制造業工控網絡,宕機的風險就會增加。惡意攻擊者或可能的競爭對手可以關閉生產線,甚至破壞昂貴的機器,造成重大損失。
可當信息化系統遇到安全問題的時候,最高負責人普遍無法直接做出決策。一方面改善安全狀況需要復雜的應對策略,而安全策略幾乎沒有固定的理論模型,只有依靠官方標準、行業經驗和政策指南等推導出的試探性的方法。另一方面,安全建設并不會直接產生生產效益,這就要求安全防護解決方案要具備有效性和及時性。
根據調查,在大多數工業企業,對于工業網絡中安全的決策者通常為CISO(首席信息安全官)或CSO(首席安全官),他們負責整個企業,包括傳統IT/企業網絡/業務網絡和工業制造/生產/ SCADA網絡的安全。盡管CISO/CSO是決策者,但真正工業網絡的完善防護解決方案,還是需要了解工業控制或智能制造核心技術和業務流程的工作人員。因此,既保證信息化系統的正常運維,又要不損害系統可用性的無擾式管理和維護方法至關重要,這對工業企業來說幾乎是極其困難的。因此,如何讓企業信息化的各級參與者,都能夠投入到信息安全的管理決策,是解決工業企業信息安全規則設計和管理運維的有效方法。
圖1 分級需求管理
1.3 態勢分析與預警的必要性
隨著信息和網絡技術的深入應用,決策者開始由發生了什么、為什么發生,過渡到將要發生什么、如何規避風險。現有的傳統IT信息安全解決方案都不適合工業網絡。傳統IT信息安全解決方案通常是為某些特定入侵行為或活動而設計的防御集合,它可能會為工業現場的流程化生產,增加不必要的管理風險,從而危及工業業務本身的連續性。此外,這些解決方案無法覆蓋復雜而又缺少公開資料的工業協議,因此無法在工業網絡中最大限度地發揮它們的潛力。
對于工控安全的管理,除了需要引入“白名單”管理思想,還需要配合一定的態勢感知預警平臺,從而為各級決策部門提供主動風險監測、被動威脅發現、威脅情報收集與整合、威脅分析溯源等全方位、一體化態勢感知服務。同時這些服務可以幫助控制工程師和工廠信息化系統管理者保持警覺,匹配預警等級,提前知曉風險,防范事故。
圖2 決策進化的三個階段
1.4 監管與保障的思考
網絡信息安全問題不僅關乎廣大人民群眾工作生活,更與國家安全與國家發展息息相關。近些年,根據互聯網安全事件事項涉及的領域,國家中央網絡安全和信息化領導小組(以下簡稱“網信辦”)、工業和信息化部、公安部等多家主要政府機構協同擔負著互聯網安全管理職能。
網信辦著眼于國家安全和長遠發展,統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網絡安全和信息化重大問題,研究制定網絡安全和信息化發展戰略、宏觀規劃和重大政策,推動國家網絡安全和信息化法治建設,不斷增強安全保障能力。
工信部承擔著通信網絡安全及其信息安全管理的責任,主要從宏觀層面負責協調、維護國家層面信息安全,承擔國家信息安全保障體系的建設,對政府部門、重點行業重要信息系統與基礎信息網絡的安全保障工作進行指導監督,同時負責協調網絡與信息安全重大事件的處理。
公安部承擔著對計算機信息系統安全保護工作進行監督、檢查、指導;對計算機信息系統安全進行評估與審驗;對計算機違法犯罪案件依法查處等多項職責。
而針對工控安全的監管責任還不夠清晰,存在著“九龍治水”的現象,規模化工業企業往往面臨著基礎設施安全、等保測評和定期檢查評估等同時監管的壓力。ARC的一份市場調研顯示,工業企業的首要需求是如何提升生產效率、提高生產利潤,甚至很多工業企業才剛剛解決自動化和網絡化的技術更新,在信息化方面還處于探索階段。目前我國的工控安全領域發展與歐美發達國家相比尚有一定差距,但我國的市場有其特殊性和不可替代性,若有政府或相關機構組織站出來對行業適當保障和引導,避免無序發展,最終以行業應用推動市場發展,將催生更加龐大完善的市場。
如果政府過度參與,強制企業采取全方位的防護,成本會提到很高,對企業產生較大負擔。工信部發布的《工業控制系統信息安全防護指南》值得參考,它指出工業企業還是首先進行風險評估,根據資產的重要程度、安全問題出現的概率、影響程度來采取適當措施加以防護比較權宜。我們建議:
加強安全意識;
普及安全知識;
持續關注風險;
逐步推進防護;
推廣應用示范。
2 “PDCA”管理與對標服務體系
為使工業企業管理人員對關鍵信息基礎設施樹立和保持安全意識,在適當的時間采取適當的措施,以及在長期的網絡安全態勢中發現最新風險,需要一種持續的全生命周期管理方法來管理工控網絡和工控系統,進而循序漸進地改進防護方案。我們引入了“PDCA”方法和“對標”思想來解決以上問題,結合主動監測、可視化交互、被動威脅感知等技術,讓用戶能夠方便進行風險管理,在紛繁復雜的防護解決方案中做出經濟、適合、實用的決策。
2.1 “PDCA”循序漸進體系
PDCA管理循環,由美國質量管理專家戴明提出,又稱戴明環。它是全面質量管理所應遵循的科學程序。PDCA循環作為全面質量管理體系運轉的基本方法,其實施需要搜集大量數據資料,并綜合運用各種管理技術和方法。全面質量管理活動的全部過程,就是質量計劃的制訂和組織實現的過程,這個過程就是按照PDCA循環,不停頓地周而復始地運轉。
P(計劃 PLAN):從問題的定義到行動計劃;
D(實施 DO):實施行動計劃;
C(檢查 CHECK):評估結果;
A(處理 ACTION):標準化和進一步推廣。
圖3 PDCA的發展過程
(1)特點
PDCA循環,可以使我們的思想方法和工作步驟更加條理化、系統化、圖像化和科學化。它具有如下特點:
大環套小環,小環保大環,互相促進,推動大循環;
PDCA循環是爬樓梯上升式的循環,每轉動一周,質量就提高一步;
PDCA循環是綜合性循環,4個階段是相對的,它們之間不是截然分開的。
(2)八個步驟
步驟一:分析現狀,找出題目:強調的是對現狀的把握和發現題目的意識、能力,發掘題目是解決題目的第一步,是分析題目的條件。
步驟二:分析產生題目的原因:找準題目后分析產生題目的原因至關重要,運用頭腦風暴法等多種集思廣益的科學方法,把導致題目產生的所有原因統統找出來。
步驟三:要因確認:區分主因和次因是最有效解決題目的關鍵。
步驟四:擬定措施、制定計劃(5W1H)即:為什么制定該措施(Why)?達到什么目標(What)?在何處執行(Where)?由誰負責完成(Who)?什么時間完成(when)?如何完成(How)?措施和計劃是執行力的基礎,盡可能使其具有可操性。
步驟五:執行措施、執行計劃:高效的執行力是組織完成目標的重要一環。
步驟六:檢查驗證、評估效果:“下屬只做你檢查的工作,不做你希望的工作”IBM的前CEO郭士納的這句話將檢查驗證、評估效果的重要性一語道破。
步驟七:標準化,固定成績:標準化是維持企業治理現狀不下滑,積累、沉淀經驗的最好方法,也是企業治理水平不斷提升的基礎。可以這樣說,標準化是企業治理系統的動力,沒有標準化,企業就不會進步,甚至下滑。
步驟八:處理遺留題目。所有題目不可能在一個PDCA循環中全部解決,遺留的題目會自動轉進下一個PDCA循環,如此,周而復始,螺旋上升。
2.2 標準與規范的選擇
2.2.1 工業控制系統安全控制應用指南GB/T32919-2016
安全(security)及其相關概念間的關系。其中的控制是指:應用于工業控制系統中管理、運行和技術上的保護措施和對策,以保護工業控制系統及其信息的保密性、完整性和可用性等。應用這些控制的目的是,減少脆弱性或影響,抵御工業控制系統所面臨的安全威脅,從而緩解工業控制系統的安全風險,以滿足利益相關者的安全需要。
圖4 安全(SECURITY)及其相關概念
工業控制系統安全是一項系統工程,單一的產品和技術不能有效地保護工業控制系統安全,組織應在充分挖掘工業控制系統安全需求的基礎上,制定滿足組織使命和業務功能需求的工業控制系統安全戰略。
圖5 安全控制基線完善過程
針對工業控制系統存在的脆弱性,分析工業控制系統面臨的威脅和風險,評估風險發生的可能性以及風險發生可能造成的影響和危害,制定風險處置原則和處置計劃,將工業控制系統安全風險控制在可接受的水平。
圖6 工業控制系統的安全控制的三個級別
2.2.2 工業控制系統信息安全防護指南
2016年10月17日《工業控制系統信息安全防護指南》正式印發,為工業企業如何開展工業控制系統信息安全工作提供了可操作性的防護措施,并可進一步提升相關人員的工業控制系統信息安全防護意識,推進產業的整體良性發展,切實提升國家關鍵信息基礎設施控制系統的安全防護水平。
自從2011年9月《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)文件發布之后,國內各行各業對工業控制系統信息安全的認識都達到了一個新的高度,電力、石化、制造、煙草等多個行業,陸續制定了相應的指導性文件,來指導相應行業安全檢查與整改活動。451號文填補了國內工業控制系統信息安全的政策空白,由此拉開了行業發展的帷幕。
然而,隨著國家信息安全機構職能的調整,工控安全管理工作在后續一段時間基本處于暫停狀態。直到中編辦對工信部在2015年9月16日發布的新“三定”職責中明確:“擬定工業控制系統網絡與信息安全規劃、政策、標準并組織實施,加強工業控制系統網絡安全審查”,工控安全相關工作正式納入工信部的職責范圍之后,工信部以信息化和軟件服務司為主管司局,開始加快工控安全的保障工作。今年5月20日,《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號)文件明確提出:“以提升工業信息安全監測、評估、驗證和應急處置等能力為重點,依托現有科研機構,建設國家工業信息安全保障中心,為制造業與互聯網融合發展提供安全支撐。”《指南》共分為11個大項30個條目,涵蓋了安全技術體系和安全管理體系。
2.3 “對標”方法
2.3.1 分值評估法
依據《工業控制系統信息安全防護指南》以及本方法中的評估內容及方法,明確了具體的評分方式,評價企業工業控制系統信息安全的防護能力的情況,并給出量化的評分標準。本評分標準從11個方面設置了30個大項,61個小項,129個評分細項。
(1)評分方法。評估標準滿分為100分,評分采用扣分制,評分細項的分值作為評分的最小單元。
(2)高風險項。高風險項共25小項,其分值相對較高。高風險項是企業工控安全防護中基礎和關鍵的項,其不滿足要求可能造成較大信息安全風險,建議限期整改。
(3)基于證據的方法。為了保證評估結果的公正和客觀,評分的判斷須有充分的證據,證據包括負責人談話、制度文件、運行記錄、核查結果和測試報告等。
圖7 信息的跨平臺交互與共享
2.3.2 與業務系統的對應融合
在考慮“對標”打分項設計時,針對不同決策層級、復雜異構網絡等問題,在考慮工控安全需求時,我們需要有針對性的解決方案。根據企業信息化普遍存在的“由上至下”的決策流程和“自下至上”的數據采集流程特點,我們需要將工控安全整體進行細致化的拆分,再結合具體企業的自身特點,根據各環節對生產運行影響的危害程度,精準設計可實踐、可執行的信息安全決策過程。
作者簡介:
魏欽志,烽臺科技(北京)有限公司聯合發起人、董事長,燈塔實驗室執行合伙人。工業控制系統信息安全產業聯盟副秘書長,計算機病毒防御技術國家工程實驗室技術委員會委員,中國化工學會青年委員。在智能制造、工業控制信息化和自動化行業有十余年工作經驗,六年工控安全經驗。參與并主導過工業信息安全產品設計,被發改委納入信息安全專項資金的支持計劃。帶領團隊參與和推動國內主要工控安全標準制訂與應用,面向行業用戶提供評估及保障服務。
摘自《自動化博覽》2017年9月刊