今日頭條
官方微信
官方抖音
資訊頻道李俊 孫軍 張慧敏 工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所
1 引言
工業(yè)是國民經(jīng)濟的主體,工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)的核心大腦。隨著信息化和工業(yè)化融合的持續(xù)深入,工業(yè)控制系統(tǒng)正從封閉走向開放和互聯(lián),呈現(xiàn)出數(shù)字化、網(wǎng)絡(luò)化和智能化等新特征,在不斷提升工業(yè)生產(chǎn)效率的同時,也面臨著嚴(yán)峻的信息安全挑戰(zhàn)。工業(yè)控制系統(tǒng)信息安全已經(jīng)成為護航經(jīng)濟發(fā)展、保障社會穩(wěn)定、維護國家安全的基礎(chǔ)和前提。作為世界頭號工業(yè)強國和網(wǎng)絡(luò)強國,美國7年前專門成立了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT),通過該國家級工業(yè)控制系統(tǒng)信息安全保障機構(gòu)的設(shè)立,逐步形成了完備的工控安全保障工作機制,有力提升了美國工控安全保障水平。
2 ICS-CERT成立背景
2.1 啟動控制系統(tǒng)安全計劃
2003年12月17日,美國政府頒布了第7號國土安全總統(tǒng)令(HSPD-7)《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識、優(yōu)先級和保護》,要求國土安全部(DHS)制定保護關(guān)鍵基礎(chǔ)設(shè)施和重要資源(CIKR)的國家戰(zhàn)略計劃,并作為化工、關(guān)鍵制造、水利、國防工業(yè)基礎(chǔ)、核反應(yīng)堆與材料、應(yīng)急服務(wù)等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)與領(lǐng)域的責(zé)任部門。認(rèn)識到工業(yè)控制系統(tǒng)對關(guān)鍵基礎(chǔ)設(shè)施的重要性后,DHS下屬的國家防護與計劃司(NPPD)于2004年5月啟動了“控制系統(tǒng)安全計劃(CSSP)”,旨在通過指導(dǎo)工業(yè)控制系統(tǒng)管理與運營部門和機構(gòu)加強工業(yè)控制系統(tǒng)信息安全保護,減少國家關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險。同年8月,DHS在其下屬的美國計算機應(yīng)急準(zhǔn)備小組(US-CERT)組建了“控制系統(tǒng)安全中心(CSSC)”。通過合同外包等方式,CSSC依托以愛達荷國家實驗室(INL)為主的相關(guān)研究機構(gòu)開展了部分工控系統(tǒng)漏洞與事件處理、風(fēng)險評估等工作。
2.2 發(fā)布保障控制系統(tǒng)安全戰(zhàn)略,專門組建ICS-CERT
基于US-CERT框架的CSSC在落實《控制系統(tǒng)安全保護計劃》目標(biāo)與任務(wù)的過程存在兩方面的重大問題。一是專業(yè)能力嚴(yán)重不足。US-CERT的主要職能是“計算機應(yīng)急準(zhǔn)備”(computer emergency readiness),其工作重點在于計算機安全風(fēng)險信息的監(jiān)測通報,在工業(yè)控制系統(tǒng)信息安全保障方面既無技術(shù)隊伍、也無專業(yè)能力,與工控安全相關(guān)的工作均采取外包的方式委托給美國能源部(DOE)下屬的國家實驗室。二是資源條件十分匱乏:US-CERT并不具備開展工控安全保障工作必須的現(xiàn)場測試條件、實驗室環(huán)境、專家資源等,因此無法完成包括工業(yè)控制系統(tǒng)信息安全監(jiān)測、預(yù)警、處置、恢復(fù)等在內(nèi)的全流程、全方位的網(wǎng)絡(luò)應(yīng)急響應(yīng)(cyber emergency response)任務(wù)。
在充分考慮到上述兩方面問題的基礎(chǔ)上,為“切實解決控制系統(tǒng)安全保護面臨的具體問題”,2009年10月,DHS發(fā)布了《保障控制系統(tǒng)安全戰(zhàn)略》。《戰(zhàn)略》的核心內(nèi)容主要涉及兩項部署:一是建立工業(yè)控制系統(tǒng)聯(lián)合工作組(ICSJWG);二是明確ICS-CERT的職責(zé)范圍。《戰(zhàn)略》明確ICS-CERT的職責(zé)包括:ICS網(wǎng)絡(luò)威脅、脆弱性與惡意軟件分析;ICS安全事件響應(yīng)與分析;與聯(lián)邦、州、地方機構(gòu)和組織、情報聯(lián)合會、私營部門共享ICS相關(guān)安全事件與信息等。《戰(zhàn)略》明確指出ICS的關(guān)注重點是關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)與網(wǎng)絡(luò),ICS-CERT在控制系統(tǒng)安全技術(shù)與響應(yīng)能力建設(shè)方面是對US-CERT的補充和支持,從而在職責(zé)范圍界定上將US-CERT和ICS-CERT區(qū)分開來。《戰(zhàn)略》為組建ICS-CERT提供了政策依據(jù),2009年11月1號DHS正式依托INL國家實驗室單獨組建ICS-CERT,并在DHS各財年預(yù)算中列入相關(guān)運營經(jīng)費預(yù)算。
2.3 DHS內(nèi)部機構(gòu)重組,ICS-CERT正式納入NCCIC
2009年10月30日,DHS建立國家網(wǎng)絡(luò)安全與通信集成中心(NCCIC)。當(dāng)時ICS-CERT并未正式成為NCCIC的組成部分,而是作為《保障控制系統(tǒng)安全戰(zhàn)略》的實施機構(gòu)落實相關(guān)要求和部署。隨著《保障控制系統(tǒng)安全戰(zhàn)略》相關(guān)部署的持續(xù)推進,ICS-CERT在關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)安全態(tài)勢感知、信息共享、事件響應(yīng)、風(fēng)險消減及災(zāi)難恢復(fù)等方面發(fā)揮著越來越重要的作用,2013年,NCCIC進行機構(gòu)重組,正式將ICS-CERT作為與US-CERT并列的四個組成機構(gòu)之一。2014年,美國《國家網(wǎng)絡(luò)安全保護法》確立了NCCIC的法律地位,為NCCIC開展信息共享、態(tài)勢感知、風(fēng)險監(jiān)測、事件響應(yīng)等提供了法律依據(jù),并明確規(guī)定NCCIC的組成部分包括“NCCIC內(nèi)開展網(wǎng)絡(luò)安全和通信活動的機構(gòu)”。由此,作為NCCIC重要組成部分的ICS-CERT也有了法定身份,其職責(zé)定位與相關(guān)工作的開展也有了法律依據(jù)。
3 ICS-CERT的主要工作職責(zé)
美國DHS負(fù)責(zé)工控系統(tǒng)信息安全的部門組織架構(gòu)如圖1所示。
圖1 DHS負(fù)責(zé)工控系統(tǒng)信息安全的部門組織架構(gòu)
從公開資料來看,目前ICS-CERT的主要職責(zé)有以下七個方面:
(1)技術(shù)分析。ICS-CERT在INL國家實驗室建立了高級分析實驗室(Advanced Analytical Laboratory,AAL),為ICS-CERT提供了技術(shù)分析能力。ICS-CERT與廠商配合,從檢查、驗證和潛在風(fēng)險分析等方面開展漏洞分析工作,并在必要時協(xié)同廠商在AAL實驗室進行研究分析。
(2)事件響應(yīng)。對影響關(guān)鍵基礎(chǔ)設(shè)施的信息安全事件進行響應(yīng)和支持是ICS-CERT的重要職能。一般來說,ICS-CERT采用遠程支持的方式響應(yīng)事件。通過AAL實驗室對關(guān)鍵基礎(chǔ)設(shè)施運營者提供的惡意軟件、登陸文件、硬盤、電子郵件等進行分析,評估事件是否已經(jīng)造成損失、損失的深度和廣度、關(guān)鍵基礎(chǔ)設(shè)施潛在的后果。對于那些需要現(xiàn)場支持的嚴(yán)重事件,ICS-CERT也會派出響應(yīng)小組進行現(xiàn)場分析。
(3)漏洞通報。工控系統(tǒng)與產(chǎn)品漏洞及脆弱性的報告、分析、協(xié)調(diào)和發(fā)布工作是ICS-CERT最主要的工作之一。在收到漏洞報告后,ICS-CERT將對上報的漏洞進行初步的分析,并與控制系統(tǒng)設(shè)備廠商建立安全、互信的合作伙伴關(guān)系,共同致力于緩解措施或補丁發(fā)布等解決方案,確保廠商有足夠的時間讓受影響的用戶在漏洞公布之前有足夠的時間獲得、測試并應(yīng)用解決方案。在與廠商協(xié)調(diào)并收集技術(shù)和風(fēng)險信息后,ICSCERT將會把漏洞的相關(guān)信息通報給終端用戶。
(4)實體協(xié)調(diào)。ICS-CERT建立了工業(yè)控制系統(tǒng)聯(lián)合工作小組(ICSJWG)這一實體來加強與工控系統(tǒng)運營單位及相關(guān)行業(yè)之間的協(xié)調(diào),加速工控系統(tǒng)的安全措施設(shè)計和部署。每年ICS-CERT會在春季和秋季召開兩次會議,交流工控系統(tǒng)信息安全的研究與保障工作。
(5)態(tài)勢感知。ICS-CERT通過與美國相關(guān)公司的合作,建立了工控系統(tǒng)態(tài)勢感知能力,通過對互聯(lián)網(wǎng)的監(jiān)測和搜索掌握了接入美國網(wǎng)絡(luò)的工控系統(tǒng)基本情況,并梳理了其中大量的關(guān)鍵基礎(chǔ)設(shè)施。
(6)檢查評估。對美國關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)進行檢查評估是ICS-CERT正在逐步強化的一項工作。ICSCERT已經(jīng)自主開發(fā)了CSET、DAR和NAVV共3款專門用于工控系統(tǒng)信息安全檢查評估的工具,依托這些工具ICSCERT赴企業(yè)現(xiàn)場開展檢查評估工作,發(fā)現(xiàn)了大量安全問題,及時消減了美國關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)的安全隱患。
(7)信息安全培訓(xùn)。ICS-CERT提供初、中、高三個級別的工控安全免費培訓(xùn),幫助關(guān)鍵基礎(chǔ)設(shè)施行業(yè)和控制系統(tǒng)運營單位更好地理解工控系統(tǒng)的安全風(fēng)險。每年有數(shù)千人參加ICS-CERT培訓(xùn),該培訓(xùn)會定期公開課程表,需要申請和審核,高級課程一般不允許外國人參加。
4 啟示和建議
美國通過ICS-CERT這一綜合性、專業(yè)化的國家級工業(yè)控制系統(tǒng)信息安全保障機構(gòu),開展了大量工控安全保障工作,進一步確保了美國在工控安全研究方面的世界領(lǐng)先地位。我國工控安全保障工作起步較晚,與發(fā)達國家相比在保障能力方面仍存在較大差距,應(yīng)充分借鑒美國等發(fā)達國家的有關(guān)做法,建設(shè)綜合性、專業(yè)化的國家級工控安全保障機構(gòu)。2016年5月13日,國務(wù)院發(fā)布了《關(guān)于深化制造業(yè)和互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國發(fā)〔2016〕28號),明確提出“提升工業(yè)信息系統(tǒng)安全水平。……依托現(xiàn)有科研機構(gòu),建設(shè)國家工業(yè)信息安全保障中心”。我們要認(rèn)真貫徹落實28號文件精神,加快推動國家工業(yè)信息安全保障中心的成立和掛牌運行,盡早形成完善的工控安全保障工作機制,為我國重要工控系統(tǒng)安全運行保駕護航。
作者簡介
李俊(1986-),工學(xué)博士,現(xiàn)為工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所工控安全實驗室負(fù)責(zé)人,主要研究方向為工業(yè)信息安全感知、評估與防護保障技術(shù)。
摘自《工業(yè)控制系統(tǒng)信息安全》專刊第三輯
北京市公安局海淀分局備案號:11010802023656號