今日頭條
官方微信
官方抖音
資訊頻道工業發展史上經歷了三次大的變革,目前正在向“工業4.0”演進。第一次工業革命發生在1784年,以蒸汽機驅動為代表,第二次工業革命則以1870年的流水線和電力驅動為代表,第三次工業革命從19世紀70年代開始,出現了以PLC為代表的電氣和信息技術驅動的自動化生產。 “工業4.0”概念即是以智能制造為主導的第四次工業革命,或革命性的生產方法。該戰略旨在通過充分利用信息通訊技術和網絡空間虛擬系統—信息物理系統(Cyber-Physical System)相結合的手段,將制造業向智能化轉型。“工業4.0”概念包含了由集中式控制向分散式增強型控制的基本模式轉變,將建立一個高度靈活的個性化和數字化的產品與服務的生產模式。
這一趨勢為工業自動化生產帶來了全面的技術進步、生產力提高、成本降低與競爭實力的增強。但凡事有利必有弊,IT技術的開放、互聯的特點,同時也為各種網絡攻擊提供了滋生的土壤,導致各種潛在的安全威脅日益增長。近年來,隨著經濟全球化的深入推進,國際競爭越來越激烈,工業控制系統作為能源、制造、軍工等關系到國計民生關鍵基礎設施,面臨著以網絡空間戰為代表的高風險運行環境。據統計,過去一年,國家信息安全漏洞共享平臺收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍。
在“工業4.0”的大趨勢下,工業控制系統與網絡與IT的結合更加緊密,面臨的安全威脅和風險日益突出。然而當前的工業控制系統信息安全工作還處于起步階段,有必要加強信息安全風險評估,對識別出來的安全風險進行有效的處置和管理。
1 工業信息安全威脅與需求
近年來,IT技術在工業控制系統中得到了廣泛的應用。包括工業控制系統的核心——過程控制系統PCS(Process Control System)、數據采集與監視控制系統SCADA(Supervisory Control And Data Acquisition)、分布式控制系統DCS(Distributed Control System)在內的各工業控制系統逐漸從封閉、孤立的系統走向互聯(包括與IT辦公系統互聯),日益廣泛地采用各種IT技術。同時,以可編程邏輯控制器PLC(Programmable Logic Controller)為代表的現場控制設備也日益變得開放和標準化。現代工業控制網絡的發展呈現出一系列值得關注的趨勢。
2010年,第一個以SCADA為攻擊目標的 Stuxnet病毒出現,成功侵襲了伊朗納坦茲核設施,令不少離心機癱瘓。由此可見,針對工業控制系統的攻擊行為,已經對國家經濟和社會發展產生深遠的影響。事實上,不僅是“震網(Stuxnet)”病毒,近年來相繼涌現出的著名惡意軟件如“毒區(Duqu)”、“火焰(Flame)”等,也將攻擊重心向石油、電力等國家命脈行業領域傾斜,工業控制系統面臨的安全形勢越來越嚴峻。
當前通用開發標準與互聯網技術的廣泛使用,使得針對ICS 系統的攻擊行為出現大幅度增長,ICS 系統對于信息安全管理的需求變得更加迫切。安全漏洞的涌現,無疑為工業控制系統增加了風險,進而影響正常的生產秩序,甚至會危及人員健康和公共財產安全。從整個架構上看,工業控制系統是由服務器、終端、前端的實時操作系統等共同構成的網絡體系,同樣涉及物理層、網絡層、主機層、應用層等傳統信息安全問題。在整個工業控制系統中,大多數工控軟件都是運行在通用操作系統上,例如操作員站一般都是采用Linux或Windows平臺,由于考慮到系統運行的穩定性,一般系統運行后不會對Linux或Windows平臺打補丁;另外,大多工業控制網絡都屬于專用內部網絡,不與互聯網相連,即使安裝反病毒軟件,也不能及時地更新病毒數據庫。此外,工業控制系統的安全管理一直是個薄弱環節,例如操作維護人員的安全意識,安全技能有待提高。在信息安全配置方面,弱口令,開放的危險端口與服務等現象較為突出,嚴重降低了工業控制系統的安全水平。
因此必須開展定期的信息安全風險評估,標識關鍵資產與保護對象,識別安全威脅與脆弱性,進而計算相關安全風險,并對安全風險進行有效的處置,逐步提升工業控制系統與網絡的信息安全整體水平。
2 風險評估主體思路和框架
通過對國際標準、國家政策以及行業中對于風險評估的理解、分析和總結,我們認為在風險評估的整個過程中,主要包含三個要素,這三個要素之間相互作用和影響,他們之間的關系如圖1所示。
圖1 風險評估三要素關系圖
風險分析中要涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性,資產的屬性是資產價值;威脅的屬性是威脅出現的頻率;脆弱性的屬性是資產弱點的嚴重程度。風險分析主要內容為:
(1)對資產進行識別,并對資產的重要性進行賦值;
(2)對威脅進行識別,描述威脅的屬性,并對威脅出現的頻率賦值;
(3)對資產的脆弱性進行識別,并對具體資產的脆弱性的嚴重程度賦值;
(4)根據威脅和脆弱性的識別結果判斷安全事件發生的可能性;
(5)根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失;
(6)根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對組織的影響,即風險值。
3 ISO27001評估方法
ISO27001是國際標準化組織(ISO)于2005年10月頒布的一個針對信息安全管理體系的國際標準,作為信息安全管理方面最著名的國際標準,ISO27001正迅速被全球所接受。依據ISO27001標準進行信息安全管理體系建設,是當前各行業組織在推動信息安全保護方面最普遍的思路和決策。 ISO27001以安全控制點/控制措施為主,強調以風險控制點的方式來達到信息安全管理的目的,其共涵蓋了11個安全領域(如表1所示),39個安全控制點,133個安全控制措施。
表1 ISO27001涵蓋的 11個安全領域
西門子的ISO27001差距分析是以ISO27001標準(包括ISO 27002)為標桿,評估ISO27001所要求的11個安全領域的133個基本安全控制在企業信息系統中的實施配置情況,涉及到信息系統安全技術和安全管理上的各項安全控制措施,進而全面得出:
(1)企業是否已經通過實施及運作控制措施,有效管理企業面臨的信息安全風險;
(2)為明確企業信息安全需求和建立信息安全目標提供客觀依據;
(3)企業安全管理與技術現狀與標準要求之間的差距,并給出詳細的差距分析說明。
4 信息安全等級保護評測
信息系統根據其在國家安全、經濟建設、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其它組織的合法權益的危害程度等,由低到高劃分為五級。不同安全保護等級的信息系統應具有不同的安全保護能力。
基本安全要求是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求,根據實現方式的不同,基本安全要求分為基本技術要求和基本管理要求兩大類。技術類安全要求與信息系統提供的技術安全機制有關,主要通過在信息系統中部署軟硬件并正確地配置其安全功能來實現;管理類安全要求與信息系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面做出規定來實現。
西門子根據國家標準GB/T 28448-2012信息系統安全等級保護測評要求,設計等級保護差距分析問卷,對關鍵工控系統是否達到基本安全控制要求進行等級保護測試評估,主要測評國家標準GB/T 22239-2008所要求的基本安全控制在關鍵工控系統中的實施配置情況,所涉及的評測內容涉及到信息系統安全技術和安全管理上的各個安全控制措施,其中:
(1)安全技術類評測項包括物理安全、網絡安全、主機安全、應用安全和數據安全5個層面;
圖2 ISO27001差距分析雷達圖示例(符合程度)
圖3 等級保護符合度分布圖
圖4 等級保護評測結果示例
(2)安全管理評測包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理5個方面。
通過上述各安全領域的等級保護評測實施,將有效分析出關鍵信息系統整體的安全等級保護符合情況,特別是在安全技術控制方面的薄弱環節,評測結果將用雷達圖及細化的柱狀分布圖予以展現,并將提供詳細的評測結果分析。
5 基于IEC62443的風險評估
在IEC62443中引入了信息安全保障等級(Security Assurance Level, SAL)的概念,嘗試用一種定量的方法來處理一個區域的信息安全。它既適用于終端用戶公司,也適用于工業控制系統和信息安全產品供應商。通過定義并比較用于信息安全掃描周期的不同階段的目標(Target)SAL、設計(Design)SAL、達到(Achieved)SAL和能力(Capability)SAL,實現預期設計結果的安全性。
國際上針對工業控制系統的信息安全評估和認證還處于起步階段,尚未出現一個統一的評估規范。IEC62443第2-4部分涉及到信息安全的認證問題,但由于IEC國際標準組織規定,其實現的標準文件中不能有認證類的詞匯,因此工作組決定將該部分標準名稱改為“工業控制系統制造商信息安全基本實踐”。然而,真正可用于工業控制系統信息安全評估的規范仍然空白。
國內由全國工業過程測量和控制標準化技術委員會(SAC/TC124)和全國信息安全標準化技術委員會(SAC/TC260)牽頭,參考IEC62443正在制定我國的工業控制系統信息安全評估規范標準,目前處于送審階段。該標準規定了工業控制系統(SCADA、DCS、PLC、PCS等)信息安全評估的目標、評估的內容、實施過程等;適用于系統設計方、設備生產商、系統集成商、工程公司、用戶、資產所有人以及評估認證機構等對工業控制系統的信息安全進行評估時使用。
在該標準中將評估分為管理評估和51項系統能力(技術)評估。其中系統能力(技術)評估分為四個級別,由小到大分別對應系統能力等級(capability level)的CL1、CL2、CL3和CL4,該方案實現的主要技術指標將以系統能力(技術)評估結果展現。
系統能力等級(CL)的說明如下:
(1)能力等級 CL1 :提供機制保護控制系統防范偶然的、輕度的攻擊。
(2)能力等級CL2 :提供機制保護控制系統防范有意的、利用較少資源和一般技術的簡單手段可能達到較小破壞后果的攻擊。
(3)能力等級CL3 :提供機制保護控制系統防范惡意的、利用中等資源、ICS特殊技術的復雜手段的可能達到較大破壞后果的攻擊。
(4)能力等級CL4:提供機制保護控制系統防范惡意的、使用擴展資源、ICS特殊技術的復雜手段與工具可能達到重大破壞后果的攻擊。
表2 系統要求和增強要求與安全等級的映射(打對勾表示為該等級必須滿足項)
6 風險處置
選擇處置措施的原則是權衡利弊:權衡每種選擇的成本與其得到的利益。例如,如果以相對較低的花費可以大大減小風險的程度,則應選擇實施這樣的處置方法。建議的風險處置措施如下:
(1)避免風險:在某些情況下,可以決定不繼續進行可能產生風險的活動來回避風險。在某些情況可能是較為穩妥的處理辦法,但是在某些情況下可能會因此而喪失機會。
(2)降低風險可能性:在某些情況下,可以決定通過合同、要求、規范、法律、監察、管理、測試、技術開發、技術控制等措施來達到減小風險的目的。
(3)減小風險的后果或影響:在某些情況下,可以決定通過制定實施應變計劃、合同、災難恢復計劃、資產重新布置等手段來減小資產價值本身或風險的后果/影響。這和“降低風險可能性”一起,可以達到減小風險的目的,也成為“風險控制”。
(4)轉移風險:這涉及承擔或分擔部分風險的另一方。手段包括合同、保險安排、合伙、資產轉移等。
(5)接受風險:不管如何處置,一般資產面臨的風險總是在一定程度上存在。決策者可以在繼續處置需要的成本和風險之間進行抉擇。在適當的情況下,決策者可以選擇接受/承受風險。
7 結語
在全球產業升級與兩化融合的大背景下,我國關鍵工業基礎設施領域工業控制系統自動化、數字化、網絡化程度的不斷提高,工業控制系統的信息內外交互不斷增多,作為工業基礎設施安全運行的控制核心,工業控制系統所面臨的信息安全威脅也日益嚴重,迫切需要在此領域開展相關的信息安全風險評估與管理工作,以應對這一嚴重的挑戰。
作者簡介
胡建鈞(1980-),男,浙江人,碩士,現任西門子(中國)有限公司技術經理,主要研究方向為信息安全。
參考文獻
[1] ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems -Overview and vocabulary[S].
[2] ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements[S].
[3] ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls[S].
[4] ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance[S].
[5] ISO/IEC 27004:2009 Information technology — Security techniques — Information security management —Measurement[S] .
[6] ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (second edition)[S].
[7] ISO/IEC 27006:2011 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems[S].
[8] ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing[S].
[9] GB/T20984-2007,信息安全風險評估規范[S].
[10] GB/T22239—2008,信息系統安全等級保護基本要求[S].
[11] IEC62443-1-1: 2009 Industrial communication networks -network and system security -Part 1-1: Terminology, concepts and models[S].
[12] IEC62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].
[13] IEC62443-3: 2008 Security for industrial process measurement and control -network and system security[S].
[14] IEC62443-3-1: 2009 Industrial communication networks -network and system security -Part 3-1: Security technologies for industrial automation and control systems[S].
[15]工業控制系統信息安全第1部分:評估規范報批稿[S].
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號