今日頭條
官方微信
官方抖音
資訊頻道
1 工業(yè)控制系統(tǒng)風險評估的作用與意義
風險評估是實現(xiàn)工控系統(tǒng)信息安全縱深防御的基礎,風險評估能夠準確地評估工控系統(tǒng)存在的主要信息安全問題和潛在的風險,風險評估的結果是工控系統(tǒng)安全防護與監(jiān)控策略建立的基礎。
工控系統(tǒng)與辦公系統(tǒng)不同,工控系統(tǒng)中使用智能設備、嵌入式操作系統(tǒng)和各種專用協(xié)議,尤其是智能設備具有集成度高、行業(yè)性強、內核不對外開放、數(shù)據(jù)交互接口無法進行技術管控等特點。因此,工控系統(tǒng)的安全風險評估,是基于IT風險評估原理,同時結合工業(yè)控制系統(tǒng)的特點而開展的。
同時,工業(yè)控制系統(tǒng)作為關鍵基礎設施,應該注重整個生命周期的風險評估,而不同的生命周期,其風險評估重點也有所不同。工控系統(tǒng)的風險評估,應該從設備的采購、設備的運行、設備的維護、設備的報廢幾個階段分別進行。
2 工業(yè)控制系統(tǒng)風險評估的方法與工具
在工控風險評估過程中,可以采用多種操作方法,包括經(jīng)驗分析、定性分析和定量分析。無論何種方法,共同的目標都是找出組織信息資產(chǎn)面臨的風險及影響,以及目前安全水平與組織安全需求之間的差距。
在工控風險分析的過程中,需要采用風險評估工具進行風險評估,以提高風險評估效率,及時發(fā)現(xiàn)工控系統(tǒng)面臨的風險。
2.1 經(jīng)驗分析法
經(jīng)驗分析法又稱為基于知識的分析方法,可以采用基于知識的分析方法來找出目前的安全狀況和基線安全標準之間的差距。通過多種途徑采集相關信息,識別組織的風險所在和當前的安全措施,與特定的標準或最佳慣例進行比較,從中找出不符合的地方,并按照標準或最佳慣例的推薦選擇安全措施,最終達到消減和控制風險的目的。經(jīng)驗風險法比較適合經(jīng)驗比較少的操作者,由經(jīng)驗比較豐富的操作者按照標準和慣例制訂安全基線,供經(jīng)驗比較少的操作者借鑒使用。
基于知識的分析方法,最重要的還在于評估信息的采集。信息采集方法包括:會議討論;對當前的信息安全策略和相關文檔進行復查;制作問卷,進行調查;對相關人員進行訪談;進行實地考察等。
2.2 定量分析法
定量分析法是對構成風險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額,當度量風險的所有要素(資產(chǎn)價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值,風險評估的整個過程和結果就都可以被量化了。簡單地說,定量分析就是試圖從數(shù)字上對安全風險進行分析評估的一種方法。
對定量分析來說,有兩個指標是最為關鍵的,一個是事件發(fā)生的可能性,另一個就是威脅事件可能引起的損失。理論上講,通過定量分析可以對安全風險進行準確地分級,但這有個前提,那就是可供參考的數(shù)據(jù)指標是準確的,可事實上,在信息系統(tǒng)日益復雜多變的今天,定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的,再加上數(shù)據(jù)統(tǒng)計缺乏長期性,計算過程又極易出錯,這就給分析的細化帶來了很大困難,所以,目前的信息安全風險分析,采用定量分析或者純定量分析方法的比較少了。
2.3 定性分析法
定性分析方法是目前采用最為廣泛的一種方法,它具有很強的主觀性,往往需要憑借分析者的經(jīng)驗和直覺,或者業(yè)界的標準和慣例,為風險管理諸要素(資產(chǎn)價值、威脅的可能性、弱點被利用的容易度、現(xiàn)有控制措施的效力等)的大小或高低程度定性分級,例如分為“高”、“中”、“低”三級。
定性分析的操作方法可以多種多樣,包括小組討論(例如Delphi方法)、檢查列表(Checklist)、問卷(Questionnaire)、人員訪談(Interview)、調查(Survey)等。定性分析操作起來相對容易,但也可能因為操作者經(jīng)驗和直覺的偏差而使分析結果失準。
與定量分析相比較,定性分析的準確性稍好但精確性不夠,定量分析則相反;定性分析沒有定量分析那樣繁多的計算負擔,卻要求分析者具備一定的經(jīng)驗和能力;定量分析依賴大量的統(tǒng)計數(shù)據(jù),而定性分析沒有這方面的要求;定性分析較為主觀,定量分析基于客觀;此外,定量分析的結果很直觀,容易理解,而定性分析的結果則很難有統(tǒng)一的解釋。
總之,不管是經(jīng)驗分析法,還是定性、定量分析法,其核心思想都是依據(jù)威脅出現(xiàn)的頻率、脆弱性的嚴重程度來確認安全事件發(fā)生的可能性,依據(jù)資產(chǎn)價值和脆弱性的嚴重程度來確認安全事件會造成的損失,最終從安全事件發(fā)生的可能性和損失來判斷風險值。其原理圖如圖1所示。
圖1 風險值判斷識別原理示意圖
2.4 風險評估的工具
風險評估過程中,可以利用一些輔助性的工具和方法來采集數(shù)據(jù),包括:
(1)調查問卷——風險評估者通過問卷形式對組織信息安全的各個方面進行調查,問卷解答可以進行手工分析,也可以輸入自動化評估工具進行分析。從問卷調查中,評估者能夠了解到組織的關鍵業(yè)務、關鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。
(2)檢查列表——檢查列表通常是基于特定標準或基線建立的,對特定系統(tǒng)進行審查的項目條款。通過檢查列表,操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距。
(3)人員訪談——風險評估者通過與組織內關鍵人員的訪談,可以了解到組織的安全意識、業(yè)務操作、管理程序等重要信息。
(4)漏洞掃描器——漏洞掃描器(包括基于網(wǎng)絡探測和基于主機審計)可以對信息系統(tǒng)中存在的技術性漏洞(弱點)進行評估。許多掃描器都會列出已發(fā)現(xiàn)漏洞的嚴重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner等。
(5)滲透測試——這是一種模擬黑客行為的漏洞探測活動,它不但要掃描目標系統(tǒng)的漏洞,還會通過漏洞利用來驗證此種威脅場景。
總之,工業(yè)控制系統(tǒng)風險評估采用的理念和方法,是在IT風險評估的理念和方法的基礎上,結合工業(yè)控制系統(tǒng)相對比較封閉、規(guī)模大、資產(chǎn)數(shù)量多、漏洞數(shù)量多、脆弱性問題多的特點,建立工業(yè)控制系統(tǒng)風險評估理念與方法。下面我們通過案例來展示風險評估在工業(yè)控制系統(tǒng)中的應用。
3 工業(yè)控制系統(tǒng)風險評估的步驟與內容
3.1 工業(yè)控制系統(tǒng)風險評估的步驟
工業(yè)控制系統(tǒng)的風險評估,按照工控系統(tǒng)的生命周期來評估,每個生命周期,其風險評估具有不同的特點,但總得來說,每個生命周期的風險評估,都可以分以下4個階段進行,如圖2所示。
圖2 生命周期風險評估的四個階段
(1)系統(tǒng)調研階段:確定風險評估的范圍,分析系統(tǒng)的拓撲結構,評估相關子系統(tǒng)的重要性。
(2)脆弱性檢測階段:獲取設備清單,識別系統(tǒng)的關鍵資產(chǎn),確定設備用途,分析基本組成,對資產(chǎn)進
行脆弱性檢測。
(3)風險評估階段:對檢測到的每一個脆弱點,根據(jù)不同設備類型,結合現(xiàn)有的安全防護措施,評估其
可能面臨的威脅,及其可能造成的風險。
(4)風險處理階段:論證殘余風險是否可以接受。如果不可接受,那么需要啟動風險處置計劃。如果風險可以接受,則建立安全基線列表。
3.2 工業(yè)控制系統(tǒng)風險評估的范圍
工控設備安全保密風險需求主要涉及到三大方面,如圖3所示。一是工控設備所處的物理環(huán)境安全,如防偷竊、非授權接觸、是否有竊聽竊視裝置等;二是工控設備自身的安全,主要分析包括硬件、軟件、網(wǎng)絡等方面的安全;三是工控設備的安全保密管理問題,包括其管理機構、人員、制度、流程等。
圖3 工業(yè)控制系統(tǒng)風險評估的范圍示意圖
4 工業(yè)控制系統(tǒng)威脅源及其引入途徑
4.1 工業(yè)控制系統(tǒng)安全威脅源
工業(yè)控制系統(tǒng)威脅源包括內部威脅、外部威脅、可用性威脅。內部威脅包括操作人員、維護人員。外部威脅包括工業(yè)間諜、病毒、異常行為,其可能給工控系統(tǒng)帶來的風險和等級如表1所示。
表1 工業(yè)控制系統(tǒng)安全威脅源可能給其帶來的風險和等級
4.2 工業(yè)控制系統(tǒng)風險引入途徑
工業(yè)控制系統(tǒng)威脅入侵途徑是多種多樣的,按照類型可以劃分為以下六類:來自互聯(lián)網(wǎng)的攻擊、來自企業(yè)網(wǎng)的攻擊、工業(yè)無線網(wǎng)絡帶來的威脅、現(xiàn)場操作人員造成的威脅、現(xiàn)場運維人員帶來的威脅、遠程運維帶來的威脅。在風險評估的過程中,要充分評估以上六種風險引入的可能性。
作者簡介
張曄(1973-),男,現(xiàn)就職于啟明星辰信息技術集團股份有限公司,主要研究方向為工業(yè)控制系統(tǒng)信息安全。發(fā)明了工業(yè)控制系統(tǒng)現(xiàn)場運維審計與管理系統(tǒng),填補了國內該產(chǎn)品的空白;發(fā)明了動態(tài)安全保障體系模型和等級保護技術架構模型;在國內首次提出了工控系統(tǒng)安全的“四化”理念。在相關媒體發(fā)表過《工業(yè)控制系統(tǒng)安全體系架構與管理平臺》、《工業(yè)控制系統(tǒng)安全理念與方法論》、《論信息系統(tǒng)安全“四化”建設》、《信息安全動態(tài)保障體系建設探討》等系列文章。
北京市公安局海淀分局備案號:11010802023656號