今日頭條
官方微信
官方抖音
資訊頻道工業(yè)發(fā)展史上經(jīng)歷了三次大的變革,目前正在向“工業(yè)4.0”演進(jìn)。第一次工業(yè)革命發(fā)生在1784年,以蒸汽機(jī)驅(qū)動(dòng)為代表,第二次工業(yè)革命則以1870年的流水線和電力驅(qū)動(dòng)為代表,第三次工業(yè)革命從19世紀(jì)70年代開始,出現(xiàn)了以PLC為代表的電氣和信息技術(shù)驅(qū)動(dòng)的自動(dòng)化生產(chǎn)。 “工業(yè)4.0”概念即是以智能制造為主導(dǎo)的第四次工業(yè)革命,或革命性的生產(chǎn)方法。該戰(zhàn)略旨在通過充分利用信息通訊技術(shù)和網(wǎng)絡(luò)空間虛擬系統(tǒng)—信息物理系統(tǒng)(Cyber-Physical System)相結(jié)合的手段,將制造業(yè)向智能化轉(zhuǎn)型。“工業(yè)4.0”概念包含了由集中式控制向分散式增強(qiáng)型控制的基本模式轉(zhuǎn)變,將建立一個(gè)高度靈活的個(gè)性化和數(shù)字化的產(chǎn)品與服務(wù)的生產(chǎn)模式。
這一趨勢為工業(yè)自動(dòng)化生產(chǎn)帶來了全面的技術(shù)進(jìn)步、生產(chǎn)力提高、成本降低與競爭實(shí)力的增強(qiáng)。但凡事有利必有弊,IT技術(shù)的開放、互聯(lián)的特點(diǎn),同時(shí)也為各種網(wǎng)絡(luò)攻擊提供了滋生的土壤,導(dǎo)致各種潛在的安全威脅日益增長。近年來,隨著經(jīng)濟(jì)全球化的深入推進(jìn),國際競爭越來越激烈,工業(yè)控制系統(tǒng)作為能源、制造、軍工等關(guān)系到國計(jì)民生關(guān)鍵基礎(chǔ)設(shè)施,面臨著以網(wǎng)絡(luò)空間戰(zhàn)為代表的高風(fēng)險(xiǎn)運(yùn)行環(huán)境。據(jù)統(tǒng)計(jì),過去一年,國家信息安全漏洞共享平臺(tái)收錄了100余個(gè)對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長近10倍。
在“工業(yè)4.0”的大趨勢下,工業(yè)控制系統(tǒng)與網(wǎng)絡(luò)與IT的結(jié)合更加緊密,面臨的安全威脅和風(fēng)險(xiǎn)日益突出。然而當(dāng)前的工業(yè)控制系統(tǒng)信息安全工作還處于起步階段,有必要加強(qiáng)信息安全風(fēng)險(xiǎn)評估,對識(shí)別出來的安全風(fēng)險(xiǎn)進(jìn)行有效的處置和管理。
1 工業(yè)信息安全威脅與需求
近年來,IT技術(shù)在工業(yè)控制系統(tǒng)中得到了廣泛的應(yīng)用。包括工業(yè)控制系統(tǒng)的核心——過程控制系統(tǒng)PCS(Process Control System)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)SCADA(Supervisory Control And Data Acquisition)、分布式控制系統(tǒng)DCS(Distributed Control System)在內(nèi)的各工業(yè)控制系統(tǒng)逐漸從封閉、孤立的系統(tǒng)走向互聯(lián)(包括與IT辦公系統(tǒng)互聯(lián)),日益廣泛地采用各種IT技術(shù)。同時(shí),以可編程邏輯控制器PLC(Programmable Logic Controller)為代表的現(xiàn)場控制設(shè)備也日益變得開放和標(biāo)準(zhǔn)化。現(xiàn)代工業(yè)控制網(wǎng)絡(luò)的發(fā)展呈現(xiàn)出一系列值得關(guān)注的趨勢。
2010年,第一個(gè)以SCADA為攻擊目標(biāo)的 Stuxnet病毒出現(xiàn),成功侵襲了伊朗納坦茲核設(shè)施,令不少離心機(jī)癱瘓。由此可見,針對工業(yè)控制系統(tǒng)的攻擊行為,已經(jīng)對國家經(jīng)濟(jì)和社會(huì)發(fā)展產(chǎn)生深遠(yuǎn)的影響。事實(shí)上,不僅是“震網(wǎng)(Stuxnet)”病毒,近年來相繼涌現(xiàn)出的著名惡意軟件如“毒區(qū)(Duqu)”、“火焰(Flame)”等,也將攻擊重心向石油、電力等國家命脈行業(yè)領(lǐng)域傾斜,工業(yè)控制系統(tǒng)面臨的安全形勢越來越嚴(yán)峻。
當(dāng)前通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用,使得針對ICS 系統(tǒng)的攻擊行為出現(xiàn)大幅度增長,ICS 系統(tǒng)對于信息安全管理的需求變得更加迫切。安全漏洞的涌現(xiàn),無疑為工業(yè)控制系統(tǒng)增加了風(fēng)險(xiǎn),進(jìn)而影響正常的生產(chǎn)秩序,甚至?xí)<叭藛T健康和公共財(cái)產(chǎn)安全。從整個(gè)架構(gòu)上看,工業(yè)控制系統(tǒng)是由服務(wù)器、終端、前端的實(shí)時(shí)操作系統(tǒng)等共同構(gòu)成的網(wǎng)絡(luò)體系,同樣涉及物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層等傳統(tǒng)信息安全問題。在整個(gè)工業(yè)控制系統(tǒng)中,大多數(shù)工控軟件都是運(yùn)行在通用操作系統(tǒng)上,例如操作員站一般都是采用Linux或Windows平臺(tái),由于考慮到系統(tǒng)運(yùn)行的穩(wěn)定性,一般系統(tǒng)運(yùn)行后不會(huì)對Linux或Windows平臺(tái)打補(bǔ)丁;另外,大多工業(yè)控制網(wǎng)絡(luò)都屬于專用內(nèi)部網(wǎng)絡(luò),不與互聯(lián)網(wǎng)相連,即使安裝反病毒軟件,也不能及時(shí)地更新病毒數(shù)據(jù)庫。此外,工業(yè)控制系統(tǒng)的安全管理一直是個(gè)薄弱環(huán)節(jié),例如操作維護(hù)人員的安全意識(shí),安全技能有待提高。在信息安全配置方面,弱口令,開放的危險(xiǎn)端口與服務(wù)等現(xiàn)象較為突出,嚴(yán)重降低了工業(yè)控制系統(tǒng)的安全水平。
因此必須開展定期的信息安全風(fēng)險(xiǎn)評估,標(biāo)識(shí)關(guān)鍵資產(chǎn)與保護(hù)對象,識(shí)別安全威脅與脆弱性,進(jìn)而計(jì)算相關(guān)安全風(fēng)險(xiǎn),并對安全風(fēng)險(xiǎn)進(jìn)行有效的處置,逐步提升工業(yè)控制系統(tǒng)與網(wǎng)絡(luò)的信息安全整體水平。
2 風(fēng)險(xiǎn)評估主體思路和框架
通過對國際標(biāo)準(zhǔn)、國家政策以及行業(yè)中對于風(fēng)險(xiǎn)評估的理解、分析和總結(jié),我們認(rèn)為在風(fēng)險(xiǎn)評估的整個(gè)過程中,主要包含三個(gè)要素,這三個(gè)要素之間相互作用和影響,他們之間的關(guān)系如圖1所示。
圖1 風(fēng)險(xiǎn)評估三要素關(guān)系圖
風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個(gè)要素有各自的屬性,資產(chǎn)的屬性是資產(chǎn)價(jià)值;威脅的屬性是威脅出現(xiàn)的頻率;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析主要內(nèi)容為:
(1)對資產(chǎn)進(jìn)行識(shí)別,并對資產(chǎn)的重要性進(jìn)行賦值;
(2)對威脅進(jìn)行識(shí)別,描述威脅的屬性,并對威脅出現(xiàn)的頻率賦值;
(3)對資產(chǎn)的脆弱性進(jìn)行識(shí)別,并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值;
(4)根據(jù)威脅和脆弱性的識(shí)別結(jié)果判斷安全事件發(fā)生的可能性;
(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計(jì)算安全事件的損失;
(6)根據(jù)安全事件發(fā)生的可能性以及安全事件的損失,計(jì)算安全事件一旦發(fā)生對組織的影響,即風(fēng)險(xiǎn)值。
3 ISO27001評估方法
ISO27001是國際標(biāo)準(zhǔn)化組織(ISO)于2005年10月頒布的一個(gè)針對信息安全管理體系的國際標(biāo)準(zhǔn),作為信息安全管理方面最著名的國際標(biāo)準(zhǔn),ISO27001正迅速被全球所接受。依據(jù)ISO27001標(biāo)準(zhǔn)進(jìn)行信息安全管理體系建設(shè),是當(dāng)前各行業(yè)組織在推動(dòng)信息安全保護(hù)方面最普遍的思路和決策。 ISO27001以安全控制點(diǎn)/控制措施為主,強(qiáng)調(diào)以風(fēng)險(xiǎn)控制點(diǎn)的方式來達(dá)到信息安全管理的目的,其共涵蓋了11個(gè)安全領(lǐng)域(如表1所示),39個(gè)安全控制點(diǎn),133個(gè)安全控制措施。
表1 ISO27001涵蓋的 11個(gè)安全領(lǐng)域
西門子的ISO27001差距分析是以ISO27001標(biāo)準(zhǔn)(包括ISO 27002)為標(biāo)桿,評估ISO27001所要求的11個(gè)安全領(lǐng)域的133個(gè)基本安全控制在企業(yè)信息系統(tǒng)中的實(shí)施配置情況,涉及到信息系統(tǒng)安全技術(shù)和安全管理上的各項(xiàng)安全控制措施,進(jìn)而全面得出:
(1)企業(yè)是否已經(jīng)通過實(shí)施及運(yùn)作控制措施,有效管理企業(yè)面臨的信息安全風(fēng)險(xiǎn);
(2)為明確企業(yè)信息安全需求和建立信息安全目標(biāo)提供客觀依據(jù);
(3)企業(yè)安全管理與技術(shù)現(xiàn)狀與標(biāo)準(zhǔn)要求之間的差距,并給出詳細(xì)的差距分析說明。
4 信息安全等級保護(hù)評測
信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其它組織的合法權(quán)益的危害程度等,由低到高劃分為五級。不同安全保護(hù)等級的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力。
基本安全要求是針對不同安全保護(hù)等級信息系統(tǒng)應(yīng)該具有的基本安全保護(hù)能力提出的安全要求,根據(jù)實(shí)現(xiàn)方式的不同,基本安全要求分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān),主要通過在信息系統(tǒng)中部署軟硬件并正確地配置其安全功能來實(shí)現(xiàn);管理類安全要求與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān),主要通過控制各種角色的活動(dòng),從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。
西門子根據(jù)國家標(biāo)準(zhǔn)GB/T 28448-2012信息系統(tǒng)安全等級保護(hù)測評要求,設(shè)計(jì)等級保護(hù)差距分析問卷,對關(guān)鍵工控系統(tǒng)是否達(dá)到基本安全控制要求進(jìn)行等級保護(hù)測試評估,主要測評國家標(biāo)準(zhǔn)GB/T 22239-2008所要求的基本安全控制在關(guān)鍵工控系統(tǒng)中的實(shí)施配置情況,所涉及的評測內(nèi)容涉及到信息系統(tǒng)安全技術(shù)和安全管理上的各個(gè)安全控制措施,其中:
(1)安全技術(shù)類評測項(xiàng)包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全5個(gè)層面;
圖2 ISO27001差距分析雷達(dá)圖示例(符合程度)
圖3 等級保護(hù)符合度分布圖
圖4 等級保護(hù)評測結(jié)果示例
(2)安全管理評測包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理5個(gè)方面。
通過上述各安全領(lǐng)域的等級保護(hù)評測實(shí)施,將有效分析出關(guān)鍵信息系統(tǒng)整體的安全等級保護(hù)符合情況,特別是在安全技術(shù)控制方面的薄弱環(huán)節(jié),評測結(jié)果將用雷達(dá)圖及細(xì)化的柱狀分布圖予以展現(xiàn),并將提供詳細(xì)的評測結(jié)果分析。
5 基于IEC62443的風(fēng)險(xiǎn)評估
在IEC62443中引入了信息安全保障等級(Security Assurance Level, SAL)的概念,嘗試用一種定量的方法來處理一個(gè)區(qū)域的信息安全。它既適用于終端用戶公司,也適用于工業(yè)控制系統(tǒng)和信息安全產(chǎn)品供應(yīng)商。通過定義并比較用于信息安全掃描周期的不同階段的目標(biāo)(Target)SAL、設(shè)計(jì)(Design)SAL、達(dá)到(Achieved)SAL和能力(Capability)SAL,實(shí)現(xiàn)預(yù)期設(shè)計(jì)結(jié)果的安全性。
國際上針對工業(yè)控制系統(tǒng)的信息安全評估和認(rèn)證還處于起步階段,尚未出現(xiàn)一個(gè)統(tǒng)一的評估規(guī)范。IEC62443第2-4部分涉及到信息安全的認(rèn)證問題,但由于IEC國際標(biāo)準(zhǔn)組織規(guī)定,其實(shí)現(xiàn)的標(biāo)準(zhǔn)文件中不能有認(rèn)證類的詞匯,因此工作組決定將該部分標(biāo)準(zhǔn)名稱改為“工業(yè)控制系統(tǒng)制造商信息安全基本實(shí)踐”。然而,真正可用于工業(yè)控制系統(tǒng)信息安全評估的規(guī)范仍然空白。
國內(nèi)由全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)牽頭,參考IEC62443正在制定我國的工業(yè)控制系統(tǒng)信息安全評估規(guī)范標(biāo)準(zhǔn),目前處于送審階段。該標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)(SCADA、DCS、PLC、PCS等)信息安全評估的目標(biāo)、評估的內(nèi)容、實(shí)施過程等;適用于系統(tǒng)設(shè)計(jì)方、設(shè)備生產(chǎn)商、系統(tǒng)集成商、工程公司、用戶、資產(chǎn)所有人以及評估認(rèn)證機(jī)構(gòu)等對工業(yè)控制系統(tǒng)的信息安全進(jìn)行評估時(shí)使用。
在該標(biāo)準(zhǔn)中將評估分為管理評估和51項(xiàng)系統(tǒng)能力(技術(shù))評估。其中系統(tǒng)能力(技術(shù))評估分為四個(gè)級別,由小到大分別對應(yīng)系統(tǒng)能力等級(capability level)的CL1、CL2、CL3和CL4,該方案實(shí)現(xiàn)的主要技術(shù)指標(biāo)將以系統(tǒng)能力(技術(shù))評估結(jié)果展現(xiàn)。
系統(tǒng)能力等級(CL)的說明如下:
(1)能力等級 CL1 :提供機(jī)制保護(hù)控制系統(tǒng)防范偶然的、輕度的攻擊。
(2)能力等級CL2 :提供機(jī)制保護(hù)控制系統(tǒng)防范有意的、利用較少資源和一般技術(shù)的簡單手段可能達(dá)到較小破壞后果的攻擊。
(3)能力等級CL3 :提供機(jī)制保護(hù)控制系統(tǒng)防范惡意的、利用中等資源、ICS特殊技術(shù)的復(fù)雜手段的可能達(dá)到較大破壞后果的攻擊。
(4)能力等級CL4:提供機(jī)制保護(hù)控制系統(tǒng)防范惡意的、使用擴(kuò)展資源、ICS特殊技術(shù)的復(fù)雜手段與工具可能達(dá)到重大破壞后果的攻擊。
表2 系統(tǒng)要求和增強(qiáng)要求與安全等級的映射(打?qū)幢硎緸樵摰燃壉仨殱M足項(xiàng))
6 風(fēng)險(xiǎn)處置
選擇處置措施的原則是權(quán)衡利弊:權(quán)衡每種選擇的成本與其得到的利益。例如,如果以相對較低的花費(fèi)可以大大減小風(fēng)險(xiǎn)的程度,則應(yīng)選擇實(shí)施這樣的處置方法。建議的風(fēng)險(xiǎn)處置措施如下:
(1)避免風(fēng)險(xiǎn):在某些情況下,可以決定不繼續(xù)進(jìn)行可能產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)來回避風(fēng)險(xiǎn)。在某些情況可能是較為穩(wěn)妥的處理辦法,但是在某些情況下可能會(huì)因此而喪失機(jī)會(huì)。
(2)降低風(fēng)險(xiǎn)可能性:在某些情況下,可以決定通過合同、要求、規(guī)范、法律、監(jiān)察、管理、測試、技術(shù)開發(fā)、技術(shù)控制等措施來達(dá)到減小風(fēng)險(xiǎn)的目的。
(3)減小風(fēng)險(xiǎn)的后果或影響:在某些情況下,可以決定通過制定實(shí)施應(yīng)變計(jì)劃、合同、災(zāi)難恢復(fù)計(jì)劃、資產(chǎn)重新布置等手段來減小資產(chǎn)價(jià)值本身或風(fēng)險(xiǎn)的后果/影響。這和“降低風(fēng)險(xiǎn)可能性”一起,可以達(dá)到減小風(fēng)險(xiǎn)的目的,也成為“風(fēng)險(xiǎn)控制”。
(4)轉(zhuǎn)移風(fēng)險(xiǎn):這涉及承擔(dān)或分擔(dān)部分風(fēng)險(xiǎn)的另一方。手段包括合同、保險(xiǎn)安排、合伙、資產(chǎn)轉(zhuǎn)移等。
(5)接受風(fēng)險(xiǎn):不管如何處置,一般資產(chǎn)面臨的風(fēng)險(xiǎn)總是在一定程度上存在。決策者可以在繼續(xù)處置需要的成本和風(fēng)險(xiǎn)之間進(jìn)行抉擇。在適當(dāng)?shù)那闆r下,決策者可以選擇接受/承受風(fēng)險(xiǎn)。
7 結(jié)語
在全球產(chǎn)業(yè)升級與兩化融合的大背景下,我國關(guān)鍵工業(yè)基礎(chǔ)設(shè)施領(lǐng)域工業(yè)控制系統(tǒng)自動(dòng)化、數(shù)字化、網(wǎng)絡(luò)化程度的不斷提高,工業(yè)控制系統(tǒng)的信息內(nèi)外交互不斷增多,作為工業(yè)基礎(chǔ)設(shè)施安全運(yùn)行的控制核心,工業(yè)控制系統(tǒng)所面臨的信息安全威脅也日益嚴(yán)重,迫切需要在此領(lǐng)域開展相關(guān)的信息安全風(fēng)險(xiǎn)評估與管理工作,以應(yīng)對這一嚴(yán)重的挑戰(zhàn)。
作者簡介
胡建鈞(1980-),男,浙江人,碩士,現(xiàn)任西門子(中國)有限公司技術(shù)經(jīng)理,主要研究方向?yàn)樾畔踩?/p>
參考文獻(xiàn)
[1] ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems -Overview and vocabulary[S].
[2] ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements[S].
[3] ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls[S].
[4] ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance[S].
[5] ISO/IEC 27004:2009 Information technology — Security techniques — Information security management —Measurement[S] .
[6] ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (second edition)[S].
[7] ISO/IEC 27006:2011 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems[S].
[8] ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing[S].
[9] GB/T20984-2007,信息安全風(fēng)險(xiǎn)評估規(guī)范[S].
[10] GB/T22239—2008,信息系統(tǒng)安全等級保護(hù)基本要求[S].
[11] IEC62443-1-1: 2009 Industrial communication networks -network and system security -Part 1-1: Terminology, concepts and models[S].
[12] IEC62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].
[13] IEC62443-3: 2008 Security for industrial process measurement and control -network and system security[S].
[14] IEC62443-3-1: 2009 Industrial communication networks -network and system security -Part 3-1: Security technologies for industrial automation and control systems[S].
[15]工業(yè)控制系統(tǒng)信息安全第1部分:評估規(guī)范報(bào)批稿[S].
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號