工业发展史上经历了三次大的变革,目前正在向“工业4.0”演进。第一次工业革命发生在1784年,以蒸汽机驱动为代表,第二次工业革命则以1870年的流水线和电力驱动为代表,第三次工业革命从19世纪70年代开始,出现了以PLC为代表的电气和信息技术驱动的自动化生产。 “工业4.0”概念即是以智能制造为主导的第四次工业革命,或革命性的生产方法。该战略旨在通过充分利用信息通讯技术和网络空间虚拟系统—信息物理系统(Cyber-Physical System)相结合的手段,将制造业向智能化转型。“工业4.0”概念包含了由集中式控制向分散式增强型控制的基本模式转变,将建立一个高度灵活的个性化和数字化的产品与服务的生产模式。
这一趋势为工业自动化生产带来了全面的技术进步、生产力提高、成本降低与竞争实力的增强。但凡事有利必有弊,IT技术的开放、互联的特点,同时也为各种网络攻击提供了滋生的土壤,导致各种潜在的安全威胁日益增长。近年来,随着经济全球化的深入推进,国际竞争越来越激烈,工业控制系统作为能源、制造、军工等关系到国计民生关键基础设施,面临着以网络空间战为代表的高风险运行环境。据统计,过去一年,国家信息安全漏洞共享平台收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍。
在“工业4.0”的大趋势下,工业控制系统与网络与IT的结合更加紧密,面临的安全威胁和风险日益突出。然而当前的工业控制系统信息安全工作还处于起步阶段,有必要加强信息安全风险评估,对识别出来的安全风险进行有效的处置和管理。
1 工业信息安全威胁与需求
近年来,IT技术在工业控制系统中得到了广泛的应用。包括工业控制系统的核心——过程控制系统PCS(Process Control System)、数据采集与监视控制系统SCADA(Supervisory Control And Data Acquisition)、分布式控制系统DCS(Distributed Control System)在内的各工业控制系统逐渐从封闭、孤立的系统走向互联(包括与IT办公系统互联),日益广泛地采用各种IT技术。同时,以可编程逻辑控制器PLC(Programmable Logic Controller)为代表的现场控制设备也日益变得开放和标准化。现代工业控制网络的发展呈现出一系列值得关注的趋势。
2010年,第一个以SCADA为攻击目标的 Stuxnet病毒出现,成功侵袭了伊朗纳坦兹核设施,令不少离心机瘫痪。由此可见,针对工业控制系统的攻击行为,已经对国家经济和社会发展产生深远的影响。事实上,不仅是“震网(Stuxnet)”病毒,近年来相继涌现出的著名恶意软件如“毒区(Duqu)”、“火焰(Flame)”等,也将攻击重心向石油、电力等国家命脉行业领域倾斜,工业控制系统面临的安全形势越来越严峻。
当前通用开发标准与互联网技术的广泛使用,使得针对ICS 系统的攻击行为出现大幅度增长,ICS 系统对于信息安全管理的需求变得更加迫切。安全漏洞的涌现,无疑为工业控制系统增加了风险,进而影响正常的生产秩序,甚至会危及人员健康和公共财产安全。从整个架构上看,工业控制系统是由服务器、终端、前端的实时操作系统等共同构成的网络体系,同样涉及物理层、网络层、主机层、应用层等传统信息安全问题。在整个工业控制系统中,大多数工控软件都是运行在通用操作系统上,例如操作员站一般都是采用Linux或Windows平台,由于考虑到系统运行的稳定性,一般系统运行后不会对Linux或Windows平台打补丁;另外,大多工业控制网络都属于专用内部网络,不与互联网相连,即使安装反病毒软件,也不能及时地更新病毒数据库。此外,工业控制系统的安全管理一直是个薄弱环节,例如操作维护人员的安全意识,安全技能有待提高。在信息安全配置方面,弱口令,开放的危险端口与服务等现象较为突出,严重降低了工业控制系统的安全水平。
因此必须开展定期的信息安全风险评估,标识关键资产与保护对象,识别安全威胁与脆弱性,进而计算相关安全风险,并对安全风险进行有效的处置,逐步提升工业控制系统与网络的信息安全整体水平。
2 风险评估主体思路和框架
通过对国际标准、国家政策以及行业中对于风险评估的理解、分析和总结,我们认为在风险评估的整个过程中,主要包含三个要素,这三个要素之间相互作用和影响,他们之间的关系如图1所示。
图1 风险评估三要素关系图
风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度。风险分析主要内容为:
(1)对资产进行识别,并对资产的重要性进行赋值;
(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
(3)对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
(4)根据威胁和脆弱性的识别结果判断安全事件发生的可能性;
(5)根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;
(6)根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。
3 ISO27001评估方法
ISO27001是国际标准化组织(ISO)于2005年10月颁布的一个针对信息安全管理体系的国际标准,作为信息安全管理方面最著名的国际标准,ISO27001正迅速被全球所接受。依据ISO27001标准进行信息安全管理体系建设,是当前各行业组织在推动信息安全保护方面最普遍的思路和决策。 ISO27001以安全控制点/控制措施为主,强调以风险控制点的方式来达到信息安全管理的目的,其共涵盖了11个安全领域(如表1所示),39个安全控制点,133个安全控制措施。
表1 ISO27001涵盖的 11个安全领域
西门子的ISO27001差距分析是以ISO27001标准(包括ISO 27002)为标杆,评估ISO27001所要求的11个安全领域的133个基本安全控制在企业信息系统中的实施配置情况,涉及到信息系统安全技术和安全管理上的各项安全控制措施,进而全面得出:
(1)企业是否已经通过实施及运作控制措施,有效管理企业面临的信息安全风险;
(2)为明确企业信息安全需求和建立信息安全目标提供客观依据;
(3)企业安全管理与技术现状与标准要求之间的差距,并给出详细的差距分析说明。
4 信息安全等级保护评测
信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其它组织的合法权益的危害程度等,由低到高划分为五级。不同安全保护等级的信息系统应具有不同的安全保护能力。
基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确地配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
西门子根据国家标准GB/T 28448-2012信息系统安全等级保护测评要求,设计等级保护差距分析问卷,对关键工控系统是否达到基本安全控制要求进行等级保护测试评估,主要测评国家标准GB/T 22239-2008所要求的基本安全控制在关键工控系统中的实施配置情况,所涉及的评测内容涉及到信息系统安全技术和安全管理上的各个安全控制措施,其中:
(1)安全技术类评测项包括物理安全、网络安全、主机安全、应用安全和数据安全5个层面;
图2 ISO27001差距分析雷达图示例(符合程度)
图3 等级保护符合度分布图
图4 等级保护评测结果示例
(2)安全管理评测包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个方面。
通过上述各安全领域的等级保护评测实施,将有效分析出关键信息系统整体的安全等级保护符合情况,特别是在安全技术控制方面的薄弱环节,评测结果将用雷达图及细化的柱状分布图予以展现,并将提供详细的评测结果分析。
5 基于IEC62443的风险评估
在IEC62443中引入了信息安全保障等级(Security Assurance Level, SAL)的概念,尝试用一种定量的方法来处理一个区域的信息安全。它既适用于终端用户公司,也适用于工业控制系统和信息安全产品供应商。通过定义并比较用于信息安全扫描周期的不同阶段的目标(Target)SAL、设计(Design)SAL、达到(Achieved)SAL和能力(Capability)SAL,实现预期设计结果的安全性。
国际上针对工业控制系统的信息安全评估和认证还处于起步阶段,尚未出现一个统一的评估规范。IEC62443第2-4部分涉及到信息安全的认证问题,但由于IEC国际标准组织规定,其实现的标准文件中不能有认证类的词汇,因此工作组决定将该部分标准名称改为“工业控制系统制造商信息安全基本实践”。然而,真正可用于工业控制系统信息安全评估的规范仍然空白。
国内由全国工业过程测量和控制标准化技术委员会(SAC/TC124)和全国信息安全标准化技术委员会(SAC/TC260)牵头,参考IEC62443正在制定我国的工业控制系统信息安全评估规范标准,目前处于送审阶段。该标准规定了工业控制系统(SCADA、DCS、PLC、PCS等)信息安全评估的目标、评估的内容、实施过程等;适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估时使用。
在该标准中将评估分为管理评估和51项系统能力(技术)评估。其中系统能力(技术)评估分为四个级别,由小到大分别对应系统能力等级(capability level)的CL1、CL2、CL3和CL4,该方案实现的主要技术指标将以系统能力(技术)评估结果展现。
系统能力等级(CL)的说明如下:
(1)能力等级 CL1 :提供机制保护控制系统防范偶然的、轻度的攻击。
(2)能力等级CL2 :提供机制保护控制系统防范有意的、利用较少资源和一般技术的简单手段可能达到较小破坏后果的攻击。
(3)能力等级CL3 :提供机制保护控制系统防范恶意的、利用中等资源、ICS特殊技术的复杂手段的可能达到较大破坏后果的攻击。
(4)能力等级CL4:提供机制保护控制系统防范恶意的、使用扩展资源、ICS特殊技术的复杂手段与工具可能达到重大破坏后果的攻击。
表2 系统要求和增强要求与安全等级的映射(打对勾表示为该等级必须满足项)
6 风险处置
选择处置措施的原则是权衡利弊:权衡每种选择的成本与其得到的利益。例如,如果以相对较低的花费可以大大减小风险的程度,则应选择实施这样的处置方法。建议的风险处置措施如下:
(1)避免风险:在某些情况下,可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法,但是在某些情况下可能会因此而丧失机会。
(2)降低风险可能性:在某些情况下,可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来达到减小风险的目的。
(3)减小风险的后果或影响:在某些情况下,可以决定通过制定实施应变计划、合同、灾难恢复计划、资产重新布置等手段来减小资产价值本身或风险的后果/影响。这和“降低风险可能性”一起,可以达到减小风险的目的,也成为“风险控制”。
(4)转移风险:这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。
(5)接受风险:不管如何处置,一般资产面临的风险总是在一定程度上存在。决策者可以在继续处置需要的成本和风险之间进行抉择。在适当的情况下,决策者可以选择接受/承受风险。
7 结语
在全球产业升级与两化融合的大背景下,我国关键工业基础设施领域工业控制系统自动化、数字化、网络化程度的不断提高,工业控制系统的信息内外交互不断增多,作为工业基础设施安全运行的控制核心,工业控制系统所面临的信息安全威胁也日益严重,迫切需要在此领域开展相关的信息安全风险评估与管理工作,以应对这一严重的挑战。
作者简介
胡建钧(1980-),男,浙江人,硕士,现任西门子(中国)有限公司技术经理,主要研究方向为信息安全。
参考文献
[1] ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems -Overview and vocabulary[S].
[2] ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements[S].
[3] ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls[S].
[4] ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance[S].
[5] ISO/IEC 27004:2009 Information technology — Security techniques — Information security management —Measurement[S] .
[6] ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (second edition)[S].
[7] ISO/IEC 27006:2011 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems[S].
[8] ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing[S].
[9] GB/T20984-2007,信息安全风险评估规范[S].
[10] GB/T22239—2008,信息系统安全等级保护基本要求[S].
[11] IEC62443-1-1: 2009 Industrial communication networks -network and system security -Part 1-1: Terminology, concepts and models[S].
[12] IEC62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].
[13] IEC62443-3: 2008 Security for industrial process measurement and control -network and system security[S].
[14] IEC62443-3-1: 2009 Industrial communication networks -network and system security -Part 3-1: Security technologies for industrial automation and control systems[S].
[15]工业控制系统信息安全第1部分:评估规范报批稿[S].
摘自《工业控制系统信息安全专刊(第一辑)》
