工業(yè)控制系統(tǒng)信息安全檢查評估

◆曹國江 唐厚學(xué) 唐 彭 胡金宇

工業(yè)控制系統(tǒng)信息安全檢查評估

◆曹國江 唐厚學(xué) 唐 彭 胡金宇

(中國電子科技網(wǎng)絡(luò)信息安全有限公司 四川 610041）

工業(yè)化與信息化高度融合，工控系統(tǒng)開始不斷遭受外來攻擊，國內(nèi)外越來越關(guān)注工控行業(yè)的信息安全，陸續(xù)發(fā)布相關(guān)政策與標(biāo)準(zhǔn)，以此來指導(dǎo)工控行業(yè)的信息安全防護(hù)工作。與此同時(shí)，工控安全檢查與評估順勢成為工控信息安全防護(hù)工作的一個(gè)重要部分，通過安全檢查與評估來預(yù)判工控系統(tǒng)存在的風(fēng)險(xiǎn)，從而最大程度上降低工控安全帶來的損失。

脆弱性；安全檢查；風(fēng)險(xiǎn)

0 引言

工業(yè)控制系統(tǒng)，簡稱ICS，主要包括分布式控制系統(tǒng)（DCS)、監(jiān)控和數(shù)據(jù)采集控制系統(tǒng)（SCADA）及可編程邏輯控制器(PLC)等控制系統(tǒng)裝置[1]。現(xiàn)在，ICS遍及于石化、電力、能源、冶金、水處理等行業(yè)。

日前，兩化融合戰(zhàn)略的不斷推進(jìn)，加之物聯(lián)網(wǎng)等新興技術(shù)領(lǐng)域的拓展，工控系統(tǒng)安全隨之受到企業(yè)的關(guān)注。在信息安全攻防戰(zhàn)的陰影下，工控系統(tǒng)作為能源、電力、石化制造等國家命脈行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施，其運(yùn)行環(huán)境勢必會(huì)面臨著持續(xù)攀升的安全風(fēng)險(xiǎn)。目前，對我國影響廣泛的工業(yè)控制系統(tǒng)軟硬件漏洞日益增多，從國家信息安全漏洞共享平臺數(shù)據(jù)可以看出[2]，較之2010年，近年安全漏洞增長幅度約10倍，包括施耐德、西門子、三維力控和亞控等國內(nèi)外知名工控系統(tǒng)制造商的軟硬件產(chǎn)品。工控漏洞的不斷涌現(xiàn)，勢必會(huì)對工控系統(tǒng)增加風(fēng)險(xiǎn)，從而影響正常的工控生產(chǎn)秩序，甚至危及人員的健康和財(cái)產(chǎn)安全。

1 政策法規(guī)

1.1 國外政策法規(guī)

為應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施面臨的威脅和挑戰(zhàn)，各國紛紛在戰(zhàn)略布局、政策法規(guī)、標(biāo)準(zhǔn)規(guī)范和重點(diǎn)技術(shù)創(chuàng)新牽引等方面開展了一系列舉措，以推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施的整體安全保障能力。

2003年12月，美國發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識、優(yōu)先級和保護(hù)》[3]；2006年6月，美國國土安全部發(fā)布了《國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》，該計(jì)劃建有全球相對領(lǐng)先的體系及標(biāo)準(zhǔn)；2016年，美國國土安全部發(fā)布了關(guān)于物聯(lián)網(wǎng)安全的準(zhǔn)則，即《保障物聯(lián)網(wǎng)安全的戰(zhàn)略原則》。

2013年，法國發(fā)布《國防和國家安全白皮書》，重點(diǎn)關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施控制系統(tǒng)安全；2014年，歐洲網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略評估框架》，目的是加強(qiáng)歐洲各國網(wǎng)絡(luò)安全防范能力，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施；歐盟2016年發(fā)布《歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全指令》。

2013年，日本發(fā)布《網(wǎng)絡(luò)安全戰(zhàn)略》，提出要建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的評估認(rèn)知機(jī)制和信息共享機(jī)制；日本建有關(guān)鍵信息基礎(chǔ)設(shè)施攻防實(shí)景模擬基地，并進(jìn)行實(shí)戰(zhàn)演習(xí)。

1.2 國內(nèi)政策法規(guī)

2016年4月19日，習(xí)近平主席發(fā)表重要講話，“沒有網(wǎng)絡(luò)安全，就沒有國家安全”[4]。

2016年10月17日，工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，提出十一大項(xiàng)安全防護(hù)指導(dǎo)要求，為工控企業(yè)開展工控安全防護(hù)工作提供了有力的指導(dǎo)依據(jù)。

2016年11月7日，第十二屆全國人大常務(wù)委員會(huì)第二十四次會(huì)議順利通過了《中華人民共和國網(wǎng)絡(luò)安全法》，自2017年6月1日起施行。

2017年7月31日，工信部制定了一項(xiàng)關(guān)于工控評估的管理辦法，即《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法》，以此來指導(dǎo)工控企業(yè)開展工控系統(tǒng)信息安全防護(hù)工作。

2 檢查方法

鑒于工業(yè)控制現(xiàn)場環(huán)境的獨(dú)有特性，工控安全檢查評估的方法主要包括文檔審查、人員訪談、核查驗(yàn)證、現(xiàn)場查看、安全監(jiān)測等。

2.1 文檔審查

主要包括自查工作開展、安全問題整改、被檢工控系統(tǒng)運(yùn)行情況、安全防護(hù)措施及策略信息等相關(guān)資料。

2.2 人員訪談

經(jīng)與企業(yè)相關(guān)員工進(jìn)行交談和問詢，了解被檢工控系統(tǒng)技術(shù)和管理方面的基本信息、近一個(gè)月至半年的運(yùn)行狀況，并對一些需要抽檢的相關(guān)內(nèi)容進(jìn)行確認(rèn)。

2.3 核查驗(yàn)證

有些信息還需要經(jīng)過上機(jī)確認(rèn)并加以核實(shí)，例如，通過人員訪談和文檔審核中獲得的信息，需要進(jìn)行上機(jī)核查驗(yàn)證。

2.4 現(xiàn)場查看

對被檢工控系統(tǒng)運(yùn)行環(huán)境、運(yùn)維工作環(huán)境等進(jìn)行現(xiàn)場查看。

2.5 安全檢測

根據(jù)實(shí)際情況，檢查人員按照相關(guān)要求對被檢工控系統(tǒng)進(jìn)行檢測。包括：工控漏洞掃描于滲透測試、配置策略核查、記錄并分析運(yùn)行日志等。

3 檢查流程

根據(jù)工業(yè)現(xiàn)場的情況，結(jié)合工業(yè)現(xiàn)場的特性，一般來說檢查流程主要包擴(kuò)方案制定、準(zhǔn)備、現(xiàn)場核查和總結(jié)分析四個(gè)階段，具體如圖1所示。

圖1 工控安全檢查流程

4 安全評估內(nèi)容

相較于安全檢查，安全評估是對檢查過程中系統(tǒng)暴漏的風(fēng)險(xiǎn)進(jìn)行量化分析，主要包括資產(chǎn)評估、脆弱性評估、威脅評估及已有安全措施確認(rèn)。

4.1 資產(chǎn)評估

評估的根本目標(biāo)就是為了保護(hù)工控資產(chǎn)，避免遭受威脅攻擊。為了開展好評估工作，需要對資產(chǎn)進(jìn)行合理分類，并對資產(chǎn)的管理情況進(jìn)行詳細(xì)掌握。

階段一：確定好工控檢查的項(xiàng)目范圍，然后對資產(chǎn)進(jìn)行識別并加以分類，包括人員資料以及軟硬件資產(chǎn)等。

階段二：進(jìn)行資產(chǎn)識別、分類并賦值。

4.2 脆弱性評估

脆弱性是系統(tǒng)資產(chǎn)所暴露的一個(gè)或多個(gè)弱點(diǎn)的特性，脆弱性評估是通過一定方法識別系統(tǒng)在技術(shù)與管理上所暴露脆弱性，并對其進(jìn)行賦值的過程。

技術(shù)脆弱性評估主要是通過文檔、訪談或借助人工及工具等方式對工控系統(tǒng)的主機(jī)、網(wǎng)絡(luò)等技術(shù)層次方面進(jìn)行脆弱性識別并賦值。

管理脆弱性評估主要是借助文檔查閱、管理訪談等方式對人員安全管理、工控安全管理制度、工控安全管理機(jī)構(gòu)等進(jìn)行脆弱性識別并賦值[5]。

4.3 威脅評估

除傳統(tǒng)的信息系統(tǒng)威脅外，工控DCS控制系統(tǒng)的威脅或是來自智能儀表的傳輸數(shù)據(jù)非法篡改、或是來自移動(dòng)介質(zhì)的病毒對上位機(jī)的感染、或是來自網(wǎng)絡(luò)中針對控制器通訊協(xié)議的攻擊。

通過威脅分析，找出信息系統(tǒng)或者DCS控制系統(tǒng)目前存在的潛在風(fēng)險(xiǎn)因素，并進(jìn)行統(tǒng)計(jì)，賦值，以便于列出風(fēng)險(xiǎn)。

4.4 已有安全措施確認(rèn)

在對工控系統(tǒng)脆弱性識別的同時(shí)，也應(yīng)該對已采取的安全措施進(jìn)行相關(guān)確認(rèn)。安全措施確認(rèn)的核心主要在于安全評估是否有效，也就是能否確切地降低了工控系統(tǒng)的內(nèi)在脆弱性，防御了外來威脅。

為了防止不必要的工作和成本，應(yīng)該繼續(xù)保持合理有效的已有安全措施，避免重復(fù)實(shí)施安全措施[6]。當(dāng)確認(rèn)已有安全措施有不適當(dāng)?shù)那闆r，應(yīng)對其核查驗(yàn)證，確定是否取消、實(shí)施修正，或采取更合適的安全措施進(jìn)行替代[7]。

5 工控系統(tǒng)風(fēng)險(xiǎn)綜合分析

風(fēng)險(xiǎn)是一種潛在可能性或概率，是指某個(gè)威脅利用系統(tǒng)的脆弱性，引發(fā)某項(xiàng)資產(chǎn)或一組資產(chǎn)的損失，進(jìn)而直接地或間接地給工控企業(yè)或機(jī)構(gòu)帶來一定的損失。因此，風(fēng)險(xiǎn)和系統(tǒng)的資產(chǎn)本身的價(jià)值、資產(chǎn)暴漏的脆弱性、外在威脅等直接相關(guān)[8]。

資產(chǎn)評估、威脅評估及脆弱性評估是計(jì)算風(fēng)險(xiǎn)的準(zhǔn)備條件，參照風(fēng)險(xiǎn)計(jì)算原理圖，計(jì)算出外在威脅利用內(nèi)在脆弱性導(dǎo)致安全事件發(fā)生的概率，綜合分析資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度判斷一旦發(fā)生安全事件將帶來的損失，從而計(jì)算出風(fēng)險(xiǎn)值，風(fēng)險(xiǎn)計(jì)算原理如圖2所示[9]。

圖2 風(fēng)險(xiǎn)計(jì)算原理

6 結(jié)語

近年來，隨著兩化融合的推進(jìn)，工業(yè)控制系統(tǒng)也開始互聯(lián)網(wǎng)化，給工作帶來方便的同時(shí)，也隨之帶來一些安全風(fēng)險(xiǎn)和隱患。因而，對工業(yè)控制系統(tǒng)進(jìn)行相關(guān)檢查及評估顯得尤為重要，本文結(jié)合國內(nèi)外的相關(guān)政策標(biāo)準(zhǔn)，介紹了工業(yè)控制系統(tǒng)的常見檢查方法、檢查流程以及安全評估內(nèi)容，希望對工控系統(tǒng)安全的發(fā)展有一定的推動(dòng)作用。

[1]馮偉.我國工業(yè)控制系統(tǒng)面臨的信息安全挑戰(zhàn)及措施建議[J].信息安全與技術(shù)，2013.

[2]魏曉雷,劉龍濤.電力行業(yè)工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估研究[J].信息安全研究，2018.

[3]蘇曉娟,鐘建強(qiáng),毛鈞慶.美國加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保障的主要舉措探析[J].信息安全與通信保密，2014.

[4]李欲曉,謝永江.世界各國網(wǎng)絡(luò)安全戰(zhàn)略分析與啟示[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2016.

[5]胡士菱.如何做好信息系統(tǒng)安全風(fēng)險(xiǎn)脆弱性評估[J].信息系統(tǒng)工程，2009.

[6]張海霞.基于CVE的網(wǎng)絡(luò)安全評估系統(tǒng)[D].哈爾濱理工大學(xué)，2008.

[7]侯紅霞,劉建華,范九倫.電信網(wǎng)風(fēng)險(xiǎn)評估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007.

[8]李增鵬,馬春光,李迎濤.基于層次分析涉密信息系統(tǒng)風(fēng)險(xiǎn)評估[J].信息網(wǎng)絡(luò)安全，2014.

[9]陳國凱.無線局域網(wǎng)環(huán)境下移動(dòng)智能終端安全評估研究[D].南京師范大學(xué)，2015.