2015年7月14日,延续长达12年之久的伊朗核问题取得突破性进展,伊朗与世界六个主要国家达成协议,同意长期限制其核活动,以换取国际社会逐步解除对该国的多项制裁。这很容易让大家联想到2010年7月著名的“震网病毒”事件:据称是美国和以色列联合研发的Stuxnet病毒攻击了伊朗核设施,导致其铀浓缩工厂五分之一的离心机报废,从而使得“伊朗核计划至少推迟了两年多”。虽然我们不能将伊朗在核问题上的妥协直接归功于“震网病毒”,但毫无疑问,针对核心工业系统的网络攻击已经成为有效打击敌对国家的手段,其效果甚至优于一场战争。
“震网病毒”事件为之前相对沉闷的工业信息安全敲响了警钟,开始让人们关注工业控制系统的安全问题。根据权威的工业安全事件信息库RISI的统计,截至到2011年10月,全球已发生200余起针对工业控制系统的攻击事件。最近几年,诸如Flame、Havex、Dragonfly等专门针对工业控制系统的渗透和攻击层出不穷。可以说,潘多拉的盒子已经被打开,原来相对封闭的工业控制系统再也无法在互联网时代独善其身。
工业控制系统(Industrial Control Systems,ICS)是几种类型控制系统的总称,包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)和其它控制系统如可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)等,以及确保各组件通信的接口技术。工业控制系统普遍应用在电力、石油天然气、自来水和污水处理、化工、交通运输、造纸等行业,是工业基础设施能够正常运作的关键。
最初的工业控制系统采用专门的硬件和软件来运行专有的控制协议,而且由于是孤立的系统,不太容易受到外部的攻击。随着信息技术的发展,通用的计算机、操作系统(如Windows)和网络协议(TCP/IP)在工业控制系统中得到了广泛应用,大大增加了网络安全漏洞和事故出现的可能。另外,工业控制系统也开始与企业管理网络、生产监控网络互联互通,而这些网络本身又具备相当的开放性,甚至存在与互联网的接口,这为信息系统的安全威胁向生产系统扩散提供了便利条件。可以说,传统的IT系统所面临的信息安全风险,在工业控制系统中都是存在的,并且工业控制系统直接同生产设备交互,决定了其安全性还存在自己的特点。总体来说,工业控制系统的信息安全风险主要来自于以下几个方面:除了上述风险,由于工业控制网络很难接受长时间的停机,又导致了传统的IT安全技术措施和管理措施很难落地。可以说工业控制系统所面临的信息安全风险比传统IT系统更复杂、更多样、更严峻,防护能力又更加薄弱甚至缺失,这使得工业控制系统的安全防护已经成为工业企业“两化融合”建设中的短板。
工业控制系统的信息安全不仅可能造成信息的丢失,还可能造成生产故障、人员损害及设备损坏,其直接财产的损失是巨大的,甚至有可能引起环境问题和社会问题。也因此,工业控制系统的安全也引起了国家的高度重视,并在政策、标准、技术、方案等方面展开了积极应对。2011年,工业和信息化部发布了《关于加强工业控制系统信息安全管理的通知》,要求在关系国计民生的重点领域内,加强对工业控制系统信息安全的管理。2012年6月28号国务院《关于大力推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号)》中明确要求:保障工业控制系统安全;重点保障可能危及生命和公共财产安全的工业控制系统。风险评估各要素的关系如图1所示。方框部分的内容为风险评估的基本要素,椭圆形部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。企业的业务战略是依赖于企业的资产去完成的,资产的价值越高,所面临的风险就越大;而风险是由于威胁而产生的,威胁则是利用了脆弱性,脆弱性越大,企业面临的威胁就越大,从而风险也就越大。风险评估实施的过程,就是对企业资产、脆弱性和威胁进行识别,通过安全措施来对抗威胁,降低风险,从而确保资产的安全和企业业务战略的达成。
图1 风险评估要素关系模型
(1)工业控制系统的信息安全需求跟传统IT系统有区别。信息安全建设要实现三个目标,即信息的保密性、完整性和可用性。在传统IT系统中,通常将保密性放在首位,完整性次之,而可用性则放在最后。而在工业控制系统中,这三个目标的优先级顺序则正好相反。工业控制系统首先要考虑的是生产实时性和业务连续性,因此对控制系统本身的可用性最为关注,其次才是信息的完整性,保密性的实现通常是放在最后。在对工业控制系统进行风险评估时,相关威胁、风险的权重需要进行适当的调整。
(2)工业控制系统面临的威胁和脆弱性更复杂。正如之前的分析,传统的IT系统所面临的信息安全风险,在工业控制系统中都是存在的;而工业控制系统还存在它独特的风险。利用工业应用程序、工业控制协议和工业控制设备存在的漏洞,结合传统的操作系统漏洞、TCP/IP协议漏洞,攻击者可以构建更加隐蔽的攻击通道,这对风险评估方案的设计提出了极高的要求。
(3)工业控制系统中的风险评估实施环境复杂。工业控制系统内的信息安全风险评估需要考虑工业现场的实际情况,不能影响正常的工业生产。举例来说,传统的IT安全评估中常用的漏洞扫描,就可能会对工业控制系统的正常运行产生影响,因此只能在非常特定的时间进行操作。由于很多评估操作无法在实际环境中进行,甚至可能需要借助仿真环境、实验床环境来模拟进行。
目前用于指导信息安全风险评估的方法较多,大多数评估方法都是“自下而上”的,即从计算基础设施开始,过于强调技术弱点,而很少考虑组织的任务和业务目标的风险。根据工业控制系统的特点,可采用OCTAVE(Operationally Critical Threat,Assert, Vulnerability Evaluation 可操作的关键威胁、资产和薄弱点评估方法)方法来指导工业企业的安全风险评估。OCTAVE是美国卡耐基-梅隆大学软件工程研究所下属的CERT协调中心的研发成果,用以定义一种系统的、组织范围内的评估信息安全风险的方法。OCTAVE方法着眼于组织本身并识别出组织所需要保护的对象,明确它为什么存在风险,然后开发出技术和实践相结合的解决方案。
OCTAVE方法强调组织的参与,分析小组由本组织内部的人员组成,并且领导整个评估活动。分析小组必须由来自不同学科的人员组成,包括来自业务部门和信息技术部门的不同人员。在工业控制系统领域,采用OCTAVE方法的优势在于:(1)熟悉工业生产工艺流程、自动化技术和信息技术的人员协同工作,有利于风险评估工作的开展,并制定出符合工业控制系统实际情况的安全策略;
(2)调动现场工作人员参与风险评估,更有利于提升大家的信息安全意识和安全生产意识,巩固评估成果。
