摘 要:“凡事预则立,不预则废”,风险是社会发展必须正视的课题,伴随工业信息化的快速的推进,网络、物联网等技术在智能交通、智能电网、工业生产等工业控制领域得到了非常广的应用,极大的提升了企业的效率。伴随着的工业控制系统安全隐患显露出来,这些系统也同样面临黑客入侵破坏、木马病毒、DDOS攻击等安全威胁,且由于工业控制系统很多应用在石油化工、核工业、电力、交通等高危行业及关系民生的基础设施中,事关社会安全稳定;从国家安全方面,出于军事、经济、政治等目的,敌对势力及恐怖分子有可能把工业控制系统作为攻击目标,安全事故造成的社会影响和损失会极其严重。而安全措施和现有的工控安全设备只能片面加固部分系统,并不能很好的从全局保障工控系统安全,有效的引入成熟的风险评估体系加以改进并以可视化管理来落实相关责任,能有效的提升工控系统安全。
关键词:风险评估;威胁;工业控制系统;SCADA
1 工业控制系统面临的风险现状
各个工控系统制造商逐渐将工控系统安全工作纳入其产品设计研发之中。在研发阶段,很多厂商对自己生产的工控设备进行评估。以西门子、施耐德等为主的大型工控系统厂商都在积极的进行工控系统安全研究。但可看到,这些厂商的工业信息安全虽然宣称贯穿系统的所有安全层级需求,但还主要针对的是自身品牌的设备。同时各个厂商需与传统IT安全领域、各种传统安全厂商无缝合作才可实现整体的信息安全解决方案。更为关键的OT(运营技术)安全领域,这些OT厂商仅能够针对自身设备提供安全解决方案,无法对跨厂商的OT安全提供解决方案。
传统的IT资产的漏洞生命周期已经发展很成熟,当某类传统IT资产出现漏洞时,都会及时通过各种漏洞公告、企业邮件等渠道获得漏洞信息和修复方法,而工控网络领域通常不能做到这么定期和及时。目前国内工控网的运维外包很普遍。工控网的运维外包的同时也把工控网的安全交给了第三方。 企业应该对第三方有充分了解,了解第三方如何访问设备, 应该要求第三方对企业工控系统的采取安全操作措施和安全管理规章。
传统的IT资产出现漏洞后,打补丁进行修复是一种常见的手段,而给工控网打补丁是个很困难的事。工控网常常担负着企业最重要的生产流程。而进行补丁更新可能会导致系统停掉,往往会产生巨大的成本以及风险。
很多工业控制系统采用物理隔离的方式,业务搭建在封闭网络中,访问控制采用局域网远程操控工作站,通过专用端口上报数据,这种系统看似可以杜绝网络入侵,但专用数据端口极有可能被端口扫描工具(类似“网络刺客II”等软件)筛查到,并后续发起IP地址攻击,进而造成工作站瘫痪,上报数据中断,给企业造成很大损失。
2 工控系统安全风险评估体系可视化设计的需求及特点
2.1 基于工控系统安全的风险评估体系的基本需求
2.1.1 识别工控网中的工控设备
进行工控网的风险评估和体系建设,识别工控网中的设备是首要任务。理解并识别在工控网络环境中的工控设备是风险评估体系设计的磐石。这部分的识别输出结果会作为后面的工控系统风险评估体系可视化的基础。
工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护,否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面,层次不清,你中有我、我中有你。例如:一套化工装置控制系统与附带电力、污水等控制系统同时运行于一套网络中,没有主次之分和安全优先级的区别,体系可视化将是混乱复杂地,如果出现安全漏洞,修补也是盲目而片面的。而以立体的架构入手梳理,排查修复隐患将形成标本兼治的效果,将连带“并发症”治于起始。可根据系统资料拓扑图,进一步明确标注各设备硬件,为后续评估设定必要条件。
2.1.2 分析工控设备的访问途径管理
在统计并识别了需要进行风险评估管理的工控设备之后, 需要了解这些设备是如何被访问管理的,分析它们的业务走向。 例如:是否与互联网有效隔离; 是否有硬件设备防护;非授权的人员是否有权限访问工控设备等问题。
设备的使用与管理必须确定相关責任人,这将作为安全权限的设定标准关联到人,这样能在管理上控制权限可能带来的操作隐患。这部分的设备管理分析结果同样会作为后面的工控系统风险评估体系可视化的数据基础。
2.1.3 监控并审计工控设备的使用和访问
工控网系统承担了企业的一些重要的运营,而且由于各种原因导致工控网络设备自身的安全防护很薄弱,所以企业需通过严格的管理制度与监管对工控网络的访问及操作进行审计并做好事后追朔。
通过严格的操作规程防控人的疏忽,例如避免移动存储可能带来的安全隐患等。通过监管审计违规操作的责任人,做到事故有据可依。这部分的审计数据结果会作为后面的工控系统风险评估体系可视化的精华。
2.2 基于工控系统安全的风险评估体系的特点
工控系统功能种类繁多,以一个化工厂为例:动力装置、化工装置、污水装置、化验数据、储运数据等都有各自生产相适应的工业控制系统。工控系统因为定制开发选用的运行平台也千差万别。采用“标同伐异”的归纳方式,给予在风险评估体系建设以及可视化系统设计时,对在工控系统中的传统IT资产辨识,如操作系统、路由器、Web服务器、中间件等进行风险评估。还需覆盖工控系统中所特有的设备系统,比如SCADA、DCS、PLC等,同时还要覆盖对系统漏洞的评估及关键系统的安全配置进行基线评估。而在工控协议辨识中,需要支持主流的协议,比如Modbus、IEC60870-5-104、Profinet 、IEC60870-5-1、IEC61850等主流的工控协议。
工控系统由于开发周期长,投运晚,更新迭代慢等因素,往往部署后已与最新的硬件或操作系统不兼容,为了确保适用性而放弃系统升级的情况也很普遍,相比互联网应用系统更加的脆弱。所以要求工控系统给出兼容性测试反馈,随着技术的更新换代标注兼容性风险,并成为工控系统风险评估体系可视化的一项重要指标。
2.3 工控系统安全的风险评估体系的要求
首先工控系统关系着企业的安全生产,一切评估工作必须以安全为首要原则。其次,生产的连续性是企业效益的前提,风险评估需基于连续性和稳定性有效保障的前提下进行。
在对风险的探识过程中,将工控系统进行扫描评估,应在虚拟环境中反复测试,确保对应用服务无影响再实施。所以需要使用“零影响”的扫描技术以保障设备正常运行。在解决思路上,在开发初期把安全扫描融入到正常的业务流量中,也就是说扫描评估行为与正常的业务行为是基本无异的,将很好的解决系统脆弱的问题。
2.4 工控系统安全的风险评估体系的设计
2.4.1 可视化的工控风险展示
风险的“可视化”是进行风险评估体系必不可少的特性。科学的风险发现、风险跟踪技术可以很好的提高整体风险控制的水平,可为整个风险评估体系设计带来更高的效率。工控系统发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化系统安全资源的配置,确保重点。通过构建“云安全”的安全辨识系统,将历史安全故障的风险点、国内外工控事故的隐患事例、本地工控系统告警、违规操作预警等数据综合列出安全级别,结合企业安全应急方案形成一整套直观的风险处理流程。
2.4.2 工控资产的漏洞跟踪
没有资产漏洞跟踪,工控系统的安全管理人员将疲于应付种类繁杂数量众多的漏洞,由于系统的兼容性问题又不能及时对工控资产的安全进行修补。
因此在漏洞跟踪方面需要大量收集整合工控系统信息,建立起拓扑关系列表,漏洞筛查应用基于资产信息进行脆弱性扫描的分析报告。参考国家信息系统等级保护要求,重新定义系统安全风险评估工作,对设备与工控系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑设备与工控系统的重要性、涉密程度和面临的隐患安全风险等因素,进行相应等级的安全建设和管理。从风险发生区域、类型、严重程度等维度分析,形成漏洞隐患治理的优先级,对严重问题优先修补。该项分析报告将作为可视化安全隐患的一项重要数据在“云安全”的安全辨识系统中进行关联。
2.4.3 工控漏洞管理流程
安全管理不只是技术,更重要的是通过流程制度对安全风险进行控制。很多公司有安全管理制度,但仍然发生安全事故,人对制度的执行起到关键的作用,如何落实安全制度,将人为因素控制在监管范围内是急需解决的问题。安全管理流程制度一般包括预警、检测、分析管理、修补、审计等环节,结合安全流程中的预警、检测、分析管理、审计环节,通过事件告警促使安全管理人员进行修补。工控漏洞管理流程在构建“云安全”的安全辨识系统中,对系统漏洞实施可视化闭环监督,对漏洞的修补、效果审查、关联影响进行全面的监督评估,将隐患治理形成职责明确有据可依的一整套流程。
2.4.4 风险体系建设中的應急响应
须结合本企业制定风险应急响应预案,一旦发生隐患事故有可操行强、针对性强、处理有序的应对机制,将事故灾难降至最低。
可借鉴P2DR模型的安全的概念(保护时间Pt、检测时间Dt、响应时间Rt和系统暴露时间Et):系统的保护时间应大于系统检测到入侵行为的时间加上系统响应时间,即Pt>Dt+Rt,也就是在隐患危害安全目标之前就能够被检测到并及时处理。通过安全目标尽可能增大保护时间,减少检测时间和响应时间的原则,结合本企业现有资源来定制隐患级别并制定相应应急预案,在系统遭遇风险事故,能尽快恢复,以减少事故损失。
2.4.5 风险评估体系化设计和执行遵循的思路
工控系统的稳定和安全运行是工控风险评估可视化体系运行和设计的服务目的,应当从系统全生命周期、全流程工控系统风险评估可视化体系的设计和运行着手,使工控安全符合企业发展的需要。
本着“谁主管、谁负责”工作原则落实执行,在工控系统生命周期各阶段明确责任部门及安全职责,在全过程中推行安全同步开展,强化安全工作前移,降低运维服务压力。在过程中建立和推行适合本企业的工作机制,包括从规划到验收统一的管理制度、技术规范、运作、实施细则和工作流程,并在过程中梳理支撑手段。统筹规划从前端到运维末端各阶段各部门安全工作的一体化开展,最终推动风险评估可视化体系的设计和执行。
工业控制系统安全是近一两年来备受各方关注的一个新兴安全技术领域。各工控厂商、安全公司都在投入力量展开深入研究,希望能够给行业用户提供一个有效完整的安全解决方案。本文给出一个从工业控制系统漏洞管理入手来进行风险评估可视化体系建设的思路,希能够从体系层面和管理层面来更好的解决工控系统的整体安全问题。
参考文献:
[1]韩兵.PLC与工控系统安全自动化技术及应用[M].北京:中国电力出版社,2011.
[2]王喆,赵刚,吴天水.一种信息安全风险评估可视化模型[J].通信技术,2014(3):314-318.
[3]张敏,张五一,韩桂芬.工业控制系统信息安全防护体系研究[J].工业控制计算机,2013(10):25-27.
[4]黄慧萍,肖世德,孟祥印.基于攻击树的工业控制系统信息安全风险评估[J].计算机应用研究,2015(10):3022-3025.
[5]卢慧康,陈冬青,彭勇,王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表,2014(10):21-25.
[6]陶志坚,姚日煌.工业控制系统信息安全风险评估研究[J].电子产品可靠性与环境试验,2016(6):15-21.