摘要：隨著(zhù)工業(yè)領(lǐng)域出現越來(lái)越多的信息安全事件，針對工業(yè)領(lǐng)域的安全威脅與風(fēng)險日益突出。然而與IT領(lǐng)域不同，針對工業(yè)領(lǐng)域的安全風(fēng)險評估開(kāi)展較少，主要原因在于工業(yè)網(wǎng)絡(luò )與系統有其特殊性，當前缺乏合適的標準、工具等。本文分析了工業(yè)信息安全威脅和需求，介紹了風(fēng)險評估的總體思路與方法，并針對ISO27001[1- 8]，等級保護[9-10]以及基于IEC62443[11-15]的工控系統安全評估方法與實(shí)踐進(jìn)行了深入的探討。

    關(guān)鍵詞：工業(yè)控制系統；工業(yè)安全；風(fēng)險評估；ISO2 7 0 0 1；等級保護；IEC62443

    Abstract: With more and more industrial security incidents, the Industrial automation control system (IACS) is facing critical threats and risks. Unlike IT and Internet area, the systematic risk assessments are not well conducted in industrial area. Currently we need consider the difficulties of IACS risk assessment, such as the high availability
requirement of running system, lack of proper practical security tools and standards for this work. In this paper, we analyzed the industrial security threats and requirements, introduced the main process and methodology of risk assessment, and discussed how to implement the risk assessment based on different standards such as ISO 27001, Grade Protection and IEC 62443.

    Key words: Industrial control system; Industrial security; Risk assessment; ISO27001; Grade protection; IEC62443 

    

    工業(yè)發(fā)展史上經(jīng)歷了三次大的變革，目前正在向“工業(yè)4.0”演進(jìn)。第一次工業(yè)革命發(fā)生在1784年，以蒸汽機驅動(dòng)為代表，第二次工業(yè)革命則以1870年的流水線(xiàn)和電力驅動(dòng)為代表，第三次工業(yè)革命從19世紀70年代開(kāi)始，出現了以PLC為代表的電氣和信息技術(shù)驅動(dòng)的自動(dòng)化生產(chǎn)。 “工業(yè)4.0”概念即是以智能制造為主導的第四次工業(yè)革命，或革命性的生產(chǎn)方法。該戰略旨在通過(guò)充分利用信息通訊技術(shù)和網(wǎng)絡(luò )空間虛擬系統—信息物理系統（Cyber-Physical System)相結合的手段，將制造業(yè)向智能化轉型。“工業(yè)4.0”概念包含了由集中式控制向分散式增強型控制的基本模式轉變，將建立一個(gè)高度靈活的個(gè)性化和數字化的產(chǎn)品與服務(wù)的生產(chǎn)模式。

    這一趨勢為工業(yè)自動(dòng)化生產(chǎn)帶來(lái)了全面的技術(shù)進(jìn)步、生產(chǎn)力提高、成本降低與競爭實(shí)力的增強。但凡事有利必有弊，IT技術(shù)的開(kāi)放、互聯(lián)的特點(diǎn)，同時(shí)也為各種網(wǎng)絡(luò )攻擊提供了滋生的土壤，導致各種潛在的安全威脅日益增長(cháng)。近年來(lái)，隨著(zhù)經(jīng)濟全球化的深入推進(jìn)，國際競爭越來(lái)越激烈，工業(yè)控制系統作為能源、制造、軍工等關(guān)系到國計民生關(guān)鍵基礎設施，面臨著(zhù)以網(wǎng)絡(luò )空間戰為代表的高風(fēng)險運行環(huán)境。據統計，過(guò)去一年，國家信息安全漏洞共享平臺收錄了100余個(gè)對我國影響廣泛的工業(yè)控制系統軟件安全漏洞，較2010年大幅增長(cháng)近10倍。

    在“工業(yè)4.0”的大趨勢下，工業(yè)控制系統與網(wǎng)絡(luò )與IT的結合更加緊密，面臨的安全威脅和風(fēng)險日益突出。然而當前的工業(yè)控制系統信息安全工作還處于起步階段，有必要加強信息安全風(fēng)險評估，對識別出來(lái)的安全風(fēng)險進(jìn)行有效的處置和管理。

    1　工業(yè)信息安全威脅與需求

    近年來(lái)，IT技術(shù)在工業(yè)控制系統中得到了廣泛的應用。包括工業(yè)控制系統的核心——過(guò)程控制系統PCS（Process Control System）、數據采集與監視控制系統SCADA（Supervisory Control And Data Acquisition）、分布式控制系統DCS（Distributed Control System）在內的各工業(yè)控制系統逐漸從封閉、孤立的系統走向互聯(lián)（包括與IT辦公系統互聯(lián)），日益廣泛地采用各種IT技術(shù)。同時(shí)，以可編程邏輯控制器PLC（Programmable Logic Controller）為代表的現場(chǎng)控制設備也日益變得開(kāi)放和標準化?，F代工業(yè)控制網(wǎng)絡(luò )的發(fā)展呈現出一系列值得關(guān)注的趨勢。

    2010年，第一個(gè)以SCADA為攻擊目標的 Stuxnet病毒出現，成功侵襲了伊朗納坦茲核設施，令不少離心機癱瘓。由此可見(jiàn)，針對工業(yè)控制系統的攻擊行為，已經(jīng)對國家經(jīng)濟和社會(huì )發(fā)展產(chǎn)生深遠的影響。事實(shí)上，不僅是“震網(wǎng)(Stuxnet）”病毒，近年來(lái)相繼涌現出的著(zhù)名惡意軟件如“毒區（Duqu）”、“火焰（Flame）”等，也將攻擊重心向石油、電力等國家命脈行業(yè)領(lǐng)域傾斜，工業(yè)控制系統面臨的安全形勢越來(lái)越嚴峻。

     當前通用開(kāi)發(fā)標準與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使得針對ICS 系統的攻擊行為出現大幅度增長(cháng)，ICS 系統對于信息安全管理的需求變得更加迫切。安全漏洞的涌現，無(wú)疑為工業(yè)控制系統增加了風(fēng)險，進(jìn)而影響正常的生產(chǎn)秩序，甚至會(huì )危及人員健康和公共財產(chǎn)安全。從整個(gè)架構上看，工業(yè)控制系統是由服務(wù)器、終端、前端的實(shí)時(shí)操作系統等共同構成的網(wǎng)絡(luò )體系，同樣涉及物理層、網(wǎng)絡(luò )層、主機層、應用層等傳統信息安全問(wèn)題。在整個(gè)工業(yè)控制系統中，大多數工控軟件都是運行在通用操作系統上，例如操作員站一般都是采用Linux或Windows平臺，由于考慮到系統運行的穩定性，一般系統運行后不會(huì )對Linux或Windows平臺打補??；另外，大多工業(yè)控制網(wǎng)絡(luò )都屬于專(zhuān)用內部網(wǎng)絡(luò )，不與互聯(lián)網(wǎng)相連，即使安裝反病毒軟件，也不能及時(shí)地更新病毒數據庫。此外，工業(yè)控制系統的安全管理一直是個(gè)薄弱環(huán)節，例如操作維護人員的安全意識，安全技能有待提高。在信息安全配置方面，弱口令，開(kāi)放的危險端口與服務(wù)等現象較為突出，嚴重降低了工業(yè)控制系統的安全水平。

    因此必須開(kāi)展定期的信息安全風(fēng)險評估，標識關(guān)鍵資產(chǎn)與保護對象，識別安全威脅與脆弱性，進(jìn)而計算相關(guān)安全風(fēng)險，并對安全風(fēng)險進(jìn)行有效的處置，逐步提升工業(yè)控制系統與網(wǎng)絡(luò )的信息安全整體水平。

    2　風(fēng)險評估主體思路和框架

    通過(guò)對國際標準、國家政策以及行業(yè)中對于風(fēng)險評估的理解、分析和總結，我們認為在風(fēng)險評估的整個(gè)過(guò)程中，主要包含三個(gè)要素，這三個(gè)要素之間相互作用和影響，他們之間的關(guān)系如圖1所示。
 

    風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性是威脅出現的頻率；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴重程度。風(fēng)險分析主要內容為：

    （1）對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的重要性進(jìn)行賦值；

    （2）對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現的頻率賦值；

    （3）對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；

    （4）根據威脅和脆弱性的識別結果判斷安全事件發(fā)生的可能性；

    （5）根據脆弱性的嚴重程度及安全事件所作用資產(chǎn)的重要性計算安全事件的損失；

    （6）根據安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。

    3　ISO27001評估方法

    ISO27001是國際標準化組織（ISO）于2005年10月頒布的一個(gè)針對信息安全管理體系的國際標準，作為信息安全管理方面最著(zhù)名的國際標準，ISO27001正迅速被全球所接受。依據ISO27001標準進(jìn)行信息安全管理體系建設，是當前各行業(yè)組織在推動(dòng)信息安全保護方面最普遍的思路和決策。 ISO27001以安全控制點(diǎn)/控制措施為主，強調以風(fēng)險控制點(diǎn)的方式來(lái)達到信息安全管理的目的，其共涵蓋了11個(gè)安全領(lǐng)域（如表1所示），39個(gè)安全控制點(diǎn)，133個(gè)安全控制措施。
 

    西門(mén)子的ISO27001差距分析是以ISO27001標準（包括ISO 27002）為標桿，評估ISO27001所要求的11個(gè)安全領(lǐng)域的133個(gè)基本安全控制在企業(yè)信息系統中的實(shí)施配置情況，涉及到信息系統安全技術(shù)和安全管理上的各項安全控制措施，進(jìn)而全面得出：

    （1）企業(yè)是否已經(jīng)通過(guò)實(shí)施及運作控制措施，有效管理企業(yè)面臨的信息安全風(fēng)險；

 

    （2）為明確企業(yè)信息安全需求和建立信息安全目標提供客觀(guān)依據；

    （3）企業(yè)安全管理與技術(shù)現狀與標準要求之間的差距，并給出詳細的差距分析說(shuō)明。

    4　信息安全等級保護評測

    信息系統根據其在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度，遭到破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其它組織的合法權益的危害程度等，由低到高劃分為五級。不同安全保護等級的信息系統應具有不同的安全保護能力。

    基本安全要求是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求，根據實(shí)現方式的不同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大類(lèi)。技術(shù)類(lèi)安全要求與信息系統提供的技術(shù)安全機制有關(guān)，主要通過(guò)在信息系統中部署軟硬件并正確地配置其安全功能來(lái)實(shí)現；管理類(lèi)安全要求與信息系統中各種角色參與的活動(dòng)有關(guān)，主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、規范、流程以及記錄等方面做出規定來(lái)實(shí)現。

    西門(mén)子根據國家標準GB/T 28448-2012信息系統安全等級保護測評要求，設計等級保護差距分析問(wèn)卷，對關(guān)鍵工控系統是否達到基本安全控制要求進(jìn)行等級保護測試評估，主要測評國家標準GB/T 22239-2008所要求的基本安全控制在關(guān)鍵工控系統中的實(shí)施配置情況，所涉及的評測內容涉及到信息系統安全技術(shù)和安全管理上的各個(gè)安全控制措施，其中：

    （1）安全技術(shù)類(lèi)評測項包括物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全和數據安全5個(gè)層面；

 

    （2）安全管理評測包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理5個(gè)方面。

    通過(guò)上述各安全領(lǐng)域的等級保護評測實(shí)施，將有效分析出關(guān)鍵信息系統整體的安全等級保護符合情況，特別是在安全技術(shù)控制方面的薄弱環(huán)節，評測結果將用雷達圖及細化的柱狀分布圖予以展現，并將提供詳細的評測結果分析。

 

    5　基于IEC62443的風(fēng)險評估

    在I E C 6 2 4 4 3 中引入了信息安全保障等級（Security Assurance Level， SAL）的概念，嘗試用一種定量的方法來(lái)處理一個(gè)區域的信息安全。它既適用于終端用戶(hù)公司，也適用于工業(yè)控制系統和信息安全產(chǎn)品供應商。通過(guò)定義并比較用于信息安全掃描周期的不同階段的目標（Target）SAL、設計（Design）SAL、達到（Achieved）SAL和能力（Capability）SAL，實(shí)現預期設計結果的安全性。

    國際上針對工業(yè)控制系統的信息安全評估和認證還處于起步階段，尚未出現一個(gè)統一的評估規范。IEC62443第2-4部分涉及到信息安全的認證問(wèn)題，但由于IEC國際標準組織規定，其實(shí)現的標準文件中不能有認證類(lèi)的詞匯，因此工作組決定將該部分標準名稱(chēng)改為“工業(yè)控制系統制造商信息安全基本實(shí)踐”。然而，真正可用于工業(yè)控制系統信息安全評估的規范仍然空白。

    國內由全國工業(yè)過(guò)程測量和控制標準化技術(shù)委員會(huì )（SAC/TC124）和全國信息安全標準化技術(shù)委員會(huì )（SAC/TC260）牽頭，參考IEC62443正在制定我國的工業(yè)控制系統信息安全評估規范標準，目前處于送審階段。該標準規定了工業(yè)控制系統（SCADA、DCS、PLC、PCS等）信息安全評估的目標、評估的內容、實(shí)施過(guò)程等；適用于系統設計方、設備生產(chǎn)商、系統集成商、工程公司、用戶(hù)、資產(chǎn)所有人以及評估認證機構等對工業(yè)控制系統的信息安全進(jìn)行評估時(shí)使用。

    在該標準中將評估分為管理評估和51項系統能力（技術(shù)）評估。其中系統能力（技術(shù)）評估分為四個(gè)級別，由小到大分別對應系統能力等級（capability level）的CL1、CL2、CL3和CL4，該方案實(shí)現的主要技術(shù)指標將以系統能力（技術(shù)）評估結果展現。

    系統能力等級（CL）的說(shuō)明如下：

    （1）能力等級 CL1 ：提供機制保護控制系統防范偶然的、輕度的攻擊。

    （2）能力等級CL2 ：提供機制保護控制系統防范有意的、利用較少資源和一般技術(shù)的簡(jiǎn)單手段可能達到較小破壞后果的攻擊。

    （3）能力等級CL3 ：提供機制保護控制系統防范惡意的、利用中等資源、ICS特殊技術(shù)的復雜手段的可能達到較大破壞后果的攻擊。

    （4）能力等級CL4 ：提供機制保護控制系統防范惡意的、使用擴展資源、ICS特殊技術(shù)的復雜手段與工具可能達到重大破壞后果的攻擊。

 

    6　風(fēng)險處置

    選擇處置措施的原則是權衡利弊：權衡每種選擇的成本與其得到的利益。例如，如果以相對較低的花費可以大大減小風(fēng)險的程度，則應選擇實(shí)施這樣的處置方法。建議的風(fēng)險處置措施如下：

    （1）避免風(fēng)險：在某些情況下，可以決定不繼續進(jìn)行可能產(chǎn)生風(fēng)險的活動(dòng)來(lái)回避風(fēng)險。在某些情況可能是較為穩妥的處理辦法，但是在某些情況下可能會(huì )因此而喪失機會(huì )。

    （2）降低風(fēng)險可能性：在某些情況下，可以決定通過(guò)合同、要求、規范、法律、監察、管理、測試、技術(shù)開(kāi)發(fā)、技術(shù)控制等措施來(lái)達到減小風(fēng)險的目的。

    （3）減小風(fēng)險的后果或影響：在某些情況下，可以決定通過(guò)制定實(shí)施應變計劃、合同、災難恢復計劃、資產(chǎn)重新布置等手段來(lái)減小資產(chǎn)價(jià)值本身或風(fēng)險的后果/影響。這和“降低風(fēng)險可能性”一起，可以達到減小風(fēng)險的目的，也成為“風(fēng)險控制”。

    （4）轉移風(fēng)險：這涉及承擔或分擔部分風(fēng)險的另一方。手段包括合同、保險安排、合伙、資產(chǎn)轉移等。

    （5）接受風(fēng)險：不管如何處置，一般資產(chǎn)面臨的風(fēng)險總是在一定程度上存在。決策者可以在繼續處置需要的成本和風(fēng)險之間進(jìn)行抉擇。在適當的情況下，決策者可以選擇接受/承受風(fēng)險。

    7　結語(yǔ)

    在全球產(chǎn)業(yè)升級與兩化融合的大背景下，我國關(guān)鍵工業(yè)基礎設施領(lǐng)域工業(yè)控制系統自動(dòng)化、數字化、網(wǎng)絡(luò )化程度的不斷提高，工業(yè)控制系統的信息內外交互不斷增多，作為工業(yè)基礎設施安全運行的控制核心，工業(yè)控制系統所面臨的信息安全威脅也日益嚴重，迫切需要在此領(lǐng)域開(kāi)展相關(guān)的信息安全風(fēng)險評估與管理工作，以應對這一嚴重的挑戰。

    參考文獻

    [1] ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems - Overview and vocabulary[S].

    [2] ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements[S].

    [3] ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls[S].

   [4] ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance[S].

    [5] ISO/IEC 27004:2009 Information technology — Security techniques — Information security management —Measurement[S] .

    [6] ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (second edition)[S].

    [7] ISO/IEC 27006:2011 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems[S].

    [8] ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing[S].

    [9] GB/T 20984-2007,信息安全風(fēng)險評估規范[S].

    [10] GB/T 22239—2008,信息系統安全等級保護基本要求[S].

    [11] IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models[S].

    [12] IEC62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].

    [13] IEC62443-3: 2008 Security for industrial process measurement and control - network and system security[S].

    [14] IEC62443-3-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems[S].

    [15] 工業(yè)控制系統信息安全第1部分：評估規范報批稿[S].


    作者簡(jiǎn)介

    胡建鈞（1980-），男，浙江人，碩士，現任西門(mén)子（中國）有限公司技術(shù)經(jīng)理，主要研究方向為信息安全。