由于網(wǎng)絡(luò)空間的全球互聯(lián)特性,不僅針對(duì)個(gè)人和企業(yè)的各種網(wǎng)絡(luò)犯罪近年來(lái)呈驟增的趨勢(shì),而且國(guó)家關(guān)鍵工業(yè)基礎(chǔ)設(shè)施領(lǐng)域也面臨黑客組織、恐怖勢(shì)力、國(guó)家對(duì)抗的現(xiàn)實(shí)威脅。2010年攻擊伊朗核電站的震網(wǎng)病毒、2014年Havex病毒竊取工業(yè)數(shù)據(jù)、2015年烏克蘭電網(wǎng)因網(wǎng)絡(luò)攻擊導(dǎo)致大規(guī)模停電事件,都揭示出國(guó)家基礎(chǔ)設(shè)施在面對(duì)網(wǎng)絡(luò)攻擊時(shí)表現(xiàn)的脆弱性。因此針對(duì)工業(yè)控制系統(tǒng)分析其面臨的安全威脅至關(guān)重要。
通過(guò)分析對(duì)國(guó)內(nèi)外相關(guān)工控標(biāo)準(zhǔn)的研究以及針對(duì)工業(yè)控制系統(tǒng)特點(diǎn),定義工業(yè)控制系統(tǒng)中威脅主體和類型,提供了相應(yīng)的安全策略作為參考,這也是對(duì)工業(yè)控制系統(tǒng)中的安全威脅進(jìn)行研究的一種思路。
工控系統(tǒng)信息安全威脅的主要表現(xiàn)形式
在信息安全領(lǐng)域,威脅被廣泛理解為利用脆弱性的威脅實(shí)體所帶來(lái)的危險(xiǎn)。其中,威脅實(shí)體也被稱之為威脅主體,即可以對(duì)資產(chǎn)施加不利行為的實(shí)體,通俗地講,威脅主體是實(shí)施威脅的威脅源。在針對(duì)工業(yè)控制系統(tǒng)制定的信息安全標(biāo)準(zhǔn)IEC 62443中,對(duì)威脅的定義進(jìn)行了延伸,具體表述為:
存在一種情況、能力、行為或是事件,具有破壞信息安全或者引起傷害的可能性。通過(guò)比較不難發(fā)現(xiàn),在工業(yè)控制領(lǐng)域,對(duì)威脅起因的定義更為明確,可以是情況、能力、行為或事件;而由威脅導(dǎo)致的后果,不僅僅是對(duì)信息安全資產(chǎn)的破壞,更有可能是生產(chǎn)事故等傷害??傮w上,工業(yè)控制系統(tǒng)中關(guān)于威脅的定義是在傳統(tǒng)信息安全基礎(chǔ)上的延伸和擴(kuò)展。
在針對(duì)威脅的分類上,在德國(guó)BSI的《IT 基線保護(hù)手冊(cè)》中,對(duì)近百種已被定義的威脅作出了以下五種分類:
·不可抗力 Force Majeure
·組織缺陷Organizational
·人為故障 Human Failure
·技術(shù)故障 Technical Failure
·蓄意行為 Deliberate Acts
而在《信息安全風(fēng)險(xiǎn)評(píng)估——探索與實(shí)踐》中對(duì)威脅的分類也有相應(yīng)的描述和分析。其在結(jié)合OCTAVE(可操作的關(guān)鍵威脅、資產(chǎn)和薄弱點(diǎn)評(píng)估)中有關(guān)威脅的表述方法的基礎(chǔ)上,將威脅劃分為以下幾類:
·通過(guò)網(wǎng)絡(luò)進(jìn)入信息系統(tǒng)的行為人:這種威脅在分類上被歸為對(duì)組織重要資產(chǎn)的基于網(wǎng)絡(luò)的威脅,是行為人的故意的或意外的行為。
·通過(guò)物理方式接近信息系統(tǒng)的行為人:這種威脅在分類上被歸位對(duì)組織重要資產(chǎn)的物理威脅。是行為人的故意的或意外的行為。
·系統(tǒng)問題:這種威脅在分類上被歸為組織信息技術(shù)系統(tǒng)的問題,包括硬件缺陷、軟件缺陷、相關(guān)系統(tǒng)的不可用、重要基建(遠(yuǎn)程通信、電力等)的不可用,如電力中斷、水管爆裂等(人員編制缺乏,IT專業(yè)技能缺乏,此部分對(duì)系統(tǒng)的影響較大)。
·病毒、惡意代碼問題:目前已經(jīng)成為影響系統(tǒng)安全運(yùn)行的重要因素。
·自然災(zāi)害:這種威脅在分類中屬于組織范圍之外的問題和情況。這種威脅類包括自然災(zāi)害(諸如洪水、地震或風(fēng)暴等)
借鑒上述針對(duì)威脅的分類,結(jié)合工業(yè)控制系統(tǒng)的自身特點(diǎn),工控安全威脅可能有以下幾種表現(xiàn)形式:
1)心懷不滿的在職員工的惡意行為:了解工藝,能接觸到各種設(shè)備,但是計(jì)算機(jī)能力一般。對(duì)于破壞行為希望能夠掩飾。
2)無(wú)特殊訴求的黑客:計(jì)算機(jī)能力較強(qiáng),但是難以直接接觸到各種設(shè)備,對(duì)工廠情況了解不多,對(duì)破壞行為和過(guò)程不一定要掩飾。
3)心懷不滿的離職員工惡意行為:了解工藝,不一定能接觸到各種設(shè)備,但可能利用制度漏洞在離職后仍然保有網(wǎng)絡(luò)接入或直接接觸設(shè)備的可能。計(jì)算機(jī)能力一般,對(duì)破壞行為希望能夠掩飾。
4)經(jīng)濟(jì)罪犯的惡意行為:目標(biāo)明確,希望劫持控制系統(tǒng)后換取經(jīng)濟(jì)利益。
5)恐怖分子的惡意行為:目標(biāo)明確,希望劫持控制系統(tǒng)后造成重大社會(huì)影響。
6)敵對(duì)勢(shì)力或敵對(duì)國(guó)家的惡意行為:目標(biāo)明確,資源豐富,可以執(zhí)行各種攻擊。
7)在職員工誤操作:在設(shè)備接線、開關(guān)電源和功能操作上可能會(huì)出現(xiàn)錯(cuò)誤的操作
8)硬件缺陷:硬件自身信息安全能力較弱,或被敵對(duì)勢(shì)力預(yù)先植入后門。
9)軟件開發(fā)缺陷:軟件開發(fā)的不嚴(yán)謹(jǐn)造成的問題。
10)自然災(zāi)害:信息系統(tǒng)遭到雷擊、電擊、震動(dòng)等原因?qū)е陆泳€變動(dòng)。此類災(zāi)害隨機(jī)性大,目標(biāo)不明確,后果難預(yù)料
11)重要基建失效:能源等公共服務(wù)供應(yīng)失效。
為了便于表述和研究,可以將這11種威脅源(或威脅主體)按照有意/無(wú)意,或是組織內(nèi)/組織外的方法在表格中表示:
研究工控系統(tǒng)信息安全威脅的意義
對(duì)于工業(yè)控制系統(tǒng)信息安全威脅的研究,其意義主要表現(xiàn)在:通過(guò)識(shí)別工業(yè)控制系統(tǒng)中的安全威脅,可有助于對(duì)工控安全需求的定義。同時(shí),無(wú)論是對(duì)于工業(yè)控制系統(tǒng)信息安全目標(biāo)的制定,還是安全要求的提取,都需要明確資產(chǎn)的威脅,以此作為定義工控信息安全需求的關(guān)鍵要素之一。在關(guān)于保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南(GB/Z 20283)中,對(duì)此已經(jīng)做了明確要求。
通過(guò)上述一系列論述和研究,最終的目的還是要回到如何強(qiáng)化工業(yè)控制系統(tǒng)信息安全上。針對(duì)前面總結(jié)出的11種威脅,結(jié)合NIST的相關(guān)文件,從管理、操作、技術(shù)三個(gè)方面著手,針對(duì)不同種類的威脅源,總結(jié)出一個(gè)可以直接對(duì)抗威脅源的安全策略矩陣,以此提供一些參考和建議。
例如,通過(guò)訪問控制可以提供僅供授權(quán)用戶進(jìn)行操作的機(jī)制,加強(qiáng)系統(tǒng)的安全能力,尤其是程序、信道等的接入點(diǎn)和入口,在一定程度上阻止來(lái)自普通黑客的威脅。
在“中國(guó)制造2025”和“工業(yè)4.0”的大背景下,信息和網(wǎng)絡(luò)技術(shù)在工業(yè)控制領(lǐng)域扮演著越來(lái)越重要的角色,就目前情況來(lái)看,我國(guó)工業(yè)基礎(chǔ)設(shè)施仍將長(zhǎng)期處于脆弱狀態(tài),且伴隨著“互聯(lián)網(wǎng)+”的發(fā)展,其面臨的安全風(fēng)險(xiǎn)將進(jìn)一步加大。對(duì)此,針對(duì)工業(yè)控制系統(tǒng)的安全威脅進(jìn)行研究不僅重要,也十分有意義。