滚动新闻:
原创|工业控制系统信息安全威胁分类
发布时间:2016年06月23日 发布者: 点击次数:7946次
  •  
  •  
  • 原创|工业控制系统信息安全威胁分类

    2016-05-20 高洋  郑东骥 
     
     
     
     
     
     
     
     
     
     
     
     
     
     
    中国信息安全测评中心/高洋  郑东骥 
    由于网络空间的全球互联特性,不仅针对个人和企业的各种网络犯罪近年来呈骤增的趋势,而且国家关键工业基础设施领域也面临黑客组织、恐怖势力、国家对抗的现实威胁。2010年攻击伊朗核电站的震网病毒、2014年Havex病毒窃取工业数据、2015年乌克兰电网因网络攻击导致大规模停电事件,都揭示出国家基础设施在面对网络攻击时表现的脆弱性。因此针对工业控制系统分析其面临的安全威胁至关重要。
     
    通过分析对国内外相关工控标准的研究以及针对工业控制系统特点,定义工业控制系统中威胁主体和类型,提供了相应的安全策略作为参考,这也是对工业控制系统中的安全威胁进行研究的一种思路。
     
    工控系统信息安全威胁的主要表现形式
     
    在信息安全领域,威胁被广泛理解为利用脆弱性的威胁实体所带来的危险。其中,威胁实体也被称之为威胁主体,即可以对资产施加不利行为的实体,通俗地讲,威胁主体是实施威胁的威胁源。在针对工业控制系统制定的信息安全标准IEC 62443中,对威胁的定义进行了延伸,具体表述为:
     
    存在一种情况、能力、行为或是事件,具有破坏信息安全或者引起伤害的可能性。通过比较不难发现,在工业控制领域,对威胁起因的定义更为明确,可以是情况、能力、行为或事件;而由威胁导致的后果,不仅仅是对信息安全资产的破坏,更有可能是生产事故等伤害。总体上,工业控制系统中关于威胁的定义是在传统信息安全基础上的延伸和扩展。
     
    在针对威胁的分类上,在德国BSI的《IT 基线保护手册》中,对近百种已被定义的威胁作出了以下五种分类:
     
    ·不可抗力 Force Majeure
     
    ·组织缺陷Organizational
     
    ·人为故障 Human Failure
     
    ·技术故障 Technical Failure
     
    ·蓄意行为 Deliberate Acts
     
    而在《信息安全风险评估——探索与实践》中对威胁的分类也有相应的描述和分析。其在结合OCTAVE(可操作的关键威胁、资产和薄弱点评估)中有关威胁的表述方法的基础上,将威胁划分为以下几类:
     
    ·通过网络进入信息系统的行为人:这种威胁在分类上被归为对组织重要资产的基于网络的威胁,是行为人的故意的或意外的行为。
     
    ·通过物理方式接近信息系统的行为人:这种威胁在分类上被归位对组织重要资产的物理威胁。是行为人的故意的或意外的行为。
     
    ·系统问题:这种威胁在分类上被归为组织信息技术系统的问题,包括硬件缺陷、软件缺陷、相关系统的不可用、重要基建(远程通信、电力等)的不可用,如电力中断、水管爆裂等(人员编制缺乏,IT专业技能缺乏,此部分对系统的影响较大)。
     
    ·病毒、恶意代码问题:目前已经成为影响系统安全运行的重要因素。
     
    ·自然灾害:这种威胁在分类中属于组织范围之外的问题和情况。这种威胁类包括自然灾害(诸如洪水、地震或风暴等)
     
    借鉴上述针对威胁的分类,结合工业控制系统的自身特点,工控安全威胁可能有以下几种表现形式:
     
    1)心怀不满的在职员工的恶意行为:了解工艺,能接触到各种设备,但是计算机能力一般。对于破坏行为希望能够掩饰。
     
    2)无特殊诉求的黑客:计算机能力较强,但是难以直接接触到各种设备,对工厂情况了解不多,对破坏行为和过程不一定要掩饰。
     
    3)心怀不满的离职员工恶意行为:了解工艺,不一定能接触到各种设备,但可能利用制度漏洞在离职后仍然保有网络接入或直接接触设备的可能。计算机能力一般,对破坏行为希望能够掩饰。
     
    4)经济罪犯的恶意行为:目标明确,希望劫持控制系统后换取经济利益。
     
    5)恐怖分子的恶意行为:目标明确,希望劫持控制系统后造成重大社会影响。
     
    6)敌对势力或敌对国家的恶意行为:目标明确,资源丰富,可以执行各种攻击。
     
    7)在职员工误操作:在设备接线、开关电源和功能操作上可能会出现错误的操作
     
    8)硬件缺陷:硬件自身信息安全能力较弱,或被敌对势力预先植入后门。
     
    9)软件开发缺陷:软件开发的不严谨造成的问题。
     
    10)自然灾害:信息系统遭到雷击、电击、震动等原因导致接线变动。此类灾害随机性大,目标不明确,后果难预料
     
    11)重要基建失效:能源等公共服务供应失效。
     
    为了便于表述和研究,可以将这11种威胁源(或威胁主体)按照有意/无意,或是组织内/组织外的方法在表格中表示:
     
     
     
     
     
     
    研究工控系统信息安全威胁的意义
     
    对于工业控制系统信息安全威胁的研究,其意义主要表现在:通过识别工业控制系统中的安全威胁,可有助于对工控安全需求的定义。同时,无论是对于工业控制系统信息安全目标的制定,还是安全要求的提取,都需要明确资产的威胁,以此作为定义工控信息安全需求的关键要素之一。在关于保护轮廓和安全目标的产生指南(GB/Z 20283)中,对此已经做了明确要求。
     
     
     
     
     
     
    通过上述一系列论述和研究,最终的目的还是要回到如何强化工业控制系统信息安全上。针对前面总结出的11种威胁,结合NIST的相关文件,从管理、操作、技术三个方面着手,针对不同种类的威胁源,总结出一个可以直接对抗威胁源的安全策略矩阵,以此提供一些参考和建议。
     
    例如,通过访问控制可以提供仅供授权用户进行操作的机制,加强系统的安全能力,尤其是程序、信道等的接入点和入口,在一定程度上阻止来自普通黑客的威胁。
     
     
     
     
     
     
    在“中国制造2025”和“工业4.0”的大背景下,信息和网络技术在工业控制领域扮演着越来越重要的角色,就目前情况来看,我国工业基础设施仍将长期处于脆弱状态,且伴随着“互联网+”的发展,其面临的安全风险将进一步加大。对此,针对工业控制系统的安全威胁进行研究不仅重要,也十分有意义。(本文刊登于《中国信息安全》2016年第4期)