从入门到精通——工业控制系统的网络安全漏洞和风险评估
网络风险有3个关键变量:威胁、漏洞和后果。为了降低工业控制系统的网络风险,企业需要做好网络安全漏洞评估和风险评估。
现在,大多数离散和过程制造工厂的控制和操作,都由基于Ethernet TCP/IP网络和微软操作系统的自动化系统完成的。这些系统的网络安全漏洞,可能会造成潜在重大风险,包括健康、安全和环境等风险。为了解决风险,需要了解它,但是如何做去做呢?功能安全评估侧重于随机硬件故障或系统性软件故障,一般不会考虑网络威胁或网络漏洞。
要了解网络风险,有必要进行网络漏洞评估和网络风险评估。毫不奇怪,这正是网络安全标准和法规所要求的。
网络安全法规和标准
幸运的是,我们有可用的资源。在过去10年中,已经制定了许多标准和法规用来解决这个已知的问题:我们的工业控制系统(ICS)容易受到网络威胁。
诸如北美电力可靠性委员会(NERC)、国际自动化协会(ISA)、美国石油学会(API)、美国国家标准与技术研究所(NIST)、国际电工委员会(IEC)以及其它机构,已经开发了许多标准和文件,来说明保护ICS免受网络攻击的必要性,以及如何做到这一点。
功能安全标准现在也开始对网络漏洞和风险评估做出要求。IEC 61511第二版(功能安全:过程工业安全仪表系统)已于2016年颁布。其中一项新增条款规定:应进行安全风险评估,以识别安全仪表系统(SIS)的安全漏洞。另外一条规定, SIS的设计应对已经识别出的安全风险提供必要的防御。新标准也向读者推荐了ISA 84技术报告和ISA /IEC 62443-3-2标准(安全风险评估和系统设计),这些标准提供了进一步的指导,包括如何进行网络漏洞和风险评估。
网络安全风险是什么?
风险有不同的类型和不同的组成部分,网络安全就是其中之一。对工厂运营来说,可能面临不同的风险,比如机械设备可能会失效、人可能犯错误、电子元件可能会失效、或网络威胁会损害控制系统。要进行风险管理,必须了解风险所有的组成部分,包括网络。尽管要比掌握机械风险困难的多,但是网络风险是可以评估和管理的。否则的话,银行帐户早就被网络罪犯洗劫一空了。
网络风险,通常被认为是3个变量——威胁、漏洞和后果——的函数。威胁是触发事件,如黑客或计算机病毒。威胁随着黑客的技巧和动机以及恶意软件的复杂程度而变化。漏洞是计算机系统的内在缺陷,这是攻击实现的前提条件。最后,如果攻击成功,会造成不想看到的后果。网络安全风险就是利用网络漏洞进行攻击的可能性以及其后果所造成严重程度的组合。
ICS网络安全漏洞评估
漏洞是网络风险的一个关键变量。理论上,如果没有网络漏洞,就没有网络风险。当然,在现实中所有的ICS都有漏洞,只是有的系统多一些,有的少一些而已。漏洞的数量和严重程度取决于所使用的组件、它们是如何配置的以及它们是如何联网的。
那么ICS网络安全漏洞评估是什么呢?它是对ICS设计的评估。一套老旧ICS的设计,可能是从竣工图纸或可找到的图纸开始的(如图1所示)。
图1:工业控制系统(ICS)的网络安全漏洞评估是一种对ICS设计的评估。图片来源:aeSolutions
控制系统是如何构成的?系统由哪些设备组成?它们是如何连接起来的?如何通讯?现代控制系统很多基于以太网和微软操作系统。在大量设施中,要清楚的理解这些组成部分是如何连接起来的,有时比较困难。这些系统经常是经历了几十年来的成长和发展才成为现在的样子的,因此整个系统体系结构图有时可能并不存在。
了解这些网络是如何构建的,可以从分析网络通信以及数据是如何在整个系统中流动的开始。这可以通过记录实际网络流量并将其图示化来实现,以便更好的查看这些数据。
识别哪些设备互相通信,哪些设备应该互相通讯?什么设备已经相互通讯,但是其实不应该这么做,或者不期望这么做?是否有控制系统设备正试图与以太网通讯?图示化通讯,更容易发现异常情况。
然后,漏洞评估将分析构成系统的实际服务器和工作站。目前控制工业设施的操作系统大部分是微软系统平台,如XP系统和Windows Server 2003。识别漏洞需要考察控制装置本身、可编程逻辑控制器、安全仪表系统、操作员界面,变频驱动器、分析仪等等。这些设备大多有以太网端口,并连接到组成控制系统网络的公共网络。
漏洞评估的下一步是将系统划分为不同区域(如图2所示)。这样做有助于更好地分析系统,更好地提供保护功能,以确保真正需要通讯的信息才能进出该区域。
图2:网络安全漏洞评估还需要将系统划分为不同的区域。
漏洞评估还应包括政策和程序的审查,以及差距分析。该系统如何与行业标准和最佳实践相结合?最后,评估应列出已发现的漏洞以及缩小差距的推荐措施。
ICS网络安全风险评估
了解漏洞只是了解了公式的一部分。网络风险是威胁、漏洞和后果的组合。大多数组织想了解什么是真正的网络风险。已有方法可以实现该功能——这就是网络风险评估或网络PHA(过程危害分析)。这是一种非常系统性的方法,在许多方面与PHA或危害和可操作性(HAZOP)研究类似。实际分析过程在IEC 62443-3-2标准中有记录。遵循高危险工艺过程安全管理化学品法规(29 CFR 1910.119),该方法已经获得多次应用。因为它本质上和HAZOP(该技术在工业领域的使用已经超过40年)非常相似,因此该方法效果良好。图3所示就是网络危险评估研究的实例。
图3:网络风险评估研究示例
在该研究中,寻找的是攻击而不是传统上的原因。同时还考虑了漏洞和后果。该方法使用与组织内部其它风险排序相同的风险矩阵。进行这样的研究,有助于区分活动和资源,帮助设计师精心设计和采取对策措施,帮助形成文档和验证决策。网络风险评估将记录为什么某些控制措施已经就位,有时也会说明为何没有就位。
这还是一个非常有效的培训和宣传运动。像HAZOP一样,这些研究需要多学科的团队。需要来自IT、运营、工程及自动化的人员,一起研究系统。遵循该流程,团队最终将形成风险登记和风险状况文件,提供排序的风险清单,以及系统中可能存在风险区域。最终,得到减轻这些风险的一组建议和计划。
这网络风险评估效益
通过网络风险评估,企业将受益良多。它们是任何风险管理程序的基础,提供了与管理层进行风险沟通的一致方法。由于没有任何一个企业或组织拥有无限的资源和无限的预算,因此风险评估的结果对管理层设置缓解措施的优先级非常有帮助。
结构化方法有助于揭示隐藏的风险,或推翻长期以来假定的、有可能被夸大的那些高风险领域。参与由主题专家进行的网络风险评估,是一种有效的培训网络安全人员的方法,同时提高他们对所推荐的缓解措施的接受度。最后,网络风险评估过程中会产生详细的文档和评估,记录所采用以及没有采用的缓解措施的理由。
本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2017年8月刊《技术文章》栏目,原标题为:工业控制系统的网络安全漏洞和风险评估
————本期杂志封面————