《信息安全技术工业控制系统风险评估实施指南(GB-T 36466-2018).docx》由会员分享,可在线阅读,更多相关《信息安全技术工业控制系统风险评估实施指南(GB-T 36466-2018).docx(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 点击此处添加中国标准文献分类号中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术工业控制系统风险评估实施指南Information security technologyImplementation guide to risk assessment of industrial control systems点击此处添加与国际标准一致性程度的标识(本稿完成日期:2016.12.06)XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言II引言III1范围12规范性引用文件13术语、定义和缩略语13.1术语、定义13.2缩略语24
2、工业控制系统风险评估实施概述24.1工业控制系统层次结构模型24.2工业控制系统风险评估实施原则及工作形式34.3工业控制系统风险评估的框架及流程35工业控制系统风险评估实施方法55.1工业控制系统风险评估实施方法概述55.2文档查阅55.3现场访谈65.4现场核查65.5现场测试75.6模拟仿真环境测试76工业控制系统风险评估实施76.1工业控制系统风险评估准备76.2资产评估146.3威胁评估166.4脆弱性评估196.5保障能力评估286.6风险分析306.7残留风险控制31附录A(资料性附录)记录表32附录B(资料性附录)脆弱性及保障能力核查表34参考文献44前言本标准按照GB/T 1
3、.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(TC260)提出并归口。本标准主要起草单位:国家信息技术安全研究中心、中国电子技术标准化研究院、中国电力科学研究院。本标准主要起草人:李京春、李冰、刘鸿运、方进社、庞宁、曾珍珍、刘贤刚、范科峰、王宏、葛培勤、詹雄、刘仁辉、姚相振、周睿康、李健、刘楠、李霞、赵婷、梁潇、徐克超、蔡磊引言随着工业控制系统和信息化技术的融合,工业控制系统广泛应用于冶金、电力、石化、水处理、铁路、航空和食品加工等行业。工业控制系统指应用于工业控制领域的数据采集、监视与控制系统,是由计算机设备、工业过程控制组件和网络组成的控制系统,是工业领域的神经中枢。
4、工业中使用的控制系统包括监视控制与采集系统、分布式控制系统、可编程逻辑控制器系统等。某些国家和地区,把工业控制系统信息安全作为信息安全保障的一个相对独立的体系进行建设,其安全性将直接关系到国家重要基础工业设施生产的正常运行和广大公众的利益。本标准在对工业控制系统的资产进行整理分析的基础上,从其资产的安全特性出发,分析工业控制系统的威胁来源与自身脆弱性,归纳出工业控制系统面临的信息安全风险,并给出实施工业控制系统风险评估的指导性建议。本标准主要为第三方安全检测评估机构在工业控制系统现场实施风险评估提供指南,也可供工业控制系统业主单位进行自评估时参考。44信息安全技术 工业控制系统风险评估实施指南
5、1 范围本标准规定了工业控制系统风险评估实施的过程和方法。本标准适用于指导第三方安全检测评估机构对工业控制系统的风险评估实施工作,也可供工业控制系统业主单位进行自评估时参考。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 20984-2007信息安全技术 信息安全风险评估规范GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南ISO/IEC 62264-1-2013 企
6、业控制系统综合-第1部分:模型和术语3 术语、定义和缩略语3.1 术语、定义GB/T 31509-2015和GB/T 32919-2016中界定的以及下列术语和定义适用于本文件。3.1.1监视控制数据采集系统 SCADA supervisory control and data acquisition system在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。3.1.2分布式控制系统 DCS distributed control system以计算机为基础,在系统内部(单位内部)对生产过程进行分布控制、集中管理的系统。3.1.3
7、主终端单元 MTU master terminal unit一般部署在调度控制中心,作为工业控制系统主站,主要用于生产过程的信息收集和监测。3.1.4远程终端单元 RTU remote terminal unit用于监测、控制远程工业生产装备的各类设备的统称,作为工业控制系统的远程站点。3.1.5可编程逻辑控制器 PLC programmable logic controller采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备。3.1.6智能电子设备 IED intelligent electronic device一般部署在管网站场,主要用于生产过程的信息采集、自动测量记录
8、和传导,通过网络与MTU保持通信。3.1.7人机界面 HMI human-machine interface为操作者和控制器之间提供操作界面和数据通信的软硬件平台。3.2 缩略语下列缩略语适用于本文件。ICS 工业控制系统(Industrial Control System)SCADA 监视控制与数据采集系统(Supervisory Control And Data Acquisition)DCS 分布式控制系统(Distributed Control System)PLC 可编程逻辑控制器(Programmable Logic Controller)PCS 过程控制系统(Process Co
9、ntrol System)RTU 远程终端设备(Remote Terminal Unit)MTU 主终端设备 (Master Terminal Unit)DRP 灾难恢复计划(Disaster Recovery Planning)ACL 访问控制列表(Access Control List)DNS 域名系统(Domain Name System)DHCP 动态主机配置协议(Dynamic Host Configuration Protocol) DNP 分布式网络协议(Distributed Network Protocol)RPC 远程过程调用协议(Remote Procedure Call
10、 Protocol)DCOM 分布式组件对象模式(Microsoft Distributed Component Object Model)OPC 用于过程控制的对象连接与嵌入(Object Linking and Embedding for Process Control)PAD 个人数字助手,又称掌上电脑(Personal Digital Assistant)DoS 拒绝服务(Denial of Service)4 工业控制系统风险评估实施概述4.1 工业控制系统层次结构模型工业控制系统应用的技术领域、行业特点或者承载的业务类型的差异化导致实际中工业控制系统的架构差别较大。为了共识典型的工
11、业控制系统的功能特点和部署形式,本标准参考ISO/IEC62264-1-2013的层次结构模型,给出了一个通用的工业控制系统的层次结构模型,如图1深色部分所示:图1 工业控制系统层次结构模型图根据层次结构模型图中所述,企业资源层与生产管理层中用到的多为传统信息系统中通用软硬件,评估人员可参照GB/T 31509-2015进行评估。过程监控层、现场控制层和现场设备层是工业控制系统中特有部分。本标准的主要内容将规范在这三个层面的风险评估实施工作。4.2 工业控制系统风险评估实施原则及工作形式GB/T 31509-2015规定了风险评估实施的原则包括标准性原则、关键业务原则、可控性原则及最小影响原则
12、。GB/T 20984-2007明确了风险评估的基本工作形式是自评估与检查评估。无论自评估或检查评估均可委托第三方工业控制系统风险评估机构实施。4.3 工业控制系统风险评估的框架及流程4.3.1 风险要素关系风险评估中各要素及其关系如图2所示。图2 工业控制系统风险要素的关系工业控制系统风险评估的基本要素包括资产、威胁、保障能力以及脆弱性。风险评估围绕这些基本要素展开,在对这些基本要素的评估过程中需要充分考虑与基本要素相关的各类属性。风险基本要素与属性间存在如下的关系:a) 工业生产运行依赖资产去实现;b) 资产的价值体现在工业生产运行以及系统信息安全对资产的依赖程度,依赖度越高,资产价值越大
13、;c) 资产价值越大则其面临的威胁越大;d) 风险是由威胁引发的,资产面临的威胁越多则其风险越大;e) 脆弱性是未被满足的安全需求,威胁利用脆弱性来损害资产,从而形成风险;f) 脆弱性越多,威胁利用脆弱性形成安全风险的可能性越大;g) 资产安全可通过保障能力得以保护,需要结合资产价值综合考虑实施成本;h) 保障能力可抵御威胁,弥补或减少脆弱性,降低安全风险。风险不可能降低到零,在实施了安全措施后还会有残留风险。有些残留风险来自于保障能力的不足,需要加强控制,而有些残留风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的风险。4.3.2 风险评估流程工业控制系统风险评估实施分为3个阶
14、段,包括:风险评估准备阶段、风险要素评估阶段、综合分析阶段。根据工业控制系统风险评估的不同阶段,评估方制定相应的工作计划,保证评估工作的顺利进行。风险评估实施过程见第6章,风险评估实施流程如图3所示。图3 风险评估实施流程图5 工业控制系统风险评估实施方法5.1 工业控制系统风险评估实施方法概述对工业控制系统进行风险评估需要进行调查、取证、分析和测试。工业控制系统风险评估的方法主要有五种,包括:文档查阅、现场访谈、现场核查、现场测试和模拟仿真环境测试。5.2 文档查阅文档查阅用于确认组织的政策及技术方面是否全面最新。被评估方应提供评估所需的文件,以确保评估方对其进行全面审查。评估方查阅组织的工
15、业控制系统规划设计方案、网络拓扑图、系统安全防护计划、安全策略、架构、要求、标准作业程序、授权协议、系统互连备忘录、事件响应计划等文档,评估其准确性和完整性。文档查阅有助于评估方了解工业控制系统的基本信息,包括网络拓扑结构、主要软硬件构成等。文档查阅可以发现可能导致丢失、不足或不正确执行的安全策略。评估方需验证组织的文档是否符合标准和法规,查找组织政策的缺陷、过时内容或不合理。实施指南如下:a) 评估方在准备阶段编制一份通用工业控制系统风险评估文档查阅所需文件目录;b) 被评估方根据文件目录提供相对应的文档;c) 评估方审查相关文档内容是否完整合规;d) 当所需文件不可调阅或不存在时,评估方对
16、其进行标注,并就相关内容与被评估方沟通。5.3 现场访谈现场访谈用于收集客观事实材料,补充在文档查阅中未被发现的工业控制系统细节,进一步理解和洞察工业控制系统的开发、集成、供应、使用、管理等过程。 评估方应在评估实施之前准备好访谈问卷或调查表。访谈中,可以根据被访者的反映,对调查问题作调整或展开。现场访谈调查表参见附录A。实施指南如下:a) 评估方在评估准备阶段编制一份通用工业控制系统风险评估访谈调查表;b) 被评估方根据具体问题分配不同的人员配合评估方访谈,分配的人员应是最熟悉该评估对象的人员;c) 若访谈对象对某些问题无法给出确定的答复,应对该问题进行标注。并在后续评估过程中对其进行确认;
17、d) 对访谈中需要验证的问题进行标注,以备后期现场核查及技术确认;e) 访谈对象在访谈结束后对访谈记录进行核查,若无误则进行签字确认。5.4 现场核查现场核查是在工业控制系统现场生产环境下进行的核查工作,能够真实地反应系统的安全问题。以下几种情况可能需要使用现场核查:a) 对工业控制系统现场物理环境评估;b) 对工业控制系统配置、系统架构和系统日志等评估;c) 对工业控制系统安全管理评估;d) 对已采取安全措施进行确认实施指南如下:a) 评估方需将需要现场核查的测试项与工业控制系统现场生产管理、操作人员进行沟通,制定现场核查计划安排,工业控制系统可能分布区域很大,涉及的部门多,需提前做好计划安
18、排,统筹时间和人员等;b) 部分工业控制系统所在的现场环境恶劣,应严格遵守被评估方现场规章制度,必要时在进入工业控制系统现场前,被评估方可组织评估人员进行安全教育培训,保障人员的安全;c) 评估方核查工业控制系统的访问控制、审计等功能时,需工业控制系统现场生产管理、操作人员和相应的信息安全人员在场,最好由工业控制系统操作人员对其进行核查操作,评估人员只查看并记录结果;d) 现场核查测试时,评估方不应改动工业控制系统的任何配置;e) 记录现场核查的结果。若发现不符合项或脆弱项,需对其进行验证。5.5 现场测试工业控制系统分为离散型和连续型。某些离散的工业控制系统,如数控机床等,处于非运行状态时可
19、以进行现场测试。现场测试是指直接在待评估工业控制系统现场环境上进行安全性测试,这种测试方法能够更真实的反应工业控制系统存在的脆弱性。现场测试方法包括漏洞扫描、协议分析、设备漏洞挖掘、渗透性测试等。渗透性测试的目的是为发现和确认工业控制系统的脆弱性,可在被评估方允许的前提下对离散过程的工业控制系统实施。测试前应与相关专家讨论具体的实施方案和评估可能产生的后果,并制定相应的处置计划。评估方应谨慎使用渗透性测试方法。现场测试完成后,需要对系统进行验证才能再次投入使用。5.6 模拟仿真环境测试连续型工业控制系统往往处于不间断运行状态,任何系统故障都可能造成巨大的损失。风险评估过程中脆弱性识别往往需要进
20、行攻击测试或绕过系统的安全机制,若直接在生产系统上实施会带来更大的安全风险,甚至导致工业控制系统崩溃或进入不可控状态。因此需要搭建模拟仿真测试环境并在此基础上进行安全测试工作。由于测试工作仅在模拟环境中进行,不会对现场工业控制系统的正常运行造成影响。模拟仿真环境下的测试评估是最有效的测试评估方法,能够更大地发现被测试系统内的流程、协议、实现等安全漏洞。模拟仿真测试评估在测试过程中可能会造成被测试设备的损坏,或导致被测试系统的数据库中产生无效数据。若使用工业控制系统的开发、测试、或备用系统作为模拟仿真测试环境,在测试完成后需要经过验证才能将其投入使用,以承担其原本的功能。模拟仿真测试最常用的技术
21、测试方法包括:渗透测试、固件逆向分析、专用嵌入式系统分析、源代码审计、程序的上传下载漏洞分析、专有协议分析、硬件板卡分析等。常用的检测工具包括漏洞扫描器,渗透性测试工具,通讯协议数据捕获工具等。在模拟仿真环境中既可对整个系统的安全性进行测试,评估系统整体安全状况,也可针对重要设备进行单独的组件测试,以识别工业控制系统的关键风险。6 工业控制系统风险评估实施6.1 工业控制系统风险评估准备6.1.1 风险评估准备概述风险评估的准备是整个风险评估过程有效性的保证。评估方与被评估方都应充分做好风险评估实施前的各项准备工作。为保障风险评估工作的顺利开展,应召开风险评估工作启动会议,GB/T 31509
22、-2015规定了启动会议的内容及意义。图4是工业控制系统风险评估准备工作流程。图4 风险评估准备工作流程6.1.2 确定目标风险评估应贯穿于工业控制系统生命周期的各阶段中,由于工业控制系统生命周期各阶段中风险评估实施的内容、对象、安全需求均不同,因此评估方应首先根据当前工业控制系统的实际情况来确定在工业控制系统生命周期中所处的阶段,并以此来明确风险评估目标,如图5所示。具体实施过程可参考GB/T 20984-2007以及GB/T 31509-2015。图5 确定评估目标实施指南如下:a) 评估方应根据输入的文档材料及对相关人员的访谈,分析研判出工业控制系统现在所处的生命周期;b) 根据生命周期
23、不同阶段的要求确定评估目标。6.1.3 确定范围风险评估实施范围是评估方工作的范围。评估范围可以是包括生产管理层和企业资源层在内的整个工业控制系统,也可以是工业控制系统中特有部分或关键业务处理系统等。在确定评估范围时,应结合评估目标以及工业控制系统的实际建设运行情况合理的确定评估范围边界。确定评估范围如图6所示。图6 确定评估范围实施指南如下:a) 评估方应了解工业控制系统所处的工业控制安全基线级别,参见GB/T32919-2016信息安全技术工业控制系统安全控制应用指南;b) 评估方应了解组织要求评估的范围和组织的实际工业控制系统建设情况;c) 风险评估实施范围应包括组织工业控制系统相关的资
24、产、管理机构,关键业务流程等;d) 评估方应结合已确定的评估目标、组织要求评估的范围和组织的实际工业控制系统建设情况,合理定义评估对象和评估范围边界。6.1.4 组建团队风险评估实施团队可由评估方与被评估方的风险评估实施组、专家组共同组成。评估方应由工业控制系统专业人员、信息技术评估人员等组成。一个运行的工业控制系统会涉及到多个利益相关方,包括提供工控产品的厂商、实际销售工控产品的分销商、集成并开发应用系统的集成商、为系统提供运行维护的厂商以及工控系统的所有者等。在进行工业控制系统的风险评估之前,需要清晰界定评估所针对的是工控系统生态的哪一部分,涉及到哪些利益相关方,从而确定风险评估过程中被评
25、估方应当邀请的参与人员。评估实施团队应进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。评估方与被评估方应签署保密协议。每个团队成员应具有明确的角色和责任。为确保风险评估实施工作的顺利有效进行,应采用合理的项目管理机制,主要相关成员角色与职责说明如表1、表2所示。表1 评估方成员角色与职责说明评估方人员角色工作职责项目组长是风险评估项目中实施方的管理者、责任人,具有丰富的工业控制系统风险评估经验。具体工作职责包括:1) GB/T 31509-2015规定的;2) 参与风险评估启动会议;3) 组织开展风险评估方案专家评审会;4) 组织开展风险评估报告等项目成果物专家评审会;5) 组织
26、评估方成员开展保密教育及相关技术培训;6) 参与项目验收会议;7) 配合搭建模拟仿真测试环境。评估人员是负责风险评估项目中技术方面评估工作的实施人员,应熟悉工业控制系统专用的通信协议(例如:DNP3、ModBus、PROFINET、PROFIBUS等);同时应精通编码、逆向工程、协议分析和渗透测试等;部分工业控制系统使用非桌面操作系统,评估实施团队成员应熟悉被检测工业控制系统使用的操作系统。具体工作职责包括:1) GB/T 31509-2015规定的;2) 参与保密教育及相关技术培训。质量管控员是负责风险评估项目中质量管理的人员。具体工作职责包括:1) GB/T 31509-2015规定的;2
27、) 参与保密教育及相关技术培训。表2 被评估方成员角色与职责说明被评估方人员角色工作职责项目组长是风险评估项目中被评估方的管理者。具体工作职责包括:1) GB/T 31509-2015规定的;2) 组织被评估方成员开展保密教育及相关技术培训;3) 组织召开风险评估启动会议;4) 组织开展项目验收会议;5) 组织搭建模拟仿真测试环境。项目协调人是指风险评估项目中被评估方的工作协调人员,应被赋予一定权力。具体工作职责包括:1) GB/T 31509-2015规定的;2) 参与保密教育及相关技术培训;3) 参与风险评估启动会议;4) 配合搭建模拟仿真测试环境。信息安全管理人员是指被评估方的专职信息安
28、全管理人员。在风险评估项目中的具体工作职责包括:1) GB/T 31509-2015规定的;2) 参与保密教育及相关技术培训;3) 配合搭建模拟仿真测试环境。运维及操作人员是指在被评估方的工业控制系统运行维护及操作人员。运维及操作人员承担工业控制系统中的现场控制层及现场设备层的管理运维及使用。在风险评估项目中的具体工作职责包括:1) GB/T 31509-2015规定的;2) 参与保密教育及相关技术培训;3) 配合搭建模拟仿真测试环境。关键产品供应商人员是指工业控制系统关键产品(包括软硬件)供应商人员代表。在风险评估项目中的具体工作职责包括:1) 在项目组长的安排下,配合评估方的工作;2) 参
29、与保密教育培训;3) 参与风险评估项目的验收。系统集成商人员是指工业控制系统的集成商代表,在风险评估项目中具体的工作职责包括:1) 在项目组长的安排下,配合评估方的工作2) 参与保密教育及相关技术培训;3) 配合搭建模拟仿真测试环境;4) 参与对风险评估项目的验收。专家组由工业控制系统相关领域专家组成 ,职责包括:a) 对风险评估实施方案进行评审;b) 对风险评估报告等项目成果物进行评审;c) 对评估工作中出现的关键性问题提供指导;d) 对风险评估整个过程进行监督。6.1.5 系统调研系统调研是熟悉了解被评估对象的过程,风险评估组应进行充分的系统调研,修正评估目标跟范围,同时为风险评估依据和方
30、法的选择、评估内容的实施奠定基础。评估方对工业控制系统进行调研可采取文档查阅、资料收集、现场交流和现场查看等方式进行,如图7所示。图7 系统调研实施指南如下:a) 评估组针对工业控制系统与系统运维、系统操作、关键产品供应商等相关人员进行交流,了解其承担的业务、网络结构、系统边界等;b) 评估组查看其设计文档、使用说明文档等文档:1) 在工业控制系统中,若现场设备及其应用软件非组织自己开发,评估组需仔细审查供应商提供的所有资料,并与供应商取得联系,以便评估实施时可以进行技术沟通;2) 查看工业控制系统的安全需求及对应工业控制系统所处安全控制基线级别,采取哪些工业控制系统安全措施;c) 评估组现场
31、核查工业控制系统的物理环境、操作过程、设备组成等方面的信息并进行资料收集;d) 评估组根据现场调研整理调研结果,编写调研报告。6.1.6 制定评估方案风险评估方案是评估工作实施活动总体计划,用于管理评估工作的开展,使评估各阶段工作可控,并作为评估项目验收的主要依据之一。风险评估方案应得到被评估方的确认和认可。风险评估方案的内容应包括(但不仅限于):a) 风险评估工作框架:包括评估目标、评估范围、评估依据、评估工具等,其中评估依据和评估工具可参见GB/T 31509-2015来确定;b) 评估团队:包括评估组成员、组织结构、角色、责任;c) 评估工作计划:包括各阶段工作内容和工作形式;d) 评估
32、环境要求:根据具体的评估方法选取相应的评估环境,包括工业控制系统现场环境,工业控制系统开发和测试环境,模拟仿真测试环境;e) 风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等;f) 时间进度安排:评估工作实施的时间进度安排。6.1.7 搭建模拟仿真测试环境组织应根据测试方案的需要,搭建合适的模拟仿真测试环境。模拟仿真测试环境搭建需保证与现场工业控制系统的一致性,主要体现在以下几个方面:a) 现场控制层设备、过程监控层设备、网络边界设备,包括其品牌、型号、固件、配置、开启的服务等;b) 关键软件,包括其厂商、版本号、补丁、配置等;c) 通讯协议;d) 系统架构及网络架构;
33、e) 模拟仿真测试环境的规模不必与实际系统相同。若组织存在工业控制系统的开发、测试环境,组织需对其进行评判,满足模拟仿真环境的要求后方可在其中进行进一步的测试评估工作。图8是模拟仿真测试环境示例。图8 模拟仿真测试环境6.2 资产评估6.2.1 资产评估概述资产是对组织具有价值的信息或资源,是安全策略的保护对象。资产价值是资产重要程度或敏感程度的表征。资产评估包括识别资产和评估资产价值两个方面内容。6.2.2 资产分类在一个组织中,资产有多种存在形式。不同类别的资产重要性不同,面临的威胁也不同。对工业控制系统及相关的资产进行分类可以提高资产识别的效率。在实际工作中,具体的资产分类方法可以根据具
34、体的评估对象和要求,由评估方灵活把握。根据资产的表现形式,可将资产分为逻辑资产、物理资产和人力资产等,如表3所示:表3 一种基于表现形式的资产分类方法软资产系统软件:操作系统、数据库管理系统、开发系统等;应用软件:远程拨号软件、OPC、办公软件、数据库软件、远程控制软件、工业控制系统组态软件、工业控制系统相关开发软件、各类工业控制系统工具软件等;源程序:各种共享源代码、自行或合作开发的各种代码、工业控制系统定制开发流程代码、现场设备固件等;工业控制系统专有协议:CAN、MODBUS、PROFIBUS、MPI、PPI、 PROFINET、OPC、DNP3.0、Foundation Fieldbu
35、s、LonWorks、HART和工业以太网等;通用协议:FTP、TFTP、HTTP、DNS、SNMP、Telnet等;数据:保存在信息媒介上的各种数据资料,包括源代码、实时数据库数据、历史数据库数据、系统文档、系统日志、运行管理规程、计划、报告、用户手册、各类文档等。硬资产现场控制层设备: IED、DCS、PLC、RTU等;网络设备:工业控制系统协议转换器、路由器、网关、交换机、调制解调器等;安全设备:工业防火墙、入侵检测系统、网闸、VPN等;计算机设备:服务器、工作站、台式计算机、便携计算机、HMI等;存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;传输线路:光纤、双绞线、无线、C
36、AN总线、MODBUS、PROFIBUS专用工业控制系统总线等;保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等。人力资产掌握重要信息和核心业务的人员:信息安全人员、工业控制系统设计人员、集成人员、关键设备供应商、操作人员、运维人员等。6.2.3 资产调查资产调查是识别组织和工业控制系统中资产的重要途径。资产调查一方面应识别出有哪些资产,另一方面要识别出每项资产自身的关键属性。工业控制系统结构复杂,资产繁多,为保证风险评估工作的进度要求及质量要求,有时不能对所有资产进行全面分析,应选取其中关键的资产进行分析,资产调查如图9所示。图9 资产调查协议也属于系统资产。工业控制系统广
37、泛使用私有协议,往往会出现许多安全问题。资产调查过程中,应识别出工业控制系统使用的通讯协议并对其进行评估。实施指南如下:a) 评估组根据评估目标和范围,确定风险评估对象,并梳理其基本信息,可以参照附录A中表A.1进行访谈; b) 评估方根据组织提供的规划书、设计方案、用户手册等文档并结合现场访谈相关人员识别出工业控制系统的具体业务; c) 评估方根据工业控制系统的业务并结合现场访谈相关人员,识别出工业控制系统的工艺需求以及安全需求;d) 评估方根据工业控制系统的工艺需求和安全需求,结合现场访谈相关人员,识别出关键功能需求及安全需求;e) 评估方根据识别的关键需求、组织提供的资产清单、网络拓扑图
38、等识别出工业控制系统的关键资产。6.2.4 资产分析根据工业控制系统承担的业务,判断资产的可用性、完整性、和保密性的优先级。通常工业控制系统将可用性作为首要需求。进行资产赋值时可以参考如下因素:a) 工业控制系统的重要性以及安全等级;b) 资产对工业控制系统正常运行的重要程度;c) 工业控制系统信息安全对资产的依赖程度;d) 资产可用性、完整性、保密性对工业控制系统以及相关业务的重要程度。分析资产的可用性、完整性、保密性安全属性的等级,并参考对可用性、完整性、保密性赋值,经过综合评定得到资产的最终赋值结果,如图10所示。将资产价值分为五个等级,具体含义参见GB/T 20984-2007 图10
39、 资产分析 实施指南如下:a) 根据系统承担的业务,分析研判资产的安全属性可用性、完整性、和保密性的优先级。一般情况下,工业控制系统会将可用性放在第一位;b) 根据资产调查以及资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。6.3 威胁评估6.3.1 威胁评估概述威胁是指可能导致危害系统或组织的不希望事故的潜在起因。威胁是客观存在的,不同的资产面临威胁不同,同一个资产不同威胁发生的可能性和造成的影响也不同。全面、准确的识别威胁有利于做好防范措施。威胁评估要识别出威胁源、威胁途径及可能性和威胁影响,并对威胁进行分析赋值。6.3.2 威胁分类威胁源是产生威胁的主体。不同的
40、威胁源具有不同的攻击能力,在进行威胁调查时,首要应识别存在哪些威胁源,同时分析这些威胁源的动机和能力。攻击者的能力越强,攻击成功的可能性就越大。衡量攻击能力主要包括:施展攻击的知识、技能、经验和必要的资金、人力和技术资源等。工业控制系统表4列出了工业控制系统通常面临的威胁来源。表4 基于威胁源的威胁分类威胁源描述环境因素环境因素包括断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪水、火灾、地震、意外事故等环境危害或自然灾害等;除了自然灾害等不可抗因素,来自环境因素的威胁基本上可以通过加强保障能力来抵御。内部误操作误操作是由于内部人员缺乏责任心、不关心或者不关注、没有遵循规章制度和操作流程、
41、缺乏培训、专业技能不足等导致的工业控制系统故障或被攻击。有意破坏有意破坏是由对组织不满或具有某种恶意目的的内部员工对工业控制系统进行破坏或窃取系统信息;内部人员了解系统状况并具有一定的访问权限,可以物理接触系统、掌握系统的关键信息。进行有意破坏不需要掌握太多入侵知识就可以破坏系统或窃取系统数据。外部攻击外部攻击是外部人员或组织对系统进行的攻击。外部攻击者难以接触系统,须具备一定的资金、人力、技术等资源。不同的攻击者能力差异较大。供应链供应链包括对组织提供硬件、软件、服务等的厂商。厂商可能在提供的软硬件设备上设置 “后门”来达到方便维护人员调试或窃取系统信息等目的。表5中提供了工业控制系统可能存
42、在的威胁。表5 工业控制系统可能面临的威胁威胁名称描述灾难自然灾难使工业控制系统的一个或多个组件停止运行,例如地震,火灾,洪水或其他未预期的事故。停电自然灾难,恶意或无恶意的个人引起的停电事故,影响工业控制系统一个或多个组件的运行。非法信息披露无权限者进行攻击(嗅探,社会活动),以获得储存在工业控制系统组件中的敏感信息。非法分析无权限者进行攻击(嗅探,社会活动),用于分析受保护的敏感信息。非法修改无权限者进行攻击(修改,旁路,嗅探),以修改存储于工业控制系统组件中的敏感信息。非法破坏无权限者进行攻击(破坏,旁路),以破坏存储于工业控制系统组件中的敏感信息。篡改控制组件通过以下攻击(修改,旁路,
43、物理攻击),工业控制系统组件被恶意的人员篡改。错误操作合法操作员意外的发布错误指令或进行错误配置,导致受控工业控制系统过程和组件被破坏。冒充合法用户无权限者进行攻击(嗅探,欺骗,社会活动),以获得存储于工业控制系统组件中的用户凭证,冒充合法用户。抵赖合法用户否认在工业控制系统交互式系统中已执行的错误操作。拒绝服务无权限者进行攻击(破坏,DOS),使工业控制系统组件在一段时间内无法使用,达到系统拒绝为合法用户提供服务的目的。提升权限无权限者进行攻击(错误操作,嗅探,欺骗,社会活动),以获得存储于工业控制系统服务器组件中的用户凭证,提升工业控制系统组件访问的权限,达成恶意目的。故障检测缺失操作员错
44、误操作和安全违规的系统故障,在工业控制系统交互式系统中,执行的日常任务没有被检测和审计,以作进一步的分析和修正。病毒感染个人恶意或无意地将病毒传入工业控制系统网络,恶意代码造成不必要的系统停机和数据腐败。非法物理存取无权限者进行一次物理攻击,以实现对受保护工业控制系统组件的物理存取。6.3.3 威胁调查6.3.3.1 威胁调查概述工业控制系统网络化、系统化、自动化、集成化的不断提高,尤其是互联网技术进入工业控制领域,信息系统与工业控制系统的集成,其面临的安全威胁日益增长。威胁调查就是要识别组织和工业控制系统中可能发生并造成影响的威胁,进而分析哪些威胁发生可能性较大、可能造成重大影响,如图11所
45、示。图11 威胁调查工业控制系统大多部署网闸设备,在工业控制网络和外部网络之间进行网络隔离。威胁调查中要着重识别针对网闸等网络隔离设备的威胁。评估组将被评估的工业控制系统所处的自然环境、相关管理制定策略、资产清单、网络拓扑图、故障记录文件进行汇总,对系统相关人员访谈,识别工业控制系统威胁,如图10所示。实施指南如下:a) 评估方通过查看系统日志,分析系统面临的威胁; b) 评估方可参考组织内其他工业控制系统面临的威胁来分析本系统所面临威胁; c) 评估方可收集一些第三方组织发布的安全态势方面的数据;d) 若系统运行过一段时间,可根据以往发生的安全事件记录,分析系统面临的威胁。例如,系统维修频率
46、、系统受到病毒攻击频率,系统不可用频率,系统遭遇黑客攻击频率等。6.3.3.2 威胁途径及可能性威胁途径是指威胁源对组织或信息系统造成破坏的手段和路径。威胁源对威胁客体造成破坏,有时候并不是直接的,而是通过中间若干媒介的传递,形成一条威胁路径。在风险评估工作中,调查威胁路径有利于分析各个环节威胁发生的可能性和造成的破坏。威胁是客观存在的,但对于不同的组织和工业控制系统,威胁发生的可能性不尽相同。威胁发生的可能性与威胁途径、攻击能力、动机、工业控制系统的脆弱性、保障能力是密切相关的。例如,当威胁需要物理接触设备时,其可能性会大大降低。实施指南如下:a) 评估方统计以往安全事件报告中出现过的威胁及其频率;b) 评估方统计现场工业控制系统中通过检测工具以及各种日志发现的威胁及其频率;c) 统计国际组织发布的关于该工业控制系统及其组件面临的威胁及其频率;d) 确定不同威胁的频率值;e) 非人为威胁途径表现为发生自然灾难、出现恶劣的物理环境、出现软硬件故障或性能降低等;f) 人为的威胁途径表现为包括:嗅探、重放、拒绝服务、误操作等;g) 调查威胁攻击路径,