基本风险分析技术能帮助您从整个电力行业分布的角度了解工业控制系统和SCADA(数据采集与监控)系统中的网络威胁。这一步骤将帮助您规划一个防御性的策略。
2006年8月19号,Brown’s Ferry核电站因为过程控制网络流量过大而堵塞,导致了再循环泵的损坏。操作员按照操作手册要求将其关闭,并将系统调整到安全状态。一份后续的美国核管理委员会(NRC)报告确定其根源为未确定来源的车间计算机网络通信量过大。由此采取了运行防火墙以限制过程控制网络的外部连接及通信量的矫正操作。此次事件未被指定为网络安全事件。
Brown’s Ferry核电站事故未被指定为计算机安全事故,国会回顾此事件时评论及解释说,他们“..对美国核电站的网络安全状况表示极大的关注..”这种关注已不仅对国家核电站,并涵盖了美国关键基础设施以及较大数据采集与监控(SCADA)系统及过程控制系统(PCS) 的网络安全。
在2004年关于关键基础设施及关键资产物质保障的国家战略中,提到美国的关键基础设施“…为国家安全、统治、经济活力以及生活形态提供了基础,”在很大程度上关键基础设施是依赖SCADA及PCSs来作为基
防火墙和其他防护措施必须能够在切断未授权登陆的前提下允许合理访问信息的传输。
国际恐怖分子威胁、黑客以及现今和以往的不满雇员,加之对基于计算机的系统的依赖,更增加了国家网络安全威胁风险。继2001年9月11号之后,SCADA及PCS网络安全方面的研究急速增加,但很多公司仍在发展、执行及维护网络安全计划时遇到了重大挑战。一项关键挑战是,公司的网络安全计划只是高级管理决策者在可持续基础上所要考虑的众多投资需求中的一项。选择在何处及如何分配有限的财力资源,是一个不变的经营难题,而数量快速增长的SCADA系统的网络威胁更复杂化了这个难题。
SCADA网络安全风险的变化及增长将经营者、工程师及高级决策者引向了新领域——风险分析及消减。本文旨在提供对正在扩大的风险领域的洞察及风险评估和风险定量的辅助工具。这个工具希望定位出风险消减过程中最困难的方面:风险评估。在公司发展、执行及维护一个风险消减网络安全计划之前,必须对风险有所了解。这种了解会在评估过程中不断增进并将成为一项艰难的主观努力。
从系统开始
模块的应用给所有为SCADA及PCS网络安全进行努力的人们提供了一种理解潜在结果区间的方法,即将风险领域与推论进行合并得到一个可计量的结果。由此,你可以在适当的网络安全计划等级上作出信息更全面的决策。(考虑版面,后文提及的SCADA系统也包括PCS平台)
SCADA被描述为收集远程系统数据及状态信息并通过人机界面(HMI)进行显示的过程,它为系统操作员提供远程站点可视能力及在中央站实现远程控制的能力。随着时间的推移,SCADA系统成为了能有效协助企业对远程或分布式计算机系统进行控制及高效成品运输的关键促进者。
现今尖端科技的SCADA系统的先驱可追溯到1912年依赖于电话线路及电话通信的芝加哥电力工业。一个中心控制室管理员可通过操作员及直接控制功能获取远程发电站的状态信息。早期的SCADA系统通过使用这项技术创新使电力网更高效地运行。
从这些粗鄙的祖先,SCADA系统发展成为允许操作所有类型过程控制系统的尖端技术促进器。它们保障可靠电源的稳定供应,工厂及家庭天然气的稳定供应,以及增强液体管道控制。如今很多过程的运行达到了前所未有的安全、效能及效率水平。科技发展使配置和近乎实时地运行高速SCADA系统称为可能。
现今,基于高度发达技术的SCADA系统是不断进化的产物。从人们通过电话交谈开始,到拥有通过专用通讯系统进行运行的电子调节器,再到如今基于高度精密和先进的过程控制网络的环境,向前的每一步都带来过程控制能力更大的前进及更多商机,但也带来了相应的新层次或不同等级的风险。
我们将要考虑的风险是以普遍配置的计算机操作系统、通用技术标准以及公司与商业个体及其他公司共享数据的更大需求为基础。这些仍照例使用公共无线电通讯设施及标准网络协议,而这呈现出双重挑战:系统必须提供自由数据流以满足商业需求,同时保护此数据流免受有目的性或意外的网络威胁。自2001年9月11日以来,威胁等级已确实地越来越成为一个全球问题。
风险量化
着手对SCADA网络安全风险进行量化是复杂且困难的,但却是一项重要行动。若没有可计量的风险分配方法,组织中高级管理者及关键股东鉴于全面的集团财政计划,而对风险及相关网络安全计划开销进行适当权衡的能力将受到限制。硬数据的缺失阻碍了关键领导者的决策过程,并增加了网络安全计划在集团策略及战略规划中无法占据合适席位的可能性。
风险管理过程分为三个步骤:
■ 风险鉴定;
■&nb sp; 风险量化;
■ 风险回应。
如美国国防部所宣称的,“风险评估是管理的问题定义阶段,根据概率及结果/影响对预期程序事件进行鉴定和分析(量化)。这可能是管理过程中最困难及最耗时的阶段。尽管困难,风险评估是风险过程中最重要的阶段之一。”
风险评估的两个关键因素是:对网络安全事件发生的可能性进行量化,以及事件发生后对所致结果严重程度的评定。
在行动之前,最好谨慎一些。这些题目中使用顺序量表等级来协助决策过程,但不必在结果中加入太多数学精确性。顺序量表值只提供值到值的相关顺序表示。它们不提供个中关系的差异的明确度量。例如,当使用1:5的顺序量表时,若估值某项为1而另一项为2,第二项并不相当于第一项好坏程度的两倍。队列只简单的显示第二项与第一项的比。
表一中示出了一种对严重程度及概率之间关系进行量化的方法——网络安全风险矩阵。矩阵表现了一种展开风险定性排序的方法。得出的队列以潜在的结果或一次成功攻击的严重程度及发生攻击的概率为基础。总之,表格提供潜在风险分配结果的典型范围,从低级C1的低严重程度及低概率到最高级A3的高严重程度及高发生概率。
风险分配结果的确定是由
不带任何保护措施直接联入Internet的SCADA系统很容易受病毒入侵,几分钟之后就会停机。
外来攻击
在某些方面,询问自己是否可能成为网络攻击的目标就如同询问自己是否会被闪电击中。在晴朗的天气这可能性很小,但当雷雨来临时置身于没有树荫的高尔夫球场则会自找麻烦。区别在于看见闪电的指示容易,但却不可能确定黑客是否正试图在某个特定时间闯入你的系统。平地上的高金属架会引来雷电而应采取适当的保护措施,正如某些类型的系统将会吸引黑客的注意。
确定自身的受攻击概率是企业必须做的事,但这是一个非常复杂的判断。回到闪电一例,这就像你不能看见天空但仍需为应付最坏情况做有根据的推测或简单的准备。这包括尝试去权衡一定范围的大多模糊不清且常常完全不被知晓的企业外部内部因素及属性。其中包括外部驱动程序,例如在当前威胁等级下此类资产一般会对破坏分子产生多大吸引力。
内部攻击
内在作用属性包括潜在的不满雇员,全面的经营理念(及雇员如何看待此理念)以及一般网络安全技术性能。对这些多种属性进行量化是一些SCADA网络安全论文,如McIntyre, Singer, Stamp, and the U.S. General Accounting Office的主要内容。
总的来说网络安全从业者将风险分成威胁等级不同的两种类别:
■ 对于直接连接到网络、运行普通标准操作系统的简单无防护控制系统设备的风险(如图);以及
■ 对于配备了复合级别保护措施的较高安全级控制系统的风险。
第一种安全风险观点是指企业连接到网络时运行的SCADA系统无防火墙或其他的安全保护。此类风险示例在Spencer Kelly的BBC Click Online 2005网络安全报告中进行了论证。在此实验中,一台运行普通操作系统的“无毒”计算机在无防火墙或病毒防护软件的情形下连接到网络。这种情况下,几秒钟后便检测出第一个病毒并且五分钟之后此计算机的处理能力便被恶意程序完全吞噬了。
此实验的教训是显而易见的。一个基于普通计算机操作平台且有网络连接的无防护SCADA系统将很可能在短时间内受到攻击并在几小时内完全瘫痪。明显的,这种情况具有最高的可能风险范围,在任何情况下都必须避免。
这是文章的第一部分,第二部分请参考即将刊登的——了解网络事件及其危害性以助你制定策略。
翻译:肖红练