自動化系統(tǒng)的網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全風(fēng)險在各個行業(yè)都很常見，尤其是在自動化系統(tǒng)中。意識到共同的挑戰(zhàn)，并在解決方案上進(jìn)行合作，是確保當(dāng)前和未來關(guān)鍵資產(chǎn)安全的有效方式。

近20年來，保護(hù)自動化系統(tǒng)（尤其是關(guān)鍵基礎(chǔ)設(shè)施中的自動化系統(tǒng)）免受網(wǎng)絡(luò)攻擊，一直是當(dāng)務(wù)之急。很多行業(yè)協(xié)會和組織已經(jīng)制定了相關(guān)標(biāo)準(zhǔn)、實踐和指南。一些國家的政府機構(gòu)和國家實驗室，也制定了相關(guān)的框架、指南和法規(guī)。

傳統(tǒng)的自動化公司已經(jīng)對其產(chǎn)品和服務(wù)進(jìn)行了重組，以更加關(guān)注安全性。新的公司則提供技術(shù)和服務(wù)來滿足預(yù)期需求。盡管進(jìn)行了所有這些活動和投資，但很多專家表示，距離確保這些關(guān)鍵系統(tǒng)的安全，我們還有很長的路要走。到底是什么阻礙了我們？

問題的答案，與具體情況一樣多。但是，它們?nèi)杂幸恍┕餐黝}。許多資產(chǎn)所有者發(fā)現(xiàn)，如果沒有具體和緊迫風(fēng)險的證據(jù)，很難定義改變其安全實踐的商業(yè)案例。可用的指南集，看起來龐大、令人困惑且可能相互矛盾，其他人可能難以從中進(jìn)行選擇。許多中、小型公司根本沒有必要的員工或?qū)I(yè)知識，來充分滿足對網(wǎng)絡(luò)安全計劃的需求。

01

通用標(biāo)準(zhǔn)還是行業(yè)特定標(biāo)準(zhǔn)？

其中一個更有趣的討論主題是：標(biāo)準(zhǔn)和指南應(yīng)該是廣泛而通用的，還是應(yīng)針對特定行業(yè)量身定制。多年來，它一直在工業(yè)網(wǎng)絡(luò)安全界引起激烈的爭論。基于行業(yè)相似性多于差異性的現(xiàn)狀，應(yīng)制定適用于各個行業(yè)的標(biāo)準(zhǔn)和實踐，這一主張已經(jīng)引發(fā)了一系列回應(yīng)，具體取決于個人的觀點。這里有一個與 Kübler-Ross 模型的有趣類比，也被稱為“悲傷階段”，它描述了與創(chuàng)傷相關(guān)的情緒狀態(tài)的不同階段（圖 1）。

▲圖 1：對共同標(biāo)準(zhǔn)和實踐的回應(yīng)。

雖然這個模型可能并不完全適合這種情況，但它確實提供了一個背景和步驟，使討論超越了特定指南的適用性問題，轉(zhuǎn)向降低網(wǎng)絡(luò)風(fēng)險需求。目標(biāo)必須是從可用的指導(dǎo)和實際案例中獲取最大價值，而不是僅僅因為這些信息來自不同行業(yè)就被忽視。

02

類似的風(fēng)險和后果

行業(yè)之間當(dāng)然存在差異，但與潛在網(wǎng)絡(luò)攻擊或缺陷相關(guān)的風(fēng)險卻相當(dāng)相似。風(fēng)險，通常被定義為威脅、脆弱性和后果的函數(shù)，還有對可能性的估計。為了全面評估行業(yè)和公司之間的相似性，有必要研究每個因素。

對工業(yè)系統(tǒng)的威脅有多種形式，從直接攻擊到利用這些系統(tǒng)的特性及其通過互聯(lián)網(wǎng)的可用性或可訪問性而進(jìn)行的非特定攻擊。雖然許多資產(chǎn)所有者認(rèn)為，他們并不是什么知名的公司，沒人會攻擊他們，但當(dāng)互聯(lián)網(wǎng)上出現(xiàn)惡意軟件時，他們很容易成為附帶受害人。最近勒索軟件攻擊的案例，就非常清楚地說明了這一點。發(fā)布此軟件的人可能并沒有考慮個人目標(biāo)，而只是尋找可以利用的漏洞，來加密數(shù)據(jù)并要求為其付費。

計算風(fēng)險的另外一個主要因素是脆弱性。正是在這里，我們看到了不同應(yīng)用之間最大程度的共性。幾乎所有基于計算機或自動化系統(tǒng)的行業(yè)都使用來自相同主流供應(yīng)商的產(chǎn)品。近年來，主要供應(yīng)商的數(shù)量有所減少，它們基本上都使用相同的商用現(xiàn)成技術(shù)來生產(chǎn)數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備等組件。這就造成了單一技術(shù)，因此自動化解決方案固有的漏洞對所有用戶來講往往都是共同的。

漏洞緩解，要求資產(chǎn)所有者盡快更新或修補其已安裝的系統(tǒng)。在修補不可行甚至不可能的情況下，通常需要采用補償性對策或控制措施來緩解漏洞。案例包括使用各種隔離方法，直至將系統(tǒng)與網(wǎng)絡(luò)斷開連接。工業(yè)防火墻和單向網(wǎng)關(guān)等產(chǎn)品可實現(xiàn)此功能。

▲圖 2：美國國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架 （NISTCSF）已被廣泛接受為表征有效網(wǎng)絡(luò)安全響應(yīng)的通用框架。

在威脅計算中，最重要的組成部分也許是系統(tǒng)受損的潛在后果。這些后果可能遠(yuǎn)遠(yuǎn)超過自動化系統(tǒng)停機，甚至?xí)?dǎo)致無法查看或控制受控過程。在某些情況下，如果沒有自動化，就很難或不可能安全地操作這些過程，這樣就會依賴自動化安全系統(tǒng)，將其移至安全狀態(tài)或?qū)崿F(xiàn)安全停機。正如最近的事件所表明的那樣，即使是安全系統(tǒng)本身也容易受到網(wǎng)絡(luò)攻擊。

盡管這些后果的細(xì)節(jié)因行業(yè)而異，但它們的性質(zhì)即使不同，通常也是相似的：從損失產(chǎn)品或服務(wù)，到爆炸、釋放有毒材料直至設(shè)備損壞。也許最常見的基于潛在后果的行業(yè)分組，是所謂的關(guān)鍵基礎(chǔ)設(shè)施組成部門。

基于上述分析，不同行業(yè)面臨的風(fēng)險似乎比人們想象的更相似，這反過來又會讓人們得出結(jié)論：更多的跨行業(yè)共享可能是有益的。

03

自動化系統(tǒng)的共同挑戰(zhàn)

還有很多因素經(jīng)常限制為工業(yè)系統(tǒng)創(chuàng)建有效的網(wǎng)絡(luò)安全計劃。這在很多行業(yè)應(yīng)用中都很常見。

標(biāo)準(zhǔn)的復(fù)雜性：通常行業(yè)標(biāo)準(zhǔn)都是使用非常精確的結(jié)構(gòu)和術(shù)語來編寫的，以允許創(chuàng)建合適的一致性規(guī)范。對于那些不是該主題專家的人來說，這種語言晦澀難懂。不幸的是，這意味著對那些試圖在實際情況中應(yīng)用這些文件的人來講，這些文件令人生畏，甚至難以理解。這反過來會影響接受和采用程度。很明顯單憑標(biāo)準(zhǔn)本身，不足以促進(jìn)采用經(jīng)過驗證的有效做法。

缺乏實際案例：盡管標(biāo)準(zhǔn)通常記錄已被接受的工程實踐，但它們也是收集案例研究和用例的起點。案例研究描述特定應(yīng)用的方法和結(jié)果；而用例則側(cè)重于主題的特定方面。在這兩種情況下，重要的是要識別和描述構(gòu)成有效響應(yīng)基礎(chǔ)的共同原則和基本概念，而不管所涉及的是哪個行業(yè)。

不幸的是在自動化系統(tǒng)中，通常很難找到實用且具有代表性的案例研究。資產(chǎn)所有者可能不愿分享他們認(rèn)為是專有或其它敏感的信息，或者他們可能只是沒有時間和資源來準(zhǔn)備和發(fā)布此類文件。最常見的情況是供應(yīng)商發(fā)布案例研究，其中大部分識別信息被編輯，但這些可能被視為特定產(chǎn)品和解決方案的隱晦廣告。

需要工作流程指導(dǎo)：有一種特定類型的指南，似乎有特別高的需求。資產(chǎn)所有者和其它希望建立有效網(wǎng)絡(luò)安全計劃的人，非常希望了解他們的同行是如何將此類計劃整合到正常工作流程中的。有充分的證據(jù)和經(jīng)驗表明，使用項目來實現(xiàn)網(wǎng)絡(luò)安全的方法，長期來看是不可持續(xù)的。就像其它安全策略一樣，網(wǎng)絡(luò)安全必須成為正常流程和程序的一個組成部分。

多重能力：還有一個問題是需要哪些技能或能力來充分應(yīng)對網(wǎng)絡(luò)安全風(fēng)險。顯而易見的需求包括：管理和保護(hù)信息，以及信息所在的系統(tǒng)和網(wǎng)絡(luò)方面的專業(yè)知識。但在處理自動化系統(tǒng)時，這些還不夠。還必須徹底了解受控過程以及用于影響控制的策略和邏輯。這種專業(yè)知識只能從自動化和類似的工程專業(yè)中獲得。信息、系統(tǒng)和網(wǎng)絡(luò)安全與工程專業(yè)知識的結(jié)合，是全面解決問題所必需的。

到目前為止，風(fēng)險的威脅和脆弱性對每個企業(yè)來說基本相同，雖然詳細(xì)后果可能有所不同，但對于被認(rèn)為是關(guān)鍵基礎(chǔ)設(shè)施一部分的部門，潛在影響非常相似。那些試圖有效應(yīng)對網(wǎng)絡(luò)風(fēng)險的人所面臨的挑戰(zhàn)也大致相同。此外，通過更多地分享實踐和經(jīng)驗，也可以更有效地應(yīng)對絕大部分挑戰(zhàn)。

04

應(yīng)對措施的要素

鑒于行業(yè)之間存在如此多的共性，很明顯，更多的合作將有助于解決改善操作系統(tǒng)網(wǎng)絡(luò)安全的需求。這種合作應(yīng)包括幾個基本的要素：

背景信息：首先，必須有共同背景信息，用其來確定響應(yīng)的組成部分，并建立彼此之間的關(guān)系。

概念和術(shù)語：必須有一套共同的概念和術(shù)語，跨行業(yè)和跨專業(yè)的有效協(xié)作和合作才有可能。盡管對于自動化行業(yè)中的功能元素以及網(wǎng)絡(luò)和安全專業(yè)中的系統(tǒng)元素已經(jīng)存在，但當(dāng)各專業(yè)必須協(xié)同工作時，有時會遇到困難。隨著他們彼此之間變得更熟悉，這種情況正在改善。

規(guī)范性要求：只有對期望的未來狀態(tài)有清晰明確的描述，才能做出有效的響應(yīng)。通常，這以一組規(guī)范性要求和相關(guān)補充指南的形式出現(xiàn)。重要的是，這些要求僅限于定義要做什么，而不對如何實現(xiàn)做出假設(shè)或斷言。

推薦實踐：要求（即使附有支持或解釋性的理由）也是是不夠的，因為它們經(jīng)常以允許定義一致性標(biāo)準(zhǔn)的形式使用廣義或通用術(shù)語。推薦的做法是遵循這些要求，并使用更適合特定環(huán)境的術(shù)語來重新定義。因此，可能存在基于單一標(biāo)準(zhǔn)的多種實踐，每種實踐都針對特定場景。

案例研究和用例：對于系統(tǒng)集成商和資產(chǎn)所有者來說，這可能是最有用的資源，因為它們描述了在先前的工況下哪些是有效的，哪些是無效的。

在創(chuàng)建、審查和共享上述資源時，所有相關(guān)專業(yè)和利益相關(guān)者都必須參與其中。供應(yīng)商必須與系統(tǒng)集成商、資產(chǎn)所有者和服務(wù)提供商密切合作，以應(yīng)對生命周期各個階段的活動：從規(guī)范和開發(fā)到實施、運營和支持。利用所有相關(guān)和受影響專業(yè)的專業(yè)知識也很重要。例如，自動化系統(tǒng)的風(fēng)險評估，必須包括熟悉底層流程和可能后果的工程師和運行人員的輸入。

上述大部分內(nèi)容已經(jīng)存在，盡管來源不唯一。這可能會導(dǎo)致需求信息的人缺乏意識和理解。需要更多的合作才能將各個部分組合在一起，并提供全方位的必要指導(dǎo)。此外，還需要提高對現(xiàn)成資源的認(rèn)識和了解。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架 (NIST CSF) 已推出數(shù)年。盡管它是美國推出的，但它也反映了世界其它地區(qū)的貢獻(xiàn)，并已被廣泛接受為表征有效網(wǎng)絡(luò)安全響應(yīng)的一般框架。此外，NIST 還發(fā)布了符合制造業(yè)目標(biāo)和行業(yè)最佳實踐的網(wǎng)絡(luò)安全框架制造配置文件的實施指南。

一些組織以各種形式處理了工業(yè)網(wǎng)絡(luò)安全概念、模型和術(shù)語；然而，ISA 和 IEC 聯(lián)合開發(fā)了可以說是該領(lǐng)域最全面的標(biāo)準(zhǔn)集。ISA/IEC 62443 標(biāo)準(zhǔn)不是針對某個行業(yè)，而是基于活動、資產(chǎn)和后果標(biāo)準(zhǔn)的組合來定義其范圍（圖 3）。

▲ISA/IEC 62443 范圍標(biāo)準(zhǔn)。

ISA/IEC 62443標(biāo)準(zhǔn)的優(yōu)勢在于：這些標(biāo)準(zhǔn)不受特定行業(yè)或部門的約束或限制。雖然最初是針對過程工業(yè)開發(fā)的，但它們已成功應(yīng)用于軌道交通和采礦等行業(yè)。開發(fā)這些應(yīng)用最常見的方法，涉及在相關(guān)行業(yè)背景下解釋概念和要求，并將這種解釋用作更集中的推薦實踐的基礎(chǔ)。

網(wǎng)絡(luò)安全風(fēng)險在各個行業(yè)都很常見，尤其是在自動化系統(tǒng)中。對這種風(fēng)險的有效應(yīng)對應(yīng)當(dāng)是建立在多學(xué)科知識基礎(chǔ)上的。意識到挑戰(zhàn)，并在解決方案上進(jìn)行合作，是確保當(dāng)前和未來關(guān)鍵資產(chǎn)安全的有效方式。

審核編輯：劉清