郭怡安

(1.化學(xué)品安全全國(guó)重點(diǎn)實(shí)驗(yàn)室,山東青島 266104 2.中石化安全工程研究院有限公司,山東青島 266104)

0 前言

石化行業(yè)生產(chǎn)過(guò)程中的自動(dòng)化程度越來(lái)越高,其主要依賴(lài)于芯片及片上系統(tǒng)(SoC)和各種嵌入式設(shè)備的支持[1]。信息在傳輸過(guò)程中會(huì)涉及到硬件、操作系統(tǒng)、通信協(xié)議、應(yīng)用系統(tǒng)等相關(guān)基礎(chǔ)元素。工業(yè)控制系統(tǒng)尤其是安全儀表系統(tǒng) (Safety Instrumented System,SIS) 與普通控制系統(tǒng)不同,發(fā)生緊急情況時(shí)若沒(méi)有正常動(dòng)作,可能會(huì)造成較大經(jīng)濟(jì)損失,甚至是生產(chǎn)事故等嚴(yán)重后果[2]。因此SIS對(duì)安全性、可靠性、可用性都提出了極高的要求。研究適用于SIS的信息安全評(píng)估方法,就成為衡量安全狀態(tài)、及時(shí)采取預(yù)防性措施的重要手段和依據(jù)。

近年來(lái),國(guó)內(nèi)外學(xué)者一般采用定性和定量的風(fēng)險(xiǎn)評(píng)估技術(shù)和方法,對(duì)普通工業(yè)控制系統(tǒng)(除SIS外的控制系統(tǒng),如SCADA、DCS、PLC等)或其他為工業(yè)生產(chǎn)提供信息化服務(wù)的服務(wù)資源和設(shè)備的安全脆弱性進(jìn)行評(píng)估[3]。其中,定性的評(píng)估方法更為簡(jiǎn)單直觀(guān),但主觀(guān)性較強(qiáng)。例如,Francia,等[4]使用CORAS框架工具對(duì)SCADA系統(tǒng)進(jìn)行風(fēng)險(xiǎn)建模與分析;Chittester,等[5]利用等級(jí)全息建模(Hierarchical Holographic Modelling,HHM)方法提出了一種可以應(yīng)用于SCADA和GPS系統(tǒng)的風(fēng)險(xiǎn)評(píng)估框架。而定量的方法能夠使用數(shù)據(jù)得到更準(zhǔn)確的評(píng)估結(jié)果,例如張堃,等[6]運(yùn)用模糊層次分析法和綜合評(píng)價(jià)方法獲得大型控制系統(tǒng)信息安全各評(píng)估指標(biāo)權(quán)重系數(shù),并進(jìn)行綜合評(píng)估;Byres,等[7]使用攻擊樹(shù)建模,對(duì)工業(yè)控制SCADA通信系統(tǒng)進(jìn)行了漏洞分析;夏丹陽(yáng),等[8]提出了利用攻擊樹(shù)模型來(lái)分析反應(yīng)器保護(hù)系統(tǒng)的信息安全;Ten,等[9]提出了一個(gè)基于攻擊樹(shù)模型的漏洞評(píng)估框架,通過(guò)計(jì)算信息安全脆弱性指標(biāo),從而量化地從系統(tǒng)、場(chǎng)景和接入點(diǎn)3個(gè)層面系統(tǒng)地評(píng)估SCADA系統(tǒng)的漏洞。綜上所述,可以看出定量的風(fēng)險(xiǎn)評(píng)估方法是目前主流研究方向之一,并且以攻擊關(guān)系樹(shù)為代表的圖形化定量風(fēng)險(xiǎn)評(píng)估方法應(yīng)用較為廣泛且效果佳。

然而,以上研究中仍存在一些不足值得深入探討。目前,針對(duì)SIS為主體的信息安全風(fēng)險(xiǎn),結(jié)合定量化評(píng)價(jià)方法與體系,以及結(jié)合風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果來(lái)指導(dǎo)信息安全加固工作的研究甚少。并且在資產(chǎn)屬性量化過(guò)程中易受人為主觀(guān)因素影響,在評(píng)估結(jié)果方面缺乏對(duì)風(fēng)險(xiǎn)的綜合描述。因此,本文針對(duì)以上2個(gè)問(wèn)題,提出了一種新的信息安全風(fēng)險(xiǎn)量化評(píng)估模型,并以某典型裝置SIS為例進(jìn)行了實(shí)驗(yàn)驗(yàn)證,可以為后續(xù)系統(tǒng)制定安全防護(hù)策略提供技術(shù)支撐。

1 攻擊關(guān)系樹(shù)與CVSS

1.1 攻擊關(guān)系樹(shù)

攻擊關(guān)系樹(shù)(attack tree)是一種能夠描述系統(tǒng)安全性的建模的方法[10](圖1),其采用樹(shù)形結(jié)構(gòu)來(lái)描述針對(duì)目標(biāo)系統(tǒng)的各種攻擊方式。

圖1 攻擊關(guān)系樹(shù)模型

其中攻擊目標(biāo)為根節(jié)點(diǎn),用于實(shí)現(xiàn)對(duì)目標(biāo)進(jìn)行攻擊的不同的方法或途徑為葉節(jié)點(diǎn)。位于攻擊關(guān)系樹(shù)的根節(jié)點(diǎn)和葉節(jié)點(diǎn)之間的為中間節(jié)點(diǎn),一般分為或節(jié)點(diǎn)(or)、與節(jié)點(diǎn)(and)或順序與節(jié)點(diǎn)(sand)[11]。其中,or節(jié)點(diǎn)代表備選方案,and節(jié)點(diǎn)代表實(shí)現(xiàn)同一目標(biāo)的不同步驟。一次完整的攻擊是指攻擊者從葉節(jié)點(diǎn)通過(guò)攻擊關(guān)系樹(shù)的其他中間節(jié)點(diǎn)到達(dá)根節(jié)點(diǎn)的過(guò)程[12]。如圖1所示,圖中C節(jié)點(diǎn)表示根節(jié)點(diǎn),即攻擊目標(biāo),A和B是葉節(jié)點(diǎn),指的是攻擊方式。攻擊關(guān)系樹(shù)建立后可以為不同的葉節(jié)點(diǎn)進(jìn)行賦值,然后對(duì)節(jié)點(diǎn)進(jìn)行計(jì)算,從而得到目標(biāo)的安全性,并以此指導(dǎo)系統(tǒng)防御的方向和重點(diǎn)。

1.2 CVSS

目標(biāo)系統(tǒng)中存在的風(fēng)險(xiǎn)要素量化是安全風(fēng)險(xiǎn)評(píng)估的第一步,其有效性關(guān)系到后續(xù)評(píng)價(jià)計(jì)算的準(zhǔn)確度與綜合性,因此顯得尤為重要。由于市面上各廠(chǎng)商或機(jī)構(gòu)衡量系統(tǒng)脆弱性的側(cè)重點(diǎn)不盡相同,尚無(wú)統(tǒng)一的系統(tǒng)風(fēng)險(xiǎn)要素或資產(chǎn)的量化標(biāo)準(zhǔn),目前使用較為廣泛的是CVSS(Common Vulnerability Scoring System,通用漏洞評(píng)分系統(tǒng))[13]。CVSS是一個(gè)行業(yè)公開(kāi)標(biāo)準(zhǔn),其被設(shè)計(jì)用來(lái)評(píng)測(cè)漏洞的嚴(yán)重程度,并幫助確定所需反應(yīng)的緊急度和重要度。全面收集單點(diǎn)資產(chǎn)的數(shù)字資產(chǎn)信息,能夠保證提供充分的信息進(jìn)行識(shí)別匹配。

采用CVSS進(jìn)行風(fēng)險(xiǎn)要素評(píng)價(jià)的優(yōu)勢(shì)在于,它可以幫助使用者根據(jù)目標(biāo)對(duì)象的不同需求,調(diào)整考量指標(biāo),可以綜合考慮單點(diǎn)資產(chǎn)的威脅與安全措施的配置、應(yīng)用環(huán)境部署、攻擊者情況、脆弱性可利用程度等風(fēng)險(xiǎn)要素,從而作出合理評(píng)價(jià)[14-15]。

2 基于攻擊關(guān)系樹(shù)和CVSS的SIS信息安全評(píng)估方法

為了對(duì)石化生產(chǎn)過(guò)程中所必需的安全儀表系統(tǒng)進(jìn)行信息安全脆弱性評(píng)估,采用了攻擊關(guān)系樹(shù)建模和CVSS評(píng)價(jià)相結(jié)合的評(píng)估方法,對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)定,以支撐安全決策和相關(guān)終端風(fēng)險(xiǎn)加固。該方法包含的步驟如圖2所示。

圖2 基于攻擊關(guān)系樹(shù)和CVSS的SIS系統(tǒng)信息安全評(píng)估流程

2.1 確定目標(biāo)系統(tǒng)中單點(diǎn)資產(chǎn)的安全評(píng)價(jià)值

可通過(guò)以下步驟確定目標(biāo)系統(tǒng)中單點(diǎn)資產(chǎn)的安全評(píng)價(jià)值。

a) 收集目標(biāo)系統(tǒng)中單點(diǎn)資產(chǎn)的數(shù)字資產(chǎn)信息,包括:品牌型號(hào)、硬件固件、協(xié)議、軟件、操作系統(tǒng)的名稱(chēng)、操作系統(tǒng)的版本號(hào)、操作系統(tǒng)的補(bǔ)丁號(hào)。

b) 獲取公開(kāi)漏洞數(shù)據(jù)庫(kù)中的漏洞信息,具體來(lái)說(shuō),確定選用的公開(kāi)漏洞數(shù)據(jù)庫(kù),獲取完整的信息數(shù)據(jù),以作為資產(chǎn)與漏洞識(shí)別的依據(jù)。公開(kāi)漏洞數(shù)據(jù)庫(kù)包含但不限于美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)、中國(guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心開(kāi)發(fā)的安全漏洞數(shù)據(jù)庫(kù)等。

c) 進(jìn)行所述數(shù)字資產(chǎn)信息與所述漏洞信息的匹配,得到單點(diǎn)資產(chǎn)的安全評(píng)價(jià)值。具體來(lái)說(shuō),結(jié)合公開(kāi)漏洞數(shù)據(jù)庫(kù)與目標(biāo)系統(tǒng)中的資產(chǎn)進(jìn)行數(shù)據(jù)匹配,采用CVSS取得單點(diǎn)資產(chǎn)的安全評(píng)價(jià)值(Overall CVSS Score)。

2.2 構(gòu)建攻擊關(guān)系樹(shù)模型及攻擊路徑分析

通過(guò)確定目標(biāo)系統(tǒng)中單點(diǎn)資產(chǎn)的安全評(píng)價(jià)值,結(jié)合目標(biāo)系統(tǒng)的物理結(jié)構(gòu)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),構(gòu)建攻擊關(guān)系樹(shù)模型。具體步驟如下:

a) 以單點(diǎn)資產(chǎn)為節(jié)點(diǎn),構(gòu)建單點(diǎn)資產(chǎn)間的物理結(jié)構(gòu)關(guān)系圖和網(wǎng)絡(luò)拓?fù)潢P(guān)系圖。把每個(gè)單點(diǎn)資產(chǎn)的安全評(píng)價(jià)值標(biāo)注在物理結(jié)構(gòu)關(guān)系圖和網(wǎng)絡(luò)拓?fù)潢P(guān)系圖中。根據(jù)目標(biāo)系統(tǒng)的實(shí)際情況,確定節(jié)點(diǎn)連接線(xiàn)的邏輯連接關(guān)系。具體來(lái)說(shuō),畫(huà)出節(jié)點(diǎn)間的物理結(jié)構(gòu)關(guān)系圖和網(wǎng)絡(luò)拓?fù)潢P(guān)系圖,并把每個(gè)節(jié)點(diǎn)的安全評(píng)估值標(biāo)注在圖上。物理結(jié)構(gòu)關(guān)系圖和網(wǎng)絡(luò)拓?fù)潢P(guān)系圖為計(jì)算機(jī)可讀形式,具備可視化特點(diǎn)。其中,節(jié)點(diǎn)連接線(xiàn)的邏輯連接關(guān)系包含:第一邏輯連接關(guān)系(或“or”)以及第二邏輯連接關(guān)系(與“and”),第一邏輯連接關(guān)系表明節(jié)點(diǎn)間無(wú)關(guān)聯(lián)關(guān)系,第二邏輯連接關(guān)系表明節(jié)點(diǎn)間有關(guān)聯(lián)關(guān)系[16]。

b) 根據(jù)邏輯連接關(guān)系,將物理結(jié)構(gòu)關(guān)系圖和網(wǎng)絡(luò)拓?fù)潢P(guān)系圖抽象為一個(gè)具有根節(jié)點(diǎn)的無(wú)環(huán)有向圖。確定無(wú)環(huán)有向圖中對(duì)安全造成直接影響的根節(jié)點(diǎn),記錄為攻擊根節(jié)點(diǎn)。對(duì)到達(dá)攻擊根節(jié)點(diǎn)的路徑進(jìn)行記錄,記錄為攻擊路徑。

2.3 計(jì)算每個(gè)節(jié)點(diǎn)的發(fā)生概率和危害程度

結(jié)合上述安全評(píng)價(jià)值,對(duì)每個(gè)節(jié)點(diǎn)的發(fā)生概率和危害程度進(jìn)行計(jì)算。其中:

第一邏輯連接關(guān)系時(shí)節(jié)點(diǎn)的發(fā)生概率,見(jiàn)公式(1)。

(1)

第二邏輯連接關(guān)系時(shí)節(jié)點(diǎn)的發(fā)生概率,見(jiàn)公式(2)。

(2)

所述攻擊根節(jié)點(diǎn)的攻擊概率,見(jiàn)公式(3)。

P(N)=Por(Ni)×Pand(Ni)

(3)

式中:P(N)——攻擊根節(jié)點(diǎn)N的攻擊概率;

Por(Ni)——第一邏輯連接關(guān)系時(shí)節(jié)點(diǎn)Ni的發(fā)生概率;

Pand(Ni)——第二邏輯連接關(guān)系時(shí)節(jié)點(diǎn)Ni的發(fā)生概率;

n——攻擊路徑中的節(jié)點(diǎn)個(gè)數(shù)。

通過(guò)以下步驟計(jì)算攻擊發(fā)生概率:依據(jù)攻擊路徑,計(jì)算得到攻擊根節(jié)點(diǎn)的攻擊概率;根據(jù)攻擊概率,結(jié)合客觀(guān)影響因素,定義攻擊根節(jié)點(diǎn)的威脅參數(shù);基于攻擊概率以及所述威脅參數(shù),計(jì)算得到攻擊根節(jié)點(diǎn)的攻擊發(fā)生概率。具體來(lái)說(shuō),根據(jù)之前步驟得到的攻擊概率,結(jié)合客觀(guān)影響因素,由安全技術(shù)專(zhuān)家根據(jù)經(jīng)驗(yàn)并參考表1,定義節(jié)點(diǎn)的威脅參數(shù)。將攻擊根節(jié)點(diǎn)定義為貝葉斯網(wǎng)絡(luò)(BN)節(jié)點(diǎn)[17],基于攻擊路徑,利用貝葉斯網(wǎng)絡(luò)模型進(jìn)行計(jì)算,得到最終的攻擊發(fā)生概率。

表1 節(jié)點(diǎn)的威脅參數(shù)賦值

此處在實(shí)際工程應(yīng)用中,通常采用專(zhuān)家打分的方法對(duì)節(jié)點(diǎn)的威脅參數(shù)進(jìn)行賦值,但不同專(zhuān)家對(duì)攻擊事件的認(rèn)知情況不同,導(dǎo)致同一屬性節(jié)點(diǎn)的評(píng)分等級(jí)不同。為此,可認(rèn)為評(píng)分等級(jí)為區(qū)間變量,且為獨(dú)立同分布。得到評(píng)分等級(jí)的概率密度函數(shù)分布如公式(4)所示。

(4)

式中:σ——某節(jié)點(diǎn)的威脅參數(shù);

客觀(guān)影響因素包括:防護(hù)類(lèi)安全措施;檢測(cè)類(lèi)安全措施;響應(yīng)類(lèi)措施;所選攻擊工具的復(fù)雜度;漏洞的利用難度。

通過(guò)公式(5)計(jì)算得到攻擊發(fā)生概率。

(5)

式中:RNi——攻擊發(fā)生概率;

P(Ni)——第i個(gè)節(jié)點(diǎn)的攻擊概率;

σi——第i個(gè)節(jié)點(diǎn)的客觀(guān)影響因素的分值。

最后,基于攻擊發(fā)生概率,給出評(píng)級(jí)結(jié)果。依據(jù)評(píng)級(jí)函數(shù)進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)計(jì)算,并出具相應(yīng)的評(píng)估報(bào)告,給出存在風(fēng)險(xiǎn)的緩解措施。具體來(lái)說(shuō),根據(jù)計(jì)算得到的安全評(píng)價(jià)結(jié)果,可以對(duì)檢測(cè)結(jié)果進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)并出具評(píng)級(jí)報(bào)告。

評(píng)級(jí)函數(shù)f如公式(6)所示。

(6)

根據(jù)GB/T 20984中的表11進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)[18]劃分,由于標(biāo)準(zhǔn)中未給出不同等級(jí)所對(duì)應(yīng)的具體數(shù)值,根據(jù)實(shí)際應(yīng)用過(guò)程中的專(zhuān)家經(jīng)驗(yàn)總結(jié),得到如表2所示的評(píng)級(jí)要求。根據(jù)表2中對(duì)不同等級(jí)的定義,可以判斷出系統(tǒng)的最終風(fēng)險(xiǎn)等級(jí)。

表2 系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)評(píng)級(jí)

3 實(shí)例分析

為便于對(duì)比驗(yàn)證和分析上述方法的有效性,采用某裝置現(xiàn)場(chǎng)SIS實(shí)例進(jìn)行分析說(shuō)明,系統(tǒng)架構(gòu)如圖3所示。根據(jù)分析SIS的定義及圖3中的SIS架構(gòu)組成,它面臨的信息安全威脅可能來(lái)自3處,即:工程師站、操作員站和無(wú)線(xiàn)通信網(wǎng)絡(luò)。

圖3 某裝置現(xiàn)場(chǎng)SIS架構(gòu)

如表3所示,通過(guò)獲取CVSS評(píng)價(jià)字符串可以得到各葉節(jié)點(diǎn)漏洞的安全評(píng)價(jià)值,可知漏洞對(duì)設(shè)備的影響程度,并進(jìn)一步可以得到各單點(diǎn)設(shè)備總的安全評(píng)價(jià)值,見(jiàn)表4。

為對(duì)目標(biāo)系統(tǒng)的攻擊效果進(jìn)行分析,在分析了系統(tǒng)的脆弱性和攻擊面的基礎(chǔ)上,畫(huà)出攻擊關(guān)系樹(shù)模型。分析并構(gòu)建攻擊關(guān)系樹(shù),如圖4所示。

圖4 SIS系統(tǒng)攻擊關(guān)系樹(shù)建模

根據(jù)圖4所示攻擊關(guān)系進(jìn)行攻擊路徑分析,得到攻擊路徑為:

D=AorBandC

根據(jù)攻擊路徑和概率計(jì)算公式,將以上數(shù)據(jù)代入公式(3),得出D點(diǎn)的攻擊概率為:

P(N)1=Por(N1)×Pand(N1)=0.5

P(N)2=Por(N2)×Pand(N2)=0.062 5

根據(jù)表1中給出的節(jié)點(diǎn)威脅參數(shù),經(jīng)過(guò)專(zhuān)家綜合評(píng)估,并通過(guò)公式(4)計(jì)算可知該系統(tǒng)總的威脅參數(shù)σ1=0,σ2=5,將參數(shù)代入公式(5)可以得到攻擊發(fā)生概率,結(jié)果如下:

最后,將攻擊概率代入公式(6),就能得到該系統(tǒng)信息安全風(fēng)險(xiǎn)的評(píng)級(jí),結(jié)果為:

綜上,得出本次評(píng)估結(jié)果風(fēng)險(xiǎn)為31.25%,在30%<風(fēng)險(xiǎn)概率值≤70%范疇內(nèi),根據(jù)表2判斷該系統(tǒng)屬于3級(jí)(中等風(fēng)險(xiǎn)),可根據(jù)此評(píng)估值所記錄內(nèi)容出據(jù)相應(yīng)的評(píng)估報(bào)告,并給出存在風(fēng)險(xiǎn)的緩解措施。

4 結(jié)論

作為工業(yè)控制系統(tǒng)進(jìn)行信息安全建設(shè)的起點(diǎn)和基礎(chǔ),風(fēng)險(xiǎn)評(píng)估的方法對(duì)判斷安全儀表系統(tǒng)所面臨的安全風(fēng)險(xiǎn)及主要問(wèn)題和矛盾起著重要作用。

基于攻擊關(guān)系樹(shù)和CVSS的SIS信息安全評(píng)估方法可用于信息安全威脅程度評(píng)估:

a) 在基礎(chǔ)數(shù)據(jù)準(zhǔn)備方面,結(jié)合數(shù)據(jù)來(lái)源,提出使用基本漏洞數(shù)據(jù)庫(kù)將其與目標(biāo)系統(tǒng)中資產(chǎn)數(shù)據(jù)進(jìn)行匹配,并取得安全評(píng)價(jià)數(shù)值;構(gòu)建了攻擊關(guān)系圖并進(jìn)行攻擊路徑的分析,將威脅的節(jié)點(diǎn)連接線(xiàn)與實(shí)際資產(chǎn)進(jìn)行結(jié)合,能夠更真實(shí)準(zhǔn)確地反應(yīng)出系統(tǒng)中的威脅關(guān)系。

b) 在攻擊關(guān)系圖的構(gòu)建上,使用了威脅的復(fù)合數(shù)據(jù)(單點(diǎn)資產(chǎn))做為圖節(jié)點(diǎn),威脅間的關(guān)聯(lián)有關(guān)系和資產(chǎn)的拓?fù)潢P(guān)系作為圖的節(jié)點(diǎn)連接線(xiàn),轉(zhuǎn)化后利用貝葉斯網(wǎng)絡(luò)進(jìn)行分析。

將攻擊關(guān)系樹(shù)與CVSS相結(jié)合的評(píng)估方法從石化生產(chǎn)從石化生產(chǎn)中的SIS本身數(shù)字資產(chǎn)存在漏洞入手,進(jìn)而分析如果發(fā)生風(fēng)險(xiǎn),其有效路徑中的風(fēng)險(xiǎn)定量分析如何進(jìn)行更具有直觀(guān)性和可使用性。算例分析結(jié)果表明本方法是合理可行的,所獲得的結(jié)果能夠幫助系統(tǒng)管理人員科學(xué)有效地了解當(dāng)前系統(tǒng)面臨的安全威脅狀態(tài),進(jìn)而有重點(diǎn)、有針對(duì)性地增強(qiáng)防御措施。在未來(lái)的石化類(lèi)工業(yè)生產(chǎn)企業(yè)安全分析和定性定量評(píng)估中,可以作為重要的工具起到流程定義的作用。