近20年來，保護(hù)自動(dòng)化系統(tǒng)(尤其是關(guān)鍵基礎(chǔ)設(shè)施中的自動(dòng)化系統(tǒng))免受網(wǎng)絡(luò)攻擊，一直是當(dāng)務(wù)之急。很多行業(yè)協(xié)會(huì)和組織已經(jīng)制定了相關(guān)標(biāo)準(zhǔn)、實(shí)踐和指南。一些國家的政府機(jī)構(gòu)和國家實(shí)驗(yàn)室，也制定了相關(guān)的框架、指南和法規(guī)。

傳統(tǒng)的自動(dòng)化公司已經(jīng)對(duì)其產(chǎn)品和服務(wù)進(jìn)行了重組，以更加關(guān)注安全性。新的公司則提供技術(shù)和服務(wù)來滿足預(yù)期需求。盡管進(jìn)行了所有這些活動(dòng)和投資，但很多專家表示，距離確保這些關(guān)鍵系統(tǒng)的安全，我們還有很長的路要走。到底是什么阻礙了我們?

問題的答案，與具體情況一樣多。但是，它們?nèi)杂幸恍┕餐黝}。許多資產(chǎn)所有者發(fā)現(xiàn)，如果沒有具體和緊迫風(fēng)險(xiǎn)的證據(jù)，很難定義改變其安全實(shí)踐的商業(yè)案例?？捎玫闹改霞雌饋睚嫶?、令人困惑且可能相互矛盾，其他人可能難以從中進(jìn)行選擇。許多中、小型公司根本沒有必要的員工或?qū)I(yè)知識(shí)，來充分滿足對(duì)網(wǎng)絡(luò)安全計(jì)劃的需求。

01

通用標(biāo)準(zhǔn)還是行業(yè)特定標(biāo)準(zhǔn)?

其中一個(gè)更有趣的討論主題是：標(biāo)準(zhǔn)和指南應(yīng)該是廣泛而通用的，還是應(yīng)針對(duì)特定行業(yè)量身定制。多年來，它一直在工業(yè)網(wǎng)絡(luò)安全界引起激烈的爭論?；谛袠I(yè)相似性多于差異性的現(xiàn)狀，應(yīng)制定適用于各個(gè)行業(yè)的標(biāo)準(zhǔn)和實(shí)踐，這一主張已經(jīng)引發(fā)了一系列回應(yīng)，具體取決于個(gè)人的觀點(diǎn)。這里有一個(gè)與 Kübler-Ross 模型的有趣類比，也被稱為“悲傷階段”，它描述了與創(chuàng)傷相關(guān)的情緒狀態(tài)的不同階段(圖 1)。

▲圖 1：對(duì)共同標(biāo)準(zhǔn)和實(shí)踐的回應(yīng)。

雖然這個(gè)模型可能并不完全適合這種情況，但它確實(shí)提供了一個(gè)背景和步驟，使討論超越了特定指南的適用性問題，轉(zhuǎn)向降低網(wǎng)絡(luò)風(fēng)險(xiǎn)需求。目標(biāo)必須是從可用的指導(dǎo)和實(shí)際案例中獲取最大價(jià)值，而不是僅僅因?yàn)檫@些信息來自不同行業(yè)就被忽視。

02

類似的風(fēng)險(xiǎn)和后果

行業(yè)之間當(dāng)然存在差異，但與潛在網(wǎng)絡(luò)攻擊或缺陷相關(guān)的風(fēng)險(xiǎn)卻相當(dāng)相似。風(fēng)險(xiǎn)，通常被定義為威脅、脆弱性和后果的函數(shù)，還有對(duì)可能性的估計(jì)。為了全面評(píng)估行業(yè)和公司之間的相似性，有必要研究每個(gè)因素。

對(duì)工業(yè)系統(tǒng)的威脅有多種形式，從直接攻擊到利用這些系統(tǒng)的特性及其通過互聯(lián)網(wǎng)的可用性或可訪問性而進(jìn)行的非特定攻擊。雖然許多資產(chǎn)所有者認(rèn)為，他們并不是什么知名的公司，沒人會(huì)攻擊他們，但當(dāng)互聯(lián)網(wǎng)上出現(xiàn)惡意軟件時(shí)，他們很容易成為附帶受害人。最近勒索軟件攻擊的案例，就非常清楚地說明了這一點(diǎn)。發(fā)布此軟件的人可能并沒有考慮個(gè)人目標(biāo)，而只是尋找可以利用的漏洞，來加密數(shù)據(jù)并要求為其付費(fèi)。

計(jì)算風(fēng)險(xiǎn)的另外一個(gè)主要因素是脆弱性。正是在這里，我們看到了不同應(yīng)用之間最大程度的共性。幾乎所有基于計(jì)算機(jī)或自動(dòng)化系統(tǒng)的行業(yè)都使用來自相同主流供應(yīng)商的產(chǎn)品。近年來，主要供應(yīng)商的數(shù)量有所減少，它們基本上都使用相同的商用現(xiàn)成技術(shù)來生產(chǎn)數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備等組件。這就造成了單一技術(shù)，因此自動(dòng)化解決方案固有的漏洞對(duì)所有用戶來講往往都是共同的。

漏洞緩解，要求資產(chǎn)所有者盡快更新或修補(bǔ)其已安裝的系統(tǒng)。在修補(bǔ)不可行甚至不可能的情況下，通常需要采用補(bǔ)償性對(duì)策或控制措施來緩解漏洞。案例包括使用各種隔離方法，直至將系統(tǒng)與網(wǎng)絡(luò)斷開連接。工業(yè)防火墻和單向網(wǎng)關(guān)等產(chǎn)品可實(shí)現(xiàn)此功能。

▲圖 2：美國國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架 (NISTCSF)已被廣泛接受為表征有效網(wǎng)絡(luò)安全響應(yīng)的通用框架。

在威脅計(jì)算中，最重要的組成部分也許是系統(tǒng)受損的潛在后果。這些后果可能遠(yuǎn)遠(yuǎn)超過自動(dòng)化系統(tǒng)停機(jī)，甚至?xí)?dǎo)致無法查看或控制受控過程。在某些情況下，如果沒有自動(dòng)化，就很難或不可能安全地操作這些過程，這樣就會(huì)依賴自動(dòng)化安全系統(tǒng)，將其移至安全狀態(tài)或?qū)崿F(xiàn)安全停機(jī)。正如最近的事件所表明的那樣，即使是安全系統(tǒng)本身也容易受到網(wǎng)絡(luò)攻擊。

盡管這些后果的細(xì)節(jié)因行業(yè)而異，但它們的性質(zhì)即使不同，通常也是相似的：從損失產(chǎn)品或服務(wù)，到爆炸、釋放有毒材料直至設(shè)備損壞。也許最常見的基于潛在后果的行業(yè)分組，是所謂的關(guān)鍵基礎(chǔ)設(shè)施組成部門。

基于上述分析，不同行業(yè)面臨的風(fēng)險(xiǎn)似乎比人們想象的更相似，這反過來又會(huì)讓人們得出結(jié)論：更多的跨行業(yè)共享可能是有益的。

03

自動(dòng)化系統(tǒng)的共同挑戰(zhàn)

還有很多因素經(jīng)常限制為工業(yè)系統(tǒng)創(chuàng)建有效的網(wǎng)絡(luò)安全計(jì)劃。這在很多行業(yè)應(yīng)用中都很常見。

標(biāo)準(zhǔn)的復(fù)雜性：通常行業(yè)標(biāo)準(zhǔn)都是使用非常精確的結(jié)構(gòu)和術(shù)語來編寫的，以允許創(chuàng)建合適的一致性規(guī)范。對(duì)于那些不是該主題專家的人來說，這種語言晦澀難懂。不幸的是，這意味著對(duì)那些試圖在實(shí)際情況中應(yīng)用這些文件的人來講，這些文件令人生畏，甚至難以理解。這反過來會(huì)影響接受和采用程度。很明顯單憑標(biāo)準(zhǔn)本身，不足以促進(jìn)采用經(jīng)過驗(yàn)證的有效做法。

缺乏實(shí)際案例：盡管標(biāo)準(zhǔn)通常記錄已被接受的工程實(shí)踐，但它們也是收集案例研究和用例的起點(diǎn)。案例研究描述特定應(yīng)用的方法和結(jié)果;而用例則側(cè)重于主題的特定方面。在這兩種情況下，重要的是要識(shí)別和描述構(gòu)成有效響應(yīng)基礎(chǔ)的共同原則和基本概念，而不管所涉及的是哪個(gè)行業(yè)。

不幸的是在自動(dòng)化系統(tǒng)中，通常很難找到實(shí)用且具有代表性的案例研究。資產(chǎn)所有者可能不愿分享他們認(rèn)為是專有或其它敏感的信息，或者他們可能只是沒有時(shí)間和資源來準(zhǔn)備和發(fā)布此類文件。最常見的情況是供應(yīng)商發(fā)布案例研究，其中大部分識(shí)別信息被編輯，但這些可能被視為特定產(chǎn)品和解決方案的隱晦廣告。

需要工作流程指導(dǎo)：有一種特定類型的指南，似乎有特別高的需求。資產(chǎn)所有者和其它希望建立有效網(wǎng)絡(luò)安全計(jì)劃的人，非常希望了解他們的同行是如何將此類計(jì)劃整合到正常工作流程中的。有充分的證據(jù)和經(jīng)驗(yàn)表明，使用項(xiàng)目來實(shí)現(xiàn)網(wǎng)絡(luò)安全的方法，長期來看是不可持續(xù)的。就像其它安全策略一樣，網(wǎng)絡(luò)安全必須成為正常流程和程序的一個(gè)組成部分。

多重能力：還有一個(gè)問題是需要哪些技能或能力來充分應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。顯而易見的需求包括：管理和保護(hù)信息，以及信息所在的系統(tǒng)和網(wǎng)絡(luò)方面的專業(yè)知識(shí)。但在處理自動(dòng)化系統(tǒng)時(shí)，這些還不夠。還必須徹底了解受控過程以及用于影響控制的策略和邏輯。這種專業(yè)知識(shí)只能從自動(dòng)化和類似的工程專業(yè)中獲得。信息、系統(tǒng)和網(wǎng)絡(luò)安全與工程專業(yè)知識(shí)的結(jié)合，是全面解決問題所必需的。

到目前為止，風(fēng)險(xiǎn)的威脅和脆弱性對(duì)每個(gè)企業(yè)來說基本相同，雖然詳細(xì)后果可能有所不同，但對(duì)于被認(rèn)為是關(guān)鍵基礎(chǔ)設(shè)施一部分的部門，潛在影響非常相似。那些試圖有效應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的人所面臨的挑戰(zhàn)也大致相同。此外，通過更多地分享實(shí)踐和經(jīng)驗(yàn)，也可以更有效地應(yīng)對(duì)絕大部分挑戰(zhàn)。

04

應(yīng)對(duì)措施的要素

鑒于行業(yè)之間存在如此多的共性，很明顯，更多的合作將有助于解決改善操作系統(tǒng)網(wǎng)絡(luò)安全的需求。這種合作應(yīng)包括幾個(gè)基本的要素：

背景信息：首先，必須有共同背景信息，用其來確定響應(yīng)的組成部分，并建立彼此之間的關(guān)系。

概念和術(shù)語：必須有一套共同的概念和術(shù)語，跨行業(yè)和跨專業(yè)的有效協(xié)作和合作才有可能。盡管對(duì)于自動(dòng)化行業(yè)中的功能元素以及網(wǎng)絡(luò)和安全專業(yè)中的系統(tǒng)元素已經(jīng)存在，但當(dāng)各專業(yè)必須協(xié)同工作時(shí)，有時(shí)會(huì)遇到困難。隨著他們彼此之間變得更熟悉，這種情況正在改善。

規(guī)范性要求：只有對(duì)期望的未來狀態(tài)有清晰明確的描述，才能做出有效的響應(yīng)。通常，這以一組規(guī)范性要求和相關(guān)補(bǔ)充指南的形式出現(xiàn)。重要的是，這些要求僅限于定義要做什么，而不對(duì)如何實(shí)現(xiàn)做出假設(shè)或斷言。

推薦實(shí)踐：要求(即使附有支持或解釋性的理由)也是是不夠的，因?yàn)樗鼈兘?jīng)常以允許定義一致性標(biāo)準(zhǔn)的形式使用廣義或通用術(shù)語。推薦的做法是遵循這些要求，并使用更適合特定環(huán)境的術(shù)語來重新定義。因此，可能存在基于單一標(biāo)準(zhǔn)的多種實(shí)踐，每種實(shí)踐都針對(duì)特定場景。

案例研究和用例：對(duì)于系統(tǒng)集成商和資產(chǎn)所有者來說，這可能是最有用的資源，因?yàn)樗鼈兠枋隽嗽谙惹暗墓r下哪些是有效的，哪些是無效的。

在創(chuàng)建、審查和共享上述資源時(shí)，所有相關(guān)專業(yè)和利益相關(guān)者都必須參與其中。供應(yīng)商必須與系統(tǒng)集成商、資產(chǎn)所有者和服務(wù)提供商密切合作，以應(yīng)對(duì)生命周期各個(gè)階段的活動(dòng)：從規(guī)范和開發(fā)到實(shí)施、運(yùn)營和支持。利用所有相關(guān)和受影響專業(yè)的專業(yè)知識(shí)也很重要。例如，自動(dòng)化系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，必須包括熟悉底層流程和可能后果的工程師和運(yùn)行人員的輸入。

上述大部分內(nèi)容已經(jīng)存在，盡管來源不唯一。這可能會(huì)導(dǎo)致需求信息的人缺乏意識(shí)和理解。需要更多的合作才能將各個(gè)部分組合在一起，并提供全方位的必要指導(dǎo)。此外，還需要提高對(duì)現(xiàn)成資源的認(rèn)識(shí)和了解。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架 (NIST CSF) 已推出數(shù)年。盡管它是美國推出的，但它也反映了世界其它地區(qū)的貢獻(xiàn)，并已被廣泛接受為表征有效網(wǎng)絡(luò)安全響應(yīng)的一般框架。此外，NIST 還發(fā)布了符合制造業(yè)目標(biāo)和行業(yè)最佳實(shí)踐的網(wǎng)絡(luò)安全框架制造配置文件的實(shí)施指南。

一些組織以各種形式處理了工業(yè)網(wǎng)絡(luò)安全概念、模型和術(shù)語;然而，ISA 和 IEC 聯(lián)合開發(fā)了可以說是該領(lǐng)域最全面的標(biāo)準(zhǔn)集。ISA/IEC 62443 標(biāo)準(zhǔn)不是針對(duì)某個(gè)行業(yè)，而是基于活動(dòng)、資產(chǎn)和后果標(biāo)準(zhǔn)的組合來定義其范圍(圖 3)。

▲ISA/IEC 62443 范圍標(biāo)準(zhǔn)。

ISA/IEC 62443標(biāo)準(zhǔn)的優(yōu)勢在于：這些標(biāo)準(zhǔn)不受特定行業(yè)或部門的約束或限制。雖然最初是針對(duì)過程工業(yè)開發(fā)的，但它們已成功應(yīng)用于軌道交通和采礦等行業(yè)。開發(fā)這些應(yīng)用最常見的方法，涉及在相關(guān)行業(yè)背景下解釋概念和要求，并將這種解釋用作更集中的推薦實(shí)踐的基礎(chǔ)。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在各個(gè)行業(yè)都很常見，尤其是在自動(dòng)化系統(tǒng)中。對(duì)這種風(fēng)險(xiǎn)的有效應(yīng)對(duì)應(yīng)當(dāng)是建立在多學(xué)科知識(shí)基礎(chǔ)上的。意識(shí)到挑戰(zhàn)，并在解決方案上進(jìn)行合作，是確保當(dāng)前和未來關(guān)鍵資產(chǎn)安全的有效方式。