當前位置：安全 → 行業動態 → 正文

工控系統信息安全威脅的主要表現形式有哪些？

責任編輯：editor006 |來源：企業網D1Net 2016-08-08 17:15:01 本文摘自：中國信息安全

由于網絡空間的全球互聯特性，不僅針對個人和企業的各種網絡犯罪近年來呈驟增的趨勢，而且國家關鍵工業基礎設施領域也面臨黑客組織、恐怖勢力、國家對抗的現實威脅。2010年攻擊伊朗核電站的震網病毒、2014年Havex病毒竊取工業數據、2015年烏克蘭電網因網絡攻擊導致大規模停電事件,都揭示出國家基礎設施在面對網絡攻擊時表現的脆弱性。因此針對工業控制系統分析其面臨的安全威脅至關重要。

通過分析對國內外相關工控標準的研究以及針對工業控制系統特點，定義工業控制系統中威脅主體和類型，提供了相應的安全策略作為參考，這也是對工業控制系統中的安全威脅進行研究的一種思路。

工控系統信息安全威脅的主要表現形式

在信息安全領域，威脅被廣泛理解為利用脆弱性的威脅實體所帶來的危險。其中，威脅實體也被稱之為威脅主體，即可以對資產施加不利行為的實體，通俗地講，威脅主體是實施威脅的威脅源。在針對工業控制系統制定的信息安全標準IEC 62443中，對威脅的定義進行了延伸，具體表述為：

存在一種情況、能力、行為或是事件，具有破壞信息安全或者引起傷害的可能性。通過比較不難發現，在工業控制領域，對威脅起因的定義更為明確，可以是情況、能力、行為或事件；而由威脅導致的后果，不僅僅是對信息安全資產的破壞，更有可能是生產事故等傷害。總體上，工業控制系統中關于威脅的定義是在傳統信息安全基礎上的延伸和擴展。

在針對威脅的分類上，在德國BSI的《IT 基線保護手冊》中，對近百種已被定義的威脅作出了以下五種分類：

·不可抗力 Force Majeure

·組織缺陷Organizational

·人為故障 Human Failure

·技術故障 Technical Failure

·蓄意行為 Deliberate Acts

而在《信息安全風險評估——探索與實踐》中對威脅的分類也有相應的描述和分析。其在結合OCTAVE（可操作的關鍵威脅、資產和薄弱點評估）中有關威脅的表述方法的基礎上，將威脅劃分為以下幾類：

·通過網絡進入信息系統的行為人：這種威脅在分類上被歸為對組織重要資產的基于網絡的威脅，是行為人的故意的或意外的行為。

·通過物理方式接近信息系統的行為人：這種威脅在分類上被歸位對組織重要資產的物理威脅。是行為人的故意的或意外的行為。

·系統問題：這種威脅在分類上被歸為組織信息技術系統的問題，包括硬件缺陷、軟件缺陷、相關系統的不可用、重要基建（遠程通信、電力等）的不可用，如電力中斷、水管爆裂等（人員編制缺乏，IT專業技能缺乏，此部分對系統的影響較大）。

·病毒、惡意代碼問題：目前已經成為影響系統安全運行的重要因素。

·自然災害：這種威脅在分類中屬于組織范圍之外的問題和情況。這種威脅類包括自然災害（諸如洪水、地震或風暴等）

借鑒上述針對威脅的分類，結合工業控制系統的自身特點，工控安全威脅可能有以下幾種表現形式：

1）心懷不滿的在職員工的惡意行為：了解工藝，能接觸到各種設備，但是計算機能力一般。對于破壞行為希望能夠掩飾。

2）無特殊訴求的黑客：計算機能力較強，但是難以直接接觸到各種設備，對工廠情況了解不多，對破壞行為和過程不一定要掩飾。

3）心懷不滿的離職員工惡意行為：了解工藝，不一定能接觸到各種設備，但可能利用制度漏洞在離職后仍然保有網絡接入或直接接觸設備的可能。計算機能力一般，對破壞行為希望能夠掩飾。

4）經濟罪犯的惡意行為：目標明確，希望劫持控制系統后換取經濟利益。

5）恐怖分子的惡意行為：目標明確，希望劫持控制系統后造成重大社會影響。

6）敵對勢力或敵對國家的惡意行為：目標明確，資源豐富，可以執行各種攻擊。

7）在職員工誤操作：在設備接線、開關電源和功能操作上可能會出現錯誤的操作

8）硬件缺陷：硬件自身信息安全能力較弱，或被敵對勢力預先植入后門。

9）軟件開發缺陷：軟件開發的不嚴謹造成的問題。

10）自然災害：信息系統遭到雷擊、電擊、震動等原因導致接線變動。此類災害隨機性大，目標不明確，后果難預料

11）重要基建失效：能源等公共服務供應失效。

為了便于表述和研究，可以將這11種威脅源（或威脅主體）按照有意／無意，或是組織內／組織外的方法在表格中表示：

研究工控系統信息安全威脅的意義

對于工業控制系統信息安全威脅的研究，其意義主要表現在：通過識別工業控制系統中的安全威脅，可有助于對工控安全需求的定義。同時，無論是對于工業控制系統信息安全目標的制定，還是安全要求的提取，都需要明確資產的威脅，以此作為定義工控信息安全需求的關鍵要素之一。在關于保護輪廓和安全目標的產生指南（GB/Z 20283）中，對此已經做了明確要求。