SCADA系統(tǒng)的安全防護(hù)評估實踐

1、SCADA系統(tǒng)的安全防護(hù)評估實踐 隨著信息技術(shù)的發(fā)展，傳統(tǒng)意義上較為封閉并普遍認(rèn)為安全的SCADA系統(tǒng)正面臨著有意或者無意、非授權(quán)的訪問、修改或者破壞等威脅。SCADA系統(tǒng)一旦受到攻擊，會給用戶帶來巨大損失，直接或間接地影響國民經(jīng)濟和社會穩(wěn)定，甚至危及國家安全。因此，開展SCADA系統(tǒng)的安全防護(hù)評估工作刻不容緩。PREFACE前 言 國際上，SCADA系統(tǒng)的安全防護(hù)研究已開展多年。美國建立了“工業(yè)控制系統(tǒng)安全評估實驗室”進(jìn)行相關(guān)研究。 一些國際標(biāo)準(zhǔn)化組織陸續(xù)推出了相關(guān)標(biāo)準(zhǔn)、規(guī)范、建議以及指南，如NIST800-82、ISA/IEC 62443等。 在國內(nèi)，“工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實驗

2、室”為解決工業(yè)控制系統(tǒng)信息安全問題提供了有力的技術(shù)支撐。GB/T 30976-2014系列標(biāo)準(zhǔn)為開展工控領(lǐng)域系統(tǒng)和產(chǎn)品的評估提供依據(jù)。PREFACE前 言PREFACE前 言中華人民共和國石油天然氣行業(yè)標(biāo)準(zhǔn)本標(biāo)準(zhǔn)起草單位：中國石油管道局工程有限公司北京油氣調(diào)空中心中國石油管道公司中石化石油工程設(shè)計有限公司PREFACE前 言中華人民共和國石油天然氣行業(yè)標(biāo)準(zhǔn) 從系統(tǒng)可靠性與信息安全兩個方面出發(fā)，研究油氣管道SCADA系統(tǒng)的安全問題，有必要建立一套可行、有效、先進(jìn)的評估方法，為承擔(dān)管道SCADA系統(tǒng)安全評估業(yè)務(wù)提供技術(shù)基礎(chǔ)。PREFACE前 言中華人民共和國石油天然氣行業(yè)標(biāo)準(zhǔn) 本規(guī)范共分8章和2個

3、附錄，主要技術(shù)內(nèi)容包括：范圍、定義和縮寫、系統(tǒng)管理、物理安全、系統(tǒng)訪問控制、系統(tǒng)發(fā)布、網(wǎng)絡(luò)設(shè)計和數(shù)據(jù)交換、現(xiàn)場通信等的設(shè)計做出了統(tǒng)一規(guī)定。本規(guī)范描述了SCADA系統(tǒng)的安全防護(hù)理念，并提供了一套制定合理安全防護(hù)標(biāo)準(zhǔn)的框架。并在評估SCADA系統(tǒng)進(jìn)行可能的系統(tǒng)改進(jìn)時，發(fā)現(xiàn)掌握和了解系統(tǒng)的漏洞和風(fēng)險是非常重要的。CONTENT目 錄鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估安全防護(hù)風(fēng)險分析安全防護(hù)風(fēng)險安全防護(hù)風(fēng)險安全防護(hù)風(fēng)險 安全防護(hù)風(fēng)險是指人為或自然的威脅，利用信息系統(tǒng)及其管理體系中存在的脆弱性，導(dǎo)致安全事件發(fā)生的可能性及其對組織造成的影響。安全防護(hù)風(fēng)險資產(chǎn)威脅脆弱性安全防護(hù)風(fēng)險基本要素：威脅攻擊和損

4、害的對象觸發(fā)安全事件威脅可利用的環(huán)節(jié)安全防護(hù)風(fēng)險安全防護(hù)風(fēng)險要素的關(guān)系圖：安全防護(hù)風(fēng)險分析安全防護(hù)風(fēng)險分析 安全防護(hù)風(fēng)險的三個基本要素都擁有各自的屬性 資產(chǎn)的屬性：資產(chǎn)價值 資產(chǎn)的屬性：威脅發(fā)生的頻率 脆弱性的屬性：脆弱性的嚴(yán)重程度安全防護(hù)風(fēng)險分析 安全防護(hù)風(fēng)險分析是將資產(chǎn)、威脅、脆弱性三個要素以及每個要素的屬性進(jìn)行關(guān)聯(lián)，并建立各要素之間的相互作用關(guān)系。安全防護(hù)風(fēng)險分析原理圖安全防護(hù)風(fēng)險分析對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的價值進(jìn)行賦值；對威脅進(jìn)行識別，并對威脅出現(xiàn)的頻率進(jìn)行賦值； 對脆弱性進(jìn)行識別，并對脆弱性的嚴(yán)重程度進(jìn)行賦值； 安全防護(hù)風(fēng)險分析包括以下基本步驟：123安全防護(hù)風(fēng)險分析根據(jù)威脅以及威

5、脅利用脆弱性的難易程度，計算安全事件發(fā)生的可能性； 根據(jù)脆弱性的嚴(yán)重程度以及安全事件所作用的資產(chǎn)價值，計算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織造成的影響，即風(fēng)險值。安全防護(hù)風(fēng)險分析包括以下基本步驟：456鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估 鄯善輸油站為鄯善原油首站、鄯善成品油中間站和鄯善原油儲備庫合建站場。鄯善輸油站SCADA系統(tǒng)主要完成站內(nèi)工藝數(shù)據(jù)采集、監(jiān)視、控制等，并向調(diào)度中心傳送實時數(shù)據(jù)，接受調(diào)度中心下達(dá)的任務(wù)。 為了全面了解SCADA系統(tǒng)的安全性，西部管道公司特將鄯善輸油站作為典型站，首次開展了

6、SCADA系統(tǒng)的安全防護(hù)評估工作。鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估資產(chǎn)識別風(fēng)險計算威脅識別脆弱性識別1234 鄯善輸油站為鄯善原油首站、鄯善成品油中間站和鄯善原油儲備庫合建站場。鄯善輸油站SCADA系統(tǒng)主要完成站內(nèi)工藝數(shù)據(jù)采集、監(jiān)視、控制等，并向調(diào)度中心傳送實時數(shù)據(jù)，接受調(diào)度中心下達(dá)的任務(wù)。為了全面了解SCADA系統(tǒng)的安全性，西部管道公司特將鄯善輸油站作為典型站，首次開展了SCADA系統(tǒng)的安全防護(hù)評估工作。鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估 本次評估采用開小組會議以及對關(guān)鍵資產(chǎn)進(jìn)行現(xiàn)場實際查看的資產(chǎn)識別方法。 鄯善輸油站屬于本次評估范圍內(nèi)的SCADA系統(tǒng)主要由成品油過程控制系統(tǒng)、成品

7、油ESD系統(tǒng)、原油過程控制系統(tǒng)、原油ESD系統(tǒng)、儲備庫過程控制系統(tǒng)、儲備庫消防系統(tǒng)、操作員站、消防工作站、站控服務(wù)器、交換機、路由器、光端機等組成。 對調(diào)研得到的系統(tǒng)資產(chǎn)，依據(jù)資產(chǎn)的實際情況，逐一分析其在保密性、完整性和可用性三個屬性上的等級，并綜合評定得出資產(chǎn)的價值。然后利用資產(chǎn)重要性程度的判斷準(zhǔn)則，得出資產(chǎn)的重要性等級。級別越高，資產(chǎn)越重要。資產(chǎn)識別鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估 本次調(diào)研中，通過分析威脅的來源，并根據(jù)以往發(fā)生的安全事件記錄、相關(guān)行業(yè)的威脅統(tǒng)計數(shù)據(jù)、評估人員的經(jīng)驗以及與用戶的溝通確認(rèn)，得出鄯善輸油站SCADA系統(tǒng)可能面臨的威脅，并對威脅發(fā)生的頻率進(jìn)行賦值。威脅識別鄯

8、善輸油站SCADA系統(tǒng)的安全防護(hù)評估 SCADA系統(tǒng)的脆弱性，一般包括管理脆弱性和技術(shù)脆弱性。本次評估，結(jié)合實際需求，按照API1164中SCADA系統(tǒng)的安全防護(hù)要求，進(jìn)行SCADA系統(tǒng)的脆弱性識別。 調(diào)研中發(fā)現(xiàn)的、與API1164標(biāo)準(zhǔn)所提要求不符合的項，將導(dǎo)致SCADA系統(tǒng)在安全防護(hù)方面的脆弱性。這些脆弱性一旦被攻擊者利用，就可以獲得SCADA系統(tǒng)的額外權(quán)限，能夠在未授權(quán)的情況下訪問或者破壞系統(tǒng)，從而導(dǎo)致危害SCADA系統(tǒng)的安全事件發(fā)生。 根據(jù)識別得到的脆弱性，并結(jié)合SCADA系統(tǒng)的實際運行情況，對脆弱性的嚴(yán)重性程度進(jìn)行了賦值。脆弱性識別鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估風(fēng)險計算（本次評

9、估采用矩陣法進(jìn)行風(fēng)險計算） 脆弱性嚴(yán)重程度 威脅發(fā)生頻率123451247111423610131735912162047111418225812172025安全事件可能性矩陣 根據(jù)調(diào)研得到的威脅發(fā)生頻率和脆弱性嚴(yán)重程度，在矩陣中進(jìn)行對照，確定鄯善輸油站SCADA系統(tǒng)安全事件發(fā)生的可能性。鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估風(fēng)險計算（本次評估采用矩陣法進(jìn)行風(fēng)險計算）安全事件損失矩陣 根據(jù)調(diào)研得到的資產(chǎn)價值和脆弱性嚴(yán)重程度，在矩陣中進(jìn)行對照，確定鄯善輸油站SCADA系統(tǒng)安全事件的損失值。 脆弱性嚴(yán)重程度 資產(chǎn)價值12345124610132359121634711152045814192256

10、10162125鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估風(fēng)險計算（本次評估采用矩陣法進(jìn)行風(fēng)險計算）風(fēng)險矩陣 根據(jù)上述計算得到的安全事件發(fā)生的可能性和安全事件的損失值，在矩陣中進(jìn)行對照，確定鄯善輸油站SCADA系統(tǒng)安全事件的風(fēng)險值。 可能性 損失123451369121625811151836913172147111620235914202325鄯善輸油站SCADA系統(tǒng)的安全防護(hù)評估風(fēng)險計算（本次評估采用矩陣法進(jìn)行風(fēng)險計算） 根據(jù)用戶的實際風(fēng)險接受程度可知，風(fēng)險等級在4級及以上時，風(fēng)險不可接受。因此，根據(jù)上述的風(fēng)險值計算結(jié)果可知，鄯善輸油站SCADA系統(tǒng)存在31個不可接受的風(fēng)險。 針對SCADA系統(tǒng)中存在的不可接受風(fēng)險和可接受風(fēng)險，分別從操作系統(tǒng)和應(yīng)用程序的安全防護(hù)、數(shù)據(jù)庫的安全防護(hù)、賬號/密碼管理、內(nèi)部/外部人員管理、SCADA計算機及設(shè)備管理、數(shù)據(jù)和信息的保護(hù)、安全防護(hù)計劃、