陶耀東，賈新桐

(1.工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室，北京 100015；2.中國科學(xué)院 沈陽計算技術(shù)研究所，遼寧 沈陽 110168；3. 中國科學(xué)院大學(xué)，北京 100049)

0 引言

隨著信息技術(shù)(Information Technology, IT)與操作技術(shù)(Operational Technology, OT)不斷融合，工業(yè)控制系統(tǒng)(Industrial Control System, ICS)面臨的安全挑戰(zhàn)也逐漸增加[1]。2010年6月，“震網(wǎng)”病毒首次被發(fā)現(xiàn)，它攻擊了伊朗核設(shè)施，推遲了伊朗鈾濃縮進(jìn)程；2015年至2016年，烏克蘭電網(wǎng)三次遭受網(wǎng)絡(luò)攻擊，造成大規(guī)模斷電；2017年12月，惡意軟件Triton攻擊了施耐德電氣公司Triconex安全儀表系統(tǒng)。接連發(fā)生的ICS安全事件表明：傳統(tǒng)的被動防御手段難以應(yīng)對日益復(fù)雜的ICS信息安全問題。因此，政府機構(gòu)、科研機構(gòu)、工業(yè)企業(yè)、安全企業(yè)都大力發(fā)展積極防御手段，致力于提升態(tài)勢感知、安全防護(hù)和應(yīng)急響應(yīng)能力[2-3]。對于ICS網(wǎng)絡(luò)安全態(tài)勢感知，研究人員在態(tài)勢感知理論模型、感知算法、決策支持等方面的研究取得了進(jìn)展[4-8]。

1 建設(shè)工控安全態(tài)勢感知的關(guān)鍵點

態(tài)勢感知(Situation Awareness, SA)的概念于上世紀(jì)九十年代開始應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的主要目標(biāo)是：在動態(tài)變化的網(wǎng)絡(luò)環(huán)境中，高效收集、整合各種數(shù)據(jù)，將局部的網(wǎng)絡(luò)特征指標(biāo)綜合化，進(jìn)而全面、宏觀地對網(wǎng)絡(luò)安全狀態(tài)進(jìn)行可視化展示，從而加強對網(wǎng)絡(luò)安全狀態(tài)的理解能力，為相關(guān)人員的科學(xué)決策作出有效支撐。為建設(shè)適合于ICS的態(tài)勢感知系統(tǒng)，需要把握以下四個關(guān)鍵點：數(shù)據(jù)驅(qū)動、人在回路、協(xié)同共享、科學(xué)決策。

1.1 數(shù)據(jù)驅(qū)動

數(shù)據(jù)是態(tài)勢感知的核心，是后續(xù)一切工作的基礎(chǔ)[9-10]。相比與IT網(wǎng)絡(luò)，ICS中的數(shù)據(jù)更加復(fù)雜。大量的工業(yè)私有協(xié)議、儀器設(shè)備信息、專有的操作系統(tǒng)，都增加了ICS態(tài)勢感知系統(tǒng)對數(shù)據(jù)獲取、整合、分析的難度。態(tài)勢感知不同于傳統(tǒng)被動防御手段，不僅要求組織掌握內(nèi)部數(shù)據(jù)，還要持續(xù)關(guān)注組織外的威脅情報。組織既是威脅情報共享的受益者，也必須是威脅情報的分享者。在內(nèi)外部數(shù)據(jù)的驅(qū)動下，態(tài)勢感知系統(tǒng)才能做到“內(nèi)外兼修”，為相關(guān)人員在安全事件應(yīng)急響應(yīng)階段的科學(xué)決策提供強大支撐。

1.2 人在回路

人是態(tài)勢感知的必要元素，是打通整個回路的關(guān)鍵。被動防御手段以縮小攻擊面為目標(biāo)，不依賴人的參與，而是期望安全設(shè)備執(zhí)行設(shè)定好的安全策略。這種做法不能充分利用威脅情報的價值。外部的威脅情報只是數(shù)據(jù)，若要讓其內(nèi)化為組織自身的安全能力，必須由人來賦能。不僅如此，在態(tài)勢感知體系中的其他節(jié)點也需要人來推動，比如復(fù)雜數(shù)據(jù)的采集與分析、安全策略的動態(tài)調(diào)整、事件壓力下的決策處置。

1.3 協(xié)同共享

協(xié)同共享是打破自身能力局限、提升整體安全水平的鑰匙?！伴]門造車”在過去的網(wǎng)絡(luò)安全環(huán)境下或許行得通(許多工業(yè)企業(yè)確實是這樣做的)，但是“永恒之藍(lán)”事件為這些企業(yè)敲響了警鐘：封閉的內(nèi)網(wǎng)環(huán)境不再是安全自留地。IT與OT部門無法有效溝通合作是工業(yè)企業(yè)內(nèi)的普遍現(xiàn)象。組織內(nèi)部部門間應(yīng)該打破固有隔閡，形成日常協(xié)同交流機制，有利于在應(yīng)急響應(yīng)階段的信息交流通暢。組織間威脅情報的協(xié)同共享也應(yīng)該通過有效的機制來維護(hù)，群策群力，共同加強工業(yè)控制系統(tǒng)安全防御能力。

1.4 科學(xué)決策

科學(xué)決策是建設(shè)態(tài)勢感知系統(tǒng)的出發(fā)點和落腳點。態(tài)勢感知能力最終體現(xiàn)在其是否能幫助相關(guān)人員對網(wǎng)絡(luò)安全事件進(jìn)行科學(xué)、高效決策，而不是可視化效果的炫酷程度。對科學(xué)決策的支持，需要態(tài)勢感知系統(tǒng)提供全面、可靠、清晰的分析結(jié)果[11-12]。值得注意的是，應(yīng)避免過度分析而掩蓋了原始數(shù)據(jù)本身蘊藏的價值。

2 工控網(wǎng)絡(luò)安全態(tài)勢感知框架

為了解決ICS面臨的日益嚴(yán)峻的安全挑戰(zhàn)，全面、深度感知ICS網(wǎng)絡(luò)安全狀態(tài)，在安全事件發(fā)生時能夠快速、有效地進(jìn)行應(yīng)急響應(yīng)，本文提出了一個層次化的工控態(tài)勢感知概念框架。該框架基于Endsley提出的經(jīng)典態(tài)勢感知模型進(jìn)行了擴展[13-15]，包含個人、團(tuán)隊、行業(yè)三個層次，以數(shù)據(jù)驅(qū)動為核心，強調(diào)人員在整個體系中起到的關(guān)鍵作用。雖然該框架細(xì)化了角色，但是實質(zhì)上加強了各模塊間的協(xié)同共享。圖1是整體框架示意圖。

圖1 ICS態(tài)勢感知框架

2.1 個人層面

個人層面的態(tài)勢感知層是基礎(chǔ)。這里涉及到的人員是工作在一線的操作員、網(wǎng)絡(luò)管理員、安全管理員等。以企業(yè)持有資產(chǎn)、企業(yè)提供的服務(wù)為線索確定相關(guān)人員，可以劃定個人層面的人員范圍。如果關(guān)鍵人員未被納入態(tài)勢感知計劃中，會導(dǎo)致基礎(chǔ)數(shù)據(jù)信息的嚴(yán)重缺失。烏克蘭電網(wǎng)攻擊事件中，當(dāng)應(yīng)急響應(yīng)的重心全部放在電力恢復(fù)時，攻擊者對電力系統(tǒng)電話中心進(jìn)行了分布式拒絕服務(wù)攻擊(Distributed Denial of Service, DDoS)。當(dāng)斷電事件發(fā)生時，受影響的居民卻無法聯(lián)系到供電公司。除了斷電本身造成的影響，無法向居民有效傳達(dá)事件信息所造成的社會恐慌也是攻擊者所要達(dá)到的重要目的。因此，要確定相關(guān)人員范圍，整體把握安全態(tài)勢。圖2是個人層面態(tài)勢感知的詳細(xì)展示。

圖2 個人層面態(tài)勢感知框架

在這一層面，相關(guān)人員不僅要收集、整理資產(chǎn)規(guī)格、運行狀態(tài)、安全配置等內(nèi)部數(shù)據(jù)信息，還要結(jié)合團(tuán)隊提供的情報作出分析，形成態(tài)勢報告?；趦?nèi)外部數(shù)據(jù)分析結(jié)果，并利用專業(yè)知識與個人經(jīng)驗，人員可以作出相關(guān)事件的預(yù)決策，將其與態(tài)勢報告一同提交團(tuán)隊。

2.2 團(tuán)隊層面

團(tuán)隊層面具有承上啟下的作用，同時它還是態(tài)勢感知的主體，因為應(yīng)急響應(yīng)的決策與處置實質(zhì)上是由團(tuán)隊層面主導(dǎo)的。在整合了個人層面提交的數(shù)據(jù)與態(tài)勢報告后，團(tuán)隊在分析階段還要重視人員提出的預(yù)決策。長期工作在一線的人員往往更加熟悉自己工作范圍內(nèi)的設(shè)備與流程，提出的建議能起到關(guān)鍵作用。團(tuán)隊?wèi)?yīng)為相關(guān)人員提供必要的情報信息，例如：“關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)”的相關(guān)規(guī)定、已知網(wǎng)絡(luò)安全事件案例、突發(fā)網(wǎng)絡(luò)安全事件告警、漏洞庫信息。在相關(guān)人員的分析和預(yù)決策階段，這些外部信息能給予有效支撐。

2.3 行業(yè)層面

行業(yè)層面態(tài)勢感知是全局把握ICS安全態(tài)勢的重要一環(huán)。當(dāng)針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊發(fā)生時，小團(tuán)隊的孤軍奮戰(zhàn)難以應(yīng)對。尤其是高級持續(xù)性威脅(Advanced Persistent Threat, APT)，它具有潛伏時間長、針對性強、危害程度深等特點。于團(tuán)隊層面之上建設(shè)行業(yè)層面的態(tài)勢感知，可以加強各團(tuán)隊之間的協(xié)同共享，共同提升整體防護(hù)能力，并為團(tuán)隊決策提供相關(guān)指導(dǎo)。

3 案例分析

本文以發(fā)生于2015年12月的烏克蘭電網(wǎng)攻擊事件為例進(jìn)行分析，表明本文提出的ICS安全態(tài)勢感知概念框架可以快速、有效地幫助相關(guān)人員進(jìn)行決策，降低事件的危害程度。

3.1 案例背景

2015年12月23日，一家烏克蘭電力供應(yīng)公司Kyivoblenergo報告稱：供電服務(wù)因故中斷。這次斷電事件的起因是，第三方非法入侵企業(yè)內(nèi)計算機和數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(Supervisory Control And Data Acquisition, SCADA)。在當(dāng)?shù)貢r間的下午3:35左右，7個110kV和23個35kV變電站斷開鏈接，導(dǎo)致數(shù)小時的停電[16]。與此同時，攻擊者對電話中心進(jìn)行了DDoS攻擊，致使受影響居民無法及時了解相關(guān)情況而產(chǎn)生社會恐慌。烏克蘭斷電事件在國際范圍內(nèi)產(chǎn)生了巨大影響。Kyivoblenergo提供的數(shù)據(jù)顯示，這次斷電影響了大約80 000戶居民。隨后又有三家電力供應(yīng)公司遭到攻擊，導(dǎo)致多個地區(qū)約225 000戶居民受到斷電影響。

3.2 攻擊原理

基于電力系統(tǒng)工作原理和目前公開的惡意樣本，可以推測此次事件的攻擊原理：攻擊者使用釣魚郵件的方式向辦公區(qū)的計算機植入BlackEnergy惡意代碼[17]。然后以被感染設(shè)備為跳板進(jìn)行滲透，成功感染監(jiān)控網(wǎng)、控制網(wǎng)內(nèi)的關(guān)鍵主機。隨后，攻擊者下達(dá)攻擊指令，導(dǎo)致斷電。與此同時，攻擊者還對電話中心進(jìn)行了DDoS攻擊，一方面干擾了電力系統(tǒng)對斷電區(qū)域范圍的準(zhǔn)確判斷，另一方面引起了一定程度的社會恐慌。攻擊成功后，攻擊者又采取了多種手段加大恢復(fù)難度，例如：覆蓋部分扇區(qū)以影響系統(tǒng)正常重啟、清除系統(tǒng)日志以提升事件后續(xù)分析難度、覆蓋部分文檔以破壞數(shù)據(jù)[18]。

這一系列攻擊手段加大了系統(tǒng)恢復(fù)的難度，使工作人員對整體環(huán)境的感知能力大大下降，不能有效開展應(yīng)急響應(yīng)工作。

3.3 框架應(yīng)用

圖3展現(xiàn)了將烏克蘭電網(wǎng)攻擊事件與本文提出的ICS態(tài)勢感知框架結(jié)合之后的情況。

圖3 烏克蘭電網(wǎng)攻擊事件態(tài)勢感知框架

與伊朗“震網(wǎng)”病毒事件類似，此次斷電事件也是針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊。但是兩者也有顯著的區(qū)別：“震網(wǎng)”事件利用了0day漏洞、復(fù)雜的工業(yè)流程調(diào)查、PLC運行機制等“高級手段”；烏克蘭電網(wǎng)攻擊事件卻沒有使用0day漏洞，僅僅依靠帶有宏病毒的釣魚郵件與相對簡單的攻擊手法，就達(dá)到了驚人的攻擊效果。由此可見，ICS的攻擊面并不狹小，并隨著IT/OT一體化進(jìn)程的推進(jìn)呈現(xiàn)出擴大趨勢。ICS中的許多環(huán)節(jié)都可能成為攻擊者利用的目標(biāo)。

在態(tài)勢感知框架個人層面中，要確保相關(guān)人員組成的完整性。以電話中心操作員為例，當(dāng)斷電事件發(fā)生時，應(yīng)急響應(yīng)的工作重心幾乎全部在電力系統(tǒng)的故障恢復(fù)，而忽略了電話中心的關(guān)鍵職能。攻擊者對其進(jìn)行DDoS攻擊，導(dǎo)致安全人員難以確定斷電事件影響范圍，同時也造成了一定程度的社會恐慌。與此同時，威脅情報的支持在個人層面也能起到關(guān)鍵作用。比如，BlackEnergy在這次斷電事件以前曾多次出現(xiàn)，其惡意樣本的相關(guān)信息可以幫助安全管理員進(jìn)行預(yù)防工作，以縮小BlackEnergy的攻擊入口。而且在事件發(fā)生時，該情報也可以支持安全人員開展分析工作并進(jìn)行預(yù)決策，為團(tuán)隊決策提供參考意見。

在態(tài)勢感知的團(tuán)隊層面，應(yīng)高效整合來自團(tuán)隊內(nèi)部的數(shù)據(jù)與外部的威脅情報，結(jié)合相關(guān)人員提供的報告與預(yù)決策，快速進(jìn)行斷電事件的應(yīng)急響應(yīng)。團(tuán)隊?wèi)?yīng)及時分析事件的動態(tài)變化，不斷優(yōu)化處理手段，將任務(wù)下達(dá)給執(zhí)行者，及時恢復(fù)電力供應(yīng)并調(diào)查攻擊行為。與此同時，團(tuán)隊?wèi)?yīng)該把當(dāng)前的態(tài)勢報告及時提交給電力行業(yè)層面態(tài)勢感知，幫助其進(jìn)行整體的安全態(tài)勢評估并對其他供電單位進(jìn)行預(yù)警。

電力行業(yè)層面在整合各團(tuán)隊信息后，分析受影響團(tuán)隊的安全問題，安排行業(yè)專家給予支持。在烏克蘭電網(wǎng)攻擊事件中，BlackEnergy和KillDisk這兩個主要的惡意代碼都不是第一次出現(xiàn)。BlackEnergy惡意代碼最早出現(xiàn)在2007年，此次事件中出現(xiàn)的是它的變種。KillDisk于2015年11月烏克蘭大選期間感染了多個媒體機構(gòu)。若在行業(yè)層面加強對已知惡意攻擊的分析與防御手段的研究，并且及時為團(tuán)隊賦能，可以減小攻擊面，降低電力系統(tǒng)面臨的安全風(fēng)險。

從以上分析可以看出，基于本文提出的ICS安全態(tài)勢概念框架，在個人、團(tuán)隊、行業(yè)三個層次有針對性的加強態(tài)勢感知建設(shè)，可以及時感知攻擊者行為、分析攻擊手段并作出快速有效的決策，降低安全事件的危害程度。

4 結(jié)論

本文首先分析了建設(shè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知的四個關(guān)鍵點：數(shù)據(jù)驅(qū)動、人在回路、協(xié)同共享、科學(xué)決策。其次，提出了適用于ICS的網(wǎng)絡(luò)安全態(tài)勢感知概念框架，個人、團(tuán)隊、行業(yè)的層次化框架在細(xì)化了角色的基礎(chǔ)上強調(diào)加強協(xié)同共享，為應(yīng)急響應(yīng)階段的科學(xué)決策提供了有效的機制保證。最后，以烏克蘭電網(wǎng)攻擊事件為例對本文提出的框架進(jìn)行了具體闡述，表明該框架的有效性。

[1] 陶耀東, 賈新桐, 崔君榮. 工業(yè)互聯(lián)網(wǎng)IT/OT一體化的安全挑戰(zhàn)與應(yīng)對策略[J].電信網(wǎng)技術(shù), 2017(11):8-12.

[2] 劉威,李冬,孫波.工業(yè)控制系統(tǒng)安全分析[J].信息網(wǎng)絡(luò)安全,2012(8):41-43.

[3] 肖建榮.工業(yè)控制系統(tǒng)信息安全[M].北京：電子工業(yè)出版社, 2015.

[4] 龔正虎,卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究[J].軟件學(xué)報, 2010,21(7):1605-1619.

[5] 陸耿虹,馮冬芹.工控網(wǎng)絡(luò)安全態(tài)勢感知算法實現(xiàn)[J].控制理論與應(yīng)用,2016,33(8):1054-1060.

[6] 曾偉兵,石慧.一種基于因子加權(quán)算法的工業(yè)控制系統(tǒng)態(tài)勢感知方法[C]//全國網(wǎng)絡(luò)安全等級保護(hù)技術(shù)大會, 2017.

[7] 陸耿虹,馮冬芹.基于改進(jìn)C-SVC的工控網(wǎng)絡(luò)安全態(tài)勢感知[J].控制與決策,2017,32(7):1223-1228.

[8] 葉健健, 文志誠, 吳欣欣. 基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢感知模型[J]. 湖南工業(yè)大學(xué)學(xué)報, 2014, 28(3):65-70.

[9] FRANKE U, BRYNIELSSON J. Cyber situational awareness-a systematic review of the literature[J]. Computers & Security, 2014, 46:18-31.

[10] JACOBS J, RUDIS B. Data-driven security: analysis, visualization and dashboards[M]. Wiley Publishing, 2014.

[11] FENG Y H, TENG T H, TAN A H. Modelling situation awareness for context-aware decision support[M]. Pergamon Press, Inc., 2009.

[12] Ieee B E. 2012 IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support [copyright notice][C]// IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support. IEEE, 2012:1-1.

[13] FENG N, YU X. A data-driven assessment model for information systems security risk management[J]. Journal of Computers, 2012, 7(12):3103-3109.

[14] ENDSLEY M R. Toward a theory of situation awareness in dynamic systems[J]. Human Factors, 1995, 37(1):32-64.

[15] ENDSLEY M R. Design and evaluation for situation awareness enhancement[C]// human Factors Society, 1988:97-101.

[16] KHAN R, MAYNARD P, MCLAUGHLIN K, et al. Threat analysis of BlackEnergy malware for synchrophasor based real-time control and monitoring in smart grid[C]// International Symposium for ICS & Scada Cyber Security Research. BCS Learning & Development Ltd., 2016:1-11.

[17] 王勇,王鈺茗,張琳,等.烏克蘭電力系統(tǒng)BlackEnergy病毒分析與防御[J].網(wǎng)絡(luò)與信息安全學(xué)報,2017, 3(1):46-53.

[18] 張盛杰,何冰,王立富,等.烏克蘭停電事件對全球能源互聯(lián)網(wǎng)安全的啟示[J].電力信息與通信技術(shù), 2016(3):77-83.