基于攻擊關系樹和CVSS的安全儀表系統(tǒng)信息安全評估方法研究

郭怡安

(1.化學品安全全國重點實驗室,山東青島 266104 2.中石化安全工程研究院有限公司,山東青島 266104)

0 前言

石化行業(yè)生產(chǎn)過程中的自動化程度越來越高,其主要依賴于芯片及片上系統(tǒng)(SoC)和各種嵌入式設備的支持[1]。信息在傳輸過程中會涉及到硬件、操作系統(tǒng)、通信協(xié)議、應用系統(tǒng)等相關基礎元素。工業(yè)控制系統(tǒng)尤其是安全儀表系統(tǒng) (Safety Instrumented System,SIS) 與普通控制系統(tǒng)不同,發(fā)生緊急情況時若沒有正常動作,可能會造成較大經(jīng)濟損失,甚至是生產(chǎn)事故等嚴重后果[2]。因此SIS對安全性、可靠性、可用性都提出了極高的要求。研究適用于SIS的信息安全評估方法,就成為衡量安全狀態(tài)、及時采取預防性措施的重要手段和依據(jù)。

近年來,國內外學者一般采用定性和定量的風險評估技術和方法,對普通工業(yè)控制系統(tǒng)(除SIS外的控制系統(tǒng),如SCADA、DCS、PLC等)或其他為工業(yè)生產(chǎn)提供信息化服務的服務資源和設備的安全脆弱性進行評估[3]。其中,定性的評估方法更為簡單直觀,但主觀性較強。例如,Francia,等[4]使用CORAS框架工具對SCADA系統(tǒng)進行風險建模與分析;Chittester,等[5]利用等級全息建模(Hierarchical Holographic Modelling,HHM)方法提出了一種可以應用于SCADA和GPS系統(tǒng)的風險評估框架。而定量的方法能夠使用數(shù)據(jù)得到更準確的評估結果,例如張堃,等[6]運用模糊層次分析法和綜合評價方法獲得大型控制系統(tǒng)信息安全各評估指標權重系數(shù),并進行綜合評估;Byres,等[7]使用攻擊樹建模,對工業(yè)控制SCADA通信系統(tǒng)進行了漏洞分析;夏丹陽,等[8]提出了利用攻擊樹模型來分析反應器保護系統(tǒng)的信息安全;Ten,等[9]提出了一個基于攻擊樹模型的漏洞評估框架,通過計算信息安全脆弱性指標,從而量化地從系統(tǒng)、場景和接入點3個層面系統(tǒng)地評估SCADA系統(tǒng)的漏洞。綜上所述,可以看出定量的風險評估方法是目前主流研究方向之一,并且以攻擊關系樹為代表的圖形化定量風險評估方法應用較為廣泛且效果佳。

然而,以上研究中仍存在一些不足值得深入探討。目前,針對SIS為主體的信息安全風險,結合定量化評價方法與體系,以及結合風險評價結果來指導信息安全加固工作的研究甚少。并且在資產(chǎn)屬性量化過程中易受人為主觀因素影響,在評估結果方面缺乏對風險的綜合描述。因此,本文針對以上2個問題,提出了一種新的信息安全風險量化評估模型,并以某典型裝置SIS為例進行了實驗驗證,可以為后續(xù)系統(tǒng)制定安全防護策略提供技術支撐。

1 攻擊關系樹與CVSS

1.1 攻擊關系樹

攻擊關系樹(attack tree)是一種能夠描述系統(tǒng)安全性的建模的方法[10](圖1),其采用樹形結構來描述針對目標系統(tǒng)的各種攻擊方式。

圖1 攻擊關系樹模型

其中攻擊目標為根節(jié)點,用于實現(xiàn)對目標進行攻擊的不同的方法或途徑為葉節(jié)點。位于攻擊關系樹的根節(jié)點和葉節(jié)點之間的為中間節(jié)點,一般分為或節(jié)點(or)、與節(jié)點(and)或順序與節(jié)點(sand)[11]。其中,or節(jié)點代表備選方案,and節(jié)點代表實現(xiàn)同一目標的不同步驟。一次完整的攻擊是指攻擊者從葉節(jié)點通過攻擊關系樹的其他中間節(jié)點到達根節(jié)點的過程[12]。如圖1所示,圖中C節(jié)點表示根節(jié)點,即攻擊目標,A和B是葉節(jié)點,指的是攻擊方式。攻擊關系樹建立后可以為不同的葉節(jié)點進行賦值,然后對節(jié)點進行計算,從而得到目標的安全性,并以此指導系統(tǒng)防御的方向和重點。

1.2 CVSS

目標系統(tǒng)中存在的風險要素量化是安全風險評估的第一步,其有效性關系到后續(xù)評價計算的準確度與綜合性,因此顯得尤為重要。由于市面上各廠商或機構衡量系統(tǒng)脆弱性的側重點不盡相同,尚無統(tǒng)一的系統(tǒng)風險要素或資產(chǎn)的量化標準,目前使用較為廣泛的是CVSS(Common Vulnerability Scoring System,通用漏洞評分系統(tǒng))[13]。CVSS是一個行業(yè)公開標準,其被設計用來評測漏洞的嚴重程度,并幫助確定所需反應的緊急度和重要度。全面收集單點資產(chǎn)的數(shù)字資產(chǎn)信息,能夠保證提供充分的信息進行識別匹配。

采用CVSS進行風險要素評價的優(yōu)勢在于,它可以幫助使用者根據(jù)目標對象的不同需求,調整考量指標,可以綜合考慮單點資產(chǎn)的威脅與安全措施的配置、應用環(huán)境部署、攻擊者情況、脆弱性可利用程度等風險要素,從而作出合理評價[14-15]。

2 基于攻擊關系樹和CVSS的SIS信息安全評估方法

為了對石化生產(chǎn)過程中所必需的安全儀表系統(tǒng)進行信息安全脆弱性評估,采用了攻擊關系樹建模和CVSS評價相結合的評估方法,對其進行風險評定,以支撐安全決策和相關終端風險加固。該方法包含的步驟如圖2所示。

圖2 基于攻擊關系樹和CVSS的SIS系統(tǒng)信息安全評估流程

2.1 確定目標系統(tǒng)中單點資產(chǎn)的安全評價值

可通過以下步驟確定目標系統(tǒng)中單點資產(chǎn)的安全評價值。

a) 收集目標系統(tǒng)中單點資產(chǎn)的數(shù)字資產(chǎn)信息,包括:品牌型號、硬件固件、協(xié)議、軟件、操作系統(tǒng)的名稱、操作系統(tǒng)的版本號、操作系統(tǒng)的補丁號。

b) 獲取公開漏洞數(shù)據(jù)庫中的漏洞信息,具體來說,確定選用的公開漏洞數(shù)據(jù)庫,獲取完整的信息數(shù)據(jù),以作為資產(chǎn)與漏洞識別的依據(jù)。公開漏洞數(shù)據(jù)庫包含但不限于美國國家漏洞數(shù)據(jù)庫(NVD)、中國科學院研究生院國家計算機網(wǎng)絡入侵防范中心開發(fā)的安全漏洞數(shù)據(jù)庫等。

c) 進行所述數(shù)字資產(chǎn)信息與所述漏洞信息的匹配,得到單點資產(chǎn)的安全評價值。具體來說,結合公開漏洞數(shù)據(jù)庫與目標系統(tǒng)中的資產(chǎn)進行數(shù)據(jù)匹配,采用CVSS取得單點資產(chǎn)的安全評價值(Overall CVSS Score)。

2.2 構建攻擊關系樹模型及攻擊路徑分析

通過確定目標系統(tǒng)中單點資產(chǎn)的安全評價值,結合目標系統(tǒng)的物理結構和網(wǎng)絡拓撲結構,構建攻擊關系樹模型。具體步驟如下:

a) 以單點資產(chǎn)為節(jié)點,構建單點資產(chǎn)間的物理結構關系圖和網(wǎng)絡拓撲關系圖。把每個單點資產(chǎn)的安全評價值標注在物理結構關系圖和網(wǎng)絡拓撲關系圖中。根據(jù)目標系統(tǒng)的實際情況,確定節(jié)點連接線的邏輯連接關系。具體來說,畫出節(jié)點間的物理結構關系圖和網(wǎng)絡拓撲關系圖,并把每個節(jié)點的安全評估值標注在圖上。物理結構關系圖和網(wǎng)絡拓撲關系圖為計算機可讀形式,具備可視化特點。其中,節(jié)點連接線的邏輯連接關系包含:第一邏輯連接關系(或“or”)以及第二邏輯連接關系(與“and”),第一邏輯連接關系表明節(jié)點間無關聯(lián)關系,第二邏輯連接關系表明節(jié)點間有關聯(lián)關系[16]。

b) 根據(jù)邏輯連接關系,將物理結構關系圖和網(wǎng)絡拓撲關系圖抽象為一個具有根節(jié)點的無環(huán)有向圖。確定無環(huán)有向圖中對安全造成直接影響的根節(jié)點,記錄為攻擊根節(jié)點。對到達攻擊根節(jié)點的路徑進行記錄,記錄為攻擊路徑。

2.3 計算每個節(jié)點的發(fā)生概率和危害程度

結合上述安全評價值,對每個節(jié)點的發(fā)生概率和危害程度進行計算。其中:

第一邏輯連接關系時節(jié)點的發(fā)生概率,見公式(1)。

(1)

第二邏輯連接關系時節(jié)點的發(fā)生概率,見公式(2)。

(2)

所述攻擊根節(jié)點的攻擊概率,見公式(3)。

P(N)=Por(Ni)×Pand(Ni)

(3)

式中:P(N)——攻擊根節(jié)點N的攻擊概率;

Por(Ni)——第一邏輯連接關系時節(jié)點Ni的發(fā)生概率;

Pand(Ni)——第二邏輯連接關系時節(jié)點Ni的發(fā)生概率;

n——攻擊路徑中的節(jié)點個數(shù)。

通過以下步驟計算攻擊發(fā)生概率:依據(jù)攻擊路徑,計算得到攻擊根節(jié)點的攻擊概率;根據(jù)攻擊概率,結合客觀影響因素,定義攻擊根節(jié)點的威脅參數(shù);基于攻擊概率以及所述威脅參數(shù),計算得到攻擊根節(jié)點的攻擊發(fā)生概率。具體來說,根據(jù)之前步驟得到的攻擊概率,結合客觀影響因素,由安全技術專家根據(jù)經(jīng)驗并參考表1,定義節(jié)點的威脅參數(shù)。將攻擊根節(jié)點定義為貝葉斯網(wǎng)絡(BN)節(jié)點[17],基于攻擊路徑,利用貝葉斯網(wǎng)絡模型進行計算,得到最終的攻擊發(fā)生概率。

表1 節(jié)點的威脅參數(shù)賦值

此處在實際工程應用中,通常采用專家打分的方法對節(jié)點的威脅參數(shù)進行賦值,但不同專家對攻擊事件的認知情況不同,導致同一屬性節(jié)點的評分等級不同。為此,可認為評分等級為區(qū)間變量,且為獨立同分布。得到評分等級的概率密度函數(shù)分布如公式(4)所示。

(4)

式中:σ——某節(jié)點的威脅參數(shù);

客觀影響因素包括:防護類安全措施;檢測類安全措施;響應類措施;所選攻擊工具的復雜度;漏洞的利用難度。

通過公式(5)計算得到攻擊發(fā)生概率。

(5)

式中:RNi——攻擊發(fā)生概率;

P(Ni)——第i個節(jié)點的攻擊概率;

σi——第i個節(jié)點的客觀影響因素的分值。

最后,基于攻擊發(fā)生概率,給出評級結果。依據(jù)評級函數(shù)進行風險評級計算,并出具相應的評估報告,給出存在風險的緩解措施。具體來說,根據(jù)計算得到的安全評價結果,可以對檢測結果進行風險評級并出具評級報告。

評級函數(shù)f如公式(6)所示。

(6)

根據(jù)GB/T 20984中的表11進行風險評級[18]劃分,由于標準中未給出不同等級所對應的具體數(shù)值,根據(jù)實際應用過程中的專家經(jīng)驗總結,得到如表2所示的評級要求。根據(jù)表2中對不同等級的定義,可以判斷出系統(tǒng)的最終風險等級。

表2 系統(tǒng)資產(chǎn)風險評級

3 實例分析

為便于對比驗證和分析上述方法的有效性,采用某裝置現(xiàn)場SIS實例進行分析說明,系統(tǒng)架構如圖3所示。根據(jù)分析SIS的定義及圖3中的SIS架構組成,它面臨的信息安全威脅可能來自3處,即:工程師站、操作員站和無線通信網(wǎng)絡。

圖3 某裝置現(xiàn)場SIS架構

如表3所示,通過獲取CVSS評價字符串可以得到各葉節(jié)點漏洞的安全評價值,可知漏洞對設備的影響程度,并進一步可以得到各單點設備總的安全評價值,見表4。

為對目標系統(tǒng)的攻擊效果進行分析,在分析了系統(tǒng)的脆弱性和攻擊面的基礎上,畫出攻擊關系樹模型。分析并構建攻擊關系樹,如圖4所示。

圖4 SIS系統(tǒng)攻擊關系樹建模

根據(jù)圖4所示攻擊關系進行攻擊路徑分析,得到攻擊路徑為:

D=AorBandC

根據(jù)攻擊路徑和概率計算公式,將以上數(shù)據(jù)代入公式(3),得出D點的攻擊概率為:

P(N)1=Por(N1)×Pand(N1)=0.5

P(N)2=Por(N2)×Pand(N2)=0.062 5

根據(jù)表1中給出的節(jié)點威脅參數(shù),經(jīng)過專家綜合評估,并通過公式(4)計算可知該系統(tǒng)總的威脅參數(shù)σ1=0,σ2=5,將參數(shù)代入公式(5)可以得到攻擊發(fā)生概率,結果如下:

最后,將攻擊概率代入公式(6),就能得到該系統(tǒng)信息安全風險的評級,結果為:

綜上,得出本次評估結果風險為31.25%,在30%<風險概率值≤70%范疇內,根據(jù)表2判斷該系統(tǒng)屬于3級(中等風險),可根據(jù)此評估值所記錄內容出據(jù)相應的評估報告,并給出存在風險的緩解措施。

4 結論

作為工業(yè)控制系統(tǒng)進行信息安全建設的起點和基礎,風險評估的方法對判斷安全儀表系統(tǒng)所面臨的安全風險及主要問題和矛盾起著重要作用。

基于攻擊關系樹和CVSS的SIS信息安全評估方法可用于信息安全威脅程度評估:

a) 在基礎數(shù)據(jù)準備方面,結合數(shù)據(jù)來源,提出使用基本漏洞數(shù)據(jù)庫將其與目標系統(tǒng)中資產(chǎn)數(shù)據(jù)進行匹配,并取得安全評價數(shù)值;構建了攻擊關系圖并進行攻擊路徑的分析,將威脅的節(jié)點連接線與實際資產(chǎn)進行結合,能夠更真實準確地反應出系統(tǒng)中的威脅關系。

b) 在攻擊關系圖的構建上,使用了威脅的復合數(shù)據(jù)(單點資產(chǎn))做為圖節(jié)點,威脅間的關聯(lián)有關系和資產(chǎn)的拓撲關系作為圖的節(jié)點連接線,轉化后利用貝葉斯網(wǎng)絡進行分析。

將攻擊關系樹與CVSS相結合的評估方法從石化生產(chǎn)從石化生產(chǎn)中的SIS本身數(shù)字資產(chǎn)存在漏洞入手,進而分析如果發(fā)生風險,其有效路徑中的風險定量分析如何進行更具有直觀性和可使用性。算例分析結果表明本方法是合理可行的,所獲得的結果能夠幫助系統(tǒng)管理人員科學有效地了解當前系統(tǒng)面臨的安全威脅狀態(tài),進而有重點、有針對性地增強防御措施。在未來的石化類工業(yè)生產(chǎn)企業(yè)安全分析和定性定量評估中,可以作為重要的工具起到流程定義的作用。