今日頭條
官方微信
官方抖音
資訊頻道 工控信息安全方面國家政策
近年來工控信息安全的重要性凸顯,在國家層面也是相應出臺了許多針對性的政策。
工業(yè)控制系統(tǒng)的信息安全要求最初主要來自于工信部協(xié)[2011]451號,即關于加強工業(yè)與控制系統(tǒng)信息安全管理的通知。
這個通知要求充分認識工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,切實加強工業(yè)控制系統(tǒng)信息安全管理,以保障工業(yè)生產運行安全、國家經(jīng)濟安全和人民生命財產安全。
2012年,發(fā)改委針對工業(yè)控制等領域面臨的信息安全實際需要,組織國家信息安全專項。專項重點支持工業(yè)控制信息安全領域產品的產業(yè)化,主要面向以下三類工業(yè)控制系統(tǒng)安全產品:
(1)適用于工業(yè)控制系統(tǒng)的防火墻:具有支持多路由協(xié)議、 IP/MAC地址綁定、工業(yè)控制協(xié)議過濾、基于白名單策略的訪問控制等功能,具有高可靠性,能夠適用于不同工業(yè)控制網(wǎng)絡應用場景。公安部第三研究所信息安全產品檢測中心就承擔了工控防火墻產品的測試任務,在測試過程中與生產廠商、業(yè)內專業(yè)人士交流,不僅圓滿完成了測試任務,還取得了一定的經(jīng)驗積累,后續(xù)也在工控信息安全產品的行業(yè)標準、國家標準等方面的制定工作中取得了突破。
(2)面向工業(yè)控制系統(tǒng)的異常行為審計產品:具有惡意未知行為和異常行為的發(fā)現(xiàn)與檢測,以及內容監(jiān)測、事件與行為的審計等功能,能夠適用于不同的工業(yè)控制網(wǎng)絡應用場景。
(3)工業(yè)控制網(wǎng)絡安全管控平臺:支持工業(yè)控制網(wǎng)絡流量收集識別、基于白名單的終端應用控制、實時工業(yè)控制協(xié)議與內容識別、漏洞發(fā)現(xiàn)與威脅識別、可視化運維、安全事件跟蹤分析預警等。
專項還重點支持面向工業(yè)控制系統(tǒng)的信息安全專業(yè)化服務,包括應急響應、系統(tǒng)安全測試、隱患分析與風險評估、在線威脅檢測與風險預警、可信安全運維與防護,以及基于可用性的最小威脅容忍建模和異常行為仿真等。
2013年,發(fā)改委針對工業(yè)控制等領域面臨的信息安全實際需要,繼續(xù)組織國家信息安全專項。
面向工業(yè)控制信息安全領域的安全產品主要包括以下兩類:一是面向現(xiàn)場設備環(huán)境的邊界安全專用網(wǎng)關產品。支持IPv4/IPv6及工業(yè)以太網(wǎng),適用于集散控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、現(xiàn)場總線等現(xiàn)場環(huán)境,具備5種以上工業(yè)控制專有協(xié)議以及多種狀態(tài)或指令主流格式數(shù)據(jù)的檢查、過濾、交換、阻斷等功能,數(shù)據(jù)傳輸可靠性達到100%,可保護節(jié)點數(shù)不少于500點,設備吞吐量達到線速運行水平,延時小于100ms。
一是面向集散控制系統(tǒng)(DCS)的異常監(jiān)測產品。適用于電廠、石油、化工、供熱、供水等工藝流程,具有對工業(yè)控制系統(tǒng)的DCS工程師站組態(tài)變更、DCS操作站數(shù)據(jù)與操控指令變更,以及各種主流現(xiàn)場總線訪問、負載變更、通信行為、異常流量等安全監(jiān)測能力,具備過程狀態(tài)參數(shù)、控制信號的閾值檢查與報警功能。
專項還重點支持面向工業(yè)控制信息安全領域的可控試點示范,在電力電網(wǎng)、石油石化、先進制造、軌道交通領域,支持大型重點骨干企業(yè),按照信息安全等級保護相關要求,建設完善安全可控的工業(yè)控制系統(tǒng)。建立以杜絕重大災難性事件為底線的工業(yè)控制系統(tǒng)綜合安全防護體系,建立完善工業(yè)控制信息安全技術與管理的機制和規(guī)范。
工業(yè)控制系統(tǒng)
說到工業(yè)控制系統(tǒng),美國NIST給出了一個比較通用的定義,說明工控系統(tǒng)是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件,共同構成的確保工業(yè)基礎設施自動化運行、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)。
其核心組件主要包括: 數(shù)據(jù)采集與監(jiān)視控制系統(tǒng) 、過程控制系統(tǒng)、 分布式控制系統(tǒng)、 可編程邏輯控制器、 遠程終端、 智能電子設備以及確保各組件通信的接口技術 。
其實這是比較狹義的工控系統(tǒng),隨著工業(yè)化和信息化融合的深入,工控系統(tǒng)與業(yè)務系統(tǒng)已經(jīng)對接,其層次和內涵也得到了極大地豐富。
上圖所示就是廣義的工業(yè)控制系統(tǒng)所需要涵蓋的范圍。
這是AMR組織提出的一個通用的制造企業(yè)信息傳遞的金字塔,將企業(yè)的信息系統(tǒng)分成三層,依次為業(yè)務計劃層、制造執(zhí)行層和過程控制層,是決策細化下達和執(zhí)行結果匯總上傳的信息溝通模式。
從網(wǎng)絡構成來說,業(yè)務計劃層是企業(yè)的辦公網(wǎng),主要涉及企業(yè)級應用,如ERP、OA等;制造執(zhí)行層是監(jiān)控網(wǎng)絡,主要部署SCADA服務器、數(shù)據(jù)庫、生產調度系統(tǒng)等;過程控制系統(tǒng)部署的是比較典型的控制網(wǎng)絡,但也可以細分為工業(yè)以太網(wǎng)和工業(yè)總線網(wǎng),其實也是最為復雜的網(wǎng)絡。
其實真正意義上的工控網(wǎng)絡可以分為四層,對應四個級別:現(xiàn)場控制級、過程控制級、過程管理級和經(jīng)營管理級。與這四層結構相對應的四層局部網(wǎng)絡分別是現(xiàn)場網(wǎng)絡 (Field Network,F(xiàn)net)、控制網(wǎng)絡 (Control Network,Cnet)、監(jiān)控網(wǎng)絡 (SupervisionNetwork,Snet) 和管理網(wǎng)絡 (Management Network,Mnet)。
經(jīng)營管理級強調計劃的執(zhí)行和控制,通過分解和細化計劃指令將業(yè)務層與生產現(xiàn)場的控制層有機集成在一起,同時考慮生產方案的有序和優(yōu)化配置、設備能力的合理利用、物料的優(yōu)化配比等。其信息通訊依托于辦公網(wǎng),通過常規(guī)的信息安全保證措施(如防火墻等)與互聯(lián)網(wǎng)相連。
過程管理級主要是監(jiān)測控制運行過程,一方面根據(jù)過程狀態(tài)實時修改和調整控制指令,另一方面及時有效監(jiān)測異常狀況,為生產管理的指令下達提供依據(jù)。
過程控制級通過預先設定的控制策略,根據(jù)上層的指令達到或者維持生產要求。
現(xiàn)場儀表層感知實際的物理過程,采集過程中的所有信息,作為上層過程控制層的輸入以實現(xiàn)閉環(huán)控制過程。
工控信息安全面臨的威脅
根據(jù)目前工控信息安全面臨的威脅以及可以采取的防護措施來看,其實和工控安全密切相關的是管理網(wǎng)絡、監(jiān)控網(wǎng)絡和控制網(wǎng)絡。因為監(jiān)控網(wǎng)是新興的MES的網(wǎng)絡,一端面向傳統(tǒng)的以互聯(lián)網(wǎng)技術為基礎的辦公網(wǎng),另一端面向原先物理隔離的控制網(wǎng),具有極大的安全隱患,也是需要重點防護的網(wǎng)絡。而設備網(wǎng)的通信相對較為簡單,使用的也大多是串口通信等技術,更適合從管理角度進行防護。因此接下來我想從管理網(wǎng)、監(jiān)控網(wǎng)和控制網(wǎng)這三個網(wǎng)絡層次對工控信息安全進行探討。
企業(yè)應用ERP、CRM(客戶關系管理,銷售、營銷和服務)、OA等。 一方面,企業(yè)辦公網(wǎng)可能存在與外部互聯(lián)網(wǎng)的通信,就可能存在來自互聯(lián)網(wǎng)的安全威脅,如不安全的遠程支持,這時通常需要具備較為完備的安全邊界訪問措施,如防火墻、嚴格的身份認證及準入控制機制等進行防護; 另一方面,企業(yè)內部的系統(tǒng)或人員需要訪問和處理工控系統(tǒng)的監(jiān)控及采集數(shù)據(jù),使得辦公網(wǎng)與監(jiān)控網(wǎng)之間形成通道,但由于實時性要求和工控協(xié)議私有性的局限,未能實現(xiàn)基本的訪問控制及認證機制,即使在兩個網(wǎng)絡之間存在物理隔離設備(如防火墻、網(wǎng)閘等),也為了可用性和實時性等原因或主動或無意的配置不當,存在被輕易穿透的風險。
關鍵工業(yè)控制組件:SCADA服務器、歷史數(shù)據(jù)庫、實時數(shù)據(jù)庫、人機界面等。在該網(wǎng)絡中,系統(tǒng)操作人員通過HMI界面、SCADA系統(tǒng)及其他遠程控制設備,對現(xiàn)場控制網(wǎng)絡中的遠程終端單元、控制和采集設備的運行狀態(tài)進行監(jiān)控、評估和分析,并根據(jù)運行狀況對PLC和RTU進行調整和控制。
其威脅主要來自于以下幾點:
第一,不安全的移動維護設備(如筆記本、U盤等)的未授權接入,造成木馬、病毒等惡意代碼在網(wǎng)絡中傳播;
第二,監(jiān)控網(wǎng)與RTU/PLC之間不安全的無線通信,極易受到攻擊;
第三,因合作的需要,工業(yè)控制網(wǎng)絡可能存在外聯(lián)的第三方合作網(wǎng)絡,并在網(wǎng)絡之間存在重要數(shù)據(jù)信息交換,雖然存在一定的隔離及訪問控制策略,但日新月異的新型攻擊技術很容易造成這些防護措施的失效;
第四,控制協(xié)議本身考慮最多的是實時性和可用性,基本未涉及安全性考量,存在許多漏洞,極易受到攻擊。
控制網(wǎng)一般可以分為兩層:工程師站/操作師站,以及控制器之間通過工業(yè)以太網(wǎng)進行信息交互;控制器和傳感器、執(zhí)行器之間利用總線技術相連,PLC或RTU可以自行處理一些簡單的程序,實現(xiàn)了信息處理的現(xiàn)場化。
控制網(wǎng)的信息安全威脅主要來自以下幾點:
第一,控制網(wǎng)絡通常處于作業(yè)現(xiàn)場,環(huán)境相對比較復雜,采用各種接入技術作為現(xiàn)有網(wǎng)絡的延伸,如無線、微波等,引入一定的安全風險;
第二,PLC等設備在現(xiàn)場維護時,也可能因不安全的串口連接或缺乏有效的配置,造成其運行參數(shù)被篡改,從而引起整個工控系統(tǒng)的運行危害(震網(wǎng)病毒);
第三,由于考慮到工控軟件與操作系統(tǒng)補丁兼容性的問題,系統(tǒng)開車后一般不會對Windows平臺打補丁,導致系統(tǒng)帶著風險運行;工程師站、操作師站等缺少防病毒軟件,或者病毒庫升級遲緩,而頻繁的數(shù)據(jù)交互(尤其是U盤的方式)極易帶來惡意代碼從而威脅整個工控網(wǎng)絡安全;
第四,除了病毒等惡意代碼以外,控制指令對整個工控系統(tǒng)的影響可能更大,尤其是非授權指令和超過闕值指令的下達,極易引起整個生產過程的崩潰。
“三層網(wǎng)絡,二級防護”
基于以上的工控三層網(wǎng)絡所面臨的信息安全風險,業(yè)內已經(jīng)提出了“三層網(wǎng)絡,二級防護”的信息安全防御體系。
管理層與MES層之間的安全防護主要是為了避免管理信息系統(tǒng)域和MES(制造執(zhí)行)域之間數(shù)據(jù)交換面臨的各種威脅,具體表現(xiàn)為:避免非授權訪問和濫用(如業(yè)務操作人員越權操作其他業(yè)務系統(tǒng));對操作失誤、篡改數(shù)據(jù),抵賴行為的可控制、可追溯;避免終端違規(guī)操作;及時發(fā)現(xiàn)非法入侵行為;過濾惡意代碼(病毒蠕蟲)。
也就是說,管理層與MES層之間的安全防護,保證只有可信、合規(guī)的終端和服務器才可以在兩個區(qū)域之間進行安全的數(shù)據(jù)交換,同時,數(shù)據(jù)交換整個過程接受監(jiān)控、審計。
通過在MES層和生產控制層部署工業(yè)防火墻,可以阻止來自企業(yè)信息層的病毒傳播;阻擋來自企業(yè)信息層的非法入侵;管控OPC客戶端與服務器的通訊,實現(xiàn)以下目標:
? 區(qū)域隔離及通信管控:通過工業(yè)防火墻過濾MES層與生產控制層兩個區(qū)域網(wǎng)絡間的通信,那么網(wǎng)絡故障會被控制在最初發(fā)生的區(qū)域內,而不會影響到其它部分。
? 實時報警:任何非法的訪問,通過管理平臺產生實時報警信息,從而使故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
除了根據(jù)三層網(wǎng)絡、二級防護的總體架構以外,由于工控現(xiàn)場環(huán)境的復雜多變,為了防止不同控制區(qū)域之間的互相影響,有必要分區(qū)域進行防護,根據(jù)工藝流程或者物理位置劃分合理的防護區(qū)域,在區(qū)域之間部署合適的防護裝置并設置相關防護策略,保證即使發(fā)生信息安全事故,也將影響控制在本區(qū)域內。
工控信息安全產品的研制、檢測和標準化
工控網(wǎng)絡分層防護、分區(qū)域防護需要采取相應的防護措施來實現(xiàn),主要可以分成以下三個方面: 工控設備和組件方面,主要關注其本身的信息安全,在設計、研發(fā)階段就要考慮如防病毒、抗攻擊、通信安全等內容;由于工控設備的更新頻率較低,現(xiàn)階段采取的最多的是專用的信息安全防護產品,如工控防火墻、工控主機防護產品等; 產品只能解決其接入的有限區(qū)域的信息安全,無法從系統(tǒng)層面考慮整體的安全性,因此需要引入系統(tǒng)信息安全防護,目前有關部門聯(lián)合檢測機構已經(jīng)在制定工控等級保護的相關標準,借鑒傳統(tǒng)的計算機等級保護要求來保護和測評工控系統(tǒng)。
我們中心的主要工作就是信息安全產品的檢測和系統(tǒng)測評。
目前專用信息安全產品均需要申請銷售許可證,一般的流程是申請測試——測試通過——申領銷售許可。
由于現(xiàn)在工控信息安全產品的標準尚在制定過程中,沒有可以直接用于檢測的標準作為依據(jù),所以現(xiàn)在的測試依據(jù)現(xiàn)有的類似產品標準(如工控防火墻就是參照傳統(tǒng)防火墻的標準),抽取適用性的條款,再補充測試適用于工控環(huán)境的其他要求,特別是協(xié)議支持方面的內容。
檢測通過后再向公安部申請銷售許可證。
以工控防火墻為例,大部分傳統(tǒng)防火墻的要求均適用,但NAT、路由不做要求。
工控環(huán)境的要求主要包括:
(1)支持基于白名單策略的訪問控制,包括網(wǎng)絡層和應用層;
(2)工業(yè)控制協(xié)議過濾,應具備深度包檢測功能,支持主流的工控協(xié)議的格式檢查機制、功能碼與寄存器檢查機制
(3)支持動態(tài)開放OPC協(xié)議端口;
(4)防火墻應支持多種工作模式,保證防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護系統(tǒng)的最小影響。例如:學習模式,防火墻記錄運行過程中經(jīng)過防火墻的所有策略、資產等信息,形成白名單策略集;驗證模式或測試模式,該模式下防火墻對白名單策略外的行為做告警,但不攔截;工作模式,防火墻的正常工作模式,嚴格按照防護策略進行過濾等動作保護。
防火墻應具有高可靠性,包括故障自恢復、在一定負荷下72小時正常運行、無風扇、支持導軌式或機架式安裝等。
上圖是工控防火墻的功能測試拓撲圖,將待測的工控防火墻串聯(lián)部署在內外網(wǎng)之間,通過內外網(wǎng)的工控協(xié)議模擬器建立通信,來測試在防火墻上配置的策略。
由于工控主機一般不部署殺毒軟件,即使部署了也不能保證及時更新病毒庫,也沒有相應的鑒權鑒別的訪問控制措施。主機防護產品采取鎧甲式外掛,實現(xiàn)人員審核與訪問控制、操作行為與審計、數(shù)據(jù)安全交換與殺毒功能。其特色就是在不對工控主機采取任何軟硬件的加載的前提下提高安全性。
工控系統(tǒng)測評方面,主要是借鑒計算機等級保護制度,從技術和管理兩個方面對工控系統(tǒng)運行的環(huán)境和使用的人員進行測評,保證其在測試點的安全合規(guī)性,已經(jīng)測試點之間的動態(tài)安全性。目前相關的技術要求和測評方法正在制定過程中。
除了產品和系統(tǒng)檢測以外,我們中心還十分關注相關標準的制定。下面介紹一下工控信息安全領域的標準化工作情況。
現(xiàn)階段還未發(fā)布工控信息安全的相關標準,但是各個層次也正在制定之中。
國際標準層面,美國的ISA已經(jīng)制定了相關的技術標準,IEC等同采用了ISA SP99的內容,發(fā)布了IEC 62443《工業(yè)過程測量、控制和自動化 網(wǎng)絡與系統(tǒng)信息安全》標準。
NIST發(fā)布的工業(yè)控制系統(tǒng)安全指南可謂是工控信息安全領域的經(jīng)典。
國家標準方面,TC124主要關注工控系統(tǒng)的標準化,TC260關注信息安全相關的標準,相關的工控信息安全標準也正在這兩個標委會中制定。
行業(yè)標準方面,電力系統(tǒng)最早關注工控信息安全,其標準化進度也相對較為領先;而公安行業(yè)標準近兩年也開始制定相關工控安全標準,主要關注專用的信息安全防護產品,涉及工控防火墻、工控審計產品、工控安全隔離與信息交換系統(tǒng)、工控安全管理平臺和工控入侵檢測系統(tǒng)。
總結
工業(yè)化和信息化融合促進了效率提升,也給原先物理隔離的工控系統(tǒng)帶來了信息安全隱患,工控系統(tǒng)在能源等支柱產業(yè)的重要性也提升了工控信息安全的重要性。 目前主流的三層網(wǎng)絡、二級防護機制可以有效保障工控系統(tǒng)的安全性,其實現(xiàn)需要專用的工控信息安全產品的支持,因此相關產品的研制、檢測認證和標準化工作也是關注的重點。系統(tǒng)級的信息安全可以借鑒傳統(tǒng)的信息安全等級保護措施和相關要求,從整體角度對其進行防護。
(本文整理自沈清泓在“第三屆工業(yè)控制系統(tǒng)信息安全峰會”上的大會報告)
摘自《自動化博覽》2014年7月刊
北京市公安局海淀分局備案號:11010802023656號