今日頭條
官方微信
官方抖音
資訊頻道摘要:本文通過介紹《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(簡稱等保2.0)中工業(yè)控制系統(tǒng)安全的要求,提出了基于等保2.0要求的工業(yè)控制系統(tǒng)安全防護(hù)方案。
關(guān)鍵詞:工業(yè)控制系統(tǒng);工業(yè)控制系統(tǒng)安全;等級(jí)保護(hù)
Abstract: In this paper, by introducing the "GBT22239-2019 Information Security Technology — Baseline for classified protection of cybersecurity" (classified protection of cybersecurity 2.0) industrial control system security requirements, the industrial control system security protection scheme based on classified protection of cybersecurity 2.0 requirements is proposed.
Key words: Industrial control system; Security of industrial control system;Classified protection of cybersecurity
1 引言
在“兩化”融合的行業(yè)發(fā)展需求下,現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進(jìn)步主要表現(xiàn)在兩大方面:信息化與工業(yè)化的深度融合,為了提高生產(chǎn)高效運(yùn)行、生產(chǎn)管理效率,國內(nèi)眾多行業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)自身的集成化,集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強(qiáng),工控網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。
德國的工業(yè)4.0標(biāo)準(zhǔn)、美國的“工業(yè)互聯(lián)網(wǎng)”以及“先進(jìn)制造業(yè)國家戰(zhàn)略計(jì)劃”、日本的“科技工業(yè)聯(lián)盟”、英國的“工業(yè)2050戰(zhàn)略”、中國“互聯(lián)網(wǎng)+” “中國制造2025”等相繼出臺(tái),對(duì)工業(yè)控制系統(tǒng)的通用性與開放性提出了更高的要求。未來工業(yè)控制系統(tǒng)將會(huì)有一個(gè)長足發(fā)展,工業(yè)趨向于自動(dòng)化、智能化,系統(tǒng)之間的互聯(lián)互通也更加緊密,面臨的安全威脅也會(huì)越來越多。
據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計(jì),截止到2018年10月,全球已發(fā)生800余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件。分析工業(yè)控制系統(tǒng)正在面臨前所未有的信息安全威脅,具體包括:
(1)由于病毒、惡意軟件等導(dǎo)致的工廠停產(chǎn);
(2)工業(yè)制造的核心數(shù)據(jù)、配方被竊取;
(3)制造工廠及其關(guān)鍵工控生產(chǎn)流程被破壞;
(4)惡意操縱工控?cái)?shù)據(jù)或應(yīng)用軟件;
(5)對(duì)工控系統(tǒng)功能未經(jīng)授權(quán)的訪問等。
由于長期缺乏安全需求的推動(dòng),對(duì)(采用 TCP/IP等通用技術(shù)的)網(wǎng)絡(luò)環(huán)境下廣泛存在的安全威脅缺乏充分認(rèn)識(shí),現(xiàn)有的工業(yè)自動(dòng)化控制系統(tǒng)在設(shè)計(jì)、研發(fā)中沒有充分考慮安全問題,在部署、運(yùn)維中又缺乏安全意識(shí)、管理、流程、策略與相關(guān)專業(yè)技術(shù)的支撐,導(dǎo)致許多工業(yè)自動(dòng)化控制系統(tǒng)中存在著諸多安全問題,一旦被無意或惡意利用就會(huì)造成各種信息安全事件。整體上看來工業(yè)控制系統(tǒng)安全趨勢不容樂觀,各行業(yè)工控安全建設(shè)迫在眉睫。
2 工業(yè)控制系統(tǒng)等級(jí)保護(hù)要求
工業(yè)控制系統(tǒng)(ICS)是幾種類型控制系統(tǒng)的總稱,包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、集散控制系統(tǒng)(DCS)和其它控制系統(tǒng),如在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常使用的可編程邏輯控制器(PLC)。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運(yùn)輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業(yè)。工業(yè)控制系統(tǒng)主要由過程級(jí)、操作級(jí)以及各級(jí)之間和內(nèi)部的通信網(wǎng)絡(luò)構(gòu)成,對(duì)于大規(guī)模的控制系統(tǒng),也包括管理級(jí)。過程級(jí)包括被控對(duì)象、現(xiàn)場控制設(shè)備和測量儀表等,操作級(jí)包括工程師和操作員站、人機(jī)界面和組態(tài)軟件、控制服務(wù)器等,管理級(jí)包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等,通信網(wǎng)絡(luò)包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場總線等。
根據(jù)IEC 62264-1對(duì)工業(yè)控制系統(tǒng)的層次模型從上到下共分為5個(gè)層級(jí)(如圖1所示),依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層,不同層級(jí)的實(shí)時(shí)性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元,用于為企業(yè)決策層員工提供決策運(yùn)行手段;生產(chǎn)管理層主要包括MES系統(tǒng)功能單元,用于對(duì)生產(chǎn)過程進(jìn)行管理,如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等;過程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI系統(tǒng)功能單元,用于對(duì)生產(chǎn)過程數(shù)據(jù)進(jìn)行采集與監(jiān)控,并利用HMI系統(tǒng)實(shí)現(xiàn)人機(jī)交互;現(xiàn)場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對(duì)各執(zhí)行設(shè)備進(jìn)行控制;現(xiàn)場設(shè)備層主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元,用于對(duì)生產(chǎn)過程進(jìn)行感知與操作。
工業(yè)控制系統(tǒng)構(gòu)成的復(fù)雜性,組網(wǎng)的多樣性,以及等級(jí)保護(hù)對(duì)象劃分的靈活性,給網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求的使用帶來了選擇的需求。為了便于實(shí)現(xiàn)對(duì)不同級(jí)別的和不同形態(tài)的等級(jí)保護(hù)對(duì)象的共性化和個(gè)性化保護(hù),等級(jí)保護(hù)要求分為安全通用要求和安全擴(kuò)展要求(如圖1所示)。
圖1 工業(yè)控制系統(tǒng)各層次及等級(jí)保護(hù)要求
3 工業(yè)控制系統(tǒng)等級(jí)保護(hù)安全防護(hù)
3.1 安全建設(shè)基本原則
對(duì)于工控安全建設(shè),應(yīng)當(dāng)以適度安全為核心,以重點(diǎn)保護(hù)為原則,從業(yè)務(wù)的角度出發(fā),重點(diǎn)保護(hù)重要的業(yè)務(wù)系統(tǒng),在方案設(shè)計(jì)中應(yīng)當(dāng)遵循以下的原則:
(1)適度安全
任何系統(tǒng)都不能做到絕對(duì)的安全,在進(jìn)行工控安全等級(jí)保護(hù)規(guī)劃中,要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中,過多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。適度安全也是等級(jí)保護(hù)建設(shè)的初衷,因此在進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的過程中,一方面要嚴(yán)格遵循基本要求,從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施,保障信息系統(tǒng)的機(jī)密性、完整性和可用性,另外也要從綜合成本的角度,針對(duì)系統(tǒng)的實(shí)際風(fēng)險(xiǎn),提出對(duì)應(yīng)的保護(hù)強(qiáng)度,并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè),從而有效控制成本。
(2)技術(shù)管理并重
工控安全問題從來就不是單純的技術(shù)問題,把防范黑客入侵和病毒感染理解為工控安全問題的全部是片面的,僅僅通過部署安全產(chǎn)品很難完全覆蓋所有的工控安全問題,因此必須要把技術(shù)措施和管理措施結(jié)合起來,更有效地保障信息系統(tǒng)的整體安全性,形成技術(shù)和管理兩個(gè)部分的建設(shè)方案。
(3)分區(qū)分域建設(shè)
對(duì)工控系統(tǒng)進(jìn)行安全保護(hù)的有效方法就是分區(qū)分域,由于工控系統(tǒng)中各個(gè)資產(chǎn)的重要性是不同的,并且訪問特點(diǎn)也不盡相同,因此需要把具有相似特點(diǎn)的資產(chǎn)集合起來,進(jìn)行總體防護(hù),從而可更好地保障安全策略的有效性和一致性;另外分區(qū)分域還有助于對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行集中管理,一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件,可通過嚴(yán)格的邊界安全防護(hù)限制事件在整網(wǎng)蔓延。
(4)合規(guī)性
安全保護(hù)體系應(yīng)當(dāng)同時(shí)考慮與其他標(biāo)準(zhǔn)的符合性,在方案中的技術(shù)部分將參考《GBT25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》進(jìn)行設(shè)計(jì),在管理方面同時(shí)參考《GB/T 22239-2019工控安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》以及27001安全管理指南,使建成后的等級(jí)保護(hù)體系更具有廣泛的實(shí)用性。
(5)動(dòng)態(tài)調(diào)整
工控安全問題不是靜態(tài)的,它總是隨著管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變,因此必須要跟蹤信息系統(tǒng)的變化情況,調(diào)整安全保護(hù)措施。
3.2 安全防護(hù)方案
本方案按照工業(yè)控制系統(tǒng)的層次關(guān)系,依據(jù)《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》及系列標(biāo)準(zhǔn)要求,在整體方案設(shè)計(jì)上,重點(diǎn)協(xié)助客戶建立感知預(yù)警、主動(dòng)防護(hù)、全面監(jiān)測、應(yīng)急處置的動(dòng)態(tài)保障體系,打造“一個(gè)中心(安全管理中心)、三重防御(安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通訊網(wǎng)絡(luò))”的安全防護(hù)體系,總體的部署方案如圖2所示。
圖2 工業(yè)控制系統(tǒng)各層次安全防護(hù)方案
3.2.1 安全通訊網(wǎng)絡(luò)實(shí)現(xiàn)
工業(yè)控制系統(tǒng)安全通訊網(wǎng)絡(luò)主要從現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)、現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、無線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)、無線網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、工控網(wǎng)絡(luò)實(shí)時(shí)響應(yīng)要求、通訊網(wǎng)絡(luò)異常監(jiān)測、無線網(wǎng)絡(luò)攻擊防護(hù)等方面進(jìn)行考慮設(shè)計(jì),阻止惡意或入侵行為。
產(chǎn)品部署如下:
(1)在生產(chǎn)管理層(Level3)與企業(yè)資源層(Level4)之間部署采用單向傳輸策略的工業(yè)防火墻,禁止辦公網(wǎng)對(duì)生產(chǎn)網(wǎng)的非法訪問,同時(shí)在過程監(jiān)控層(Level2)的各個(gè)安全域間部署采用白名單策略工業(yè)防火墻,禁止非授權(quán)的訪問,防止惡意代碼在安全域間擴(kuò)散。
(2)在互聯(lián)網(wǎng)和辦公網(wǎng)的邊界處部署下一代防火墻,禁止互聯(lián)網(wǎng)對(duì)辦公網(wǎng)的非法訪問,保障網(wǎng)絡(luò)架構(gòu)安全。
3.2.2 安全區(qū)域邊界實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全區(qū)域邊界主要從工控通訊協(xié)議過濾、工控通訊協(xié)議信息泄露防護(hù)、工控區(qū)域邊界審計(jì)等方面進(jìn)行考慮設(shè)計(jì),能夠發(fā)現(xiàn)違規(guī)行為、阻止非法入侵。
產(chǎn)品部署如下:
(1)在過程監(jiān)控層(Level2)與生產(chǎn)管理層(Level3)邊界以及生產(chǎn)管理層(Level3)與企業(yè)資源層(Level4)邊界部署基于白名單策略的工業(yè)防火墻,禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)。
(2)在互聯(lián)網(wǎng)和辦公網(wǎng)的邊界處部署下一代防火墻,配置基于應(yīng)用的訪問策略,禁止互聯(lián)網(wǎng)對(duì)辦公網(wǎng)的非法訪問。
(3)在過程監(jiān)控層(Level2)與生產(chǎn)管理層(Level3)的核心交換機(jī)上旁路部署工控安全監(jiān)測審計(jì)平臺(tái),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為,并對(duì)超出基線異常行為報(bào)警。
(4)在企業(yè)資源層(Level4)核心交換機(jī)上旁路部署帶有沙箱功能的APT攻擊(網(wǎng)絡(luò)戰(zhàn))預(yù)警平臺(tái),對(duì)新型網(wǎng)絡(luò)攻擊行為以及未知惡意文件、0day進(jìn)行分析、記錄、報(bào)警,及時(shí)發(fā)現(xiàn)辦公網(wǎng)絡(luò)對(duì)工控生產(chǎn)網(wǎng)絡(luò)的攻擊行為。
3.2.3 安全計(jì)算環(huán)境實(shí)現(xiàn)
工業(yè)控制系統(tǒng)安全計(jì)算環(huán)境主要從工業(yè)控制身份鑒別、現(xiàn)場設(shè)備訪問控制、現(xiàn)場設(shè)備安全審計(jì)、現(xiàn)場設(shè)備數(shù)據(jù)完整性保護(hù)、現(xiàn)場設(shè)備數(shù)據(jù)保密性保護(hù)、控制過程完整性等方面進(jìn)行考慮設(shè)計(jì),防止未經(jīng)授權(quán)的設(shè)備、人員進(jìn)入到工控系統(tǒng)中造成工控系統(tǒng)的破壞。
產(chǎn)品部署如下:
(1)在關(guān)鍵主機(jī)和服務(wù)站上部署工控主機(jī)衛(wèi)士,阻止一切不在白名單庫中的軟件、程序的安裝和執(zhí)行。對(duì)主機(jī)基線、主機(jī)資源的訪問權(quán)限、用戶的身份鑒別等進(jìn)行嚴(yán)格的管控,對(duì)外設(shè)(如U盤)進(jìn)行嚴(yán)格的監(jiān)控管理。
(2)在安全運(yùn)維域或工控DMZ域部署工控漏洞掃描平臺(tái),對(duì)控制設(shè)備的漏洞進(jìn)行檢測評(píng)估,及時(shí)指導(dǎo)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新。
(3)在過程監(jiān)控層(Level2)與生產(chǎn)管理層(Level3)的核心交換機(jī)上旁路部署工控安全監(jiān)測審計(jì)平臺(tái),記錄各類安全事件和信息,特別是不符合工業(yè)現(xiàn)場正常生產(chǎn)行為的事件或行為進(jìn)行檢測,為事件追蹤溯源提供依據(jù)。
3.2.4 安全管理中心實(shí)現(xiàn)
在等保建設(shè)的第一階段,先重點(diǎn)實(shí)現(xiàn)集中的安全管理,劃分統(tǒng)一的安全運(yùn)維區(qū),將已建的工業(yè)防火墻、工控安全監(jiān)測審計(jì)、工控主機(jī)衛(wèi)士等系統(tǒng)進(jìn)行統(tǒng)一管理。
在等保建設(shè)的第二階段,通過建立統(tǒng)一的大數(shù)據(jù)架構(gòu)的安全管理中心,實(shí)現(xiàn)企業(yè)級(jí)安全態(tài)勢感知,新建并整合已有的安全能力,最終實(shí)現(xiàn)“建立統(tǒng)一的支撐平臺(tái)進(jìn)行集中的安全管理”要求和目標(biāo)。
產(chǎn)品部署如下:
(1)在安全運(yùn)維域或工控DMZ域部署運(yùn)維審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)對(duì)系統(tǒng)運(yùn)維進(jìn)行全面的審核身份鑒別,對(duì)運(yùn)維行為進(jìn)行審計(jì)、記錄、存儲(chǔ)和查詢。
(2)在安全運(yùn)維域或工控DMZ域部署綜合日志審計(jì)平臺(tái)對(duì)分散在各個(gè)設(shè)備上的數(shù)據(jù)進(jìn)行收集匯總和集中分析。明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)對(duì)數(shù)據(jù)庫的操作行為審計(jì)、記錄、存儲(chǔ)。
(3)在安全運(yùn)維域或工控DMZ域部署工業(yè)安全管控平臺(tái)實(shí)現(xiàn)對(duì)安全設(shè)備或安全組件的安全策略、惡意代碼、補(bǔ)丁升級(jí)等統(tǒng)一集中管理。
(4)在安全運(yùn)維域或工控DMZ域部署工業(yè)安全態(tài)勢感知平臺(tái)對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路、主機(jī)和服務(wù)器進(jìn)行集中監(jiān)控,對(duì)各類安全事件進(jìn)行識(shí)別、報(bào)警和分析,對(duì)攻擊行為追蹤溯源等。
4 結(jié)語
工業(yè)控制系統(tǒng)是工業(yè)企業(yè)的大腦,應(yīng)用在各行各業(yè),特別是國家的關(guān)鍵基礎(chǔ)設(shè)施上,工業(yè)控制系統(tǒng)一旦受到破壞,其影響和損失不僅僅限于直觀的經(jīng)濟(jì)損失,重則會(huì)直接影響普通民眾的日常生活甚至造成人員傷亡,更為嚴(yán)重的是會(huì)影響到國家的安全和社會(huì)的穩(wěn)定。工業(yè)控制系統(tǒng)關(guān)乎國家安全,加強(qiáng)工控網(wǎng)絡(luò)安全是中國工業(yè)化與時(shí)俱進(jìn)發(fā)展的必然要求。
作者簡介
安成飛(1981-),男,遼寧人,工程師,現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司,主要從事工業(yè)控制系統(tǒng)及信息安全研究工作。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)