今日頭條
官方微信
官方抖音
資訊頻道一 引言
隨著工業化與信息化深度融合,以工業互聯網、信息物理系統、制造業創新網絡等為特征的智能工業將引領我國工業邁入轉型發展的新時代,工業控制系統(ICS)已成為國家關鍵基礎設施的神經中樞,其安全防護至關重要。
工業控制系統包括數據采集與監視控制系統(SCADA)、集散控制系統(DCS)和其它控制系統,如在工業部門和關鍵基礎設施中經常使用的可編程邏輯控制器(PLC)。工業控制系統通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業。
工業控制系統的安全包括信息安全(Security)和功能安全(Safety)。信息安全是指保證工業控制系統的信息可用性、完整性、保密性,防范非授權的竊取、破壞。功能安全是指保證工業控制系統或控制設備執行正確的功能,當失效或故障發生時,控制設備和工業控制系統仍需保持安全條件或者進入到安全狀態。
因此,工業控制系統的信息安全是用于構建工業控制系統多區域多邊界的防護結構,形成工業控制系統的信息安全防護屏障;工業控制系統的功能安全是工業控制系統的最終防護屏障,當工業控制系統外圍防護被突破后,為避免安全事故發生而采取降低傷害的概率和嚴重程度的安全手段。
《中華人民共和國網絡安全法》,在第二十一條規定“國家實行網絡安全等級保護制度”。因此,需要綜合采納信息安全和功能安全的保護思想,對工業控制系統進行網絡安全等級保護,即通過采取必要措施,防范對工業控制系統網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使工業控制系統網絡處于穩定可靠運行的狀態,以及保障工業控制系統網絡數據的完整性、保密性、可用性的能力。
二
2.1 工業控制系統的典型層次模型
工業控制系統主要由過程級、操作級以及各級之間和內部的通信網絡構成,對于大規模的控制系統,也包括管理級。過程級包括被控對象、現場控制設備和測量儀表等,操作級包括工程師和操作員站、人機界面和組態軟件、控制服務器等,管理級包括生產管理系統和企業資源系統等,通信網絡包括商用以太網、工業以太網、現場總線等。
依據國際標準IEC 62443-1-1,本文給出工業控制系統參考模型,如圖1所示。工業控制系統參考模型根據工業控制系統的特點及工業典型層次模型架構,給出了工業控制系統所涵蓋的層級范圍。
企業資源層,主要包括ERP系統功能單元,用于為企業決策層員工提供決策運行手段。
生產管理層,包括管理生產所需的工作流程所涉及的主要功能和系統,例如調度生產、生產計劃、可靠性保障和現場控制業務優化等功能系統。主要包括MES生產管理系統、EMS能源管理系統、生產調度系統等系統,主要用于將決策層生產計劃等信息轉化成車間的生產調度計劃,并將計劃細化到作業工位。依據底層控制系統提供的設備、人員、物料等實時數據,進行分析、計算與處理。
過程監控層,包括監視和控制過程所涉及的功能和系統,過程監控層系統為提供操作員人機界面功能、提供報警和過程歷史記錄收集等功能的系統。主要用于對生產過程中不同方面數據進行采集與集中監控,實現對工業生產的監視、控制、分析、報警等功能。
現場控制層,包括直接用于工業控制過程的安全保護系統和基本控制系統,如用以完成連續控制、順序控制、批量控制和離散控制的工業自動化控制系統。直接用于工業控制過程的基本控制系統包括但不限于DCS、PLC、RTU等,安全保護系統如SIS安全儀表系統等。
現場設備層,包括實際參與工業生產和業務的工業控制物理過程,該層涉及的生產設施為直接連接到工藝和工業設備且受現場控制層控制系統控制的傳感器和執行器等。
2.2 工業控制系統各層次涵蓋的典型對象
結合國際標準IEC 62443-1-1和工業控制系統各層次的典型對象類型,本文給出了GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》(以下簡稱為“GB/T 22239-2019”)中工業控制系統各層級所覆蓋的典型生產控制系統和裝置,供工業控制系統安全建設時參考使用。
工業控制系統各層級所覆蓋的典型生產控制系統和裝置如表1所示。
構建工業控制系統的綜合安全防護體系時,可以依據工業控制系統的層級和安全保護級別采取合適的安全保護措施。
三 工業控制系統的等級保護對象
工業控制系統是非常復雜的系統,需要根據工業控制系統的規模、功能以及業務主體來劃分工業控制系統的等級保護對象和明確網絡安全責任主體。
一般來說,工業控制系統主要包括現場采集/執行、現場控制、過程控制和生產管理等特征要素。其中,現場采集/執行、現場控制和過程控制等要素需作為一個整體對象定級,各要素不單獨定級;生產管理要素宜單獨定級。
對于大型工業控制系統,可以根據系統功能、責任主體、控制對象和生產廠商等因素劃分為多個定級對象。
3.1 工業控制系統等級保護對象的縱向劃分方法
在確定工業控制系統等級保護對象的時候,企業資源層、生產管理層的構成要素可以分別作為單獨的等級保護對象,而過程監控層、現場控制層和現場設備層的構成要素應作為一個整體對象,各要素不單獨定級。這是從縱向(功能層次)劃分工業控制系統的等級保護對象,如圖2所示。
3.2 工業控制系統等級保護對象的橫向劃分方法
如果工業控制系統規模很大,并且橫向上的業務責任主體和系統功能也不同,可以在橫向上根據工業控制系統業務的責任主體和工業控制系統的不同功能、控制對象的不同范圍等因素將現場設備層、現場控制層和過程監控層進一步劃分成多個等級保護對象。這是從橫向(業務責任主體+功能層次)劃分工業控制系統的等級保護對象,如圖3所示。
四 工業控制系統的網絡安全等級保護
4.1 網絡安全等級保護的整體安全保護能力要求
工業控制系統的網絡安全等級保護所遵循的標準體系包括以下國家標準:
(1)計算機信息系統安全保護等級劃分準則(GB 17859-1999)
(2)網絡安全等級保護定級指南(GB/T 22240-2020)
(3)網絡安全等級保護基本要求(GB/T 22239-2019)
(4)網絡安全等級保護安全設計要求(GB/T 25070-2019)
(5)網絡安全等級保護測評要求(GB/T 28448-2019)
(6)網絡安全等級保護測評過程指南(GB/T 28449-2018)
(7)網絡安全等級保護實施指南(GB/T 25058-2019)
網絡安全等級保護系列標準首次明確將工業控制系統納入了等級保護范圍內,并且構成了“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”支持下的“一個中心、三重防護”體系架構。
在網絡安全等級保護系列標準里,GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》是核心標準,可以依據該標準從技術類和管理類來構建不同安全保護等級的工業控制系統綜合防護體系。技術類包括:安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心;管理類包括:安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
依據不同的安全保護等級,工業控制系統需要具有相適應的安全保護能力,需要考慮以下總體性要求,保證工業控制系統的整體安全保護能力。在GB/T 22239-2019中給出了關于等級保護對象整體安全保護能力的要求,工業控制系統可以參考等級保護對象整體安全保護能力構建工業控制系統的整體安全保護能力。
GB/T 22239-2019對等級保護對象的整體安全保護能力要求如下:
(1)構建縱深的防御體系:從技術和管理兩個方面采取相應的安全要求,在采取由點到面的各種安全措施時,在整體上還應保證各種安全措施的組合從外到內構成一個縱深的安全防御體系,保證等級保護對象整體的安全保護能力。應從通信網絡、網絡邊界、局域網絡內部、各種業務應用平臺等各個層次落實GB/T 22239-2019提到的各種安全措施,形成縱深防御體系。
(2)采取互補的安全措施:GB/T 22239-2019以安全控制的形式提出安全要求,在將各種安全控制落實到特定等級保護對象中時,應考慮各個安全控制之間的互補性,關注各個安全控制在層面內、層面間和功能間產生的連接、交互、依賴、協調、協同等相互關聯關系,保證各個安全控制共同綜合作用于等級保護對象上,使得等級保護對象的整體安全保護能力得以保證。
(3)保證一致的安全強度:GB/T 22239-2019將安全功能要求,如身份鑒別、訪問控制、安全審計、入侵防范等內容,分解到等級保護對象的各個層面,在實現各個層面安全功能時,應保證各個層面安全功能實現強度的一致性。應防止某個層面安全功能的減弱導致整體安全保護能力在這個安全功能上消弱。例如,要實現雙因子身份鑒別,則應在各個層面的身份鑒別上均實現雙因子身份鑒別;要實現基于標記的訪問控制,則應保證在各個層面均實現基于標記的訪問控制,并保證標記數據在整個等級保護對象內部流動時標記的唯一性等。
(4)建立統一的支撐平臺:GB/T 22239-2019針對較高級別的等級保護對象,提到了使用密碼技術、可信技術等,多數安全功能(如身份鑒別、訪問控制、數據完整性、數據保密性等)為了獲得更高的強度,均要基于密碼技術或可信技術,為了保證等級保護對象的整體安全防護能力,應建立基于密碼技術的統一支撐平臺,支持高強度身份鑒別、訪問控制、數據完整性、數據保密性等安全功能的實現。
(5)進行集中的安全管理:GB/T 22239-2019針對較高級別的等級保護對象,提到了實現集中的安全管理、安全監控和安全審計等要求,為了保證分散于各個層面的安全功能在統一策略的指導下實現,各個安全控制在可控情況下發揮各自的作用,應建立集中的管理中心,集中管理等級保護對象中的各個安全控制組件,支持統一安全管理。
4.2 根據工業控制系統的應用場景選取合適的安全保護措施
在GB/T 22239-2019中,明確提出了因為業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,形態不同的等級保護對象面臨的威脅有所不同,安全保護需求也會有所差異。為了便于實現對不同級別的和不同形態的等級保護對象的共性化和個性化保護,等級保護要求分為安全通用要求和安全擴展要求。
安全通用要求針對共性化保護需求提出,等級保護對象無論以何種形式出現,必須根據安全保護等級實現相應級別的安全通用要求;安全擴展要求針對個性化保護需求提出,需要根據安全保護等級和使用的特定技術或特定的應用場景選擇性實現安全擴展要求。安全通用要求和安全擴展要求共同構成了對等級保護對象的安全要求。
由于工業控制系統通常是對可用性要求較高的等級保護對象,工業控制系統中的一些裝置如果實現特定類型的安全措施可能會終止其連續運行,原則上安全措施不應對高可用性的工業控制系統基本功能產生不利影響。例如用于基本功能的賬戶不應被鎖定,甚至短暫的也不行;安全措施的部署不應顯著增加延遲而影響系統響應時間;對于高可用性的控制系統,安全措施失效不應中斷基本功能等。
經評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關條款時,應進行安全聲明,分析和說明此條款實施可能產生的影響和后果,以及使用的補償措施。
五 總結
GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》是網絡安全等級保護的核心標準,在該標準中對工業控制系統的安全要求為:安全通用要求和工業控制系統安全擴展要求。
工業控制系統的安全擴展要求包括5個層面和9個控制點,這5個層面和9個控制點內容分別為:
(1)安全物理環境:室外控制設備物理防護。
(2)安全通信網絡:網絡架構、通信傳輸。
(3)安全區域邊界:訪問控制、撥號使用控制、無線使用控制。
(4)安全計算環境:控制設備安全。
(5)安全建設管理:產品采購和使用、外包軟件開發。
工業控制系統構成的復雜性,組網的多樣性,以及等級保護對象劃分的靈活性,給網絡安全等級保護基本要求的使用帶來了選擇的需求。在GB/T 22239-2019中給出了工業控制系統功能層次模型和標準相關內容的映射關系。
工業控制系統通常是對可用性要求較高的等級保護對象,原則上安全措施不應對高可用性的工業控制系統基本功能產生不利影響,即統籌考慮業務安全和網絡安全。工業控制系統的具體安全措施需要結合具體的應用場景和實時性要求進行具體分析,在保障業務安全的前提下,通過采取必要安全措施,防范對工業控制系統網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使工業控制系統網絡處于穩定可靠運行的狀態,以及保障工業控制系統網絡數據的完整性、保密性、可用性的能力。
參考文獻
[1]GB17859-1999 計算機信息系統安全保護等級劃分準則. 北京:中國標準化出版社,1999.
[2]GB/T 22240-2020 信息安全技術 網絡安全等級保護定級指南. 北京:中國標準化出版社,2020.
[3]GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求. 北京:中國標準化出版社,2019.
[4]GB/T 28448-2019信息安全技術 網絡安全等級保護測評要求 . 北京:中國標準化出版社,2019.
[5]GB/T 28449-2018信息安全技術 網絡安全等級保護測評過程指南. 北京:中國標準化出版社,2018.
[6]GB/T 25070-2019 信息安全技術 網絡安全等級保護安全設計技術要求. 北京:中國標準化出版社,2019.
作者簡介:
陶源:博士,公安部第三研究所副研究員、高級測評師,全國網絡安全等級測評師授課專家(負責講解物聯網、工控系統和大數據安全等課程)。
來源:工業菜園
北京市公安局海淀分局備案號:11010802023656號