今日頭條
官方微信
官方抖音
資訊頻道1 引言
工業(yè)自動化和控制系統(Industrial Automationand Control Systems,IACS),簡稱工控系統,廣泛應用于制造業(yè)、流程工業(yè)等工業(yè)領域,航空航天、軌道交通、樓宇等系統,電力、天然氣、自來水供給等公共設施中。工控系統是國民經濟、人民生活正常運轉的重要支撐。
隨著工控系統的進一步開放互聯、數字化、網絡化甚至全面云化,工控系統自身的信息安全脆弱性和所面臨來自自然環(huán)境、人為失誤、設備故障、惡意軟件、工業(yè)間諜、犯罪組織、恐怖分子、境外國家力量等方面的威脅與日俱增。NATO(北約)已將網絡空間認定為作戰(zhàn)域,視網絡攻防為新的戰(zhàn)場,許多西方信息安全公司也已將信息安全上升到軍事戰(zhàn)爭高度。對工控系統僅采用傳統的“封堵查殺”信息安全手段,已基本無法應對系統性高強度的網絡攻擊(如APT攻擊)。
按照國家《網絡安全法》的規(guī)定,能源、交通、水利等國家重要行業(yè)和領域的工控系統,屬于關鍵信息基礎設施,其一旦遭到破壞、喪失功能或者關鍵數據泄露,可能嚴重危害國家安全、國計民生和公共利益。鑒于關鍵基礎設施工控系統對于國民經濟和社會生活的重要性及其所面臨日趨嚴峻的環(huán)境,研發(fā)和構建滿足關鍵基礎設施安全需求的新一代可信工控系統迫在眉睫。
2 可信工控系統概念及關鍵特性
2.1 概念
狹義的工控系統是指工業(yè)生產、交通運輸、水電氣等公共設施中使用的自動化和控制系統,包括分散控制系統(DCS)、監(jiān)督控制和數據采集系統(SCADA)及其它監(jiān)視和診斷系統,可編程邏輯控制器(PLC)、遠程終端單元(RTU)及其它智能儀表或電子裝置等。隨著工廠數字化、網絡化、智能化的加速推進,OT和IT的深度融合,新型的工控系統內涵已擴大不少。以智能電廠為例,如圖1所示,其工控系統不僅從原先單純的監(jiān)視和控制功能擴充到包含模型、預測、優(yōu)化、管理等功能的控制域和運維域,而且還擴展到包括信息域、應用域,甚至業(yè)務域(如其中的AMS資產管理系統)。習慣上,工控系統的安全依賴于物理隔離,系統不與外網和無線網互聯,將系統中脆弱性組件與網絡隔離,關鍵控制系統設計和訪問規(guī)則采取隱含或模糊原則等。但在泛在感知、泛在互聯、云-邊協同、工控/信息深度融合等發(fā)展背景下,傳統的安全措施已不能系統保護工控系統的信息安全,研發(fā)新一代可信工控系統的需求提上日程。
圖1 智能電廠工控系統架構及信息流示意圖
所謂可信工控系統,是指在面臨環(huán)境干擾、人為錯誤、系統故障和網絡攻擊時,系統在信息安全、功能安全、可靠性、韌性、私密性等關鍵系統特性方面的性能達到預期的工業(yè)自動化和控制系統,如圖2所示。對于可信工控系統而言,從結構視角來看,不僅構成工控系統的I/O單元、控制器、交換機、服務器、操作員站等部件及其系統軟件、應用軟件等建立在可信機制上,而且防火墻、網閘、DMZ(非軍事區(qū))等網絡安全設備及其網管設備和軟件等也均建立于可信機制之上。可信度是指系統在面對環(huán)境干擾、人為錯誤、系統故障和網絡攻擊時,人們對系統在所有關鍵系統特性方面的性能達到期望所具有的信心程度。可信工控系統的可信程度可以用可信度來進行度量。
圖2 可信工控系統特性
2.2 關鍵特性
信息安全是指保護系統不受意外或未經授權的訪問、變更或破壞,系統連續(xù)可靠正常運行的狀態(tài),其基本要素包括常稱之為CIA三角的機密性、完整性和可用性。功能安全是指系統運行時,不會直接或間接引起人身健康或安全、環(huán)境破壞及資產財產損失方面不可接受風險的狀態(tài)。可靠性是指系統或部件在規(guī)定的條件和規(guī)定的時間內執(zhí)行其所需功能的能力。韌性是指系統在完成分配的任務時能規(guī)避、承受和管理所面臨的動態(tài)不利條件,并在遭受重大損失后仍能重建其運行能力的行為方式,是系統的緊急屬性。私密性是指個人或團體控制或影響與之相關的信息哪些可被收集、處理和存儲,以及可由誰和向誰披露該信息的權利。
信息安全、功能安全、可靠性、韌性和私密性是判定一個工控系統是否可信的重要特征,因而將這五個特征稱之為可信工控系統的關鍵特征。系統的可擴展性、可用性、可維護性、可移植性或可組合性等其它特性也很重要,但通常不被認為是可信性的“關鍵特征”。
3 可信工控系統信息安全技術框架
可信工控系統信息安全技術框架可分為三層,如圖3所示,其最高層由基于可信機制的端點防護、通信&互聯防護、信息安全監(jiān)視&分析、信息安全配置&管理等四個核心安全功能組成,其支撐層由基于可信機制的數據防護層和覆蓋整個系統的信息安全模型&信息安全策略層構成。
圖3 可信工控系統信息安全技術框架
3.1 最高層
最高層是可信工控系統信息安全的關鍵,其四個核心功能簡述如下:
(1)端點防護:對本地工控系統或采用云-邊架構的工業(yè)互聯網系統的端點(端點是指具有計算和通信能力,實現某種功能的設備或部件,如工業(yè)互聯網中的邊緣設備、通信設施、云服務器等)進行防護。又可細分為端點物理安全、端點可信根、端點身份識別、端點完整性防護、端點訪問控制、端點監(jiān)視&分析、端點安全配置&管理和端點信息安全模型&安全策略等。
(2)通信和互聯防護:通常端點間需相互通信,而通信可能是漏洞的來源,工控信息安全僅單靠端點防護是不夠的,通信和互聯防護的必要性顯而易見。基于對端點的身份鑒別、通信授權和加密,通信和互聯防護為端點到網絡的連接提供物理安全保障,保護網絡中的信息流,并對端點間的通信進行加密保護。從功能劃分視角看,通信和互聯防護又可細分為互聯物理防護、通信端點防護、信息流防護、密碼防護、網絡配置&管理、網絡監(jiān)視&分析、通信&互聯防護的安全策略等。
(3)安全監(jiān)視&分析:以監(jiān)視-分析-行動的循環(huán)周而復始進行,首先是抓取端點及互聯通信、遠程登錄、供應鏈的全部狀態(tài)相關數據,然后對這些數據進行行為分析和基于規(guī)則的分析或其它類別的基于機器學習的態(tài)勢分析,以探測或感知出可能的安全違規(guī)行為或潛在的系統漏洞、威脅、攻擊等。一旦探測或感知到上述狀態(tài)或行為,則立即按照系統安全策略等相關規(guī)定來執(zhí)行一系列動作(如主動、預測性的提前消除威脅;自動響應正在進行的攻擊,減輕威脅,恢復正常狀態(tài);根原因/取證分析、取證調查等)。
(4)安全配置和管理:負責工控系統運營功能(包括可靠性和安全行為)及其網絡安全設備的變更控制和管理,以確保所有變更均以安全、受控和可信的方式執(zhí)行。
3.2 數據防護層
數據防護層包括端點數據防護、通信數據防護、配置數據防護、監(jiān)視數據防護、數據安全模型&安全策略等子功能,通過采用機密性控制、完整性控制、訪問控制、隔離和復制等手段,對靜態(tài)數據(指在數據庫服務器、控制器固態(tài)磁盤等存儲的數據)、在用數據(指放置在RAM、CPU緩存和寄存器等中的非持久性數據)、運動數據(指在端點間移動的數據)等實施防護,以保護上述數據均不受未經授權的訪問和不受控制的變更。
3.3 信息安全模型&策略層
信息安全模型和策略層負責對信息安全如何實施,以及用于確保工控系統在整個生命周期中的機密性、完整性和可用性等的信息安全策略進行管理和控制。它協調整個信息安全體系中的所有功能元素協同工作,以使工控系統始終處于持續(xù)的符合要求的安全狀態(tài)。具體而言,該層首先是基于系統威脅分析和系統安全目標,確立安全策略(該策略是動態(tài)變化的而非固化一成不變的)和安全模型,再依次確立數據防護安全策略、端點防護安全策略、通信&互聯安全策略、監(jiān)視&分析安全策略、配置&管理安全策略等。
4 可信鏈
眾所周知,一件質量優(yōu)良的產品主要是通過優(yōu)良的設計和制造而非校核和檢驗得到。工控信息安全體系的構建也是如此,只有基于可信機制建立的可信工控系統,才可以克服傳統的網絡安全基于普通設備而僅采用“封堵查殺”的不徹底性,從而從根本上系統解決工控系統的信息安全。
為了確保工控系統的全面安全,無論是網絡設備及網絡安全設備,還是工控主機、服務器或控制器及其軟件等,都必須是安全可信的。一個可信的安全對象的可信鏈是由可信供應鏈、可信根、可信操作系統、安全數據存儲、安全通信、應用軟件完整性、安全設備管理等環(huán)節(jié)構成,如圖4所示。各環(huán)節(jié)說明如下:
圖4 構成可信對象的可信鏈
(1)可信供應鏈:為建立可信工控系統,必須首先確保系統的全部構成部件(包括硬件、固件、軟件等)的供應鏈是可信的。具體研發(fā)及應用中可按照ISO 28000系列國際標準的要求,建立相應的可信安全供應鏈。
(2)可信根:是本質上可信的功能集,這些功能可以是硬件功能也可以是軟件功能,主要用于執(zhí)行鑒別、保護加密密鑰、軟件的測量或驗證、探測及報告對程序或系統的未授權變更等。國際可信計算組織(由AMD、惠普、IBM、Intel、微軟等組建)確定了TPM(可信保護模塊)的規(guī)范和標準,國家密碼管理局也制定有TCM(可信密碼模塊)的相關標準和規(guī)范。TPM和TCM等都屬于硬件類可信根芯片,均屬于國際標準所對應的TPM(可信平臺模塊)。關鍵信息基礎設施系統需采用如TPM、TCM類的硬件方法來對密鑰存儲提供最佳保護,其次,其供應鏈也能受到較好的控制。若設備沒有可信根,則從設備發(fā)出的任何信息注定是不可信的。ISO/IEC 11889系列國際標準對可信平臺模塊的架構、結構、命令、算法和方法等進行了規(guī)定。GB/T 38638國家標準對可信計算的體系結構、可信部件等進行了規(guī)定。密碼行業(yè)標準GM/T 0012、GM/T 0013、GM/T 0058、GM/T 0082等分別對TCM接口、TCM符合性檢測、TCM服務模塊接口、TCM保護輪廓等進行了規(guī)范。
(3)可信操作系統:可提供安全的引導和安全的操作環(huán)境,具有主體行為的可信性,客體內容的保密性、完整性和可信性,自身的完整性等特點。可信操作系統具備提供存貯器和文件保護、I/O設備訪問控制、用戶鑒別、訪問控制、探測某些攻擊等功能。不可信的操作系統極易導致惡意代碼或其它攻擊。ISO/IEC 15408國際標準規(guī)定了安全操作環(huán)境的相關要求。GB/T 37935國家標準對可信軟件基的總體結構、功能模塊、交互接口、工作流程、自身安全要求等進行了規(guī)定。
(4)安全數據存儲:除應對系統軟件進行保護外,還需對應用軟件和存儲在設備上的數據進行保護。安全數據存儲的目標就是確保存儲在設備上的數據只能由授權用戶和進程進行訪問,并提供相應機制以確保數據不能被感染、篡改或損壞。
(5)安全通信:應提供安全的網絡服務,便于設備之間的安全通信。安全通信通過采用恰當的加密、身份識別、校驗等措施,確保信息不被偽造、重放或損壞(如報文重復、丟失、插入、亂序、損壞、延遲等)。國際上主要的通信組織都制定有相應的安全通信規(guī)約標準,如CIP Safety Specification(CIP安全通信規(guī)范)、IEC 61784-3等。
(6)軟件完整性:除采用可信操作系統外,也必須保護在設備上運行的應用軟件免受篡改或感染。軟件完整性即提供應用軟件檢測和防護所需的功能、進程和工具。
(7)安全設備管理:可信操作系統、安全數據存儲、安全通信、軟件完整性均是有助于設備保護的功能,但這些功能和模塊也必須接受安全管理。此外,還需對設備的安全生命周期進行管理,確保其身份識別、證書和全部生命周期內的安全。同理,需對用于保護設備的軟件和配置進行安全管理。
5 端點安全等級
國際標準IEC 62443和國家標準GB/T 35673對工業(yè)自動化和控制系統從低到高規(guī)定了SL0~SL4五個網絡安全防護等級:SL0指沒有特殊防護要求或不需要網絡安全防護;SL1要求能防止竊聽或不經意的暴露所導致的未經授權的信息披露;SL2要求能防止未經授權地將信息泄露給通過少量資源、通用技能和低動機的簡單手段主動進行信息搜索的實體;SL3要求能防止未經授權地將信息泄露給通過一般資源、IACS特殊技能和一般動機的復雜手段主動進行信息搜索的實體;SL4要求能防止未經授權地將信息泄露給通過擴展資源、IACS特殊技能和高動機的復雜手段主動進行信息搜索的實體。當忽略工控系統重要性程度、工控系統信息安全威脅兩個維度時,SL安全級別與“等保”網絡安全保護等級基本一致(國內信息系統安全保護等級劃分為5級,實際使用的是1~4級)。SL1~SL4所對應的需加以防護的攻擊者及特征如表1所示(從網絡安全角度看,SL0無實質意義,故不考慮)。
表1 SL1~SL4需設防攻擊者及特征對比表
由此可見,對于要求具有SL2及以上等級安全防護的端點,應針對性地采用具有相應可信防護機制的端點產品。圖5~圖7分別為SL2~SL4等級的端點安全結構體。
圖5 SL2等級的端點安全結構
圖6 SL3等級的端點安全結構
圖7 SL4等級的端點安全結構
(1)可信根:每個端點中所包含的基于可信供應鏈之上的可信根構成了各個端點安全可信的基礎,可信根的強度決定了每個端點設備所能達到的可信度,故SL2級端點可采用基于軟件的可信根,但SL3和SL4級端點必須采用TCM類硬件可信根。
(2)安全引導:采用基于國密算法的密鑰等措施來確保固件、引導程序等的安全引導認證,帶電時執(zhí)行不可變更的或加密防護的引導代碼,直到擴展實現從引導到操作系統啟動的平臺級證明,從而有助于防止通過空中或網絡的對固件、引導加載程序或引導映像等的非授權變更。
(3)端點身份:端點身份標識是其他安全措施所必需的基礎,應采用PKI(公鑰基礎設施)身份認證系統或國家密碼管理局所規(guī)定的基于國密的其它身份認證系統。
(4)密碼服務:要確保全面的端點安全,則需要從傳輸規(guī)約(運動數據),到存儲設備(靜態(tài)數據),再到各類應用(在用數據)的全部環(huán)節(jié)均正確地利用密碼、實施加密,從而保護數據的機密性和完整性。因工控類端點部署后在役時間較長,考慮到量子計算的快速興起,所應用的密碼算法應易于在線升級,以適應“后-量子”密碼部署的預期需求。
(5)安全通信:端點與端點間的通信需采用符合其安全等級要求的安全通信規(guī)約堆棧,通信前進行可信驗證,對SL3和SL4級端點的通信過程需進行基于硬件密碼模塊的密碼運算和密鑰管理。
(6)端點配置&管理:對端點的固件、操作系統、配置或應用程序的任何遠程或自動更新等都必須進行驗證,在保證機密性和完整性的條件下實現端到端內容的安全可靠交付。需對端點的配置及變更、應用程序及控制活動等進行實時和連續(xù)監(jiān)視,以探測并防止如對固件、操作系統、已安裝應用程序等未授權的變更,或探測并防止危及數據機密性或完整性的未經授權的活動。
(7)安全信息&事件管理:具備風險監(jiān)視、分配規(guī)則、觸發(fā)規(guī)則、行為分析、事件響應、日志/事件記錄、減輕威脅、審計等能力。
6 結語
可信機制是工控系統信息安全最為重要的基石,只有建立在可信機制基礎之上的可信工控系統才能確保工控系統信息安全的系統性、徹底性。為此,我國應加大對可信工控系統的研發(fā),并在關鍵基礎設施中逐步推廣應用可信工控系統。
作者簡介:
張晉賓(1967-),男,專業(yè)副總工程師,教授級高級工程師,現就職于電力規(guī)劃設計總院,從事發(fā)電自動化、信息化工程設計、咨詢、研究及管理等工作。
參考文獻:
[1] Industrial Internet Consortium. Industrial Internet of Things Volume G4: Security Framework[R]. 2016.
[2] IEC 62443-3.3:2013. 工業(yè)通信網絡 網絡和系統安全 第3-3部分:系統安全要求和安全等級[S].
[3] Industrial Internet Consortium. IIC Endpoint Security Best Practices[R]. 2018
[4] 張晉賓, 周四維. 工控系統信息安全體系的構建[J]. 自動化博覽, 2017, 40 - 45.
[5] 張晉賓. 電力工控網絡安全預測[J]. 自動化博覽, 2018, (A02) : 24 - 26.
摘自《自動化博覽》2021年4月刊
北京市公安局海淀分局備案號:11010802023656號