今日頭條
官方微信
官方抖音
資訊頻道 1 引言
近年來(lái),自動(dòng)化領(lǐng)域?qū)I(yè)控制系統(tǒng)(ICS)的需求不斷提升,特別是兩化融合以來(lái),對(duì)工業(yè)控制系統(tǒng)的實(shí)時(shí)性、可交互性等要求越來(lái)越高。以往的工業(yè)控制系統(tǒng)是孤立、封閉的信息系統(tǒng),而隨著工業(yè)控制系統(tǒng)本身對(duì)控制實(shí)時(shí)響應(yīng)速度的要求不斷提高,工業(yè)控制系統(tǒng)的大型化和多個(gè)工業(yè)控制系統(tǒng)之間互聯(lián)互通、整體協(xié)調(diào)需求的提出,工業(yè)控制系統(tǒng)逐漸向信息技術(shù)(IT)發(fā)展,從基于現(xiàn)場(chǎng)總線的單層過(guò)程控制網(wǎng)絡(luò)發(fā)展到了通過(guò)工業(yè)以太網(wǎng)與工程師工作站所在的過(guò)程管理網(wǎng)絡(luò)再到和企業(yè)辦公網(wǎng)絡(luò)互聯(lián)的多層結(jié)構(gòu)的復(fù)雜網(wǎng)絡(luò)。
然而,由于工業(yè)控制系統(tǒng)在開(kāi)發(fā)初期主要關(guān)注可用性和可靠性,而對(duì)保密性和安全性要求不高,不可避免地存在較多的安全缺陷。據(jù)相關(guān)統(tǒng)計(jì),自2010年專(zhuān)門(mén)針對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊的“震網(wǎng)”病毒被發(fā)現(xiàn)以來(lái),工業(yè)控制系統(tǒng)的信息安全問(wèn)題不斷凸顯,被公開(kāi)披露的工業(yè)控制系統(tǒng)的漏洞呈井噴式的增長(zhǎng)。相應(yīng)的,工控信息安全專(zhuān)用產(chǎn)品也得到了越來(lái)越多的重視,研發(fā)生產(chǎn)、應(yīng)用、測(cè)試、評(píng)價(jià)標(biāo)準(zhǔn)的制定等工作也在相關(guān)政策的支持下快速地開(kāi)展起來(lái)。
2 我國(guó)工控安全的現(xiàn)狀和相關(guān)政策
隨著工控信息安全問(wèn)題的日益凸顯,我國(guó)相關(guān)職能部門(mén)也陸續(xù)出臺(tái)了針對(duì)性的政策,提高業(yè)界的重視度,規(guī)范和引領(lǐng)工控安全領(lǐng)域技術(shù)、產(chǎn)品和系統(tǒng)的研發(fā),以提高我國(guó)工控信息安全水平。今年8月8日,工信部正式發(fā)布了《2014年工業(yè)控制系統(tǒng)信息安全藍(lán)皮書(shū)》,指出目前國(guó)內(nèi)工控信息安全市場(chǎng)規(guī)模不到2億元,僅占信息安全整體市場(chǎng)1%,主要以工業(yè)防火墻和工業(yè)隔離網(wǎng)關(guān)等硬件產(chǎn)品為主,專(zhuān)用殺毒軟件有一定應(yīng)用,嵌入式模塊產(chǎn)品有少量應(yīng)用,安全服務(wù)尚處在初步導(dǎo)入期。其它比如入侵防護(hù)、安全審計(jì)、現(xiàn)場(chǎng)運(yùn)維管理平臺(tái)、工控可靠性安全管理平臺(tái)等產(chǎn)品處于產(chǎn)品布局期。
但是,與之相對(duì)應(yīng)的是我國(guó)工控安全嚴(yán)峻的現(xiàn)狀,與歐美國(guó)家相比,國(guó)內(nèi)工控安全水平、發(fā)展速度與歐美發(fā)達(dá)國(guó)家相比差距仍非常大。我國(guó)工控安全相關(guān)領(lǐng)域的工作起步比較晚,2011年工信部發(fā)布《關(guān)于加強(qiáng)工業(yè)與控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào),以下簡(jiǎn)稱(chēng)“451號(hào)文”),451號(hào)文指出了工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,點(diǎn)明了我國(guó)工業(yè)控制領(lǐng)域信息安全工作的問(wèn)題和不足,明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求,提出要建立工業(yè)控制系統(tǒng)安全測(cè)評(píng)檢查和漏洞發(fā)布制度。2012年,溫家寶總理主持召開(kāi)國(guó)務(wù)院常務(wù)會(huì)議,審議通過(guò)了《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》(國(guó)發(fā)〔2012〕23號(hào)),其中明確提出要“保障工業(yè)控制系統(tǒng)信息安全”。2012年和2013年連續(xù)兩年的發(fā)改委國(guó)家信息安全專(zhuān)項(xiàng)中均有對(duì)工業(yè)控制信息安全領(lǐng)域相關(guān)產(chǎn)品的支持,包含了工控防火墻、工控系統(tǒng)異常行為審計(jì)、工控安管平臺(tái)、面向現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專(zhuān)用網(wǎng)關(guān)、面向集散控制系統(tǒng)(DCS)的異常監(jiān)測(cè)、安全采集遠(yuǎn)程終端單元(RTU)和工業(yè)應(yīng)用軟件漏洞掃描等多種類(lèi)型的工業(yè)控制系統(tǒng)安全產(chǎn)品。
可以看出,目前我國(guó)工控安全行業(yè)處于剛起步階段,很多方面都處于空白待探索的現(xiàn)狀,不過(guò)雖然規(guī)模小,但由于工控安全牽扯到工業(yè)生產(chǎn)運(yùn)行安全、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全,因此政策上的扶持力度非常大。
3 工控信息安全專(zhuān)用產(chǎn)品和系統(tǒng)
目前,一個(gè)典型的工業(yè)控制系統(tǒng)的結(jié)構(gòu)如圖1所示,按照AMR組織提出的一個(gè)通用的制造企業(yè)信息傳遞的環(huán)節(jié),企業(yè)的信息系統(tǒng)可以分為三層,依次為業(yè)務(wù)計(jì)劃層、制造執(zhí)行層和過(guò)程控制層,是決策細(xì)化下達(dá)和執(zhí)行結(jié)果匯總上傳的信息溝通模式。
從網(wǎng)絡(luò)構(gòu)成來(lái)說(shuō),業(yè)務(wù)計(jì)劃層是企業(yè)的辦公網(wǎng),主要涉及企業(yè)級(jí)應(yīng)用,如ERP、OA等;制造執(zhí)行層是監(jiān)控網(wǎng)絡(luò),主要部署SCADA服務(wù)器、數(shù)據(jù)庫(kù)、生產(chǎn)調(diào)度系統(tǒng)等;過(guò)程控制系統(tǒng)部署的是比較典型的控制網(wǎng)絡(luò),但也可以細(xì)分為工業(yè)以太網(wǎng)和工業(yè)總線網(wǎng),其實(shí)也是最為復(fù)雜的網(wǎng)絡(luò)。細(xì)分下來(lái),可以按照通信線路和協(xié)議類(lèi)型區(qū)分,企業(yè)辦公網(wǎng)和工程師工作站通常使用傳統(tǒng)的以太網(wǎng)相互連接;工程師工作站和PLC之間的通訊通常使用工業(yè)以太網(wǎng),目前常用的工業(yè)以太網(wǎng)協(xié)議有:Modbus TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等;PLC與現(xiàn)場(chǎng)控制點(diǎn)、現(xiàn)場(chǎng)儀表等的連接由于目前以太網(wǎng)并不能完全勝任復(fù)雜的工控環(huán)境,無(wú)法保證通信的實(shí)時(shí)可靠,因此仍然大量使用傳統(tǒng)的現(xiàn)場(chǎng)總線。
根據(jù)目前工控信息安全面臨的威脅以及可以采取的防護(hù)措施來(lái)看,和工控安全聯(lián)系最為緊密的是信息管理層、生產(chǎn)管理層、工業(yè)控制層三個(gè)層級(jí)之間的隔離,其中使用傳統(tǒng)以太網(wǎng)互聯(lián)的信息管理層和生產(chǎn)管理層之間可以部署常規(guī)的網(wǎng)絡(luò)隔離設(shè)備和工控安全設(shè)備,包括防火墻、工控漏洞掃描、工控專(zhuān)用殺毒軟件、工控安管平臺(tái),用于對(duì)與外部互聯(lián)網(wǎng)通訊的數(shù)據(jù)進(jìn)行過(guò)濾,同時(shí)對(duì)整個(gè)執(zhí)行制造層和過(guò)程控制層進(jìn)行監(jiān)控和管理;使用工業(yè)以太網(wǎng)互聯(lián)的生產(chǎn)管理層和工業(yè)控制層之間通常部署工控防火墻、現(xiàn)場(chǎng)環(huán)境邊界安全專(zhuān)用網(wǎng)關(guān)和工控異常行為監(jiān)測(cè)與審計(jì),主要用于防范在工程師工作站通過(guò)不安全的移動(dòng)設(shè)備未授權(quán)接入帶來(lái)的病毒和木馬,同時(shí)對(duì)工控網(wǎng)絡(luò)進(jìn)行安全審計(jì),及時(shí)發(fā)現(xiàn)異常情況并報(bào)警。
此外,作為信息安全中不可或缺的一部分,工業(yè)控制系統(tǒng)的信息安全還需要安全服務(wù)的支撐,包括風(fēng)險(xiǎn)評(píng)估、安全審計(jì)、咨詢(xún)培訓(xùn)、安全管理等多個(gè)方面,目前這部分的工作仍然基本處于空白。
4 工控安全相關(guān)標(biāo)準(zhǔn)
工控信息安全專(zhuān)用產(chǎn)品作為剛起步的信息安全產(chǎn)品類(lèi)別,尚沒(méi)有完善的標(biāo)準(zhǔn)體系,但是相關(guān)的標(biāo)準(zhǔn)制定工作已經(jīng)開(kāi)展。我國(guó)的相關(guān)標(biāo)準(zhǔn)制定工作起步較晚,目前國(guó)際上較為完善的工業(yè)控制信息安全標(biāo)準(zhǔn)體系為IEC62443工業(yè)通信網(wǎng)絡(luò)信息安全系列標(biāo)準(zhǔn),是由IEC/TC65/WG10(工業(yè)過(guò)程測(cè)量、控制與自動(dòng)化/網(wǎng)絡(luò)與系統(tǒng)信息安全工作組)與國(guó)際自動(dòng)化協(xié)會(huì)ISA99成立的聯(lián)合工作組共同制定的,并在2011年對(duì)標(biāo)準(zhǔn)體系進(jìn)行了優(yōu)化,定名為《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》,包含了通用、信息安全程序、系統(tǒng)技術(shù)和部件技術(shù)4部分共12個(gè)文檔,對(duì)資產(chǎn)所有者、系統(tǒng)集成商、組件供應(yīng)商進(jìn)行了相關(guān)信息安全的要求。
目前,制定我國(guó)工控信息安全相關(guān)標(biāo)準(zhǔn)的組織主要有全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)和全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC124),對(duì)工業(yè)控制系統(tǒng)信息安全的基礎(chǔ)標(biāo)準(zhǔn)、安全管理、安全策略和應(yīng)用標(biāo)準(zhǔn)開(kāi)展制定工作。其中包含了工業(yè)控制系統(tǒng)的安全防護(hù)要求、等級(jí)保護(hù)、網(wǎng)絡(luò)安全防護(hù)、風(fēng)險(xiǎn)評(píng)估和安全產(chǎn)品和系統(tǒng)測(cè)評(píng)相關(guān)工作的標(biāo)準(zhǔn)。此外,在行業(yè)標(biāo)準(zhǔn)方面,電力系統(tǒng)最早關(guān)注工控信息安全,其標(biāo)準(zhǔn)化進(jìn)度也相對(duì)較為領(lǐng)先;而公安行業(yè)標(biāo)準(zhǔn)近兩年也開(kāi)始制定相關(guān)工控安全標(biāo)準(zhǔn),主要關(guān)注專(zhuān)用的信息安全防護(hù)產(chǎn)品,涉及工控防火墻、工控審計(jì)產(chǎn)品、工控安全隔離與信息交換系統(tǒng)、工控安全管理平臺(tái)和工控入侵檢測(cè)系統(tǒng)等。在發(fā)改委組織實(shí)施的2012、2013年國(guó)家信息安全專(zhuān)項(xiàng)中,工控領(lǐng)域的安全產(chǎn)品已經(jīng)形成了較為完善的行業(yè)標(biāo)準(zhǔn)和相應(yīng)的測(cè)評(píng)方案。
5 對(duì)我國(guó)工控安全工作的建議
目前,國(guó)外的工控信息安全領(lǐng)域經(jīng)過(guò)十多年的發(fā)展,已經(jīng)形成了一套含風(fēng)險(xiǎn)信息發(fā)布、共享、風(fēng)險(xiǎn)漏洞處理、安全態(tài)勢(shì)預(yù)警感知和響應(yīng)多個(gè)環(huán)節(jié)在內(nèi)的完善信息安全事件響應(yīng)隊(duì)伍和具有強(qiáng)大的漏洞驗(yàn)證分析和技術(shù)支撐能力的機(jī)構(gòu);對(duì)于工控信息安全產(chǎn)品和系統(tǒng)的測(cè)試與評(píng)估,也有較為完善的標(biāo)準(zhǔn)、評(píng)估體系和豐富的評(píng)估測(cè)試工具。
對(duì)比國(guó)外的發(fā)展趨勢(shì),我國(guó)的工控安全工作應(yīng)該在以下幾個(gè)方面進(jìn)行借鑒和思考:
(1)對(duì)風(fēng)險(xiǎn)處理機(jī)制進(jìn)一步完善,共享工控安全風(fēng)險(xiǎn)信息;
(2)檢測(cè)審計(jì)工控安全異常數(shù)據(jù),關(guān)聯(lián)分析構(gòu)成預(yù)警體系;
(3)相關(guān)研究機(jī)構(gòu)成立響應(yīng)小組,打造應(yīng)急相應(yīng)技術(shù)團(tuán)隊(duì);
(4)加強(qiáng)工控信息安全標(biāo)準(zhǔn)制定,規(guī)范產(chǎn)品系統(tǒng)測(cè)試評(píng)估;
(5)對(duì)重點(diǎn)行業(yè)定期檢查和認(rèn)證,構(gòu)建我國(guó)工控安全認(rèn)證。
6 結(jié)語(yǔ)
工業(yè)控制系統(tǒng)信息安全作為近年來(lái)越來(lái)越受到重視和政策支持的領(lǐng)域,充滿了挑戰(zhàn)和機(jī)遇,從工控系統(tǒng)的設(shè)計(jì)規(guī)劃到運(yùn)行維護(hù)必須將信息安全考慮在每一個(gè)環(huán)節(jié)之中;工控信息安全專(zhuān)用產(chǎn)品和安全服務(wù)作為工控信息安全系統(tǒng)的重要組成部分,仍然處于起步階段且缺少完善的標(biāo)準(zhǔn)體系和評(píng)價(jià)方法;因此,我國(guó)的工控安全工作仍然需要進(jìn)一步的加強(qiáng),逐步形成成熟的體系和產(chǎn)業(yè)化,為我國(guó)的工業(yè)生產(chǎn)安全保駕護(hù)航。
作者簡(jiǎn)介
田原(1988-),遼寧昌圖人,碩士,畢業(yè)于西安交通大學(xué),現(xiàn)就職于公安部第三研究所,主要從事計(jì)算機(jī)信息安全產(chǎn)品檢測(cè)等工作。
摘自 工業(yè)控制系統(tǒng)信息安全專(zhuān)刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)