今日頭條
官方微信
官方抖音
資訊頻道作者:北京和利時(shí)系統(tǒng)工程有限公司 劉盈,李宗杰,李根旺
摘要:隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展及工業(yè)大數(shù)據(jù)、大互聯(lián)時(shí)代的到來(lái),工業(yè)控制系統(tǒng)的互聯(lián)互通已成為未來(lái)工控系統(tǒng)的發(fā)展趨勢(shì)。工業(yè)控制系統(tǒng)信息安全已成為今后工控系統(tǒng)設(shè)計(jì)中不可或缺的重要環(huán)節(jié)。本文的重點(diǎn)在于研究適用于工業(yè)控制系統(tǒng)的安全防護(hù)體系架構(gòu),在傳統(tǒng)被動(dòng)防護(hù)體系的基礎(chǔ)上結(jié)合縱深防護(hù)理念,提出了工業(yè)控制系統(tǒng)信息安全主動(dòng)防護(hù)體系,將可信計(jì)算、數(shù)字證書(shū)體系、深度協(xié)議控制、虛擬化隔離等安全技術(shù)融入工業(yè)控制系統(tǒng),并結(jié)合邊界防護(hù)、工業(yè)設(shè)備防護(hù)和核心控制器防護(hù)為工業(yè)控制系統(tǒng)運(yùn)行提供安全保障。
關(guān)鍵詞:工業(yè)控制系統(tǒng);主動(dòng)防護(hù)體系;可信計(jì)算
1 前言
在工業(yè)控制系統(tǒng)中,終端設(shè)備網(wǎng)絡(luò)化、智能化的趨勢(shì)越來(lái)越明顯。隨著控制系統(tǒng)日漸走向網(wǎng)絡(luò)化、集成化、分布化的發(fā)展趨勢(shì),信息安全成為影響工控系統(tǒng)正常運(yùn)行的重要問(wèn)題。現(xiàn)有的工業(yè)控制系統(tǒng)防護(hù)主要通過(guò)防火墻、工業(yè)網(wǎng)閘等網(wǎng)絡(luò)防護(hù)設(shè)備構(gòu)建邊界防護(hù)和基于主機(jī)和操作系統(tǒng)的加固防護(hù)技術(shù),此類防護(hù)手段主要作用于攻擊或威脅發(fā)生后,屬于被動(dòng)防御。本文提出針對(duì)工業(yè)控制系統(tǒng)的信息安全功能和防護(hù)架構(gòu)將通過(guò)基于數(shù)字證書(shū)的身份認(rèn)證、融合可信計(jì)算技術(shù)的工業(yè)控制器等一系列信息安全主動(dòng)防護(hù)能力來(lái)實(shí)現(xiàn)工業(yè)信息安全的主動(dòng)防御體系。
圖1 主動(dòng)防護(hù)機(jī)制
2 典型工業(yè)信息安全防護(hù)機(jī)制
2.1 被動(dòng)防護(hù)機(jī)制
傳統(tǒng)的信息安全防護(hù)機(jī)制通過(guò)對(duì)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)和數(shù)據(jù)出入口采取必要的訪問(wèn)控制和權(quán)限控制來(lái)達(dá)到信息安全防護(hù)的目的。傳統(tǒng)的被動(dòng)式防護(hù)體系主要采用“封”、“堵”、“查”、“殺”的策略對(duì)保護(hù)系統(tǒng)環(huán)境進(jìn)行安全過(guò)濾,主要依賴以下防護(hù)手段實(shí)現(xiàn):
2.1.1 區(qū)域邊界隔離
(1)物理區(qū)域隔離
物理區(qū)域隔離,本質(zhì)上通過(guò)在內(nèi)網(wǎng)和外網(wǎng)之間建立對(duì)直接或間接連接的阻隔,從而實(shí)現(xiàn)對(duì)內(nèi)外網(wǎng)之間的物理隔絕的隔離技術(shù)。嚴(yán)格意義上來(lái)說(shuō),物理隔離的建立首先在兩個(gè)網(wǎng)絡(luò)之間的物理上是互不連接的,其次物理隔離需在鏈路層上切斷內(nèi)網(wǎng)外之間的數(shù)據(jù)鏈接,因此無(wú)論使用防火墻、路由器或其他交換設(shè)備連接的網(wǎng)絡(luò)均不屬于物理隔離。物理隔離目前常用工業(yè)網(wǎng)閘實(shí)現(xiàn)。
物理隔離對(duì)數(shù)據(jù)的傳輸方向要求較高,并且實(shí)施成本較大,但在安全性方面要強(qiáng)于邏輯隔離。
(2)邏輯區(qū)域隔離
邏輯區(qū)域隔離,被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線,但通過(guò)技術(shù)手段保證被隔離的兩端沒(méi)有數(shù)據(jù)通道,即邏輯上隔離。主要通過(guò)軟件或硬件設(shè)備將兩個(gè)網(wǎng)絡(luò)進(jìn)行虛擬分割,并保證網(wǎng)絡(luò)之間進(jìn)行有條件的互訪。邏輯隔離通常采用VLAN和網(wǎng)絡(luò)防火墻等方式實(shí)現(xiàn)。
邏輯隔離具有部署簡(jiǎn)便,操作性強(qiáng),適用性廣等特點(diǎn),但在安全程度上相較于物理隔離稍差。
2.1.2 邊界防護(hù)
通過(guò)邏輯或物理分區(qū)的方式將控制系統(tǒng)劃分為不同的區(qū)域,形成了多區(qū)域邊界的區(qū)域化結(jié)構(gòu),在各分區(qū)的邊界采用邊界防護(hù)手段,能夠有效控制各區(qū)域出入口的數(shù)據(jù)和流量安全。
邊界防護(hù)是被動(dòng)防御體系的核心所在,通常通過(guò)網(wǎng)閘設(shè)備和防火墻實(shí)現(xiàn),以基礎(chǔ)架構(gòu)安全作為邊界防護(hù)的基礎(chǔ),通過(guò)預(yù)置不同的安全策略和檢測(cè)特征來(lái)進(jìn)行靜態(tài)防護(hù),邊界防護(hù)技術(shù)針對(duì)絕大多數(shù)常見(jiàn)類型的威脅和攻擊具有很好的抵御效果,但對(duì)于未知威脅和APT攻擊卻很難發(fā)揮出決定性作用。
2.1.3 安全管理
安全管理主要包括漏洞掃描修復(fù)、安全審計(jì)記錄等手段對(duì)工業(yè)控制系統(tǒng)中存在的漏洞進(jìn)行掃描和修復(fù),防止存在的已知漏洞被惡意利用;審計(jì)系統(tǒng)則通過(guò)對(duì)發(fā)生的安全事件和非法數(shù)據(jù)流量進(jìn)行審計(jì)記錄,對(duì)安全事件提供追蹤溯源能力。
2.1.4 主機(jī)防護(hù)
主機(jī)防護(hù)所針對(duì)的保護(hù)對(duì)象為系統(tǒng)內(nèi)的合法資產(chǎn),通過(guò)對(duì)已有主機(jī)的操作系統(tǒng)進(jìn)行系統(tǒng)加固,關(guān)閉無(wú)關(guān)端口和無(wú)關(guān)服務(wù)達(dá)到服務(wù)和端口最小化的目的,從而切斷可能存在的威脅傳輸介質(zhì)。
防病毒軟件同樣被應(yīng)用于對(duì)主機(jī)資產(chǎn)的防護(hù),考慮到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離和難以保證病毒庫(kù)實(shí)時(shí)更新等問(wèn)題,防病毒軟件在工業(yè)控制系統(tǒng)的應(yīng)用主要采用白名單防護(hù)的形式。
圖2 傳統(tǒng)被動(dòng)防護(hù)機(jī)制
2.2 縱深防護(hù)機(jī)制
縱深防護(hù)理念引入工業(yè)控制系統(tǒng)的信息安全解決方案是目前業(yè)內(nèi)廣泛接受的應(yīng)用解決方案之一,工業(yè)控制系統(tǒng)的“縱深防護(hù)”旨在外部網(wǎng)絡(luò)與工業(yè)核心網(wǎng)絡(luò)之間構(gòu)建多層次的防護(hù)層,由于工業(yè)控制系統(tǒng)的功能層級(jí)化結(jié)構(gòu)明顯,縱深防護(hù)理念在工業(yè)控制系統(tǒng)的適用度更加明顯。
工控系統(tǒng)的縱深防護(hù)策略大體可分為四大類:
(1)安全管理
安全管理通過(guò)建立完善的安全管理流程、操作指南、安全業(yè)務(wù)管理和應(yīng)急響應(yīng)機(jī)制來(lái)完善信息安全防護(hù)能力。
(2)物理防護(hù)
物理防護(hù)指對(duì)工業(yè)控制現(xiàn)場(chǎng)和設(shè)備的物理訪問(wèn)進(jìn)行限制和約束。包括門(mén)禁、身份卡、監(jiān)控設(shè)備等。
(3)網(wǎng)絡(luò)防護(hù)
網(wǎng)絡(luò)防護(hù)包含基于網(wǎng)絡(luò)分區(qū)的安全架構(gòu),以及通過(guò)部署防火墻等邊界防護(hù)設(shè)備對(duì)網(wǎng)絡(luò)分區(qū)邊界節(jié)點(diǎn)的信息安全防護(hù)。
(4)主機(jī)防護(hù)
主機(jī)防護(hù)通過(guò)對(duì)主機(jī)操作系統(tǒng)的服務(wù)和配置加固、補(bǔ)丁管理、漏洞修復(fù)等完善操作系統(tǒng)的基本防護(hù)能力。此外,通過(guò)部署防病毒軟件對(duì)惡意代碼和惡意程序進(jìn)行檢測(cè)和防護(hù)。
縱深防護(hù)機(jī)制在以上防護(hù)策略的基礎(chǔ)上,對(duì)不同層級(jí)采用不同針對(duì)性的安全措施,從而保護(hù)工業(yè)控制系統(tǒng)內(nèi)的資產(chǎn)和網(wǎng)絡(luò)安全。
3 工業(yè)控制系統(tǒng)主動(dòng)防護(hù)機(jī)制
傳統(tǒng)的被動(dòng)防護(hù)機(jī)制和縱深防護(hù)機(jī)制的融合對(duì)建立工業(yè)控制系統(tǒng)的信息安全防護(hù)體系起到了關(guān)鍵作用,融合后的工業(yè)信息安全防護(hù)體系主要仍然依靠固定的防護(hù)策略和靜態(tài)防護(hù)體系對(duì)威脅進(jìn)行檢測(cè)和抵御,雖然一定程度上滿足了對(duì)外部網(wǎng)絡(luò)威脅的抵御需求,但針對(duì)未知威脅和來(lái)自于內(nèi)部的威脅卻難以發(fā)揮作用。在面對(duì)接口復(fù)雜、協(xié)議大量私有化的工業(yè)控制系統(tǒng)難免會(huì)捉襟見(jiàn)肘。
基于已有的工業(yè)信息安全防護(hù)體系,為解決信息安全防護(hù)在工控系統(tǒng)中存在的問(wèn)題,進(jìn)一步提出了針對(duì)工控系統(tǒng)的主動(dòng)防護(hù)機(jī)制。主動(dòng)防護(hù)機(jī)制基于可信計(jì)算技術(shù)、數(shù)字證書(shū)體系構(gòu)建能夠?qū)阂庑袨楹蛺阂馔{進(jìn)行自診斷、自抵御的核心內(nèi)生安全體系。
3.1 控制層主動(dòng)防護(hù)
多層級(jí)防護(hù)方面,在現(xiàn)有縱深防護(hù)的基礎(chǔ)上增加控制器核心安全防護(hù)層,通過(guò)提升控制系統(tǒng)核心控制器的安全抵御能力,將核心控制器作為安全的最后一道防線,采用可信計(jì)算和數(shù)字證書(shū)體系作為主動(dòng)防護(hù)的基礎(chǔ),進(jìn)一步賦予工控系統(tǒng)控制層的核心防護(hù)能力。通過(guò)對(duì)可信計(jì)算平臺(tái)的引入,控制器將具備對(duì)未知威脅的主動(dòng)發(fā)現(xiàn)和阻隔能力。
圖3 核心控制器可信計(jì)算平臺(tái)
3.2 網(wǎng)絡(luò)層主動(dòng)防護(hù)
工業(yè)控制系統(tǒng)在系統(tǒng)網(wǎng)通信方向,通過(guò)對(duì)通信行為建模的方法,通過(guò)對(duì)正常工業(yè)通信行為進(jìn)行機(jī)器學(xué)習(xí),針對(duì)無(wú)法辨識(shí)出未知特征的攻擊或入侵行為進(jìn)行檢測(cè),實(shí)現(xiàn)對(duì)Profinet 、 Modbus-TCP、IEC-104、OPC-UA、DNP3.0等工業(yè)協(xié)議的訪問(wèn)控制能力。
主動(dòng)防御的工業(yè)協(xié)議訪問(wèn)控制技術(shù)通過(guò)監(jiān)視并分析通信行為在入侵行為產(chǎn)生危害之前進(jìn)行攔截,作為對(duì)基本訪問(wèn)控制能力的強(qiáng)化補(bǔ)充
3.3 監(jiān)控層主動(dòng)防護(hù)
主動(dòng)防護(hù)機(jī)制引入數(shù)字證書(shū)的安全機(jī)制,解決設(shè)備固件更新階段的合法性和完整性度量,身份接入認(rèn)證,保證工控設(shè)備在啟動(dòng)與運(yùn)行階段的可信性,從源頭建立安全可信的運(yùn)行環(huán)境。
設(shè)備接入工業(yè)網(wǎng)絡(luò)之后,通過(guò)數(shù)字證書(shū)進(jìn)行雙向認(rèn)證,并提供CRL多種方式的證書(shū)有效性驗(yàn)證,提供PKCS1/ PKCS7、attach/PKCS7、detach/XML等格式的數(shù)字簽名和數(shù)字簽名驗(yàn)證功能。
U-key作為身份認(rèn)證和加密傳輸?shù)年P(guān)鍵設(shè)備,作用于上層系統(tǒng),基于802.1x認(rèn)證過(guò)程防止未授權(quán)登陸以保證系統(tǒng)的安全接入。支持對(duì)稱和非對(duì)稱加解密算法。U-key內(nèi)存儲(chǔ)有用于身份認(rèn)證的數(shù)字證書(shū)可被上位機(jī)用于完成身份認(rèn)證的工作。
圖4 數(shù)字證書(shū)認(rèn)證流程
4 信息安全主動(dòng)防護(hù)體系應(yīng)用
工業(yè)信息安全主動(dòng)防護(hù)體系,增加對(duì)控制層、網(wǎng)絡(luò)層、監(jiān)控層的主動(dòng)防護(hù)技術(shù)的應(yīng)用,并結(jié)合被動(dòng)防御機(jī)制核心的邊界防護(hù)以及縱深防護(hù)機(jī)制的獨(dú)立防護(hù)策略,構(gòu)成對(duì)工業(yè)控制系統(tǒng)新的安全防護(hù)體系。主動(dòng)防護(hù)體系在抵御外部已知威脅的同時(shí),進(jìn)而能夠?qū)ξ粗{以及從內(nèi)部發(fā)起的威脅進(jìn)行有效抵御,全面保護(hù)工業(yè)控制系統(tǒng)的穩(wěn)定運(yùn)行。
通過(guò)在現(xiàn)有工業(yè)控制系統(tǒng)的拓?fù)浠A(chǔ)上,增加可離線運(yùn)行的數(shù)字證書(shū)管理平臺(tái)、高度集成的安全管控平臺(tái)以及集成主動(dòng)安全防護(hù)技術(shù)的核心安全控制器,構(gòu)筑能夠?qū)σ阎{、未知威脅、外部非法訪問(wèn)、內(nèi)部非法接入等各類信息安全威脅的核心抵御能力
圖5 主動(dòng)安全防護(hù)體系應(yīng)用拓?fù)?/p>
5 結(jié)語(yǔ)
隨著工業(yè)信息安全技術(shù)的不斷發(fā)展以及工業(yè)核心控制設(shè)備的不斷迭代,工業(yè)控制系統(tǒng)的信息安全防護(hù)體系會(huì)經(jīng)過(guò)不斷的演化和革新。在《中國(guó)制造2025》和工業(yè)互聯(lián)網(wǎng)大力發(fā)展的行業(yè)背景下,工業(yè)信息安全將會(huì)迎來(lái)快速發(fā)展的新時(shí)期。
工業(yè)控制系統(tǒng)封閉的網(wǎng)絡(luò)環(huán)境已經(jīng)被打開(kāi),工業(yè)信息安全防護(hù)的革新必須緊跟工業(yè)互聯(lián)網(wǎng)的發(fā)展腳步,構(gòu)建主動(dòng)防御的工業(yè)信息安全防護(hù),提升工業(yè)控制系統(tǒng)的核心安全能力刻不容緩。
( 注: 本研究依托國(guó)家高技術(shù)研究發(fā)展計(jì)劃“863計(jì)劃”先進(jìn)制造技術(shù)領(lǐng)域“可編程嵌入式電子裝備的安全技術(shù)”項(xiàng)目“可編程嵌入式電子設(shè)備的安全防護(hù)技術(shù)及開(kāi)發(fā)工具”課題任務(wù)進(jìn)行。)
作者簡(jiǎn)介:
劉盈(1990-),男 ,內(nèi)蒙古人,工程師,碩士,現(xiàn)就職于北京和利時(shí)系統(tǒng)工程有限公司,主要研究方向是電氣工程。
李宗杰(1983-),男 ,浙江人,工程師,碩士,現(xiàn)就職于北京和利時(shí)系統(tǒng)工程有限公司,主要研究方向是計(jì)算機(jī)應(yīng)用。
李根旺(1985-),男,河北人,高級(jí)工程師,碩士,現(xiàn)就職于北京和利時(shí)系統(tǒng)工程有限公司,主要研究方向是檢測(cè)技術(shù)與自動(dòng)化裝置。
參考文獻(xiàn):
[1] 工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護(hù)指南[Z]. 2016, 10.
[2] 馮登國(guó). 可信計(jì)算-理論與實(shí)踐[M]. 北京: 清華大學(xué)出版社, 2013, 5.
北京市公安局海淀分局備案號(hào):11010802023656號(hào)