今日頭條
官方微信
官方抖音
資訊頻道摘要:本文通過介紹《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(簡稱等保2.0)中工業(yè)控制系統(tǒng)安全的要求,提出了基于等保2.0要求的工業(yè)控制系統(tǒng)安全防護方案。
關(guān)鍵詞:工業(yè)控制系統(tǒng);工業(yè)控制系統(tǒng)安全;等級保護
Abstract: In this paper, by introducing the "GBT22239-2019 Information Security Technology — Baseline for classified protection of cybersecurity" (classified protection of cybersecurity 2.0) industrial control system security requirements, the industrial control system security protection scheme based on classified protection of cybersecurity 2.0 requirements is proposed.
Key words: Industrial control system; Security of industrial control system;Classified protection of cybersecurity
1 引言
在“兩化”融合的行業(yè)發(fā)展需求下,現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進步主要表現(xiàn)在兩大方面:信息化與工業(yè)化的深度融合,為了提高生產(chǎn)高效運行、生產(chǎn)管理效率,國內(nèi)眾多行業(yè)大力推進工業(yè)控制系統(tǒng)自身的集成化,集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強,工控網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。
德國的工業(yè)4.0標準、美國的“工業(yè)互聯(lián)網(wǎng)”以及“先進制造業(yè)國家戰(zhàn)略計劃”、日本的“科技工業(yè)聯(lián)盟”、英國的“工業(yè)2050戰(zhàn)略”、中國“互聯(lián)網(wǎng)+” “中國制造2025”等相繼出臺,對工業(yè)控制系統(tǒng)的通用性與開放性提出了更高的要求。未來工業(yè)控制系統(tǒng)將會有一個長足發(fā)展,工業(yè)趨向于自動化、智能化,系統(tǒng)之間的互聯(lián)互通也更加緊密,面臨的安全威脅也會越來越多。
據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計,截止到2018年10月,全球已發(fā)生800余起針對工業(yè)控制系統(tǒng)的攻擊事件。分析工業(yè)控制系統(tǒng)正在面臨前所未有的信息安全威脅,具體包括:
(1)由于病毒、惡意軟件等導(dǎo)致的工廠停產(chǎn);
(2)工業(yè)制造的核心數(shù)據(jù)、配方被竊取;
(3)制造工廠及其關(guān)鍵工控生產(chǎn)流程被破壞;
(4)惡意操縱工控數(shù)據(jù)或應(yīng)用軟件;
(5)對工控系統(tǒng)功能未經(jīng)授權(quán)的訪問等。
由于長期缺乏安全需求的推動,對(采用 TCP/IP等通用技術(shù)的)網(wǎng)絡(luò)環(huán)境下廣泛存在的安全威脅缺乏充分認識,現(xiàn)有的工業(yè)自動化控制系統(tǒng)在設(shè)計、研發(fā)中沒有充分考慮安全問題,在部署、運維中又缺乏安全意識、管理、流程、策略與相關(guān)專業(yè)技術(shù)的支撐,導(dǎo)致許多工業(yè)自動化控制系統(tǒng)中存在著諸多安全問題,一旦被無意或惡意利用就會造成各種信息安全事件。整體上看來工業(yè)控制系統(tǒng)安全趨勢不容樂觀,各行業(yè)工控安全建設(shè)迫在眉睫。
2 工業(yè)控制系統(tǒng)等級保護要求
工業(yè)控制系統(tǒng)(ICS)是幾種類型控制系統(tǒng)的總稱,包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、集散控制系統(tǒng)(DCS)和其它控制系統(tǒng),如在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常使用的可編程邏輯控制器(PLC)。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業(yè)。工業(yè)控制系統(tǒng)主要由過程級、操作級以及各級之間和內(nèi)部的通信網(wǎng)絡(luò)構(gòu)成,對于大規(guī)模的控制系統(tǒng),也包括管理級。過程級包括被控對象、現(xiàn)場控制設(shè)備和測量儀表等,操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務(wù)器等,管理級包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等,通信網(wǎng)絡(luò)包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場總線等。
根據(jù)IEC 62264-1對工業(yè)控制系統(tǒng)的層次模型從上到下共分為5個層級(如圖1所示),依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層,不同層級的實時性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元,用于為企業(yè)決策層員工提供決策運行手段;生產(chǎn)管理層主要包括MES系統(tǒng)功能單元,用于對生產(chǎn)過程進行管理,如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等;過程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI系統(tǒng)功能單元,用于對生產(chǎn)過程數(shù)據(jù)進行采集與監(jiān)控,并利用HMI系統(tǒng)實現(xiàn)人機交互;現(xiàn)場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執(zhí)行設(shè)備進行控制;現(xiàn)場設(shè)備層主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元,用于對生產(chǎn)過程進行感知與操作。
工業(yè)控制系統(tǒng)構(gòu)成的復(fù)雜性,組網(wǎng)的多樣性,以及等級保護對象劃分的靈活性,給網(wǎng)絡(luò)安全等級保護基本要求的使用帶來了選擇的需求。為了便于實現(xiàn)對不同級別的和不同形態(tài)的等級保護對象的共性化和個性化保護,等級保護要求分為安全通用要求和安全擴展要求(如圖1所示)。
圖1 工業(yè)控制系統(tǒng)各層次及等級保護要求
3 工業(yè)控制系統(tǒng)等級保護安全防護
3.1 安全建設(shè)基本原則
對于工控安全建設(shè),應(yīng)當以適度安全為核心,以重點保護為原則,從業(yè)務(wù)的角度出發(fā),重點保護重要的業(yè)務(wù)系統(tǒng),在方案設(shè)計中應(yīng)當遵循以下的原則:
(1)適度安全
任何系統(tǒng)都不能做到絕對的安全,在進行工控安全等級保護規(guī)劃中,要在安全需求、安全風險和安全成本之間進行平衡和折中,過多的安全要求必將造成安全成本的迅速增加和運行的復(fù)雜性。適度安全也是等級保護建設(shè)的初衷,因此在進行等級保護設(shè)計的過程中,一方面要嚴格遵循基本要求,從物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等層面加強防護措施,保障信息系統(tǒng)的機密性、完整性和可用性,另外也要從綜合成本的角度,針對系統(tǒng)的實際風險,提出對應(yīng)的保護強度,并按照保護強度進行安全防護系統(tǒng)的設(shè)計和建設(shè),從而有效控制成本。
(2)技術(shù)管理并重
工控安全問題從來就不是單純的技術(shù)問題,把防范黑客入侵和病毒感染理解為工控安全問題的全部是片面的,僅僅通過部署安全產(chǎn)品很難完全覆蓋所有的工控安全問題,因此必須要把技術(shù)措施和管理措施結(jié)合起來,更有效地保障信息系統(tǒng)的整體安全性,形成技術(shù)和管理兩個部分的建設(shè)方案。
(3)分區(qū)分域建設(shè)
對工控系統(tǒng)進行安全保護的有效方法就是分區(qū)分域,由于工控系統(tǒng)中各個資產(chǎn)的重要性是不同的,并且訪問特點也不盡相同,因此需要把具有相似特點的資產(chǎn)集合起來,進行總體防護,從而可更好地保障安全策略的有效性和一致性;另外分區(qū)分域還有助于對網(wǎng)絡(luò)系統(tǒng)進行集中管理,一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件,可通過嚴格的邊界安全防護限制事件在整網(wǎng)蔓延。
(4)合規(guī)性
安全保護體系應(yīng)當同時考慮與其他標準的符合性,在方案中的技術(shù)部分將參考《GBT25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》進行設(shè)計,在管理方面同時參考《GB/T 22239-2019工控安全技術(shù)信息系統(tǒng)安全等級保護基本要求》以及27001安全管理指南,使建成后的等級保護體系更具有廣泛的實用性。
(5)動態(tài)調(diào)整
工控安全問題不是靜態(tài)的,它總是隨著管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變,因此必須要跟蹤信息系統(tǒng)的變化情況,調(diào)整安全保護措施。
3.2 安全防護方案
本方案按照工業(yè)控制系統(tǒng)的層次關(guān)系,依據(jù)《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》及系列標準要求,在整體方案設(shè)計上,重點協(xié)助客戶建立感知預(yù)警、主動防護、全面監(jiān)測、應(yīng)急處置的動態(tài)保障體系,打造“一個中心(安全管理中心)、三重防御(安全計算環(huán)境、安全區(qū)域邊界、安全通訊網(wǎng)絡(luò))”的安全防護體系,總體的部署方案如圖2所示。
圖2 工業(yè)控制系統(tǒng)各層次安全防護方案
3.2.1 安全通訊網(wǎng)絡(luò)實現(xiàn)
工業(yè)控制系統(tǒng)安全通訊網(wǎng)絡(luò)主要從現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護、現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護、無線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護、無線網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護、工控網(wǎng)絡(luò)實時響應(yīng)要求、通訊網(wǎng)絡(luò)異常監(jiān)測、無線網(wǎng)絡(luò)攻擊防護等方面進行考慮設(shè)計,阻止惡意或入侵行為。
產(chǎn)品部署如下:
(1)在生產(chǎn)管理層(Level3)與企業(yè)資源層(Level4)之間部署采用單向傳輸策略的工業(yè)防火墻,禁止辦公網(wǎng)對生產(chǎn)網(wǎng)的非法訪問,同時在過程監(jiān)控層(Level2)的各個安全域間部署采用白名單策略工業(yè)防火墻,禁止非授權(quán)的訪問,防止惡意代碼在安全域間擴散。
(2)在互聯(lián)網(wǎng)和辦公網(wǎng)的邊界處部署下一代防火墻,禁止互聯(lián)網(wǎng)對辦公網(wǎng)的非法訪問,保障網(wǎng)絡(luò)架構(gòu)安全。
3.2.2 安全區(qū)域邊界實現(xiàn)工業(yè)控制系統(tǒng)安全區(qū)域邊界主要從工控通訊協(xié)議過濾、工控通訊協(xié)議信息泄露防護、工控區(qū)域邊界審計等方面進行考慮設(shè)計,能夠發(fā)現(xiàn)違規(guī)行為、阻止非法入侵。
產(chǎn)品部署如下:
(1)在過程監(jiān)控層(Level2)與生產(chǎn)管理層(Level3)邊界以及生產(chǎn)管理層(Level3)與企業(yè)資源層(Level4)邊界部署基于白名單策略的工業(yè)防火墻,禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)。
(2)在互聯(lián)網(wǎng)和辦公網(wǎng)的邊界處部署下一代防火墻,配置基于應(yīng)用的訪問策略,禁止互聯(lián)網(wǎng)對辦公網(wǎng)的非法訪問。
(3)在過程監(jiān)控層(Level2)與生產(chǎn)管理層(Level3)的核心交換機上旁路部署工控安全監(jiān)測審計平臺,及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為,并對超出基線異常行為報警。
(4)在企業(yè)資源層(Level4)核心交換機上旁路部署帶有沙箱功能的APT攻擊(網(wǎng)絡(luò)戰(zhàn))預(yù)警平臺,對新型網(wǎng)絡(luò)攻擊行為以及未知惡意文件、0day進行分析、記錄、報警,及時發(fā)現(xiàn)辦公網(wǎng)絡(luò)對工控生產(chǎn)網(wǎng)絡(luò)的攻擊行為。
3.2.3 安全計算環(huán)境實現(xiàn)
工業(yè)控制系統(tǒng)安全計算環(huán)境主要從工業(yè)控制身份鑒別、現(xiàn)場設(shè)備訪問控制、現(xiàn)場設(shè)備安全審計、現(xiàn)場設(shè)備數(shù)據(jù)完整性保護、現(xiàn)場設(shè)備數(shù)據(jù)保密性保護、控制過程完整性等方面進行考慮設(shè)計,防止未經(jīng)授權(quán)的設(shè)備、人員進入到工控系統(tǒng)中造成工控系統(tǒng)的破壞。
產(chǎn)品部署如下:
(1)在關(guān)鍵主機和服務(wù)站上部署工控主機衛(wèi)士,阻止一切不在白名單庫中的軟件、程序的安裝和執(zhí)行。對主機基線、主機資源的訪問權(quán)限、用戶的身份鑒別等進行嚴格的管控,對外設(shè)(如U盤)進行嚴格的監(jiān)控管理。
(2)在安全運維域或工控DMZ域部署工控漏洞掃描平臺,對控制設(shè)備的漏洞進行檢測評估,及時指導(dǎo)控制設(shè)備進行補丁更新、固件更新。
(3)在過程監(jiān)控層(Level2)與生產(chǎn)管理層(Level3)的核心交換機上旁路部署工控安全監(jiān)測審計平臺,記錄各類安全事件和信息,特別是不符合工業(yè)現(xiàn)場正常生產(chǎn)行為的事件或行為進行檢測,為事件追蹤溯源提供依據(jù)。
3.2.4 安全管理中心實現(xiàn)
在等保建設(shè)的第一階段,先重點實現(xiàn)集中的安全管理,劃分統(tǒng)一的安全運維區(qū),將已建的工業(yè)防火墻、工控安全監(jiān)測審計、工控主機衛(wèi)士等系統(tǒng)進行統(tǒng)一管理。
在等保建設(shè)的第二階段,通過建立統(tǒng)一的大數(shù)據(jù)架構(gòu)的安全管理中心,實現(xiàn)企業(yè)級安全態(tài)勢感知,新建并整合已有的安全能力,最終實現(xiàn)“建立統(tǒng)一的支撐平臺進行集中的安全管理”要求和目標。
產(chǎn)品部署如下:
(1)在安全運維域或工控DMZ域部署運維審計和風險控制系統(tǒng)對系統(tǒng)運維進行全面的審核身份鑒別,對運維行為進行審計、記錄、存儲和查詢。
(2)在安全運維域或工控DMZ域部署綜合日志審計平臺對分散在各個設(shè)備上的數(shù)據(jù)進行收集匯總和集中分析。明御數(shù)據(jù)庫審計與風險控制系統(tǒng)對數(shù)據(jù)庫的操作行為審計、記錄、存儲。
(3)在安全運維域或工控DMZ域部署工業(yè)安全管控平臺實現(xiàn)對安全設(shè)備或安全組件的安全策略、惡意代碼、補丁升級等統(tǒng)一集中管理。
(4)在安全運維域或工控DMZ域部署工業(yè)安全態(tài)勢感知平臺對安全設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路、主機和服務(wù)器進行集中監(jiān)控,對各類安全事件進行識別、報警和分析,對攻擊行為追蹤溯源等。
4 結(jié)語
工業(yè)控制系統(tǒng)是工業(yè)企業(yè)的大腦,應(yīng)用在各行各業(yè),特別是國家的關(guān)鍵基礎(chǔ)設(shè)施上,工業(yè)控制系統(tǒng)一旦受到破壞,其影響和損失不僅僅限于直觀的經(jīng)濟損失,重則會直接影響普通民眾的日常生活甚至造成人員傷亡,更為嚴重的是會影響到國家的安全和社會的穩(wěn)定。工業(yè)控制系統(tǒng)關(guān)乎國家安全,加強工控網(wǎng)絡(luò)安全是中國工業(yè)化與時俱進發(fā)展的必然要求。
作者簡介
安成飛(1981-),男,遼寧人,工程師,現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司,主要從事工業(yè)控制系統(tǒng)及信息安全研究工作。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號