今日頭條
官方微信
官方抖音
資訊頻道摘要:工業(yè)控制系統(tǒng)被廣泛應用到我國諸多關鍵基礎設施行業(yè),工業(yè)控制系統(tǒng)的信息安全事關經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全,使用密碼技術保護工業(yè)控制系統(tǒng)安全已經(jīng)成為當今工業(yè)發(fā)展所需的必要保障。然而工業(yè)控制系統(tǒng)不同于傳統(tǒng)信息系統(tǒng),傳統(tǒng)的密碼技術與產(chǎn)品無法直接遷移于工業(yè)控制系統(tǒng),這對于工業(yè)控制系統(tǒng)及密碼產(chǎn)品的測評技術、測評方法提出了新的要求與挑戰(zhàn)。本文在初步介紹工業(yè)控制系統(tǒng)安全及密碼應用后,從密碼產(chǎn)品本身以及工業(yè)控制系統(tǒng)分層結(jié)構(gòu)及特性來簡析密碼測評過程、指標與評估辦法,并給出面向工業(yè)控制系統(tǒng)的密碼應用測評的初步思路。
關鍵詞:工業(yè)控制系統(tǒng)安全;密碼應用測評;密碼測評框架
Abstract: Industrial control systems (ICS) have been widely used in many key infrastructure industries in China. Nowadays, the information security of ICS is tightly related to economic development, social stability and national security. Application of cryptographic technology to protect industrial control systems has become a necessary part for industrial development.However, ICS is different from traditional information systems. Traditional cryptography solutions and security products cannot be directly transferred to ICS, which proposed new requirements for the evaluation methods of ICS and cryptographic products. After a preliminary introduction to ICS security and cryptographic application, this paper analyzes the cryptographic evaluation process, evaluation indicators and evaluation methods from the cryptographic products themselves and the hierarchical structure of industrial control systems. The extensive suggestions for the evaluation of cryptographic applications for ICS are given as well as our evaluation framework prototype.
Key words: Industrial control system security; Cryptographic application evaluation;Cryptographic evaluation framework
1 工業(yè)控制系統(tǒng)安全及密碼應用測評
工業(yè)控制系統(tǒng)(Industrial Control System,ICS,簡稱“工控系統(tǒng)”)是特用于支持工業(yè)生產(chǎn)過程中的各種調(diào)度與控制的系統(tǒng)。工控系統(tǒng)包含多種類型的系統(tǒng):數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA,Supervisory Control & Data Acquisition)、分布式控制系統(tǒng)(DCS,Distributed ControlSystem)、 可編程邏輯控制系統(tǒng)(PLC,Programmable LogicController)、遠程測控系統(tǒng)(RTU,RemoteTerminal Unit)等。這些系統(tǒng)分布在生產(chǎn)過程中的各個層級維度,經(jīng)由工業(yè)通信網(wǎng)絡協(xié)調(diào)完成生產(chǎn)任務。
我國超過八成的涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)作業(yè),包括石油石化、農(nóng)業(yè)、電力、核能等工業(yè)生產(chǎn)領域,以及航天、交通、通信、燃氣、水利等公共服務領域。這些重要行業(yè)和領域一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益。工控系統(tǒng)經(jīng)智能化和聯(lián)網(wǎng)化后,發(fā)展成為集控制、計算、聯(lián)網(wǎng)的三位一體的現(xiàn)代智能控制系統(tǒng)。在享受智能聯(lián)網(wǎng)所帶來生產(chǎn)紅利的同時,工業(yè)網(wǎng)絡打破了傳統(tǒng)工業(yè)封閉可信的制造環(huán)境,安全風險對工業(yè)生產(chǎn)的威脅日益加劇,新的未知風險隨之引入。以2010年的伊朗核電站“震網(wǎng)病毒”事件為轉(zhuǎn)折點,新增的工控漏洞數(shù)量明顯爆發(fā)。2011~2015年,CNVD收錄的新增工控系統(tǒng)漏洞數(shù)量,呈現(xiàn)出一個持續(xù)的穩(wěn)中有降的態(tài)勢。2015年底的烏克蘭大停電事件后,工控系統(tǒng)漏洞的發(fā)現(xiàn)再次進入高速增長期。
圖1 CNVD歷年收錄新增工控漏洞數(shù)量
圖2 工控系統(tǒng)安全事件所屬行業(yè)統(tǒng)計圖
工控系統(tǒng)安全事關是工業(yè)經(jīng)濟穩(wěn)定發(fā)展,使用現(xiàn)代密碼技術保護工控系統(tǒng)安全已經(jīng)是必然趨勢。《中華人民共和國網(wǎng)絡安全法》第三章第三十一條中明確而提出:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域等關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護”。同時近年來,國產(chǎn)加密算法大力推廣應用,研制以國產(chǎn)密碼為技術內(nèi)核的工控產(chǎn)品以及采用密碼技術保護重要工控系統(tǒng)安全已成為廣泛共識。
面向工業(yè)控制系統(tǒng)的密碼應用與測評是指,對采用密碼技術、產(chǎn)品和服務集成構(gòu)建的工控系統(tǒng)及產(chǎn)品,對其應用的有效性、正確性、合理性的評估。這一測評是合乎國家網(wǎng)絡安全“等保”條例規(guī)定、密碼相關法律法規(guī)等的明確要求。對規(guī)范同傳統(tǒng)信息系統(tǒng)網(wǎng)絡不同的工業(yè)控制系統(tǒng)中的密碼應用有重大意義,是保護工控系統(tǒng)安全與維護正常工業(yè)生產(chǎn)運轉(zhuǎn)的必由之路。
2 工控系統(tǒng)及產(chǎn)品密碼測評技術框架概述
重要工業(yè)控制系統(tǒng)及產(chǎn)品密碼測評需要在國家密碼測評標準化工作背景下展開工作。測評的對象是工控系統(tǒng)全局以及組成該系統(tǒng)的各個構(gòu)件或產(chǎn)品。不同于傳統(tǒng)信息安全測評的直接系統(tǒng)定級思路,產(chǎn)品密碼測評是先測試后評估評級的思路。定級與評級相融合是工業(yè)控制系統(tǒng)及產(chǎn)品密碼測評的一項重要特征。
工控系統(tǒng)及產(chǎn)品密碼測評體系,以測試和評估兩個角度可劃分為三部分:評估指標體系、評估/度量方法、測試技術體系。其中,評估指標體系負責表征工控系統(tǒng)密碼應用邊界、應用要求;評估/度量方法負責評價密碼技術對工控系統(tǒng)重要安全屬性保護能力,以及考慮密碼技術應用對目標系統(tǒng)關鍵運行屬性產(chǎn)生的影響;測試技術體系負責為各項評估指標提供具體測定方法或技術,以作技術指南與標準,以這三部分為驅(qū)動展開的密碼測評將覆蓋三個階段、兩個方面和三個層級。
三個階段、兩個方面和三個層級,貫穿整個測評流程。測評工作將以白、灰、黑三階段;密碼產(chǎn)品測評、密碼應用測評兩個工作方面;以及單元級、系統(tǒng)級、系統(tǒng)之系統(tǒng)級三個層次為核心展開,因此也可將其歸納為“3·2·3”來代稱。此外,“密碼載體”是指,實現(xiàn)和封裝相關密碼算法,并能提供加密、標識、認證、鑒別等密碼服務的對象(硬、軟、固、混等)。
圖3 密碼全生命周期
白、灰、黑盒三階段表示測評任務將以白盒、灰盒和黑盒三步進行。這是由工控系統(tǒng)的特殊層次化結(jié)構(gòu)特征所影響的。密碼技術的應用涉及在不同系統(tǒng)層次的不同封裝程度、系統(tǒng)設計模式間的復雜組合以及多平臺交互等。因此,具體的密碼測評需要針對密碼算法在特定硬、軟、固件或混合對象中的設計和使用情景。根據(jù)密碼測評所針對的具體實施角色,如PLC生產(chǎn)商、加密安全芯片廠商、安全測評機構(gòu)、系統(tǒng)設計單位等,設計實施密碼測評對各類角色的特定的實施方式。以個別客制化同類普適化為目標制定不同的測評任務,并體現(xiàn)白、灰、黑的三級結(jié)構(gòu)。
密碼產(chǎn)品測評、密碼應用測評兩個工作方面要求從密碼本身與系統(tǒng)這兩側(cè)分開考慮測評。密碼技術在從傳統(tǒng)的信息系統(tǒng)轉(zhuǎn)移到工控系統(tǒng)中時,既要考慮密碼產(chǎn)品的正確性、有效性、密碼本身的復雜性、能提供的安全保障程度以及技術遷移過來后的應用模式,還要考慮密碼技術應用部署在工控系統(tǒng)后,對目標工控系統(tǒng)的正常運行所帶來的影響,如可用性、實時性、時序性和可靠性等指標。因為工業(yè)的特殊語境下,系統(tǒng)不可中斷不可掃描,以正常運作為基本原則,因此對目標工控系統(tǒng)的影響的度量可以提前規(guī)避適應性低下的產(chǎn)品密碼的部署,或是幫助搭建仿真測試平臺來模擬綜合發(fā)現(xiàn)潛在的對系統(tǒng)側(cè)的影響。
單元級、系統(tǒng)級、系統(tǒng)之系統(tǒng)級三個層次對標《信息物理系統(tǒng)白皮書》(2017)中對CPS(Cyber-Physical Systems)劃分的三個層級。單元級是具有不可分割性的工控系統(tǒng)中的較小單元,其可以是傳感器、執(zhí)行器這類密碼邊界單一的設備。系統(tǒng)級可以是多個單元級設備之間通過工業(yè)網(wǎng)絡與工業(yè)控制平臺或集中控制設備組成,可以是如PLC等這類多組件復合系統(tǒng)。系統(tǒng)之系統(tǒng)級是多個系統(tǒng)級的有機組合,在全局范圍內(nèi)實現(xiàn)信息全面感知、深度分析、科學決策和精準執(zhí)行。工控系統(tǒng)中密碼應用存在特定范圍或邊界,按邊緣傳感器、PLC、SCADA等可劃分為單元級、系統(tǒng)級、系統(tǒng)之系統(tǒng)級三個層次。安全模塊除本身的實現(xiàn)方式外,還需整合成密碼系統(tǒng)或形成相關密碼產(chǎn)品,同時考慮逐層封裝的關系。因此,在考慮密碼產(chǎn)品側(cè)的測評方案時,有必要采用逐級擴展和適應的測評方式,將密碼產(chǎn)品側(cè)的測評劃分為單元、系統(tǒng)、系統(tǒng)之系統(tǒng)三個最初層級,并考慮國家已有的面向信息系統(tǒng)的密碼基礎應用與測評體系(GM/T0028/0039/0054-2015、GM/T0008-2012等)在密碼側(cè)中發(fā)揮的基本作用。
3 工控系統(tǒng)及產(chǎn)品密碼測評過程
工控系統(tǒng)及產(chǎn)品密碼測評技術方案將由白盒、灰盒和黑盒三個階段組成,并分別從密碼產(chǎn)品本身測評方面(簡稱“密碼側(cè)”)與密碼應用對象的工控系統(tǒng)方面(簡稱“系統(tǒng)側(cè)”)執(zhí)行兩類測試。如圖4所示的技術方案圖,三個階段測試的共同之處是:將密碼基礎應用與測評體系中的指標體系、測試技術、度量方法與等級保護體系下的相應要素集結(jié)合,共同形成針對工控系統(tǒng)密碼的評估指標體系、評估/度量方法和測試技術體系。密碼側(cè)測評與系統(tǒng)側(cè)測評不同時進行,各階段測試的對象組成對應了系統(tǒng)的三個層級。
圖4 白盒、灰盒、黑盒階段測試技術方案
“白盒”階段的執(zhí)行角色主要為單元級密碼載體制造商、安全測評機構(gòu)等,主要面向密碼載體及其提供的相應的密碼服務。這一階段流程分為密碼載體或密碼服務的設計/修改、實現(xiàn)、密碼側(cè)測評、環(huán)境運行和系統(tǒng)側(cè)測評。制造商根據(jù)不同工業(yè)生產(chǎn)需求設計(修改)相應的密碼載體和服務,再將密碼算法或服務在邊界明確的密碼載體中實現(xiàn),實現(xiàn)完成后進行相應的密碼側(cè)的基礎測試評估;然后在仿真生產(chǎn)環(huán)境中運行之前實現(xiàn)設計的密碼載體或服務,根據(jù)工控系統(tǒng)相應層級對載體實時性、可靠性等關鍵屬性的量化指標要求,進行系統(tǒng)側(cè)測試評估與功能需求上的驗證。
“灰盒”階段的執(zhí)行角色主要為系統(tǒng)級密碼載體制造商、安全測評機構(gòu)等,主要面向多個單元級密碼載體組合及其提供的不同密碼服務。這一階段流程分為若干單元級密碼載體和密碼服務的組合設計、實現(xiàn)、密碼側(cè)測評、環(huán)境運行和系統(tǒng)側(cè)測評。首先,制造商或測評機構(gòu)設計單元級密碼載體的組合模式并提供相關密碼服務;其次是實現(xiàn)組合形成的系統(tǒng)級密碼載體及提供的密碼服務,并利用單元級制造商封裝傳遞的測評結(jié)果,重點針對密碼服務執(zhí)行密碼側(cè)評估;然后在環(huán)境中運行系統(tǒng)級密碼載體和服務,根據(jù)工控系統(tǒng)相應層級對系統(tǒng)級載體實時性、可靠性等關鍵屬性的量化指標要求,進行系統(tǒng)側(cè)測試評估。
“黑盒”階段的執(zhí)行角色主要為系統(tǒng)級密碼載體集成制造商、安全測評機構(gòu)等,主要面向多個系統(tǒng)級密碼載體集成及其提供的跨系統(tǒng)綜合性密碼服務。這一階段流程分為集成式系統(tǒng)級密碼載體和密碼服務的設計集成、實現(xiàn)、密碼側(cè)測評、環(huán)境運行和系統(tǒng)側(cè)測評。
4 工控系統(tǒng)及產(chǎn)品密碼測評指標與評估辦法
面向工控系統(tǒng)及產(chǎn)品密碼的評估指標體系可按密碼側(cè)的指標類與系統(tǒng)測的指標類劃分,體現(xiàn)密碼產(chǎn)品測評、密碼應用測評兩個工作方面。因此,工控系統(tǒng)密碼評估指標體系的構(gòu)建可分為兩部分工作:一是建立工控系統(tǒng)密碼應用安全分級體系與密碼載體安全分級體系的映射,等同于是將密碼載體提供的各類密碼服務(加密、認證、標識、鑒別等),通過關鍵安全屬性,最終與工控安全應用(系統(tǒng)側(cè)指標)建立聯(lián)系,從而打通工控密碼應用與密碼產(chǎn)品測評,尋找密碼側(cè)與系統(tǒng)側(cè)兩側(cè)間的語義關聯(lián)通量,實現(xiàn)兩個標準體系的貫通。二是在密碼側(cè)的指標類及其指向的關鍵安全屬性集之間,加入系統(tǒng)側(cè)的指標類作為約束,以響應工控環(huán)境同傳統(tǒng)系統(tǒng)網(wǎng)絡的不同,體現(xiàn)在工控系統(tǒng)是典型的時敏系統(tǒng),對業(yè)務連續(xù)性、系統(tǒng)可靠性、功能安全等有嚴格要求,使得適配性問題成為傳統(tǒng)信息系統(tǒng)安全再遷移到工控系統(tǒng)上可能會出現(xiàn)的阻礙,因此出于對工控系統(tǒng)本身的固有特征屬性約束以及在密碼技術應用的條件下受到的影響程度的考慮,工控系統(tǒng)評測指標體系中應引入系統(tǒng)側(cè)的指標類,并提出可量化的指標體系。
在提出具體的評估辦法之前,需要考慮工控密碼應用測評至少涉及的以下兩個重要問題:一是一般密碼安全到工控密碼安全,技術上如何跨越;二是如何處理工控系統(tǒng)在類型、行業(yè)上的相異性問題。針對第一個問題,需使用定制的方法來滿足傳統(tǒng)與工控的差異,工控系統(tǒng)密碼應用測評實施的思路,是要將一般密碼安全需求轉(zhuǎn)變?yōu)楣た孛艽a安全需求,一般密碼安全測評指標項集,轉(zhuǎn)變?yōu)楣た孛艽a安全測評指標項集,一般密碼安全測評技術轉(zhuǎn)變?yōu)楣た孛艽a安全測評技術。目前可見的工控系統(tǒng)密碼應用測評技術有:固件虛擬化密碼技術實現(xiàn)、自動化PLC通信模擬、專有協(xié)議嗅探、認證側(cè)信道攻擊檢測等。針對第二個問題,應用“匹配”的思想來處理工控系統(tǒng)在類型、行業(yè)上的相異性。確定通用工控系統(tǒng)架構(gòu),確定共性應用與交互模式,由工控系統(tǒng)層次架構(gòu)匹配方法和操作規(guī)程。
工控系統(tǒng)和相關產(chǎn)品的密碼測評可分為產(chǎn)品設計制造階段測評和已部署的工控系統(tǒng)測評兩部分。由于密碼測評工作在工控環(huán)境下的特殊性和工控系統(tǒng)本身的層次性與復雜性(工控系統(tǒng)是信息物理系統(tǒng)的一項典型案例,在三個層級中屬于系統(tǒng)之系統(tǒng)級),密碼基礎測評主要面向單元和系統(tǒng)級,而密碼載體的行為表現(xiàn)將被逐級封裝。因此針對工控系統(tǒng)及產(chǎn)品的密碼測評需要分階段進行,并且單元級的測試指標和結(jié)果需要向系統(tǒng)級封裝傳遞,為更高一級的測評工作提供依據(jù)。提出的評估/度量方法包括以下五項類別:
(1)指標等級映射;(2)測評逐級封裝、傳遞、應用;(3)定性定量結(jié)合;(4)結(jié)構(gòu)化指標及其量化;(5)多等級集成評估。對應于上文提出的白、灰、黑盒三階段以及單元級、系統(tǒng)級、系統(tǒng)之系統(tǒng)級三種層級。
作者簡介
蔡 挺(1998-),重慶大學大數(shù)據(jù)與軟件學院軟件工程專業(yè),本科。于2017年10月加入信息物理社會可信服務計算教育部重點實驗室進行工業(yè)控制系統(tǒng)安全方向的研究學習。
夏曉峰(1980-),四川夾江人,重慶大學副教授、中國自動化學會工業(yè)控制系統(tǒng)信息安全專委會委員、工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟理事等。發(fā)表SCI/EI等學術論文20余篇,出版科學出版社編著1部;獲得2016年中共中央辦公廳“黨政密碼科技進步獎”;主持國家重點研發(fā)計劃網(wǎng)絡空間安全重點專項子課題、若干省部級科研項目及國家電網(wǎng)科研項目。
向 宏(1964-),四川成都人,重慶大學教授、信息物理社會可信服務計算教育部重點實驗室主任,擔任國家密碼行業(yè)標準化技術委員會委員、國家商用密碼總體專家組成員等。近年來發(fā)表SCI/EI等學術論文40余篇,出版學術專著5部;主持國家863計劃項目、國家重點研發(fā)計劃課題、國家自然科學基金等項目50余項。
參考文獻:
[1] 工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟(NISIA). 中國工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書(2018-2019) [Z]. 2019, 6.
[2] 工信部. 信息物理系統(tǒng)白皮書[Z]. 2017, 3.
[3] 夏曉峰, 向宏, 等. 工業(yè)控制系統(tǒng)密碼應用研究課題指南[R]. 北京:國家密碼管理局,2016.
[4] Caitlin Durkovich. Critical manufacturing sector cybersecurity framework implementation guidance[R], USA: DHS, 2015.
[5] Keith Stouffer, Timothy Zimmerman, CheeYee Tang, 等. NISTIR 8183: Cybersecurity Framework Manufacturing Profile[R], USA: NIST, 2017.
[6] NIST FIPS PUB 140-2-2001, Security Requirements for Cryptographic Modules[S].
[7] Security for industrial automation and control systems- implementation guidance for an IACS security management system. ISA/IEC 62443-2-2, 2013.
[8] Technology Assessment: Cybersecurity for Critical Infrastructure Protection, GAO-04-321, 2004.
[9] Protecting Industrial Control Systems[R]: European Network and Information Security Agency, ENISA, 2011.
[10] Keith Stouffer, Jim McCarthy. Capabilities assessment for securing manufacturing industrial control systems[R], USA: NIST, 2017.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號