1 引言
新發布的等級保護基本要求(等級保護2.0)在原有基礎上進行了細化、分類和加強,將重要基礎設施、重要系統及“云、移、物、工控、大”納入等級保護管理;名稱由原來的《信息安全技術 信息系統安全等級保護基本要求》變更為《信息安全技術 網絡安全等級保護基本要求》。等級保護上升到了網絡空間安全的層面,意味著等級保護的對象全面升級:不再是傳統意義上的計算機信息系統,而是包含網絡安全基礎設施、云計算、移動互聯網、物聯網、工業控制系統、大數據安全等對象的網絡空間安全。在等級保護2.0時代,如何建立健全有效的工控安全體系是每一個工業企業、工控制造商、工控安全企業都應該思考的問題。
2 等級保護發展歷程
上世紀,西方發達國家制定了一系列強化網絡信息安全建設的政策和標準,其核心就是將不同重要程度的信息系統劃分為不同的安全等級,以便于對不同領域的信息安全工作進行指導。鑒于此,相關部門和專家結合我國實際情況進行多年的研究,逐步形成了我們國家的信息系統安全等級保護制度。
1994年,國務院頒布《中華人民共和國計算機信息系統安全保護條例》;2003 年,中央辦公廳、國務院辦公廳頒發《國家信息化領導小組關于加強信息安全保障工作的意見》,明確提出“實行信息安全等級保護”。
2004 年至2006 年期間,公安部聯合四部委開展信息系統等級保護基礎調查和等級保護試點工作。
2007 年6 月,《信息安全等級保護管理辦法》出臺;同年7月四部門聯合發布了《關于開展全國重要信息系統安全等級保護定級工作的通知》,并于7月20日召開了全國重要信息系統安全等級保護定級工作部署專題電視電話會議,標志著我國信息安全等級保護制度正式開始實施。
2010年4月,公安部出臺《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》,提出等級保護工作的階段性目標;12月,公安部和國務院國有資產監督管理委員會聯合出臺《關于進一步推進中央企業信息安全等級保護工作的通知》,標志著我國信息安全等級保護工作全面展開。
3 等級保護2.0分析
3.1 等級保護2.0與1.0對比
隨著云計算、移動互聯、物聯網、大數據等新技術的不斷發展和應用,等級保護2.0針對新技術以及國家關鍵基礎設施安全(工業控制系統)等提出了全面、深入、細化的準則。
在內容上,等級保護2.0調整分類為物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理;調整各個級別的安全要求為通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求;取消了原來安全控制點的S、A、G標注,增加一個附錄A描述等級保護對象的定級結果和安全要求之間的關系,說明如何根據定級結果選擇安全要求;調整了原來附錄A和附錄B的順序,增加了附錄C描述網絡安全等級保護總體框架,并提出關鍵技術使用要求。
除去對內容的整合修改外,也對標準名稱進行了修改,由《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》,使之與《中華人民共和國網絡安全法》中的相關法律條文保持一致。
3.2 等級保護 2.0工控安全擴展要求
工控安全是網絡空間領域的另一種安全,不同于傳統計算機與互聯網等虛擬空間防信息竊取的安全。工控安全是物理世界安全,是保護重要基礎設施所使用的工業控制系統(簡稱工控系統)免遭惡意操控,從而保障物理設施的正常運行,并防止發生生產停頓、經濟停擺、環境污染乃至社會動蕩、國家癱瘓等重大災難事故的安全。
等級保護2.0專門提出了工控安全擴展要求,如表1所示。
表1 工業控制系統安全擴展要求
4 等級保護2.0工控安全思考
由表1可以發現,等級保護2.0在工控安全方面突出強調了控制設備安全,需要采用技術和管理兩個手段確保工控系統安全穩定運行。
4.1 什么是工控系統
工業控制系統是指由計算機與工業過程控制部件組成的自動控制系統,它是指在沒有人直接參與的情況下,利用外加的設備或裝置,使機器、設備或者生產裝備等基礎設施按照預定的規律運行,以保證生產出合格的產品,同時還不會引發災難事故。按應用行業和特點分,主要包括數據采集與監控系統(SCADA)、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)等。這些工控系統在系統組成和網絡層次上是一樣的,都是由運行在工程師站、操作員站的SCADA軟件、控制器、現場儀表,以及上層監控網絡和現場低速總線網絡構成。只是由于它們的應用場合和應用側重點不同(如表2所示),導致在不同的行業會有不同的叫法。
表2 SCADA、DCS、PLC、RTU的區別
4.2 工控系統安全防護的本質要求
2010年,伊朗發生了震驚世人的“震網”(Stuxnet)事件,針對特定控制系統進行攻擊,破壞了大量鈾濃縮離心機和布什爾核電站發電機組,導致伊朗核計劃至少被延遲2年?!罢鹁W”雖然利用了RPC遠程執行漏洞(MS08-067)、快捷方式文件解析漏洞(MS10-046)、打印機后臺程序服務漏洞(MS10-061)、內核模式驅動程序漏洞(MS10-073)、任務計劃程序漏洞(MS10-092)等操作系統的漏洞,但這些漏洞只是被用于“震網”惡意代碼的傳播;而“震網”的核心代碼,它利用了控制系統自身的特征,結合伊朗鈾濃縮離心機和核電站的生產工藝、特征參數,通過向核心組件——PLC控制器發起攻擊,使PLC控制器一方面向離心機、核電設備發送惡意操控指令使之超負荷運行,直至損壞;另一方面向操作站發送“正?!钡纳a工況數據,使操作人員誤以為生產正常。
需要指出的是,“震網”所發出的惡意操控指令、虛假的“正常”生產工況數據,都是利用控制系統本身的“合法”協議、“合法”指令(如控制離心機的轉速減少或增加指令)、“合法”數據,并沒有利用其核心控制器的任何漏洞。之所以這些“合法”指令能夠導致伊朗核設施損毀,就在于這些“合法”指令與正常的生產工藝、操作流程不符合。由此可見,針對工控系統核心部件的攻擊才是真正的工控系統安全威脅,它能夠導致基礎設施災難性的物理損毀。
鑒于此,對工控系統網絡的安全防護和保護需要著眼以下幾個方面:
(1)需要覆蓋工控系統軟件、硬件和網絡等所有部件
要針對攻擊者可能利用的途徑、可能利用的手段以及可能引發的后果等多個方面,對工控系統所有的主機、主機應用軟件、進程,甚至是關鍵軟件代碼進行有效保護和防護;對工控網絡所有的協議、服務以及傳輸的數據、操作指令進行保護和防護;對DCS控制器、PLC控制模塊、RTU控制模塊等嵌入式代碼進行保護和防護。
(2)需要結合生產工藝與操作流程而開展
“震網”惡意代碼之所以能夠引發伊朗鈾濃縮離心機和核電站機組的物理損毀,其關鍵就在于通過操控工控系統,使鈾濃縮離心機和核電站機組的運行狀態偏離其設計的正常工況,使之超負荷、非正常工況運轉,直至最后物理損毀。因此,針對工控系統的網絡安全防護,必須對基礎設施、生產裝置運行的關鍵工藝參數、關鍵工況、關鍵控制方案等進行保護和防護。
(3)需要貫穿基礎設施及其工控系統的全生命周期
對工控系統的網絡安全防護和保護,僅僅靠安裝一些安全產品遠遠不夠,還必須覆蓋工控系統的設計、生產、調試、工程實施、維修、運行維護等全生命周期的所有環節,既要從技術上進行防護和保護,也需要從管理措施上阻斷惡意代碼的帶入。
4.3 工控系統安全防護建議
(1)重要關鍵基礎設施的工控系統逐漸實現自主可控
等級保護2.0工業控制系統安全擴展要求部分要求的控制設備安全在逐漸實現自主可控的情況下可實現工控系統核心部件——控制設備安全。這就要求:控制設備內置安全設計,實現通信與控制隔離,確保在遭到外部攻擊時不影響控制回路的正常運行;控制網絡通信采用加密和完整性保護手段;控制設備內核自主可控(硬件、嵌入式系統、控制算法、協議棧等);控制設備具備對組態和用戶數據等關鍵數據進行完整性和正確性檢測功能,故障時進行報警和記錄等。
(2)重要關鍵基礎設施必須部署工控網絡安全防護系統
重要關鍵基礎設施部署的工控網絡安全防護系統應具備以下特點:①針對內置預埋代碼,切斷危害,進行應急處置;在安全區域、系統出口,加強預警防范;②以不影響生產和生產安全為前提,注意數據保護和操作保護;③對系統重要性識別、系統資產識別、系統脆弱性識別、系統威脅識別及系統風險識別等維度進行安全防護;④采用軟件防護、邊界維護、PLC嵌入式代碼防護、控制異常監測與阻斷等措施進行立體防護;⑤對工控系統進行無擾動實時在線修復,并啟動安全應急系統,實現數字化、網絡化、智能化環境中工業企業的工控信息安全。
(3)針對行業建設工控系統網絡安全測試床
國家、企業(包括工業企業、工控安全企業、相關測評單位)應加快建設其所在領域行業的工控系統網絡測試床,應能實現以下目的:在上線部署前,測試控制設備其自身的安全性;對上線部署的工控網絡安全產品其功能、可用性、安全性、可靠性及對工控系統是否有影響等進行測試;結合實際應用場景的控制方案、業務邏輯等進行未知威脅的生成,建設未知威脅庫,增強工控系統及其安全產品的主動防御能力;對上線部署的工控網絡安全產品進行訓練,提升其自主學習能力等。
(4)建設工控網絡安全人才隊伍,完善或制定工控網絡安全產品標準體系
工控系統網絡安全攻防技術研究攻防兼顧,以攻促防。人才隊伍不僅要懂工業控制系統的網絡技術、體系架構、嵌入式軟件、私有協議等,還要懂使用工業控制系統的具體對象的工藝、設備技術,只有這樣才能做到定點攻擊或精確防護。構建一支工控網絡安全專業研究團隊,將有助于增強針對國家重要關鍵基礎設施的工業控制系統安全防護能力。
另外,不同于普通安全產品,工控系統安全需緊密聯系工控現場環境,性能穩定,滿足實時性與準確性等需求;可用性大于機密性、完整性。針對相關安全產品標準,需要完善或制定工控網絡安全產品標準體系。
5 結束語
在等級保護2.0時代,工控系統的網絡安全防護和保護回歸到了控制系統的本質。在傳統互聯網安全、計算機安全領域有效的手段和產品對工控系統不一定有效。對工控系統的網絡安全防護和保護,需同時從工控系統的軟件、硬件、網絡以及生產工藝、生產流程、生產裝置的角度進行,才能夠防護得住有組織的專業團隊的攻擊,也才能保護我們國家重要基礎設施的安全。
作者簡介
還約輝(1986-),男,江蘇鹽城人,工程師,學士,現任浙江國利網安科技有限公司副總經理,研究方向是工控網絡安全。
王 迎(1981-),男,浙江杭州人,工程師,學士,工控網絡安全,現任浙江國利網安科技有限公司總經理,研究方向是工控網絡安全。
薛金良(1987-),男,浙江紹興人,高級工程師,學士,現任浙江國利網安科技有限公司安全研究中心主任,研究方向是工控網絡安全。
摘自《工業控制系統信息安全??ǖ诹嫞?/span>