国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

    工控信息安全方面國家政策

    近年來工控信息安全的重要性凸顯，在國家層面也是相應(yīng)出臺了許多針對性的政策。

    工業(yè)控制系統(tǒng)的信息安全要求最初主要來自于工信部協(xié)[2011]451號，即關(guān)于加強(qiáng)工業(yè)與控制系統(tǒng)信息安全管理的通知。

    這個通知要求充分認(rèn)識工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性，切實加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理，以保障工業(yè)生產(chǎn)運(yùn)行安全、國家經(jīng)濟(jì)安全和人民生命財產(chǎn)安全。

    2012年，發(fā)改委針對工業(yè)控制等領(lǐng)域面臨的信息安全實際需要，組織國家信息安全專項。專項重點支持工業(yè)控制信息安全領(lǐng)域產(chǎn)品的產(chǎn)業(yè)化，主要面向以下三類工業(yè)控制系統(tǒng)安全產(chǎn)品：

    （1）適用于工業(yè)控制系統(tǒng)的防火墻：具有支持多路由協(xié)議、 IP/MAC地址綁定、工業(yè)控制協(xié)議過濾、基于白名單策略的訪問控制等功能，具有高可靠性，能夠適用于不同工業(yè)控制網(wǎng)絡(luò)應(yīng)用場景。公安部第三研究所信息安全產(chǎn)品檢測中心就承擔(dān)了工控防火墻產(chǎn)品的測試任務(wù)，在測試過程中與生產(chǎn)廠商、業(yè)內(nèi)專業(yè)人士交流，不僅圓滿完成了測試任務(wù)，還取得了一定的經(jīng)驗積累，后續(xù)也在工控信息安全產(chǎn)品的行業(yè)標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)等方面的制定工作中取得了突破。

    （2）面向工業(yè)控制系統(tǒng)的異常行為審計產(chǎn)品：具有惡意未知行為和異常行為的發(fā)現(xiàn)與檢測，以及內(nèi)容監(jiān)測、事件與行為的審計等功能，能夠適用于不同的工業(yè)控制網(wǎng)絡(luò)應(yīng)用場景。

    （3）工業(yè)控制網(wǎng)絡(luò)安全管控平臺：支持工業(yè)控制網(wǎng)絡(luò)流量收集識別、基于白名單的終端應(yīng)用控制、實時工業(yè)控制協(xié)議與內(nèi)容識別、漏洞發(fā)現(xiàn)與威脅識別、可視化運(yùn)維、安全事件跟蹤分析預(yù)警等。

    專項還重點支持面向工業(yè)控制系統(tǒng)的信息安全專業(yè)化服務(wù)，包括應(yīng)急響應(yīng)、系統(tǒng)安全測試、隱患分析與風(fēng)險評估、在線威脅檢測與風(fēng)險預(yù)警、可信安全運(yùn)維與防護(hù)，以及基于可用性的最小威脅容忍建模和異常行為仿真等。

    2013年，發(fā)改委針對工業(yè)控制等領(lǐng)域面臨的信息安全實際需要，繼續(xù)組織國家信息安全專項。

    面向工業(yè)控制信息安全領(lǐng)域的安全產(chǎn)品主要包括以下兩類：一是面向現(xiàn)場設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)產(chǎn)品。支持IPv4/IPv6及工業(yè)以太網(wǎng)，適用于集散控制系統(tǒng)（DCS）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、現(xiàn)場總線等現(xiàn)場環(huán)境，具備5種以上工業(yè)控制專有協(xié)議以及多種狀態(tài)或指令主流格式數(shù)據(jù)的檢查、過濾、交換、阻斷等功能，數(shù)據(jù)傳輸可靠性達(dá)到100%，可保護(hù)節(jié)點數(shù)不少于500點，設(shè)備吞吐量達(dá)到線速運(yùn)行水平，延時小于100ms。

    一是面向集散控制系統(tǒng)（DCS）的異常監(jiān)測產(chǎn)品。適用于電廠、石油、化工、供熱、供水等工藝流程，具有對工業(yè)控制系統(tǒng)的DCS工程師站組態(tài)變更、DCS操作站數(shù)據(jù)與操控指令變更，以及各種主流現(xiàn)場總線訪問、負(fù)載變更、通信行為、異常流量等安全監(jiān)測能力，具備過程狀態(tài)參數(shù)、控制信號的閾值檢查與報警功能。

    專項還重點支持面向工業(yè)控制信息安全領(lǐng)域的可控試點示范，在電力電網(wǎng)、石油石化、先進(jìn)制造、軌道交通領(lǐng)域，支持大型重點骨干企業(yè)，按照信息安全等級保護(hù)相關(guān)要求，建設(shè)完善安全可控的工業(yè)控制系統(tǒng)。建立以杜絕重大災(zāi)難性事件為底線的工業(yè)控制系統(tǒng)綜合安全防護(hù)體系，建立完善工業(yè)控制信息安全技術(shù)與管理的機(jī)制和規(guī)范。

   工業(yè)控制系統(tǒng)

    說到工業(yè)控制系統(tǒng)，美國NIST給出了一個比較通用的定義，說明工控系統(tǒng)是由各種自動化控制組件以及對實時數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。

    其核心組件主要包括： 數(shù)據(jù)采集與監(jiān)視控制系統(tǒng) 、過程控制系統(tǒng)、 分布式控制系統(tǒng)、 可編程邏輯控制器、 遠(yuǎn)程終端、 智能電子設(shè)備以及確保各組件通信的接口技術(shù) 。

    其實這是比較狹義的工控系統(tǒng)，隨著工業(yè)化和信息化融合的深入，工控系統(tǒng)與業(yè)務(wù)系統(tǒng)已經(jīng)對接，其層次和內(nèi)涵也得到了極大地豐富。

上圖所示就是廣義的工業(yè)控制系統(tǒng)所需要涵蓋的范圍。

    這是AMR組織提出的一個通用的制造企業(yè)信息傳遞的金字塔，將企業(yè)的信息系統(tǒng)分成三層，依次為業(yè)務(wù)計劃層、制造執(zhí)行層和過程控制層，是決策細(xì)化下達(dá)和執(zhí)行結(jié)果匯總上傳的信息溝通模式。

    從網(wǎng)絡(luò)構(gòu)成來說，業(yè)務(wù)計劃層是企業(yè)的辦公網(wǎng)，主要涉及企業(yè)級應(yīng)用，如ERP、OA等；制造執(zhí)行層是監(jiān)控網(wǎng)絡(luò)，主要部署SCADA服務(wù)器、數(shù)據(jù)庫、生產(chǎn)調(diào)度系統(tǒng)等；過程控制系統(tǒng)部署的是比較典型的控制網(wǎng)絡(luò)，但也可以細(xì)分為工業(yè)以太網(wǎng)和工業(yè)總線網(wǎng)，其實也是最為復(fù)雜的網(wǎng)絡(luò)。

    其實真正意義上的工控網(wǎng)絡(luò)可以分為四層，對應(yīng)四個級別：現(xiàn)場控制級、過程控制級、過程管理級和經(jīng)營管理級。與這四層結(jié)構(gòu)相對應(yīng)的四層局部網(wǎng)絡(luò)分別是現(xiàn)場網(wǎng)絡(luò) (Field Network，F(xiàn)net)、控制網(wǎng)絡(luò) (Control Network，Cnet)、監(jiān)控網(wǎng)絡(luò) (SupervisionNetwork，Snet) 和管理網(wǎng)絡(luò) (Management Network，Mnet)。

    經(jīng)營管理級強(qiáng)調(diào)計劃的執(zhí)行和控制，通過分解和細(xì)化計劃指令將業(yè)務(wù)層與生產(chǎn)現(xiàn)場的控制層有機(jī)集成在一起，同時考慮生產(chǎn)方案的有序和優(yōu)化配置、設(shè)備能力的合理利用、物料的優(yōu)化配比等。其信息通訊依托于辦公網(wǎng)，通過常規(guī)的信息安全保證措施（如防火墻等）與互聯(lián)網(wǎng)相連。

    過程管理級主要是監(jiān)測控制運(yùn)行過程，一方面根據(jù)過程狀態(tài)實時修改和調(diào)整控制指令，另一方面及時有效監(jiān)測異常狀況，為生產(chǎn)管理的指令下達(dá)提供依據(jù)。

    過程控制級通過預(yù)先設(shè)定的控制策略，根據(jù)上層的指令達(dá)到或者維持生產(chǎn)要求。

    現(xiàn)場儀表層感知實際的物理過程，采集過程中的所有信息，作為上層過程控制層的輸入以實現(xiàn)閉環(huán)控制過程。

   工控信息安全面臨的威脅

    根據(jù)目前工控信息安全面臨的威脅以及可以采取的防護(hù)措施來看，其實和工控安全密切相關(guān)的是管理網(wǎng)絡(luò)、監(jiān)控網(wǎng)絡(luò)和控制網(wǎng)絡(luò)。因為監(jiān)控網(wǎng)是新興的MES的網(wǎng)絡(luò)，一端面向傳統(tǒng)的以互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的辦公網(wǎng)，另一端面向原先物理隔離的控制網(wǎng)，具有極大的安全隱患，也是需要重點防護(hù)的網(wǎng)絡(luò)。而設(shè)備網(wǎng)的通信相對較為簡單，使用的也大多是串口通信等技術(shù)，更適合從管理角度進(jìn)行防護(hù)。因此接下來我想從管理網(wǎng)、監(jiān)控網(wǎng)和控制網(wǎng)這三個網(wǎng)絡(luò)層次對工控信息安全進(jìn)行探討。

    企業(yè)應(yīng)用ERP、CRM（客戶關(guān)系管理，銷售、營銷和服務(wù)）、OA等。 一方面，企業(yè)辦公網(wǎng)可能存在與外部互聯(lián)網(wǎng)的通信，就可能存在來自互聯(lián)網(wǎng)的安全威脅，如不安全的遠(yuǎn)程支持，這時通常需要具備較為完備的安全邊界訪問措施，如防火墻、嚴(yán)格的身份認(rèn)證及準(zhǔn)入控制機(jī)制等進(jìn)行防護(hù)； 另一方面，企業(yè)內(nèi)部的系統(tǒng)或人員需要訪問和處理工控系統(tǒng)的監(jiān)控及采集數(shù)據(jù)，使得辦公網(wǎng)與監(jiān)控網(wǎng)之間形成通道，但由于實時性要求和工控協(xié)議私有性的局限，未能實現(xiàn)基本的訪問控制及認(rèn)證機(jī)制，即使在兩個網(wǎng)絡(luò)之間存在物理隔離設(shè)備（如防火墻、網(wǎng)閘等），也為了可用性和實時性等原因或主動或無意的配置不當(dāng)，存在被輕易穿透的風(fēng)險。

    關(guān)鍵工業(yè)控制組件：SCADA服務(wù)器、歷史數(shù)據(jù)庫、實時數(shù)據(jù)庫、人機(jī)界面等。在該網(wǎng)絡(luò)中，系統(tǒng)操作人員通過HMI界面、SCADA系統(tǒng)及其他遠(yuǎn)程控制設(shè)備，對現(xiàn)場控制網(wǎng)絡(luò)中的遠(yuǎn)程終端單元、控制和采集設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控、評估和分析，并根據(jù)運(yùn)行狀況對PLC和RTU進(jìn)行調(diào)整和控制。

    其威脅主要來自于以下幾點：

    第一，不安全的移動維護(hù)設(shè)備（如筆記本、U盤等）的未授權(quán)接入，造成木馬、病毒等惡意代碼在網(wǎng)絡(luò)中傳播；

    第二，監(jiān)控網(wǎng)與RTU/PLC之間不安全的無線通信，極易受到攻擊；

    第三，因合作的需要，工業(yè)控制網(wǎng)絡(luò)可能存在外聯(lián)的第三方合作網(wǎng)絡(luò)，并在網(wǎng)絡(luò)之間存在重要數(shù)據(jù)信息交換，雖然存在一定的隔離及訪問控制策略，但日新月異的新型攻擊技術(shù)很容易造成這些防護(hù)措施的失效；

    第四，控制協(xié)議本身考慮最多的是實時性和可用性，基本未涉及安全性考量，存在許多漏洞，極易受到攻擊。

    控制網(wǎng)一般可以分為兩層：工程師站/操作師站，以及控制器之間通過工業(yè)以太網(wǎng)進(jìn)行信息交互；控制器和傳感器、執(zhí)行器之間利用總線技術(shù)相連，PLC或RTU可以自行處理一些簡單的程序，實現(xiàn)了信息處理的現(xiàn)場化。

    控制網(wǎng)的信息安全威脅主要來自以下幾點：

    第一，控制網(wǎng)絡(luò)通常處于作業(yè)現(xiàn)場，環(huán)境相對比較復(fù)雜，采用各種接入技術(shù)作為現(xiàn)有網(wǎng)絡(luò)的延伸，如無線、微波等，引入一定的安全風(fēng)險；

    第二，PLC等設(shè)備在現(xiàn)場維護(hù)時，也可能因不安全的串口連接或缺乏有效的配置，造成其運(yùn)行參數(shù)被篡改，從而引起整個工控系統(tǒng)的運(yùn)行危害（震網(wǎng)病毒）；

    第三，由于考慮到工控軟件與操作系統(tǒng)補(bǔ)丁兼容性的問題，系統(tǒng)開車后一般不會對Windows平臺打補(bǔ)丁，導(dǎo)致系統(tǒng)帶著風(fēng)險運(yùn)行；工程師站、操作師站等缺少防病毒軟件，或者病毒庫升級遲緩，而頻繁的數(shù)據(jù)交互（尤其是U盤的方式）極易帶來惡意代碼從而威脅整個工控網(wǎng)絡(luò)安全；

    第四，除了病毒等惡意代碼以外，控制指令對整個工控系統(tǒng)的影響可能更大，尤其是非授權(quán)指令和超過闕值指令的下達(dá)，極易引起整個生產(chǎn)過程的崩潰。

    “三層網(wǎng)絡(luò)，二級防護(hù)”

    基于以上的工控三層網(wǎng)絡(luò)所面臨的信息安全風(fēng)險，業(yè)內(nèi)已經(jīng)提出了“三層網(wǎng)絡(luò)，二級防護(hù)”的信息安全防御體系。

    管理層與MES層之間的安全防護(hù)主要是為了避免管理信息系統(tǒng)域和MES（制造執(zhí)行）域之間數(shù)據(jù)交換面臨的各種威脅，具體表現(xiàn)為：避免非授權(quán)訪問和濫用（如業(yè)務(wù)操作人員越權(quán)操作其他業(yè)務(wù)系統(tǒng)）；對操作失誤、篡改數(shù)據(jù)，抵賴行為的可控制、可追溯；避免終端違規(guī)操作；及時發(fā)現(xiàn)非法入侵行為；過濾惡意代碼（病毒蠕蟲）。

    也就是說，管理層與MES層之間的安全防護(hù)，保證只有可信、合規(guī)的終端和服務(wù)器才可以在兩個區(qū)域之間進(jìn)行安全的數(shù)據(jù)交換，同時，數(shù)據(jù)交換整個過程接受監(jiān)控、審計。

    通過在MES層和生產(chǎn)控制層部署工業(yè)防火墻，可以阻止來自企業(yè)信息層的病毒傳播；阻擋來自企業(yè)信息層的非法入侵；管控OPC客戶端與服務(wù)器的通訊，實現(xiàn)以下目標(biāo)：

    ? 區(qū)域隔離及通信管控：通過工業(yè)防火墻過濾MES層與生產(chǎn)控制層兩個區(qū)域網(wǎng)絡(luò)間的通信，那么網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi)，而不會影響到其它部分。

    ? 實時報警：任何非法的訪問，通過管理平臺產(chǎn)生實時報警信息，從而使故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。

    除了根據(jù)三層網(wǎng)絡(luò)、二級防護(hù)的總體架構(gòu)以外，由于工控現(xiàn)場環(huán)境的復(fù)雜多變，為了防止不同控制區(qū)域之間的互相影響，有必要分區(qū)域進(jìn)行防護(hù)，根據(jù)工藝流程或者物理位置劃分合理的防護(hù)區(qū)域，在區(qū)域之間部署合適的防護(hù)裝置并設(shè)置相關(guān)防護(hù)策略，保證即使發(fā)生信息安全事故，也將影響控制在本區(qū)域內(nèi)。

    工控信息安全產(chǎn)品的研制、檢測和標(biāo)準(zhǔn)化

    工控網(wǎng)絡(luò)分層防護(hù)、分區(qū)域防護(hù)需要采取相應(yīng)的防護(hù)措施來實現(xiàn)，主要可以分成以下三個方面： 工控設(shè)備和組件方面，主要關(guān)注其本身的信息安全，在設(shè)計、研發(fā)階段就要考慮如防病毒、抗攻擊、通信安全等內(nèi)容；由于工控設(shè)備的更新頻率較低，現(xiàn)階段采取的最多的是專用的信息安全防護(hù)產(chǎn)品，如工控防火墻、工控主機(jī)防護(hù)產(chǎn)品等； 產(chǎn)品只能解決其接入的有限區(qū)域的信息安全，無法從系統(tǒng)層面考慮整體的安全性，因此需要引入系統(tǒng)信息安全防護(hù)，目前有關(guān)部門聯(lián)合檢測機(jī)構(gòu)已經(jīng)在制定工控等級保護(hù)的相關(guān)標(biāo)準(zhǔn)，借鑒傳統(tǒng)的計算機(jī)等級保護(hù)要求來保護(hù)和測評工控系統(tǒng)。

    我們中心的主要工作就是信息安全產(chǎn)品的檢測和系統(tǒng)測評。

    目前專用信息安全產(chǎn)品均需要申請銷售許可證，一般的流程是申請測試——測試通過——申領(lǐng)銷售許可。

    由于現(xiàn)在工控信息安全產(chǎn)品的標(biāo)準(zhǔn)尚在制定過程中，沒有可以直接用于檢測的標(biāo)準(zhǔn)作為依據(jù)，所以現(xiàn)在的測試依據(jù)現(xiàn)有的類似產(chǎn)品標(biāo)準(zhǔn)（如工控防火墻就是參照傳統(tǒng)防火墻的標(biāo)準(zhǔn)），抽取適用性的條款，再補(bǔ)充測試適用于工控環(huán)境的其他要求，特別是協(xié)議支持方面的內(nèi)容。

    檢測通過后再向公安部申請銷售許可證。

    以工控防火墻為例，大部分傳統(tǒng)防火墻的要求均適用，但NAT、路由不做要求。

    工控環(huán)境的要求主要包括：

    （1）支持基于白名單策略的訪問控制，包括網(wǎng)絡(luò)層和應(yīng)用層；

    （2）工業(yè)控制協(xié)議過濾，應(yīng)具備深度包檢測功能，支持主流的工控協(xié)議的格式檢查機(jī)制、功能碼與寄存器檢查機(jī)制

    （3）支持動態(tài)開放OPC協(xié)議端口；

    （4）防火墻應(yīng)支持多種工作模式，保證防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護(hù)系統(tǒng)的最小影響。例如：學(xué)習(xí)模式，防火墻記錄運(yùn)行過程中經(jīng)過防火墻的所有策略、資產(chǎn)等信息，形成白名單策略集；驗證模式或測試模式，該模式下防火墻對白名單策略外的行為做告警，但不攔截；工作模式，防火墻的正常工作模式，嚴(yán)格按照防護(hù)策略進(jìn)行過濾等動作保護(hù)。

    防火墻應(yīng)具有高可靠性，包括故障自恢復(fù)、在一定負(fù)荷下72小時正常運(yùn)行、無風(fēng)扇、支持導(dǎo)軌式或機(jī)架式安裝等。

    上圖是工控防火墻的功能測試拓?fù)鋱D，將待測的工控防火墻串聯(lián)部署在內(nèi)外網(wǎng)之間，通過內(nèi)外網(wǎng)的工控協(xié)議模擬器建立通信，來測試在防火墻上配置的策略。

    由于工控主機(jī)一般不部署殺毒軟件，即使部署了也不能保證及時更新病毒庫，也沒有相應(yīng)的鑒權(quán)鑒別的訪問控制措施。主機(jī)防護(hù)產(chǎn)品采取鎧甲式外掛，實現(xiàn)人員審核與訪問控制、操作行為與審計、數(shù)據(jù)安全交換與殺毒功能。其特色就是在不對工控主機(jī)采取任何軟硬件的加載的前提下提高安全性。

    工控系統(tǒng)測評方面，主要是借鑒計算機(jī)等級保護(hù)制度，從技術(shù)和管理兩個方面對工控系統(tǒng)運(yùn)行的環(huán)境和使用的人員進(jìn)行測評，保證其在測試點的安全合規(guī)性，已經(jīng)測試點之間的動態(tài)安全性。目前相關(guān)的技術(shù)要求和測評方法正在制定過程中。

    除了產(chǎn)品和系統(tǒng)檢測以外，我們中心還十分關(guān)注相關(guān)標(biāo)準(zhǔn)的制定。下面介紹一下工控信息安全領(lǐng)域的標(biāo)準(zhǔn)化工作情況。

    現(xiàn)階段還未發(fā)布工控信息安全的相關(guān)標(biāo)準(zhǔn)，但是各個層次也正在制定之中。

    國際標(biāo)準(zhǔn)層面，美國的ISA已經(jīng)制定了相關(guān)的技術(shù)標(biāo)準(zhǔn)，IEC等同采用了ISA SP99的內(nèi)容，發(fā)布了IEC 62443《工業(yè)過程測量、控制和自動化 網(wǎng)絡(luò)與系統(tǒng)信息安全》標(biāo)準(zhǔn)。

    NIST發(fā)布的工業(yè)控制系統(tǒng)安全指南可謂是工控信息安全領(lǐng)域的經(jīng)典。

    國家標(biāo)準(zhǔn)方面，TC124主要關(guān)注工控系統(tǒng)的標(biāo)準(zhǔn)化，TC260關(guān)注信息安全相關(guān)的標(biāo)準(zhǔn)，相關(guān)的工控信息安全標(biāo)準(zhǔn)也正在這兩個標(biāo)委會中制定。

    行業(yè)標(biāo)準(zhǔn)方面，電力系統(tǒng)最早關(guān)注工控信息安全，其標(biāo)準(zhǔn)化進(jìn)度也相對較為領(lǐng)先；而公安行業(yè)標(biāo)準(zhǔn)近兩年也開始制定相關(guān)工控安全標(biāo)準(zhǔn)，主要關(guān)注專用的信息安全防護(hù)產(chǎn)品，涉及工控防火墻、工控審計產(chǎn)品、工控安全隔離與信息交換系統(tǒng)、工控安全管理平臺和工控入侵檢測系統(tǒng)。

   總結(jié)

    工業(yè)化和信息化融合促進(jìn)了效率提升，也給原先物理隔離的工控系統(tǒng)帶來了信息安全隱患，工控系統(tǒng)在能源等支柱產(chǎn)業(yè)的重要性也提升了工控信息安全的重要性。 目前主流的三層網(wǎng)絡(luò)、二級防護(hù)機(jī)制可以有效保障工控系統(tǒng)的安全性，其實現(xiàn)需要專用的工控信息安全產(chǎn)品的支持，因此相關(guān)產(chǎn)品的研制、檢測認(rèn)證和標(biāo)準(zhǔn)化工作也是關(guān)注的重點。系統(tǒng)級的信息安全可以借鑒傳統(tǒng)的信息安全等級保護(hù)措施和相關(guān)要求，從整體角度對其進(jìn)行防護(hù)。

（本文整理自沈清泓在“第三屆工業(yè)控制系統(tǒng)信息安全峰會”上的大會報告）

    摘自《自動化博覽》2014年7月刊