今日頭條
官方微信
官方抖音
資訊頻道 工控信息安全方面國家政策
近年來工控信息安全的重要性凸顯,在國家層面也是相應出臺了許多針對性的政策。
工業控制系統的信息安全要求最初主要來自于工信部協[2011]451號,即關于加強工業與控制系統信息安全管理的通知。
這個通知要求充分認識工業控制系統信息安全的重要性和緊迫性,切實加強工業控制系統信息安全管理,以保障工業生產運行安全、國家經濟安全和人民生命財產安全。
2012年,發改委針對工業控制等領域面臨的信息安全實際需要,組織國家信息安全專項。專項重點支持工業控制信息安全領域產品的產業化,主要面向以下三類工業控制系統安全產品:
(1)適用于工業控制系統的防火墻:具有支持多路由協議、 IP/MAC地址綁定、工業控制協議過濾、基于白名單策略的訪問控制等功能,具有高可靠性,能夠適用于不同工業控制網絡應用場景。公安部第三研究所信息安全產品檢測中心就承擔了工控防火墻產品的測試任務,在測試過程中與生產廠商、業內專業人士交流,不僅圓滿完成了測試任務,還取得了一定的經驗積累,后續也在工控信息安全產品的行業標準、國家標準等方面的制定工作中取得了突破。
(2)面向工業控制系統的異常行為審計產品:具有惡意未知行為和異常行為的發現與檢測,以及內容監測、事件與行為的審計等功能,能夠適用于不同的工業控制網絡應用場景。
(3)工業控制網絡安全管控平臺:支持工業控制網絡流量收集識別、基于白名單的終端應用控制、實時工業控制協議與內容識別、漏洞發現與威脅識別、可視化運維、安全事件跟蹤分析預警等。
專項還重點支持面向工業控制系統的信息安全專業化服務,包括應急響應、系統安全測試、隱患分析與風險評估、在線威脅檢測與風險預警、可信安全運維與防護,以及基于可用性的最小威脅容忍建模和異常行為仿真等。
2013年,發改委針對工業控制等領域面臨的信息安全實際需要,繼續組織國家信息安全專項。
面向工業控制信息安全領域的安全產品主要包括以下兩類:一是面向現場設備環境的邊界安全專用網關產品。支持IPv4/IPv6及工業以太網,適用于集散控制系統(DCS)、數據采集與監視控制系統(SCADA)、現場總線等現場環境,具備5種以上工業控制專有協議以及多種狀態或指令主流格式數據的檢查、過濾、交換、阻斷等功能,數據傳輸可靠性達到100%,可保護節點數不少于500點,設備吞吐量達到線速運行水平,延時小于100ms。
一是面向集散控制系統(DCS)的異常監測產品。適用于電廠、石油、化工、供熱、供水等工藝流程,具有對工業控制系統的DCS工程師站組態變更、DCS操作站數據與操控指令變更,以及各種主流現場總線訪問、負載變更、通信行為、異常流量等安全監測能力,具備過程狀態參數、控制信號的閾值檢查與報警功能。
專項還重點支持面向工業控制信息安全領域的可控試點示范,在電力電網、石油石化、先進制造、軌道交通領域,支持大型重點骨干企業,按照信息安全等級保護相關要求,建設完善安全可控的工業控制系統。建立以杜絕重大災難性事件為底線的工業控制系統綜合安全防護體系,建立完善工業控制信息安全技術與管理的機制和規范。
工業控制系統
說到工業控制系統,美國NIST給出了一個比較通用的定義,說明工控系統是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件,共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。
其核心組件主要包括: 數據采集與監視控制系統 、過程控制系統、 分布式控制系統、 可編程邏輯控制器、 遠程終端、 智能電子設備以及確保各組件通信的接口技術 。
其實這是比較狹義的工控系統,隨著工業化和信息化融合的深入,工控系統與業務系統已經對接,其層次和內涵也得到了極大地豐富。
上圖所示就是廣義的工業控制系統所需要涵蓋的范圍。
這是AMR組織提出的一個通用的制造企業信息傳遞的金字塔,將企業的信息系統分成三層,依次為業務計劃層、制造執行層和過程控制層,是決策細化下達和執行結果匯總上傳的信息溝通模式。
從網絡構成來說,業務計劃層是企業的辦公網,主要涉及企業級應用,如ERP、OA等;制造執行層是監控網絡,主要部署SCADA服務器、數據庫、生產調度系統等;過程控制系統部署的是比較典型的控制網絡,但也可以細分為工業以太網和工業總線網,其實也是最為復雜的網絡。
其實真正意義上的工控網絡可以分為四層,對應四個級別:現場控制級、過程控制級、過程管理級和經營管理級。與這四層結構相對應的四層局部網絡分別是現場網絡 (Field Network,Fnet)、控制網絡 (Control Network,Cnet)、監控網絡 (SupervisionNetwork,Snet) 和管理網絡 (Management Network,Mnet)。
經營管理級強調計劃的執行和控制,通過分解和細化計劃指令將業務層與生產現場的控制層有機集成在一起,同時考慮生產方案的有序和優化配置、設備能力的合理利用、物料的優化配比等。其信息通訊依托于辦公網,通過常規的信息安全保證措施(如防火墻等)與互聯網相連。
過程管理級主要是監測控制運行過程,一方面根據過程狀態實時修改和調整控制指令,另一方面及時有效監測異常狀況,為生產管理的指令下達提供依據。
過程控制級通過預先設定的控制策略,根據上層的指令達到或者維持生產要求。
現場儀表層感知實際的物理過程,采集過程中的所有信息,作為上層過程控制層的輸入以實現閉環控制過程。
工控信息安全面臨的威脅
根據目前工控信息安全面臨的威脅以及可以采取的防護措施來看,其實和工控安全密切相關的是管理網絡、監控網絡和控制網絡。因為監控網是新興的MES的網絡,一端面向傳統的以互聯網技術為基礎的辦公網,另一端面向原先物理隔離的控制網,具有極大的安全隱患,也是需要重點防護的網絡。而設備網的通信相對較為簡單,使用的也大多是串口通信等技術,更適合從管理角度進行防護。因此接下來我想從管理網、監控網和控制網這三個網絡層次對工控信息安全進行探討。
企業應用ERP、CRM(客戶關系管理,銷售、營銷和服務)、OA等。 一方面,企業辦公網可能存在與外部互聯網的通信,就可能存在來自互聯網的安全威脅,如不安全的遠程支持,這時通常需要具備較為完備的安全邊界訪問措施,如防火墻、嚴格的身份認證及準入控制機制等進行防護; 另一方面,企業內部的系統或人員需要訪問和處理工控系統的監控及采集數據,使得辦公網與監控網之間形成通道,但由于實時性要求和工控協議私有性的局限,未能實現基本的訪問控制及認證機制,即使在兩個網絡之間存在物理隔離設備(如防火墻、網閘等),也為了可用性和實時性等原因或主動或無意的配置不當,存在被輕易穿透的風險。
關鍵工業控制組件:SCADA服務器、歷史數據庫、實時數據庫、人機界面等。在該網絡中,系統操作人員通過HMI界面、SCADA系統及其他遠程控制設備,對現場控制網絡中的遠程終端單元、控制和采集設備的運行狀態進行監控、評估和分析,并根據運行狀況對PLC和RTU進行調整和控制。
其威脅主要來自于以下幾點:
第一,不安全的移動維護設備(如筆記本、U盤等)的未授權接入,造成木馬、病毒等惡意代碼在網絡中傳播;
第二,監控網與RTU/PLC之間不安全的無線通信,極易受到攻擊;
第三,因合作的需要,工業控制網絡可能存在外聯的第三方合作網絡,并在網絡之間存在重要數據信息交換,雖然存在一定的隔離及訪問控制策略,但日新月異的新型攻擊技術很容易造成這些防護措施的失效;
第四,控制協議本身考慮最多的是實時性和可用性,基本未涉及安全性考量,存在許多漏洞,極易受到攻擊。
控制網一般可以分為兩層:工程師站/操作師站,以及控制器之間通過工業以太網進行信息交互;控制器和傳感器、執行器之間利用總線技術相連,PLC或RTU可以自行處理一些簡單的程序,實現了信息處理的現場化。
控制網的信息安全威脅主要來自以下幾點:
第一,控制網絡通常處于作業現場,環境相對比較復雜,采用各種接入技術作為現有網絡的延伸,如無線、微波等,引入一定的安全風險;
第二,PLC等設備在現場維護時,也可能因不安全的串口連接或缺乏有效的配置,造成其運行參數被篡改,從而引起整個工控系統的運行危害(震網病毒);
第三,由于考慮到工控軟件與操作系統補丁兼容性的問題,系統開車后一般不會對Windows平臺打補丁,導致系統帶著風險運行;工程師站、操作師站等缺少防病毒軟件,或者病毒庫升級遲緩,而頻繁的數據交互(尤其是U盤的方式)極易帶來惡意代碼從而威脅整個工控網絡安全;
第四,除了病毒等惡意代碼以外,控制指令對整個工控系統的影響可能更大,尤其是非授權指令和超過闕值指令的下達,極易引起整個生產過程的崩潰。
“三層網絡,二級防護”
基于以上的工控三層網絡所面臨的信息安全風險,業內已經提出了“三層網絡,二級防護”的信息安全防御體系。
管理層與MES層之間的安全防護主要是為了避免管理信息系統域和MES(制造執行)域之間數據交換面臨的各種威脅,具體表現為:避免非授權訪問和濫用(如業務操作人員越權操作其他業務系統);對操作失誤、篡改數據,抵賴行為的可控制、可追溯;避免終端違規操作;及時發現非法入侵行為;過濾惡意代碼(病毒蠕蟲)。
也就是說,管理層與MES層之間的安全防護,保證只有可信、合規的終端和服務器才可以在兩個區域之間進行安全的數據交換,同時,數據交換整個過程接受監控、審計。
通過在MES層和生產控制層部署工業防火墻,可以阻止來自企業信息層的病毒傳播;阻擋來自企業信息層的非法入侵;管控OPC客戶端與服務器的通訊,實現以下目標:
? 區域隔離及通信管控:通過工業防火墻過濾MES層與生產控制層兩個區域網絡間的通信,那么網絡故障會被控制在最初發生的區域內,而不會影響到其它部分。
? 實時報警:任何非法的訪問,通過管理平臺產生實時報警信息,從而使故障問題會在原始發生區域被迅速的發現和解決。
除了根據三層網絡、二級防護的總體架構以外,由于工控現場環境的復雜多變,為了防止不同控制區域之間的互相影響,有必要分區域進行防護,根據工藝流程或者物理位置劃分合理的防護區域,在區域之間部署合適的防護裝置并設置相關防護策略,保證即使發生信息安全事故,也將影響控制在本區域內。
工控信息安全產品的研制、檢測和標準化
工控網絡分層防護、分區域防護需要采取相應的防護措施來實現,主要可以分成以下三個方面: 工控設備和組件方面,主要關注其本身的信息安全,在設計、研發階段就要考慮如防病毒、抗攻擊、通信安全等內容;由于工控設備的更新頻率較低,現階段采取的最多的是專用的信息安全防護產品,如工控防火墻、工控主機防護產品等; 產品只能解決其接入的有限區域的信息安全,無法從系統層面考慮整體的安全性,因此需要引入系統信息安全防護,目前有關部門聯合檢測機構已經在制定工控等級保護的相關標準,借鑒傳統的計算機等級保護要求來保護和測評工控系統。
我們中心的主要工作就是信息安全產品的檢測和系統測評。
目前專用信息安全產品均需要申請銷售許可證,一般的流程是申請測試——測試通過——申領銷售許可。
由于現在工控信息安全產品的標準尚在制定過程中,沒有可以直接用于檢測的標準作為依據,所以現在的測試依據現有的類似產品標準(如工控防火墻就是參照傳統防火墻的標準),抽取適用性的條款,再補充測試適用于工控環境的其他要求,特別是協議支持方面的內容。
檢測通過后再向公安部申請銷售許可證。
以工控防火墻為例,大部分傳統防火墻的要求均適用,但NAT、路由不做要求。
工控環境的要求主要包括:
(1)支持基于白名單策略的訪問控制,包括網絡層和應用層;
(2)工業控制協議過濾,應具備深度包檢測功能,支持主流的工控協議的格式檢查機制、功能碼與寄存器檢查機制
(3)支持動態開放OPC協議端口;
(4)防火墻應支持多種工作模式,保證防火墻區分部署和工作過程以實現對被防護系統的最小影響。例如:學習模式,防火墻記錄運行過程中經過防火墻的所有策略、資產等信息,形成白名單策略集;驗證模式或測試模式,該模式下防火墻對白名單策略外的行為做告警,但不攔截;工作模式,防火墻的正常工作模式,嚴格按照防護策略進行過濾等動作保護。
防火墻應具有高可靠性,包括故障自恢復、在一定負荷下72小時正常運行、無風扇、支持導軌式或機架式安裝等。
上圖是工控防火墻的功能測試拓撲圖,將待測的工控防火墻串聯部署在內外網之間,通過內外網的工控協議模擬器建立通信,來測試在防火墻上配置的策略。
由于工控主機一般不部署殺毒軟件,即使部署了也不能保證及時更新病毒庫,也沒有相應的鑒權鑒別的訪問控制措施。主機防護產品采取鎧甲式外掛,實現人員審核與訪問控制、操作行為與審計、數據安全交換與殺毒功能。其特色就是在不對工控主機采取任何軟硬件的加載的前提下提高安全性。
工控系統測評方面,主要是借鑒計算機等級保護制度,從技術和管理兩個方面對工控系統運行的環境和使用的人員進行測評,保證其在測試點的安全合規性,已經測試點之間的動態安全性。目前相關的技術要求和測評方法正在制定過程中。
除了產品和系統檢測以外,我們中心還十分關注相關標準的制定。下面介紹一下工控信息安全領域的標準化工作情況。
現階段還未發布工控信息安全的相關標準,但是各個層次也正在制定之中。
國際標準層面,美國的ISA已經制定了相關的技術標準,IEC等同采用了ISA SP99的內容,發布了IEC 62443《工業過程測量、控制和自動化 網絡與系統信息安全》標準。
NIST發布的工業控制系統安全指南可謂是工控信息安全領域的經典。
國家標準方面,TC124主要關注工控系統的標準化,TC260關注信息安全相關的標準,相關的工控信息安全標準也正在這兩個標委會中制定。
行業標準方面,電力系統最早關注工控信息安全,其標準化進度也相對較為領先;而公安行業標準近兩年也開始制定相關工控安全標準,主要關注專用的信息安全防護產品,涉及工控防火墻、工控審計產品、工控安全隔離與信息交換系統、工控安全管理平臺和工控入侵檢測系統。
總結
工業化和信息化融合促進了效率提升,也給原先物理隔離的工控系統帶來了信息安全隱患,工控系統在能源等支柱產業的重要性也提升了工控信息安全的重要性。 目前主流的三層網絡、二級防護機制可以有效保障工控系統的安全性,其實現需要專用的工控信息安全產品的支持,因此相關產品的研制、檢測認證和標準化工作也是關注的重點。系統級的信息安全可以借鑒傳統的信息安全等級保護措施和相關要求,從整體角度對其進行防護。
(本文整理自沈清泓在“第三屆工業控制系統信息安全峰會”上的大會報告)
摘自《自動化博覽》2014年7月刊
北京市公安局海淀分局備案號:11010802023656號