今日頭條
官方微信
官方抖音
資訊頻道
曾幾何時(shí),信息安全與工業(yè)控制系統(tǒng)這個(gè)“獨(dú)立王國(guó)”還扯不上關(guān)系,但2010年的“Stuxnet”病毒事件讓人們恍然大悟:原來(lái)“獨(dú)立王國(guó)”也有淪陷的時(shí)候。于是國(guó)家和企業(yè)都重視起來(lái),紛紛采取行動(dòng),當(dāng)然,IT安全從業(yè)者也在行動(dòng)。
本文主要從工控系統(tǒng)信息安全實(shí)踐和實(shí)踐中的問(wèn)題兩個(gè)方面來(lái)談?wù)劰P者關(guān)于在工控安全實(shí)踐方面的積累和感受。
1 工控系統(tǒng)信息安全實(shí)踐
1.1 工控信息安全標(biāo)準(zhǔn)
感謝標(biāo)準(zhǔn)相關(guān)制定機(jī)構(gòu)以及參與制定的專家們,正是有了這些信息安全標(biāo)準(zhǔn)的制定,信息安全工作才有了方向。雖然工控信息安全標(biāo)準(zhǔn)編制工作國(guó)內(nèi)起步較晚,不過(guò)目前也有一些標(biāo)準(zhǔn)可以參考,如:等級(jí)保護(hù)基本要求、GB/T 30976……使企業(yè)開展信息安全工作有“法”可依,有據(jù)可查。下面簡(jiǎn)單介紹等級(jí)保護(hù)基本要求和GB/T30976兩個(gè)標(biāo)準(zhǔn)。
(1)等級(jí)保護(hù)基本要求
等級(jí)保護(hù)基本要求是我國(guó)開展信息安全工作的最重要標(biāo)準(zhǔn)之一,從技術(shù)和管理兩個(gè)方面對(duì)信息系統(tǒng)的安全保護(hù)能力提出要求。其應(yīng)用范圍較廣,適用于信息系統(tǒng)管理組織,信息系統(tǒng)產(chǎn)品廠商,信息系統(tǒng)集成商,信息安全咨詢服務(wù)企業(yè),第三方信息安全測(cè)評(píng)機(jī)構(gòu)等。
(2)信息安全標(biāo)準(zhǔn)GB/T30976
GB/T30976標(biāo)準(zhǔn)是新發(fā)布的專門針對(duì)工控系統(tǒng)的信息安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括兩部分,第一部分從管理、技術(shù)能力兩個(gè)方面對(duì)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)的評(píng)估、分級(jí)進(jìn)行了規(guī)范,也就是提要求。該標(biāo)準(zhǔn)同等級(jí)保護(hù)基本要求相似,只是側(cè)重點(diǎn)有所不同。第二部分對(duì)工業(yè)控制系統(tǒng)的信息安全驗(yàn)收過(guò)程進(jìn)行了規(guī)范。其分級(jí)如表1所示。
1.2 等級(jí)保護(hù)在工控系統(tǒng)實(shí)踐關(guān)注點(diǎn)
和利時(shí)作為國(guó)內(nèi)工控行業(yè)領(lǐng)軍企業(yè),也是較早關(guān)注工控系統(tǒng)信息安全的企業(yè)之一。在之前對(duì)工控系統(tǒng)整體信息安全方面的研發(fā)實(shí)踐中主要參考等級(jí)保護(hù)基本要求。現(xiàn)階段在工控系統(tǒng)實(shí)踐中進(jìn)行等級(jí)保護(hù)重點(diǎn)關(guān)注以下七個(gè)方面:工控網(wǎng)絡(luò)結(jié)構(gòu)、安全隔離、病毒防護(hù)、安全審計(jì)、身份鑒別、設(shè)備自身防護(hù)、邊界完整性。下面就每個(gè)方面做簡(jiǎn)單介紹。
1.2.1 工控網(wǎng)絡(luò)結(jié)構(gòu)
在等級(jí)保護(hù)基本要求里,其中有一條是對(duì)信息系統(tǒng)安全區(qū)域劃分的要求。跟據(jù)等級(jí)保護(hù)基本要求的特點(diǎn),以及工控系統(tǒng)的特點(diǎn),我們可以從縱向和橫向兩個(gè)維度對(duì)工控系統(tǒng)網(wǎng)絡(luò)進(jìn)行結(jié)構(gòu)的劃分,劃分的方式可以根據(jù)控制系統(tǒng)的情況、環(huán)境的不同而不同,不能一概而論。總的原則是縱向分層,橫向分區(qū)。
例如DCS系統(tǒng),從縱向來(lái)說(shuō),可以劃分為現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、監(jiān)督控制層三個(gè)層面。如圖1所示。
圖1 工控網(wǎng)絡(luò)結(jié)構(gòu)
在縱向劃分的基礎(chǔ)上,在每個(gè)層面可以橫向再劃分成安全區(qū)。例如,在現(xiàn)場(chǎng)控制層中,可以根據(jù)不同生產(chǎn)線、不同工藝流程進(jìn)行劃分。在過(guò)程監(jiān)控層中,主要包括現(xiàn)場(chǎng)的操作終端、服務(wù)器和工程師站。對(duì)于一些大型的DCS系統(tǒng),可以先按照生產(chǎn)線、生產(chǎn)工藝流程劃分成大的域,然后在每個(gè)生產(chǎn)線域內(nèi)再進(jìn)行劃分成為服務(wù)器區(qū)、操作終端區(qū)、工程師站等。
1.2.2 安全隔離
安全隔離主要涉及到隔離設(shè)備和隔離位置。
(1)主要隔離設(shè)備:工控防火墻
工控防火墻一些特點(diǎn):
·對(duì)工控協(xié)議支持,如對(duì)OPC、ModBus等協(xié)議的支持。
·滿足工業(yè)環(huán)境的要求,如電磁干擾、抗震、防塵、絕緣、溫/濕度等。
·針對(duì)私有協(xié)議進(jìn)行二次開發(fā),現(xiàn)在的工業(yè)控制系統(tǒng)很多使用自己的私有協(xié)議,需要進(jìn)行二次開發(fā)才能使用。不進(jìn)行二次開發(fā)也就只能進(jìn)行端口過(guò)濾,意義不是很大。
(2)隔離位置
選擇什么位置進(jìn)行隔離,基本可以參考傳統(tǒng)信息安全的相關(guān)原則,主要基于三個(gè)原則:在不同網(wǎng)絡(luò)邊界之間;不同安全區(qū)域邊界之間以及在控制器前隔離。
工控系統(tǒng)信息安全與傳統(tǒng)信息安全的不同就是在控制器前部署工控防火墻。基于兩個(gè)方面的原因:一是限制訪問(wèn)控制。控制器不是所有終端設(shè)備都能訪問(wèn)的,也沒必要允許任何設(shè)備都可以訪問(wèn),需要限制有權(quán)限的設(shè)備才能訪問(wèn)。二是泛洪攻擊。雖然目前控制器的處理能力有所提高,但是想比于普通個(gè)人電腦,其處理能力還有很大差距,面對(duì)廣播風(fēng)暴之類的大量數(shù)據(jù)包控制器基本還是無(wú)能為力。而目前工控系統(tǒng)維護(hù)方面碰到的最頭疼的問(wèn)題之一就是廣播風(fēng)暴的問(wèn)題。工控防火墻部署在控制器之前,可以阻擋大量非法廣播包對(duì)控制器的影響,減輕控制器的處理負(fù)荷,從而保護(hù)控制器不受數(shù)據(jù)包泛洪等的影響。
1.2.3 病毒防護(hù)
在工控系統(tǒng)病毒防護(hù)中,目前國(guó)內(nèi)同行形成的一種共識(shí)就是采用軟件白名單方式,是因?yàn)椋?br/>
(1)不需要頻繁升級(jí)病毒庫(kù);
(2)不對(duì)進(jìn)程進(jìn)行查殺,刪除;
(3)只允許在白名單范圍內(nèi)的程序運(yùn)行;
(4)工控系統(tǒng)安裝的程序比較單一、穩(wěn)定,適合白名單方式的運(yùn)行機(jī)制環(huán)境。
1.2.4 安全審計(jì)
安全審計(jì)包括日志審計(jì)和流量監(jiān)控。網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)的日志收集,審計(jì)與傳統(tǒng)信息安全一樣,用同樣的方法、方式就能滿足工控系統(tǒng)安全審計(jì)。唯一的區(qū)別是對(duì)工控軟件的日志集中收集問(wèn)題,需要解決兩個(gè)問(wèn)題:
(1)集中日志收集的支持;
(2)審計(jì)系統(tǒng)對(duì)工控軟件日志內(nèi)容,格式的支持(日志字段、警告級(jí)別,可能與傳統(tǒng)信息安全日志不太一樣),需要同工控廠商二次開發(fā)。
1.2.5 身份鑒別
(1)措施
在工控軟件系統(tǒng)方面,身份鑒別采取的措施是:
·雙因子鑒別。等保基本要求三級(jí)里明確規(guī)定,對(duì)系統(tǒng)管理用戶需要進(jìn)行雙因子身份鑒別,在工控系統(tǒng)中,工程師賬戶,值班長(zhǎng)賬戶,網(wǎng)絡(luò)設(shè)備管理員等重要賬戶需要進(jìn)行雙因子鑒別;雙因子可以是口令+證書、動(dòng)態(tài)口令等方式。
·單因子鑒別。如操作員賬戶,用口令就可以了,口令的復(fù)雜度需要強(qiáng)一些。
(2)鑒別時(shí)機(jī)
工控系統(tǒng)中的鑒別時(shí)機(jī),在以下三種情況下需要進(jìn)行身份鑒別:
·登陸工控系統(tǒng)時(shí);
·進(jìn)行工程下裝時(shí);
·重要參數(shù)修改時(shí)(如發(fā)電機(jī)轉(zhuǎn)速等)。
1.2.6 設(shè)備自身防護(hù)
設(shè)備自身防護(hù)包括三個(gè)方面:主機(jī)加固、網(wǎng)絡(luò)設(shè)備加固和工控系統(tǒng)自身的防護(hù)。
(1)主機(jī)操作系統(tǒng)加固
Windows系統(tǒng)使用普遍,使其經(jīng)常成為被攻擊的對(duì)象。對(duì)Windows的加固主要涉及:
·關(guān)閉多余服務(wù);
·安裝系統(tǒng)補(bǔ)丁;
·刪除多余系統(tǒng)組件;
·開啟Windows系統(tǒng)自帶防火墻等。
(2)網(wǎng)絡(luò)設(shè)備加固
·關(guān)閉不需要的服務(wù),如關(guān)閉HTTP/TELNET等;
·限制遠(yuǎn)程管理地址;
·使用加密方式進(jìn)行遠(yuǎn)程管理;
·口令滿足復(fù)雜度等。
(3)工控系統(tǒng)自身的安全防護(hù)
采用合適的軟件開發(fā)模式,減少軟件漏洞。最基本的安全措施包括啟用身份鑒別、加強(qiáng)口令復(fù)雜度、用戶權(quán)限控制、日志記錄等。
1.2.7 邊界完整性
邊界完整性包括非授權(quán)設(shè)備的接入,外部數(shù)據(jù)輸入,無(wú)線網(wǎng)絡(luò)的使用。
(1)非授權(quán)設(shè)備接入:主要在網(wǎng)絡(luò)層面,關(guān)閉交換機(jī)閑置端口,對(duì)端口地址進(jìn)行綁定等方式。
(2)外部數(shù)據(jù)輸入(如升級(jí)包等):進(jìn)行U盤、光盤等移動(dòng)介質(zhì)的管理。使用數(shù)據(jù)轉(zhuǎn)運(yùn)系統(tǒng),所有輸入數(shù)據(jù),先存放在Linux系統(tǒng)安裝的文件服務(wù)器中,并進(jìn)行病毒查殺,工控系統(tǒng)內(nèi)部終端設(shè)備在數(shù)據(jù)轉(zhuǎn)運(yùn)系統(tǒng)中讀取數(shù)據(jù),這樣能夠避免U盤帶有病毒,并且可以在兩個(gè)不同的系統(tǒng)之間起到保護(hù)數(shù)據(jù)的作用。
(3)無(wú)線網(wǎng)絡(luò)的使用:在DCS系統(tǒng)中基本用不到,而在SCADA系統(tǒng)中經(jīng)常能用到,如油氣田等邊遠(yuǎn)地區(qū),多使用無(wú)線信號(hào)傳輸數(shù)據(jù),需要考慮到無(wú)線信號(hào)的安全問(wèn)題。安全措施主要是對(duì)無(wú)線信號(hào)加密,接入設(shè)備的認(rèn)證等,無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間使用工控防火墻或網(wǎng)閘進(jìn)行完全隔離。
2 實(shí)踐中出現(xiàn)的問(wèn)題
在進(jìn)行工控安全的實(shí)踐過(guò)程中,主要發(fā)現(xiàn)了兩個(gè)方面的問(wèn)題:一體化和工控安全產(chǎn)品本身的問(wèn)題。
(1)一體化
這里的一體化,簡(jiǎn)單來(lái)說(shuō),是指工控廠商和信息安全廠商的深度合作,這方面目前還比較欠缺。傳統(tǒng)的信息安全,安全廠商可能繞開軟件系統(tǒng)廠商,直接面對(duì)用戶。而對(duì)于工控系統(tǒng),用戶雖然使用控制系統(tǒng)多年,但很多用戶仍然不了解控制系統(tǒng)內(nèi)部具體通信機(jī)制等情況。因此安全廠商需要與工控廠商深度合作,開發(fā)適用于工控系統(tǒng)的安全解決方案,經(jīng)過(guò)深入測(cè)試,由工控廠商和信息安全廠商聯(lián)合向客戶推廣更容易被接受。
(2)工控安全產(chǎn)品
在測(cè)試過(guò)程中,一些安全產(chǎn)品或多或少地發(fā)現(xiàn)了一些問(wèn)題。
·可靠性一些產(chǎn)品不滿足,如溫度、濕度、抗震等工業(yè)環(huán)境要求,設(shè)備自身功能不全,設(shè)備運(yùn)行不穩(wěn)定等。
·可用性目前工控安全產(chǎn)品不像傳統(tǒng)信息安全產(chǎn)品有多年的使用經(jīng)驗(yàn),工控安全產(chǎn)品缺少?gòu)V泛的試用,有些產(chǎn)品甚至剛開發(fā)出來(lái)。
(本文整理自“2015第四屆工業(yè)控制系統(tǒng)信息安全峰會(huì)”第三站的報(bào)告)
作者簡(jiǎn)介
劉太洪(1978-),男,四川綿陽(yáng)人,高級(jí)安全評(píng)估工程師,碩士,現(xiàn)就職于北京和利時(shí)系統(tǒng)工程有限公司。主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全,從事工業(yè)控制系統(tǒng)信息安全研究工作,并先后完成了和利時(shí)DCS系統(tǒng)的安全測(cè)評(píng)、目前市面上主流工業(yè)防火墻功能測(cè)試等工作。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)