今日頭條
官方微信
官方抖音
資訊頻道宮亞峰 中國互聯網協會網絡與信息安全工作委員會
張格 程宇 工業和信息化部電子科學技術情報研究所
摘要:工業控制系統是運用信息技術、電子技術、通信技術和計算機技術等,實現工業生產管理過程自動化的技術應用系統。隨著工業自動控制和信息化技術的發展,工業控制系統在冶金、電力、石化、鐵路、航空、航天和國防工業等各個領域得到了廣泛的應用。由于工業自動控制系統重點解決的是工業生產過程的自動化、高效率、低能耗等問題,較少地關注工業自動控制系統中的信息對生產安全和工業控制系統本身安全的影響。近年來,國內外不斷暴露出工業控制系統信息安全的事故、隱患等問題,其對工業生產的影響和對國家重要工業基礎設施的嚴重破壞,直接威脅到國家和企業的安全。因此,廣泛地從理論和應用方面深入開展工業控制系統網絡安全問題研究具有十分重要和深遠的國家戰略意義。
為此,在分析國、內外工業控制系統網絡安全狀況基礎上,進一步研究梳理工業控制系統脆弱點、安全隱患和可能存在的安全風險,簡要介紹剛剛發布的國家標準GB/T32919-2016《信息安全技術工業控制系統安全控制應用指南》的主要內容,希望從物理和環境安全、網絡安全(通信協議防護)、身份鑒別、訪問控制、安全審計(監控環節)、系統與信息完整性、應急計劃等方面給工業控制系統建設、管理和運維人員提供一個可參考、可操作的安全基線,以及基本的安全控制策略和應對措施。
關鍵詞:工業控制系統;網絡安全;安全控制;標準規范
宮亞峰
中國互聯網協會網絡與信息安全工作委員會委員
(1956-)男,吉林人,高級工程師,中國互聯網協會網絡與信息安全工作委員會委員,中國信息安全服務認證專業技術委員會委員。長期從事國家網絡安全戰略和信息技術安全研究,參與了大量國防科研和大型計算機網絡、信息安全系統的規劃、建設、科研和運行管理工作。組織承擔了多項重大科研和工程建設項目,負責了多項國家標準編制研究、國家863課題研究和國家信息安全專項工程建設。曾獲科技進步成果獎十余項。
1 引言
工業控制系統是運用信息技術、電子技術、通信技術和計算機技術等,實現工業生產管理過程自動化的技術應用系統。隨著人類社會生產活動的進步,工業自動控制和信息化技術的發展,工業控制系統在冶金、電力、石化、鐵路、航空、航天和國防工業等各個領域得到了廣泛的應用。在工業生產過程自動化控制系統中大量應用了數據采集與監視控制系統(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等工業控制系統(ICS)。
工業自動控制系統在工業生產中的應用,首先解決的是工業生產過程的自動化、精準度和高效率、低能耗,以及減輕勞動強度和降低人工成本等問題,主要追求產品的高品質、高質量和高速度等目標,較少關注工業自動控制系統中的信息對生產安全和工業控制系統本身的影響,對工業控制系統設計有關信息安全防護體系的關注更是少之又少。近年來,國內外不斷暴露出工業控制系統信息安全的事故、隱患等問題,其對工業生產的影響和對工業控制系統等國家重要工業基礎設施的嚴重破壞,直接威脅到國家和企業的安全。因此,廣泛深入研究工業控制系統的信息安全問題具有十分重要和深遠的國家戰略意義,維護國家工業控制系統網絡安全是實現強國夢的重要保證。
2 工業控制系統網絡安全狀況
2.1 工業控制系統發展
工業控制系統起源于西方發達國家的工業革命和信息化時代,并在這些國家的工業領域得到了普遍應用。目前,隨著自動控制理論及技術的發展,先進控制、模糊控制、人工神經網絡、人工智能技術和專家系統已開始應用于新一代工業控制系統產品中,除個別行業、個別工業控制技術外,整體來看,西方發達國家在工控系統領域始終處于工業生產、控制的統治和領先地位。
在世界范圍特別是發達國家,工業控制系統應用十分廣泛,目前在運行的工業控制系統已達到數千萬套,涉及電力的生產、傳輸和使用,水處理與使用,石油、天然氣的精煉與傳輸,化學制品的生產與處理,交通運輸等各個領域。
我國工業控制系統研究起步較晚,但發展迅速。“九五”期間,我國工業控制系統建設已初具規模。“十五”期間,工業控制系統建設進入了大發展時期。石化行業,從大型油氣田到數萬公里的原油、天然氣和成品油輸送管線,大規模采用工業控制系統;電力行業,工業控制系統進入發電、調度、變電、配電和用電等各個環節;鐵路行業,全國電氣化鐵路已部署工業控制系統,基本實現了牽引電力的自動化調度,北京、上海、廣州和深圳等大城市的地鐵或城鐵均采用了工業控制系統;水利行業,國家防汛指揮系統更新改造大量水情分中心,采用工業控制系統進行區域和全國聯網;公用事業行業,大中城市的燃氣輸配,供水、供熱、排水、污水處理等均普及了工業控制系統。隨著基礎產業領域內網絡化、系統化、自動化、集成化程度的不斷提高,工業控制系統在國民經濟和社會生活中的基礎性、全局性作用日益增強,工業控制系統在我國的應用范圍和部署規模快速追趕發達國家。
隨著信息化技術的進步,以自動化為代表的自動控制技術在工業生產領域得到了廣泛的應用。在現代工業生產過程中大量使用的工業控制系統包括數據采集與監視控制系統(SCADA)、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED)等,其依托專用或公共通信網絡,以采集生產過程數據為依據,對生產過程進行自動控制。工業控制系統已經成為普遍應用于現代電力、石油、天然氣、鐵路、供水、化工等大規模基礎產業生產系統的典型自動控制生產系統。
2.2 工業控制系統的網絡安全問題
目前在用的大多數工業控制系統的設計迎合了工業生產的可行性、可靠性、安全性和靈活性的要求。一般情況下,這些系統都與公共網絡物理分離,它們建立的基礎是專用硬件、軟件和具備基本糾錯功能的通信協議,而這些通信協議則缺少互聯網絡環境下系統所需的網絡安全保障。盡管對數據運行的可靠性、可維護性及其適用性有所考慮,但還未考慮到該系統內部對于網絡安全措施的需要。
一段時間以來,工業控制系統的安全性似乎就僅指安全的物理進入網絡和系統控制臺。從20世紀80年代和90年代,工業控制系統伴隨著信息處理器、個人電腦和網絡技術演變而發展。尤其是20世紀90年代末,互聯網技術開始進入到了工業控制系統的設計中。這些變化使工業控制系統暴露于大量的攻擊威脅中,大大增加了工業控制系統被損害的可能性。而目前工業控制系統安全防護水平還難以有效應對日益增長的各類安全威脅。
從當前網絡黑客所掌握的攻擊技術來看,存有惡意企圖的攻擊者可能會利用一些工業控制系統的安全漏洞獲取諸如石油、天然氣管道以及其他大型設備的控制權并進行致癱攻擊,必將直接使國家基礎設施和重要系統的生產和設備蒙受重大損失。
2.3 發達國家工業控制系統網絡安全狀況
由于工業控制系統安全關乎國民經濟和社會生活,有關方面并不愿意詳細披露相關安全事件。隨著伊朗震網事件后,國外工業控制系統安全事件才逐漸被各方關注,一些案例陸續見諸于公開報道,但實際發生的事件遠不止被報道公布的數量,業界估計每年未報道的攻擊事件約達千例數量級。近年來,對工業控制系統的攻擊呈快速增長趨勢,據有關資料反映,2000年以來對工業控制系統的有效攻擊數量增長了近10倍,2002年上半年就有70%的能源與電力公司經歷了網絡攻擊。2004年,美國國土安全部發現了1700余個SCADA設施存有可被外部攻擊的漏洞,這些設施包括化工廠、購物中心、水壩和橋梁等。美國能源部國家實驗室舉行的針對電網SCADA系統的演習,多次成功地控制了多個地區的電力公司。人們對由工業控制系統支撐的基礎設施可能遭遇的攻擊表示擔憂,并將這種前景描述為:將來某一天可能會發生“數字滑鐵盧”或“電子珍珠港”事件。
從以上安全事件可見發達國家工業控制系統運營使用早、安全意識強,即便如此,這些發達國家的工業控制系統也存在諸多安全問題,在工業控制系統平臺、網絡、運行、管理等方面均存在脆弱性。
2.4 我國工業控制系統網絡安全狀況
我國工業控制系統發展歷史不長,但發展速度快,產業規模大。不容否認我國工控系統安全防護體系建設明顯滯后于系統建設,在防護意識、防護策略、防護機制、法規標準、檢查檢測、應急處置等方面都存在不少問題,很多領域的工控系統網絡安全保障還基本處于空白狀態,很難抵御類似烏克蘭電網遭受的攻擊。面對現實或潛在的威脅,我國工業控制系統網絡安全存在較大的安全風險。
(1)關鍵資產底數不清。我國工業控制系統應用和部署在多個條塊分割的垂直體系中,哪些資產和多少資產被列為國家重點防護對象,底數不清。
(2)漏洞與威脅情況不明。目前尚未建立工業控制系統漏洞挖掘、脆弱性分析和威脅監測等工作體系,對工業控制系統的安全性缺乏全面的認識和了解。
(3)關鍵防護技術開發滯后。大面積采用無線電方式進行組網,但又缺乏相應密碼技術的保護,發達國家大力開發的工業控制密碼在我國還是空白。
(4)安全防護各自為戰。不同領域的工業控制系統關系緊密,但安全防護并沒有作為相對獨立的領域進行建設。
(5)社會力量后援不足。工業控制系統安全防護問題沒有像互聯網安全那樣受到全社會關注,缺乏科研院所、大專院校乃至公眾的參與和后援。
(6)缺乏網絡空間對抗準備。工業控制系統的部署方式缺乏防護意識,要害部位沒有針對網絡空間作戰進行設防,武裝力量在關鍵基礎設施防護工作中的職責不夠明確。
3 工業控制系統網絡安全分析
3.1 工業控制系統面臨的威脅
工業控制系統是現代電力、石油、天然氣、鐵路、供水、化工、國防軍工等關系國家命脈的基礎產業的神經中樞。隨著工業控制系統網絡化、系統化、自動化、集成化的不斷提高,其面臨的安全威脅日益增長。從發生的典型事件看,工業控制系統面臨著諸多的安全威脅,其中包括敵對勢力、恐怖組織、工業間諜、心懷不滿的員工、惡意入侵者,以及人為錯誤、意外事故、設備故障和自然災害等。與傳統的IT系統一樣,系統面臨著黑客、惡意代碼、外力破壞、自然災害、軟硬件故障、電力故障等傳統威脅。系統一旦發生安全事件,損害程度將非常嚴重。
3.2 工業控制系統網絡安全隱患
工業控制系統體系結構不同于互聯網,一方面高度集中的縱向多層機構使得脆弱性高度集中,另一方面網絡安全事件能直接導致物理上的有形損失或傷害。因此,工業控制系統安全又具有特殊性。在發達國家或地區,工業控制系統安全是網絡安全保障中相對獨立的領域。工業控制系統網絡安全隱患常見于:明文通信,特權用戶管理不嚴,弱鑒權、甚至無鑒權,弱口令、默認口令、全網統一口令、從未修改口令,編碼漏洞(緩沖器溢出等),無用服務(系統中開放過多不需要的服務和端口),網絡地址欺騙或旁路,腳本和接口編程,大量的通訊基于一兩個端口,基于Windows平臺的控制中心存在大量已知和未知漏洞,固化的RTU設備系統難于升級,關鍵數據基于公網傳輸,未及時補丁的組件,WEB服務器安全,系統分散邊界保護不足,應用、服務的敏感信息泄露,管理和調度網絡間界限不明晰,進口設備系統面臨廢型停產,大量應用系統開發于20年前,設計上未考慮安全問題等。
3.3 工業控制系統網絡安全脆弱性
隨著計算機和網絡技術的迅猛發展,特別是信息化與工業化深度融合以及物聯網的快速發展,工業控制系統設備、產品越來越多地采用通用協議、通用硬件和通用軟件,通過各種方式與互聯網等公共網絡連接,病毒、木馬等威脅正在向工業控制設備、產品的信息系統擴散。另一方面,傳統工業控制系統采用專用的硬件、軟件和通信協議,設計上基本沒有考慮互聯互通所必須考慮的信息安全問題。而業務和技術的發展,使工業控制網絡與企業管理網絡間互聯互通的數據交換、信息共享越來越普遍。
因此,工業控制系統受到的網絡安全威脅越來越嚴重。工業控制系統網絡安全風險來源主要包括:網絡、設備、產品的漏洞和脆弱性;采用無任何防護的專用硬件、軟件和通信協議;信息安全重視不夠、連接無序、數據保護和應急管理不足;設計上考慮工控系統的封閉性,主要以傳統生產安全和可靠性為主;默認配置、連接、組網、采購升級無序;主要基于工業應用的場景和執行效率等。其脆弱性表現為:
(1)策略與規程脆弱性
策略與規程脆弱性:指安全策略或安全規程不健全。例如:缺乏安全策略,缺乏正規安全培訓,系統設計階段沒有從體系結構上考慮安全,缺乏有效的管理機制去落實安全制度,對安全狀況沒有進行審計,沒有容災和應急預案以及配置管理缺失等。
(2)平臺脆弱性
平臺脆弱性:指工控系統平臺的漏洞、配置不當和維護缺失所導致的脆弱性。這類脆弱性進一步分為配置脆弱性、硬件脆弱性、軟件脆弱性和惡意軟件防護脆弱性等。
(3)網絡脆弱性
網絡脆弱性:指工控系統網絡的漏洞、配置不當以及網絡管理水平低下所導致的脆弱性。這類脆弱性進一步分為配置脆弱性、硬件脆弱性、邊界脆弱性、監視與日志脆弱性、通信脆弱性、無線連接脆弱性等。
(4)安全管理、標準和人才的脆弱性
安全管理、標準和人才的脆弱性:缺乏完整有效安全管理,過多的強調網絡邊界的防護、內部環境的封閉,讓內部安全管理變得混亂。另外,既了解工控系統原理和業務操作又懂信息安全的人才少之又少,為工控系統安全管理的脆弱埋下了伏筆。內網審計、監控、準入、認證、終端管理等缺失也是造成工控系統安全威脅的重要原因。如:使用U盤、光盤導致的病毒傳播、筆記本電腦的隨意接入與撥號、ICS缺少監控和審計等問題。
3.4 工業控制系統與IT系統信息安全脆弱性對比
工業控制系統與互聯網為基礎的信息技術系統有許多不同。傳統工業控制系統出現于臺式計算機和國際互聯網之前,使用專用的硬件、軟件和通信協議,物理上與外部網絡世界隔離,設計上以物理安全為主,基本上沒有考慮互聯互通所必需考慮的通信安全等問題。上個世紀90年代末,互聯網技術進入工控領域,傳統信息系統與工控系統集成,在賦予工控系統許多傳統信息系統能力的同時打開了工控系統封閉的疆界,使得工控系統安全發生了重大變化。
然而,傳統信息系統安全措施或手段卻很難完全照搬過來解決工控系統的安全問題。在安全問題上,工控系統與IT系統在需求上存在差異。工控系統高度集中的縱向多層結構使得脆弱性高度集中,而且網絡安全事件能直接導致物理上的有形損失或傷害。從安全角度出發,二者不同之處如下:
(1)性能方面:工控系統對信息傳遞實時性要求高而帶寬要求低,IT系統則相反。
(2)可用性方面:IT系統在遇到程序故障后可以重啟,而對于處于實時運行的工控系統,中斷運行是不能接受的,一旦宕機將會影響業務的執行,甚至導致大規模的災難性事件。因此,在工控系統中進行軟件更新或者補丁安裝要十分謹慎,必須提前進行嚴格的測試,保證不會影響系統的正常運行。
(3)風險管理方面:IT系統優先考慮數據的保密性和完整性,而工控系統則是人身安全和系統容錯。
(4)架構的安全關注點:IT系統注重保護設備資產和存儲/傳輸的數據安全;工控系統關注遠端現場設備。關注點不同,安全等級的劃分和采取的措施強度也不相同。
(5)對響應時間要求嚴格:工控系統對通信的一個主要要求是實時,因此采用的訪問控制方法不能過于復雜(而IT系統從安全角度考慮,往往采用公鑰認證或高強度口令實現訪問控制),以免影響緊急事件的響應速度。比如在發生緊急狀況時,由于管理員一時緊張而忘記長而復雜的口令,不能及時對事件進行處理,可能會導致嚴重的災害。
(6)設備生命周期:IT系統的設備生命周期為3~5年;工控系統的設備生命周期為15~20年。IT系統設備更新快,便于新技術的普及與使用,而工控系統在這方面就受到了限制。
(7)處理能力有限:通常工控系統和它的實時操作系統都是資源受限系統,有限的處理能力導致在工控系統設備上使用復雜的IT系統加密、Hash計算等安全手段有難度。
(8)通信協議專有:工控系統采用私有協議進行通信,這些協議在設計之初并沒有考慮安全因素,加之IT系統所采用的通信安全技術無法應用在工控通信協議中,導致控制報文很容易被竊聽或攻擊。
進一步分析,工控系統與IT系統有質的差別:
一是網絡邊緣不同。工控系統在地域上分布廣闊,其邊緣部分是智能程度不高的含傳感和控制功能的遠動裝置,而不是IT系統邊緣的通用計算機,兩者之間在物理安全需求上差異很大。
二是體系結構不同。工控系統結構縱向高度集成,主站節點和終端節點之間是主從關系,IT系統則是扁平的對等關系,兩者之間在脆弱節點分布上差異很大。
三是傳輸內容不同。IT系統是公共和個人的信息,安全問題大多集中在語義層面;工控系統則是工業設備的“四遙信息”,安全問題大多集中于物理層面,安全防護要延伸到物理層并防止復雜的控制關系所產生的聯鎖效應。
3.5 IT系統網絡安全威脅與防護措施對工業控制系統的影響
工業控制系統運行引發出許多與大多數IT系統不同的安全挑戰。例如大多數安全措施是為對付互聯網上黑客制定的。互聯網環境與工業控制系統運行環境差異較大。所以在安全行業中對安全需求以及安全措施可能影響工業控制系統運行的特殊要求。
(1)拒絕服務的影響:IT系統所制定的安全服務和技術主要是為了并不具有嚴格性能和可靠性要求的應用和行業,而這些恰恰是工業控制系統運行所需要的。例如:與授權客戶不能訪問其銀行帳戶相比,使授權調度員無法訪問工業控制系統遠端站場控制有可能造成更為嚴重的后果。所以拒絕服務的威脅遠比許多典型互聯網交易更為巨大。
(2)加密傳輸:工業控制系統在應用中,許多通信信道是窄帶的,而且端設備經常受到內存和計算機能力的限制,從而由于某些安全措施所需的開銷會受到限制,如加密和密鑰交換。
(3)密鑰管理:大多數工業控制系統和設備是位于地域廣大而分散、無人的遠方場所,且根本沒有接入到互聯網。這使得密鑰管理、證書撤消和其它一些安全措施難于實現。
(4)公網聯接:許多系統都由公共線路通信通道連接(條件所限無專網),由于協議不兼容,所以工業通用的網絡安全措施(協議)不能被接受。
(5)無線通信的影響:雖然無線通信得到廣泛地應用,但工業控制系統實施這些無線技術的場所和所實現的功能,有較多限制;部分是因為遠端站場惡劣的電磁環境對可用性的潛在影響(如變電站的高電噪聲環境);部分是因為一些應用要求非常快速且極其可靠的響應(吞吐量),即使許多無線系統使用了安全措施,然而這些措施可能增加開銷(盡管開銷是類似于有線介質)。
4 《工業控制系統安全控制應用指南》簡介
國家標準GB/T32919-2016《信息安全技術工業控制系統安全控制應用指南》是我國工業控制系統網絡安全標準體系中的一項重要標準。
該標準是在深入研究國外工業控制系統相關標準的基礎上,充分調研國內工業控制系統應用的安全狀況,認真分析總結有關行業工業控制系統網絡安全應用管理經驗,廣泛聽取專家意見基礎上完成的。它結合我國工業控制系統應用和網絡安全實際情況,遵循國家對工業控制系統網絡安全管理的相關政策要求,吸收國外的一些先進管理思想和技術方法,規范了工業控制系統網絡安全控制應用前提、安全控制的選擇與規約、安全控制的應用步驟、安全控制的應用范圍和安全控制的監控等內容。
此標準針對各行業使用的工業控制系統給出的安全控制應用基本方法,可以指導組織選擇、裁剪、補償和補充工業控制系統安全控制,獲取適合組織需要的、應允的安全控制基線,以滿足組織對工業控制系統安全需求,幫助組織實現對工業控制系統進行有效的風險控制管理。
工業控制系統的安全控制措施:
(1)物理和環境安全;
(2)網絡安全(通信協議防護);
(3)身份鑒別;
(4)訪問控制;
(5)安全審計(監控環節);
(6)系統與信息完整性;
(7)應急計劃;
(8)系統和通訊保護;
(9)人員安全;
(10)配置管理;
(11)維護;
(12)學習與培訓;
(13)事件響應;
(14)風險評估;
(15)規劃;
(16)系統和服務獲取;
(17)安全評估與授權。
具體內容請詳見GB/T32919-2016《信息安全技術工業控制系統安全控制應用指南》。
參考文獻:
[1]GB/T18336.1-2001,信息技術安全技術信息技術安全性評估準則[S].
[2]GB/T22080-2008,信息技術安全技術信息安全管理體系要求[S].
[3]NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystemsandOrganizations[S].
[4]NISTSP800-82,GuidetoIndustrialControlSystems(ICS)Security[S].
[5]IEC62443,工業過程測量、控制和自動化網絡與系統信息安全[S].
[6]美國國土安全部.控制系統安全程序-國家網絡安全部分[R].2011,4.
[7]2014中國工業控制系統信息安全藍皮書[Z].
[8]2012世界網絡與信息安全發展年度報告[R].北京:工業和信息化部電子科學技術情報所,2012:121-151.
[9]2013世界網絡與信息安全發展年度報告[R].北京:工業和信息化部電子科學技術情報所,2013:119-135.
[10]李穎.中國IT產業發展報告(2014-2015)[R].北京:社會科學文獻出版社,2015:87-95.
[11]高洋.工業控制系統信息安全威脅分類[J].北京:中國信息安全,2016,(4):66-68.
[12]范科峰.工業控制系統信息安全管理標準研究[J].北京:中國信息安全,2016,(4):76-79.
[13]邸麗清.工業控制系統信息安全與功能安全結合之探討[J].北京:中國信息安全,2016,(4):62-65.
[14]尹麗波.我國亟需建立工控安全保障體系[J].北京:中國信息安全,2016,(4):54-56.
摘自《工業控制系統信息安全》專刊第三輯
北京市公安局海淀分局備案號:11010802023656號