今日頭條
官方微信
官方抖音
資訊頻道自從2011年9月《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)文件發布之后,國內各行各業對工業控制系統信息安全的認識都達到了一個新的高度,電力、石化、制造、煙草等多個行業,陸續制定了相應的指導性文件,來指導相應行業安全檢查與整改活動。451號文填補了國內工業控制系統信息安全的政策空白,由此拉開了行業發展的帷幕。
然而,隨著國家信息安全機構職能的調整,工控安全管理工作在后續一段時間基本處于暫停狀態。直到中編辦對工信部在2015年9月16日發布的新“三定”職責中明確:“擬定工業控制系統網絡與信息安全規劃、政策、標準并組織實施,加強工業控制系統網絡安全審查”,工控安全相關工作正式納入工信部的職責范圍之后,工信部以信息化和軟件服務司為主管司局,開始加快工控安全的保障工作。今年5月20日,《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號)文件明確提出:“以提升工業信息安全監測、評估、驗證和應急處置等能力為重點,依托現有科研機構,建設國家工業信息安全保障中心,為制造業與互聯網融合發展提供安全支撐。”今年7月25日,工業和信息化部懷進鵬副部長在山東威海組織召開全國信息化和軟件服務業工作座談會上明確提出:“推進《工業控制系統信息安全防護指南》(下文簡稱《指南》)的宣貫落實,提升工業信息系統安全保障能力”,這是工信部第一次在公開途徑發布《指南》的有關消息。千呼萬煥,2016年10月17日,在451號文件發布的5年后,《指南》終于正式印發。
該《指南》的印發是對習總書記在“4.19”講話精神中明確強調“采取有效措施,切實做好國家關鍵信息基礎設施安全防護”的貫徹落實,也充分體現了11月7日發布的《國家網絡安全法》中的有關條款要求。《指南》的及時發布,為工業企業和地方主管部門提供了一個有力的上位文件指導,為工業企業如何開展工業控制系統信息安全工作提供了可操作性的防護措施,并可進一步提升相關人員的工業控制系統信息安全防護意識,推進產業的整體良性發展,切實提升國家關鍵信息基礎設施控制系統的安全防護水平。
同時,也從另一個角度也可以體現國家對工業控制系統信息安全的重視。近兩年,從公開信息統計,國家對工業控制系統信息安全項目投資逐漸提高。各部委(發改委、工信部、科技部等)在工業控制系統信息安全方面累計建設和產業化投資已超過10億元。行業進入了快速發展階段,各行業協會、產業聯盟、軟/硬服務廠商等積極參與到產業發展當中,成果顯著。本《指南》明確了適用于工業控制系統信息安全的防護技術、管理體系,對工業控制系統信息安全如何防護、培訓指導、技術研發、責任落實、應急響應等,都有了明確的內容指導。
本文將就《指南》在實際應用中如何快速落地進行解讀,并閘述了如何利用《指南》去開展工業控制系統信息安全工作,制訂建設方案,以及相關產業、產品如何受益等。
《指南》共分為11個大項30個條目,涵蓋了安全技術體系和安全管理體系。
1 安全技術體系
工業控制系統信息安全事關經濟發展、社會穩定和國家安全。近年來,隨著新一代信息技術對工業生產活動各業務環節的不斷滲透,工業控制系統從單機走向互聯,從封閉走向開放,從自動化走向智能化。在生產力顯著提高的同時,工業控制系統面臨著日益嚴峻的信息安全威脅。
其中,安全技術體系設計是工業控制系統信息安全防護的重要部分和核心,其思想主要是:構建集安全防護能力、安全風險監測能力、 應急響應能力和災難恢復能力于一體的安全技術保障體系,切實保障工控系統信息安全。安全技術體系由應用安全防護、網絡安全防護、物理安全防護、主機安全防護和數據安全防護等環節構成。
1.1 應用安全防護
應用安全防護在《指南》中體現在第一、二條,主要強調了對病毒防護和惡意軟件及配置和補丁的管理。
在實際應用中,具體措施為:在工業主機應用程序多且復雜的情況下,選擇防病毒軟件;在工業主機應用程序少且簡單的情況下,選擇應用程序白名單軟件(application whitelisting)。應用白名單在管理上過于復雜,業務流程和應用存在不斷增長的復雜性和互連性,需要謹慎使用。需要建立工控系統防病毒和惡意軟件入侵管理機制,并保證機制執行的一套制度。管理制度應包括:防病毒和惡意軟件入侵管理的總體思路,防病毒軟件的選擇、安裝、升級及維護,發現病毒與惡意軟件的處理措施,對工控系統、臨時接入設備、移動設備等。
在新建工業控制系統時,要求工業控制網絡、工業主機和工業控制設備的供應商提供推薦的安全配置,建立安全配置清單;工業企業存量的工業控制網絡、工業主機和工業控制設備也可以由供應商推廣安全配置清單或者由第三方安全服務供應商經過嚴謹測試后提供安全配置清單。建立了安全配置清單,工業企業需要定期對工業控制網絡、工業主機和工業控制設備進行安全審計。在重大配置變更時,需要制定嚴謹的變更計劃。首先在離線環境進行安全測試,進行影響分析;重要控制系統,需要在檢修期間再進行變更操作,同時進行影響測試觀察,保證控制系統無影響運行。關注專業或權威機構發布的工業控制系統信息安全漏洞或工控系統供應商的補丁發布,其中權威機構的清單可參考plcscan.org上發表的《工業控制系統信息安全資源匯總(國內篇)》和《工業控制系統信息安全資源匯總(國外篇)》。建議工業企業采用第三方工業控制系統信息安全服務商對現場工控軟硬件匹配性安全漏洞通報及加固方案推薦。工業企業自身有安全服務能力的情況下,可以自行對升級補丁進行嚴格安全評估與測試驗證;服務能力不足的情況下,可以選擇專業的工業控制系統信息安全服務商協助進行補丁的安全評估與測試驗證。配置和補丁管理詳細的落地措施可以參考國標GB/T 32919-2016《信息安全技術 工業控制系統安全控制應用指南》的安全控制族配置管理(CM)和安全控制項SI-2,其中補丁評估與驗證方法還可參考CISSP的補丁與漏洞管理或IEC 62443-2-3的《Patch management in the IACS environment 》。
工控補丁管理流程
可能受益的產品或廠商包括:桌面防病毒軟件(360、安天、賽門鐵克等),應用白名單軟件(匡恩、威努特、谷神星等),安全配置核查工具(綠盟科技、啟明星辰等)。
1.2 網絡安全防護
網絡安全防護方面,《指南》側重說明了邊界安全防護,重點寫明了開發、測試環境和生產環境之間、控制網與互聯網或企業網之間、控制網不同區域之間的邊界防護問題。
工業控制系統的開發、測試環境與生產環境的安全要求不同,執行不一樣的安全控制措施,需要將安全要求不同的環境分離出來,比如物理隔離或其它安全隔離手段。開發測試環境需要經常變動配置,應用各種工具,接入各種外設,如果與生產環境沒有分離,可能對生產環境造成干擾及威脅引入。
工控控制網絡邊界安全防護設備包括工業防火墻、工業網閘、單向隔離設備及企業定制的邊界安全防護網關。工控網絡與企業網互連,根據工控網絡的重要性及現場需求來選擇工業防火墻、工業網閘、單向隔離設備及邊界安全防護網關。工控網絡與互聯網相連,建議選擇單向隔離設備,如果對現場業務有影響,盡量選擇安全級別高的設備進行安全防護。具體選擇哪種隔離設備,可以通過第三方安全評估單位對現場進行評估后,給出適合現場需要的邊界隔離方案。
工控網絡安全區域之間的安全防護,建議根據區域重要性和業務需求來選擇使用工業防火墻、網閘還是其它安全隔離裝置。可以通過第三方安全評估單位對現場進行評估后,給出適合現場需要的區域隔離方案。
可能受益的產品或廠商包括:工業防火墻(海天煒業、三零衛士、中科網威、匡恩、威努特等),工業網閘(力控華康、啟明星辰、網神等),單向隔離網關(珠海鴻瑞、科東、南瑞、東方電子等)。
工業企業具體選擇工業防火墻、網閘、單向隔離設備和邊界安全網關等供應商時,可參考計算機信息系統安全專用產品銷售許可服務平臺:http://www.ispl.com.cn/ispl/jsp/common/ProductList_Public.jsp。
1.3 物理安全防護
物理安全防護:包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。具體措施為工控系統的機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內;機房各出入口應安排專人值守或配置電子門禁系統,控制、鑒別和記錄人員的進出情況;對機房設置視頻監控和報警系統;機房建筑設置避雷裝置,建立備用供電系統等。
對重要工控資產所在區域,需要采取雙因子防護措施,比如門禁加視頻監控、專人值守登記加門禁等,進入重要區域實現先備案,可被審計或追溯。
對常規工業主機上的USB、光驅、無線等接口進行拆除或封閉。確需使用,可以使用終端外設統一接入方式進行管理或對有外設的主機實行隔離存放,使用需要經過審批及訪問控制才能接觸。工業企業需要定期對工業主機的外設配置及使用情況進行審計,發現并消除風險。
可能受益的產品或廠商包括:工業終端管理(中電瑞鎧、匡恩、威努特等)。
1.4 主機安全防護
主機安全防護主要體現在第五條的身份認證和第六條的遠程訪問安全。包括主機安全、身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制。具體措施為對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別。對工業主機、應用服務資源、工業云平臺等訪問或使用過程中使用身份認證管理,對不支持身份認證管理的資產,進行物理上的訪問控制。對于關鍵資源的訪問需要根據重要性級別實行多因素訪問。工業企業工控系統賬戶權限采用申請制,以滿足工作要求的最小權限原則來進行賬戶權限分配,并定期審計分配的權限是否超出工作需要。對工業控制設備、SCADA軟件、工業通信設備等需要登錄賬戶及密碼的情況,可以采用供應商推薦的密碼強度,工業企業也可以根據資產重要性采取不同強度的賬戶及密碼,并避免使用默認口令或弱口令。對資產的登陸賬戶及密碼的保存,需要采取嚴密的統一管理措施,并定期對賬戶及密碼進行審計與更新。身份認證證書在不同系統或網絡環境下分別使用,保護證書暴露后對系統和網絡的影響范圍。重要的身份認證證書,可以采用USB key的方式進行保護。
工業控制系統與互聯網互連需要進行邊界安全防護,并關閉通用的網絡服務。由于許多工業控制產品在設計之初只考慮了應用的功能需求,而并未考慮安全需求,開放了通用網絡服務,而這些服務存在嚴重的安全漏洞。如果一定需要通用網絡服務,需要設置DMZ區域,將通用網絡服務放置在此區域,并且DMZ區域與工控系統采用嚴格的邊界安全防護措施。需要進行遠程訪問的,需要在邊界上使用單向隔離裝置,并對訪問時限進行備案控制,保證在數據訪問時,遠程訪問側不允許對單向隔離裝置進行配置變更,只允許控制網側進行配置變更。另外,使用需要遠程維護的,可以采用專網或VPN進行遠程接入,對接入賬號實行專人專號,并對接入賬戶進行操作記錄審計。也可以考慮在工控設備前端使用專用的VPN設備連接網絡。對工控系統相關訪問日志進行保護,定期對訪問日志進行異地備份,并對操作過程進行合規性審計。
可能受益的產品或廠商包括:VPN接入設備(珠海鴻瑞、T-BOX、MOXA、研華、東土等)。
1.5 數據安全防護
包括數據完整性、數據保密性、備份和恢復。具體措施為:能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸和存儲過程中完整性受到破壞, 并在檢測到完整性錯誤時采取必要的恢復措施; 采用加密或其他有效措施實現系統管理數據、鑒別信息和重要業務數據傳輸和存儲的保密性; 提供數據本地備份與恢復功能,保證完全數據定期備份,備份介質場外存放; 提供主要網絡設備、通信線路和數據處理系統的硬件冗余,保證系統的高可用性。對工控系統的測試數據需要進行保護,比如委托的第三方服務機構,需要簽訂保密協議,并對測試數據進行回收保護。
2 安全管理體系
工控系統安全管理體系是一個不斷完善、不斷改進的過程,隨著外部情況及內部條件的改變,需要對管理體系的內容及范圍做相應的調整, 以適應變化。最終達到管理體系為工控系統安全的成功實施起 到保駕護航的作用。在《指南》中,安全管理防護體系由系統運維管理、系統建設管理、安全制度和機構管理等部分組成。
2.1 系統運維管理
系統運維管理強調對異常行為監測和應急預案演練的管理體系建設。包括網絡攻擊監測、異常行為監測、工業協議深度包檢測、監控管理和安全管理中心、安全事件處置、應急預案管理等,各環節應符合國家及行業標準的要求。
其中,如果部署監測管理設備,需要能即時發現網絡攻擊或異常風險,及時告警,并推薦風險解決方案,工業企業需要及時處理風險或委托第三方安全服務商進行快速處理。
在重要工控設備前端推薦部署帶有深度包檢測功能的防護設備,限制對重要設備的寫操作,同時防護設備本身不能因為設置過濾規則過多而造成誤過濾,影響業務連續性。
工業企業需要自主或委托第三方工業控制系統信息安全服務廠商制定工業控制系統信息安全事件應急響應預案,當遭受安全威脅導致工控系統出現異常或故障時,第一時間恢復業務,并對現場進行保護,方便取證。企業需要針對自身業務特點,起草應急響應方案,并定期模擬、演練。
2.2 系統建設管理
系統建設管理主要體現為第八條和第十條,即資產管理和供應鏈管理。資產管理包括資產管理、介質管理、設備管理等,建立工控軟、硬件資產清單,明確資產責任人,定期對資產進行安全巡檢,審計對資產的操作記錄,并檢查資產的運行狀態,及時發現風險。對工控系統中的關鍵組件進行冗余配置,包括端口冗余、網絡冗余、設備冗余、軟件冗余等,根據業務需要選擇冷備份與熱備份或同時運行的方式。
供應鏈管理需要統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案, 并形成配套文件。組織相關部門和有關安全技術專家進行論證和審定,并經過行業監管機構、上級信息安全主管部門和相應生產調度機構的審核。在選擇工控系統規劃、設計、建設、運維或評估服務商時,優先考慮有工業控制系統信息安全防護經驗的服務商,工業企業在選擇工控系統安全防護建設、運維或評估等服務商時,也是要優先考慮具備工業控制系統信息安全防護與服務經驗的服務商,并以合同等方式明確服務商應承擔的信息安全責任與義務,比如保密義務、安全防護義務等。服務商需要以保密協議的方式為工業企業的業務數據、網絡結構、設備清單等接觸到的一切工業企業信息進行保密,尤其是通過普查、調研、檢查、審計等獲取的企業敏感數據,對外部人員允許訪問的區域、系統、設備、信息等內容應進行書面的規定,并按照規定執行。
2.3 安全管理制度和機構
明確由主管安全生產的領導作為工控系統安全防護的主要責任人, 成立指導和管理信息安全工作的協調小組或委員會;設立信息安全管理工作的職能部門;制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。嚴格規范人員錄用過程,對被錄用人員的 身份、背景、專業資格和資質等進行審查,對其所具有的技術技能進行考核;與安全管理員、系統管理員、網絡管理員等關鍵崗位的人員簽署保密協議; 定期對各個崗位的人員進行安全意識教育、崗位技能培訓和相關安全技術培訓及安全認知的考核。逐步建立重要工業控制系統信息安全漏洞和事件的通報、推送和共享機制。部署工業控制系統信息安全防護管理與技術措施,逐步建立工業控制系統信息安全企業保障體系。
總結:對應美國國土安全部的工業控制系統信息安全“七步驟”,該指南更加詳細、全面,突顯了服務保障理念,兼顧了技術體系和管理體系,為政府、企業、科研機構和用戶等相關產業部門提供參考。當然,該指南還只是指導性文件,未來產業如何進一步發展,還需要相關執行標準的進一步健全、完善和落地,從而全面保障關鍵信息基礎設施安全。
本文由燈塔實驗室(plcscan.org)和工業控制系統信息安全產業聯盟(icsisia.com)聯合發布,特別感謝《指南》的牽頭編制單位工信部電子一所(電子科學技術情報研究所)的大力指導。由于《指南》發布不久,管窺之見,未盡事宜,歡迎來函指正。
參考文獻:
【1】Seven Steps to Effectively Defend Industrial Control Systems_S508C.
https://ics-cert.us-cert.gov/sites/default/files/documents/Seven%20Steps%20to%20Effectively%20Defend%20Industrial%20Control%20Systems_S508C.pdf,
【2】CISSP認證考試指南(第六版).
【3】IEC 62443-2-3.
【4】PLCSCAN.ORG.
【5】工業控制系統信息安全防護體系研究 《工業控制計算機》2013 年第 26 卷第 10 期.
【6】GB/T 32919-2016《信息安全技術 工業控制系統安全控制應用指南》.
北京市公安局海淀分局備案號:11010802023656號