今日頭條
官方微信
官方抖音
資訊頻道作者:北京和利時系統(tǒng)工程有限公司 劉盈,李宗杰,李根旺
摘要:隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展及工業(yè)大數(shù)據(jù)、大互聯(lián)時代的到來,工業(yè)控制系統(tǒng)的互聯(lián)互通已成為未來工控系統(tǒng)的發(fā)展趨勢。工業(yè)控制系統(tǒng)信息安全已成為今后工控系統(tǒng)設計中不可或缺的重要環(huán)節(jié)。本文的重點在于研究適用于工業(yè)控制系統(tǒng)的安全防護體系架構(gòu),在傳統(tǒng)被動防護體系的基礎上結(jié)合縱深防護理念,提出了工業(yè)控制系統(tǒng)信息安全主動防護體系,將可信計算、數(shù)字證書體系、深度協(xié)議控制、虛擬化隔離等安全技術融入工業(yè)控制系統(tǒng),并結(jié)合邊界防護、工業(yè)設備防護和核心控制器防護為工業(yè)控制系統(tǒng)運行提供安全保障。
關鍵詞:工業(yè)控制系統(tǒng);主動防護體系;可信計算
1 前言
在工業(yè)控制系統(tǒng)中,終端設備網(wǎng)絡化、智能化的趨勢越來越明顯。隨著控制系統(tǒng)日漸走向網(wǎng)絡化、集成化、分布化的發(fā)展趨勢,信息安全成為影響工控系統(tǒng)正常運行的重要問題。現(xiàn)有的工業(yè)控制系統(tǒng)防護主要通過防火墻、工業(yè)網(wǎng)閘等網(wǎng)絡防護設備構(gòu)建邊界防護和基于主機和操作系統(tǒng)的加固防護技術,此類防護手段主要作用于攻擊或威脅發(fā)生后,屬于被動防御。本文提出針對工業(yè)控制系統(tǒng)的信息安全功能和防護架構(gòu)將通過基于數(shù)字證書的身份認證、融合可信計算技術的工業(yè)控制器等一系列信息安全主動防護能力來實現(xiàn)工業(yè)信息安全的主動防御體系。
圖1 主動防護機制
2 典型工業(yè)信息安全防護機制
2.1 被動防護機制
傳統(tǒng)的信息安全防護機制通過對關鍵網(wǎng)絡節(jié)點和數(shù)據(jù)出入口采取必要的訪問控制和權(quán)限控制來達到信息安全防護的目的。傳統(tǒng)的被動式防護體系主要采用“封”、“堵”、“查”、“殺”的策略對保護系統(tǒng)環(huán)境進行安全過濾,主要依賴以下防護手段實現(xiàn):
2.1.1 區(qū)域邊界隔離
(1)物理區(qū)域隔離
物理區(qū)域隔離,本質(zhì)上通過在內(nèi)網(wǎng)和外網(wǎng)之間建立對直接或間接連接的阻隔,從而實現(xiàn)對內(nèi)外網(wǎng)之間的物理隔絕的隔離技術。嚴格意義上來說,物理隔離的建立首先在兩個網(wǎng)絡之間的物理上是互不連接的,其次物理隔離需在鏈路層上切斷內(nèi)網(wǎng)外之間的數(shù)據(jù)鏈接,因此無論使用防火墻、路由器或其他交換設備連接的網(wǎng)絡均不屬于物理隔離。物理隔離目前常用工業(yè)網(wǎng)閘實現(xiàn)。
物理隔離對數(shù)據(jù)的傳輸方向要求較高,并且實施成本較大,但在安全性方面要強于邏輯隔離。
(2)邏輯區(qū)域隔離
邏輯區(qū)域隔離,被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線,但通過技術手段保證被隔離的兩端沒有數(shù)據(jù)通道,即邏輯上隔離。主要通過軟件或硬件設備將兩個網(wǎng)絡進行虛擬分割,并保證網(wǎng)絡之間進行有條件的互訪。邏輯隔離通常采用VLAN和網(wǎng)絡防火墻等方式實現(xiàn)。
邏輯隔離具有部署簡便,操作性強,適用性廣等特點,但在安全程度上相較于物理隔離稍差。
2.1.2 邊界防護
通過邏輯或物理分區(qū)的方式將控制系統(tǒng)劃分為不同的區(qū)域,形成了多區(qū)域邊界的區(qū)域化結(jié)構(gòu),在各分區(qū)的邊界采用邊界防護手段,能夠有效控制各區(qū)域出入口的數(shù)據(jù)和流量安全。
邊界防護是被動防御體系的核心所在,通常通過網(wǎng)閘設備和防火墻實現(xiàn),以基礎架構(gòu)安全作為邊界防護的基礎,通過預置不同的安全策略和檢測特征來進行靜態(tài)防護,邊界防護技術針對絕大多數(shù)常見類型的威脅和攻擊具有很好的抵御效果,但對于未知威脅和APT攻擊卻很難發(fā)揮出決定性作用。
2.1.3 安全管理
安全管理主要包括漏洞掃描修復、安全審計記錄等手段對工業(yè)控制系統(tǒng)中存在的漏洞進行掃描和修復,防止存在的已知漏洞被惡意利用;審計系統(tǒng)則通過對發(fā)生的安全事件和非法數(shù)據(jù)流量進行審計記錄,對安全事件提供追蹤溯源能力。
2.1.4 主機防護
主機防護所針對的保護對象為系統(tǒng)內(nèi)的合法資產(chǎn),通過對已有主機的操作系統(tǒng)進行系統(tǒng)加固,關閉無關端口和無關服務達到服務和端口最小化的目的,從而切斷可能存在的威脅傳輸介質(zhì)。
防病毒軟件同樣被應用于對主機資產(chǎn)的防護,考慮到工業(yè)控制系統(tǒng)網(wǎng)絡隔離和難以保證病毒庫實時更新等問題,防病毒軟件在工業(yè)控制系統(tǒng)的應用主要采用白名單防護的形式。
圖2 傳統(tǒng)被動防護機制
2.2 縱深防護機制
縱深防護理念引入工業(yè)控制系統(tǒng)的信息安全解決方案是目前業(yè)內(nèi)廣泛接受的應用解決方案之一,工業(yè)控制系統(tǒng)的“縱深防護”旨在外部網(wǎng)絡與工業(yè)核心網(wǎng)絡之間構(gòu)建多層次的防護層,由于工業(yè)控制系統(tǒng)的功能層級化結(jié)構(gòu)明顯,縱深防護理念在工業(yè)控制系統(tǒng)的適用度更加明顯。
工控系統(tǒng)的縱深防護策略大體可分為四大類:
(1)安全管理
安全管理通過建立完善的安全管理流程、操作指南、安全業(yè)務管理和應急響應機制來完善信息安全防護能力。
(2)物理防護
物理防護指對工業(yè)控制現(xiàn)場和設備的物理訪問進行限制和約束。包括門禁、身份卡、監(jiān)控設備等。
(3)網(wǎng)絡防護
網(wǎng)絡防護包含基于網(wǎng)絡分區(qū)的安全架構(gòu),以及通過部署防火墻等邊界防護設備對網(wǎng)絡分區(qū)邊界節(jié)點的信息安全防護。
(4)主機防護
主機防護通過對主機操作系統(tǒng)的服務和配置加固、補丁管理、漏洞修復等完善操作系統(tǒng)的基本防護能力。此外,通過部署防病毒軟件對惡意代碼和惡意程序進行檢測和防護。
縱深防護機制在以上防護策略的基礎上,對不同層級采用不同針對性的安全措施,從而保護工業(yè)控制系統(tǒng)內(nèi)的資產(chǎn)和網(wǎng)絡安全。
3 工業(yè)控制系統(tǒng)主動防護機制
傳統(tǒng)的被動防護機制和縱深防護機制的融合對建立工業(yè)控制系統(tǒng)的信息安全防護體系起到了關鍵作用,融合后的工業(yè)信息安全防護體系主要仍然依靠固定的防護策略和靜態(tài)防護體系對威脅進行檢測和抵御,雖然一定程度上滿足了對外部網(wǎng)絡威脅的抵御需求,但針對未知威脅和來自于內(nèi)部的威脅卻難以發(fā)揮作用。在面對接口復雜、協(xié)議大量私有化的工業(yè)控制系統(tǒng)難免會捉襟見肘。
基于已有的工業(yè)信息安全防護體系,為解決信息安全防護在工控系統(tǒng)中存在的問題,進一步提出了針對工控系統(tǒng)的主動防護機制。主動防護機制基于可信計算技術、數(shù)字證書體系構(gòu)建能夠?qū)阂庑袨楹蛺阂馔{進行自診斷、自抵御的核心內(nèi)生安全體系。
3.1 控制層主動防護
多層級防護方面,在現(xiàn)有縱深防護的基礎上增加控制器核心安全防護層,通過提升控制系統(tǒng)核心控制器的安全抵御能力,將核心控制器作為安全的最后一道防線,采用可信計算和數(shù)字證書體系作為主動防護的基礎,進一步賦予工控系統(tǒng)控制層的核心防護能力。通過對可信計算平臺的引入,控制器將具備對未知威脅的主動發(fā)現(xiàn)和阻隔能力。
圖3 核心控制器可信計算平臺
3.2 網(wǎng)絡層主動防護
工業(yè)控制系統(tǒng)在系統(tǒng)網(wǎng)通信方向,通過對通信行為建模的方法,通過對正常工業(yè)通信行為進行機器學習,針對無法辨識出未知特征的攻擊或入侵行為進行檢測,實現(xiàn)對Profinet 、 Modbus-TCP、IEC-104、OPC-UA、DNP3.0等工業(yè)協(xié)議的訪問控制能力。
主動防御的工業(yè)協(xié)議訪問控制技術通過監(jiān)視并分析通信行為在入侵行為產(chǎn)生危害之前進行攔截,作為對基本訪問控制能力的強化補充
3.3 監(jiān)控層主動防護
主動防護機制引入數(shù)字證書的安全機制,解決設備固件更新階段的合法性和完整性度量,身份接入認證,保證工控設備在啟動與運行階段的可信性,從源頭建立安全可信的運行環(huán)境。
設備接入工業(yè)網(wǎng)絡之后,通過數(shù)字證書進行雙向認證,并提供CRL多種方式的證書有效性驗證,提供PKCS1/ PKCS7、attach/PKCS7、detach/XML等格式的數(shù)字簽名和數(shù)字簽名驗證功能。
U-key作為身份認證和加密傳輸?shù)年P鍵設備,作用于上層系統(tǒng),基于802.1x認證過程防止未授權(quán)登陸以保證系統(tǒng)的安全接入。支持對稱和非對稱加解密算法。U-key內(nèi)存儲有用于身份認證的數(shù)字證書可被上位機用于完成身份認證的工作。
圖4 數(shù)字證書認證流程
4 信息安全主動防護體系應用
工業(yè)信息安全主動防護體系,增加對控制層、網(wǎng)絡層、監(jiān)控層的主動防護技術的應用,并結(jié)合被動防御機制核心的邊界防護以及縱深防護機制的獨立防護策略,構(gòu)成對工業(yè)控制系統(tǒng)新的安全防護體系。主動防護體系在抵御外部已知威脅的同時,進而能夠?qū)ξ粗{以及從內(nèi)部發(fā)起的威脅進行有效抵御,全面保護工業(yè)控制系統(tǒng)的穩(wěn)定運行。
通過在現(xiàn)有工業(yè)控制系統(tǒng)的拓撲基礎上,增加可離線運行的數(shù)字證書管理平臺、高度集成的安全管控平臺以及集成主動安全防護技術的核心安全控制器,構(gòu)筑能夠?qū)σ阎{、未知威脅、外部非法訪問、內(nèi)部非法接入等各類信息安全威脅的核心抵御能力
圖5 主動安全防護體系應用拓撲
5 結(jié)語
隨著工業(yè)信息安全技術的不斷發(fā)展以及工業(yè)核心控制設備的不斷迭代,工業(yè)控制系統(tǒng)的信息安全防護體系會經(jīng)過不斷的演化和革新。在《中國制造2025》和工業(yè)互聯(lián)網(wǎng)大力發(fā)展的行業(yè)背景下,工業(yè)信息安全將會迎來快速發(fā)展的新時期。
工業(yè)控制系統(tǒng)封閉的網(wǎng)絡環(huán)境已經(jīng)被打開,工業(yè)信息安全防護的革新必須緊跟工業(yè)互聯(lián)網(wǎng)的發(fā)展腳步,構(gòu)建主動防御的工業(yè)信息安全防護,提升工業(yè)控制系統(tǒng)的核心安全能力刻不容緩。
( 注: 本研究依托國家高技術研究發(fā)展計劃“863計劃”先進制造技術領域“可編程嵌入式電子裝備的安全技術”項目“可編程嵌入式電子設備的安全防護技術及開發(fā)工具”課題任務進行。)
作者簡介:
劉盈(1990-),男 ,內(nèi)蒙古人,工程師,碩士,現(xiàn)就職于北京和利時系統(tǒng)工程有限公司,主要研究方向是電氣工程。
李宗杰(1983-),男 ,浙江人,工程師,碩士,現(xiàn)就職于北京和利時系統(tǒng)工程有限公司,主要研究方向是計算機應用。
李根旺(1985-),男,河北人,高級工程師,碩士,現(xiàn)就職于北京和利時系統(tǒng)工程有限公司,主要研究方向是檢測技術與自動化裝置。
參考文獻:
[1] 工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護指南[Z]. 2016, 10.
[2] 馮登國. 可信計算-理論與實踐[M]. 北京: 清華大學出版社, 2013, 5.
北京市公安局海淀分局備案號:11010802023656號