今日頭條
官方微信
官方抖音
資訊頻道1 工業控制系統信息安全產生的背景
工業控制系統在發展的過程中,經歷了三個方面的演進。
第一方面的演進,即工業控制系統技術由專用性向通用性演進:工控系統伴隨著IT技術的發展而發展,且大量采用IT通用軟硬件,如PC、操作系統、數據庫系統、以太網、TCP/IP協議等;
第二方面的演進,即工業控制系統由封閉性向開放性演進:互聯網、物聯網技術的發展,工業化與信息化的深度融合,使工控系統不再是一個獨立的系統,由封閉性向開放性演進。
第三方面的演進,即工業控制系統由硬系統向軟系統演進:工業控制系統由機械化、電氣化、電子化、軟件智能化方向不斷演進。即工業控制系統不斷地由硬系統向軟系統演進。
總之,工業控制系統在不斷的發展過程中,打破了專用性、封閉性、硬系統,不斷向信息化、智能化方向演進。由此把信息系統的安全問題延伸到了工業控制系統當中,并且由于客體的重要性和脆弱性,使得信息系統安全問題在工業控制系統中進一步放大。
啟明星辰作為國內資深的信息系統安全公司,具有先進的信息系統安全理念和最佳的安全實踐。啟明星辰從2010著手研究工業控制系統信息安全問題,定位了“工業控制系統安全是IT系統安全的延伸,但又具有自身顯著的特點”論點,提出了工業控制系統信息安全“四化”理念和整體解決方案,力求為國家工業控制系統信息安全做出自己的貢獻。
2 工業控制系統面臨的風險
工業控制系統技術上和管理上的脆弱性,加上來自于不同威脅源帶來的威脅,給工業控制系統從不同途徑帶來了不同的風險。
2.1 工業控制系統技術上的脆弱性
首先,工業控制系統從機械化、電氣化、電子化、軟件智能化逐步發展而來,在設計的過程中專注于系統的可用性問題,對工業控制系統的安全性考慮不足,給現代智能化工業控制系統安全性帶來了先天不足。其次,考慮到工業控制系統兼容性的問題,工業控制系統也無法及時安裝系統補丁,無法有效使用殺毒軟件。再次,工控系統的信息安全防護落后于IT系統,使得IT系統的安全問題延伸到工控系統,并得以放大。最后,隨著工業以太網技術的發展,實現了以太網從管理網到生產網一網到底,使入侵行為在邏輯上暢通無阻,把脆弱的工控系統暴露無遺。
總之,工業控制系統先天信息安全技術措施的不足,和后天信息安全技術措施的滯后,導致工控系統相當脆弱。
2.2 工業控制系統管理上的脆弱性
工業控制系統信息安全不僅是一個技術問題,更是一個管理問題,需要完善的工業控制系統信息安全政策、標準、制度和安全意識來支撐。IT系統經過多年的發展,已經具備完善的安全管理體系。工業控制系統管理可以借鑒IT系統信息安全管理體系,結合自身的特點,建立工業控制系統信息安全管理體系。
工控系統的信息安全管理,與IT安全管理有許多不同,易用性是工控系統信息安全管理考慮的第一要素。相對信息系統用戶來說,工控系統用戶信息安全意識更加薄弱。急需通過多種途徑,如培訓、制度、績效考核等來提升工控系統用戶的信息安全意識。
2.3 工業控制系統的威脅源
工業控制系統面臨的威脅多種多樣,但可以根據其屬性,劃分為內部威脅、外部威脅、可用性威脅,由于可用性在工業控制系統中的重要性,所以把可用性威脅也作為一種重要的威脅。從表1可以看出,內部威脅是工控系統面臨的主要威脅。當然,因不同的行業、不同的生產企業,威脅源造成的風險等級會有比較大的差異。
2.4 工業控制系統風險引入的途徑
工業控制系統風險引入的途徑,大致可以分為以下幾種:
(1)來自互聯網入侵者的攻擊,這種攻擊如果對工業控制系統造成影響,對于攻擊者來說,后果很嚴重,一般攻擊者對工業控制系統的惡意攻擊慎之又慎;
(2)來自企業內部有意或無意的攻擊;
(3)遠程網絡劫持攻擊;
(4)現場操作人員誤操作或惡意操作;
(5)現場運維人員帶來的風險;
(6)遠程運維人員帶來的風險。如圖1所示。
3 工業控制系統信息安全理念
工業控制系統信息安全屬于信息系統安全與自動化控制系統的交叉學科,既是信息系統安全的延伸,又具有自身顯著的特點。因此,我們基于信息系統安全理念和最佳實踐,結合工業控制系統的特點,提出工業控制系統“四化”信息安全理念。
表1 威脅源等級比較
3.1 工控系統信息安全理念之—“白名單化”
所謂“白名單”,就是加注了標識的進程、服務、網絡訪問行為以及設備等。對于工業控制系統中的PC、服務器的進程、服務的“白名單”可以通過工控終端安全管理系統和手動優化加固來進行;對工業控制系統訪問控制“白名單”,可以通過防火墻、工業交換機、工業防火墻等進行通信白名單打造;對于工業控制系統資產“白名單”可以通過資產管理系統來識別非法設備進入工控系統。
總之,通過為工業控制系統打造“白名單”,使工業控制系統實現系統的可信、網絡的可信。
3.2 工控系統信息安全理念之——層次化
工業控制系統中不僅存在工控協議、OPC協議、網絡通信協議,而且存在著多種功能層次,如生產過程層、生產監控層、經營管理層。因此,依據工控系統的功能特點,我們提出了“三層結構,二層防護”的方案,在實現的過程中進一步細化為“分層、分域、分等級”。
圖1 工業控制系統風險引入途徑
第一層的隔離防護,是經營管理層與生產監控層的隔離防護。第一層隔離防護主要完成訪問控制、惡意代碼過濾、身份鑒別以及入侵檢測與審計。
第二層的隔離防護,是生產監控層與生產過程層之間的隔離防護。第二層防護主要完成工業協議及其指令的白名單過濾,以及工控系統異常行為檢測與審計。
3.3 工控系統信息安全理念之——邊緣化
從工控系統演變過程可以看到,工控系統最初是獨立的自動控制系統,但隨著信息化的發展,以及智能控制的要求,不斷地引入IT技術、互聯網技術,從而使工控系統智能化程度越來越高,這樣提高了工業生產效率,同時也引入了工業控制系統信息安全問題。因此解決生產過程層周邊的信息化安全,即進行“邊緣化”,那么工業控制系統的生產過程層也相對安全了。
因此,工控系統信息安全,需要加強設備控制層以上監控層、業務管理層信息安全,如:SCADA、MES、ERP安全。設備控制層安全大部分由功能安全來保證。
3.4 工控系統信息安全理念之——透明化
工業控制系統信息安全主要的特點是要保證工控系統的“可用性”,因此,針對工控系統采取的任何安全措施,都在不影響工控系統“可用性”的前提下進行,也就是說工控系統采取的安全措施必須是“透明化”的。
工控系統信息安全采取的技術措施、管理措施,不能夠降低系統使用者的易用性,安全措施對使用者來說是透明的。
工控系統信息安全解決方案,不能夠降低系統的可用性,盡可能避免系統的延時(如果有延時,必須在可接受的范圍之內)。
4 工控系統信息安全方法論
基于工控系統信息安全防護理念,從四個維度,提出工業控制系統信息安全解決方法論。如圖2所示。
圖2 工業控制系統“四化”信息安全理念
圖3 工業控制系統縱向分層、橫向分域
4.1 工控系統安全防護
工控系統安全防護的前提是進行分層、分域。一般來說,我們把工控系統進行縱向分層,橫向分域,如圖4所示。層與層之間依據其不同屬性,采取不同的防護措施;依據域的不同屬性,采取不同的防護措施。
4.2 工控系統安全加固
工控系統在“分層分域”的基礎上,需要依據區域的不同屬性,賦予不同的等級加固。例如,可以對生產管理區域、生產服務器區域、經驗管理區域、管理服務器區域、MES服務器區域進行加固,甚至可以對生產過程層的PLC進行加固。
4.3 工控系統安全監控
針對工控系統的監控,需要進行以下三個方面的監控,即可用性監控、工控系統網絡行為監控、工控系統指令監控。
(1)工控系統可用性監控
工控系統可用性監控主要是監控工業交換機、操作員站、工程師站、應用服務器、數據庫、PLC的CPU、MEM、磁盤、端口流量的狀態。如圖4所示。
圖4 工控系統可用性監控對象
(2)工控系統網絡行為監控
工控系統網絡行為監控,如圖5所示,主要對異常行為、運維行為、惡意行為、異常流量、生產控制行為進行監控,以保障工控系統穩定、持續運行。
圖5 工控系統網絡行為監控
(3)工控系統指令監控
工控系統指令監控主要依據生產工藝,結合專家經驗,對工控系統指令和參數建立防危系統,以防止違規指令和超限參數的使用。如圖6所示。
圖6 工控系統指令監控
4.4 工控系統安全運維
工控系統安全運維分為兩個方面,一個方面是對工控系統現場運行維護管理,另一個方面是對工控系統動態監控與靜態防護的運行維護管理。
(1)工控系統現場運維管理
工控系統現場運維是工控系統風險引入的主要途徑之一,現場運維人員很容易把病毒、木馬引入脆弱的工控系統,同時,現場運維人員對工控系統數據的上傳下載管理,都處于無防護、無監控狀態。因此,要保障工控系統安全,必須加強對工控系統現場運維人員的管理。
(2)工控系統現場動態監控與靜態防護的運維管理(如圖7所示)
通過安全加固和安全防護的對工控系統的靜態防護,通過指令監控、可用性監控、安全事件監控,實現了對工控系統的動態監控,靜態防護與動態防護的有機結合,需要通過運維管理制度、運維管理流程、運維管理人員才能夠完成,使工控系統安全保障成為一個有機的整體。
圖7 工控系統現場動態監控與靜態防護的運維管理
5 結語
隨著全世界范圍內各領域工業控制系統信息安全事故越發頻繁的發生,人們對工業控制系統信息安全更加關注,工業控制系統信息安全問題亟待解決。本文通過對工業控制系統信息安全需求的切實分析,提出了符合工業控制系統的“四化”安全理念,并基于“四化”理念,從安全加固、安全防護、安全監控、安全運維四個維度提出了工控系統信息安全方法論。
作者簡介
張曄(1973-),男,本科,現就職于啟明星辰集團公司,主要研究方向為工業控制系統信息安全。發明了工業控制系統現場運維審計與管理系統,填補了國內該產品的空白;發明了動態安全保障體系模型和等級保護技術架構模型;在國內首次提出了工控系統信息安全的“四化”理念。
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號