今日頭條
官方微信
官方抖音
資訊頻道曾幾何時,信息安全與工業(yè)控制系統(tǒng)這個“獨立王國”還扯不上關(guān)系,但2010年的“Stuxnet”病毒事件讓人們恍然大悟:原來“獨立王國”也有淪陷的時候。于是國家和企業(yè)都重視起來,紛紛采取行動,當然,IT 安全從業(yè)者也在行動。
本文主要從工控系統(tǒng)信息安全實踐和實踐中的問題兩個方面來談談筆者關(guān)于在工控安全實踐方面的積累和感受。
1 工控系統(tǒng)信息安全實踐
1.1 工控信息安全標準
感謝標準相關(guān)制定機構(gòu)以及參與制定的專家們,正是有了這些信息安全標準的制定,信息安全工作才有了方向。雖然工控信息安全標準編制工作國內(nèi)起步較晚,不過目前也有一些標準可以參考,如:等級保護基本要求、GB/T 30976……使企業(yè)開展信息安全工作有“法”可依,有據(jù)可查。下面簡單介紹等級保護基本要求和GB/T30976兩個標準。
(1)等級保護基本要求
等級保護基本要求是我國開展信息安全工作的最重要標準之一,從技術(shù)和管理兩個方面對信息系統(tǒng)的安全保護能力提出要求。其應用范圍較廣,適用于信息系統(tǒng)管理組織,信息系統(tǒng)產(chǎn)品廠商,信息系統(tǒng)集成商,信息安全咨詢服務企業(yè),第三方信息安全測評機構(gòu)等。
(2)信息安全標準GB/T30976
GB/T30976標準是新發(fā)布的專門針對工控系統(tǒng)的信息安全標準。該標準包括兩部分,第一部分從管理、技術(shù)能力兩個方面對工業(yè)控制系統(tǒng)風險的評估、分級進行了規(guī)范,也就是提要求。該標準同等級保護基本要求相似,只是側(cè)重點有所不同。第二部分對工業(yè)控制系統(tǒng)的信息安全驗收過程進行了規(guī)范。其分級如表1所示。
表1 信息安全標準 GB/T30976分級
1.2 等級保護在工控系統(tǒng)實踐關(guān)注點
和利時作為國內(nèi)工控行業(yè)領(lǐng)軍企業(yè),也是較早關(guān)注工控系統(tǒng)信息安全的企業(yè)之一。在之前對工控系統(tǒng)整體信息安全方面的研發(fā)實踐中主要參考等級保護基本要求。現(xiàn)階段在工控系統(tǒng)實踐中進行等級保護重點關(guān)注以下七個方面:工控網(wǎng)絡結(jié)構(gòu)、安全隔離、病毒防護、安全審計、身份鑒別、設備自身防護、邊界完整性。下面就每個方面做簡單介紹。
1.2.1 工控網(wǎng)絡結(jié)構(gòu)
圖1 工控網(wǎng)絡結(jié)構(gòu)
在等級保護基本要求里,其中有一條是對信息系統(tǒng)安全區(qū)域劃分的要求。跟據(jù)等級保護基本要求的特點,以及工控系統(tǒng)的特點,我們可以從縱向和橫向兩個維度對工控系統(tǒng)網(wǎng)絡進行結(jié)構(gòu)的劃分,劃分的方式可以根據(jù)控制系統(tǒng)的情況、環(huán)境的不同而不同,不能一概而論。總的原則是縱向分層,橫向分區(qū)。
例如DCS系統(tǒng),從縱向來說,可以劃分為現(xiàn)場控制層、過程監(jiān)控層、監(jiān)督控制層三個層面。如圖1所示。
在縱向劃分的基礎(chǔ)上,在每個層面可以橫向再劃分成安全區(qū)。例如,在現(xiàn)場控制層中,可以根據(jù)不同生產(chǎn)線、不同工藝流程進行劃分。
在過程監(jiān)控層中,主要包括現(xiàn)場的操作終端、服務器和工程師站。對于一些大型的DCS系統(tǒng),可以先按照生產(chǎn)線、生產(chǎn)工藝流程劃分成大的域,然后在每個生產(chǎn)線域內(nèi)再進行劃分成為服務器區(qū)、操作終端區(qū)、工程師站等。
1.2.2 安全隔離安全隔離主要涉及到隔離設備和隔離位置。
(1)主要隔離設備:工控防火墻
工控防火墻一些特點:
·對工控協(xié)議支持,如對OPC、ModBus等協(xié)議的支持。
·滿足工業(yè)環(huán)境的要求,如電磁干擾、抗震、防塵、絕緣、溫/濕度等。
·針對私有協(xié)議進行二次開發(fā),現(xiàn)在的工業(yè)控制系統(tǒng)很多使用自己的私有協(xié)議,需要進行二次開發(fā)才能使用。不進行二次開發(fā)也就只能進行端口過濾,意義不是很大。
(2)隔離位置
選擇什么位置進行隔離,基本可以參考傳統(tǒng)信息安全的相關(guān)原則,主要基于三個原則:在不同網(wǎng)絡邊界之間;不同安全區(qū)域邊界之間以及在控制器前隔離。
工控系統(tǒng)信息安全與傳統(tǒng)信息安全的不同就是在控制器前部署工控防火墻。基于兩個方面的原因:一是限制訪問控制。控制器不是所有終端設備都能訪問的,也沒必要允許任何設備都可以訪問,需要限制有權(quán)限的設備才能訪問。二是泛洪攻擊。雖然目前控制器的處理能力有所提高,但是想比于普通個人電腦,其處理能力還有很大差距,面對廣播風暴之類的大量數(shù)據(jù)包控制器基本還是無能為力。而目前工控系統(tǒng)維護方面碰到的最頭疼的問題之一就是廣播風暴的問題。工控防火墻部署在控制器之前,可以阻擋大量非法廣播包對控制器的影響,減輕控制器的處理負荷,從而保護控制器不受數(shù)據(jù)包泛洪等的影響。
1.2.3 病毒防護
在工控系統(tǒng)病毒防護中,目前國內(nèi)同行形成的一種共識就是采用軟件白名單方式,是因為:
(1)不需要頻繁升級病毒庫;
(2)不對進程進行查殺,刪除;
(3)只允許在白名單范圍內(nèi)的程序運行;
(4)工控系統(tǒng)安裝的程序比較單一、穩(wěn)定,適合白名單方式的運行機制環(huán)境。
1.2.4 安全審計
安全審計包括日志審計和流量監(jiān)控。網(wǎng)絡設備、主機系統(tǒng)的日志收集,審計與傳統(tǒng)信息安全一樣,用同樣的方法、方式就能滿足工控系統(tǒng)安全審計。唯一的區(qū)別是對工控軟件的日志集中收集問題,需要解決兩個問題:
(1)集中日志收集的支持;
(2)審計系統(tǒng)對工控軟件日志內(nèi)容,格式的支持(日志字段、警告級別,可能與傳統(tǒng)信息安全日志不太一樣),需要同工控廠商二次開發(fā)。
1.2.5 身份鑒別
(1)措施在工控軟件系統(tǒng)方面,身份鑒別采取的措施是:
·雙因子鑒別。等保基本要求三級里明確規(guī)定,對系統(tǒng)管理用戶需要進行雙因子身份鑒別,在工控系統(tǒng)中,工程師賬戶,值班長賬戶,網(wǎng)絡設備管理員等重要賬戶需要進行雙因子鑒別;雙因子可以是口令+證書、動態(tài)口令等方式。
·單因子鑒別。如操作員賬戶,用口令就可以了,口令的復雜度需要強一些。
(2)鑒別時機
工控系統(tǒng)中的鑒別時機,在以下三種情況下需要進行身份鑒別:
·登陸工控系統(tǒng)時;
·進行工程下裝時;
·重要參數(shù)修改時(如發(fā)電機轉(zhuǎn)速等)。
1.2.6 設備自身防護
設備自身防護包括三個方面:主機加固、網(wǎng)絡設備加固和工控系統(tǒng)自身的防護。
(1)主機操作系統(tǒng)加固
Windows系統(tǒng)使用普遍,使其經(jīng)常成為被攻擊的對象。對Windows的加固主要涉及:
·關(guān)閉多余服務;
·安裝系統(tǒng)補丁;
·刪除多余系統(tǒng)組件;
·開啟Windows系統(tǒng)自帶防火墻等。
(2)網(wǎng)絡設備加固
·關(guān)閉不需要的服務,如關(guān)閉HTTP/TELNET等;
·限制遠程管理地址;
·使用加密方式進行遠程管理;
·口令滿足復雜度等。
(3)工控系統(tǒng)自身的安全防護
采用合適的軟件開發(fā)模式,減少軟件漏洞。最基本的安全措施包括啟用身份鑒別、加強口令復雜度、用戶權(quán)限控制、日志記錄等。
1.2.7 邊界完整性
邊界完整性包括非授權(quán)設備的接入,外部數(shù)據(jù)輸入,無線網(wǎng)絡的使用。
(1)非授權(quán)設備接入:主要在網(wǎng)絡層面,關(guān)閉交換機閑置端口,對端口地址進行綁定等方式。
(2)外部數(shù)據(jù)輸入(如升級包等):進行U盤、光盤等移動介質(zhì)的管理。使用數(shù)據(jù)轉(zhuǎn)運系統(tǒng),所有輸入數(shù)據(jù),先存放在Linux系統(tǒng)安裝的文件服務器中,并進行病毒查殺,工控系統(tǒng)內(nèi)部終端設備在數(shù)據(jù)轉(zhuǎn)運系統(tǒng)中讀取數(shù)據(jù),這樣能夠避免U盤帶有病毒,并且可以在兩個不同的系統(tǒng)之間起到保護數(shù)據(jù)的作用。
(3)無線網(wǎng)絡的使用:在DCS系統(tǒng)中基本用不到,而在SCADA系統(tǒng)中經(jīng)常能用到,如油氣田等邊遠地區(qū),多使用無線信號傳輸數(shù)據(jù),需要考慮到無線信號的安全問題。安全措施主要是對無線信號加密,接入設備的認證等,無線網(wǎng)絡和有線網(wǎng)絡之間使用工控防火墻或網(wǎng)閘進行完全隔離。
2 實踐中出現(xiàn)的問題
在進行工控安全的實踐過程中,主要發(fā)現(xiàn)了兩個方面的問題:一體化和工控安全產(chǎn)品本身的問題。
(1)一體化
這里的一體化,簡單來說,是指工控廠商和信息安全廠商的深度合作,這方面目前還比較欠缺。傳統(tǒng)的信息安全,安全廠商可能繞開軟件系統(tǒng)廠商,直接面對用戶。而對于工控系統(tǒng),用戶雖然使用控制系統(tǒng)多年,但很多用戶仍然不了解控制系統(tǒng)內(nèi)部具體通信機制等情況。因此安全廠商需要與工控廠商深度合作,開發(fā)適用于工控系統(tǒng)的安全解決方案,經(jīng)過深入測試,由工控廠商和信息安全廠商聯(lián)合向客戶推廣更容易被接受。
(2)工控安全產(chǎn)品
在測試過程中,一些安全產(chǎn)品或多或少地發(fā)現(xiàn)了一些問題。
·可靠性
一些產(chǎn)品不滿足,如溫度、濕度、抗震等工業(yè)環(huán)境要求,設備自身功能不全,設備運行不穩(wěn)定等。
·可用性
目前工控安全產(chǎn)品不像傳統(tǒng)信息安全產(chǎn)品有多年的使用經(jīng)驗,工控安全產(chǎn)品缺少廣泛的試用,有些產(chǎn)品甚至剛開發(fā)出來。
(本文整理自“ 2015第四屆工業(yè)控制系統(tǒng)信息安全峰會”第三站的報告)
作者簡介
劉太洪(1978-),男,四川綿陽人,高級安全評估工程師,碩士,現(xiàn)就職于北京和利時系統(tǒng)工程有限公司。主要研究方向為工業(yè)控制系統(tǒng)信息安全,從事工業(yè)控制系統(tǒng)信息安全研究工作,并先后完成了和利時DCS系統(tǒng)的安全測評、目前市面上主流工業(yè)防火墻功能測試等工作。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號