1 引言
隨著計(jì)算機(jī)和網(wǎng)絡(luò)新技術(shù)(工業(yè)物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云平臺(tái)等)的快速發(fā)展,以及兩化融合和智能制造的不斷推進(jìn),工業(yè)控制系統(tǒng)廣泛采用了通用開放的工業(yè)協(xié)議、通用的硬件平臺(tái)技術(shù)和通用軟件組件,并且越來(lái)越多地以各種方式與公共網(wǎng)絡(luò)連接,病毒、木馬等信息安全威脅正從傳統(tǒng)的計(jì)算機(jī)系統(tǒng)向工業(yè)控制系統(tǒng)延伸。
近年來(lái),工控系統(tǒng)信息安全事件時(shí)有發(fā)生,針對(duì)工業(yè)控制系統(tǒng)的定向攻擊也日益增多,從震網(wǎng)、火焰、毒區(qū)病毒到黑色力量,網(wǎng)絡(luò)攻擊更加隱蔽、復(fù)雜多樣和規(guī)模化網(wǎng)絡(luò)化協(xié)同。面對(duì)日益復(fù)雜的縱深滲透、動(dòng)態(tài)協(xié)同的規(guī)模化、網(wǎng)絡(luò)化攻擊,僅依靠傳統(tǒng)防火墻和IT信息安全技術(shù)體系已無(wú)法有效應(yīng)對(duì),亟需設(shè)計(jì)工業(yè)控制系統(tǒng)自內(nèi)而外的綜合性深度防護(hù)技術(shù)體系,突破信息物理空間深度融合場(chǎng)景下的工控安全防護(hù)難題,從工業(yè)控制系統(tǒng)內(nèi)在機(jī)理上實(shí)現(xiàn)工業(yè)控制系統(tǒng)的深度安全。
針對(duì)工控領(lǐng)域的網(wǎng)絡(luò)安全問(wèn)題,國(guó)內(nèi)外專家進(jìn)行了一系列研究工作。美國(guó)能源部發(fā)表了提升SCADA網(wǎng)絡(luò)信息安全性的21個(gè)步驟,用于指導(dǎo)SCADA系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)[1];美國(guó)國(guó)土安全部整理了工業(yè)領(lǐng)域推薦的旨在防范物理攻擊和網(wǎng)絡(luò)攻擊的控制系統(tǒng)安全程序[2];該部門還提出了面向控制系統(tǒng)網(wǎng)絡(luò)和多層信息架構(gòu)的縱深防御策略,解決多種網(wǎng)絡(luò)集成所帶來(lái)的安全風(fēng)險(xiǎn)[3];Kilman等人則建立了SCADA系統(tǒng)的安全策略框架,涵蓋風(fēng)險(xiǎn)管理程序、數(shù)據(jù)安全等諸多層面[4]。
本文在現(xiàn)有研究的基礎(chǔ)之上,結(jié)合工業(yè)控制領(lǐng)域多年的設(shè)計(jì)應(yīng)用經(jīng)驗(yàn),對(duì)網(wǎng)絡(luò)化控制系統(tǒng)當(dāng)前所面臨的典型安全威脅進(jìn)行了匯總分析,并提出了網(wǎng)絡(luò)化控制系統(tǒng)深度安全體系架構(gòu),能夠保障全生命周期的安全性、可靠性和可用性。
2 網(wǎng)絡(luò)化控制系統(tǒng)脆弱性分析
網(wǎng)絡(luò)化控制系統(tǒng)典型模型如圖1所示。被控對(duì)象是化工廠或核電站等現(xiàn)場(chǎng)裝備,控制站從變送器采集數(shù)據(jù),執(zhí)行控制程序,并輸出到閥門對(duì)被控對(duì)象進(jìn)行控制;工程師站負(fù)責(zé)組態(tài)、下裝和發(fā)布;操作站負(fù)責(zé)HMI操控;接口站負(fù)責(zé)異構(gòu)系統(tǒng)及MES通信接口。
圖1 網(wǎng)絡(luò)化控制系統(tǒng)典型模型
網(wǎng)絡(luò)化控制系統(tǒng)的關(guān)鍵部件是控制單元(嵌入式平臺(tái))、工業(yè)網(wǎng)絡(luò)(工業(yè)協(xié)議)和監(jiān)控平臺(tái)(組態(tài)/監(jiān)控軟件),核心功能是控制功能和監(jiān)視功能。由于流程工業(yè)應(yīng)用環(huán)境往往高溫、高壓、易燃、易爆,控制和監(jiān)視功能都要求連續(xù)而不可間斷,可用性達(dá)到99.999%。誤動(dòng)、拒動(dòng)和不可監(jiān)視都會(huì)導(dǎo)致嚴(yán)重后果,造成非計(jì)劃停產(chǎn)、減產(chǎn)或裝置損壞,甚至人身傷亡和環(huán)境破壞。
隨著工業(yè)互聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)、云計(jì)算、邊緣智能等新技術(shù)在工業(yè)領(lǐng)域的廣泛應(yīng)用以及兩化融合、互聯(lián)網(wǎng)+和智能制造的推進(jìn),網(wǎng)絡(luò)化控制系統(tǒng)呈現(xiàn)開放、互聯(lián)和智能發(fā)展趨勢(shì),具體表現(xiàn)為:
·越來(lái)越開放的網(wǎng)絡(luò)(兩化融合、智能制造、互聯(lián)網(wǎng)+);
·開放的種類繁多的工控協(xié)議(Modbus等)和互聯(lián)網(wǎng)接口(遠(yuǎn)程維護(hù)、遠(yuǎn)程診斷等);
·通用化的軟硬件架構(gòu)和平臺(tái)技術(shù)(Windows、PC、TCP/IP、OPC);
·靈活應(yīng)用的移動(dòng)設(shè)備(移動(dòng)監(jiān)控、移動(dòng)巡檢、人員定位等);
·上下工藝多裝置多總線的互聯(lián)互通需求(網(wǎng)絡(luò)化控制系統(tǒng)成為工廠的數(shù)據(jù)中心)。
面對(duì)網(wǎng)絡(luò)化、信息化和智能化的新形勢(shì),工業(yè)控制系統(tǒng)傳統(tǒng)物理封閉的安全措施已無(wú)法保證,特別是大量已運(yùn)行多年的工業(yè)控制系統(tǒng)在網(wǎng)絡(luò)化、信息化改造后,將面臨較大的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)化控制系統(tǒng)脆弱性如表1所示。
表1 網(wǎng)絡(luò)化控制系統(tǒng)脆弱性
3 網(wǎng)絡(luò)化控制系統(tǒng)典型安全威脅
針對(duì)網(wǎng)絡(luò)化控制系統(tǒng)的攻擊往往是針對(duì)特定目標(biāo)(特定工藝或特定設(shè)備)的特定模式定向攻擊,并且融合網(wǎng)絡(luò)技術(shù)、工控技術(shù)和生產(chǎn)工藝技術(shù),攻擊模型復(fù)雜,技術(shù)綜合。無(wú)論Stuxnet病毒[5]、Havex病毒[6],還是BlackEnergy[7],都是蓄謀已久,深入工業(yè)控制系統(tǒng)內(nèi)在機(jī)理,非常隱蔽,綜合傳統(tǒng)網(wǎng)絡(luò)攻擊手段和圍繞工控系統(tǒng)脆弱性進(jìn)行弱點(diǎn)攻擊的方法,采取由外而內(nèi)、層層滲透的攻擊手段,最終挾持控制了工業(yè)控制系統(tǒng),使其執(zhí)行錯(cuò)誤的動(dòng)作但毫無(wú)察覺或不可恢復(fù)。基本原理如下:
(1)態(tài)勢(shì)感知:綜合多種方法和手段,選擇攻擊目標(biāo),并收集目標(biāo)信息,常見方法有:
·針對(duì)工業(yè)領(lǐng)域上市公司或特定目標(biāo)進(jìn)行網(wǎng)絡(luò)掃描,從門戶網(wǎng)站或信息系統(tǒng)網(wǎng)絡(luò)入口進(jìn)行滲透;
·采用SHADON、ZOOMEYE等工控系統(tǒng)專項(xiàng)掃描工具,通過(guò)工控系統(tǒng)的特征碼、特定端口或網(wǎng)絡(luò)接口描述從網(wǎng)絡(luò)上搜索查找攻擊目標(biāo)[8];
·采用社會(huì)工程學(xué)或間諜等其他手段搜索目標(biāo)信息。
(2)網(wǎng)絡(luò)攻擊:利用操作系統(tǒng)和防火墻的漏洞或后面,通過(guò)網(wǎng)絡(luò)滲透(遠(yuǎn)程訪問(wèn)接口、OPC通信接口、無(wú)線網(wǎng)絡(luò)接口、企業(yè)門戶接口等)、擺渡(U盤、移動(dòng)設(shè)備等)、社交工具(郵件等)等手段,攻擊并控制工業(yè)控制系統(tǒng)的工作站或接口設(shè)備。
(3)工控系統(tǒng)定向攻擊:針對(duì)工控系統(tǒng)架構(gòu)的脆弱性,進(jìn)行最后的致命一擊,挾持控制工業(yè)控制系統(tǒng),執(zhí)行錯(cuò)誤的動(dòng)作且不被察覺。主要攻擊方法有:
·工業(yè)網(wǎng)絡(luò)攻擊方法:堵塞或中斷網(wǎng)絡(luò)、工業(yè)協(xié)議已知漏洞攻擊、工業(yè)協(xié)議fuzzing攻擊、工業(yè)協(xié)議大量數(shù)據(jù)包攻擊、偽造控制指令攻擊、偽裝實(shí)時(shí)數(shù)據(jù)攻擊[9];
·監(jiān)控平臺(tái)攻擊方法:木馬攻擊、KillDisk攻擊、竊取關(guān)鍵工藝或數(shù)據(jù)、通信DLL中間人攻擊、篡改組態(tài)等關(guān)鍵數(shù)據(jù)、挾持組態(tài)/監(jiān)控軟件攻擊(發(fā)送錯(cuò)誤指令、顯示錯(cuò)誤數(shù)據(jù)等)[10];
·控制單位攻擊方法:嵌入式平臺(tái)已知漏洞攻擊、超級(jí)后門攻擊、固件升級(jí)或配置接口攻擊。
從攻擊鏈分析,網(wǎng)絡(luò)化控制系統(tǒng)典型威脅如表2所示,典型威脅模型如圖2所示。
表2 典型的安全威脅
圖2 典型威脅模型
4 網(wǎng)絡(luò)化控制系統(tǒng)安全防護(hù)設(shè)計(jì)
由于工業(yè)控制系統(tǒng)固有的特性和局限性(確定的功能、強(qiáng)實(shí)時(shí)和連續(xù)控制需求、專有的平臺(tái)和技術(shù)、受攻擊后嚴(yán)重的后果、嵌入式平臺(tái)受限的性能等),網(wǎng)絡(luò)化控制系統(tǒng)安全防護(hù)設(shè)計(jì)有別于IT信息安全,采取不同的工作原理和安全策略。網(wǎng)絡(luò)化控制系統(tǒng)安全防護(hù)的核心是內(nèi)建安全,圍繞工業(yè)控制系統(tǒng)的脆弱性,通過(guò)控制內(nèi)核自主可控、嵌入式平臺(tái)可信增強(qiáng)、容錯(cuò)架構(gòu)和系統(tǒng)自愈等關(guān)鍵技術(shù),構(gòu)建網(wǎng)絡(luò)化控制系統(tǒng)深度安全體系架構(gòu),保障全生命周期的安全性、可靠性、可用性。
網(wǎng)絡(luò)化控制系統(tǒng)防護(hù)設(shè)計(jì)核心目標(biāo)是信息安全、功能安全和操作安全一體化,實(shí)現(xiàn)高可用性、完整性和機(jī)密性。基于IEC61508和IEC62443國(guó)際標(biāo)準(zhǔn),以及工業(yè)控制系統(tǒng)典型失效模式,從硬件隨機(jī)失效(器件失效、電應(yīng)力、環(huán)境應(yīng)力、EMC、軟失效和通信典型故障燈)、系統(tǒng)失效(軟件、嵌入式、硬件和FPGA等部件開發(fā)過(guò)程的失效)和網(wǎng)絡(luò)攻擊(病毒、黑客等惡意攻擊)三個(gè)方面進(jìn)行系統(tǒng)性分析,采取FMEA分析、安全開發(fā)流程以及安全防護(hù)技術(shù)措施等綜合內(nèi)建安全設(shè)計(jì)方法和技術(shù)體系,實(shí)現(xiàn)網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)全方位的安全。
4.1 分層分域安全網(wǎng)絡(luò)架構(gòu)
針對(duì)大型工程項(xiàng)目規(guī)模化網(wǎng)絡(luò)、規(guī)模化并發(fā)實(shí)時(shí)數(shù)據(jù)的應(yīng)用需求,依托IEC62443-1-1、IEC62443-3-1和IEC62443-3-3,設(shè)計(jì)分層分域安全網(wǎng)絡(luò)架構(gòu),應(yīng)用層次化分布式網(wǎng)絡(luò)模型、多路徑優(yōu)化選擇的容錯(cuò)網(wǎng)絡(luò)技術(shù)、完善的網(wǎng)絡(luò)監(jiān)控和診斷體系、全面充分的網(wǎng)絡(luò)通訊驗(yàn)證等關(guān)鍵技術(shù),實(shí)現(xiàn)操作物理分區(qū)和控制物理分區(qū),安全分區(qū)之間管道支持安全隔離。并結(jié)合大型工程項(xiàng)目實(shí)踐,應(yīng)用大規(guī)模組網(wǎng)技術(shù),包括 “總分結(jié)構(gòu)”網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)、VLAN安全隔離技術(shù)、全網(wǎng)診斷技術(shù)等,解決大規(guī)模網(wǎng)絡(luò)情況下的組網(wǎng)問(wèn)題、安全問(wèn)題以及數(shù)據(jù)交互瓶頸問(wèn)題,并通過(guò)網(wǎng)絡(luò)設(shè)備選型和認(rèn)證,提升網(wǎng)絡(luò)的可靠性、實(shí)時(shí)性和安全性,達(dá)到單域4萬(wàn)點(diǎn)、支持60操作域/60控制域的大規(guī)模應(yīng)用能力,滿足超大規(guī)模的工程項(xiàng)目需求。
網(wǎng)絡(luò)化控制系統(tǒng)適用于大規(guī)模組網(wǎng)應(yīng)用的安全網(wǎng)絡(luò)架構(gòu)核心設(shè)計(jì)如下所示:
·控制網(wǎng)絡(luò)采用自主可控工業(yè)以太網(wǎng)技術(shù),保證高可靠性;
·控制網(wǎng)絡(luò)采用扁平式網(wǎng)絡(luò)結(jié)構(gòu)以及1對(duì)多的通信方式,保證通信的可靠性;
·采用堅(jiān)固的系統(tǒng)和網(wǎng)絡(luò)通訊設(shè)備,外配產(chǎn)品需經(jīng)過(guò)嚴(yán)格的認(rèn)證測(cè)試;
·控制網(wǎng)絡(luò)采用全冗余設(shè)計(jì)(通訊接口、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)供電),并且網(wǎng)絡(luò)1:1同步冗余,無(wú)切換時(shí)間,A/B控制網(wǎng)絡(luò)隔離;
·控制網(wǎng)絡(luò)采用分層分域設(shè)計(jì),支持多路徑容錯(cuò)通信,保證裝置通訊網(wǎng)絡(luò)的獨(dú)立性,又確保裝置間數(shù)據(jù)的共享以及一體化管理;
·提供統(tǒng)一的網(wǎng)絡(luò)健康視圖,直觀顯示整體網(wǎng)絡(luò)、網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)、專家診斷、及時(shí)預(yù)警;
·DCS、PLC、SIS支持網(wǎng)絡(luò)一體化,保證統(tǒng)一聯(lián)網(wǎng)和互聯(lián)互通,以及統(tǒng)一的安全策略。
4.2 控制內(nèi)核自主可信
病毒運(yùn)行依賴黑客對(duì)于嵌入式操作系統(tǒng)的了解,對(duì)控制器也是如此。無(wú)運(yùn)行環(huán)境、無(wú)進(jìn)入機(jī)會(huì)是解決問(wèn)題的關(guān)鍵。不基于通用系統(tǒng),病毒就無(wú)運(yùn)行環(huán)境,協(xié)議、接口私有、受限,黑客就無(wú)進(jìn)入機(jī)會(huì)。因此,網(wǎng)絡(luò)化控制系統(tǒng)應(yīng)采用自主研發(fā)協(xié)議棧、控制算法、硬件平臺(tái)、BIOS以及確定性微操作系統(tǒng),保證控制內(nèi)核的自身安全性。
控制內(nèi)核自主可控可以杜絕針對(duì)通用協(xié)議/操作系統(tǒng)/開源代碼的已知漏洞所展開的攻擊。同時(shí)采取功能最小的原則,只定義必要的功能,減少開發(fā)代碼,減少漏洞存在的可能性。
在自主可控基礎(chǔ)上,采用可信增強(qiáng)技術(shù),通過(guò)靜態(tài)/動(dòng)態(tài)程序、數(shù)據(jù)的完整性檢查和監(jiān)護(hù)技術(shù),以及可信鏈的層層推進(jìn),保證控制器、組態(tài)軟件、監(jiān)控平臺(tái)的可信增強(qiáng),提升控制系統(tǒng)核心部件的內(nèi)在免疫能力。
4.3 通信端口動(dòng)態(tài)防護(hù)
網(wǎng)絡(luò)化控制系統(tǒng)采取基于黑通道的安全通信設(shè)計(jì)和通信端口動(dòng)態(tài)防護(hù),實(shí)現(xiàn)各種通信故障情況下,安全通信不受影響或?qū)虬踩WC實(shí)時(shí)確定性安全通信。
典型通信故障模型如下所示:
·數(shù)據(jù)損壞;
·報(bào)文重復(fù);
·報(bào)文錯(cuò)序;
·報(bào)文丟失;
·延遲超時(shí);
·報(bào)文插入;
·報(bào)文偽裝;
·錯(cuò)誤尋址;
·交換機(jī)FIFO錯(cuò)誤;
·報(bào)文滯緩。
通信端口采取工業(yè)協(xié)議的深度包檢測(cè)技術(shù)、通信和控制功能隔離技術(shù)、基于網(wǎng)絡(luò)行為和控制行為白名單技術(shù)等動(dòng)態(tài)防護(hù)技術(shù),實(shí)現(xiàn)在接收到各種異常數(shù)據(jù)幀或廣播風(fēng)暴等巨量數(shù)據(jù)沖擊的情況下控制功能能正常運(yùn)行、正常操控。
4.4 控制系統(tǒng)入侵容忍與系統(tǒng)自愈
網(wǎng)絡(luò)化控制系統(tǒng)應(yīng)支持全系統(tǒng)冗余、數(shù)據(jù)備份與恢復(fù)、故障隔離等技術(shù),實(shí)現(xiàn)全面的診斷與報(bào)警、入侵容忍和系統(tǒng)自愈。保證控制系統(tǒng)實(shí)時(shí)診斷與恢復(fù)。包括如下核心技術(shù):
·采取全冗余設(shè)計(jì),包括電源、工程師站、服務(wù)器、操作站、控制網(wǎng)、控制器、I/O總線、I/O模塊等,實(shí)現(xiàn)單一故障不影響工業(yè)控制系統(tǒng)正常運(yùn)行,并通過(guò)實(shí)時(shí)對(duì)比診斷,快速檢測(cè)并定位安全問(wèn)題;
·組態(tài)、歷史/實(shí)時(shí)數(shù)據(jù)庫(kù)、控制器參數(shù)等關(guān)鍵數(shù)據(jù)備份和動(dòng)態(tài)重構(gòu)技術(shù),實(shí)現(xiàn)副本數(shù)據(jù)與運(yùn)行數(shù)據(jù)的實(shí)時(shí)對(duì)比校驗(yàn)和快速恢復(fù)。
4.5 數(shù)據(jù)安全監(jiān)護(hù)和防篡改
覆蓋操作層、網(wǎng)絡(luò)層、控制層、現(xiàn)場(chǎng)總線/無(wú)線層的數(shù)據(jù)安全監(jiān)護(hù)和防護(hù)設(shè)計(jì),實(shí)現(xiàn)用戶組態(tài)工業(yè)加密與防篡改、歷史/實(shí)時(shí)數(shù)據(jù)庫(kù)實(shí)時(shí)工業(yè)加密與防篡改、組態(tài)軟件/監(jiān)控軟件關(guān)鍵EXE、DLL防篡改、進(jìn)程守護(hù)技術(shù),保證數(shù)據(jù)的完整性和機(jī)密,并基于國(guó)密實(shí)現(xiàn)通信加密和關(guān)鍵數(shù)據(jù)加密,如下所示:
·SM2:非對(duì)稱加解密算法,用于身份認(rèn)證、建立可信信道等握手類通信;
·SM4:對(duì)稱加解密算法,用于實(shí)時(shí)數(shù)據(jù)和操作指令等數(shù)據(jù)類通信;
·SM3:哈希算法,用于組態(tài)等文件類通信時(shí)的特征碼計(jì)算。
4.6 基于控制模型的控制網(wǎng)絡(luò)實(shí)時(shí)診斷與異常檢測(cè)
網(wǎng)絡(luò)化控制系統(tǒng)實(shí)現(xiàn)工控冗余網(wǎng)絡(luò)在線診斷和流量監(jiān)控,網(wǎng)絡(luò)設(shè)備和控制節(jié)點(diǎn)實(shí)時(shí)狀態(tài)監(jiān)控,建立控制網(wǎng)絡(luò)特征模型和操作站、控制站、工程師站、交換機(jī)、時(shí)鐘同步設(shè)備等特征模型(網(wǎng)絡(luò)流量、負(fù)載變化、通信行為)并統(tǒng)一展示,支持網(wǎng)絡(luò)風(fēng)險(xiǎn)和入侵行為實(shí)時(shí)監(jiān)控(基于網(wǎng)絡(luò)攻擊模型)。網(wǎng)絡(luò)化控制系統(tǒng)構(gòu)建網(wǎng)絡(luò)通信和操作指令可信模型(實(shí)時(shí)通信、操控指令、組態(tài)管理、事件管理等),實(shí)時(shí)監(jiān)控和審計(jì)操控行為,以及異常檢測(cè)與報(bào)警(非法節(jié)點(diǎn)、異常數(shù)據(jù)包、非法操作指令)。
5 網(wǎng)絡(luò)化控制系統(tǒng)安全認(rèn)證方法
目前,國(guó)際上工業(yè)控制系統(tǒng)縱深防御的方法和技術(shù)體系已逐步成熟,并正在大規(guī)模應(yīng)用。但是工業(yè)控制系統(tǒng)產(chǎn)品自身安全設(shè)計(jì)、開發(fā)和認(rèn)證體系以及全生命周期管理的研究尚在標(biāo)準(zhǔn)制定階段,正在逐步開展。現(xiàn)有成熟的工業(yè)控制系統(tǒng)產(chǎn)品安全認(rèn)證體系有: Achilles通信健壯性認(rèn)證和ISASecure安全認(rèn)證。
5.1 Achilles通信健壯性認(rèn)證
Achilles通信健壯性認(rèn)證是加拿大沃泰網(wǎng)絡(luò)安全公司提供的第三方獨(dú)立工業(yè)控制系統(tǒng)通信健壯性認(rèn)證,已成為工控領(lǐng)域事實(shí)上的通信健壯性評(píng)測(cè)行業(yè)標(biāo)準(zhǔn),得到全球主要自動(dòng)化產(chǎn)品供應(yīng)商和全球工業(yè)企業(yè)巨頭的認(rèn)可。
Achilles通信健壯性認(rèn)證的核心內(nèi)容是:異常數(shù)據(jù)包攻擊和大流量數(shù)據(jù)包沖擊下,保證控制功能不受影響(監(jiān)控DO和AO輸出)。該認(rèn)證共分為兩個(gè)等級(jí):
·Level1(預(yù)備級(jí)):該等級(jí)測(cè)試和監(jiān)視了受測(cè)設(shè)備基于Ethernet、ARP、IP、ICMP、TCP和UDP的數(shù)據(jù)包的詳細(xì)執(zhí)行過(guò)程,用于驗(yàn)證是否滿足OSI2-4層定義的可靠性和穩(wěn)定性等級(jí)要求。
·Level2(正式級(jí)):該等級(jí)是Level1認(rèn)證的擴(kuò)展認(rèn)證,采用了更多的測(cè)試和更多通訊成功/失敗要求。Level2通過(guò)進(jìn)一步產(chǎn)生更多測(cè)試值、檢測(cè)協(xié)議狀態(tài)、使用更高頻率的Dos攻擊測(cè)試每一種通訊協(xié)議。
5.2 ISASecure安全認(rèn)證
ISASecure安全認(rèn)證是ISA安全兼容協(xié)會(huì)(ISA Security Compliance Institute, ISCI)推動(dòng)的針對(duì)工業(yè)控制系統(tǒng)的專項(xiàng)安全認(rèn)證,與IEC62443標(biāo)準(zhǔn)呼應(yīng)。ISCI成立于2007年,致力于為工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全提供保障。ISCI推行ISASecure認(rèn)證項(xiàng)目,旨在幫助工業(yè)控制系統(tǒng)設(shè)備供應(yīng)商和運(yùn)營(yíng)單位識(shí)別網(wǎng)絡(luò)安全產(chǎn)品及實(shí)踐。ISASecure認(rèn)證規(guī)范由工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位、行業(yè)協(xié)會(huì)、用戶、學(xué)術(shù)界、政府和監(jiān)管機(jī)構(gòu)合作共同審核。
ISASecure認(rèn)證目前已推出EDSA、SDLA、SSA三項(xiàng),正在籌建ASA認(rèn)證。其中EDSA認(rèn)證針對(duì)嵌入式設(shè)備,SDLA針對(duì)工業(yè)控制系統(tǒng)開發(fā)流程,ASA認(rèn)證針對(duì)工業(yè)應(yīng)用軟件,SSA針對(duì)工業(yè)控制系統(tǒng)整體。SSA認(rèn)證之前必須所有部件通過(guò)EDSA認(rèn)證,并部署了必要的縱深防御措施。具體情況如表3所示。
表3 ISASecure認(rèn)證類別
ISASecure EDSA認(rèn)證是ISCI組織推出的第一個(gè)安全認(rèn)證,側(cè)重于工業(yè)控制系統(tǒng)嵌入式設(shè)備的安全性認(rèn)證。EDSA認(rèn)證根據(jù)IEC62443-4-1安全開發(fā)流程要求和IEC62443-4-2安全技術(shù)措施要求,綜合考慮了工業(yè)控制系統(tǒng)的特性以及信息安全保證的通用方法,提供了統(tǒng)一的工業(yè)控制系統(tǒng)嵌入式組件內(nèi)建安全的評(píng)估和認(rèn)證方法,解決了工業(yè)控制系統(tǒng)內(nèi)建安全評(píng)估和認(rèn)證的難題,有助于工控安全認(rèn)證方法的統(tǒng)一和推廣應(yīng)用。2016年7月1日EDSA認(rèn)證升級(jí)為2.0.0版本。
EDSA認(rèn)證提供三個(gè)級(jí)別:Level1、Level2和Level3,其中Level3級(jí)別最高。認(rèn)證包括三部分內(nèi)容:軟件開發(fā)安全評(píng)估(SDSA)、通信健壯性測(cè)試與漏洞檢測(cè)、安全功能評(píng)估。其中通信健壯性測(cè)試無(wú)論認(rèn)證等級(jí)都必須達(dá)到Achilles Level2或同等能力。
EDSA認(rèn)證要求如圖4所示。
圖4 EDSA認(rèn)證要求
EDSA認(rèn)證內(nèi)容主要包括:
(1)軟件開發(fā)安全評(píng)估
軟件開發(fā)安全評(píng)估主要認(rèn)證軟件安全開發(fā)流程,覆蓋需求、設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試各個(gè)環(huán)節(jié),與SDLA認(rèn)證采取相同的標(biāo)準(zhǔn)和認(rèn)證程序,但認(rèn)證要求略有不同。
(2)安全測(cè)試
基于黑盒的安全測(cè)試包括通訊健壯性測(cè)試和漏洞檢測(cè)測(cè)試,綜合了工業(yè)控制系統(tǒng)的特殊要求和IT信息安全認(rèn)證的通用方法。
(3)安全功能評(píng)估
安全功能評(píng)估包括訪問(wèn)控制、使用控制等7個(gè)維度,采用設(shè)計(jì)文檔審查和第三方獨(dú)立測(cè)試驗(yàn)證相結(jié)合的方式開展。由EDSA認(rèn)證等級(jí)確定安全功能的要求。
6 總結(jié)與展望
本文分析了網(wǎng)絡(luò)化控制系統(tǒng)的發(fā)展趨勢(shì)和脆弱性,并結(jié)合目前針對(duì)工業(yè)控制系統(tǒng)的典型攻擊模式,建立安全威脅模型。在此基礎(chǔ)上,提出了網(wǎng)絡(luò)化控制系統(tǒng)基于內(nèi)建安全的安全防護(hù)設(shè)計(jì)方法,包括分層分域安全網(wǎng)絡(luò)架構(gòu)、控制內(nèi)核自主可信、入侵容忍和系統(tǒng)自愈、數(shù)據(jù)安全監(jiān)護(hù)以及網(wǎng)絡(luò)在線監(jiān)測(cè)等,逐步建立內(nèi)建安全技術(shù)體系,以及安全認(rèn)證方法,實(shí)現(xiàn)功能安全、信息安全和操作安全一體化目標(biāo)。
ISASecure EDSA認(rèn)證是國(guó)際上第一個(gè)真正針對(duì)工業(yè)控制系統(tǒng)內(nèi)建安全的綜合性認(rèn)證體系,具有較強(qiáng)的參考價(jià)值和指導(dǎo)作用。然而,由于EDSA認(rèn)證必須開放設(shè)計(jì)機(jī)制、開發(fā)過(guò)程文檔甚至代碼,而且資料會(huì)被備份至認(rèn)證方國(guó)家,存在較大的安全隱患。因此,ISASecure EDSA認(rèn)證在國(guó)內(nèi)推廣依然是個(gè)難題,必須先解決資料泄漏的后顧之憂。
★基金項(xiàng)目:國(guó)家重點(diǎn)研發(fā)計(jì)劃網(wǎng)絡(luò)空間安全專項(xiàng)經(jīng)費(fèi)資助(裝備研制與安全測(cè)評(píng),課題編號(hào):2016YFB0800205)
參考文獻(xiàn):
[1] Washington. D.C.: U.S. Department of Energy Office of Energy Assurance. 21 steps to improve cyber security of SCADA networks[EB/OL]. https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-_SCADA.pdf, 2002/2017-08-14.
[2] U.S. Department of Homeland Security. Catalog of control systems security: Recommendations for standards developers[Z]. 2011.
[3] M. F. David Kuipers. Control systems cyber security: Defense in depth strategies[J]. U.S. Department of Homeland Security, Tech. Rep, May 2006.
[4] D. Kilman, J. Stamp. Framework for SCADA security policy[EB/OL]. https://www.energy.gov/sites/prod/files/ Framework%20for%20SCADA%20Security%20Policy.pdf, 2005/2017-08-14.
[5] Kushner D. The real story of stuxnet[J]. ieee Spectrum, 2013, 50 ( 3 ) : 48 - 53.
[6] Guo Y, Cheng C, Xin X, et al. OPC Communication Protection Method Based on Access Control and Anomaly Traffic Detection[C]. Internet of Things (iThings) and IEEE Green Computing and Communications (GreenCom) and IEEE Cyber, Physical and Social Computing (CPSCom) and IEEE Smart Data (SmartData), 2016 IEEE International Conference on. IEEE, 2016: 732 - 737.
[7] Khan R, Maynard P, McLaughlin K, et al. Threat Analysis of BlackEnergy Malware for Synchrophasor based Real-time Control and Monitoring in Smart Grid[A]. ICS-CSR, 2016.
[8] Li X, Wang Y, Shi F, et al. Crawler for Nodes in the Internet of Things[J]. ZTE Communications, 2015, 3: 009.
[9] Green B, Frey S A F, Rashid A, et al. Testbed diversity as a fundamental principle for effective ICS security research[J]. SERECIN, 2016.
作者簡(jiǎn)介:
陸衛(wèi)軍(1977-),男,浙江杭州人,高級(jí)工程師,學(xué)士,現(xiàn)就職于浙江中控技術(shù)股份有限公司,研究方向是控制系統(tǒng)新技術(shù)研究。
黃文君(1972-),男,浙江紹興人,研究員,碩士,現(xiàn)就職于浙江中控技術(shù)股份有限公司,研究方向是控制系統(tǒng)及工業(yè)軟件研究。
章 維(1981-),男,浙江寧波人,高級(jí)工程師,碩士,現(xiàn)就職于浙江中控技術(shù)股份有限公司,研究方向是工業(yè)通訊及工控安全。
陳銀桃(1984-),女,浙江溫州人,工程師,碩士,現(xiàn)就職于浙江中控技術(shù)股份有限公司,研究方向是工業(yè)通訊。
摘自《自動(dòng)化博覽》2019年2月刊