今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著信息技術在各個行業越來越深入,我國工控領域的安全可靠性問題日益突出,工控系統的復雜化、信息化加劇了系統的安全隱患。網絡安全等級保護是我國網絡安全保障的基本制度,本文基于網絡安全等級保護理論對工控系統的安全研究分析,從多個層面進行安全防護,降低安全風險,提高工控系統的綜合防護能力。
關鍵詞:工業控制系統;網絡安全;等級保護
Abstract: With the deepening of information technology in various industries, the safety and reliability of industrial control field in China has become increasingly prominent. The complexity and informatization of industrial control system have aggravated the hidden dangers of system security. Cyber security level protection is the basic system of cyber security in China. Based on the theory of cyber security level protection, this paper studies and analyses the security of industrial control system,carries out security protection from various levels, reduces security risks and improves the comprehensive protection capability of industrial control system.
Key words: Industrial control system;Cyber security;Classified protection
1 引言
工業控制系統安全問題層出不窮,2010年,“震網”病毒入侵伊朗核電站、破壞伊朗核計劃,導致伊朗核電站計劃失敗,至今仍然未能恢復。2016年12月,黑客利用Industroyer惡意軟件攻擊烏克蘭一所變電站,導致基輔等地區電力供應短暫中斷,這款惡意軟件不需要手動操作,可自動擾亂工業控制系統的正常運行,對電網等基礎設施的安全運行構成嚴重威脅。2017年5月12日20時左右,全球爆發大規模勒索軟件感染事件,波及一百多個國家或地區,我國石油、交通等涉及國計民生的部分工控系統“中招”,造成嚴重后果。6月27日晚11時許,勒索病毒“Wanna Cry”變種為“Petrwrap”病毒,在烏克蘭和俄羅斯爆發,逐漸蔓延到歐洲多國。包括切爾諾貝利核電站在內的烏克蘭大量設施受到影響,烏克蘭Ukrenego電力供應商系統也遭中斷。通過這次安全事件,工控系統的安全再次成為關注的重點。
工業控制系統(Industrial Control Systems,ICS),是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統(SCADA)、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED),以及確保各組件通信的接口技術。工業控制系統的操作系統、殺毒軟件安裝及升級更新、設備維修時筆記本電腦的隨便接入、操作行為、控制終端、管理終端、服務器、網絡設備故障等都存在許多潛在的風險。
工業控制系統被廣泛應用于石油、石化、冶金、電力、燃氣、煤礦、煙草以及市政等領域,用于控制關鍵生產設備的運行。這些領域中的工業控制系統一旦遭到破壞,不僅會影響產業經濟的持續發展,更會對國家安全造成巨大的損害。網絡安全等級保護是網絡安全工作的基本制度、基本國策;是開展網絡安全工作的基本方法;是信息化健康發展、維護國家網絡安全的根本保障,是國家意志的體現,也是目前嚴峻的安全形勢下,亟待完成的基礎安全防護,本文主要講述在工業控制系統中如何實現網絡安全等級保護的相關要求。
2 網絡安全等級保護流程
開展網絡安全等級保護工作,可以實現網絡安全領域“明確重點、突出重點、保護重點”的目標,將有限的財力、物力、人力投入到重要信息系統安全保護中,有效保護基礎信息網絡和關系到國家安全、經濟建設、社會穩定的重要信息系統的安全。
等級保護的規定流程為“定級、備案、安全建設整改、等級測評、監督檢查”[1],如圖1所示。
圖1 等級保護的規定流程
根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度,將系統的安全保護等級分成5級(從第1級到第5級逐級增高)。定級后2級以上系統須在公安機關備案,公安機關審核合格后頒發備案證明;各單位各部門根據系統等級按照國家標準進行安全建設整改,聘請測評機構進行等級測評;公安機關定期開展監督、檢查、指導。
3 網絡安全等級保護標準的發展
近年來,云計算、物聯網、移動互聯和工業控制等新技術、新應用在國家關鍵信息基礎設施領域的應用日益廣泛,這4個領域面臨的安全威脅日益嚴重,原有網絡安全等級保護標準體系已經很難適應新技術、新應用的發展,因此對現有的標準體系(GB/T 22239《網絡安全技術網絡安全等級保護基本要求》)進行了修訂和補充,形成了以下系列標準:
(1)《網絡安全技術網絡安全等級保護基本要求第1部分 安全通用要求》;
(2)《網絡安全技術網絡安全等級保護基本要求第2部分 云計算安全擴展要求》;
(3)《網絡安全技術網絡安全等級保護基本要求第3部分 移動互聯安全擴展要求》;
(4)《網絡安全技術網絡安全等級保護基本要求第4部分 物聯網安全擴展要求》;
(5)《網絡安全技術網絡安全等級保護基本要求第5部分 工業控制系統安全擴展要求》;
(6)《網絡安全技術網絡安全等級保護基本要求第6部分 大數據安全擴展要求》。
企業用戶應結合自身行業特點和企業特點,將第1部分和第5部分結合使用,實現各級技術要求和管理要求。
4 工業控制系統的層次結構
ICS是由計算機設備與工業過程控制部件組成的自動控制系統,從上到下共分為5個層級,依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層,不同層級的實時性要求不同[2]。該層次結構的簡要劃分模型如圖2所示。
圖2 工業控制系統架構
各個層次功能與作用的詳細介紹如表1所示。
表1 工業控制系統各個層次功能列表
5 工業控制系統中保護的對象
在工業控制系統中,各個層次由不同的設備或系統組成,這些設備或系統就是網絡安全等級保護中需要保護的對象,如表2所示。
表2 工業控制系統各個層次中的保護對象
6 工業控制系統等級保護總體原則和要求
對工業控制系統的軟件、硬件、網絡協議等的安全性,規定了需要保護的數據、指令、協議等要素,其具體實現方式、防護手段應根據具體的工業控制系統品牌、配置、工程實際等具體確定。但應保證這些防護措施對系統的正常運行不產生危害或災難性的生產停頓,經過工業現場的工程實踐驗證,并獲得用戶認可[3]。
工業控制系統等級保護定義有總體原則、技術要求和管理要求共三類說明。其中,總體原則是針對工業控制系統整體提出的安全域保護原則;技術要求和管理要求是針對不同安全保護等級對工業控制系統應該具有的基本安全保護能力提出的安全要求。
6.1 安全域保護原則
根據工業控制系統安全域模型的劃分原則,將工業控制系統劃分為若干安全域,再根據系統實際情況,對不同的安全域采取不同的安全保護措施[4]。
(1)安全域劃分
在一個工業大系統或復雜系統中,對所有組件采取相同等級的安全措施是不實際或不必要的。在不同的實際情況下,資產的安全等級不同,因此提出使用安全域(或受保護的區域)的概念。
劃分安全域時,應綜合考慮資產重要性、資產價值、資產地理位置、系統功能、控制對象、生產廠商及資產被破壞時所造成的損失、社會影響程度等因素,將控制系統進行安全域劃分。
(2)安全域邊界防護
在不影響各安全域工作的前提下,在各安全域邊界處設置不同的安全隔離設備,確保各個安全域之間有清楚明晰的邊界設定。
(3)安全域保護措施
依據定級對象安全等級,結合各安全域實際情況,按照等級保護標準中第1級至第4級基本要求,采取不同安全保護措施。
6.2 技術要求和管理要求
技術要求和管理要求是保證工業控制系統安全不可分割的2個部分。技術要求主要通過在工業控制系統中部署軟、硬件并正確配置其安全功能來實現。管理要求主要通過控制各種角色的活動,從政策、制度、標準、流程以及記錄等方面做出規定來實現[5]。
技術要求分為物理安全、邊界防護、生產管理層安全、過程監控層安全、現場控制層安全、現場設備層安全,其中各層級安全要求又分為網絡和通信安全、設備和計算安全、應用和數據安全。
管理要求主要來自于通用安全要求,分為安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理四大類。
技術要求和管理要求從各個層面或方面提出了工業控制系統的每個組件應該滿足的安全要求,工業控制系統具有的整體安全保護能力通過不同組件實現基本安全要求來保證[6]。除了保證系統的每個組件滿足安全要求外,還要考慮組件之間的相互關系,來保證系統的整體安全保護能力。
以下重點介紹技術類3級安全要求。
(1)物理環境安全
物理環境安全是保護工業控制系統中物理設備不受直接破壞,保護的對象主要有機房、辦公場所、重要和關鍵工業控制設備所在的區域。
對上述區域的位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面提出要求。為了防止非授權人員進入重要物理區域,例如機房,出入口應配置電子門禁系統,控制、鑒別和記錄進入的人員。為了防止感應雷,通過采取機柜、設施和設備等接地系統安全接地來實現防雷擊,還應部署防雷保安器或過壓保護裝置[7]。
在工業控制系統中,對于室外控制設備也應該采取必要的措施進行安全防護,因此,工業控制系統擴展安全要求中明確規定了室外控制設備的安裝位置、安裝方式:①室外控制設備應放置于采用鐵板或其他防火絕緣材料制作的箱體或裝置中;②控制設備應安裝在金屬或其他絕緣板上(非木質板),并緊固于箱體或裝置中;③室外控制設備應采取措施避免極端天氣環境;④室外控制設備應放置于遠離強電磁干擾和熱源的地方。
(2)網絡和通信安全
在工業控制系統中的網絡邊界安全尤為重要,為了防止從外部網絡和內部非重要網絡對重要網絡區域的入侵,要求限制和監測非授權設備私自聯到內部網絡的行為、內部用戶非授權聯到外部網絡的行為;對于無線網絡使用進行嚴格控制,對所有參與無線通信的用戶(人員和軟件進程)提供唯一性標識和身份鑒別,確保無線網絡通過受控的邊界防護設備接入內部網絡。監視和控制區域邊界通信,默認拒絕所有非必要的網絡數據流,僅允許例外網絡數據流;邊界防護機制失效時,能阻止所有邊界通信(也稱故障關閉)并及時進行報警,但故障關閉功能的設計不應干擾安全相關功能的運行。
在審計安全中,鑒于工業控制系統設備的多樣性和復雜性,要求應能集中管理審計事件并從系統多個組件收集審計記錄。按照工業標準格式輸出審計記錄,用于商業日志分析工具進行分析。
在訪問控制中,要求網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,對進出網絡的信息內容進行過濾,實現對內容的訪問控制。
(3)設備和計算安全
測評對象為工業控制系統中的設備,包括網絡設備、安全設備、服務器、終端、數據庫管理系統、控制器、控制單元、記錄裝置、傳感器、執行機構、保護裝置等[8]。
要求對上述設備的遠程管理、組態文件下裝等重要操作進行身份鑒別;禁止使用默認賬戶和密碼登錄,密碼應有復雜度要求;具有鑒別失敗處理功能;同時,應防止身份鑒別信息在傳輸過程中被竊聽。
對于防止惡意代碼,應在重要和關鍵設備、關鍵網絡節點、所有入口和出口處對惡意代碼進行檢測和清除,并對惡意代碼庫進行統一升級和更新;在重要和關鍵設備、關鍵網絡節點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新。應做到對可能造成損害的移動代碼技術執行使用進行限制;采取措施防止、檢測、報告和減輕惡意代碼或未經授權軟件的影響。對重要和關鍵設備中重要程序或文件完整性檢測,并在檢測到破壞后進行恢復。
對工業控制系統中重要設備的用戶登錄、操作、行為、資源使用情況等信息應保留審計記錄,以便于發生安全事件時進行分析、跟蹤、追責。審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息,并對審計記錄進行保護,按照規定留存相關的網絡日志不少于六個月。另外,審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生,以確保審計分析的正確性。
(4)應用系統安全
測評對象為與企業資源相關的財務管理、資產管理、人力管理等系統的軟件和數據資產,與生產制造相關的倉儲管理、先進控制、工藝管理等系統的軟件和數據資產,監控軟件,控制程序等。
登錄上述應用系統時,應對登錄的用戶進行身份標識和鑒別,鑒別信息具有復雜度要求并定期更換;啟用登錄失敗處理功能;強制用戶首次登錄時修改初始口令;用戶身份鑒別信息丟失或失效時,應采用鑒別信息重置或其他技術措施保證系統安全;應對同一用戶采用2種或2種以上組合的鑒別技術實現用戶身份鑒別。
上述應用系統應提供訪問控制功能,對登錄的用戶分配賬號和權限;重命名系統默認賬號或修改這些賬號的默認口令;及時刪除或停用多余的、過期的賬號,避免共享賬號的存在;應授予不同賬號為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系。
應用系統提供安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;審計信息至少包括事件的日期和時間、主體、客體、類型、結果等信息。
應用系統還應該具備軟件容錯能力,提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求;在故障發生時,應能夠繼續提供一部分功能,確保能夠實施必要的措施;應提供自動保護功能,當故障發生時自動保護當前所有狀態,保證系統能夠進行恢復。
(5)數據安全
工業控制系統應采用校驗碼技術或加解密技術保證重要數據在傳輸過程或存儲過程的完整性,采用加密或其他保護措施實現系統管理數據、鑒別信息和重要業務數據傳輸或存儲的保密性[9]。
對于重要數據應提供重要數據的本地數據備份與恢復功能,提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地,提供重要數據處理系統的熱冗余,保證系統的高可用性[10]。
綜上所述,工業控制系統要達到等級保護的要求,必須從物理環境安全、網絡和通信安全、設備和計算安全、應用系統安全、數據安全、安全管理等多個層面去落實相關規定,定期開展應急演練、漏洞掃描修復、系統安全管理等防護工作,三級工控系統每年進行一次等級測評,對發現的安全問題及隱患,依據網絡安全等級保護理論進行安全整改加固,消除潛在的安全風險,提高工控系統的綜合安全防護能力。
作者簡介
張 偉(1976-),男,高級工程師,碩士,國家科技部、國資委、北京科委網絡安全專家,工控系統信息安全技術國家工程實驗室技術委員會委員,主要研究方向是網絡安全。
參考文獻:
[1] 羅常. 工業控制系統信息安全防護體系在電力系統中的應用研究[J]. 機電工程技術, 2016, 45 ( 12 ) : 97 - 100.
[2] 王昱鑌, 陳思, 程楠. 工業控制系統信息安全防護研究[J]. 信息網絡安全, 2016, ( 9 ) : 35 - 39.
[3] 陳猛, 史家嶺. 電力系統信息安全研究綜述[J]. 工程技術: 全文版, 2016, ( 4 ) : 00211 - 00211.
[4] 安寧鈺, 王志皓, 趙保華. 可信計算技術在電力系統中的研究與應用[J]. 網絡安全研究, 2017, 3 ( 4 ) : 353 - 358.
[5] 張五一, 李圣泉, 能源行業工控系統網絡安全分析與防護[J]. 網絡安全與通信保密,2015, ( 4 ) : 41 - 44.
[6] 樓鳳丹, 裴旭斌, 王志強, 紀德良. 基于云計算及大數據技術的電力搜索引擎技術研究[J]. 電網與清潔能源, 2016, 32( 12 ) : 86 - 92.
[7] 秦玉杰. 一種基于分布式蜜罐技術的勒索蠕蟲病毒監測方法[J]. 信息技術與網絡安全, 2018, 37 ( 9 ) : 45 - 48.
[8] 徐洋, 朱丹, 張煥國, 等. 云環境下基于代數簽名持有性審計的大數據安全存儲方案[J]. 計算機科學, 2016, 43 ( 10 ) : 172 - 176.
[9] 歐陽丹. 基于云計算的電力信息系統數據安全技術探討[J]. 華東科技: 學術版, 2016, ( 5 ) : 234 - 234.
[10] 劉新, 馬雷, 于灝, 等. 云計算環境下的電力信息系統數據安全技術研究[J]. 信息與電腦: 理論版, 2016, ( 12 ) : 23 - 24.
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號