今日頭條
官方微信
官方抖音
資訊頻道摘要:工業控制系統被廣泛應用到我國諸多關鍵基礎設施行業,工業控制系統的信息安全事關經濟發展、社會穩定和國家安全,使用密碼技術保護工業控制系統安全已經成為當今工業發展所需的必要保障。然而工業控制系統不同于傳統信息系統,傳統的密碼技術與產品無法直接遷移于工業控制系統,這對于工業控制系統及密碼產品的測評技術、測評方法提出了新的要求與挑戰。本文在初步介紹工業控制系統安全及密碼應用后,從密碼產品本身以及工業控制系統分層結構及特性來簡析密碼測評過程、指標與評估辦法,并給出面向工業控制系統的密碼應用測評的初步思路。
關鍵詞:工業控制系統安全;密碼應用測評;密碼測評框架
Abstract: Industrial control systems (ICS) have been widely used in many key infrastructure industries in China. Nowadays, the information security of ICS is tightly related to economic development, social stability and national security. Application of cryptographic technology to protect industrial control systems has become a necessary part for industrial development.However, ICS is different from traditional information systems. Traditional cryptography solutions and security products cannot be directly transferred to ICS, which proposed new requirements for the evaluation methods of ICS and cryptographic products. After a preliminary introduction to ICS security and cryptographic application, this paper analyzes the cryptographic evaluation process, evaluation indicators and evaluation methods from the cryptographic products themselves and the hierarchical structure of industrial control systems. The extensive suggestions for the evaluation of cryptographic applications for ICS are given as well as our evaluation framework prototype.
Key words: Industrial control system security; Cryptographic application evaluation;Cryptographic evaluation framework
1 工業控制系統安全及密碼應用測評
工業控制系統(Industrial Control System,ICS,簡稱“工控系統”)是特用于支持工業生產過程中的各種調度與控制的系統。工控系統包含多種類型的系統:數據采集與監控系統(SCADA,Supervisory Control & Data Acquisition)、分布式控制系統(DCS,Distributed ControlSystem)、 可編程邏輯控制系統(PLC,Programmable LogicController)、遠程測控系統(RTU,RemoteTerminal Unit)等。這些系統分布在生產過程中的各個層級維度,經由工業通信網絡協調完成生產任務。
我國超過八成的涉及國計民生的關鍵基礎設施依靠工業控制系統作業,包括石油石化、農業、電力、核能等工業生產領域,以及航天、交通、通信、燃氣、水利等公共服務領域。這些重要行業和領域一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益。工控系統經智能化和聯網化后,發展成為集控制、計算、聯網的三位一體的現代智能控制系統。在享受智能聯網所帶來生產紅利的同時,工業網絡打破了傳統工業封閉可信的制造環境,安全風險對工業生產的威脅日益加劇,新的未知風險隨之引入。以2010年的伊朗核電站“震網病毒”事件為轉折點,新增的工控漏洞數量明顯爆發。2011~2015年,CNVD收錄的新增工控系統漏洞數量,呈現出一個持續的穩中有降的態勢。2015年底的烏克蘭大停電事件后,工控系統漏洞的發現再次進入高速增長期。
圖1 CNVD歷年收錄新增工控漏洞數量
圖2 工控系統安全事件所屬行業統計圖
工控系統安全事關是工業經濟穩定發展,使用現代密碼技術保護工控系統安全已經是必然趨勢。《中華人民共和國網絡安全法》第三章第三十一條中明確而提出:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域等關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”。同時近年來,國產加密算法大力推廣應用,研制以國產密碼為技術內核的工控產品以及采用密碼技術保護重要工控系統安全已成為廣泛共識。
面向工業控制系統的密碼應用與測評是指,對采用密碼技術、產品和服務集成構建的工控系統及產品,對其應用的有效性、正確性、合理性的評估。這一測評是合乎國家網絡安全“等保”條例規定、密碼相關法律法規等的明確要求。對規范同傳統信息系統網絡不同的工業控制系統中的密碼應用有重大意義,是保護工控系統安全與維護正常工業生產運轉的必由之路。
2 工控系統及產品密碼測評技術框架概述
重要工業控制系統及產品密碼測評需要在國家密碼測評標準化工作背景下展開工作。測評的對象是工控系統全局以及組成該系統的各個構件或產品。不同于傳統信息安全測評的直接系統定級思路,產品密碼測評是先測試后評估評級的思路。定級與評級相融合是工業控制系統及產品密碼測評的一項重要特征。
工控系統及產品密碼測評體系,以測試和評估兩個角度可劃分為三部分:評估指標體系、評估/度量方法、測試技術體系。其中,評估指標體系負責表征工控系統密碼應用邊界、應用要求;評估/度量方法負責評價密碼技術對工控系統重要安全屬性保護能力,以及考慮密碼技術應用對目標系統關鍵運行屬性產生的影響;測試技術體系負責為各項評估指標提供具體測定方法或技術,以作技術指南與標準,以這三部分為驅動展開的密碼測評將覆蓋三個階段、兩個方面和三個層級。
三個階段、兩個方面和三個層級,貫穿整個測評流程。測評工作將以白、灰、黑三階段;密碼產品測評、密碼應用測評兩個工作方面;以及單元級、系統級、系統之系統級三個層次為核心展開,因此也可將其歸納為“3·2·3”來代稱。此外,“密碼載體”是指,實現和封裝相關密碼算法,并能提供加密、標識、認證、鑒別等密碼服務的對象(硬、軟、固、混等)。
圖3 密碼全生命周期
白、灰、黑盒三階段表示測評任務將以白盒、灰盒和黑盒三步進行。這是由工控系統的特殊層次化結構特征所影響的。密碼技術的應用涉及在不同系統層次的不同封裝程度、系統設計模式間的復雜組合以及多平臺交互等。因此,具體的密碼測評需要針對密碼算法在特定硬、軟、固件或混合對象中的設計和使用情景。根據密碼測評所針對的具體實施角色,如PLC生產商、加密安全芯片廠商、安全測評機構、系統設計單位等,設計實施密碼測評對各類角色的特定的實施方式。以個別客制化同類普適化為目標制定不同的測評任務,并體現白、灰、黑的三級結構。
密碼產品測評、密碼應用測評兩個工作方面要求從密碼本身與系統這兩側分開考慮測評。密碼技術在從傳統的信息系統轉移到工控系統中時,既要考慮密碼產品的正確性、有效性、密碼本身的復雜性、能提供的安全保障程度以及技術遷移過來后的應用模式,還要考慮密碼技術應用部署在工控系統后,對目標工控系統的正常運行所帶來的影響,如可用性、實時性、時序性和可靠性等指標。因為工業的特殊語境下,系統不可中斷不可掃描,以正常運作為基本原則,因此對目標工控系統的影響的度量可以提前規避適應性低下的產品密碼的部署,或是幫助搭建仿真測試平臺來模擬綜合發現潛在的對系統側的影響。
單元級、系統級、系統之系統級三個層次對標《信息物理系統白皮書》(2017)中對CPS(Cyber-Physical Systems)劃分的三個層級。單元級是具有不可分割性的工控系統中的較小單元,其可以是傳感器、執行器這類密碼邊界單一的設備。系統級可以是多個單元級設備之間通過工業網絡與工業控制平臺或集中控制設備組成,可以是如PLC等這類多組件復合系統。系統之系統級是多個系統級的有機組合,在全局范圍內實現信息全面感知、深度分析、科學決策和精準執行。工控系統中密碼應用存在特定范圍或邊界,按邊緣傳感器、PLC、SCADA等可劃分為單元級、系統級、系統之系統級三個層次。安全模塊除本身的實現方式外,還需整合成密碼系統或形成相關密碼產品,同時考慮逐層封裝的關系。因此,在考慮密碼產品側的測評方案時,有必要采用逐級擴展和適應的測評方式,將密碼產品側的測評劃分為單元、系統、系統之系統三個最初層級,并考慮國家已有的面向信息系統的密碼基礎應用與測評體系(GM/T0028/0039/0054-2015、GM/T0008-2012等)在密碼側中發揮的基本作用。
3 工控系統及產品密碼測評過程
工控系統及產品密碼測評技術方案將由白盒、灰盒和黑盒三個階段組成,并分別從密碼產品本身測評方面(簡稱“密碼側”)與密碼應用對象的工控系統方面(簡稱“系統側”)執行兩類測試。如圖4所示的技術方案圖,三個階段測試的共同之處是:將密碼基礎應用與測評體系中的指標體系、測試技術、度量方法與等級保護體系下的相應要素集結合,共同形成針對工控系統密碼的評估指標體系、評估/度量方法和測試技術體系。密碼側測評與系統側測評不同時進行,各階段測試的對象組成對應了系統的三個層級。
圖4 白盒、灰盒、黑盒階段測試技術方案
“白盒”階段的執行角色主要為單元級密碼載體制造商、安全測評機構等,主要面向密碼載體及其提供的相應的密碼服務。這一階段流程分為密碼載體或密碼服務的設計/修改、實現、密碼側測評、環境運行和系統側測評。制造商根據不同工業生產需求設計(修改)相應的密碼載體和服務,再將密碼算法或服務在邊界明確的密碼載體中實現,實現完成后進行相應的密碼側的基礎測試評估;然后在仿真生產環境中運行之前實現設計的密碼載體或服務,根據工控系統相應層級對載體實時性、可靠性等關鍵屬性的量化指標要求,進行系統側測試評估與功能需求上的驗證。
“灰盒”階段的執行角色主要為系統級密碼載體制造商、安全測評機構等,主要面向多個單元級密碼載體組合及其提供的不同密碼服務。這一階段流程分為若干單元級密碼載體和密碼服務的組合設計、實現、密碼側測評、環境運行和系統側測評。首先,制造商或測評機構設計單元級密碼載體的組合模式并提供相關密碼服務;其次是實現組合形成的系統級密碼載體及提供的密碼服務,并利用單元級制造商封裝傳遞的測評結果,重點針對密碼服務執行密碼側評估;然后在環境中運行系統級密碼載體和服務,根據工控系統相應層級對系統級載體實時性、可靠性等關鍵屬性的量化指標要求,進行系統側測試評估。
“黑盒”階段的執行角色主要為系統級密碼載體集成制造商、安全測評機構等,主要面向多個系統級密碼載體集成及其提供的跨系統綜合性密碼服務。這一階段流程分為集成式系統級密碼載體和密碼服務的設計集成、實現、密碼側測評、環境運行和系統側測評。
4 工控系統及產品密碼測評指標與評估辦法
面向工控系統及產品密碼的評估指標體系可按密碼側的指標類與系統測的指標類劃分,體現密碼產品測評、密碼應用測評兩個工作方面。因此,工控系統密碼評估指標體系的構建可分為兩部分工作:一是建立工控系統密碼應用安全分級體系與密碼載體安全分級體系的映射,等同于是將密碼載體提供的各類密碼服務(加密、認證、標識、鑒別等),通過關鍵安全屬性,最終與工控安全應用(系統側指標)建立聯系,從而打通工控密碼應用與密碼產品測評,尋找密碼側與系統側兩側間的語義關聯通量,實現兩個標準體系的貫通。二是在密碼側的指標類及其指向的關鍵安全屬性集之間,加入系統側的指標類作為約束,以響應工控環境同傳統系統網絡的不同,體現在工控系統是典型的時敏系統,對業務連續性、系統可靠性、功能安全等有嚴格要求,使得適配性問題成為傳統信息系統安全再遷移到工控系統上可能會出現的阻礙,因此出于對工控系統本身的固有特征屬性約束以及在密碼技術應用的條件下受到的影響程度的考慮,工控系統評測指標體系中應引入系統側的指標類,并提出可量化的指標體系。
在提出具體的評估辦法之前,需要考慮工控密碼應用測評至少涉及的以下兩個重要問題:一是一般密碼安全到工控密碼安全,技術上如何跨越;二是如何處理工控系統在類型、行業上的相異性問題。針對第一個問題,需使用定制的方法來滿足傳統與工控的差異,工控系統密碼應用測評實施的思路,是要將一般密碼安全需求轉變為工控密碼安全需求,一般密碼安全測評指標項集,轉變為工控密碼安全測評指標項集,一般密碼安全測評技術轉變為工控密碼安全測評技術。目前可見的工控系統密碼應用測評技術有:固件虛擬化密碼技術實現、自動化PLC通信模擬、專有協議嗅探、認證側信道攻擊檢測等。針對第二個問題,應用“匹配”的思想來處理工控系統在類型、行業上的相異性。確定通用工控系統架構,確定共性應用與交互模式,由工控系統層次架構匹配方法和操作規程。
工控系統和相關產品的密碼測評可分為產品設計制造階段測評和已部署的工控系統測評兩部分。由于密碼測評工作在工控環境下的特殊性和工控系統本身的層次性與復雜性(工控系統是信息物理系統的一項典型案例,在三個層級中屬于系統之系統級),密碼基礎測評主要面向單元和系統級,而密碼載體的行為表現將被逐級封裝。因此針對工控系統及產品的密碼測評需要分階段進行,并且單元級的測試指標和結果需要向系統級封裝傳遞,為更高一級的測評工作提供依據。提出的評估/度量方法包括以下五項類別:
(1)指標等級映射;(2)測評逐級封裝、傳遞、應用;(3)定性定量結合;(4)結構化指標及其量化;(5)多等級集成評估。對應于上文提出的白、灰、黑盒三階段以及單元級、系統級、系統之系統級三種層級。
作者簡介
蔡 挺(1998-),重慶大學大數據與軟件學院軟件工程專業,本科。于2017年10月加入信息物理社會可信服務計算教育部重點實驗室進行工業控制系統安全方向的研究學習。
夏曉峰(1980-),四川夾江人,重慶大學副教授、中國自動化學會工業控制系統信息安全專委會委員、工業控制系統信息安全產業聯盟理事等。發表SCI/EI等學術論文20余篇,出版科學出版社編著1部;獲得2016年中共中央辦公廳“黨政密碼科技進步獎”;主持國家重點研發計劃網絡空間安全重點專項子課題、若干省部級科研項目及國家電網科研項目。
向 宏(1964-),四川成都人,重慶大學教授、信息物理社會可信服務計算教育部重點實驗室主任,擔任國家密碼行業標準化技術委員會委員、國家商用密碼總體專家組成員等。近年來發表SCI/EI等學術論文40余篇,出版學術專著5部;主持國家863計劃項目、國家重點研發計劃課題、國家自然科學基金等項目50余項。
參考文獻:
[1] 工業信息安全產業發展聯盟(NISIA). 中國工業信息安全產業發展白皮書(2018-2019) [Z]. 2019, 6.
[2] 工信部. 信息物理系統白皮書[Z]. 2017, 3.
[3] 夏曉峰, 向宏, 等. 工業控制系統密碼應用研究課題指南[R]. 北京:國家密碼管理局,2016.
[4] Caitlin Durkovich. Critical manufacturing sector cybersecurity framework implementation guidance[R], USA: DHS, 2015.
[5] Keith Stouffer, Timothy Zimmerman, CheeYee Tang, 等. NISTIR 8183: Cybersecurity Framework Manufacturing Profile[R], USA: NIST, 2017.
[6] NIST FIPS PUB 140-2-2001, Security Requirements for Cryptographic Modules[S].
[7] Security for industrial automation and control systems- implementation guidance for an IACS security management system. ISA/IEC 62443-2-2, 2013.
[8] Technology Assessment: Cybersecurity for Critical Infrastructure Protection, GAO-04-321, 2004.
[9] Protecting Industrial Control Systems[R]: European Network and Information Security Agency, ENISA, 2011.
[10] Keith Stouffer, Jim McCarthy. Capabilities assessment for securing manufacturing industrial control systems[R], USA: NIST, 2017.
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號