今日頭條
官方微信
官方抖音
資訊頻道摘要:本文通過介紹《GBT22239-2019信息安全技術網絡安全等級保護基本要求》(簡稱等保2.0)中工業控制系統安全的要求,提出了基于等保2.0要求的工業控制系統安全防護方案。
關鍵詞:工業控制系統;工業控制系統安全;等級保護
Abstract: In this paper, by introducing the "GBT22239-2019 Information Security Technology — Baseline for classified protection of cybersecurity" (classified protection of cybersecurity 2.0) industrial control system security requirements, the industrial control system security protection scheme based on classified protection of cybersecurity 2.0 requirements is proposed.
Key words: Industrial control system; Security of industrial control system;Classified protection of cybersecurity
1 引言
在“兩化”融合的行業發展需求下,現代工業控制系統的技術進步主要表現在兩大方面:信息化與工業化的深度融合,為了提高生產高效運行、生產管理效率,國內眾多行業大力推進工業控制系統自身的集成化,集中化管理。系統的互聯互通性逐步加強,工控網絡與辦公網、互聯網也存在千絲萬縷的聯系。
德國的工業4.0標準、美國的“工業互聯網”以及“先進制造業國家戰略計劃”、日本的“科技工業聯盟”、英國的“工業2050戰略”、中國“互聯網+” “中國制造2025”等相繼出臺,對工業控制系統的通用性與開放性提出了更高的要求。未來工業控制系統將會有一個長足發展,工業趨向于自動化、智能化,系統之間的互聯互通也更加緊密,面臨的安全威脅也會越來越多。
據權威工業安全事件信息庫RISI統計,截止到2018年10月,全球已發生800余起針對工業控制系統的攻擊事件。分析工業控制系統正在面臨前所未有的信息安全威脅,具體包括:
(1)由于病毒、惡意軟件等導致的工廠停產;
(2)工業制造的核心數據、配方被竊取;
(3)制造工廠及其關鍵工控生產流程被破壞;
(4)惡意操縱工控數據或應用軟件;
(5)對工控系統功能未經授權的訪問等。
由于長期缺乏安全需求的推動,對(采用 TCP/IP等通用技術的)網絡環境下廣泛存在的安全威脅缺乏充分認識,現有的工業自動化控制系統在設計、研發中沒有充分考慮安全問題,在部署、運維中又缺乏安全意識、管理、流程、策略與相關專業技術的支撐,導致許多工業自動化控制系統中存在著諸多安全問題,一旦被無意或惡意利用就會造成各種信息安全事件。整體上看來工業控制系統安全趨勢不容樂觀,各行業工控安全建設迫在眉睫。
2 工業控制系統等級保護要求
工業控制系統(ICS)是幾種類型控制系統的總稱,包括數據采集與監視控制系統(SCADA)、集散控制系統(DCS)和其它控制系統,如在工業部門和關鍵基礎設施中經常使用的可編程邏輯控制器(PLC)。工業控制系統通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業。工業控制系統主要由過程級、操作級以及各級之間和內部的通信網絡構成,對于大規模的控制系統,也包括管理級。過程級包括被控對象、現場控制設備和測量儀表等,操作級包括工程師和操作員站、人機界面和組態軟件、控制服務器等,管理級包括生產管理系統和企業資源系統等,通信網絡包括商用以太網、工業以太網、現場總線等。
根據IEC 62264-1對工業控制系統的層次模型從上到下共分為5個層級(如圖1所示),依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層,不同層級的實時性要求不同。企業資源層主要包括ERP系統功能單元,用于為企業決策層員工提供決策運行手段;生產管理層主要包括MES系統功能單元,用于對生產過程進行管理,如制造數據管理、生產調度管理等;過程監控層主要包括監控服務器與HMI系統功能單元,用于對生產過程數據進行采集與監控,并利用HMI系統實現人機交互;現場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執行設備進行控制;現場設備層主要包括各類過程傳感設備與執行設備單元,用于對生產過程進行感知與操作。
工業控制系統構成的復雜性,組網的多樣性,以及等級保護對象劃分的靈活性,給網絡安全等級保護基本要求的使用帶來了選擇的需求。為了便于實現對不同級別的和不同形態的等級保護對象的共性化和個性化保護,等級保護要求分為安全通用要求和安全擴展要求(如圖1所示)。
圖1 工業控制系統各層次及等級保護要求
3 工業控制系統等級保護安全防護
3.1 安全建設基本原則
對于工控安全建設,應當以適度安全為核心,以重點保護為原則,從業務的角度出發,重點保護重要的業務系統,在方案設計中應當遵循以下的原則:
(1)適度安全
任何系統都不能做到絕對的安全,在進行工控安全等級保護規劃中,要在安全需求、安全風險和安全成本之間進行平衡和折中,過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。適度安全也是等級保護建設的初衷,因此在進行等級保護設計的過程中,一方面要嚴格遵循基本要求,從物理、網絡、主機、應用、數據等層面加強防護措施,保障信息系統的機密性、完整性和可用性,另外也要從綜合成本的角度,針對系統的實際風險,提出對應的保護強度,并按照保護強度進行安全防護系統的設計和建設,從而有效控制成本。
(2)技術管理并重
工控安全問題從來就不是單純的技術問題,把防范黑客入侵和病毒感染理解為工控安全問題的全部是片面的,僅僅通過部署安全產品很難完全覆蓋所有的工控安全問題,因此必須要把技術措施和管理措施結合起來,更有效地保障信息系統的整體安全性,形成技術和管理兩個部分的建設方案。
(3)分區分域建設
對工控系統進行安全保護的有效方法就是分區分域,由于工控系統中各個資產的重要性是不同的,并且訪問特點也不盡相同,因此需要把具有相似特點的資產集合起來,進行總體防護,從而可更好地保障安全策略的有效性和一致性;另外分區分域還有助于對網絡系統進行集中管理,一旦其中某些安全區域內發生安全事件,可通過嚴格的邊界安全防護限制事件在整網蔓延。
(4)合規性
安全保護體系應當同時考慮與其他標準的符合性,在方案中的技術部分將參考《GBT25070-2019信息安全技術網絡安全等級保護安全設計技術要求》進行設計,在管理方面同時參考《GB/T 22239-2019工控安全技術信息系統安全等級保護基本要求》以及27001安全管理指南,使建成后的等級保護體系更具有廣泛的實用性。
(5)動態調整
工控安全問題不是靜態的,它總是隨著管理相關的組織策略、組織架構、信息系統和操作流程的改變而改變,因此必須要跟蹤信息系統的變化情況,調整安全保護措施。
3.2 安全防護方案
本方案按照工業控制系統的層次關系,依據《GBT22239-2019信息安全技術網絡安全等級保護基本要求》及系列標準要求,在整體方案設計上,重點協助客戶建立感知預警、主動防護、全面監測、應急處置的動態保障體系,打造“一個中心(安全管理中心)、三重防御(安全計算環境、安全區域邊界、安全通訊網絡)”的安全防護體系,總體的部署方案如圖2所示。
圖2 工業控制系統各層次安全防護方案
3.2.1 安全通訊網絡實現
工業控制系統安全通訊網絡主要從現場總線網絡數據傳輸完整性保護、現場總線網絡數據傳輸保密性保護、無線網絡數據傳輸完整性保護、無線網絡數據傳輸保密性保護、工控網絡實時響應要求、通訊網絡異常監測、無線網絡攻擊防護等方面進行考慮設計,阻止惡意或入侵行為。
產品部署如下:
(1)在生產管理層(Level3)與企業資源層(Level4)之間部署采用單向傳輸策略的工業防火墻,禁止辦公網對生產網的非法訪問,同時在過程監控層(Level2)的各個安全域間部署采用白名單策略工業防火墻,禁止非授權的訪問,防止惡意代碼在安全域間擴散。
(2)在互聯網和辦公網的邊界處部署下一代防火墻,禁止互聯網對辦公網的非法訪問,保障網絡架構安全。
3.2.2 安全區域邊界實現工業控制系統安全區域邊界主要從工控通訊協議過濾、工控通訊協議信息泄露防護、工控區域邊界審計等方面進行考慮設計,能夠發現違規行為、阻止非法入侵。
產品部署如下:
(1)在過程監控層(Level2)與生產管理層(Level3)邊界以及生產管理層(Level3)與企業資源層(Level4)邊界部署基于白名單策略的工業防火墻,禁止任何穿越區域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網絡服務。
(2)在互聯網和辦公網的邊界處部署下一代防火墻,配置基于應用的訪問策略,禁止互聯網對辦公網的非法訪問。
(3)在過程監控層(Level2)與生產管理層(Level3)的核心交換機上旁路部署工控安全監測審計平臺,及時發現網絡入侵行為,并對超出基線異常行為報警。
(4)在企業資源層(Level4)核心交換機上旁路部署帶有沙箱功能的APT攻擊(網絡戰)預警平臺,對新型網絡攻擊行為以及未知惡意文件、0day進行分析、記錄、報警,及時發現辦公網絡對工控生產網絡的攻擊行為。
3.2.3 安全計算環境實現
工業控制系統安全計算環境主要從工業控制身份鑒別、現場設備訪問控制、現場設備安全審計、現場設備數據完整性保護、現場設備數據保密性保護、控制過程完整性等方面進行考慮設計,防止未經授權的設備、人員進入到工控系統中造成工控系統的破壞。
產品部署如下:
(1)在關鍵主機和服務站上部署工控主機衛士,阻止一切不在白名單庫中的軟件、程序的安裝和執行。對主機基線、主機資源的訪問權限、用戶的身份鑒別等進行嚴格的管控,對外設(如U盤)進行嚴格的監控管理。
(2)在安全運維域或工控DMZ域部署工控漏洞掃描平臺,對控制設備的漏洞進行檢測評估,及時指導控制設備進行補丁更新、固件更新。
(3)在過程監控層(Level2)與生產管理層(Level3)的核心交換機上旁路部署工控安全監測審計平臺,記錄各類安全事件和信息,特別是不符合工業現場正常生產行為的事件或行為進行檢測,為事件追蹤溯源提供依據。
3.2.4 安全管理中心實現
在等保建設的第一階段,先重點實現集中的安全管理,劃分統一的安全運維區,將已建的工業防火墻、工控安全監測審計、工控主機衛士等系統進行統一管理。
在等保建設的第二階段,通過建立統一的大數據架構的安全管理中心,實現企業級安全態勢感知,新建并整合已有的安全能力,最終實現“建立統一的支撐平臺進行集中的安全管理”要求和目標。
產品部署如下:
(1)在安全運維域或工控DMZ域部署運維審計和風險控制系統對系統運維進行全面的審核身份鑒別,對運維行為進行審計、記錄、存儲和查詢。
(2)在安全運維域或工控DMZ域部署綜合日志審計平臺對分散在各個設備上的數據進行收集匯總和集中分析。明御數據庫審計與風險控制系統對數據庫的操作行為審計、記錄、存儲。
(3)在安全運維域或工控DMZ域部署工業安全管控平臺實現對安全設備或安全組件的安全策略、惡意代碼、補丁升級等統一集中管理。
(4)在安全運維域或工控DMZ域部署工業安全態勢感知平臺對安全設備、網絡設備、網絡鏈路、主機和服務器進行集中監控,對各類安全事件進行識別、報警和分析,對攻擊行為追蹤溯源等。
4 結語
工業控制系統是工業企業的大腦,應用在各行各業,特別是國家的關鍵基礎設施上,工業控制系統一旦受到破壞,其影響和損失不僅僅限于直觀的經濟損失,重則會直接影響普通民眾的日常生活甚至造成人員傷亡,更為嚴重的是會影響到國家的安全和社會的穩定。工業控制系統關乎國家安全,加強工控網絡安全是中國工業化與時俱進發展的必然要求。
作者簡介
安成飛(1981-),男,遼寧人,工程師,現就職于杭州安恒信息技術股份有限公司,主要從事工業控制系統及信息安全研究工作。
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號