作者:北京和利時系統工程有限公司 劉盈,李宗杰,李根旺
摘要:隨著工業互聯網的發展及工業大數據、大互聯時代的到來,工業控制系統的互聯互通已成為未來工控系統的發展趨勢。工業控制系統信息安全已成為今后工控系統設計中不可或缺的重要環節。本文的重點在于研究適用于工業控制系統的安全防護體系架構,在傳統被動防護體系的基礎上結合縱深防護理念,提出了工業控制系統信息安全主動防護體系,將可信計算、數字證書體系、深度協議控制、虛擬化隔離等安全技術融入工業控制系統,并結合邊界防護、工業設備防護和核心控制器防護為工業控制系統運行提供安全保障。
關鍵詞:工業控制系統;主動防護體系;可信計算
1 前言
在工業控制系統中,終端設備網絡化、智能化的趨勢越來越明顯。隨著控制系統日漸走向網絡化、集成化、分布化的發展趨勢,信息安全成為影響工控系統正常運行的重要問題。現有的工業控制系統防護主要通過防火墻、工業網閘等網絡防護設備構建邊界防護和基于主機和操作系統的加固防護技術,此類防護手段主要作用于攻擊或威脅發生后,屬于被動防御。本文提出針對工業控制系統的信息安全功能和防護架構將通過基于數字證書的身份認證、融合可信計算技術的工業控制器等一系列信息安全主動防護能力來實現工業信息安全的主動防御體系。
圖1 主動防護機制
2 典型工業信息安全防護機制
2.1 被動防護機制
傳統的信息安全防護機制通過對關鍵網絡節點和數據出入口采取必要的訪問控制和權限控制來達到信息安全防護的目的。傳統的被動式防護體系主要采用“封”、“堵”、“查”、“殺”的策略對保護系統環境進行安全過濾,主要依賴以下防護手段實現:
2.1.1 區域邊界隔離
(1)物理區域隔離
物理區域隔離,本質上通過在內網和外網之間建立對直接或間接連接的阻隔,從而實現對內外網之間的物理隔絕的隔離技術。嚴格意義上來說,物理隔離的建立首先在兩個網絡之間的物理上是互不連接的,其次物理隔離需在鏈路層上切斷內網外之間的數據鏈接,因此無論使用防火墻、路由器或其他交換設備連接的網絡均不屬于物理隔離。物理隔離目前常用工業網閘實現。
物理隔離對數據的傳輸方向要求較高,并且實施成本較大,但在安全性方面要強于邏輯隔離。
(2)邏輯區域隔離
邏輯區域隔離,被隔離的兩端仍然存在物理上數據通道連線,但通過技術手段保證被隔離的兩端沒有數據通道,即邏輯上隔離。主要通過軟件或硬件設備將兩個網絡進行虛擬分割,并保證網絡之間進行有條件的互訪。邏輯隔離通常采用VLAN和網絡防火墻等方式實現。
邏輯隔離具有部署簡便,操作性強,適用性廣等特點,但在安全程度上相較于物理隔離稍差。
2.1.2 邊界防護
通過邏輯或物理分區的方式將控制系統劃分為不同的區域,形成了多區域邊界的區域化結構,在各分區的邊界采用邊界防護手段,能夠有效控制各區域出入口的數據和流量安全。
邊界防護是被動防御體系的核心所在,通常通過網閘設備和防火墻實現,以基礎架構安全作為邊界防護的基礎,通過預置不同的安全策略和檢測特征來進行靜態防護,邊界防護技術針對絕大多數常見類型的威脅和攻擊具有很好的抵御效果,但對于未知威脅和APT攻擊卻很難發揮出決定性作用。
2.1.3 安全管理
安全管理主要包括漏洞掃描修復、安全審計記錄等手段對工業控制系統中存在的漏洞進行掃描和修復,防止存在的已知漏洞被惡意利用;審計系統則通過對發生的安全事件和非法數據流量進行審計記錄,對安全事件提供追蹤溯源能力。
2.1.4 主機防護
主機防護所針對的保護對象為系統內的合法資產,通過對已有主機的操作系統進行系統加固,關閉無關端口和無關服務達到服務和端口最小化的目的,從而切斷可能存在的威脅傳輸介質。
防病毒軟件同樣被應用于對主機資產的防護,考慮到工業控制系統網絡隔離和難以保證病毒庫實時更新等問題,防病毒軟件在工業控制系統的應用主要采用白名單防護的形式。
圖2 傳統被動防護機制
2.2 縱深防護機制
縱深防護理念引入工業控制系統的信息安全解決方案是目前業內廣泛接受的應用解決方案之一,工業控制系統的“縱深防護”旨在外部網絡與工業核心網絡之間構建多層次的防護層,由于工業控制系統的功能層級化結構明顯,縱深防護理念在工業控制系統的適用度更加明顯。
工控系統的縱深防護策略大體可分為四大類:
(1)安全管理
安全管理通過建立完善的安全管理流程、操作指南、安全業務管理和應急響應機制來完善信息安全防護能力。
(2)物理防護
物理防護指對工業控制現場和設備的物理訪問進行限制和約束。包括門禁、身份卡、監控設備等。
(3)網絡防護
網絡防護包含基于網絡分區的安全架構,以及通過部署防火墻等邊界防護設備對網絡分區邊界節點的信息安全防護。
(4)主機防護
主機防護通過對主機操作系統的服務和配置加固、補丁管理、漏洞修復等完善操作系統的基本防護能力。此外,通過部署防病毒軟件對惡意代碼和惡意程序進行檢測和防護。
縱深防護機制在以上防護策略的基礎上,對不同層級采用不同針對性的安全措施,從而保護工業控制系統內的資產和網絡安全。
3 工業控制系統主動防護機制
傳統的被動防護機制和縱深防護機制的融合對建立工業控制系統的信息安全防護體系起到了關鍵作用,融合后的工業信息安全防護體系主要仍然依靠固定的防護策略和靜態防護體系對威脅進行檢測和抵御,雖然一定程度上滿足了對外部網絡威脅的抵御需求,但針對未知威脅和來自于內部的威脅卻難以發揮作用。在面對接口復雜、協議大量私有化的工業控制系統難免會捉襟見肘。
基于已有的工業信息安全防護體系,為解決信息安全防護在工控系統中存在的問題,進一步提出了針對工控系統的主動防護機制。主動防護機制基于可信計算技術、數字證書體系構建能夠對惡意行為和惡意威脅進行自診斷、自抵御的核心內生安全體系。
3.1 控制層主動防護
多層級防護方面,在現有縱深防護的基礎上增加控制器核心安全防護層,通過提升控制系統核心控制器的安全抵御能力,將核心控制器作為安全的最后一道防線,采用可信計算和數字證書體系作為主動防護的基礎,進一步賦予工控系統控制層的核心防護能力。通過對可信計算平臺的引入,控制器將具備對未知威脅的主動發現和阻隔能力。
圖3 核心控制器可信計算平臺
3.2 網絡層主動防護
工業控制系統在系統網通信方向,通過對通信行為建模的方法,通過對正常工業通信行為進行機器學習,針對無法辨識出未知特征的攻擊或入侵行為進行檢測,實現對Profinet 、 Modbus-TCP、IEC-104、OPC-UA、DNP3.0等工業協議的訪問控制能力。
主動防御的工業協議訪問控制技術通過監視并分析通信行為在入侵行為產生危害之前進行攔截,作為對基本訪問控制能力的強化補充
3.3 監控層主動防護
主動防護機制引入數字證書的安全機制,解決設備固件更新階段的合法性和完整性度量,身份接入認證,保證工控設備在啟動與運行階段的可信性,從源頭建立安全可信的運行環境。
設備接入工業網絡之后,通過數字證書進行雙向認證,并提供CRL多種方式的證書有效性驗證,提供PKCS1/ PKCS7、attach/PKCS7、detach/XML等格式的數字簽名和數字簽名驗證功能。
U-key作為身份認證和加密傳輸的關鍵設備,作用于上層系統,基于802.1x認證過程防止未授權登陸以保證系統的安全接入。支持對稱和非對稱加解密算法。U-key內存儲有用于身份認證的數字證書可被上位機用于完成身份認證的工作。
圖4 數字證書認證流程
4 信息安全主動防護體系應用
工業信息安全主動防護體系,增加對控制層、網絡層、監控層的主動防護技術的應用,并結合被動防御機制核心的邊界防護以及縱深防護機制的獨立防護策略,構成對工業控制系統新的安全防護體系。主動防護體系在抵御外部已知威脅的同時,進而能夠對未知威脅以及從內部發起的威脅進行有效抵御,全面保護工業控制系統的穩定運行。
通過在現有工業控制系統的拓撲基礎上,增加可離線運行的數字證書管理平臺、高度集成的安全管控平臺以及集成主動安全防護技術的核心安全控制器,構筑能夠對已知威脅、未知威脅、外部非法訪問、內部非法接入等各類信息安全威脅的核心抵御能力
圖5 主動安全防護體系應用拓撲
5 結語
隨著工業信息安全技術的不斷發展以及工業核心控制設備的不斷迭代,工業控制系統的信息安全防護體系會經過不斷的演化和革新。在《中國制造2025》和工業互聯網大力發展的行業背景下,工業信息安全將會迎來快速發展的新時期。
工業控制系統封閉的網絡環境已經被打開,工業信息安全防護的革新必須緊跟工業互聯網的發展腳步,構建主動防御的工業信息安全防護,提升工業控制系統的核心安全能力刻不容緩。
( 注: 本研究依托國家高技術研究發展計劃“863計劃”先進制造技術領域“可編程嵌入式電子裝備的安全技術”項目“可編程嵌入式電子設備的安全防護技術及開發工具”課題任務進行。)
作者簡介:
劉盈(1990-),男 ,內蒙古人,工程師,碩士,現就職于北京和利時系統工程有限公司,主要研究方向是電氣工程。
李宗杰(1983-),男 ,浙江人,工程師,碩士,現就職于北京和利時系統工程有限公司,主要研究方向是計算機應用。
李根旺(1985-),男,河北人,高級工程師,碩士,現就職于北京和利時系統工程有限公司,主要研究方向是檢測技術與自動化裝置。
參考文獻:
[1] 工業和信息化部. 工業控制系統信息安全防護指南[Z]. 2016, 10.
[2] 馮登國. 可信計算-理論與實踐[M]. 北京: 清華大學出版社, 2013, 5.