今日頭條
官方微信
官方抖音
資訊頻道1 引言
新發(fā)布的等級(jí)保護(hù)基本要求(等級(jí)保護(hù)2.0)在原有基礎(chǔ)上進(jìn)行了細(xì)化、分類和加強(qiáng),將重要基礎(chǔ)設(shè)施、重要系統(tǒng)及“云、移、物、工控、大”納入等級(jí)保護(hù)管理;名稱由原來(lái)的《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》變更為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。等級(jí)保護(hù)上升到了網(wǎng)絡(luò)空間安全的層面,意味著等級(jí)保護(hù)的對(duì)象全面升級(jí):不再是傳統(tǒng)意義上的計(jì)算機(jī)信息系統(tǒng),而是包含網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)安全等對(duì)象的網(wǎng)絡(luò)空間安全。在等級(jí)保護(hù)2.0時(shí)代,如何建立健全有效的工控安全體系是每一個(gè)工業(yè)企業(yè)、工控制造商、工控安全企業(yè)都應(yīng)該思考的問(wèn)題。
2 等級(jí)保護(hù)發(fā)展歷程
上世紀(jì),西方發(fā)達(dá)國(guó)家制定了一系列強(qiáng)化網(wǎng)絡(luò)信息安全建設(shè)的政策和標(biāo)準(zhǔn),其核心就是將不同重要程度的信息系統(tǒng)劃分為不同的安全等級(jí),以便于對(duì)不同領(lǐng)域的信息安全工作進(jìn)行指導(dǎo)。鑒于此,相關(guān)部門(mén)和專家結(jié)合我國(guó)實(shí)際情況進(jìn)行多年的研究,逐步形成了我們國(guó)家的信息系統(tǒng)安全等級(jí)保護(hù)制度。
1994年,國(guó)務(wù)院頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》;2003年,中央辦公廳、國(guó)務(wù)院辦公廳頒發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》,明確提出“實(shí)行信息安全等級(jí)保護(hù)”。
2004年至2006年期間,公安部聯(lián)合四部委開(kāi)展信息系統(tǒng)等級(jí)保護(hù)基礎(chǔ)調(diào)查和等級(jí)保護(hù)試點(diǎn)工作。
2007年6月,《信息安全等級(jí)保護(hù)管理辦法》出臺(tái);同年7月四部門(mén)聯(lián)合發(fā)布了《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》,并于7月20日召開(kāi)了全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作部署專題電視電話會(huì)議,標(biāo)志著我國(guó)信息安全等級(jí)保護(hù)制度正式開(kāi)始實(shí)施。
2010年4月,公安部出臺(tái)《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》,提出等級(jí)保護(hù)工作的階段性目標(biāo);12月,公安部和國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)聯(lián)合出臺(tái)《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知》,標(biāo)志著我國(guó)信息安全等級(jí)保護(hù)工作全面展開(kāi)。
3 等級(jí)保護(hù)2.0分析
3.1 等級(jí)保護(hù)2.0與1.0對(duì)比
隨著云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的不斷發(fā)展和應(yīng)用,等級(jí)保護(hù)2.0針對(duì)新技術(shù)以及國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全(工業(yè)控制系統(tǒng))等提出了全面、深入、細(xì)化的準(zhǔn)則。
在內(nèi)容上,等級(jí)保護(hù)2.0調(diào)整分類為物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理;調(diào)整各個(gè)級(jí)別的安全要求為通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求;取消了原來(lái)安全控制點(diǎn)的S、A、G標(biāo)注,增加一個(gè)附錄A描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系,說(shuō)明如何根據(jù)定級(jí)結(jié)果選擇安全要求;調(diào)整了原來(lái)附錄A和附錄B的順序,增加了附錄C描述網(wǎng)絡(luò)安全等級(jí)保護(hù)總體框架,并提出關(guān)鍵技術(shù)使用要求。
除去對(duì)內(nèi)容的整合修改外,也對(duì)標(biāo)準(zhǔn)名稱進(jìn)行了修改,由《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,使之與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致。
3.2 等級(jí)保護(hù)2.0工控安全擴(kuò)展要求
工控安全是網(wǎng)絡(luò)空間領(lǐng)域的另一種安全,不同于傳統(tǒng)計(jì)算機(jī)與互聯(lián)網(wǎng)等虛擬空間防信息竊取的安全。工控安全是物理世界安全,是保護(hù)重要基礎(chǔ)設(shè)施所使用的工業(yè)控制系統(tǒng)(簡(jiǎn)稱工控系統(tǒng))免遭惡意操控,從而保障物理設(shè)施的正常運(yùn)行,并防止發(fā)生生產(chǎn)停頓、經(jīng)濟(jì)停擺、環(huán)境污染乃至社會(huì)動(dòng)蕩、國(guó)家癱瘓等重大災(zāi)難事故的安全。
等級(jí)保護(hù)2.0專門(mén)提出了工控安全擴(kuò)展要求,如表1所示。
表1工業(yè)控制系統(tǒng)安全擴(kuò)展要求
4 等級(jí)保護(hù)2.0工控安全思考
由表1可以發(fā)現(xiàn),等級(jí)保護(hù)2.0在工控安全方面突出強(qiáng)調(diào)了控制設(shè)備安全,需要采用技術(shù)和管理兩個(gè)手段確保工控系統(tǒng)安全穩(wěn)定運(yùn)行。
4.1 什么是工控系統(tǒng)
工業(yè)控制系統(tǒng)是指由計(jì)算機(jī)與工業(yè)過(guò)程控制部件組成的自動(dòng)控制系統(tǒng),它是指在沒(méi)有人直接參與的情況下,利用外加的設(shè)備或裝置,使機(jī)器、設(shè)備或者生產(chǎn)裝備等基礎(chǔ)設(shè)施按照預(yù)定的規(guī)律運(yùn)行,以保證生產(chǎn)出合格的產(chǎn)品,同時(shí)還不會(huì)引發(fā)災(zāi)難事故。按應(yīng)用行業(yè)和特點(diǎn)分,主要包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA,Supervisory Control And DataAcquisition)、分布式控制系統(tǒng)(DCS,DistrbutedControlSystem)、可編程邏輯控制器(PLC,Programmable LogicController)、遠(yuǎn)程終端(RTU,Remote TerminalUnit)等。這些工控系統(tǒng)在系統(tǒng)組成和網(wǎng)絡(luò)層次上是一樣的,都是由運(yùn)行在工程師站、操作員站的SCADA軟件、控制器、現(xiàn)場(chǎng)儀表,以及上層監(jiān)控網(wǎng)絡(luò)和現(xiàn)場(chǎng)低速總線網(wǎng)絡(luò)構(gòu)成。只是由于它們的應(yīng)用場(chǎng)合和應(yīng)用側(cè)重點(diǎn)不同,如表2所示,導(dǎo)致在不同的行業(yè)會(huì)有不同的叫法。
表2 SCADA、DCS、PLC、RTU的區(qū)別
4.2 工控系統(tǒng)安全防護(hù)的本質(zhì)要求
2010年,伊朗發(fā)生了震驚世人的“震網(wǎng)”(Stuxnet)事件,針對(duì)特定控制系統(tǒng)進(jìn)行攻擊,破壞了大量鈾濃縮離心機(jī)和布什爾核電站發(fā)電機(jī)組,導(dǎo)致伊朗核計(jì)劃至少被延遲2年。“震網(wǎng)”雖然利用了RPC遠(yuǎn)程執(zhí)行漏洞(MS08-067)、快捷方式文件解析漏洞(MS10-046)、打印機(jī)后臺(tái)程序服務(wù)漏洞(MS10-061)、內(nèi)核模式驅(qū)動(dòng)程序漏洞(MS10-073)、任務(wù)計(jì)劃程序漏洞(MS10-092)等操作系統(tǒng)的漏洞,但這些漏洞只是被用于“震網(wǎng)”惡意代碼的傳播;而“震網(wǎng)”的核心代碼,它利用了控制系統(tǒng)自身的特征,結(jié)合伊朗鈾濃縮離心機(jī)和核電站的生產(chǎn)工藝、特征參數(shù),通過(guò)向核心組件——PLC發(fā)起攻擊,使PLC一方面向離心機(jī)、核電設(shè)備發(fā)送惡意操控指令使之超負(fù)荷運(yùn)行,直至損壞;另一方面向操作站發(fā)送“正常”的生產(chǎn)工況數(shù)據(jù),使操作人員誤以為生產(chǎn)正常。
需要指出的是,“震網(wǎng)”所發(fā)出的惡意操控指令、虛假的“正常”生產(chǎn)工況數(shù)據(jù),都是利用控制系統(tǒng)本身的“合法”協(xié)議、“合法”指令(如控制離心機(jī)的轉(zhuǎn)速減少或增加指令)、“合法”數(shù)據(jù),并沒(méi)有利用其核心控制器的任何漏洞。之所以這些“合法”指令能夠?qū)е乱晾屎嗽O(shè)施損毀,就在于這些“合法”指令與正常的生產(chǎn)工藝、操作流程不符合。由此可見(jiàn),針對(duì)工控系統(tǒng)核心部件的攻擊才是真正的工控系統(tǒng)安全威脅,它能夠?qū)е禄A(chǔ)設(shè)施災(zāi)難性的物理?yè)p毀。
鑒于此,對(duì)工控系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)和保護(hù)需要著眼以下幾個(gè)方面:
(1)需要覆蓋工控系統(tǒng)軟件、硬件和網(wǎng)絡(luò)等所有部件
要針對(duì)攻擊者可能利用的途徑、可能利用的手段以及可能引發(fā)的后果等多個(gè)方面,對(duì)工控系統(tǒng)所有的主機(jī)、主機(jī)應(yīng)用軟件、進(jìn)程,甚至是關(guān)鍵軟件代碼進(jìn)行有效保護(hù)和防護(hù);對(duì)工控網(wǎng)絡(luò)所有的協(xié)議、服務(wù)以及傳輸?shù)臄?shù)據(jù)、操作指令進(jìn)行保護(hù)和防護(hù);對(duì)DCS控制器、PLC控制模塊、RTU控制模塊等嵌入式代碼進(jìn)行保護(hù)和防護(hù)。
(2)需要結(jié)合生產(chǎn)工藝與操作流程而開(kāi)展
“震網(wǎng)”惡意代碼之所以能夠引發(fā)伊朗鈾濃縮離心機(jī)和核電站機(jī)組的物理?yè)p毀,關(guān)鍵在于通過(guò)操控工控系統(tǒng),使鈾濃縮離心機(jī)和核電站機(jī)組的運(yùn)行狀態(tài)偏離其設(shè)計(jì)的正常工況,使之超負(fù)荷、非正常工況運(yùn)轉(zhuǎn),直至最后物理?yè)p毀。因此,針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù),必須對(duì)基礎(chǔ)設(shè)施、生產(chǎn)裝置運(yùn)行的關(guān)鍵工藝參數(shù)、關(guān)鍵工況、關(guān)鍵控制方案等進(jìn)行保護(hù)和防護(hù)。
(3)需要貫穿基礎(chǔ)設(shè)施及其工控系統(tǒng)的全生命周期
對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù),僅僅靠安裝一些安全產(chǎn)品遠(yuǎn)遠(yuǎn)不夠,還必須覆蓋工控系統(tǒng)的設(shè)計(jì)、生產(chǎn)、調(diào)試、工程實(shí)施、維修、運(yùn)行維護(hù)等全生命周期的所有環(huán)節(jié),既要從技術(shù)上進(jìn)行防護(hù)和保護(hù),也需要從管理措施上阻斷惡意代碼的帶入。
4.3 工控系統(tǒng)安全防護(hù)建議
(1)重要關(guān)鍵基礎(chǔ)設(shè)施的工控系統(tǒng)逐漸實(shí)現(xiàn)自主可控
等級(jí)保護(hù)2.0工業(yè)控制系統(tǒng)安全擴(kuò)展要求部分要求的控制設(shè)備安全在逐漸實(shí)現(xiàn)自主可控的情況下可實(shí)現(xiàn)工控系統(tǒng)核心部件——控制設(shè)備安全。這就要求:控制設(shè)備內(nèi)置安全設(shè)計(jì),實(shí)現(xiàn)通信與控制隔離,確保在遭到外部攻擊時(shí)不影響控制回路的正常運(yùn)行;控制網(wǎng)絡(luò)通信采用加密和完整性保護(hù)手段;控制設(shè)備內(nèi)核自主可控(硬件、嵌入式系統(tǒng)、控制算法、協(xié)議棧等);控制設(shè)備具備對(duì)組態(tài)和用戶數(shù)據(jù)等關(guān)鍵數(shù)據(jù)進(jìn)行完整性和正確性檢測(cè)功能,故障時(shí)進(jìn)行報(bào)警和記錄等。
(2)重要關(guān)鍵基礎(chǔ)設(shè)施必須部署工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)
重要關(guān)鍵基礎(chǔ)設(shè)施部署的工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)應(yīng)具備以下特點(diǎn):①針對(duì)內(nèi)置預(yù)埋代碼,切斷危害,進(jìn)行應(yīng)急處置;在安全區(qū)域、系統(tǒng)出口,加強(qiáng)預(yù)警防范;②以不影響生產(chǎn)和生產(chǎn)安全為前提,注意數(shù)據(jù)保護(hù)和操作保護(hù);③對(duì)系統(tǒng)重要性識(shí)別、系統(tǒng)資產(chǎn)識(shí)別、系統(tǒng)脆弱性識(shí)別、系統(tǒng)威脅識(shí)別及系統(tǒng)風(fēng)險(xiǎn)識(shí)別等維度進(jìn)行安全防護(hù);④采用軟件防護(hù)、邊界維護(hù)、PLC嵌入式代碼防護(hù)、控制異常監(jiān)測(cè)與阻斷等措施進(jìn)行立體防護(hù);⑤對(duì)工控系統(tǒng)進(jìn)行無(wú)擾動(dòng)實(shí)時(shí)在線修復(fù),并啟動(dòng)安全應(yīng)急系統(tǒng),實(shí)現(xiàn)數(shù)字化、網(wǎng)絡(luò)化、智能化環(huán)境中工業(yè)企業(yè)的工控信息安全。
(3)針對(duì)行業(yè)建設(shè)工控系統(tǒng)網(wǎng)絡(luò)安全測(cè)試床
國(guó)家、企業(yè)(包括工業(yè)企業(yè)、工控安全企業(yè)、相關(guān)測(cè)評(píng)單位)應(yīng)加快建設(shè)其所在領(lǐng)域行業(yè)的工控系統(tǒng)網(wǎng)絡(luò)測(cè)試床,應(yīng)能實(shí)現(xiàn)以下目的:在上線部署前,測(cè)試控制設(shè)備其自身的安全性;對(duì)上線部署的工控網(wǎng)絡(luò)安全產(chǎn)品其功能、可用性、安全性、可靠性及對(duì)工控系統(tǒng)是否有影響等進(jìn)行測(cè)試;結(jié)合實(shí)際應(yīng)用場(chǎng)景的控制方案、業(yè)務(wù)邏輯等進(jìn)行未知威脅的生成,建設(shè)未知威脅庫(kù),增強(qiáng)工控系統(tǒng)及其安全產(chǎn)品的主動(dòng)防御能力;對(duì)上線部署的工控網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行訓(xùn)練,提升其自主學(xué)習(xí)能力等。
(4)建設(shè)工控網(wǎng)絡(luò)安全人才隊(duì)伍,完善或制定工控網(wǎng)絡(luò)安全產(chǎn)品標(biāo)準(zhǔn)體系
工控系統(tǒng)網(wǎng)絡(luò)安全攻防技術(shù)研究攻防兼顧,以攻促防。人才隊(duì)伍不僅要懂工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)技術(shù)、體系架構(gòu)、嵌入式軟件、私有協(xié)議等,還要懂使用工業(yè)控制系統(tǒng)的具體對(duì)象的工藝、設(shè)備技術(shù),只有這樣才能做到定點(diǎn)攻擊或精確防護(hù)。構(gòu)建一支工控網(wǎng)絡(luò)安全專業(yè)研究團(tuán)隊(duì),將有助于增強(qiáng)針對(duì)國(guó)家重要關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)安全防護(hù)能力。
另外,不同于普通安全產(chǎn)品,工控系統(tǒng)安全需緊密聯(lián)系工控現(xiàn)場(chǎng)環(huán)境,性能穩(wěn)定,滿足實(shí)時(shí)性與準(zhǔn)確性等需求;可用性大于機(jī)密性、完整性。針對(duì)相關(guān)安全產(chǎn)品標(biāo)準(zhǔn),需要完善或制定工控網(wǎng)絡(luò)安全產(chǎn)品標(biāo)準(zhǔn)體系。
5 結(jié)束語(yǔ)
在等級(jí)保護(hù)2.0時(shí)代,工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù)回歸到了控制系統(tǒng)的本質(zhì)。在傳統(tǒng)互聯(lián)網(wǎng)安全、計(jì)算機(jī)安全領(lǐng)域有效的手段和產(chǎn)品對(duì)工控系統(tǒng)不一定有效。對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù),需同時(shí)從工控系統(tǒng)的軟件、硬件、網(wǎng)絡(luò)以及生產(chǎn)工藝、生產(chǎn)流程、生產(chǎn)裝置等角度進(jìn)行,才能夠防護(hù)得住有組織的專業(yè)團(tuán)隊(duì)的攻擊,也才能保護(hù)我們國(guó)家重要基礎(chǔ)設(shè)施的安全。
作者簡(jiǎn)介:
還約輝(1986-),男,江蘇鹽城人,工程師,學(xué)士,現(xiàn)任浙江國(guó)利網(wǎng)安科技有限公司副總經(jīng)理,研究方向是工控網(wǎng)絡(luò)安全。
王 迎(1981-),男,浙江杭州人,工程師,學(xué)士,工控網(wǎng)絡(luò)安全,現(xiàn)任浙江國(guó)利網(wǎng)安科技有限公司總經(jīng)理,研究方向是工控網(wǎng)絡(luò)安全。
薛金良(1987-),男,浙江紹興人,高級(jí)工程師,學(xué)士,現(xiàn)任浙江國(guó)利網(wǎng)安科技有限公司安全研究中心主任,研究方向是工控網(wǎng)絡(luò)安全。
摘自《自動(dòng)化博覽》2019年10月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)