今日头条
官方微信
官方抖音
资讯频道 工控信息安全方面国家政策
近年来工控信息安全的重要性凸显,在国家层面也是相应出台了许多针对性的政策。
工业控制系统的信息安全要求最初主要来自于工信部协[2011]451号,即关于加强工业与控制系统信息安全管理的通知。
这个通知要求充分认识工业控制系统信息安全的重要性和紧迫性,切实加强工业控制系统信息安全管理,以保障工业生产运行安全、国家经济安全和人民生命财产安全。
2012年,发改委针对工业控制等领域面临的信息安全实际需要,组织国家信息安全专项。专项重点支持工业控制信息安全领域产品的产业化,主要面向以下三类工业控制系统安全产品:
(1)适用于工业控制系统的防火墙:具有支持多路由协议、 IP/MAC地址绑定、工业控制协议过滤、基于白名单策略的访问控制等功能,具有高可靠性,能够适用于不同工业控制网络应用场景。公安部第三研究所信息安全产品检测中心就承担了工控防火墙产品的测试任务,在测试过程中与生产厂商、业内专业人士交流,不仅圆满完成了测试任务,还取得了一定的经验积累,后续也在工控信息安全产品的行业标准、国家标准等方面的制定工作中取得了突破。
(2)面向工业控制系统的异常行为审计产品:具有恶意未知行为和异常行为的发现与检测,以及内容监测、事件与行为的审计等功能,能够适用于不同的工业控制网络应用场景。
(3)工业控制网络安全管控平台:支持工业控制网络流量收集识别、基于白名单的终端应用控制、实时工业控制协议与内容识别、漏洞发现与威胁识别、可视化运维、安全事件跟踪分析预警等。
专项还重点支持面向工业控制系统的信息安全专业化服务,包括应急响应、系统安全测试、隐患分析与风险评估、在线威胁检测与风险预警、可信安全运维与防护,以及基于可用性的最小威胁容忍建模和异常行为仿真等。
2013年,发改委针对工业控制等领域面临的信息安全实际需要,继续组织国家信息安全专项。
面向工业控制信息安全领域的安全产品主要包括以下两类:一是面向现场设备环境的边界安全专用网关产品。支持IPv4/IPv6及工业以太网,适用于集散控制系统(DCS)、数据采集与监视控制系统(SCADA)、现场总线等现场环境,具备5种以上工业控制专有协议以及多种状态或指令主流格式数据的检查、过滤、交换、阻断等功能,数据传输可靠性达到100%,可保护节点数不少于500点,设备吞吐量达到线速运行水平,延时小于100ms。
一是面向集散控制系统(DCS)的异常监测产品。适用于电厂、石油、化工、供热、供水等工艺流程,具有对工业控制系统的DCS工程师站组态变更、DCS操作站数据与操控指令变更,以及各种主流现场总线访问、负载变更、通信行为、异常流量等安全监测能力,具备过程状态参数、控制信号的阈值检查与报警功能。
专项还重点支持面向工业控制信息安全领域的可控试点示范,在电力电网、石油石化、先进制造、轨道交通领域,支持大型重点骨干企业,按照信息安全等级保护相关要求,建设完善安全可控的工业控制系统。建立以杜绝重大灾难性事件为底线的工业控制系统综合安全防护体系,建立完善工业控制信息安全技术与管理的机制和规范。
工业控制系统
说到工业控制系统,美国NIST给出了一个比较通用的定义,说明工控系统是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。
其核心组件主要包括: 数据采集与监视控制系统 、过程控制系统、 分布式控制系统、 可编程逻辑控制器、 远程终端、 智能电子设备以及确保各组件通信的接口技术 。
其实这是比较狭义的工控系统,随着工业化和信息化融合的深入,工控系统与业务系统已经对接,其层次和内涵也得到了极大地丰富。
上图所示就是广义的工业控制系统所需要涵盖的范围。
这是AMR组织提出的一个通用的制造企业信息传递的金字塔,将企业的信息系统分成三层,依次为业务计划层、制造执行层和过程控制层,是决策细化下达和执行结果汇总上传的信息沟通模式。
从网络构成来说,业务计划层是企业的办公网,主要涉及企业级应用,如ERP、OA等;制造执行层是监控网络,主要部署SCADA服务器、数据库、生产调度系统等;过程控制系统部署的是比较典型的控制网络,但也可以细分为工业以太网和工业总线网,其实也是最为复杂的网络。
其实真正意义上的工控网络可以分为四层,对应四个级别:现场控制级、过程控制级、过程管理级和经营管理级。与这四层结构相对应的四层局部网络分别是现场网络 (Field Network,Fnet)、控制网络 (Control Network,Cnet)、监控网络 (SupervisionNetwork,Snet) 和管理网络 (Management Network,Mnet)。
经营管理级强调计划的执行和控制,通过分解和细化计划指令将业务层与生产现场的控制层有机集成在一起,同时考虑生产方案的有序和优化配置、设备能力的合理利用、物料的优化配比等。其信息通讯依托于办公网,通过常规的信息安全保证措施(如防火墙等)与互联网相连。
过程管理级主要是监测控制运行过程,一方面根据过程状态实时修改和调整控制指令,另一方面及时有效监测异常状况,为生产管理的指令下达提供依据。
过程控制级通过预先设定的控制策略,根据上层的指令达到或者维持生产要求。
现场仪表层感知实际的物理过程,采集过程中的所有信息,作为上层过程控制层的输入以实现闭环控制过程。
工控信息安全面临的威胁
根据目前工控信息安全面临的威胁以及可以采取的防护措施来看,其实和工控安全密切相关的是管理网络、监控网络和控制网络。因为监控网是新兴的MES的网络,一端面向传统的以互联网技术为基础的办公网,另一端面向原先物理隔离的控制网,具有极大的安全隐患,也是需要重点防护的网络。而设备网的通信相对较为简单,使用的也大多是串口通信等技术,更适合从管理角度进行防护。因此接下来我想从管理网、监控网和控制网这三个网络层次对工控信息安全进行探讨。
企业应用ERP、CRM(客户关系管理,销售、营销和服务)、OA等。 一方面,企业办公网可能存在与外部互联网的通信,就可能存在来自互联网的安全威胁,如不安全的远程支持,这时通常需要具备较为完备的安全边界访问措施,如防火墙、严格的身份认证及准入控制机制等进行防护; 另一方面,企业内部的系统或人员需要访问和处理工控系统的监控及采集数据,使得办公网与监控网之间形成通道,但由于实时性要求和工控协议私有性的局限,未能实现基本的访问控制及认证机制,即使在两个网络之间存在物理隔离设备(如防火墙、网闸等),也为了可用性和实时性等原因或主动或无意的配置不当,存在被轻易穿透的风险。
关键工业控制组件:SCADA服务器、历史数据库、实时数据库、人机界面等。在该网络中,系统操作人员通过HMI界面、SCADA系统及其他远程控制设备,对现场控制网络中的远程终端单元、控制和采集设备的运行状态进行监控、评估和分析,并根据运行状况对PLC和RTU进行调整和控制。
其威胁主要来自于以下几点:
第一,不安全的移动维护设备(如笔记本、U盘等)的未授权接入,造成木马、病毒等恶意代码在网络中传播;
第二,监控网与RTU/PLC之间不安全的无线通信,极易受到攻击;
第三,因合作的需要,工业控制网络可能存在外联的第三方合作网络,并在网络之间存在重要数据信息交换,虽然存在一定的隔离及访问控制策略,但日新月异的新型攻击技术很容易造成这些防护措施的失效;
第四,控制协议本身考虑最多的是实时性和可用性,基本未涉及安全性考量,存在许多漏洞,极易受到攻击。
控制网一般可以分为两层:工程师站/操作师站,以及控制器之间通过工业以太网进行信息交互;控制器和传感器、执行器之间利用总线技术相连,PLC或RTU可以自行处理一些简单的程序,实现了信息处理的现场化。
控制网的信息安全威胁主要来自以下几点:
第一,控制网络通常处于作业现场,环境相对比较复杂,采用各种接入技术作为现有网络的延伸,如无线、微波等,引入一定的安全风险;
第二,PLC等设备在现场维护时,也可能因不安全的串口连接或缺乏有效的配置,造成其运行参数被篡改,从而引起整个工控系统的运行危害(震网病毒);
第三,由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行;工程师站、操作师站等缺少防病毒软件,或者病毒库升级迟缓,而频繁的数据交互(尤其是U盘的方式)极易带来恶意代码从而威胁整个工控网络安全;
第四,除了病毒等恶意代码以外,控制指令对整个工控系统的影响可能更大,尤其是非授权指令和超过阙值指令的下达,极易引起整个生产过程的崩溃。
“三层网络,二级防护”
基于以上的工控三层网络所面临的信息安全风险,业内已经提出了“三层网络,二级防护”的信息安全防御体系。
管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据,抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。
也就是说,管理层与MES层之间的安全防护,保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控、审计。
通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:
? 区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故障会被控制在最初发生的区域内,而不会影响到其它部分。
? 实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速的发现和解决。
除了根据三层网络、二级防护的总体架构以外,由于工控现场环境的复杂多变,为了防止不同控制区域之间的互相影响,有必要分区域进行防护,根据工艺流程或者物理位置划分合理的防护区域,在区域之间部署合适的防护装置并设置相关防护策略,保证即使发生信息安全事故,也将影响控制在本区域内。
工控信息安全产品的研制、检测和标准化
工控网络分层防护、分区域防护需要采取相应的防护措施来实现,主要可以分成以下三个方面: 工控设备和组件方面,主要关注其本身的信息安全,在设计、研发阶段就要考虑如防病毒、抗攻击、通信安全等内容;由于工控设备的更新频率较低,现阶段采取的最多的是专用的信息安全防护产品,如工控防火墙、工控主机防护产品等; 产品只能解决其接入的有限区域的信息安全,无法从系统层面考虑整体的安全性,因此需要引入系统信息安全防护,目前有关部门联合检测机构已经在制定工控等级保护的相关标准,借鉴传统的计算机等级保护要求来保护和测评工控系统。
我们中心的主要工作就是信息安全产品的检测和系统测评。
目前专用信息安全产品均需要申请销售许可证,一般的流程是申请测试——测试通过——申领销售许可。
由于现在工控信息安全产品的标准尚在制定过程中,没有可以直接用于检测的标准作为依据,所以现在的测试依据现有的类似产品标准(如工控防火墙就是参照传统防火墙的标准),抽取适用性的条款,再补充测试适用于工控环境的其他要求,特别是协议支持方面的内容。
检测通过后再向公安部申请销售许可证。
以工控防火墙为例,大部分传统防火墙的要求均适用,但NAT、路由不做要求。
工控环境的要求主要包括:
(1)支持基于白名单策略的访问控制,包括网络层和应用层;
(2)工业控制协议过滤,应具备深度包检测功能,支持主流的工控协议的格式检查机制、功能码与寄存器检查机制
(3)支持动态开放OPC协议端口;
(4)防火墙应支持多种工作模式,保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如:学习模式,防火墙记录运行过程中经过防火墙的所有策略、资产等信息,形成白名单策略集;验证模式或测试模式,该模式下防火墙对白名单策略外的行为做告警,但不拦截;工作模式,防火墙的正常工作模式,严格按照防护策略进行过滤等动作保护。
防火墙应具有高可靠性,包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。
上图是工控防火墙的功能测试拓扑图,将待测的工控防火墙串联部署在内外网之间,通过内外网的工控协议模拟器建立通信,来测试在防火墙上配置的策略。
由于工控主机一般不部署杀毒软件,即使部署了也不能保证及时更新病毒库,也没有相应的鉴权鉴别的访问控制措施。主机防护产品采取铠甲式外挂,实现人员审核与访问控制、操作行为与审计、数据安全交换与杀毒功能。其特色就是在不对工控主机采取任何软硬件的加载的前提下提高安全性。
工控系统测评方面,主要是借鉴计算机等级保护制度,从技术和管理两个方面对工控系统运行的环境和使用的人员进行测评,保证其在测试点的安全合规性,已经测试点之间的动态安全性。目前相关的技术要求和测评方法正在制定过程中。
除了产品和系统检测以外,我们中心还十分关注相关标准的制定。下面介绍一下工控信息安全领域的标准化工作情况。
现阶段还未发布工控信息安全的相关标准,但是各个层次也正在制定之中。
国际标准层面,美国的ISA已经制定了相关的技术标准,IEC等同采用了ISA SP99的内容,发布了IEC 62443《工业过程测量、控制和自动化 网络与系统信息安全》标准。
NIST发布的工业控制系统安全指南可谓是工控信息安全领域的经典。
国家标准方面,TC124主要关注工控系统的标准化,TC260关注信息安全相关的标准,相关的工控信息安全标准也正在这两个标委会中制定。
行业标准方面,电力系统最早关注工控信息安全,其标准化进度也相对较为领先;而公安行业标准近两年也开始制定相关工控安全标准,主要关注专用的信息安全防护产品,涉及工控防火墙、工控审计产品、工控安全隔离与信息交换系统、工控安全管理平台和工控入侵检测系统。
总结
工业化和信息化融合促进了效率提升,也给原先物理隔离的工控系统带来了信息安全隐患,工控系统在能源等支柱产业的重要性也提升了工控信息安全的重要性。 目前主流的三层网络、二级防护机制可以有效保障工控系统的安全性,其实现需要专用的工控信息安全产品的支持,因此相关产品的研制、检测认证和标准化工作也是关注的重点。系统级的信息安全可以借鉴传统的信息安全等级保护措施和相关要求,从整体角度对其进行防护。
(本文整理自沈清泓在“第三届工业控制系统信息安全峰会”上的大会报告)
摘自《自动化博览》2014年7月刊
北京市公安局海淀分局备案号:11010802023656号