隨著信息技術在各個行業(yè)越來越深入��,我國工控領域的安全可靠性問題日益突出��,工控系統(tǒng)的復雜化��、信息化加劇了系統(tǒng)的安全隱患��。網(wǎng)絡安全等級保護是我國網(wǎng)絡安全保障的基本制度��,本文基于網(wǎng)絡安全等級保護理論對工控系統(tǒng)的安全研究分析��,從多個層面進行安全防護��,降低安全風險,提高工控系統(tǒng)的綜合防護能力��。
引言
工業(yè)控制系統(tǒng)安全問題層出不窮��,2010年��,“震網(wǎng)”病毒入侵伊朗核電站��、破壞伊朗核計劃��,導致伊朗核電站計劃失敗��,至今仍然未能恢復��。2016年12月��,黑客利用Industroyer惡意軟件攻擊烏克蘭一所變電站��,導致基輔等地區(qū)電力供應短暫中斷��,這款惡意軟件不需要手動操作��,可自動擾亂工業(yè)控制系統(tǒng)的正常運行��,對電網(wǎng)等基礎設施的安全運行構成嚴重威脅��。2017年5月12日20時左右��,全球爆發(fā)大規(guī)模勒索軟件感染事件��,波及一百多個國家或地區(qū)��,我國石油��、交通等涉及國計民生的部分工控系統(tǒng)“中招”��,造成嚴重后果��。6月27日晚11時許��,勒索病毒“Wanna
Cry”變種為“Petrwrap”病毒��,在烏克蘭和俄羅斯爆發(fā)��,逐漸蔓延到歐洲多國��。包括切爾諾貝利核電站在內(nèi)的烏克蘭大量設施受到影響��,烏克蘭Ukrenego電力供應商系統(tǒng)也遭中斷��。通過這次安全事件��,工控系統(tǒng)的安全再次成為關注的重點。
工業(yè)控制系統(tǒng)(Industrial Control
Systems,ICS)��,是由各種自動化控制組件和實時數(shù)據(jù)采集��、監(jiān)測的過程控制組件共同構成��。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)��、分布式控制系統(tǒng)(DCS)��、可編程邏輯控制器(PLC)��、遠程終端(RTU)��、智能電子設備(IED)��,以及確保各組件通信的接口技術��。工業(yè)控制系統(tǒng)的操作系統(tǒng)��、殺毒軟件安裝及升級更新��、設備維修時筆記本電腦的隨便接入��、操作行為��、控制終端��、管理終端��、服務器��、網(wǎng)絡設備故障等都存在許多潛在的風險��。
工業(yè)控制系統(tǒng)被廣泛應用于石油��、石化��、冶金��、電力��、燃氣��、煤礦��、煙草以及市政等領域��,用于控制關鍵生產(chǎn)設備的運行��。這些領域中的工業(yè)控制系統(tǒng)一旦遭到破壞��,不僅會影響產(chǎn)業(yè)經(jīng)濟的持續(xù)發(fā)展,更會對國家安全造成巨大的損害��。網(wǎng)絡安全等級保護是網(wǎng)絡安全工作的基本制度��、基本國策;是開展網(wǎng)絡安全工作的基本方法;是信息化健康發(fā)展��、維護國家網(wǎng)絡安全的根本保障��,是國家意志的體現(xiàn)��,也是目前嚴峻的安全形勢下��,亟待完成的基礎安全防護��,本文主要講述在工業(yè)控制系統(tǒng)中如何實現(xiàn)網(wǎng)絡安全等級保護的相關要求��。
網(wǎng)絡安全等級保護流程
開展網(wǎng)絡安全等級保護工作��,可以實現(xiàn)網(wǎng)絡安全領域“明確重點��、突出重點��、保護重點”的目標��,將有限的財力��、物力、人力投入到重要信息系統(tǒng)安全保護中��,有效保護基礎信息網(wǎng)絡和關系到國家安全��、經(jīng)濟建設��、社會穩(wěn)定的重要信息系統(tǒng)的安全��。
等級保護的規(guī)定流程為“定級��、備案��、安全建設整改��、等級測評��、監(jiān)督檢查”��,如圖1所示��。
圖1 等級保護的規(guī)定流程
根據(jù)信息系統(tǒng)在國家安全��、經(jīng)濟建設��、社會生活中的重要程度��,信息系統(tǒng)遭到破壞后對國家安全��、社會秩序��、公共利益及公民��、法人和其他組織的合法權益的危害程度��,將系統(tǒng)的安全保護等級分成5級(從第1級到第5級逐級增高)��。定級后2級以上系統(tǒng)須在公安機關備案��,公安機關審核合格后頒發(fā)備案證明;各單位各部門根據(jù)系統(tǒng)等級按照國家標準進行安全建設整改��,聘請測評機構進行等級測評;公安機關定期開展監(jiān)督��、檢查��、指導��。
網(wǎng)絡安全等級保護標準的發(fā)展
近年來��,云計算��、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制等新技術��、新應用在國家關鍵信息基礎設施領域的應用日益廣泛��,這4個領域面臨的安全威脅日益嚴重��,原有網(wǎng)絡安全等級保護標準體系已經(jīng)很難適應新技術��、新應用的發(fā)展��,因此對現(xiàn)有的標準體系(GB/T
22239《網(wǎng)絡安全技術網(wǎng)絡安全等級保護基本要求》)進行了修訂和補充��,形成了以下系列標準:
(1)《網(wǎng)絡安全技術網(wǎng)絡安全等級保護基本要求第1部分 安全通用要求》;
(2)《網(wǎng)絡安全技術網(wǎng)絡安全等級保護基本要求第2部分 云計算安全擴展要求》;
(3)《網(wǎng)絡安全技術網(wǎng)絡安全等級保護基本要求第3部分 移動互聯(lián)安全擴展要求》;
(4)《網(wǎng)絡安全技術網(wǎng)絡安全等級保護基本要求第4部分 物聯(lián)網(wǎng)安全擴展要求》;
(5)《網(wǎng)絡安全技術網(wǎng)絡安全等級保護基本要求第5部分 工業(yè)控制系統(tǒng)安全擴展要求》;
(6)《網(wǎng)絡安全技術網(wǎng)絡安全等級保護基本要求第6部分 大數(shù)據(jù)安全擴展要求》��。
企業(yè)用戶應結(jié)合自身行業(yè)特點和企業(yè)特點��,將第1部分和第5部分結(jié)合使用��,實現(xiàn)各級技術要求和管理要求��。
工業(yè)控制系統(tǒng)的層次結(jié)構
ICS是由計算機設備與工業(yè)過程控制部件組成的自動控制系統(tǒng)��,從上到下共分為5個層級��,依次為企業(yè)資源層��、生產(chǎn)管理層��、過程監(jiān)控層��、現(xiàn)場控制層和現(xiàn)場設備層��,不同層級的實時性要求不同[2]��。該層次結(jié)構的簡要劃分模型如圖2所示��。
圖2 工業(yè)控制系統(tǒng)架構
各個層次功能與作用的詳細介紹如表1所示��。
表1 工業(yè)控制系統(tǒng)各個層次功能列表
工業(yè)控制系統(tǒng)中保護的對象
在工業(yè)控制系統(tǒng)中��,各個層次由不同的設備或系統(tǒng)組成��,這些設備或系統(tǒng)就是網(wǎng)絡安全等級保護中需要保護的對象��,如表2所示��。
表2 工業(yè)控制系統(tǒng)各個層次中的保護對象
工業(yè)控制系統(tǒng)的層次結(jié)構
對工業(yè)控制系統(tǒng)的軟件��、硬件��、網(wǎng)絡協(xié)議等的安全性��,規(guī)定了需要保護的數(shù)據(jù)、指令��、協(xié)議等要素��,其具體實現(xiàn)方式��、防護手段應根據(jù)具體的工業(yè)控制系統(tǒng)品牌��、配置��、工程實際等具體確定��。但應保證這些防護措施對系統(tǒng)的正常運行不產(chǎn)生危害或災難性的生產(chǎn)停頓��,經(jīng)過工業(yè)現(xiàn)場的工程實踐驗證��,并獲得用戶認可��。
工業(yè)控制系統(tǒng)等級保護定義有總體原則��、技術要求和管理要求共三類說明��。其中��,總體原則是針對工業(yè)控制系統(tǒng)整體提出的安全域保護原則;技術要求和管理要求是針對不同安全保護等級對工業(yè)控制系統(tǒng)應該具有的基本安全保護能力提出的安全要求��。
6.1 安全域保護原則
根據(jù)工業(yè)控制系統(tǒng)安全域模型的劃分原則��,將工業(yè)控制系統(tǒng)劃分為若干安全域��,再根據(jù)系統(tǒng)實際情況��,對不同的安全域采取不同的安全保護措施��。
(1)安全域劃分
在一個工業(yè)大系統(tǒng)或復雜系統(tǒng)中��,對所有組件采取相同等級的安全措施是不實際或不必要的��。在不同的實際情況下��,資產(chǎn)的安全等級不同��,因此提出使用安全域(或受保護的區(qū)域)的概念��。
劃分安全域時��,應綜合考慮資產(chǎn)重要性��、資產(chǎn)價值��、資產(chǎn)地理位置��、系統(tǒng)功能、控制對象��、生產(chǎn)廠商及資產(chǎn)被破壞時所造成的損失��、社會影響程度等因素��,將控制系統(tǒng)進行安全域劃分��。
(2)安全域邊界防護
在不影響各安全域工作的前提下��,在各安全域邊界處設置不同的安全隔離設備��,確保各個安全域之間有清楚明晰的邊界設定��。
(3)安全域保護措施
依據(jù)定級對象安全等級��,結(jié)合各安全域?qū)嶋H情況��,按照等級保護標準中第1級至第4級基本要求��,采取不同安全保護措施��。
6.2 技術要求和管理要求
技術要求和管理要求是保證工業(yè)控制系統(tǒng)安全不可分割的2個部分��。技術要求主要通過在工業(yè)控制系統(tǒng)中部署軟��、硬件并正確配置其安全功能來實現(xiàn)��。管理要求主要通過控制各種角色的活動��,從政策��、制度��、標準��、流程以及記錄等方面做出規(guī)定來實現(xiàn)��。
技術要求分為物理安全��、邊界防護��、生產(chǎn)管理層安全��、過程監(jiān)控層安全��、現(xiàn)場控制層安全��、現(xiàn)場設備層安全��,其中各層級安全要求又分為網(wǎng)絡和通信安全��、設備和計算安全、應用和數(shù)據(jù)安全��。
管理要求主要來自于通用安全要求��,分為安全策略和管理制度��、安全管理機構和人員��、安全建設管理��、安全運維管理四大類��。
技術要求和管理要求從各個層面或方面提出了工業(yè)控制系統(tǒng)的每個組件應該滿足的安全要求��,工業(yè)控制系統(tǒng)具有的整體安全保護能力通過不同組件實現(xiàn)基本安全要求來保證��。除了保證系統(tǒng)的每個組件滿足安全要求外��,還要考慮組件之間的相互關系��,來保證系統(tǒng)的整體安全保護能力��。
以下重點介紹技術類3級安全要求��。
(1)物理環(huán)境安全
物理環(huán)境安全是保護工業(yè)控制系統(tǒng)中物理設備不受直接破壞��,保護的對象主要有機房��、辦公場所��、重要和關鍵工業(yè)控制設備所在的區(qū)域��。
對上述區(qū)域的位置選擇��、物理訪問控制��、防盜竊和防破壞��、防雷擊��、防火��、防水和防潮��、防靜電��、溫濕度控制��、電力供應��、電磁防護等方面提出要求��。為了防止非授權人員進入重要物理區(qū)域,例如機房��,出入口應配置電子門禁系統(tǒng)��,控制��、鑒別和記錄進入的人員��。為了防止感應雷��,通過采取機柜��、設施和設備等接地系統(tǒng)安全接地來實現(xiàn)防雷擊��,還應部署防雷保安器或過壓保護裝置��。
在工業(yè)控制系統(tǒng)中��,對于室外控制設備也應該采取必要的措施進行安全防護��,因此��,工業(yè)控制系統(tǒng)擴展安全要求中明確規(guī)定了室外控制設備的安裝位置��、安裝方式:①室外控制設備應放置于采用鐵板或其他防火絕緣材料制作的箱體或裝置中;②控制設備應安裝在金屬或其他絕緣板上(非木質(zhì)板)��,并緊固于箱體或裝置中;③室外控制設備應采取措施避免極端天氣環(huán)境;④室外控制設備應放置于遠離強電磁干擾和熱源的地方��。
(2)網(wǎng)絡和通信安全
在工業(yè)控制系統(tǒng)中的網(wǎng)絡邊界安全尤為重要��,為了防止從外部網(wǎng)絡和內(nèi)部非重要網(wǎng)絡對重要網(wǎng)絡區(qū)域的入侵��,要求限制和監(jiān)測非授權設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為��、內(nèi)部用戶非授權聯(lián)到外部網(wǎng)絡的行為;對于無線網(wǎng)絡使用進行嚴格控制��,對所有參與無線通信的用戶(人員和軟件進程)提供唯一性標識和身份鑒別��,確保無線網(wǎng)絡通過受控的邊界防護設備接入內(nèi)部網(wǎng)絡��。監(jiān)視和控制區(qū)域邊界通信��,默認拒絕所有非必要的網(wǎng)絡數(shù)據(jù)流��,僅允許例外網(wǎng)絡數(shù)據(jù)流;邊界防護機制失效時��,能阻止所有邊界通信(也稱故障關閉)并及時進行報警��,但故障關閉功能的設計不應干擾安全相關功能的運行��。
在審計安全中,鑒于工業(yè)控制系統(tǒng)設備的多樣性和復雜性��,要求應能集中管理審計事件并從系統(tǒng)多個組件收集審計記錄��。按照工業(yè)標準格式輸出審計記錄��,用于商業(yè)日志分析工具進行分析��。
在訪問控制中��,要求網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則��,對進出網(wǎng)絡的信息內(nèi)容進行過濾��,實現(xiàn)對內(nèi)容的訪問控制��。
(3)設備和計算安全
測評對象為工業(yè)控制系統(tǒng)中的設備��,包括網(wǎng)絡設備��、安全設備��、服務器��、終端��、數(shù)據(jù)庫管理系統(tǒng)、控制器��、控制單元��、記錄裝置��、傳感器��、執(zhí)行機構��、保護裝置等��。
要求對上述設備的遠程管理��、組態(tài)文件下裝等重要操作進行身份鑒別;禁止使用默認賬戶和密碼登錄��,密碼應有復雜度要求;具有鑒別失敗處理功能;同時��,應防止身份鑒別信息在傳輸過程中被竊聽��。
對于防止惡意代碼��,應在重要和關鍵設備��、關鍵網(wǎng)絡節(jié)點��、所有入口和出口處對惡意代碼進行檢測和清除��,并對惡意代碼庫進行統(tǒng)一升級和更新;在重要和關鍵設備��、關鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防護��,并維護垃圾郵件防護機制的升級和更新��。應做到對可能造成損害的移動代碼技術執(zhí)行使用進行限制;采取措施防止��、檢測��、報告和減輕惡意代碼或未經(jīng)授權軟件的影響��。對重要和關鍵設備中重要程序或文件完整性檢測��,并在檢測到破壞后進行恢復��。
對工業(yè)控制系統(tǒng)中重要設備的用戶登錄��、操作��、行為��、資源使用情況等信息應保留審計記錄��,以便于發(fā)生安全事件時進行分析、跟蹤��、追責��。審計記錄應包括事件的日期和時間��、用戶��、事件類型��、事件是否成功及其他與審計相關的信息��,并對審計記錄進行保護��,按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月��。另外��,審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生��,以確保審計分析的正確性��。
(4)應用系統(tǒng)安全
測評對象為與企業(yè)資源相關的財務管理��、資產(chǎn)管理��、人力管理等系統(tǒng)的軟件和數(shù)據(jù)資產(chǎn)��,與生產(chǎn)制造相關的倉儲管理��、先進控制��、工藝管理等系統(tǒng)的軟件和數(shù)據(jù)資產(chǎn)��,監(jiān)控軟件��,控制程序等��。
登錄上述應用系統(tǒng)時��,應對登錄的用戶進行身份標識和鑒別��,鑒別信息具有復雜度要求并定期更換;啟用登錄失敗處理功能;強制用戶首次登錄時修改初始口令;用戶身份鑒別信息丟失或失效時��,應采用鑒別信息重置或其他技術措施保證系統(tǒng)安全;應對同一用戶采用2種或2種以上組合的鑒別技術實現(xiàn)用戶身份鑒別��。
上述應用系統(tǒng)應提供訪問控制功能��,對登錄的用戶分配賬號和權限;重命名系統(tǒng)默認賬號或修改這些賬號的默認口令;及時刪除或停用多余的��、過期的賬號��,避免共享賬號的存在;應授予不同賬號為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系��。
應用系統(tǒng)提供安全審計功能��,審計覆蓋到每個用戶��,對重要的用戶行為和重要安全事件進行審計;審計信息至少包括事件的日期和時間��、主體��、客體��、類型��、結(jié)果等信息��。
應用系統(tǒng)還應該具備軟件容錯能力��,提供數(shù)據(jù)有效性檢驗功能��,保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求;在故障發(fā)生時��,應能夠繼續(xù)提供一部分功能��,確保能夠?qū)嵤┍匾拇胧?應提供自動保護功能��,當故障發(fā)生時自動保護當前所有狀態(tài)��,保證系統(tǒng)能夠進行恢復��。
(5)數(shù)據(jù)安全
工業(yè)控制系統(tǒng)應采用校驗碼技術或加解密技術保證重要數(shù)據(jù)在傳輸過程或存儲過程的完整性��,采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)��、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸或存儲的保密性。
對于重要數(shù)據(jù)應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能��,提供異地實時備份功能,利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地��,提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性��。
綜上所述,工業(yè)控制系統(tǒng)要達到等級保護的要求��,必須從物理環(huán)境安全、網(wǎng)絡和通信安全��、設備和計算安全、應用系統(tǒng)安全��、數(shù)據(jù)安全��、安全管理等多個層面去落實相關規(guī)定��,定期開展應急演練、漏洞掃描修復��、系統(tǒng)安全管理等防護工作��,三級工控系統(tǒng)每年進行一次等級測評��,對發(fā)現(xiàn)的安全問題及隱患��,依據(jù)網(wǎng)絡安全等級保護理論進行安全整改加固,消除潛在的安全風險��,提高工控系統(tǒng)的綜合安全防護能力。
