今日頭條
官方微信
官方抖音
資訊頻道1 引言
新發(fā)布的等級保護基本要求(等級保護2.0)在原有基礎上進行了細化、分類和加強,將重要基礎設施、重要系統(tǒng)及“云、移、物、工控、大”納入等級保護管理;名稱由原來的《信息安全技術信息系統(tǒng)安全等級保護基本要求》變更為《信息安全技術網絡安全等級保護基本要求》。等級保護上升到了網絡空間安全的層面,意味著等級保護的對象全面升級:不再是傳統(tǒng)意義上的計算機信息系統(tǒng),而是包含網絡安全基礎設施、云計算、移動互聯(lián)網、物聯(lián)網、工業(yè)控制系統(tǒng)、大數(shù)據(jù)安全等對象的網絡空間安全。在等級保護2.0時代,如何建立健全有效的工控安全體系是每一個工業(yè)企業(yè)、工控制造商、工控安全企業(yè)都應該思考的問題。
2 等級保護發(fā)展歷程
上世紀,西方發(fā)達國家制定了一系列強化網絡信息安全建設的政策和標準,其核心就是將不同重要程度的信息系統(tǒng)劃分為不同的安全等級,以便于對不同領域的信息安全工作進行指導。鑒于此,相關部門和專家結合我國實際情況進行多年的研究,逐步形成了我們國家的信息系統(tǒng)安全等級保護制度。
1994年,國務院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》;2003年,中央辦公廳、國務院辦公廳頒發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》,明確提出“實行信息安全等級保護”。
2004年至2006年期間,公安部聯(lián)合四部委開展信息系統(tǒng)等級保護基礎調查和等級保護試點工作。
2007年6月,《信息安全等級保護管理辦法》出臺;同年7月四部門聯(lián)合發(fā)布了《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》,并于7月20日召開了全國重要信息系統(tǒng)安全等級保護定級工作部署專題電視電話會議,標志著我國信息安全等級保護制度正式開始實施。
2010年4月,公安部出臺《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》,提出等級保護工作的階段性目標;12月,公安部和國務院國有資產監(jiān)督管理委員會聯(lián)合出臺《關于進一步推進中央企業(yè)信息安全等級保護工作的通知》,標志著我國信息安全等級保護工作全面展開。
3 等級保護2.0分析
3.1 等級保護2.0與1.0對比
隨著云計算、移動互聯(lián)、物聯(lián)網、大數(shù)據(jù)等新技術的不斷發(fā)展和應用,等級保護2.0針對新技術以及國家關鍵基礎設施安全(工業(yè)控制系統(tǒng))等提出了全面、深入、細化的準則。
在內容上,等級保護2.0調整分類為物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理;調整各個級別的安全要求為通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求;取消了原來安全控制點的S、A、G標注,增加一個附錄A描述等級保護對象的定級結果和安全要求之間的關系,說明如何根據(jù)定級結果選擇安全要求;調整了原來附錄A和附錄B的順序,增加了附錄C描述網絡安全等級保護總體框架,并提出關鍵技術使用要求。
除去對內容的整合修改外,也對標準名稱進行了修改,由《信息安全技術信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》,使之與《中華人民共和國網絡安全法》中的相關法律條文保持一致。
3.2 等級保護2.0工控安全擴展要求
工控安全是網絡空間領域的另一種安全,不同于傳統(tǒng)計算機與互聯(lián)網等虛擬空間防信息竊取的安全。工控安全是物理世界安全,是保護重要基礎設施所使用的工業(yè)控制系統(tǒng)(簡稱工控系統(tǒng))免遭惡意操控,從而保障物理設施的正常運行,并防止發(fā)生生產停頓、經濟停擺、環(huán)境污染乃至社會動蕩、國家癱瘓等重大災難事故的安全。
等級保護2.0專門提出了工控安全擴展要求,如表1所示。
表1工業(yè)控制系統(tǒng)安全擴展要求
4 等級保護2.0工控安全思考
由表1可以發(fā)現(xiàn),等級保護2.0在工控安全方面突出強調了控制設備安全,需要采用技術和管理兩個手段確保工控系統(tǒng)安全穩(wěn)定運行。
4.1 什么是工控系統(tǒng)
工業(yè)控制系統(tǒng)是指由計算機與工業(yè)過程控制部件組成的自動控制系統(tǒng),它是指在沒有人直接參與的情況下,利用外加的設備或裝置,使機器、設備或者生產裝備等基礎設施按照預定的規(guī)律運行,以保證生產出合格的產品,同時還不會引發(fā)災難事故。按應用行業(yè)和特點分,主要包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA,Supervisory Control And DataAcquisition)、分布式控制系統(tǒng)(DCS,DistrbutedControlSystem)、可編程邏輯控制器(PLC,Programmable LogicController)、遠程終端(RTU,Remote TerminalUnit)等。這些工控系統(tǒng)在系統(tǒng)組成和網絡層次上是一樣的,都是由運行在工程師站、操作員站的SCADA軟件、控制器、現(xiàn)場儀表,以及上層監(jiān)控網絡和現(xiàn)場低速總線網絡構成。只是由于它們的應用場合和應用側重點不同,如表2所示,導致在不同的行業(yè)會有不同的叫法。
表2 SCADA、DCS、PLC、RTU的區(qū)別
4.2 工控系統(tǒng)安全防護的本質要求
2010年,伊朗發(fā)生了震驚世人的“震網”(Stuxnet)事件,針對特定控制系統(tǒng)進行攻擊,破壞了大量鈾濃縮離心機和布什爾核電站發(fā)電機組,導致伊朗核計劃至少被延遲2年。“震網”雖然利用了RPC遠程執(zhí)行漏洞(MS08-067)、快捷方式文件解析漏洞(MS10-046)、打印機后臺程序服務漏洞(MS10-061)、內核模式驅動程序漏洞(MS10-073)、任務計劃程序漏洞(MS10-092)等操作系統(tǒng)的漏洞,但這些漏洞只是被用于“震網”惡意代碼的傳播;而“震網”的核心代碼,它利用了控制系統(tǒng)自身的特征,結合伊朗鈾濃縮離心機和核電站的生產工藝、特征參數(shù),通過向核心組件——PLC發(fā)起攻擊,使PLC一方面向離心機、核電設備發(fā)送惡意操控指令使之超負荷運行,直至損壞;另一方面向操作站發(fā)送“正常”的生產工況數(shù)據(jù),使操作人員誤以為生產正常。
需要指出的是,“震網”所發(fā)出的惡意操控指令、虛假的“正常”生產工況數(shù)據(jù),都是利用控制系統(tǒng)本身的“合法”協(xié)議、“合法”指令(如控制離心機的轉速減少或增加指令)、“合法”數(shù)據(jù),并沒有利用其核心控制器的任何漏洞。之所以這些“合法”指令能夠導致伊朗核設施損毀,就在于這些“合法”指令與正常的生產工藝、操作流程不符合。由此可見,針對工控系統(tǒng)核心部件的攻擊才是真正的工控系統(tǒng)安全威脅,它能夠導致基礎設施災難性的物理損毀。
鑒于此,對工控系統(tǒng)網絡的安全防護和保護需要著眼以下幾個方面:
(1)需要覆蓋工控系統(tǒng)軟件、硬件和網絡等所有部件
要針對攻擊者可能利用的途徑、可能利用的手段以及可能引發(fā)的后果等多個方面,對工控系統(tǒng)所有的主機、主機應用軟件、進程,甚至是關鍵軟件代碼進行有效保護和防護;對工控網絡所有的協(xié)議、服務以及傳輸?shù)臄?shù)據(jù)、操作指令進行保護和防護;對DCS控制器、PLC控制模塊、RTU控制模塊等嵌入式代碼進行保護和防護。
(2)需要結合生產工藝與操作流程而開展
“震網”惡意代碼之所以能夠引發(fā)伊朗鈾濃縮離心機和核電站機組的物理損毀,關鍵在于通過操控工控系統(tǒng),使鈾濃縮離心機和核電站機組的運行狀態(tài)偏離其設計的正常工況,使之超負荷、非正常工況運轉,直至最后物理損毀。因此,針對工控系統(tǒng)的網絡安全防護,必須對基礎設施、生產裝置運行的關鍵工藝參數(shù)、關鍵工況、關鍵控制方案等進行保護和防護。
(3)需要貫穿基礎設施及其工控系統(tǒng)的全生命周期
對工控系統(tǒng)的網絡安全防護和保護,僅僅靠安裝一些安全產品遠遠不夠,還必須覆蓋工控系統(tǒng)的設計、生產、調試、工程實施、維修、運行維護等全生命周期的所有環(huán)節(jié),既要從技術上進行防護和保護,也需要從管理措施上阻斷惡意代碼的帶入。
4.3 工控系統(tǒng)安全防護建議
(1)重要關鍵基礎設施的工控系統(tǒng)逐漸實現(xiàn)自主可控
等級保護2.0工業(yè)控制系統(tǒng)安全擴展要求部分要求的控制設備安全在逐漸實現(xiàn)自主可控的情況下可實現(xiàn)工控系統(tǒng)核心部件——控制設備安全。這就要求:控制設備內置安全設計,實現(xiàn)通信與控制隔離,確保在遭到外部攻擊時不影響控制回路的正常運行;控制網絡通信采用加密和完整性保護手段;控制設備內核自主可控(硬件、嵌入式系統(tǒng)、控制算法、協(xié)議棧等);控制設備具備對組態(tài)和用戶數(shù)據(jù)等關鍵數(shù)據(jù)進行完整性和正確性檢測功能,故障時進行報警和記錄等。
(2)重要關鍵基礎設施必須部署工控網絡安全防護系統(tǒng)
重要關鍵基礎設施部署的工控網絡安全防護系統(tǒng)應具備以下特點:①針對內置預埋代碼,切斷危害,進行應急處置;在安全區(qū)域、系統(tǒng)出口,加強預警防范;②以不影響生產和生產安全為前提,注意數(shù)據(jù)保護和操作保護;③對系統(tǒng)重要性識別、系統(tǒng)資產識別、系統(tǒng)脆弱性識別、系統(tǒng)威脅識別及系統(tǒng)風險識別等維度進行安全防護;④采用軟件防護、邊界維護、PLC嵌入式代碼防護、控制異常監(jiān)測與阻斷等措施進行立體防護;⑤對工控系統(tǒng)進行無擾動實時在線修復,并啟動安全應急系統(tǒng),實現(xiàn)數(shù)字化、網絡化、智能化環(huán)境中工業(yè)企業(yè)的工控信息安全。
(3)針對行業(yè)建設工控系統(tǒng)網絡安全測試床
國家、企業(yè)(包括工業(yè)企業(yè)、工控安全企業(yè)、相關測評單位)應加快建設其所在領域行業(yè)的工控系統(tǒng)網絡測試床,應能實現(xiàn)以下目的:在上線部署前,測試控制設備其自身的安全性;對上線部署的工控網絡安全產品其功能、可用性、安全性、可靠性及對工控系統(tǒng)是否有影響等進行測試;結合實際應用場景的控制方案、業(yè)務邏輯等進行未知威脅的生成,建設未知威脅庫,增強工控系統(tǒng)及其安全產品的主動防御能力;對上線部署的工控網絡安全產品進行訓練,提升其自主學習能力等。
(4)建設工控網絡安全人才隊伍,完善或制定工控網絡安全產品標準體系
工控系統(tǒng)網絡安全攻防技術研究攻防兼顧,以攻促防。人才隊伍不僅要懂工業(yè)控制系統(tǒng)的網絡技術、體系架構、嵌入式軟件、私有協(xié)議等,還要懂使用工業(yè)控制系統(tǒng)的具體對象的工藝、設備技術,只有這樣才能做到定點攻擊或精確防護。構建一支工控網絡安全專業(yè)研究團隊,將有助于增強針對國家重要關鍵基礎設施的工業(yè)控制系統(tǒng)安全防護能力。
另外,不同于普通安全產品,工控系統(tǒng)安全需緊密聯(lián)系工控現(xiàn)場環(huán)境,性能穩(wěn)定,滿足實時性與準確性等需求;可用性大于機密性、完整性。針對相關安全產品標準,需要完善或制定工控網絡安全產品標準體系。
5 結束語
在等級保護2.0時代,工控系統(tǒng)的網絡安全防護和保護回歸到了控制系統(tǒng)的本質。在傳統(tǒng)互聯(lián)網安全、計算機安全領域有效的手段和產品對工控系統(tǒng)不一定有效。對工控系統(tǒng)的網絡安全防護和保護,需同時從工控系統(tǒng)的軟件、硬件、網絡以及生產工藝、生產流程、生產裝置等角度進行,才能夠防護得住有組織的專業(yè)團隊的攻擊,也才能保護我們國家重要基礎設施的安全。
作者簡介:
還約輝(1986-),男,江蘇鹽城人,工程師,學士,現(xiàn)任浙江國利網安科技有限公司副總經理,研究方向是工控網絡安全。
王 迎(1981-),男,浙江杭州人,工程師,學士,工控網絡安全,現(xiàn)任浙江國利網安科技有限公司總經理,研究方向是工控網絡安全。
薛金良(1987-),男,浙江紹興人,高級工程師,學士,現(xiàn)任浙江國利網安科技有限公司安全研究中心主任,研究方向是工控網絡安全。
摘自《自動化博覽》2019年10月刊
北京市公安局海淀分局備案號:11010802023656號