第二十四章 工控安全需求分析与安全保护工程
24.1 工控系统安全威胁与需求分析
24.1.1 工业控制系统概念及组成
工业控制系统是由各种控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。工业控制系统通常简称工控系统(ICS)。
工控系统通常分为离散制造类和过程控制类两大类。
控制系统包括SCADA系统、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、数控机床及数控系统等。
1.SCADA系统。即数据采集与监视控制系统,作用是以计算机为基础对远程分布运行的设备进行监控,功能主要包括数据采集、参数测量和调节。SCADA系统一般由设在控制中心的主终端控制单元(MTU)、通信线路和设备、远程终端单位(RTU)等组成,系统作用主要是对多层级、分散的子过程进行数据采集和统一调度管理。
2.分布式控制系统(DCS)。是基于计算机技术对生产过程进行分布控制、集中管理的系统。DCS系统一般包括现场控制级、系统控制级和管理级两/三个层次,现场控制级主要是对单个子过程进行控制,系统控制级主要是对多个密切相关的过程进行数据采集、记录、分析和控制,并通过统一的人机交互处理实现过程的集中控制和展示,系统项目管理器实现组态的配置和分发,并有统一的对外数据接口。
3.过程控制系统(PCS)。通过实时采集被控设备状态参数进行调节,以保证被控设备保持某一特定状态的控制系统。状态参数包括温度、压力、流量、液位、成分、浓度等。PCS系统通常采用反馈控制(闭环控制)方式。
4.可编程逻辑控制器(PLC)。主要执行各类运算、顺序控制、定时等指令,用于控制工业生产装备的动作,是工业控制系统的基础单元。
5.主终端设备(MTU)。部署在调度控制中心,用于生产过程的信息收集和监测,通过网络与RTU保持通信。
6.远程终端设备(RTU)。用于生产过程的信息采集、自动测量记录和传导,通过网络与MTU保持通信。
7.人机界面(HMI)。是为操作者和控制器之间提供操作界面和数据通信的软硬件平台。目前工业控制系统主要采用计算机终端进行人机交互工作。
8.工控通信网络。传统工业通信网络一般采取专用的协议来构建,形成封闭网络。常见的工控专用协议有OPC,Modbus,DNP3,工业以太网等。
24.1.2 工控系统安全威胁
根据已发生的典型事件看,工控系统的安全威胁主要来自五个方面。
1.自然灾害及环境。洪水、雷电、台风等是工控系统常见的自然灾害威胁,特别是分布在室外的工业控制设备。
2.内部安全威胁。人为错误或疏忽大意,如命令输入错误、操作不当,导致工业控制设备安全失效。
3.设备功能安全故障。工业控制设备质量不合格,导致设备功能无法正常执行,从而产生故障,例如磁盘故障、服务器硬件故障。
4.恶意代码。随着工业控制网络的开放性增加,恶意代码成为工业控制系统面临的安全挑战难题常见的恶意代码有网络蠕虫、特洛伊木马、勒索软件等。根据研究,针对PLC攻击的网络蠕虫已经出,简称PLC Worm.
5.网络攻击。由于工业控制系统的高价值性,常常是网络攻击者重要的目标对象。
24.1.3 工业控制系统安全隐患类型
除了传统IT系统的安全隐患外,工业控制系统还具有其特定的安全隐患,分析如下。
1.工控协议安全。工控协议设计之初缺乏安全设计,无安全认证、加密、审计。工控通信明文传递信息,数据传输缺乏加密措施,地址和命令明文传输,可以很容易地捕获和解析。(CANBUS、MODBUS、profibus)
2.工控系统技术产品安全漏洞。PLC、SCADA、HMI、DCS等相关工控技术产品存在安全漏洞。
3.工控系统基础软件安全漏洞。工控系统通用操作系统、嵌入式操作系统、实时数据库等存在安全漏洞。
4.工控系统算法安全漏洞。工控系统控制算法存在安全缺陷。
5.工控系统设备固件漏洞。工控系统设备固件存在安全缺陷,例如BIOS漏洞。
6.工控系统设备硬件漏洞。工控系统设备硬件存在安全触陷,例如CPU漏洞。
7.工控系统开放接入漏洞。传统工控系统在无物理安全隔离措施的情况下接入互联网,工控设备暴露在公共的网络中,带来新的安全问题。如DDoS/Dos拒绝服务攻击、漏洞扫描、敏感信息泄露、恶意代码网上传播等。互联网上有专用的工控设备扫描平台Shodan,可以实时发现在线的工控设备及漏洞信息。
8.工控系统供应链安全。工控系统依赖多个厂商提供设备和后续服务保障,供应链安全直接影响工控系统的安全稳定运行。一旦某个关键设备或组件无法提供服务支撑,工控系统就很有可能中断运行。
24.1.4 工业控制系统安全需求分析
工业控制系统的安全除了传统IT的安全外,还涉及控制设备及操作安全。
传统IT网络信息安全要求侧重于“保密性-完整性-可用性”需求顺序,而工控系统网络信息安全偏重于“可用性-完整性-保密性”需求顺序。
国家网络安全等级保护2.0标准已将工控系统列为等级保护对象。工控系统的网络信息安全主要有技术安全要求和管理安全要求两方面。
技术安全要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
管理安全要求:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
工控系统的安全保护需求不同于普通IT系统,要根据工控业务的重要性和生产安全,划分安全区域、确定安全防护等级,然后持续提升工控设备、工控网络和工控数据的安全保护能力。
24.2 工控系统安全保护机制与技术
24.2.1 物理及环境安全防护
物理及环境安全是工控系统的安全基础。为保护工业控制系统的物理及环境安全,《工业控制系统信息安全防护指南》要求如下:
·对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
·拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。
24.2.2 安全边界保护
安全边界保护:为确保有安全风险的区域隔离及安全控制管理,工业企业应将工业控制系统划分为若干安全域。工业控制系统的开发、测试和生产应分别提供独立环境,避免把开发、测试环境中的安全风险引入生产系统。
·安全隔离类型分为物理隔离、网络逻辑隔离等方式。常见的工业控制边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。
·企业按照实际情况,在不同安全区域边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问。
24.2.3 身份认证与访问控制
常见的认证技术:口令密码、USB- Key、智能卡、人脸、指纹、虹膜等。
防范口令撞库攻击及敏感认证信息泄露影响,不同系统和网络环境下禁止使用相同的身份认证证书信息,减小身份信息暴露后对系统和网络的影响。
对于工业控制设备、SCADA软件、工业通信设备等设定不同强度的登录账户及密码,并进行定期更新,避免使用默认口令或弱口令。
针对内部威胁,工业企业的安全权限管理应遵循最小特权原则。具体内容如下:
(1)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
(2)合理分类设置账户权限,以最小特权原则分配账户权限。
(3)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令定期更新口令。
(4)加强对身份认证证书信息的保护力度,禁止在不同系统和网络环境下共享。
24.2.4 远程访问安全
原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。
确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。
确需远程维护的,采用虚拟专用网络 (VPN)等远程接入方式进行。
保留工业控制系统的相关访问日志,并对操作过程进行安全审计。
24.2.5 工控系统安全加固与安全审计
工控系统安全加固:通过安全配置策略、身份认证增强、强制访问控制、程序白名单控制等多种技术措施,对工程师站、SCADA服务器、实时数据库等工控组件进行安全增强保护,减少系统攻击面。
工控安全审计:工业企业部署安全审计设备。保留访问日志,定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
24.2.6 恶意代码防范
《工业控制系统信息安全防护指南》对恶意代码防范的相关安全要求如下:
(1)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
(2)工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
(3)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。
24.2.7 工控数据安全
・工业生产数据是工业企业的核心资源,常见的工业数据类型有:
・研发数据(研发设计数据、开发测试数据等)
・生产数据(控制信息、工况状态、工艺参数、系统日志等)
・运维数据(物流数据、产品售后服务数据等)
・管理数据(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)
・外部数据(与其他主体共享的数据等)
・工业生产数据的安全目标是保障数据全生命周期的可用性、完整性、保密性和时效性,防止遭受未授权泄露、修改、移动、销毁,特别是防止实时数据延缓滞后。防护措施如下:
・(1) 静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。
・(2) 定期备份关键业务数据。关键业务数据,如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。
・(3) 对测试数据进行保护。测试数据,包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护,如签订保密协议、回收测试数据等。
24.2.8 工控安全监测与应急响应
《工业控制系统信息安全防护指南》针对网络安全监测与应急响应的相关要求如下:
(1)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
(2)在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。
(3)制订工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。
(4)定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。
(5)对关键主机设备、网络设备、控制组件等进行冗余配置。
24.2.9 工控安全管理
国家《工业控制系统信息安全防护指南》针对安全管理的相关要求包括:
(1)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。工业企业应建设工业控制系统资产清单,包括信息资产、软件资产、硬件资产等。
(2)对关键主机设备、网络设备、控制组件等进行冗余配置。
(3)安全软件选择与管理。一是在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件。其中,离线环境指的是与生产环境物理隔离的环境。二是建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
(4)配置和补丁管理。一是做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。二是对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。三是密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。
(5)供应链管理。一是选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。二是以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。
(6)落实责任。通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实责任制,部署工控安全防护措施。
24.2.10 工控安全典型产品技术
工业控制系统的安全产品技术除了传统的IT安全产品技术外,相关安全厂商也根据工业控制系统环境的特殊要求,研发了相关工控安全产品技术,主要有:
1.防护类型。典型技术产品有工控防火墙、工控加密、工控用户身份认证、工控可信计算、系统安全加固等。其中,工控防火墙区别于传统防火墙,工控防火墙对进入工业控制系统中的网络数据包进行深度分析,可以解读工控协议数据包内容;工控加密有VPN、加密机、数据加密工具等;工控用户身份认证有传统的口令认证、双因素认证以及基于人脸、指纹、虹膜的生物认证等产品技术;工控可信计算采取密码、硬件安全等技术,提供可信的工控计算环境和网络通信,保护工控主机安全可信,工控设备网络连接可信;系统安全加固针对工控主机和终端设备的安全不足,采取身份增强认证、强制访问控制、应用程序白名单、安全配置、恶意代码防护等。
2.物理隔离类型。针对工控系统的不同安全区域,为实现更强的安全保护,通过物理隔离技术防止不同安全域的非安全通信。常见技术产品有网闸、正反向隔离装置等。
3.审计与监测类型。用于掌握工控系统的安全状态,主要产品有工控安全审计和工控入侵检测系统。
4.检查类型。工控安全检查类型产品技术主要有工控漏洞扫描、工控漏洞挖掘、工控安全基线检查等。
5.运维和风险管控类型。主要有工控堡垒机、工控风险管理系统等。其中,工控堡垒机可以用于集中管理工控设备的运行维护和运维过程审计,减少安全隐患;工控风险管理系统则用于管理工控系统的资产、安全威胁、安全漏洞及潜在安全影响。
24.3 工控系统安全综合应用案例分析
24.3.1电力监控系统
电力监控系统的安全策略是“安全分区、网络专用、横向隔离、纵向认证”,如图所示。
1.安全分区。电力监控系统的安全区域主要分成生产控制大区和管理信息大区。其中,生产控制大区又细分为控制区和非控制区,管理信息大区分为若干业务安全区。控制区与非控制区之间应采用逻辑隔离措施,实现两个区域的逻辑隔离、报文过滤、访问控制等功能,其访问控制规则应当正确有效生产控制大区应当选用安全可靠的硬件防火墙,其功能、性能、电磁兼容性必须经过国家相关部门的检测认证。
2.网络专用。电力监控系统的调度控制网络采用专用网络,以满足电力控制实时性及高可信要求。
3.横向隔离。电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。
4.纵向认证。是电力监控系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。安全接入区内纵向通信应当采用基于非对称密钥技术的单向认证等安全措施,重要业务可以采用双向认证。
24.3.2 水厂工控安全集中监控
水厂工控安全监管过程如图所示。在工业交换机旁路部署工业集中监控管理平台,通过私有安全协议建立安全加密的连接,实现对工业防火墙及工业监控设备的集中管理和监控。对异常行为、恶意代码攻击、威胁行为管理等可实现集中管理及预防。
在工业以太网交换机及控制网交换机旁路部署ICS信息安全监控设备,实现网络结构风险和活动的即时可见,对网络中的可疑行为或攻击行为产生报警。同时,对网络通信行为进行翔实的审计记录,定期生成统计报表,可用于分析及展示。
