工控信息安全方面國家政策

    近年來(lái)工控信息安全的重要性凸顯，在國家層面也是相應出臺了許多針對性的政策。

    工業(yè)控制系統的信息安全要求最初主要來(lái)自于工信部協(xié)[2011]451號，即關(guān)于加強工業(yè)與控制系統信息安全管理的通知。

    這個(gè)通知要求充分認識工業(yè)控制系統信息安全的重要性和緊迫性，切實(shí)加強工業(yè)控制系統信息安全管理，以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全。

    2012年，發(fā)改委針對工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要，組織國家信息安全專(zhuān)項。專(zhuān)項重點(diǎn)支持工業(yè)控制信息安全領(lǐng)域產(chǎn)品的產(chǎn)業(yè)化，主要面向以下三類(lèi)工業(yè)控制系統安全產(chǎn)品：

    （1）適用于工業(yè)控制系統的防火墻：具有支持多路由協(xié)議、 IP/MAC地址綁定、工業(yè)控制協(xié)議過(guò)濾、基于白名單策略的訪(fǎng)問(wèn)控制等功能，具有高可靠性，能夠適用于不同工業(yè)控制網(wǎng)絡(luò )應用場(chǎng)景。公安部第三研究所信息安全產(chǎn)品檢測中心就承擔了工控防火墻產(chǎn)品的測試任務(wù)，在測試過(guò)程中與生產(chǎn)廠(chǎng)商、業(yè)內專(zhuān)業(yè)人士交流，不僅圓滿(mǎn)完成了測試任務(wù)，還取得了一定的經(jīng)驗積累，后續也在工控信息安全產(chǎn)品的行業(yè)標準、國家標準等方面的制定工作中取得了突破。

    （2）面向工業(yè)控制系統的異常行為審計產(chǎn)品：具有惡意未知行為和異常行為的發(fā)現與檢測，以及內容監測、事件與行為的審計等功能，能夠適用于不同的工業(yè)控制網(wǎng)絡(luò )應用場(chǎng)景。

    （3）工業(yè)控制網(wǎng)絡(luò )安全管控平臺：支持工業(yè)控制網(wǎng)絡(luò )流量收集識別、基于白名單的終端應用控制、實(shí)時(shí)工業(yè)控制協(xié)議與內容識別、漏洞發(fā)現與威脅識別、可視化運維、安全事件跟蹤分析預警等。

    專(zhuān)項還重點(diǎn)支持面向工業(yè)控制系統的信息安全專(zhuān)業(yè)化服務(wù)，包括應急響應、系統安全測試、隱患分析與風(fēng)險評估、在線(xiàn)威脅檢測與風(fēng)險預警、可信安全運維與防護，以及基于可用性的最小威脅容忍建模和異常行為仿真等。

    2013年，發(fā)改委針對工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要，繼續組織國家信息安全專(zhuān)項。

    面向工業(yè)控制信息安全領(lǐng)域的安全產(chǎn)品主要包括以下兩類(lèi)：一是面向現場(chǎng)設備環(huán)境的邊界安全專(zhuān)用網(wǎng)關(guān)產(chǎn)品。支持IPv4/IPv6及工業(yè)以太網(wǎng)，適用于集散控制系統（DCS）、數據采集與監視控制系統（SCADA）、現場(chǎng)總線(xiàn)等現場(chǎng)環(huán)境，具備5種以上工業(yè)控制專(zhuān)有協(xié)議以及多種狀態(tài)或指令主流格式數據的檢查、過(guò)濾、交換、阻斷等功能，數據傳輸可靠性達到100%，可保護節點(diǎn)數不少于500點(diǎn)，設備吞吐量達到線(xiàn)速運行水平，延時(shí)小于100ms。

    一是面向集散控制系統（DCS）的異常監測產(chǎn)品。適用于電廠(chǎng)、石油、化工、供熱、供水等工藝流程，具有對工業(yè)控制系統的DCS工程師站組態(tài)變更、DCS操作站數據與操控指令變更，以及各種主流現場(chǎng)總線(xiàn)訪(fǎng)問(wèn)、負載變更、通信行為、異常流量等安全監測能力，具備過(guò)程狀態(tài)參數、控制信號的閾值檢查與報警功能。

    專(zhuān)項還重點(diǎn)支持面向工業(yè)控制信息安全領(lǐng)域的可控試點(diǎn)示范，在電力電網(wǎng)、石油石化、先進(jìn)制造、軌道交通領(lǐng)域，支持大型重點(diǎn)骨干企業(yè)，按照信息安全等級保護相關(guān)要求，建設完善安全可控的工業(yè)控制系統。建立以杜絕重大災難性事件為底線(xiàn)的工業(yè)控制系統綜合安全防護體系，建立完善工業(yè)控制信息安全技術(shù)與管理的機制和規范。

   工業(yè)控制系統

    說(shuō)到工業(yè)控制系統，美國NIST給出了一個(gè)比較通用的定義，說(shuō)明工控系統是由各種自動(dòng)化控制組件以及對實(shí)時(shí)數據進(jìn)行采集、監測的過(guò)程控制組件，共同構成的確保工業(yè)基礎設施自動(dòng)化運行、過(guò)程控制與監控的業(yè)務(wù)流程管控系統。

    其核心組件主要包括： 數據采集與監視控制系統 、過(guò)程控制系統、 分布式控制系統、 可編程邏輯控制器、 遠程終端、 智能電子設備以及確保各組件通信的接口技術(shù) 。

    其實(shí)這是比較狹義的工控系統，隨著(zhù)工業(yè)化和信息化融合的深入，工控系統與業(yè)務(wù)系統已經(jīng)對接，其層次和內涵也得到了極大地豐富。

上圖所示就是廣義的工業(yè)控制系統所需要涵蓋的范圍。

    這是AMR組織提出的一個(gè)通用的制造企業(yè)信息傳遞的金字塔，將企業(yè)的信息系統分成三層，依次為業(yè)務(wù)計劃層、制造執行層和過(guò)程控制層，是決策細化下達和執行結果匯總上傳的信息溝通模式。

    從網(wǎng)絡(luò )構成來(lái)說(shuō)，業(yè)務(wù)計劃層是企業(yè)的辦公網(wǎng)，主要涉及企業(yè)級應用，如ERP、OA等；制造執行層是監控網(wǎng)絡(luò )，主要部署SCADA服務(wù)器、數據庫、生產(chǎn)調度系統等；過(guò)程控制系統部署的是比較典型的控制網(wǎng)絡(luò )，但也可以細分為工業(yè)以太網(wǎng)和工業(yè)總線(xiàn)網(wǎng)，其實(shí)也是最為復雜的網(wǎng)絡(luò )。

    其實(shí)真正意義上的工控網(wǎng)絡(luò )可以分為四層，對應四個(gè)級別：現場(chǎng)控制級、過(guò)程控制級、過(guò)程管理級和經(jīng)營(yíng)管理級。與這四層結構相對應的四層局部網(wǎng)絡(luò )分別是現場(chǎng)網(wǎng)絡(luò ) (Field Network，Fnet)、控制網(wǎng)絡(luò ) (Control Network，Cnet)、監控網(wǎng)絡(luò ) (SupervisionNetwork，Snet) 和管理網(wǎng)絡(luò ) (Management Network，Mnet)。

    經(jīng)營(yíng)管理級強調計劃的執行和控制，通過(guò)分解和細化計劃指令將業(yè)務(wù)層與生產(chǎn)現場(chǎng)的控制層有機集成在一起，同時(shí)考慮生產(chǎn)方案的有序和優(yōu)化配置、設備能力的合理利用、物料的優(yōu)化配比等。其信息通訊依托于辦公網(wǎng)，通過(guò)常規的信息安全保證措施（如防火墻等）與互聯(lián)網(wǎng)相連。

    過(guò)程管理級主要是監測控制運行過(guò)程，一方面根據過(guò)程狀態(tài)實(shí)時(shí)修改和調整控制指令，另一方面及時(shí)有效監測異常狀況，為生產(chǎn)管理的指令下達提供依據。

    過(guò)程控制級通過(guò)預先設定的控制策略，根據上層的指令達到或者維持生產(chǎn)要求。

    現場(chǎng)儀表層感知實(shí)際的物理過(guò)程，采集過(guò)程中的所有信息，作為上層過(guò)程控制層的輸入以實(shí)現閉環(huán)控制過(guò)程。

   工控信息安全面臨的威脅

    根據目前工控信息安全面臨的威脅以及可以采取的防護措施來(lái)看，其實(shí)和工控安全密切相關(guān)的是管理網(wǎng)絡(luò )、監控網(wǎng)絡(luò )和控制網(wǎng)絡(luò )。因為監控網(wǎng)是新興的MES的網(wǎng)絡(luò )，一端面向傳統的以互聯(lián)網(wǎng)技術(shù)為基礎的辦公網(wǎng)，另一端面向原先物理隔離的控制網(wǎng)，具有極大的安全隱患，也是需要重點(diǎn)防護的網(wǎng)絡(luò )。而設備網(wǎng)的通信相對較為簡(jiǎn)單，使用的也大多是串口通信等技術(shù)，更適合從管理角度進(jìn)行防護。因此接下來(lái)我想從管理網(wǎng)、監控網(wǎng)和控制網(wǎng)這三個(gè)網(wǎng)絡(luò )層次對工控信息安全進(jìn)行探討。

    企業(yè)應用ERP、CRM（客戶(hù)關(guān)系管理，銷(xiāo)售、營(yíng)銷(xiāo)和服務(wù)）、OA等。 一方面，企業(yè)辦公網(wǎng)可能存在與外部互聯(lián)網(wǎng)的通信，就可能存在來(lái)自互聯(lián)網(wǎng)的安全威脅，如不安全的遠程支持，這時(shí)通常需要具備較為完備的安全邊界訪(fǎng)問(wèn)措施，如防火墻、嚴格的身份認證及準入控制機制等進(jìn)行防護； 另一方面，企業(yè)內部的系統或人員需要訪(fǎng)問(wèn)和處理工控系統的監控及采集數據，使得辦公網(wǎng)與監控網(wǎng)之間形成通道，但由于實(shí)時(shí)性要求和工控協(xié)議私有性的局限，未能實(shí)現基本的訪(fǎng)問(wèn)控制及認證機制，即使在兩個(gè)網(wǎng)絡(luò )之間存在物理隔離設備（如防火墻、網(wǎng)閘等），也為了可用性和實(shí)時(shí)性等原因或主動(dòng)或無(wú)意的配置不當，存在被輕易穿透的風(fēng)險。

    關(guān)鍵工業(yè)控制組件：SCADA服務(wù)器、歷史數據庫、實(shí)時(shí)數據庫、人機界面等。在該網(wǎng)絡(luò )中，系統操作人員通過(guò)HMI界面、SCADA系統及其他遠程控制設備，對現場(chǎng)控制網(wǎng)絡(luò )中的遠程終端單元、控制和采集設備的運行狀態(tài)進(jìn)行監控、評估和分析，并根據運行狀況對PLC和RTU進(jìn)行調整和控制。

    其威脅主要來(lái)自于以下幾點(diǎn)：

    第一，不安全的移動(dòng)維護設備（如筆記本、U盤(pán)等）的未授權接入，造成木馬、病毒等惡意代碼在網(wǎng)絡(luò )中傳播；

    第二，監控網(wǎng)與RTU/PLC之間不安全的無(wú)線(xiàn)通信，極易受到攻擊；

    第三，因合作的需要，工業(yè)控制網(wǎng)絡(luò )可能存在外聯(lián)的第三方合作網(wǎng)絡(luò )，并在網(wǎng)絡(luò )之間存在重要數據信息交換，雖然存在一定的隔離及訪(fǎng)問(wèn)控制策略，但日新月異的新型攻擊技術(shù)很容易造成這些防護措施的失效；

    第四，控制協(xié)議本身考慮最多的是實(shí)時(shí)性和可用性，基本未涉及安全性考量，存在許多漏洞，極易受到攻擊。

    控制網(wǎng)一般可以分為兩層：工程師站/操作師站，以及控制器之間通過(guò)工業(yè)以太網(wǎng)進(jìn)行信息交互；控制器和傳感器、執行器之間利用總線(xiàn)技術(shù)相連，PLC或RTU可以自行處理一些簡(jiǎn)單的程序，實(shí)現了信息處理的現場(chǎng)化。

    控制網(wǎng)的信息安全威脅主要來(lái)自以下幾點(diǎn)：

    第一，控制網(wǎng)絡(luò )通常處于作業(yè)現場(chǎng)，環(huán)境相對比較復雜，采用各種接入技術(shù)作為現有網(wǎng)絡(luò )的延伸，如無(wú)線(xiàn)、微波等，引入一定的安全風(fēng)險；

    第二，PLC等設備在現場(chǎng)維護時(shí)，也可能因不安全的串口連接或缺乏有效的配置，造成其運行參數被篡改，從而引起整個(gè)工控系統的運行危害（震網(wǎng)病毒）；

    第三，由于考慮到工控軟件與操作系統補丁兼容性的問(wèn)題，系統開(kāi)車(chē)后一般不會(huì )對Windows平臺打補丁，導致系統帶著(zhù)風(fēng)險運行；工程師站、操作師站等缺少防病毒軟件，或者病毒庫升級遲緩，而頻繁的數據交互（尤其是U盤(pán)的方式）極易帶來(lái)惡意代碼從而威脅整個(gè)工控網(wǎng)絡(luò )安全；

    第四，除了病毒等惡意代碼以外，控制指令對整個(gè)工控系統的影響可能更大，尤其是非授權指令和超過(guò)闕值指令的下達，極易引起整個(gè)生產(chǎn)過(guò)程的崩潰。

    “三層網(wǎng)絡(luò )，二級防護”

    基于以上的工控三層網(wǎng)絡(luò )所面臨的信息安全風(fēng)險，業(yè)內已經(jīng)提出了“三層網(wǎng)絡(luò )，二級防護”的信息安全防御體系。

    管理層與MES層之間的安全防護主要是為了避免管理信息系統域和MES（制造執行）域之間數據交換面臨的各種威脅，具體表現為：避免非授權訪(fǎng)問(wèn)和濫用（如業(yè)務(wù)操作人員越權操作其他業(yè)務(wù)系統）；對操作失誤、篡改數據，抵賴(lài)行為的可控制、可追溯；避免終端違規操作；及時(shí)發(fā)現非法入侵行為；過(guò)濾惡意代碼（病毒蠕蟲(chóng)）。

    也就是說(shuō)，管理層與MES層之間的安全防護，保證只有可信、合規的終端和服務(wù)器才可以在兩個(gè)區域之間進(jìn)行安全的數據交換，同時(shí)，數據交換整個(gè)過(guò)程接受監控、審計。

    通過(guò)在MES層和生產(chǎn)控制層部署工業(yè)防火墻，可以阻止來(lái)自企業(yè)信息層的病毒傳播；阻擋來(lái)自企業(yè)信息層的非法入侵；管控OPC客戶(hù)端與服務(wù)器的通訊，實(shí)現以下目標：

    ? 區域隔離及通信管控：通過(guò)工業(yè)防火墻過(guò)濾MES層與生產(chǎn)控制層兩個(gè)區域網(wǎng)絡(luò )間的通信，那么網(wǎng)絡(luò )故障會(huì )被控制在最初發(fā)生的區域內，而不會(huì )影響到其它部分。

    ? 實(shí)時(shí)報警：任何非法的訪(fǎng)問(wèn)，通過(guò)管理平臺產(chǎn)生實(shí)時(shí)報警信息，從而使故障問(wèn)題會(huì )在原始發(fā)生區域被迅速的發(fā)現和解決。

    除了根據三層網(wǎng)絡(luò )、二級防護的總體架構以外，由于工控現場(chǎng)環(huán)境的復雜多變，為了防止不同控制區域之間的互相影響，有必要分區域進(jìn)行防護，根據工藝流程或者物理位置劃分合理的防護區域，在區域之間部署合適的防護裝置并設置相關(guān)防護策略，保證即使發(fā)生信息安全事故，也將影響控制在本區域內。

    工控信息安全產(chǎn)品的研制、檢測和標準化

    工控網(wǎng)絡(luò )分層防護、分區域防護需要采取相應的防護措施來(lái)實(shí)現，主要可以分成以下三個(gè)方面： 工控設備和組件方面，主要關(guān)注其本身的信息安全，在設計、研發(fā)階段就要考慮如防病毒、抗攻擊、通信安全等內容；由于工控設備的更新頻率較低，現階段采取的最多的是專(zhuān)用的信息安全防護產(chǎn)品，如工控防火墻、工控主機防護產(chǎn)品等； 產(chǎn)品只能解決其接入的有限區域的信息安全，無(wú)法從系統層面考慮整體的安全性，因此需要引入系統信息安全防護，目前有關(guān)部門(mén)聯(lián)合檢測機構已經(jīng)在制定工控等級保護的相關(guān)標準，借鑒傳統的計算機等級保護要求來(lái)保護和測評工控系統。

    我們中心的主要工作就是信息安全產(chǎn)品的檢測和系統測評。

    目前專(zhuān)用信息安全產(chǎn)品均需要申請銷(xiāo)售許可證，一般的流程是申請測試——測試通過(guò)——申領(lǐng)銷(xiāo)售許可。

    由于現在工控信息安全產(chǎn)品的標準尚在制定過(guò)程中，沒(méi)有可以直接用于檢測的標準作為依據，所以現在的測試依據現有的類(lèi)似產(chǎn)品標準（如工控防火墻就是參照傳統防火墻的標準），抽取適用性的條款，再補充測試適用于工控環(huán)境的其他要求，特別是協(xié)議支持方面的內容。

    檢測通過(guò)后再向公安部申請銷(xiāo)售許可證。

    以工控防火墻為例，大部分傳統防火墻的要求均適用，但NAT、路由不做要求。

    工控環(huán)境的要求主要包括：

    （1）支持基于白名單策略的訪(fǎng)問(wèn)控制，包括網(wǎng)絡(luò )層和應用層；

    （2）工業(yè)控制協(xié)議過(guò)濾，應具備深度包檢測功能，支持主流的工控協(xié)議的格式檢查機制、功能碼與寄存器檢查機制

    （3）支持動(dòng)態(tài)開(kāi)放OPC協(xié)議端口；

    （4）防火墻應支持多種工作模式，保證防火墻區分部署和工作過(guò)程以實(shí)現對被防護系統的最小影響。例如：學(xué)習模式，防火墻記錄運行過(guò)程中經(jīng)過(guò)防火墻的所有策略、資產(chǎn)等信息，形成白名單策略集；驗證模式或測試模式，該模式下防火墻對白名單策略外的行為做告警，但不攔截；工作模式，防火墻的正常工作模式，嚴格按照防護策略進(jìn)行過(guò)濾等動(dòng)作保護。

    防火墻應具有高可靠性，包括故障自恢復、在一定負荷下72小時(shí)正常運行、無(wú)風(fēng)扇、支持導軌式或機架式安裝等。

    上圖是工控防火墻的功能測試拓撲圖，將待測的工控防火墻串聯(lián)部署在內外網(wǎng)之間，通過(guò)內外網(wǎng)的工控協(xié)議模擬器建立通信，來(lái)測試在防火墻上配置的策略。

    由于工控主機一般不部署殺毒軟件，即使部署了也不能保證及時(shí)更新病毒庫，也沒(méi)有相應的鑒權鑒別的訪(fǎng)問(wèn)控制措施。主機防護產(chǎn)品采取鎧甲式外掛，實(shí)現人員審核與訪(fǎng)問(wèn)控制、操作行為與審計、數據安全交換與殺毒功能。其特色就是在不對工控主機采取任何軟硬件的加載的前提下提高安全性。

    工控系統測評方面，主要是借鑒計算機等級保護制度，從技術(shù)和管理兩個(gè)方面對工控系統運行的環(huán)境和使用的人員進(jìn)行測評，保證其在測試點(diǎn)的安全合規性，已經(jīng)測試點(diǎn)之間的動(dòng)態(tài)安全性。目前相關(guān)的技術(shù)要求和測評方法正在制定過(guò)程中。

    除了產(chǎn)品和系統檢測以外，我們中心還十分關(guān)注相關(guān)標準的制定。下面介紹一下工控信息安全領(lǐng)域的標準化工作情況。

    現階段還未發(fā)布工控信息安全的相關(guān)標準，但是各個(gè)層次也正在制定之中。

    國際標準層面，美國的ISA已經(jīng)制定了相關(guān)的技術(shù)標準，IEC等同采用了ISA SP99的內容，發(fā)布了IEC 62443《工業(yè)過(guò)程測量、控制和自動(dòng)化 網(wǎng)絡(luò )與系統信息安全》標準。

    NIST發(fā)布的工業(yè)控制系統安全指南可謂是工控信息安全領(lǐng)域的經(jīng)典。

    國家標準方面，TC124主要關(guān)注工控系統的標準化，TC260關(guān)注信息安全相關(guān)的標準，相關(guān)的工控信息安全標準也正在這兩個(gè)標委會(huì )中制定。

    行業(yè)標準方面，電力系統最早關(guān)注工控信息安全，其標準化進(jìn)度也相對較為領(lǐng)先；而公安行業(yè)標準近兩年也開(kāi)始制定相關(guān)工控安全標準，主要關(guān)注專(zhuān)用的信息安全防護產(chǎn)品，涉及工控防火墻、工控審計產(chǎn)品、工控安全隔離與信息交換系統、工控安全管理平臺和工控入侵檢測系統。

   總結

    工業(yè)化和信息化融合促進(jìn)了效率提升，也給原先物理隔離的工控系統帶來(lái)了信息安全隱患，工控系統在能源等支柱產(chǎn)業(yè)的重要性也提升了工控信息安全的重要性。 目前主流的三層網(wǎng)絡(luò )、二級防護機制可以有效保障工控系統的安全性，其實(shí)現需要專(zhuān)用的工控信息安全產(chǎn)品的支持，因此相關(guān)產(chǎn)品的研制、檢測認證和標準化工作也是關(guān)注的重點(diǎn)。系統級的信息安全可以借鑒傳統的信息安全等級保護措施和相關(guān)要求，從整體角度對其進(jìn)行防護。

（本文整理自沈清泓在“第三屆工業(yè)控制系統信息安全峰會(huì )”上的大會(huì )報告）

    摘自《自動(dòng)化博覽》2014年7月刊