【第24章】工控安全需求分析与安全保护工程
24.1 工控系统安全威胁与需求分析
24.1.1 工业控制系统概念及组成
工业控制系统是由各种控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。工业控制系统通常简称工控系统(ICS) 。工控系统通常分为离散制造类和过程控制类两大类,控制系统包括SCADA 系统、分布式控制系统(DCS) 、过程控制系统(PCS) 、可编程逻辑控制器(PLC) 、远程终端(RTU) 、数控机床及数控系统等。
1. SCADA 系统
SCADA 是 Supervisory Control And Data Acquisition 的缩写,中文名称是数据采集与监视控制系统,其作用是以计算机为基础对远程分布运行的设备进行监控,功能主要包括数据采集、参数测量和调节。SCADA 系统一般由设在控制中心的主终端控制单元(MTU) 、通信线路和设备、远程终端单位(RTU) 等组成,系统作用主要是对多层级、分散的子过程进行数据采集和统一调度管理。
2. 分布式控制系统 (DCS)
DCS 是 Distribution Control System 的缩写。DCS 是基于计算机技术对生产过程进行分布控制、集中管理的系统。DCS 系统一般包括现场控制级、系统控制级和管理级两/三个层次,现场控制级主要是对单个子过程进行控制,系统控制级主要是对多个密切相关的过程进行数据采集、记录、分析和控制,并通过统一的人机交互处理实现过程的集中控制和展示,系统项目管理器实现组态的配置和分发,并有统一的对外数据接口。
3. 过程控制系统(PCS)
PCS 是 Process Control System 的缩写。PCS 是通过实时采集被控设备状态参数进行调节,以保证被控设备保持某一特定状态的控制系统。状态参数包括温度、压力、流量、液位、成分、浓度等。PCS 系统通常采用反馈控制(闭环控制)方式。
4. 可编程逻辑控制器(PLC)
PLC 是 Programmable Logic Controller 的缩写。PLC 主要执行各类运算、顺序控制、定时等指令,用于控制工业生产装备的动作,是工业控制系统的基础单元。
5.主终端设备(MTU)
MTU 是 Master Terminal Unit 的缩写。 MTU 一般部署在调度控制中心,主要用于生产过程的信息收集和监测,通过网络与 RTU 保持通信。
6. 远程终端设备(RTU)
RTU 是 Remoter Terminal Unit 的缩写。 RTU 主要用于生产过程的信息采集、自动测量记录和传导,通过网络与 MTU 保持通信。
7. 人机界面(HMI)
HMI 是 Human-Machine Interface 的缩写。 HMI 是为操作者和控制器之间提供操作界面和数据通信的软硬件平台。目前工业控制系统主要采用计算机终端进行人机交互工作。
8. 工控通信网络
工控通信网络是各种工业控制设备及组成单元的连接器,传统工业通信网络一般采取专用的协议来构建,形成封闭网络。常见的工控专用协议有 OPC 、Modbus 、DNP3 等,工业通信网络类型有 DCS 主控网络、
SCADA 远程网络、现场控制级通信网络等类型。随着互联网技术的应用发展,TCP/IP 协议也逐步应用到工业控制系统,如智能设备、智能楼宇、智能工厂等控制系统。
24.1.2 工业控制系统安全威胁分析
根据已发生的典型事件看,工控系统的安全威胁主要来自五个方面。
1. 自然灾害及环境
洪水、雷电、台风等是工业控制系统常见的自然灾害威胁,特别是分布在室外的工业控制设备。
2. 内部安全威胁
人为错误或疏忽大意,如命令输入错误、操作不当,导致工业控制设备安全失效。
3. 设备功能安全故障
工业控制设备的质量不合格,导致设备功能无法正常执行,从而产生故障,例如磁盘故障、服务器硬件故障。
4. 恶意代码
随着工业控制网络的开放性增加,恶意代码成为工业控制系统面临的安全挑战难题,常见的恶意代码有网络蠕虫、特洛伊木马、勒索软件等。根据研究,针对 PLC 攻击的网络蠕虫已经出现,简称 PLC Worm 。
5.网络攻击
由于工业控制系统的高价值性,常常是网络攻击者重要的目标对象。例如,网络安全威胁组织 Dragonfly 针对电力运营商、主要发电企业、石油管道运营商和能源工业设备供货商进行网络间谍活动。
24.1.3 工业控制系统安全隐患类型
工业控制系统是由传统 IT 技术及控制技术综合形成的复杂系统,除了传统 IT 系统的安全隐患外,工业控制系统还具有其特定的安全隐患,主要安全隐患分析如下。
1.工控协议安全。工控协议设计之初 ,缺乏安全设计,无安令认证、加密、审计。
例如,仅需要使用一个合法的 Modbus 地址和合法的功能码即可建立一个 Modbus 会话。工控通信明文传递信息,数据传输缺乏加密措施,地址和命令明文传输,可以很容易地捕获和解析。
2. 工控系统技术产品安全漏洞。PLC 、SCADA、 HMI 、 DCS 等相关工控技术产品存在安全漏洞。西门子、施耐德、研华、罗克韦尔、欧姆龙等产品相继报告存在安全漏洞。
3. 工控系统基础软件安全漏洞。工控系统通用操作系统、嵌入式操作系统、实时数据库等存在安全漏洞。
4. 工控系统算法安全漏洞。工控系统控制算法存在安全缺陷。例如状态估计算法缺失容忍攻击保护,从而导致状态估计不准确。
5. 工控系统设备固件漏洞。工控系统设备固件存在安全缺陷,例如 BIOS 漏洞。
6.工控系统设备硬件漏洞。工控系统设备硬件存在安全缺陷,例如 CPU 漏洞。
7.工控系统开放接入漏洞。传统工控系统在无物理安全隔离措施的情况下接入互联网,工控设备暴露在公共的网络中,从而带来新的安全问题。如 DDoS/DoS 拒绝服务攻击、漏洞扫描、敏感信息泄露、恶意代码网上传播等
8.工控系统供应链安全。工控系统依赖多个厂商提供设备和后续服务保障,供应链安全直接影响工控系统的安全稳定运行。一旦某个关键设备或组件无法提供服务支撑,工控系统就很有可能中断运行。
24.1.4 工业控制系统安全需求分析
工业控制系统的安全除了传统 IT 的安全外,还涉及控制设备及操作安全。传统 IT 网络信息安全要求侧重于“保密性一完整性一可用性”需求顺序,而工控系统网络信息安全偏重于”可用性-完整性-保密性”需求顺序。国家网络安全等级保护 2.0 标准已将工控系统列为等级保护对象。工控系统的网络信息安全主要有技术安全要求和管理安全要求两方面。
其中,技术安全要求主要包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;管理安全要求主要包含安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
工控系统的安全保护需求不同于普通IT 系统,要根据工控业务的重要性和生产安全,划分安全区域、确定安全防护等级,然后待续提升工控设备、工控网络和工控数据的安全保护能力。工控相关安全措施必须符合国家法律政策及行业主管的安全管理要求,满足国家工控安全标准规范或国际工控安全标准规范。
--------------
24.2 工控系统安全保护机制与技术
24.2.1 物理及环境安全防护
物理及环境安全是工控系统的安全基础。为保护工业控制系统的物理及环境安全,《工业控制系统信息安全防护指南》要求如下:
•对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
•拆除或封闭工业主机上不必要的 USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。
24.2.2 安全边界保护
为确保有安全风险的区域隔离及安全控制管理,工业企业应将工业控制系统划分为若干安全域。一般来说,工业控制系统的开发、测试和生产应分别提供独立环境,避免把开发、测试环境中的安全风险引入生产系统。
工业企业针对不同的安全域实现安全隔离及防护。其中,安全隔离类型分为物理隔离、网络逻辑隔离等方式。常见的工业控制边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业按照实际情况,在不同安全区域边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问。
24.2.3 身份认证与访问控制
身份认证与访问控制是工业控制系统的安全基础。目前,常见的认证技术手段有口令密码、USB-Key、智能卡、人脸、指纹、虹膜等。
为防范口令撞库攻击及敏感认证信息泄露影响,不同系统和网络环境下禁止使用相同的身份认证证书信息,减小身份信息暴露后对系统和网络的影响。对于工业控制设备、 SCADA 软件、工业通信设备等设定不同强度的登录账户及密码,并进行定期更新,避免使用默认口令或弱口令。针对内部威胁,工业企业的安全权限管理应遵循最小特权原则,对工业控制系统中的系统账户权限分配最小化,避免权限过多,防止特权滥用。
体内容如下:
(1) 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
(2) 合理分类设置账户权限,以最小特权原则分配账户权限。
(3) 强化工业控制设备、SCADA 软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。
(4) 加强对身份认证证书信息的保护力度,禁止在不同系统和网络环境下共享。
24.2.4 远程访问安全
•原则上严格禁止工业控制系统面向互联网开通 HTTP 、FTP 、Telnet 等高风险通用网络服务。
•确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。
•确需远程维护的,采用虚拟专用网络(VPN) 等远程接入方式进行。
•保留工业控制系统的相关访问日志,并对操作过程进行安全审计。
24.2.5 工控系统安全加固
工控系统安全加固通过安全配置策略、身份认证增强、强制访问控制、程序白名单控制等多种技术措施,对工程师站、SCADA 服务器、实时数据库等工控组件进行安全增强保护 , 减少系统攻击面。
24.2.6 工控安全审计
工业企业部署安全审计设备。通过审计系统保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
24.2.7 恶意代码防范
《工业控制系统信息安全防护指南》对恶意代码防范的相关安全要求如下:
(1) 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
(2) 工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入 U 盘、移动终端等外设)等。
(3) 密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。
24.2.8 工控数据安全
工业生产数据是工业企业的核心资源,常见的工业数据类型有研发数据(研发设计数据、开发测试数据等)、生产数据(控制信息、工况状态、工艺参数、系统日志等)、运维数据(物流数据、产品售后服务数据等)、管理数据(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据(与其他主体共享的数据等)。工业生产数据的安全目标是保障数据全生命周期的可用性、完整性、保密性和时效性,防止遭受未授权泄露、修改、移动、销毁,特别是防止实时数据延缓滞后。
具体防护措施相关要求如下:
(1) 对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。工业企业应对静态存储的重要工业数据进行加密存储,设置访问控制功能,对动态传输的重要工业数据进行加密传输,使用VPN 等方式进行隔离保护,并根据风险评估结果,建立和完善数据信息的分级分类管理制度。
(2) 定期备份关键业务数据。工业企业应对关键业务数据,如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。
(3) 对测试数据进行保护。工业企业应对测试数据,包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护,如签订保密协议、回收测试数据等。
24.2.9 工控安全监测与应急响应
网络安全监测与应急响应是工业控制系统的安全措施。在工业控制网络中部署网络安全监测设备,可以及时发现网络攻击行为,如病毒、木马、端口扫描、暴力破解、异常流量、异常指令、伪造工控协议包等,对网络攻击和异常行为进行识别、报警、记录。同时,针对工业控制潜在的安全事件,制定工控安全事件应急响应预案,预案应包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容。
目前,《工业控制系统信息安全防护指南》针对网络安全监测与应急响应的相关要求如下:
(1) 在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
(2) 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。
(3) 制订工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。
(4) 定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。
(5) 对关键主机设备、网络设备、控制组件等进行冗余配置。
为指导做好工业控制系统信息安全事件应急管理相关工作,保障工业控制系统信息安全,2017 年工业和信息化部发布了《工业控制系统信息安全事件应急管理工作指南》。
24.2.10 工控安全管理
网络安全管理是工业控制系统的必要安全措施,技术安全实施依赖于安全管理到位。目前,国家《工业控制系统信息安全防护指南》针对安全管理的相关要求包括资产管理、安全软件选择与管理、配置和补丁管理、供应链管理等,其具体要求如下:
(1) 建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。
(2) 对关键主机设备、网络设备、控制组件等进行冗余配置。
(3) 安全软件选择与管理。
(4) 配置和补丁管理。一是做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。二是对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。三是密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。
(5) 供应链管理。
(6) 落实责任。
24.2.11 工控安全典型产品技术
1. 防护类型
工控系统防护类型技术产品较多,典型技术产品有工控防火墙、工控加密、工控用户身份认证、工控可信计算、系统安全加固等。
2. 物理隔离类型
针对工控系统的不同安全区域,为实现更强的安全保护,通过物理隔离技术防止不同安全域的非安全通信。常见技术产品有网闸、正反向隔离装置等。
3. 审计与监测类型
工控安全审计与监测类型产品技术用于掌握工控系统的安全状态,主要产品有工控安全审计和工控入侵检测系统。
4. 检查类型
工控安全检查类型产品技术主要有工控漏洞扫描、工控漏洞挖掘、工控安全基线检查等。
5. 运维和风险管控类型
工控运维和风险管控类型产品技术主要有工控堡垒机、工控风险管理系统等。
--------------
24.3 工控系统安全综合应用案例分析
24.3.1 电力监控系统安全总体方案
电力监控系统的安全策略是 “安全分区、网络专用、横向隔离、纵向认证”
a.安全分区:电力监控系统的安全区域主要分成生产控制大区和管理信息大区。其中,生产控制大区又细分为控制区和非控制区,管理信息大区分为若干业务安全区。
b.网络专用:电力监控系统的调度控制网络采用专用网络,以满足电力控制实时性及高可信要求。
c.横向隔离:横向隔离是电力二次安全防护体系的横向防线。采
d.纵向认证:纵向加密认证是电力监控系统安全防护体系的纵向防线。
24.3.2 水厂工控安全集中监控
水厂工控安全监管过程。在工业交换机旁路部署工业集中监控管理平台,通过私有安全协议建立安全加密的长连接,实现对工业防火墙及工业监控设备的集中管理和监控。对异常行为、恶意代码攻击、威胁行为管理等可实现集中管理及预防。
在工业以太网交换机及控制网交换机旁路部署 ICS 信息安全监控设备,实现网络结构风险和活动的即时可见,对网络中的可疑行为或攻击行为产生报警。同时,对网络通信行为进行翔实的审计记录,定期生成统计报表。
24.3.3 工控安全防护厂商方案
本案例来自青岛某企业。根据某客户工业控制系统的应用环境需求,需要提供专业化的适用于工控环境的相关安全防护及安全加固产品,全面护航工业控制系统信息安全。
该方案主要包含以下几部分:
(1) lnTrust 工控可信计算安全平台:可信计算与系统加固,可信计算技术在工控安全领域的创新应用,中国自主的可信计算模块及加密算法,智能的可信度量与管控白名单,提高系统免疫力,阻止一切非可信进程运行,抗病毒、抗恶意攻击。
(2) Guard 工业防火墙:内置 50 多种工业协议和常规控制网络模型,可对 OPC 、 Modbus TCP 等通信提供基于工业协议的深度检查和管控。
(3) 中央管理平台(CMP) :窗口化的中央管理平台系统及数据库,用于Guard工业防火墙的配置、组态和管理。
(4) 安全管理平台(SMP) :安全管理中心以底层工业防火墙以及其他第三方网络设备为探针,利用内置的“工业控制网络通信行为模型库“核心模块,智能监控、分析控制网络行为,及时检测工业网络中出现的工业攻击、非法入侵、设备异常等情况,应用数据库存储、分析和挖掘技术,对危及系统网络安全的因素做出智能预警分析,给管理者提供决策支持,以总揽大局的方式为工厂网络信息安全故障的及时排查、分析提供了可靠的依据。