王斯梁,尹一樺

(衛(wèi)士通信息產(chǎn)業(yè)股份有限公司,四川成都610041)

工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)研究

王斯梁,尹一樺

(衛(wèi)士通信息產(chǎn)業(yè)股份有限公司,四川成都610041)

工業(yè)化和信息化的融合給工業(yè)控制系統(tǒng)帶來巨大的安全挑戰(zhàn)。與傳統(tǒng)信息系統(tǒng)的安全建設(shè)目標(biāo)不同,工業(yè)控制系統(tǒng)安全建設(shè)的目標(biāo)是在保證其高可用性的前提下提供相應(yīng)的安全防護(hù)手段。首先從方法論角度分析了工業(yè)控制系統(tǒng)安全需求,其次,從數(shù)據(jù)安全和管理安全兩個(gè)維度來討論了工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的設(shè)計(jì)原則,最后,給出了區(qū)域劃分、終端防護(hù)、通信管控、安全設(shè)備選擇方法和安全操作策略和流程,在安全設(shè)備選擇部分,給出了典型工業(yè)控制系統(tǒng)的安全部署圖。

工業(yè)控制系統(tǒng) 安全防護(hù)技術(shù) 區(qū)域劃分

0 引 言

工業(yè)控制系統(tǒng)(ICS)是運(yùn)用控制理論、計(jì)算機(jī)科學(xué)、儀器儀表等技術(shù),對生產(chǎn)過程的各種信息采集、分析、處理,并進(jìn)行優(yōu)化控制和合理的調(diào)度、管理,以達(dá)到提高生產(chǎn)效率的一種先進(jìn)的現(xiàn)代工業(yè)系統(tǒng)[1]。

ICS常用在諸如石油、核電廠、化工、交通、電力等領(lǐng)域。ICS已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,它的安全關(guān)系到國家的戰(zhàn)略安全。

“兩化融合”給ICS帶來巨大的發(fā)展機(jī)遇,也帶來前所未有的安全挑戰(zhàn)。ICS面臨的威脅從最初單機(jī)的“孤立可控”發(fā)展到現(xiàn)在網(wǎng)絡(luò)級的“復(fù)雜不可控”?，F(xiàn)有的安全威脅來自于ICS的各個(gè)組成部分,包括網(wǎng)絡(luò)通信、軟硬件設(shè)施、人員操作等,它們之間在業(yè)務(wù)上相互關(guān)聯(lián),這也使得安全威脅出現(xiàn)存在范圍廣,查找和預(yù)防難度大等新特征[2]。由于ICS多是部署在涉及國計(jì)民生的行業(yè)中,所以ICS的安全建設(shè)是目前我國信息化工作重要方向之一,也是從事信息安全的企業(yè)應(yīng)拓展的重要市場。

現(xiàn)有商業(yè)化的ICS安全產(chǎn)品較少,這主要原因是在“兩化融合”的背景下,工業(yè)控制系統(tǒng)的規(guī)模過于龐大和復(fù)雜,這使得為它實(shí)施安全防護(hù)的難度增大。

國外的研究機(jī)構(gòu)和公司提出一些工控安全產(chǎn)品設(shè)計(jì)標(biāo)準(zhǔn),如ISA-99/NERC-CIP等,并在此基礎(chǔ)上開發(fā)出一些產(chǎn)品,如Tofino,C4等,這些標(biāo)準(zhǔn)和產(chǎn)品代表了工業(yè)控制系統(tǒng)安全技術(shù)發(fā)展趨勢[3-5]。國內(nèi)的研究機(jī)構(gòu)和公司多從“軟防護(hù)”角度出發(fā),提出了一系列解決方案,但這些方案僅能作為解決工業(yè)控制系統(tǒng)邊界安全的一種手段,對于解決ICS終端安全以及通信管控等問題作用不大。因此,既能解決邊界安全,又能解決終端安全以及通信管控的ICS安全防護(hù)技術(shù)是需要進(jìn)一步研發(fā)的重要目標(biāo)容。

1 工業(yè)控制系統(tǒng)安全需求

由方法論可知,一個(gè)系統(tǒng)的需求應(yīng)是由系統(tǒng)運(yùn)行時(shí)所需各組成部分的需求所構(gòu)成的。工業(yè)控制系統(tǒng)的運(yùn)行涉及到主體(人)和客體(生產(chǎn)設(shè)備及終端)。工業(yè)控制系統(tǒng)的安全需求可以由公式(1)進(jìn)行描述。

式中,R(di,mi)表示工控系統(tǒng)的總體安全需求;di表示安全分區(qū)i中數(shù)據(jù)的安全,包括數(shù)據(jù)產(chǎn)生、傳輸、使用、存儲、銷毀等生命周期各個(gè)階段的安全;mi為安全分區(qū)i中安全管理需求,它由數(shù)據(jù)安全和人員安全管理hi來決定;i表示不同的安全區(qū)域;茌表示組合關(guān)系。式(1)表明應(yīng)按不同的安全分區(qū)來分析數(shù)據(jù)安全需求和管理安全需求,各安全分區(qū)的安全需求構(gòu)成了工控系統(tǒng)的總體安全需求。

從工控系統(tǒng)管理者的角度而言,需要制定相關(guān)工業(yè)控制系統(tǒng)安全操作規(guī)范,培養(yǎng)從業(yè)人員相關(guān)安全意識;從防護(hù)客體而言,需要防護(hù)終端設(shè)備安全,網(wǎng)絡(luò)邊界及網(wǎng)絡(luò)通信的安全。

圖1描繪了一種典型工業(yè)控制系統(tǒng)應(yīng)用環(huán)境可能面臨的安全風(fēng)險(xiǎn)。

圖1 ICS所面臨的安全風(fēng)險(xiǎn)Fig.1 Security risk of ICS

由圖1可知,工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)主要是來自三個(gè)方面:

1)缺乏安全的操作規(guī)范和流程。管理人員和操作人員缺乏相應(yīng)的安全操作培訓(xùn)。

2)終端的脆弱性。包括平臺配置、硬件、軟件的脆弱性。

3)網(wǎng)絡(luò)的脆弱性。網(wǎng)絡(luò)脆弱性一般來源于軟件的漏洞、錯(cuò)誤配置和ICS網(wǎng)絡(luò)管理的失誤。此外,工業(yè)控制系統(tǒng)與其它網(wǎng)絡(luò)互連時(shí)缺乏安全邊界控制也是導(dǎo)致網(wǎng)絡(luò)脆弱性的重要原因。

ICS安全防護(hù)方案以建立“縱深防御”策略為主要思想,確保ICS中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故,工業(yè)生產(chǎn)也能正常運(yùn)行。同時(shí),管理人員能夠迅速地找到問題并進(jìn)行處理,保證工控系統(tǒng)安全可用。

因此,ICS安全防護(hù)方案應(yīng)達(dá)到以下目標(biāo):

1)區(qū)域隔離,能夠過濾兩個(gè)區(qū)域網(wǎng)絡(luò)之間的通信。

2)深度檢查,面向應(yīng)用層對工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度分析和檢查。

3)通信管控,通過管理平臺能夠管理不同區(qū)域之間通信。

4)實(shí)時(shí)報(bào)警,所有的防護(hù)設(shè)備都能由中央管控平臺統(tǒng)一進(jìn)行實(shí)時(shí)監(jiān)控和預(yù)警。

2 工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)

由上述的安全需求可知,工業(yè)控制系統(tǒng)安全防護(hù)方案的建設(shè)目標(biāo)是提供一個(gè)“分區(qū)深度防護(hù)”的安全平臺,該平臺能夠提供網(wǎng)絡(luò)通信的管控、辦公網(wǎng)和控制網(wǎng)(生產(chǎn)網(wǎng)絡(luò))之間的隔離防護(hù)、控制網(wǎng)絡(luò)的冗余備份、終端安全防護(hù)、實(shí)時(shí)報(bào)警和中央監(jiān)控等功能。

由方法論中的“自頂向下”設(shè)計(jì)原則可知,在獲知安全需求后,首先進(jìn)行安全區(qū)域劃分,這是網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)的先決條件。不同的區(qū)域應(yīng)實(shí)施不同的安全防護(hù)策略(終端和通信控制)。在完成以上設(shè)計(jì)后,形成一個(gè)工業(yè)控制系統(tǒng)的詳細(xì)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)圖,然后在各安全節(jié)點(diǎn)處選擇具體的安全設(shè)備,制定安全操作策略和流程,形成最終的安全防護(hù)方案,其設(shè)計(jì)流程圖如圖2所示。

圖2 ICS安全防護(hù)方案設(shè)計(jì)流程Fig.2 Flow chart of security protection solution

2.1 區(qū)域劃分

ICS安全區(qū)域劃分如圖3所示。在圖3中,工業(yè)控制系統(tǒng)一般分為五個(gè)區(qū)域,即辦公區(qū)域(Corporate Zone)、控制區(qū)(Control Zone)、生產(chǎn)區(qū)(Field Zone)、DMZ、外部區(qū)(External Zone)。

其中,辦公區(qū)域(Corporate Zone)為滿足辦公業(yè)務(wù)需要的區(qū)域?？刂茀^(qū)(Control Zone)為滿足ICS管理與監(jiān)控需要的區(qū)域,主要指SCADA,DCS等系統(tǒng)的監(jiān)控層(包括HMI、Historian等)和生產(chǎn)線。生產(chǎn)區(qū)(Field Zone)是滿足自動(dòng)化作業(yè)需要的控制區(qū)域,一般指由PLC(可編程邏輯控制器)、RTU(遠(yuǎn)程控制單元)、IED(智能監(jiān)測單元)等所在區(qū)域。生產(chǎn)區(qū)處于控制區(qū)內(nèi)部,這使得生產(chǎn)區(qū)處于核心防護(hù)區(qū)域。DMZ(安全隔離區(qū))是滿足在線業(yè)務(wù)需要的隔離區(qū)域,主要存放提供Web服務(wù)、DNS解析服務(wù)以及郵件服務(wù)等外網(wǎng)可以訪問的資源。

圖3 ICS安全區(qū)域劃分Fig.3 Partition of security zones in ICS

2.2 終端防護(hù)

(1)辦公網(wǎng)絡(luò)終端的安全防御

辦公網(wǎng)絡(luò)相對于控制網(wǎng)絡(luò)而言是較為開放的,其防御的核心是確保各種辦公業(yè)務(wù)終端的安全和授權(quán)使用,其通用的終端安全建設(shè)的內(nèi)容包括:

1)木馬病毒及惡意軟件安全防護(hù)。

2)應(yīng)用訪問控制與安全審計(jì)。

3)用戶訪問控制與安全審計(jì)。

4)系統(tǒng)漏洞的檢測與修復(fù)。

5)數(shù)據(jù)安全存儲與防泄漏。

6)終端安全問題的應(yīng)急響應(yīng)及處理。

(2)工業(yè)控制網(wǎng)絡(luò)終端的安全防御

工業(yè)控制網(wǎng)絡(luò)安全防御的核心是確保控制與生產(chǎn)組件的可用性,其通用的終端安全建設(shè)的內(nèi)容包括:

1)病毒及木馬安全防護(hù)。

2)基于ICS協(xié)議的內(nèi)容監(jiān)測。

3)控制系統(tǒng)的漏洞檢測及修復(fù)。

4)基于事件與行為的安全審計(jì)。

5)終端安全問題的應(yīng)急響應(yīng)與處理。

2.3 通信管控

在現(xiàn)代工業(yè)控制系統(tǒng)中,由DCS、PLC、SCADA構(gòu)成的過程控制系統(tǒng)位于控制區(qū)(Control Zone)中,負(fù)責(zé)完成基本的生產(chǎn)及控制。隨著“兩化融合”建設(shè)的發(fā)展,迫切要求實(shí)現(xiàn)控制區(qū)與上層的辦公區(qū)(Corporate Zone)之間的互聯(lián),完成經(jīng)營管理層與生產(chǎn)制造執(zhí)行層之間的雙向信息交互[6]。這就要求在控制區(qū)和辦公區(qū)之間應(yīng)實(shí)施嚴(yán)格的通信管控,既要保證正常的交互,又要保證通信安全。

下面分別描述三類安全節(jié)點(diǎn)處的通信管控措施:

1)控制區(qū)與辦公區(qū)之間的安全節(jié)點(diǎn)。見圖3中防火墻Firewall(Cor-Con)。該防火墻應(yīng)能管控TCP/IP通信協(xié)議;管控OPC服務(wù)器與授權(quán)管理客戶端之間的通信;對安全事件和行為提供可靠的監(jiān)控與審計(jì)。

2)生產(chǎn)區(qū)之間的安全節(jié)點(diǎn)。見圖3中防火墻Firewall(F-C)。該防火墻應(yīng)能管控TCP/IP通信協(xié)議,深度檢測Modbus等工業(yè)通信協(xié)議;對安全事件和行為提供可靠的監(jiān)控與審計(jì)。

3)辦公區(qū)與外部區(qū)之間的安全節(jié)點(diǎn)。見圖3中防火墻Firewall(Ex-Cor)。該防火墻應(yīng)能管控TCP/IP通信協(xié)議;對安全事件和行為提供可靠的監(jiān)控與審計(jì)。

2.4 安全設(shè)備及防護(hù)系統(tǒng)選擇

在網(wǎng)絡(luò)邊界安全防護(hù)方面,應(yīng)考慮部署如下設(shè)備保證安全:

(1)控制區(qū)與辦公區(qū)之間的安全節(jié)點(diǎn)

根據(jù)上一節(jié)的討論可知,此處應(yīng)部署工業(yè)防火墻、單向網(wǎng)閘(即圖4中的工控網(wǎng)絡(luò)隔離裝置)等。

圖4 典型工控系統(tǒng)安全防護(hù)部署示意Fig.4 A diagram of security protection solution in typical ICS

(2)生產(chǎn)區(qū)之間的安全節(jié)點(diǎn)

根據(jù)上一節(jié)的討論可知,此處應(yīng)部署工業(yè)防火墻,能對基于工業(yè)通信協(xié)議的應(yīng)用層數(shù)據(jù)包進(jìn)行深度檢查。

(3)辦公區(qū)與外部區(qū)之間的安全節(jié)點(diǎn)

根據(jù)上一節(jié)的討論可知,此處應(yīng)部署IT防火墻、IDS/IPS、安全認(rèn)證網(wǎng)關(guān)。

在終端安全防護(hù)方面,應(yīng)部署如下設(shè)備保證安全:

(1)辦公區(qū)內(nèi)

在終端上應(yīng)安裝具備訪問控制和審計(jì)功能的軟件(終端安全防護(hù)系統(tǒng)和主機(jī)監(jiān)控與審計(jì)系統(tǒng)客戶端)、漏洞檢測與掃描客戶端、防病毒軟件等。

(2)控制區(qū)內(nèi)

為保證工業(yè)終端的高可用,需要防護(hù)的工業(yè)終端應(yīng)前置部署集成網(wǎng)絡(luò)監(jiān)控與審計(jì)功能、防病毒、入侵檢測、漏洞檢測與掃描等功能于一體的安全設(shè)備(見圖4中在PLC/DCS/SCADA前串接的安全設(shè)備);數(shù)據(jù)存儲可采用安全存儲系統(tǒng);監(jiān)控平臺可采用基于KVM監(jiān)控系統(tǒng),確保管理人員可在不進(jìn)入生產(chǎn)線也能進(jìn)行安全監(jiān)管。

2.5 安全策略與流程

為保護(hù)工業(yè)控制系統(tǒng)安全,從管理者的角度,應(yīng)制定安全管理策略和操作流程,確保不會出現(xiàn)因?yàn)椴僮魅藛T的誤操作和管理制度的漏洞而造成安全隱患。

如下為可供參考的安全策略與流程:

1)行政主管部門應(yīng)制定工業(yè)控制系統(tǒng)的安全政策。

2)工控企業(yè)設(shè)計(jì)工業(yè)控制系統(tǒng)安全體系。

3)工控企業(yè)根據(jù)安全政策制定的正規(guī)、可備案的安全流程。

4)工控企業(yè)制定工業(yè)控制系統(tǒng)設(shè)備安全部署的實(shí)施指南。

5)第三方權(quán)威的安全評審機(jī)構(gòu)應(yīng)定期進(jìn)行工業(yè)控制系統(tǒng)的安全審計(jì),漏洞檢測。

6)工控企業(yè)制定針對工業(yè)控制系統(tǒng)的業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)計(jì)劃以及應(yīng)急處理機(jī)制。

7)對工控系統(tǒng)操作人員進(jìn)行定期安全培訓(xùn)。

3 結(jié) 語

工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)之間的最大區(qū)別就在于其高可用性,尤其是核心區(qū)域(生產(chǎn)控制區(qū))內(nèi),這方面需求更為明顯。

由于“兩化融合”需求,辦公區(qū)與控制區(qū)需要互聯(lián),這也給工業(yè)控制系統(tǒng)帶來了新的安全風(fēng)險(xiǎn)。為有效保護(hù)工控系統(tǒng)安全,在設(shè)計(jì)工業(yè)控制系統(tǒng)安全解決方案時(shí),需要對安全區(qū)域進(jìn)行劃分,對核心區(qū)域進(jìn)行深度防護(hù)。在技術(shù)層面上,需要實(shí)施區(qū)域劃分、邊界防護(hù)、通信管控,終端防護(hù);在管理層面上,需要制定安全管理制度和操作流程,消除人員誤操作帶來的安全隱患。

[1] 郭強(qiáng).工控系統(tǒng)信息安全案例[J].信息安全與通信保密,2012(12):68-70.

GUO Qiang.Security Cases in Industrial ControlSystem [J].Information Security and Communications Privacy, 2012(12):68-70.

[2] 張同升.信息系統(tǒng)安全防護(hù)控制策略研究[J].通信技術(shù),2013,46(08):54-56. ZHANG Tong-sheng.Research on Strategy of Security Protection and Control in Information System[J].Communications Technology,2013,46(08):54-56.

[3] FRANZ M.Vulnerability Testing of Industrial Network Devices[EB/OL].(2003-09-12)[2014-01-01].http://blogfranz.googlecode.com/files/franz-isa-devicetesting-oct03.pdf.

[4] KUIPERS D,FABRO M.Control Systems Cyber Security:Defense in Depth Strategies[EB/OL].(2006-05-11)[2014-01-01].http://www.inl.gov/technicalpublications/documents/3375141.pdf.

[5] STAMP J,DILLINGER J,YOUNG W.Common Vulnerabilities in Critical Infrastructure Control Systems[EB/OL]. (2003-07-23)[2014-01-01].http://energy.sandia.gov/ wp/wp-content/gallery/uploads/031172C.pdf.

[6] STOUFFER K,FALCO J,SCARFONE K.Guide to Industrial Control System(ICS)Security[EB/OL].(2011-06-20)[2014-01-01].http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf.

WANG Si-liang(1980-),male,Ph.D., engineer,majoring in information security.

尹一樺(1978—),男,碩士,工程師,主要研究方向?yàn)樾畔踩?/p>

YIN Yi-hua(1978-),male,M.Sci.,engineer,majoring in information security.

Security Protection of Industrial Control System

WANG Si-liang,YIN Yi-hua
(Westone Information Industry,Ltd.,Chengdu Sichuan 610041,China)

The fusion of industrialization and informatization brings enormous security challenge to ICS(Industrial Control System).Different from that of traditional information system,the object of ICS is to provide corresponding security protective measures while ensuring its high usability.This paper firstly analyzes the security requirements of ICS in view of methodology.Secondly,the design principle for security protection of ICS is discussed according to the dimensionality of data security and management security.Finally, the methods for area partition,terminal protection,communication control,safe devices selection and safe operation policies and procedures are described in the paper.In the part of security devices selection,a diagram of typical security protection deployment is explained in detail.

industrial control system;security protection;area partition

TN91;TP393

A

1002-0802(2014)02-0205-05

10.3969/j.issn.1002-0802.2014.02.017

王斯梁(1980—),男,博士,工程師,主要研究方向?yàn)樾畔踩?