工业控制系统安全防护体系研究
2020-06-09许光泞
许光泞
(中国电子科技集团公司 第三十二研究所,上海 201808)
随着计算机和网络技术以及物联网的快速发展,在工业化和信息化“两化”融合的行业发展需求下,工控网络与办公网络的互联互通是一个必然趋势。工业控制系统正快速地从封闭、孤立的系统走向互联,包括与传统IT系统互联,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,广泛地采用以太网作为网络基础设施。工业生产企业为了提高生产效率、管理效率,大力推进工业控制系统自身的集成化、集中化管理,使得工业控制网络与办公网、互联网也存在千丝万缕的联系。
工业控制系统与其他网络系统的互联互通,拓展了工业控制的发展空间,同时也带来了工业控制系统的信息安全等问题。工业控制系统在建设之初时主要考虑的是各自系统的可用性,而系统之间互联互通的安全风险和防护建设考虑的不多。工业控制系统的安全关系到各工业行业的生产安全。如何保证开放性越来越广的生产控制网络的安全性,是目前摆在用户及行业自动化制造商面前的难题。
1 工业控制系统信息安全的内涵
1.1 工业控制系统信息安全的定义
IEC 62443针对工业控制系统信息安全的定义[1]是: 保护系统所采取的措施;能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失;基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止;防止对工业控制系统的非法或有害入侵,或者干扰其正确和计划的操作。
1.2 工业控制系统与传统IT系统的不同
最初的工业控制系统与传统IT系统并无相似之处,但随着工业控制系统与其他系统的互联互通,广泛的使用低成本的互联网协议设备取代专有的解决方案,它们已经开始类似于IT系统了。但是,工业控制系统是工业领域的生产运行系统,而IT系统通常是信息化领域的管理运行系统,从信息安全目标这一根本原则来看,传统的CIA原则(机密性、完整性和可用性)已不再适用于工业控制系统,工业控制系统的安全目标应遵循AIC(可用性、完整性、机密性)等原则[2]。工业控制系统与IT系统的综合比较见表1所列[3]。
表1 工业控制系统与IT系统的比较
续表1
2 工业控制系统的安全现状及安全事件
2.1 工业控制系统的安全现状
工业控制系统安全不是“老系统碰上新问题”,而是传统信息安全问题在工业控制领域的延伸。早期的工业控制系统信息安全问题主要发生在上位机系统、工程师站、管理员或操作员站,因为这些设备的使用环境与传统IT系统几乎没有差别,使用通用的硬件平台和通用的操作系统,非常容易感染病毒,遭受黑客的攻击。随着“两化”融合加快,工业控制系统面临比传统 IT 系统更为严峻的内外部威胁: 非法外部组织的潜在攻击威胁;个人移动电脑、智能移动终端、U盘等设备的不受控接入;内部人员的误操作和恶意操作行为等。在智能制造时代,随着接入信息系统的增加,工业控制系统的安全问题体现得更加突出。工业控制系统的安全问题主要体现在以下几个方面:
1)工业控制系统涉及的范围广泛,安全工作量呈现指数型上升。以往传统的信息安全大多数集中在传输层、数据交换层以及数据应用层等技术层面,而工业控制系统安全除了涉及上层的管理层,还包括系统监控层、数据交换传输层、设备现场过程控制层,工控安全更侧重于工业过程控制层。随着工业控制系统范围的扩大以及监控重心的转移导致了安全复杂性的指数级上升[4]。
2)传统的安全手段使用受限。由于工业控制系统的安全目标与传统IT系统的目标不同,导致一些原来对IT系统非常有效的安全手段在工业控制系统中并不适用,需要开发新的技术体系来应对日益复杂的安全挑战。例如对系统进行安全扫描,由于很多工业控制系统的网络协议对时延非常敏感,如果硬扫描,则可能会导致整个网络瘫痪,限制了安全扫描在工业控制系统中的应用。
3)针对工业控制系统的攻击更加具有针对性和目的性,攻击的目标由系统的管理层设备变为现场控制层设备。“震网”病毒是世界上首个专门针对工业控制系统的病毒,打破了人们一直认为的“病毒不会感染现场控制设备”的理念,打破了“PLC与RTU不是运行在现代的操作系统之上,没有漏洞”的误区。
4)工业控制信息应用系统几乎是传统IT信息系统的拷贝,工业控制系统大量采用IT通用软硬件,如PC服务器和终端产品、操作系统和数据库系统,但安全防护远远落后于传统IT系统的安全防护。由于工业控制系统兼容性的问题,系统补丁和杀毒软件的安全措施不到位,还是以隔离为主要防护手段。
2.2 工业控制系统的重大安全事件
近年来,各个工业行业的工业控制系统信息安全事故频发,对企业生产运营、企业名誉甚至对社会和国家层面都造成了重大影响。工业控制系统的重大网络安全事件见表2所列。
表2 重大工业网络安全事件
3 工业控制系统模型
根据ANSI/ISA-99: 2007[5-7]标准、GB/T 20720—2019《企业控制系统集成》、IEC62264整理出的工业控制系统分层参考模型如图1所示。
图1 工业控制系统分层参考模型示意
在工业控制系统参考模型中,现场执行层是实际的物理过程,属于物理空间,包括各种不同类型的生产设施,典型设备包括直接连接到过程和过程设备的传感器和执行器等。由于该层的物理空间过程对实时性、完整性等要求导致工业控制系统特有的特点和安全需求。
现场控制层,主要包括: 分散型控制系统(DCS),安全仪表系统(SIS),可编程控制器(PLC)以及其他控制设备等,控制各种类型的机械或生产过程的控制设备,同时实现工厂控制系统中报警和安全联锁功能。现场控制层和现场执行层是典型的实时系统。
生产监控层,是以计算机为基础的生产过程控制与调度自动化系统,由数据采集与监控系统、实时数据库和服务器组成,实现人机交互、组态软件、实时数据管理以及各类控制任务的规划与监控,它是弱实时系统。
运行管理层,主要包括: 企业资源计划系统、供应链管理和客户关系管理系统、制造执行系统等,它是非实时的通用系统,负责管理生产所需最终产品的工作流,包括运行/系统管理、具体生产调度管理、可靠性保障等。
规划决策层,包括企业组织机构管理工业生产所需业务相关活动的功能。企业规划决策系统属于传统IT管理系统的范畴,系统中使用的都是传统的IT技术、设备等,在当前工业领域中企业管理系统等企业系统同工业控制系统之间的连接和联系越来越多。
4 工业控制系统信息安全防护体系
4.1 工业控制系统网络安全防护理念
国内外的工控网络安全防护理念经历了以下几个阶段过程:
1)强调隔离。在物理隔离的理念基础上强调隔离。一般使用网关、网闸、单向隔离等设备来实现,把被保护的对象与其他设备或系统隔离。但是被隔离系统在面对现代高端持续性的攻击APT(advanced persistent threat)中,单纯使用隔离技术就显得力不从心了。
2)纵深防御体系[8]。工业控制系统是一个复杂的系统,仅依赖于单一的安全技术和解决方案无法满足其信息安全需求,必须综合使用多种安全技术来提升系统的整体防御能力。基于此目的,美国国土安全部DHS提出了工业控制系统“纵深防御”战略,将工业控制网络划分为不同的安全区[9],部署防火墙、入侵检测等多种安全措施,形成整体防护能力。“纵深防御”体系得到了传统信息安全厂商的大力推崇,但是在实现过程中,大多数项目演变为信息安全产品的简单堆砌,并不能完全适应工业网络安全的特点。
3)由工业控制系统内部建立的主动防御体系。该体系主要被工控厂商所推崇,通过基础硬件创新来实现,针对工业控制网络的特点,基于数字证书的身份认证、融合可信计算技术的工业控制器等一系列信息安全主动防护能力来构建工业信息安全的主动防御体系[10]。结合功能安全与信息安全的冗余容错与可信增强开发,对控制装备与软件平台可信增强、软硬件多变体生成、运行时动态实现、基于指令序列的设备状态检测、层次化工控威胁态势感知融合以及近年来出现的拟态安全防御,都是属于工业控制系统网络安全主动防御的范畴。
4)以攻为守的国家战略支持。以美国、以色列为代表,在国家层面注重攻击技术的研究、实验、突破和攻防演示实验的建设,以攻击技术的提高,带动防御技术的提高,以攻击威慑力换取安全性。中国也制定了一系列的安全法规和制度来保障重大工业控制系统的安全,对工业控制系统的网络安全进行监管,大力推进依法治网。
4.2 工业控制系统安全防护技术
从整个工业控制系统架构上看,工业控制系统的网络体系包括服务器、终端、前端的实时操作系统,同样涉及物理层、网络层、主机层、应用层等传统信息安全问题。为保证工业控制系统安全稳定运行,工业控制系统的安全防护必须达到通信可控、区域隔离、报警追踪这三个目标。工业控制系统中的各种安全防护技术都是围绕这三个目标来实现的。
4.2.1 工业控制系统防火墙技术
防火墙是基于访问控制技术,它可以保障不同安全区域之间进行安全通信,通过设置访问控制规则,管理和控制出入不同安全区域的信息流,保障资源在合法范围内得以有效使用和管理。根据所建立的“区域”与“管道”模型,工业防火墙一般部署在关键数据通路上,对不同“区域”之间的数据流进行访问控制,对工业通信协议进行深度过滤检查,对违反安全规则的网络行为进行实时报警,并且将异常事件上传至异常事件数据库。工业防火墙的工作原理如图2所示。
图2 工业防火墙工作原理示意
工业防火墙中一般用到的规则是“白名单”规则,即可以设置允许规则,只有符合该规则的数据流才能通过,其他的任何数据流都可以被过滤掉,这样就保障了资源的合法使用。通过工业防火墙可以划分控制系统安全区域,对安全区域进行隔离保护,保护合法用户访问网络资源。此外,工业防火墙还支持控制协议深度解析功能,支持异常报文过滤、阻断、报警、审计等各类功能。如解析Modbus,DNP3等应用层异常数据流量,动态追踪OPC端口,保护关键寄存器和操作,还可以根据实际设备配置参数的合理范围,监控和分析实际的配置指令,进行报警和阻断等。
4.2.2 入侵检测/防御技术
工业控制系统信息安全防护一般会在系统边界处布置入侵检测/防御系统,它是在检测风险和攻击行为(包括已知和未知攻击)的基础上,根据规则有效地阻断攻击的硬件或软件系统。一般利用包过滤、状态包检测和实时入侵检测等手段来发现工业控制系统的网络流量是否正常,应用于工业控制领域的入侵检测技术随着信息技术的发展而不断发展。现在的入侵检测除了能实现拒绝服务、命令注入、响应注入等检测[11]外,还能实现角色管理、远程管理等功能[12],除了传统的入侵检测技术外,还融合了大数据分析方法[13]和机器学习模型[14]。
4.2.3准入控制技术
准入控制技术主要针对工业控制系统中工程师站、操作员站等终端,服务器等设备采取相关的准入控制。准入控制包括设备准入、应用软件准入、用户识别及用户权限管理等。在实际操作设备和计算机时,需要使用指定的笔记本、U盘等,管理人员只信任可识别的身份[15],未经授权的行为将被拒绝。只有可信任的设备,才允许接入控制网络;只有可信任的命令,才能在网络上传输;只有可信任的软件,才能在终端或服务器上执行;对没有安装杀毒软件的终端或服务器禁止接入控制网络。
4.2.4主动防御技术
工业控制系统中的工业防火墙技术、入侵检测技术等,都属于静态的被动防御技术,在一定程度上满足了对外部网络威胁的抵御需求,但针对未知的威胁和来自于内部的威胁却难以发挥作用。为解决信息安全防护在工业控制系统中存在的问题,一些学者和厂商提出了主动防御理念,出现了“改变游戏规则”的网络安全防御技术、移动目标防御(MTD)等,提出了控制装备内建安全、拟态防御、自重构可信赖、可信计算等创新性的主动防御技术,例如采用可信计算和数字证书体系作为主动防护的基础[10],解决设备固件更新阶段的合法性和完整性度量,进一步赋予工业控制系统控制层的核心防护能力。
4.2.5安全审计
在对工业协议报文深度解析的基础上,结合实际的工艺和设备的安全配置参数,监测工业控制系统的异常行为,可以发现某些参数超限、命令执行方式异常等问题,产生报警信号,提醒操作人员采取适当的措施解决异常。此外还可以记录各种用户的操作日志以及软件的运行日志数据,当发生异常时,提供分析异常的依据。
4.2.6自主可控技术
目前国内工业控制系统中大量核心设备依然依赖进口,不能实现自主可控,需要重点构建从安全芯片、安全嵌入式操作系统、嵌入式安全计算平台,到控制设备的自主可控关键产品,融合功能安全与信息安全,实现实时性、可靠性、安全性的统一。工业企业在有条件的情况下尽量采用自主工业控制系统和设备;在条件暂不具备的情况下,尽量在应用层实现安全加固,提升安全免疫能力。
4.3 工业控制系统安全防护体系结构
工业控制系统的信息安全不是传统信息系统的信息安全叠加,必须结合工业控制系统自身的特点,在被动防御机制和纵深防护机制的基础上,构建多层防御体系,融入主动防御技术。工业控制系统信息安全多层防护体系结构如图3所示。
图3 工控系统信息安全多层防护体系结构示意
工业控制系统的信息安全多层防护体系结构是在工业控制系统模型的基础上构建的,纵向分层,横向分域。纵向分成现场执行层、现场控制层、生产监控层、运行管理层和规划决策层,横向按不同的车间、不同的生产线进行逻辑隔离,分成不同的安全域。不同层和不同域之间由工业防火墙来实现安全隔离防护。在各层之间的边界上,实施链路加密、入侵检测和威胁评估,收集各类异常信息,异常信息汇总到安全监测中心,实现安全监测审计。
针对控制设备主要实现设备的自主可控、设备的准入控制、构建软硬件的可信计算、设备安全加固、介质安全管理等。在生产监控层和现场控制层主要关注控制器、存储、操作系统内核、基本安全算法与协议等基础软硬件的完整可信[16]、自主可控,基于国产密码算法和技术进行安全可信平台建设。针对工业控制系统中使用的IT设备和软件,部署实施传统IT系统的信息安全手段。
5 结束语
“震网”病毒事件为全球工业控制系统安全问题敲响了警钟,促使国家和社会逐渐重视工业控制系统的信息安全问题。工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施,在信息攻防战的阴影下针对工业控制系统的攻击事件层出不穷,对企业生产运营、企业名誉甚至对社会和国家层面都造成了重大影响。本文主要研究了工业控制系统的信息安全内涵,阐述了工业控制系统的安全现状,分析了工业控制系统信息安全防护技术,在被动防御机制和纵深防护机制的基础上,构建多层防御体系,融入主动防御技术,提出了工业控制系统信息安全多层防护体系结构。工业控制系统的信息安全不是传统信息安全的漏洞扫描、打补丁、防病毒等安全手段的叠加,需要结合生产安全、功能安全、信息安全等多方面要求统筹开展工业控制系统安全防护,提升工业控制系统用户安全意识。