等保测评背景下工业控制系统的应对及整改研究
2021-06-03王云龙
王云龙
艾默生过程控制有限公司 上海 201206
引言
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》[2],其中提到“国家实行网络安全等级保护制度”,对涉及国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,进一步要求至少每年一次检测评估。尤其是随着等保2.0于2019年12月01日的实施之后,对工业控制系统应用场景有了特别的扩展说明[3],这更增加了工控系统如何应对等保测评[4]以及如何做出正确且及时的整改的需求。
针对这种需求,本文以Ovation[5]DCS 工控系统为例,为大家解读等保测评背景下工控系统特别是火力发电厂[6]的应对及整改方法,以及应急处置预案[7],这也是作者多年从事工控系统网络安全服务工作的心得体会,仓促成文与大家共享。
1 等级保护相关背景
《信息安全技术网络安全等级保护基本要求》是由“国家市场监督管理总局”和“中国国家标准化管理委员会”联合发布的中华人民共和国国家标准,本文所提及的是GB/T22239—2019[8](以下简称“等保2.0”)。
根据等级保护定级指南(GB/T22240—2008[9])通常讲用于火电厂过程控制的工控系统应该属于等保三级,即信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。核电厂的部分工控系统甚至会被提升到四级,本文着重介绍处于等保三级状态下的工控系统在应对等保测评时应注意的问题。
对于等保三级的工业控制系统来说,等保测评背景下主要要应对的是“8.1安全通用要求”和“8.5 工业控制系统安全扩展要求”。本文会在后面展开讲解针对每一条细节要求应该如何应对和整改。
特别提醒大家注意的是关于等保2.0实施时的一些约束条件,这对客户应对等保测评时提出的一些艰深问题提供了可行的解决办法,因为该项条款在实践中比较重要,所以给大家详细叙述如下:
工业控制系统是对可用性要求较高的等级保护对象,工业控制系统中的一些装置如果实现特定类型的安全措施可能会终止其连续运行,原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响。例如用于基本功能的账户不应被锁定,甚至短暂的也不行;安全措施的部署不应显著增加延迟而影响系统响应时间;对于高可用性的控制系统,安全措施失效不应中断基本功能等。经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时,应进行安全声明,分析和说明此条款实施可能产生的影响和后果,以及使用的补偿措施。
等保测评结果一般分为如下几个档次,≥90分为优,80分~90分为良,70分~80分为中,<70分为差。如果包含一些高风险项的话,很可能直接被判定为不合格。等保测评时其实不光是测系统,还有其他的诸如管理、物理等方面内容,本文主要侧重如何从系统方面,技术层面来应对等保测评。等保测评的形式一般是人员访谈、审核资料、工具测试,测评人员一般不会被允许操作工控系统。
2 信息系统安全模型、技术框架及Ovation系统结构概述
因为等保三级要求适用P2DR安全模型;所以我们简单介绍一下有关这个模型的基本概念,P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,如图1所示,它包括四个主要部分:策略、防护、检测和响应。该模型认为与信息安全相关的所有活动,包括攻击行为、防护行为、检测行为和响应行为等,都需要消耗时间。因此,可以用时间来衡量一个体系的安全性和安全能力。公式如下Et = Dt + Rt - Pt, 其中Et表示暴露时间,Dt表示从入侵者开始发动入侵开始到系统能够检测到入侵行为所花费的时间,Rt表示从发现入侵行为开始,到系统能够做出响应并恢复到正常状态的时间,Pt代表系统在入侵者进行攻击的情况下能够坚持的时间。通过对上述参数的调整,我们的目标是尽量保证Et为负数或者尽可能的小,这样系统就更加安全。
图1 P2DR安全模型
信息保障技术框架,被我国国家973计划项目引进国内,其核心思想是纵深防御战略(Defense in Depth),就是采用多层次的、纵深的安全措施来保障用户信息及信息系统的安全;其核心因素为人员、技术和操作,即人员依靠技术进行操作形成纵深防御,这种防御更强调技术空间属性,逐层增加入侵者深入的难度,进而削减系统被完全攻陷的可能性。
Ovation是一种分散控制系统,其网络结构概述如下:
每个Ovation DCS LAN都是围绕一对交换机构建的容错树。使用两个交换机,并相互连接以实现冗余。由于这对交换机构成了网络树的根,因此它们被创造性地命名为“根”和“备份根”。最简单的DCS可以只由这对交换机组成,并且适用于通常位于单个区域的系统。这些系统通常全部采用CAT 5 UTP电缆连接,但当距离超过100米UTP电缆长度限制或需要额外的EMI/RFI隔离时,光电转换器和光纤电缆可用于远程节点。其他媒体或传输,如无线、光学(激光)和服务提供商网络,必须根据具体情况加以考虑。
3 处于等保三级的工业控制系统应对策略
以Ovation DCS工业控制系统为例,应对等保测评主要有如下几个方向需要考虑:有哪些要求项目可以通过Ovation系统本身的配置修改来得以实现?有哪些要求项目可以通过对系统加固的具体实践,补充一定的缺失软硬件来实现?有哪些要求项目可以通过专门的网络安全系统附加到Ovation系统上得以实现?等保测评的过程中网络安全管理人员的配备和外部专家参与陪考应该如何实现?
现就部分相关检查项目举例说明如下:
3.1 安全通用要求
3.1.1 安全通信网络。
3.1.1.1 网络构架:千兆交换机;ACL,防火墙,白名单;双电源,防火墙冗余可能会影响业务,有bypass功能。
3.1.1.2 通信传输。管理类、业务类均采用加密技术、私有协议,要关闭Telnet,明文传输要关掉。
3.1.1.3 可信验证。可信验证一般不满足,因为要有硬件可信根,可以表述为不适用
3.1.2 安全区域边界。
3.1.2.1 边界防护。按照Ovation和PWCS-C系统拓扑和实际部署,边界就是防火墙;实现了检查,一般应该关闭物理端口,有条件的进行IP/MAC绑定;不适用(N/A),没有无线,主机卫士有外设管理禁用功能,严禁无线。
3.1.2.2 访问控制。尽量精细化,比如Any to Any的策略需要注意少用
3.1.2.3 入侵防范。IDS要放在防火墙之内;APT检测引擎。
3.1.2.4 恶意代码和垃圾邮件防范。不适用,POP3关闭,没有邮件,防钓鱼不适用;应该用防病毒网关,实际用IDS。
3.1.2.5 安全审计。网络审计;测评记录,LAA;电力系统一般不存在访问互联网行为和应用。
3.1.2.6 可信验证。一般不符合,多数银行系统都不符合。
3.5 工业控制系统安全扩展要求
3.5.1 网络构架。36号文明确要求2区和3区,1号机和2号机之间要有逻辑隔离;交给测评单位的测评表应该符合实际配置非常重要。
4 通过工业控制系统本身的配置修改来得以实现的项目
对于Ovation系统来说安全意味着防止非授权使用和行为发生在系统中,这个目标主要通过“域”的概念和为处于“域”中的用户和计算机分配特定“角色”来实现的。
“角色”是用以控制用户和计算机具体行为和功能的一系列规则的集合。规则是一个简单的语句,它定义了软件运行时行为的一个方面。当进行安全规划时,Ovation的系统管理员可以使用默认的“角色”也可以自己创建自定义的“角色”。当某一个用户和计算机被赋予了某种“角色”后,它所能执行的任务相应的也就确定了。
组策略是Microsoft组策略规则的集合,这些规则定义用户或计算机可以访问的桌面和系统功能。
在计划安全性时,请记住,在Ovation系统中执行某些操作的能力取决于两个因素:运行Ovation应用程序的Windows会话。这基于分配给用户/计算机的组策略。Windows会话包括登录用户,登录计算机和适用的控制台(即,用户是在计算机上本地登录还是通过远程桌面服务远程登录)。Windows会话所属的Ovation角色。这基于分配给用户/计算机的Ovation角色策略。
建立安全系统的最佳做法:
为每个Ovation系统采用标准的防火墙配置,以防止有害数据从外界进入控制系统。
正式制定在Ovation系统上加载应用程序和软件的计划,以便只有指定的用户(管理员)才能在系统上安装软件。
分配角色,以便可以在整个Ovation系统中执行某种功能。
指定一个以上的管理员,以确保安全的延续,以防万一原有管理员不可用。
定义冗余域控制器,以确保登录是动态的,而不是基于的安全数据的缓存。
使用备份方案和程序,确保在系统中断时,系统数据可以恢复。
使用病毒检测软件来帮助防止软件病毒的传播对系统的破坏。
使用 Microsoft 提供的安全补丁,以确保您的 Windows 操作系统的安全。这些补丁程序已由 Emerson 测试过,以确保与 Ovation 软件的兼容性。从艾默生用户组网站访问这些经过测试的补丁程序,然后将补丁程序下载到计算机上。
如果你计划在Ovation系统中使用远程和本地控制台设计,请确保你有足够的远程控制台安全规定。
制定一项计划,详细说明如何实施安全。
4.1 RADIUS SERVER
远程认证拨入用户服务(Remote Authentication Dial In User Service,RADIUS)是一种客户端-服务器协议和软件程序,它使远程访问客户端能够与中央服务器进行通信,以验证拨入用户的身份,并授权他们访问所请求的系统或服务。
在Windows Server中,网络策略服务器(NPS)是微软对RADIUS服务器的实现。网络策略服务器(NPS)允许您为连接请求认证和授权创建和执行组织范围的网络访问策略。
作为RADIUS服务器,NPS对多种类型的网络访问进行集中连接认证、授权和审计,包括无线、认证交换机、拨号和虚拟专用网(VPN)远程访问以及路由器到路由器的连接。
NPS需要一些额外的配置来。处理来自RADIUS客户端的连接请求,如控制器,路由器等。对活动目录账户执行认证和授权。
以下步骤提供了将NPS配置为RADIUS服务器的概述,该服务器可以接受、验证和授权来自RADIUS客户端的连接请求。
在其默认域中注册NPS
禁用或删除默认策略
创建连接请求策略
创建网络策略
添加一个控制器作为RADIUS客户端
自定义RADIUS共享秘密(可选)
共享秘密是一个文本字符串,作为主机之间的密码。RADIUS共享秘密用于保护RADIUS服务器和RADIUS客户端之间的通信。在Ovation中,可以为每个控制器定制RADIUS共享秘密。
4.2 Security Whitepapers
在Ovation交换机和路由器上更改访问权限并启用密码
为Ovation网络中使用的交换机和路由器生成的配置具有默认访问权限和启用密码,两者都是相同的。该密码是众所周知的,并且与Ovation网络中使用的所有Cisco交换机的密码相同。
为了解决有关Ovation系统至关重要的网络设备的安全问题,建议客户更改访问权限和启用密码。下面介绍更改密码的过程。
在“devicename>”提示符下,输入“enable”和出现提示时的enable密码。提示将变为“ devicename#”。
输入“ conf t”。提示将变为“ devicename(config)#”。
输入“ line vty 0 15”。提示将更改为“ devicename(config-line)#”。
要将密码更改保存到非易失性配置,请输入“ write mem”
建议将设备配置更改完全记录在配置模式下输入的文件中。每个设备应保留一个单独的文件。在行首的感叹号被命令解析器视为注释,并被忽略。这可用于记录更改。以下是如何管理配置更改的示例。
5 系统加固的具体实践
加固是通过减少系统的脆弱性来保护系统的过程。系统执行的功能越多,其漏洞范围就越大。Ovation系统加固的目的是通过配置来改善其安全状态,在不损害Ovation软件的功能的前提下,某些Windows策略设置可以与行业最佳实践保持一致。安装Ovation并对各个站点进行了首次加载和配置下装之后,应该执行加固。这样可以尽可能地满足等保2.0的各项要求,从而提高总体评分。
6 专门的网络安全系统附加到工业控制系统上的实践
提供电子安全管理功能的硬件和软件工具的集合。 PWCS应用程序旨在增强和管理分布式控制系统(DCS)的网络安全性,而不会中断受控过程。其主要的功能模块有工业防火墙、网络流量审计、入侵监测、主机卫士、多因子认证、安全U盘、日志审计与分析系统、统一安全管理平台等,这些系统能够更好地对标等保2.0的相应要求,是应对等保测评的重要抓手,本文就不做展开阐述了,有兴趣的读者可以找寻相应资料进行进一步研究。
7 结束语
本文主要以Ovation分散控制系统(DCS)为例讲述了等保测评背景下工业控制系统的应对及整改方法。包括等级保护相关背景、信息系统安全模型、技术框架及Ovation系统结构、处于等保三级的工业控制系统应对策略、通过工业控制系统本身的配置修改来得以实现的项目、系统加固的具体实践、通过专门的网络安全系统附加到工业控制系统上得以实现的项目。希望为读者在应对等保2.0评估的过程中提供帮助,并促进最终评分的提高,顺利通过评估。甚至对近些年来越来越频繁的诸如护网行动之类的网络安全演习起到帮助作用。
8 等保的改进建议及前景展望
基于角色的访问控制(Role-based Access, RBAC),是否可以同强制访问控制策略一样被引入等保2.0规范中,这样可以拓宽访问控制方面的覆盖度,请行业专家参与讨论。