工業(yè)控制系統(tǒng)全生命周期網(wǎng)絡(luò)安全防護研究

引言

工業(yè)控制系統(tǒng)是由計算機和工業(yè)過程控制部件組成的自動化生產(chǎn)過程控制系統(tǒng),利用相關(guān)的電子電氣、機械、軟件等設(shè)備來控制生產(chǎn)相關(guān)設(shè)備,按照預(yù)定的規(guī)律運行,以保證生產(chǎn)出合格的產(chǎn)品。目前,工業(yè)控制系統(tǒng)被運用到智慧電網(wǎng)、智慧水利、智慧能源、智慧交通等涉及國計民生的重要領(lǐng)域,用于監(jiān)控工業(yè)流程,提升工業(yè)領(lǐng)域的智能化水平[1]。

工業(yè)控制系統(tǒng)受到網(wǎng)絡(luò)入侵攻擊或者破壞將會導(dǎo)致工業(yè)生產(chǎn)中斷甚至停工,不僅會造成生產(chǎn)效率下降,還會導(dǎo)致安全生產(chǎn)事故,嚴重的甚至?xí)?dǎo)致商業(yè)機密泄露,給生產(chǎn)企業(yè)帶來不可估量的風(fēng)險,如2010年“震網(wǎng)病毒”(stuxnet)事件[2],2015年烏克蘭電網(wǎng)遭受攻擊引發(fā)大面積停電事件[3]。工業(yè)控制系統(tǒng)的安全更關(guān)系到國家的戰(zhàn)略安全,如何保證工業(yè)控制系統(tǒng)的安全,已引起國家相關(guān)部門的高度重視[4]。

因此,為應(yīng)對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險,必須對工業(yè)控制系統(tǒng)進行網(wǎng)絡(luò)安全防護研究。

1工業(yè)控制系統(tǒng)結(jié)構(gòu)

如圖1所示,工業(yè)控制系統(tǒng)一般為4層系統(tǒng)結(jié)構(gòu)。

0層:過程接口層,包括由傳感器、變送器、限位開關(guān)、智能儀表以及現(xiàn)場總線系統(tǒng)等組成的測量設(shè)備,也包括由電磁閥、氣動開關(guān)閥、調(diào)節(jié)閥、泵、風(fēng)機等組成的執(zhí)行器設(shè)備。主要功能為工藝過程參數(shù)測量、控制指令執(zhí)行。

1層:自動控制和保護層,包括控制機柜、服務(wù)器、信號采集模塊、信號輸出模塊、控制處理器模塊、網(wǎng)絡(luò)通信模塊、信號隔離模塊、信號分配模塊、電源模塊等設(shè)備。主要功能為工藝過程參數(shù)測量處理和計算、控制聯(lián)鎖邏輯執(zhí)行、控制指令處理和控制輸出等。

2層:操作和信息管理層,包括操作員站、工程師站、大屏幕等設(shè)備。主要功能是為操作人員監(jiān)督工廠運行狀態(tài)提供操作信息顯示和設(shè)備狀態(tài)顯示,并為操作人員提供設(shè)備控制操作接口。

3層:全廠技術(shù)管理層,包括生產(chǎn)調(diào)度系統(tǒng)、應(yīng)急指揮管理系統(tǒng)。主要功能為生產(chǎn)執(zhí)行管理、生產(chǎn)計劃管理、應(yīng)急事故管理等。

從圖1可以看出,工業(yè)控制系統(tǒng)的功能和結(jié)構(gòu)與IT系統(tǒng)不同。另外,工業(yè)控制系統(tǒng)的安全性并不遵循IT系統(tǒng)信息安全三要素(機密性、完整性和可用性),對工業(yè)控制系統(tǒng)而言可用性至關(guān)重要,其次才考慮機密性[5],這種不同造成了IT系統(tǒng)的信息安全防護方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護要求。

2工業(yè)控制系統(tǒng)安全等級劃分

對工業(yè)控制系統(tǒng)進行安全等級劃分是實施網(wǎng)絡(luò)安全防護的前提。工業(yè)控制系統(tǒng)安全等級劃分一般應(yīng)依據(jù)控制系統(tǒng)的結(jié)構(gòu)、各部分實現(xiàn)的功能的重要程度、責(zé)任主體、系統(tǒng)邊界、受到安全威脅后對責(zé)任主體和公眾造成的損害程度進行劃分。

根據(jù)圖1中工業(yè)控制系統(tǒng)結(jié)構(gòu),0層、1層和2層在工業(yè)生產(chǎn)中完成相對獨立的功能,應(yīng)獨立劃分安全等級。根據(jù)執(zhí)行功能的重要程度,對于執(zhí)行安全保護和安全重要功能的系統(tǒng)劃分為高的安全等級,對于執(zhí)行常規(guī)的生產(chǎn)過程控制功能的系統(tǒng)劃分為低的安全等級。3層作為生產(chǎn)技術(shù)管理層,應(yīng)獨立劃分安全等級。

安全等級的劃分還應(yīng)考慮工業(yè)控制系統(tǒng)受到破壞后對責(zé)任主體造成的損害和對公眾造成的損害。

工業(yè)控制系統(tǒng)應(yīng)依據(jù)安全等級劃分,實行分級防護,不同安全等級的工業(yè)控制系統(tǒng)分別實施不同的安全防護措施。

3全生命周期的網(wǎng)絡(luò)安全防護

工業(yè)控制系統(tǒng)包括軟件和硬件部件,生命周期可分為如下五個階段:需求階段,設(shè)計階段,制造、安裝和調(diào)試測試階段'運行階段'退役階段。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護應(yīng)從需求階段到退役階段貫穿整個系統(tǒng)生命周期[6]'并不斷迭代。在不同的階段由不同的責(zé)任主體實施網(wǎng)絡(luò)安全防護。在需求階段'實施工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護的責(zé)任主體是工業(yè)控制系統(tǒng)的設(shè)計方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商。在設(shè)計階段'實施網(wǎng)絡(luò)安全防護的責(zé)任主體是設(shè)計方和系統(tǒng)供貨商。在制造、安裝和調(diào)試測試階段'實施網(wǎng)絡(luò)安全防護的責(zé)任主體是設(shè)計方、加工制造商、供貨商、安裝和調(diào)試方。在運行階段'實施網(wǎng)絡(luò)安全防護的責(zé)任主體是運營和維護方。在退役階段'實施網(wǎng)絡(luò)安全防護的責(zé)任主體是業(yè)主方和設(shè)備拆除方。

3.1需求階段網(wǎng)絡(luò)安全防護

本階段的責(zé)任主體是工業(yè)控制系統(tǒng)的設(shè)計方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商。各個責(zé)任主體應(yīng)建立網(wǎng)絡(luò)安全計劃'內(nèi)容至少應(yīng)包括組織結(jié)構(gòu)、責(zé)任分工、風(fēng)險和脆弱性識別、網(wǎng)絡(luò)安全縱深防御策略以及防護措施的總體說明。網(wǎng)絡(luò)安全計劃在需求階段建立'貫穿整個項目生命周期'應(yīng)定期評估并及時升版'保持網(wǎng)絡(luò)安全計劃的有效性。

需求階段要進行風(fēng)險和脆弱性識別和分析。設(shè)計方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商應(yīng)確定保護對象'結(jié)合外部網(wǎng)絡(luò)安全形勢和對象的結(jié)構(gòu)特征'評估保護對象存在的漏洞'分析存在的潛在風(fēng)險和威脅'針對每一項潛在風(fēng)險和威脅制定初步的風(fēng)險應(yīng)對措施。

需求階段要進行安全等級劃分'對工業(yè)控制系統(tǒng)的每一部分確定網(wǎng)絡(luò)安全等級'不同的網(wǎng)絡(luò)安全等級對應(yīng)不同的網(wǎng)絡(luò)安全防護要求。

在風(fēng)險分析和安全等級劃分成果的基礎(chǔ)上'確定詳細的網(wǎng)絡(luò)安全防護需求。

3.2設(shè)計階段網(wǎng)絡(luò)安全防護

本階段的責(zé)任主體是設(shè)計方和系統(tǒng)供貨商。將網(wǎng)絡(luò)安全防護需求作為輸入'通過軟件、硬件和系統(tǒng)的手段構(gòu)建防護措施使保護對象免受網(wǎng)絡(luò)安全威脅。防護措施可分為兩大類:行政措施和技術(shù)措施。

行政措施通過法規(guī)、制度、工作規(guī)范等約束網(wǎng)絡(luò)安全防護相關(guān)人員的行為'從而減少風(fēng)險的發(fā)生。

技術(shù)措施包括加固措施和防范措施。加固措施

消除保護對象自身的漏洞'關(guān)閉不必要的功能和接口'提高對網(wǎng)絡(luò)安全威脅的抵御能力。防范措施通過風(fēng)險識別和隔離'盡早探知風(fēng)險并采取措施'同時采用隔離手段減少保護對象暴露在風(fēng)險威脅環(huán)境下的概率。

主要的防護措施有:

1)提供安全的物理環(huán)境:為安裝工業(yè)控制系統(tǒng)設(shè)備的廠房提供所要求的適宜的溫度、濕度和能源供應(yīng)。防火、防盜、防自然災(zāi)害'防止非授權(quán)人員隨意進入。

2)提供安全的通信網(wǎng)絡(luò):對工業(yè)控制系統(tǒng)進行分區(qū)域控制。特別是大型工業(yè)控制系統(tǒng)'應(yīng)根據(jù)功能和責(zé)任主體劃分不同的安全域'不同的安全域之間設(shè)置隔離設(shè)備'限制網(wǎng)絡(luò)安全風(fēng)險威脅的擴散范圍。隔離工業(yè)控制系統(tǒng)與其他系統(tǒng)之間的網(wǎng)絡(luò)'如圖2所示'對于與工業(yè)控制系統(tǒng)之間有雙向數(shù)據(jù)交換的其他第三方系統(tǒng)采用防火墻等隔離設(shè)備隔離;對于3層生產(chǎn)技術(shù)管理系統(tǒng)采用單向的隔離設(shè)備'使數(shù)據(jù)只能由工業(yè)控制系統(tǒng)向3層傳輸。另外'采用訪問控制措施'限制非授權(quán)的網(wǎng)絡(luò)和設(shè)備接入工業(yè)控制系統(tǒng)的通信網(wǎng)絡(luò)。

3)提供安全的計算環(huán)境:采用身份鑒別防止非授權(quán)人員和系統(tǒng)的訪問。采用防病毒措施和入侵檢測'防范惡意代碼。設(shè)計數(shù)據(jù)備份和恢復(fù)系統(tǒng)'在工業(yè)控制系統(tǒng)受到破壞后能迅速恢復(fù)運行。

4)加強安全建設(shè)管理:工業(yè)控制系統(tǒng)由眾多復(fù)雜部件構(gòu)成'應(yīng)加強對工業(yè)控制系統(tǒng)供貨商和分包商的管理'選擇規(guī)范的、有資質(zhì)的分包商。規(guī)范供應(yīng)鏈的管理,避免采購有設(shè)計缺陷和漏洞的設(shè)備。

5)采用縱深防御措施:設(shè)計多重防御手段,使重要的關(guān)鍵工業(yè)控制系統(tǒng)設(shè)備處于防御屏障的核心。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護對工業(yè)控制系統(tǒng)來說是非功能需求,往往與功能需求存在沖突。因此,在設(shè)計階段應(yīng)予以重點考慮和關(guān)注,進行綜合權(quán)衡和協(xié)調(diào)。

3.3制造、安裝和調(diào)試測試階段網(wǎng)絡(luò)安全防護

制造、安裝和調(diào)試測試由專業(yè)人員完成,工作人員只有獲得授權(quán)才能進入廠房進行設(shè)備作業(yè),不同的人員應(yīng)分區(qū)域授權(quán)作業(yè)。

制造和安裝需要確保工業(yè)控制系統(tǒng)和設(shè)備按照預(yù)先的設(shè)計進行加工、制造和集成,避免不經(jīng)意間引入額外的缺陷。調(diào)試測試通過具體的驗證手段核實最終交付的系統(tǒng)能夠防御所預(yù)期的網(wǎng)絡(luò)安全風(fēng)險,達到預(yù)期的網(wǎng)絡(luò)安全等級,具備了預(yù)期的網(wǎng)絡(luò)安全防護能力。

3.4運行階段網(wǎng)絡(luò)安全防護

本階段的責(zé)任主體是運營和維護方。進入運行階段后,工業(yè)控制系統(tǒng)具備了所設(shè)計預(yù)期的網(wǎng)絡(luò)安全防護能力。通過行政手段和技術(shù)手段限制了非授權(quán)人員的訪問控制,但維護人員仍需關(guān)注網(wǎng)絡(luò)安全防護威脅。

在運行階段,系統(tǒng)的維護人員應(yīng)定期對工業(yè)控制系統(tǒng)進行巡視和檢測,檢查系統(tǒng)的非授權(quán)訪問情況和遭受的網(wǎng)絡(luò)攻擊和破壞。運行階段周期長,隨著新的網(wǎng)絡(luò)安全威脅的出現(xiàn)以及未被發(fā)現(xiàn)的漏洞的暴露,當(dāng)初設(shè)計的網(wǎng)絡(luò)安全防御措施可能不能防御新的風(fēng)險,因此,需要基于當(dāng)前的網(wǎng)絡(luò)安全形勢和新暴露的漏洞缺陷進行風(fēng)險分析、識別和評估,并對工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險采取補救措施。

3.5退役階段網(wǎng)絡(luò)安全防護

本階段的責(zé)任主體是業(yè)主方和設(shè)備拆除方。網(wǎng)絡(luò)安全防護與安裝階段相同,退役作業(yè)工作人員只有獲得授權(quán)才能進入廠房進行設(shè)備作業(yè),不同的人員應(yīng)分區(qū)域授權(quán)作業(yè)。

退役作業(yè)完成后應(yīng)清除其他在運行系統(tǒng)與退役系統(tǒng)之間的訪問控制接口和授權(quán),同時清除退役系統(tǒng)中的運行數(shù)據(jù)和敏感數(shù)據(jù)。另外,需對在運行系統(tǒng)

進行風(fēng)險分析、識別和評估,并決定是否對在運行系統(tǒng)采取補救措施。

4結(jié)束語

本文分析了典型工業(yè)控制系統(tǒng)結(jié)構(gòu),指出了傳統(tǒng)IT系統(tǒng)的信息安全防護方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護要求的原因,簡要說明了工業(yè)控制系統(tǒng)安全等級劃分的方法和劃分依據(jù),并從工業(yè)控制系統(tǒng)全生命周期的角度出發(fā),對于每一個生命周期階段,分別提出了網(wǎng)絡(luò)安全防護方案。