(710054 西安尚易安华信息科技有限责任公司 陕西 西安)
【摘 要】工业控制系统广泛应用于社会生产活动中,其安全性直接关系到国家安全和社会稳定。工业控制系统作为等级保护中一类重要的保护对象,工业控制系统定级的准确性,关系到工业控制系统的安全防护措施的完备性。本文从工业控制系统定级入手,分析工业控制系统等级测评实施的关键环节及技术。
【关键词】等级保护对象;安全等级测评;测评指标1引言工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中,据不完全统计,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。
为了工业控制系统等关键信息基础设施的网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,我国制定和颁布了《中华人民共和国网络安全法》,明确“国家实行网络安全等级保护制度”,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 [1] ”
定级是开展网络安全等级保护工作的基础。本文通过深入分析工业控制系统的特点,对工业控制系统定级进行研究,给出工业控制系统定级所需考虑的一些因素和可行的参考建议,最终给出工业控制系统测评实施需关注的关键环节和内容,从而确保工业控制系统等级测评的准确性。
2工业控制系统的特点
工业控制系统有许多区别传统信息技术系统的特点,包括安全功能要求、信息安全需求、通信协议、管理方式以及关注点等内容。
2.1工业领域通常具有如下的安全通常可分为功能安全(Functional Safety)、物理安全(Physical Safety)和信息安全(Security)三类。其中功能安全关注当失效或故障发生时,设备或系统必须仍能保持安全条件或进入安全状态。在工业控制系统上增加信息安全防护能力,必然会对可用性、实时性和安全性等功能安全相关特性造成影响 [2] 。对于工业控制系统的安全而言,关注的焦点不应只是在信息安全(Security),保证信息本身的机密性和完整性,更为重要的是要关注工控系统安全问题可能对被控设备、乃至整个生产系统的破坏(本质安全),关注工控系统自身的功能安全(Safety)。
2.2工业控制系统信息安全是针对工业控制系统的信息保护而言的,其信息安全需求包括,可用性、完整性、保密性的需求,其与信息技术信息安全对这些需求的优先级是有区别的 [3] ,具体表现为工业控制系统为了保证工业过程的可靠、稳定,对可用性的要求达到了极高的程度。在工业控制系统中,系统的可用性直接影响的是企业的生产,生产线的停机、简单的误操作都有可能导致重大的经济利益损失,在特定的环境下,甚至可能危害人员生命,造成环境污染。而对于传统信息系统更加关注系统的保密性,确保内部重要敏感信息泄露。
2.3工控通信协议作为工控设备与应用、设备与设备之间沟通的一种重要语言。随着工业控制系统最初并未考虑大规模联网通信,不同厂商之间的工控协议不同,且协议并不完全公开,未形成标准化。随着厂级监控的实时性、可靠性需求增高,工业通信总线通讯速率的不断提升,从RS232/485到工业以太网再到工业实时以太网,工控网络中大量引入了以太网,并且使用TCP/IP或ISO标准封装后进行传输,从而增加了更多的传统信息技术的威胁,即工业控制系统既包括传统工业控制系统协议的缺陷,同时也具备传统信息技术所面临的威胁。
2.4工业企业功能层次模型从上到下共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同 [4] 。通常,大部分工业企业由生产管理部门管理第0~3层,第4层以上通常归由信息部门管理。例如,石油炼化企业机动设备处通常为公司仪表、装置管理的归口管理部门;安全质量环保处为工业视频监视系统和化验分析仪器归口主管部门。再者,工业企业更加关注健康(Health)、安全(Safety)和环境(Environment),而并非关注信息安全管理体系(ISMS)的落实,工业企业信息安全管理存在较大的缺失。另外,工业控制系统存在行业特殊属性,涉及到化工、发电等,工业流程不同,所需考虑因素也不尽相同。(见图3)工业控制系统的特点决定了工业控制系统具备行业特征,需要综合考虑行业特征及线管要求开展定级及测评实施工作。
3工业控制系统定级研究
《网络安全等级保护定级指南》和《工业控制系统信息安全分级规范》均对工业控制系统安全等级提出了划分要求。通过对比可以发现,《网络安全等级保护定级指南》中考虑了《工业控制系统信息安全分级规范》的重要定级要素,并为考虑工业控制系统资产重要程度及需抵御的信息安全威胁程度,《网络安全等级保护定级指南》简化了定级,而《工业控制系统信息安全分级规范》可以作为补充要素应用于工业控制系统定级过程中,其基于风险评估的思想更加能够说明系统具备说服力和客观性。
按照《网络安全等级保护定级指南》的要求,作为定级对象的其他信息系统应具有如下基本特征 [5] :具有确定的主要安全责任单位;承载相对独立的业务应用;具有信息系统的基本要素。
从工业控制系统分层来分析,大部分工业企业由生产管理部门管理第0~2层,第2层以上通常归由信息部门管理。同时0-2层各层独立定级时均不满足上述基本条件。据此,现场设备层(层级0)、现场控制层(层级1)和过程监控层(层级2)应作为一个整体对象定级,各层次要素不单独定级。按照分层模型可以有如下的组合方式:
第一种方式:生产管理层(层级3)进行独立定级,生产管理层与过程监控层(层级2)存在网络链接以及数据交换,如通过OPC接口与企业管理网的MES系统联网的DCS、SCADA等系统。
第二种方式:主要由工业控制系统构成,包括仪器仪表、控制系统、工程师站、操作员站以及服务器等设备,如属于企业的一个自动化生产全过程或一个工业自动化生产装置(如聚苯乙烯生产装置)的工业控制系统,第三种方式:生产管理层(层级3)以及下三层(现场设备层(层级0)、现场控制层(层级1)和过程监控层(层级2))统一进行定级,这种定级方式,属于所界定的范围过宽,实际执行结果会造成工业企业仅有一个信息系统,同时,也不能很好的区分生产管理部门和信息管理部门之间的职责分工,与等级保护思想不相符合,不建议采用这种定级方式。
在工业控制系统定级时还应考虑生产工艺/车间、系统功能 、控制对象和工业控制系统厂商等因素划分为多个定级对象,对0-2层的工业控制系统所承担的工业生产的重要程度可分独立定级,承担公共数据交换的设备按照就高原则进行保护。例如发电企业可以将给水、除灰系统作为辅助控制系统的子系统或子模块的前提是给水、除灰、辅助控制系统为同一管理机构进行管理或运维,根据是否承载单一或相对独立的业务应用来确定待定级系统的物理边界和逻辑边界 [6] 。
同时,需要考虑工业控制系统的功能安全方面的特殊性,如根据炼油化工行业生产特点和工业控制系统的功能,在工业控制系统受到破坏后,因为现场仪表及执行机构及独立的安全仪表系统(SIS)和安全阀等保护层的本质安全设计,包括工业控制系统被侵入的误操作或任何故障的极端情况,能够保证生产单元退守到安全稳定状态,则级别可进行相应的调整,但原则上应满足国家相关监管要求,如关键信息基础设施应不低于三级。
另外,应考虑由于工业控制系统对信息安全需求(CIA)的优先级不同,需考虑系统服务安全等级大于等于业务信息安全等级,即A>S,即以SnAmGl表示系统的定级组合,n表示业务信息安全保护等级,m表示系统服务安全保护等级,l表示系统的安全保护等级,那么n m, l = max (n,m)。
总之,开展工业控制系统定级是开展工业控制系统等级保护工作的基础,各工控行业可根据国家标准结合行业特点,在实践中不断总结与调整,必要时由主管部门给予统一的指导。
4工业控制系统等级测评的关键环节及技术
4.1关键环节
工业控制系统从上到下分别是企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。由于定级对象划分的不同,需要保护的工业控制系统对象会跨越上述层级的多个层级。按照测评过程中的工作任务是指标选取和对象选择以及现场测评过程是确保等级测评结果准确性的中的关键环节,需要重点关注。
4.1.1指标选取和对象选择
按照工业控制系统定级的两种方式来看,由于企业资源层不涉及工业控制系统的互联和数据交换,因此可按照安全通用要求开展测评;而对于与工业控制系统存在数据交换的两种定级方式:
(1)第一种方式:生产管理层(层级3)进行独立定级,那么需要考虑工业控制系统扩展要求中的安全通信网络和安全区域边界进行定级。
(2)第二种方式:主要由工业控制系统构成的下三层进行定级,那么每个层都包含工业控制系统安全扩展要求。
具体而言:
过程监控层需包含工业控制系统安全扩展要求的安全通信网络和安全区域边界;现场设备层和现场设备层需包含工业控制系统安全扩展要求的安全物理环境、安全通信网络、安全区域边界及安全计算环境。上述的描述同时也与合《基本要求》附录G的层次模型图主要说明不同层次的系统可能需要采用不同安全层面的扩展要求 [7] 相一致。
工业控制系统安全扩展要求增加的控制点包括安全物理环境(室外控制设备物理防护)、安全通信网络(网络架构、通信传输)、安全区域边界(访问控制、拨号使用控制、无线使用控制)、安全计算环境(控制设备安全)等控制要求。
对于工业控制系统扩展要求测评对象选择时应重点关注室外控制设备、网闸、路由器、交换机和防火墙等提供访问控制功能的设备、工业控制系统网络、加密认证设备、拨号服务类设备、无线通信网络及设备和监测设备、控制设备以及相关的安全管理制度及规范。同时,上述设备按照定级方式的不同还应该考虑通用要求的符合情况,如控制设备应关注安全计算环境的身份鉴别的“应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换”等要求项。
4.1.2现场测评要点
现场测评过程是采集现场测评数据的关键环节,应重点关注工业控制系统安全扩展要求的测评。
(1)安全物理环境:重点查看暴露在室外的控制设备,是否具备一定的防风、防雨、防电磁等能力,避免受到相应的物理破坏。
(2)安全通信网络层面,应重点考虑两个方面,一是工业控制系统控制系统与外部系统的连接,与办公系统、视频监视系统、其他系统等之间的隔离措施,在不得不联通的情况下应形成逻辑隔离,实现数据单向流通。二是工业控制系统内部情况,应重点关注内部纵向安全区域的划分。三是工业控制系统内控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
(3)在安全区域边界层面,应重点关注工业控制系统网络边界、安全域边界的访问控制情况。其次,应关注采用4G、wifi等无线数据传输系统,应关注无线数据传输时的身份认证、数据加密及无线设备的授权使用情况。然后关注穿越区域边界的E-mail、web、telnet、Rlogin、FTP等通用网络服务。最后,重点在工业控制系统内安全域和安全域之间的边界防护机制失效时,是否由有效的报警机制。
(4)在安全计算环境层面,应多关注控制设备本体安全,重点查看控制设备是否设置身份鉴别措施,避免直接登录等情况,因为有些控制设备存在UI控制界面 [8] ,可以通过UI控制界面直接进行指令操作。重点查看控制设备访问控制措施和审计措施。此外,应关注控制设备安全漏洞、后门等问题。
4.2关键技术
工业控制系统由于其特殊性,无法按照传统的方式开展漏洞扫描、渗透测试、代码审计等关键技术测试工作,因此获取的结果可能无法准确了解工业控制系统的安全状态。鉴于此工业控制系统的等级测评需重点考虑如下的措施作为工业控制系统的补充手段。
(1)模拟仿真测试环境:通过搭建模拟仿真测试环境实现与工业控制系统实际环境的一致性,为后续的离线测试提供基础。
(2)工控协议分析技术:Fuzzing测试是采用黑盒测试的思想和技术,将一组随机生成的数据作为程序的输入,并监视程序的异常状态,通过记录导致异常的输入来进一步回溯程序的缺陷位置。通过专用的工控系统协议或程序健壮性测试工具来对工控现场所采用的工控协议或程序进行一致性和协议健壮性检测。同时结合人工分析的手段,来发现现场工控设备在协议标准遵循度上的差异,来发现在协议或程序安全性方面存在的漏洞。
(3)工控流量分析:通过对工控网络流量的采集及工控协议的深度分析,实时掌控工控网络的运行状况.同时对流量的流人流出的异常情况进行监测。
5结束语
本文从工业控制系统的系统定级进行入手,结合多标准之间的融合,详细描述了工业控制系统定级的方式、定级要点,为后续的等级测评的测评选择及测评对象选择提供了指导,同时对工业控制系统安全扩展要求的关键要点进行了描述,便于等级保护测评实施,也对关键技术进行了说明。由于工业控制系统承载的业务、网络结构、系统规模、主机资产等均有差异,因此不同的工业领域、不同规模的系统等级测评所关注的内容也具备行业特点,因此需要结合系统的实际情况给与考虑,以确保等级测评工作的准确性。
参考文献:
[1]王春晖.《网络安全法》六大法律制度解析[J] .南京邮电大学学报(自然科学版) .第 37 卷第 1 期(2017年2月).4[2]靳江红,莫昌瑜,李刚.工业控制系统功能安全与信息安全一体化防护措施研究[J] .工业安全与环保.2020 年第46卷第1期:53[3]肖建荣,工业控制系统信息安全的10堂课[M],北京,电子工业出版社,2018.12.7[4]GB/T22239-2019.信息安全技术网络安全等级保护基本要求[S] . 北京:标准出版社,2019[5]GA/T1389-2017.信息安全技术网络安全等级保护定级指南[S] . 北京:标准出版社,2019[6]陈雪鸿,叶世超,石聪聪.浅谈工业控制系统信息安全等级保护定级工作[J].自动化博览.2015-05.66-70[7]GB/T22239-2019.信息安全技术网络安全等级保护基本要求[S]. 北京:标准出版社,2019[8]刘思思; 张德馨; 唐刚; 贾东明.供水生产控制系统安全等级保护测评实施要点探究[J].工业技术创新.第07卷第01期2020年2月.12-15作者简介:
刘宁丽(1985-),女,陕西西安,中级测评师,学士,西安邮电大学信息安全专业,主要研究方向:网络安全、测评工作标准化、质量管理。