工业是国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。工业控制系统广泛用于冶金、电力、石油石化、核能等工业生产领域,是国家关键生产设施和基础设施运行的“中枢”。而随着工业化和信息化的深度融合以及互联网+、大数据、云计算等信息技术的快速发展与应用,工业控制系统走向智能化的同时,其网络也变得更加透明、开放、互联,无疑给工业控制系统信息安全保障工作提出了新的挑战。
新的挑战
2010年的“震网”病毒破坏伊朗核设施事件为工业网络安全真正敲响了警钟--信息安全的战火已经蔓延到了工业基础设施领域。同时,引发了各国对工业控制系统信息安全问题前所未有的关注。此后,工业控制系统信息安全时间呈现愈演愈烈、逐年上升的态势,并几乎涉及关乎国家安全和国民生计的所有行业领域。2012年的超级病毒“火焰”、2014年的Havex病毒等等专门针对工业控制系统的病毒爆发给用户带来了巨大损失,同时直接或间接地威胁到国家安全。2015年发生的乌克兰电力遭受攻击事件看到,在不需要利用复杂攻击手段、不需要完整还原业务系统运行过程的情况下,就可以达到对工控系统的运行影响。从实际的攻击过程看,攻击的成本低,而攻击所带来的影响在进一步的加重。
随着工业4.0时代的到来和信息化与工业化的深度融合,以及物联网的快速发展,工业控制系统越来越多地采用通用协议、通过硬件和通用软件,通过互联网等公共网络连接的业务系统也越来越普通。工控系统开放的同时,也减弱了控制系统与外界的隔离,企业在享受网络互连带来的种种好处的同时也面临着各种来源的信息安全威胁,包括病毒、木马向控制网的扩散,针对工业控制系统的攻击行为大幅度增长,也使得工业控制系统的脆弱性正在逐渐显现,国内工控系统的安全隐患问题日益严峻。
构建工控安全防护体系
“没有网络安全就没有国家安全”。网络空间的无远弗届,让网络安全风险加大。应对网络和信息安全的挑战,必须要有正确的理论作指导。2016年4月19日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平在北京主持召开网络安全和信息化工作座谈会并发表重要讲话, 提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”如何构建工业控制网络安全的防护体系?
在工业企业推进安全规划和安全建设时,既要借鉴通用IT系统信息安全保障的做法,又要充分考虑到工业控制系统的特点。在安全规划阶段,首先应建立信息安全风险评估机制,对工业控制系统的安全风险进行系统、全面分析;在安全方案设计阶段,可以借鉴传统IT系统安全分区和纵深防御的成熟做法,选择适合工业控制系统的安全技术和产品;但不论在那个阶段,都要充分考虑工业控制系统的特殊性,坚持功能安全和信息安全相结合的原则,保障生产任务的不间断运行。总结来说,就是“风险评估先行,安全分区奠基;功能安全结合,纵深防御完善”,下面进行详细阐述。
1. 风险评估先行
孙子兵法云:“知己知彼,百战不殆”。在了解对手有哪些手段之前,更重要的是要对自己的情况尤其是弱点了然于胸。在信息安全建设的过程中,了解自己弱点的过程,就是针对信息资产的脆弱性和风险进行评估。所谓的风险评估(Risk Assessment) ,就是量化测评某一事件或事物带来的影响或损失的可能程度。从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。信息安全风险评估是组织确定信息安全需求的重要途径。
2. 安全分区奠定
安全风险评估完成之后,就可以根据评估结果制定工业控制系统的安全解决方案。对业务网络进行安全分区或者安全域划分是常用的信息安全手段,也是企业建立纵深防御安全体系的基础。安全域指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。通俗来说,安全域是指具有相同业务要求和安全要求的IT系统要素的集合。通过网络安全域的划分,可以把复杂的大型网络系统安全问题转化为较小区域的更为单纯的安全保护问题,从而更好地控制网络安全风险,降低系统风险;根据不同安全域的安全等级要求,明确各区域的防护重点,可以将有限的安全设备投人到最需要保护的资产,提高安全设备利用率。
在安全域划分中,常用的安全技术包括防火墙、UTM、网闸等,但这些通用的安全技术无法针对工业控制协议进行深度检测,比如对Modbus、OPC、DNP3等协议字段级别的识别和防护。在工业控制系统中,还需采用支持工业控制协议的专用安全产品来弥补通用安全技术的不足,实现对网络边界的完全保护。
作为国内最早推出专业工控安全产品和安全服务的厂商,力控华康的工业防火墙和工业网络安全防护网关是目前比较成熟的工业控制网络边界防护产品,在钢铁冶金、石油化工、电力、市政等领域有着广泛的应用。
l 力控华康HC-ISG工业防火墙是国内首款专门应用于工业控制安全领域的自主知识产权的防火墙产品,能有效针对SCADA、DCS、PLC、RTU提供安全保护。HC-ISG支持对常见工业控制协议的识别、过滤和深度防御,可以对工业协议内部的指令、寄存器等信息进行检查,防止应用层协议被篡改或破坏,保证工业协议通讯的可控性和准确性。
l 力控华康PSL工业网络安全防护网关是一款安全隔离产品,用于解决工业控制系统接入信息网络时的安全问题。PSL安全防护网关采用“2+1”的安全隔离技术架构,阻断网络间直接的TCP/IP连接,通过专有协议实现对OPC、Modbus等工业控制协议的封装和安全的数据传输。
3. 功能安全结合
工业控制领域的安全可分为三类,即功能安全(Function Safety)、物理安全(Physical Safety)和信息安全(Information Security)。所谓的功能安全,是指工业控制系统中的控制器、执行器出现失效或故障时,系统仍能保持安全条件或进入到一种安全状态,紧急停车防止事故发生。功能安全系统包括安全仪表系统(SIS)、工业控制软件的功能安全部分等(对于确保功能安全的系统,我们在下文统称为“安全执行系统”)。物理安全是减少由于点击、着火、辐射、机械危险、化学危险等因素造成的危害。这三方面的安全不是孤立而是相辅相成的,物理安全出现问题会影响到信息安全,信息安全出现问题也会影响到功能安全。
由于工业控制系统的特殊性,黑客攻击的最终目标往往并不是窃取信息,而是对生产过程进行破坏,甚至制造恶性事故。这种情况下,“安全执行系统”是否能够正常运行就成为确保不发生事故的最后一道防线。
4. 纵深防御完善
在IT系统的信息安全保障体系中,纵深防御是比较常见的一种安全保护模型。纵深防御是指综合利用安全分区、边界保护、威胁检测、安全审计等多种安全手段,层层制定安全防护策略,确保核心业务系统的信息安全。
在纵深防御的理念已经成为业界主流的情况下,对“纵深”的不同理解成为防护是否有效的关键。在工业控制系统内真正有效的纵深防御体系应该具备以下特点:
1) 对“症”下药而非生搬硬套:工业控制系统的使用场景有别于传统IT系统,不能将传统IT安全的一套照搬过来。比如在边界防护中,需要考虑工业控制系统对实时性的要求,选择有足够性能支撑的防火墙。而在使用IDS来进行威胁侦测时,如果使用人员不具备对安全事件的分析和识别能力,那IDS频繁的事件上报将会是一种灾难。必须针对工业控制系统的使用环境,调整并优化安全策略,使各种安全技术能够真正有效的发挥作用。
2) 防护、检测技术和响应手段相结合:针对工业控制系统中的攻击一般都是高级可持续性威胁(APT),潜伏周期长,攻击手段复杂。针对这种类型的威胁和攻击,采用单纯的防御措施是远远不够的,经典安全理论中的防护技术(Protection)、检测技术(Detection)和响应手段(Response)缺一不可。防护技术(比如防火墙)提供一定时间的安全缓冲,而通过检测手段和响应措施,可以弥补防护技术的不足。典型的检测手段包括:漏洞扫描和修补、入侵检测、日志分析、网络行为审计、安全事件管理等。
3) 需要建立安全管理策略和规范:安全是“三分技术、七分管理”,一个完整的纵深防御体系,不能缺少安全管理和规范的内容。相关统计数据显示,只有20%的数据破坏是公司外部威胁导致,而80%的安全威胁是来自公司内部的,其中包括操作失误、故意破坏和知识缺乏等。针对这样的问题,企业内部信息安全通报和响应机制的建立、针对员工安全意识的培训、制定工控系统安全操作规范等,都是行之有效的措施。
总结
事实表明,信息安全的战火已经蔓延到了工业领域,随着以太网和互联网技术在工业系统中的应用越来越广泛,关键信息基础设施是网络安全与传统安全最直接的交汇点,面临现实而紧迫的安全威胁和前所未有的安全挑战。其中,信息安全保障体系的设计是一项庞大的系统工程,尤其是考虑到在工业控制系统中应用时需要面对方方面面的问题。本文在分析工业控制系统安全风险及现有解决方案的基础上,提出了“风险评估先行,安全分区奠基;功能安全结合,纵深防御完善”的工控信息安全建设体系。目前该体系已经在一些项目中得到应用,并取得了良好的效果。