今日頭條
官方微信
官方抖音
資訊頻道摘要
隨著工業(yè)控制新技術(shù)、新應用的發(fā)展,在原有標準的基礎上進行了擴展,增加了工業(yè)控制安全要求。從定級對象、安全體系結(jié)構(gòu)、安全保護環(huán)境設計等層面進行介紹,提升了標準的可讀性,有利于標準對行業(yè)的指導。
關(guān)鍵詞:等級保護 工業(yè)控制系統(tǒng) 安全區(qū)域 信息安全
引言 工業(yè)控制系統(tǒng)(ICS)是指對工業(yè)生產(chǎn)過程安全(Safety)、信息安全(Security)和可靠運行產(chǎn)生作用和影響的人員、硬件、策略和軟件的集合,包括集散控制系統(tǒng)(DCS)、監(jiān)督控制和數(shù)據(jù)采集(SCADA)系統(tǒng)、可編程序邏輯控制器(PLC)、遠程測控單元RTU、相關(guān)的信息系統(tǒng)如人機界面等。隨著信息化和工業(yè)化的發(fā)展工業(yè)控制系統(tǒng)廣泛應用于國防軍工、軌道交通、電力電網(wǎng)、石油化工、水利水庫等關(guān)系國計民生的重點工控行業(yè),由于其復雜多樣性,工業(yè)控制系統(tǒng)也面臨來自各方面的威脅。近年來,隨著工業(yè)控制新技術(shù)的發(fā)展,原有標準部分條款無法滿足工業(yè)控制高可靠性、實時性下的安全設計技術(shù)要求,因此亟需根據(jù)工業(yè)控制系統(tǒng)的特點增加新的內(nèi)容。此次修訂規(guī)范了網(wǎng)絡安全等級保護安全設計技術(shù)要求對工業(yè)控制系統(tǒng)的擴展設計要求,包括第一級至第四級工業(yè)控制系統(tǒng)安全保護環(huán)境的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡和安全管理中心等方面的設計技術(shù)要求。適用于指導網(wǎng)絡安全等級保護工業(yè)控制系統(tǒng)安全技術(shù)方案設計與實施,也可作為信息安全智能部門對工業(yè)控制系統(tǒng)進行監(jiān)督、檢查和指導的依據(jù)。 一、定級對象 工業(yè)控制系統(tǒng)和其他信息系統(tǒng)按照功能層次分為從下到上的五層架構(gòu): a)第0層,現(xiàn)場設備層; b)第1層,現(xiàn)場控制層; c)第2層,過程監(jiān)控層; d)第3層,生產(chǎn)管理層; e)第4層,企業(yè)資源層,即其他的信息系統(tǒng)(本標準不對第4層做等級保護設計要求)。 根據(jù)工業(yè)控制系統(tǒng)安全單位的唯一確定性、業(yè)務對象、業(yè)務特點和業(yè)務范圍等因素,綜合確定工業(yè)控制系統(tǒng)等級保護對象。在確定定級對象的安全等級時,應綜合考慮資產(chǎn)價值、生產(chǎn)對象及后果等因素。確定工業(yè)控制系統(tǒng)定級對象具體參照GB/T
22240、GB/T 22239等相關(guān)等保標準。 根據(jù)對工業(yè)控制系統(tǒng)架構(gòu)及安全的分析,總結(jié)出工業(yè)控制系統(tǒng)中第0~3層防護對象包含的用戶、軟硬件和數(shù)據(jù)三類,如圖1所示。 二、工業(yè)控制系統(tǒng)安全體系結(jié)構(gòu) 此次修訂工作結(jié)合工業(yè)控制系統(tǒng)形態(tài)眾多、性能各異、實時性及可靠性要求高、現(xiàn)場設備計算資源有限等特點,充分分析工業(yè)控制系統(tǒng)面臨的各種威脅,發(fā)現(xiàn)其脆弱性,從而提出了三重防護多級互聯(lián)、安全分區(qū)縱深防御設計技術(shù)思路。 (一)三重防護多級互聯(lián)技術(shù)框架 工業(yè)控制系統(tǒng)的等級保護防護方案設計參照以往構(gòu)建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡三重防御體系,采用分區(qū)的架構(gòu),結(jié)合工業(yè)控制系統(tǒng)總線協(xié)議復雜多樣、實時性強、節(jié)點計算資源有限、設備可靠性要求高、故障恢復時間短、安全機制不能影響實時性等特點進行設計,以實現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護和計算環(huán)境安全,如圖2所示。
(二)安全分區(qū)縱深防御策略
對于復雜工業(yè)控制系統(tǒng)建議采用分層分區(qū)的保護結(jié)構(gòu)實現(xiàn)信息安全等級保護設計,但對于簡單的工業(yè)控制系統(tǒng)則以不分層進行信息安全等級保護設計。根據(jù)工業(yè)控制系統(tǒng)被保護對象業(yè)務性質(zhì)分區(qū),針對功能層次技術(shù)特點實施信息安全等級保護設計,對工業(yè)控制系統(tǒng)進行安全防護。
依據(jù)圖1,縱向上工業(yè)控制系統(tǒng)分為五層,其中第0~3層為工業(yè)控制系統(tǒng)等級保護的范疇,即為本防護方案覆蓋的區(qū)域;橫向上對工業(yè)控制系統(tǒng)進行安全區(qū)域的劃分,根據(jù)工業(yè)控制系統(tǒng)中業(yè)務的重要性、實時性、關(guān)聯(lián)性、對現(xiàn)場受控設備的影響程度以及功能范圍、資產(chǎn)屬性等,形成不同的安全防護區(qū)域,所有系統(tǒng)都必須置于相應的安全區(qū)域內(nèi),具體分區(qū)以工業(yè)現(xiàn)場實際情況為準。此次修訂給出了防護方案的示例性分區(qū),分區(qū)方式包括但不限于:第0~2層組成一個安全區(qū)域、第0~1層組成一個安全區(qū)域、同層中有不同的安全區(qū)域等,如圖3所示。
分區(qū)的主要根據(jù)有業(yè)務系統(tǒng)或其功能模塊的實時性、使用者、主要功能、設備使用場所、各業(yè)務系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式以及對工業(yè)控制系統(tǒng)的影響程度等。對于額外的安全性和可靠性要求,在主要的安全區(qū)還可以根據(jù)操作功能進一步劃分成子區(qū)。將設備劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。將具備相同功能和安全要求的各系統(tǒng)的控制功能劃分成不同的安全區(qū)域,并按照方便管理的原則,為各安全功能區(qū)域分配網(wǎng)段地址。 三、工業(yè)控制系統(tǒng)安全防護體系設計 等級保護分為四級,防護方案設計逐級增強,但防護方案設計中的防護類別相同,只是安全保護設計的強度不同,防護類別包括:安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡、安全管理中心。各級工業(yè)控制系統(tǒng)信息安全保護環(huán)境的設計通過對各級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡以及安全管理中心的設計加以實現(xiàn)。 (一)設計目標和策略 工業(yè)控制系統(tǒng)等級保護的設計目標逐級增強。第一級工業(yè)控制系統(tǒng)信息安全保護環(huán)境的設計目標是對第一級工業(yè)控制系統(tǒng)的信息安全保護系統(tǒng)實現(xiàn)定級系統(tǒng)的自主訪問控制,使系統(tǒng)用戶對其所屬客體具有自我保護的能力。第二級工業(yè)控制系統(tǒng)信息安全保護環(huán)境的設計目標是在第一級的基礎上,增加系統(tǒng)安全審計等安全功能,并實施基于角色的訪問控制,使系統(tǒng)具有更強的安全保護能力。第三級工業(yè)控制系統(tǒng)信息安全保護環(huán)境的設計目標是在第二級的基礎上,增強身份鑒別、審計等功能,同時增加區(qū)域邊界之間的安全通信措施。第四級工業(yè)控制系統(tǒng)信息安全保護環(huán)境的設計目標是在第三級的基礎上,對關(guān)鍵的控制回路的相關(guān)信息安全保護設計要求做了闡述,要求設計者在有安全風險的場合提供適合工控應用特點的保護方法和安全策略,通過實現(xiàn)基于角色的訪問控制以及增強系統(tǒng)的審計機制等一系列措施,使系統(tǒng)具有在統(tǒng)一安全策略管控下,提供高強度的保護敏感資源的能力。 工業(yè)控制系統(tǒng)等級保護的設計策略逐級增強。第一級系統(tǒng)安全保護環(huán)境的設計策略是以身份鑒別為基礎,按照工業(yè)控制系統(tǒng)對象進行訪問控制,監(jiān)控層、控制層提供按照用戶和(或)用戶組對操作員站和工程師站的文件及數(shù)據(jù)庫表的自主訪問控制,以實現(xiàn)用戶與數(shù)據(jù)的隔離,設備層按照用戶和(或)用戶組對安全和保護系統(tǒng)、基本控制系統(tǒng)的組態(tài)數(shù)據(jù)、配置文件等的自主訪問控制,使用戶具備自主安全保護的能力;以包過濾和狀態(tài)檢測的手段提供區(qū)域邊界保護;以數(shù)據(jù)校驗和惡意代碼防范等手段提供數(shù)據(jù)和系統(tǒng)的完整性保護。第二級工業(yè)控制系統(tǒng)信息安全保護環(huán)境的設計策略是以身份鑒別為基礎,提供單個用戶和(或)用戶組對共享文件、數(shù)據(jù)庫表、組態(tài)數(shù)據(jù)等的自主訪問控制;以包過濾手段、狀態(tài)檢測提供區(qū)域邊界保護;以數(shù)據(jù)校驗和惡意代碼防范等手段,同時通過增加系統(tǒng)安全審計等功能,使用戶對自己的行為負責,提供用戶數(shù)據(jù)保密性和完整性保護,以增強系統(tǒng)的安全保護能力。第三級工業(yè)控制系統(tǒng)信息安全保護環(huán)境的設計策略是在第二級的基礎上,相應增強身份鑒別、審計等功能;增加邊界之間的安全通信防護,保障邊界安全性。第四級工業(yè)控制系統(tǒng)信息安全保護環(huán)境的設計策略是在第三級的基礎上,構(gòu)造基于角色的訪問控制模型,表明主、客體的級別分類和非級別分類的組合,以此為基礎,按照基于角色的訪問控制規(guī)則實現(xiàn)對主體及其客體的訪問控制。 (二)關(guān)鍵設計技術(shù)要求 1. 安全計算環(huán)境設計技術(shù)要求 安全計算環(huán)境,包括工業(yè)控制系統(tǒng)0~3層中的信息存儲、處理及實施安全策略的相關(guān)部件。安全計算環(huán)境按照保護能力劃分為第一級安全計算環(huán)境、第二級安全計算環(huán)境、第三級安全計算環(huán)境和第四級安全計算環(huán)境,安全計算環(huán)境設計技術(shù)要求逐級增強,各等級要求如表1。
2. 安全區(qū)域邊界設計技術(shù)要求
安全區(qū)域邊界是指對定級系統(tǒng)的安全計算環(huán)境邊界,以及安全計算環(huán)境與安全通信網(wǎng)絡之間實現(xiàn)連接并實施安全策略的相關(guān)部件。安全區(qū)域邊界按照保護能力劃分為第一級安全區(qū)域邊界、第二級安全區(qū)域邊界、第三級安全區(qū)域邊界和第四級安全區(qū)域邊界,安全區(qū)域邊界設計技術(shù)要求逐級增強,各等級要求如表2。
3. 安全通信網(wǎng)絡設計技術(shù)要求
安全通信網(wǎng)絡指對定級系統(tǒng)安全計算環(huán)境和信息安全區(qū)域之間進行信息傳輸及實施安全策略的相關(guān)部件。安全通信網(wǎng)絡按照保護能力劃分為第一級安全通信網(wǎng)絡、第二級安全通信網(wǎng)絡、第三級安全通信網(wǎng)絡和第四級安全通信網(wǎng)絡,安全通信網(wǎng)絡設計技術(shù)要求逐級增強,各等級要求如表3。
對網(wǎng)絡通訊的保護,例如對工程師站組態(tài)下裝的過程,是通過網(wǎng)絡下裝到控制器,分析網(wǎng)絡,如果有不安全因素,需加防篡改保護,首先要鑒別工程師站的操作者的身份是否有對控制器進行下裝操作的權(quán)限,如果有操作權(quán)限,方可建立工程師站和控制器之間的通訊連接。
4. 安全管理中心設計技術(shù)要求
安全管理中心指對定級系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡上的安全機制實施統(tǒng)一管理的平臺。第二級及第二級以上的定級系統(tǒng)安全保護環(huán)境需要設置安全管理中心,稱為第二級安全管理中心、第三級安全管理中心和第四級安全管理中心。安全管理中心設計技術(shù)要求逐級增強,各級要求如表4。
5. 針對工業(yè)控制系統(tǒng)特點具體分析安全設計技術(shù)要求 ① 針對控制系統(tǒng)業(yè)務流程特點實施安全保護 對工業(yè)控制系統(tǒng)的計算環(huán)境,比較特殊的是處于第0層、第1層、也包括第2層的計算環(huán)境。其中處于第1層的控制器(或是PLC,SCADA中的RTU),通過現(xiàn)場總線與傳感器、執(zhí)行器相連接,形成了一個控制回路,這是工業(yè)控制系統(tǒng)中基礎和關(guān)鍵的部分,也是重要的保護目標。其中控制器運行系統(tǒng)的控制邏輯,也是連接第0層和地2層的一個關(guān)鍵環(huán)節(jié),對控制器的訪問和操作,必須先經(jīng)過身份鑒別。這包括工程師站的組態(tài)下裝,操作員站發(fā)出的命令,都應經(jīng)過身份鑒別通過后授權(quán)執(zhí)行。過去,一些控制器對組態(tài)下裝到控制器操作的身份鑒別是在工程師站上由組態(tài)軟件系統(tǒng)執(zhí)行,在控制器上對工程師站的組態(tài)下裝,操作員站發(fā)出的命令之前進行身份鑒別,對假冒攻擊進行了防護。 ② 對控制過程的完整性保護 是防止干擾和破壞控制回路的數(shù)據(jù)傳輸和處理,防止數(shù)據(jù)延誤、丟失和篡改,保護控制系統(tǒng)的同步機制、校時機制,控制器從所處的計算環(huán)境來說,極易受到來自網(wǎng)絡、現(xiàn)場總線、I/O端口的干擾,如以下但不限于所列行為: a)在一個控制周期內(nèi),超過正常數(shù)量的中斷請求; b)超過合理包速率范圍的icmp協(xié)議請求; c)超過合理包速率范圍的廣播報文; d)破壞現(xiàn)場總線的請求—應答機制; e)破壞冗余工作機制; f)干擾表決器等安全保護系統(tǒng)的正常工作; g)惡意觸發(fā)冗余系統(tǒng)切換、安全保護系統(tǒng)的停機的行為; h)其他干擾。 這些干擾會破壞控制任務的執(zhí)行,甚至足以引起控制器復位,而這些惡意攻擊可以以合法的身份出現(xiàn)。因此,要求在設計控制應用系統(tǒng)時,能識別、監(jiān)控和防護這類攻擊行為,可在計算環(huán)境上,如控制器通過阻止關(guān)閉受到攻擊的端口,在邊界上識別過濾這類攻擊,在通信上采用防假冒防篡改防干擾等保護措施,形成多層次的縱深防御。 ③ 對現(xiàn)場總線的安全保護 現(xiàn)場總線和現(xiàn)場設備層的安全問題,在受到物理保護或有人值守的情況下,可避免鄰近攻擊。在現(xiàn)場總線和現(xiàn)場設備,要防止留有可供插入、改接的物理接口,如有的設備還配置有HART接口,在缺乏物理保護和監(jiān)控的環(huán)境下,有可能為非法接入、修改參數(shù)提供了機會,在控制器的現(xiàn)場總線接口處,應有實時監(jiān)控,對于丟幀、數(shù)據(jù)異常、超過一定范圍的抖動及時報警處理。對于重要的現(xiàn)場總線和設備,應根據(jù)應用的保護需求,用適合于實時性好、小位數(shù)處理的密碼技術(shù)進行完整性或保密性保護。 ④ 以操作員站向控制器發(fā)送指令為例說明 以操作員站向控制器發(fā)送指令為例說明這條信息處理路徑所要應用的安全保護措施。操作員站啟動前先用可信計算處理器件對操作系統(tǒng)裝載程序和操作系統(tǒng)進行度量,和存放的報文摘要值對比,沒有被篡改后系統(tǒng)啟動,經(jīng)安全管理中心確認屬于白名單的應用程序和服務啟動,操作員登錄進入操作員站,操作員使用用于身份鑒別的介質(zhì)U-KEY插入操作員站的USB接口,此時操作員站是禁用所有外設介質(zhì)端口的,這一插入USB接口事件報道安全管理中心,經(jīng)過判別是做身份鑒別后,確認操作員身份并授權(quán),此后操作員再次操作不需再做身份鑒別,以保證能實時做出響應。操作員要離開操作員站時要做明確的退出操作,拿走U-KEY,從安全考慮,當操作員站在一定時間沒有操作動作時,應提示操作員繼續(xù)操作,如果沒有響應,應及時鎖屏,終止這個會話,防止操作員離開,有人趁機假冒。解鎖時需輸入密碼。以上過程都被審計,可由安全管理中心審計追蹤。在對控制器的通信時,需先通過身份鑒別,只有身份鑒別通過后方可建立通信連接,其中重要指令的下達,重要數(shù)據(jù)的傳送,應根據(jù)應用特點,用密碼技術(shù)保證完整性或保密性,防止偽造指令和數(shù)據(jù)欺騙。對于操作員站和控制器的通信會話也要提供保護,在操作員交接班時應保持會話的有效性,要考慮到出現(xiàn)緊急事件時能夠?qū)崟r處置,審計措施應能明確操作員的行為和責任。 結(jié)語 在GB/T
25070中增加的工業(yè)控制系統(tǒng)安全設計要求的內(nèi)容,是在國家標準GB/T25070-2010基礎上為適應工業(yè)控制新技術(shù)、新應用情況下而進行的修訂,制定統(tǒng)一的工業(yè)控制系統(tǒng)等級保護標準,建立整體安全防護體系及框架,給出了詳細、可實施的安全設計要求,可用于指導工業(yè)控制系統(tǒng)運營使用單位、信息安全服務機構(gòu)開展等級保護安全技術(shù)方案設計,能夠有效應對針對工業(yè)控制系統(tǒng)環(huán)境的信息安全威脅,保護國家工業(yè)控制系統(tǒng)不被非法攻擊,保障重要工業(yè)控制系統(tǒng)的正常運行,從而確保國家工業(yè)基礎設施免遭破壞。
來源:e安在線
北京市公安局海淀分局備案號:11010802023656號