今日頭條
官方微信
官方抖音
資訊頻道
信息化和工業(yè)化深度融合,使得工業(yè)自動化和控制系統(tǒng)(IACS)運(yùn)行的環(huán)境越來越復(fù)雜。同時企業(yè)或組織機(jī)構(gòu)越來越需要在其工控網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)之間共享信息。然而,由于工業(yè)自動化和控制系統(tǒng)的設(shè)備是直接和某個工藝過程相連的,如果信息安全遭到破壞,其后果不僅是在信息傳送過程中發(fā)生變化而喪失商業(yè)保密性,事故發(fā)生時,還可能帶來潛在的人員或生產(chǎn)損失、破壞環(huán)境、違反法律法規(guī)等更嚴(yán)重的后果。這可能就會衍生出企業(yè)或組織所不期望的結(jié)果,甚至可能破壞所在地區(qū)或國家的基礎(chǔ)設(shè)施。
產(chǎn)生信息安全問題的威脅源不僅來自外部,內(nèi)部具有一定技術(shù)能力的人員惡意或無意的行為也可能導(dǎo)致嚴(yán)重信息安全風(fēng)險(xiǎn)。另外,工業(yè)自動化和控制系統(tǒng)還經(jīng)常和其他業(yè)務(wù)系統(tǒng)相連,對運(yùn)行系統(tǒng)的修改和測試還會對系統(tǒng)的運(yùn)行產(chǎn)生沒有意識到的影響。控制系統(tǒng)區(qū)域之外的人對系統(tǒng)所進(jìn)行的信息安全測試,更加劇了這些影響和程度。綜合上述因素,顯而易見,潛在的對工業(yè)過程獲得非法或破壞性訪問的風(fēng)險(xiǎn)并不是微不足道的。
雖然技術(shù)變化和更多的合作伙伴關(guān)系可能對業(yè)務(wù)行為是有益的,但也增加了影響信息安全的潛在風(fēng)險(xiǎn)。正因?yàn)閷τ跇I(yè)務(wù)的威脅增加了,所以對于信息安全的需要也隨之增加。
1 工業(yè)自動化和控制系統(tǒng)的現(xiàn)狀
工業(yè)自動化和控制系統(tǒng)是從單個的、獨(dú)立的、專用操作系統(tǒng)和網(wǎng)絡(luò)向互聯(lián)的系統(tǒng)和使用商用技術(shù)(即,操作系統(tǒng)和協(xié)議)的應(yīng)用而逐漸演化的。工業(yè)自動化和控制系統(tǒng)正在通過各種通信網(wǎng)絡(luò)與企業(yè)管理系統(tǒng)和其他業(yè)務(wù)應(yīng)用集成。隨著這種集成度的增加,帶來了巨大的商業(yè)價(jià)值,例如:增加了工業(yè)自動化和控制系統(tǒng)各項(xiàng)活動的可見性(工作進(jìn)程、設(shè)備狀態(tài)、生產(chǎn)進(jìn)度),從業(yè)務(wù)層面集成工業(yè)過程系統(tǒng),可以提高分析的能力,從而降低成本,提高生產(chǎn)力;集成制造和生產(chǎn)系統(tǒng),可以更直接獲得商業(yè)信息,有利于形成具有快速響應(yīng)能力的企業(yè);通用的接口降低了總體維護(hù)成本,并允許對生產(chǎn)過程的遠(yuǎn)程支持;對過程控制系統(tǒng)的遠(yuǎn)程監(jiān)視可以降低成本并有利于更快速地解決問題等。
通過標(biāo)準(zhǔn)化的定義模型和信息交換,使得工業(yè)自動化和控制系統(tǒng)以一致的方式分享信息成為可能。然而,這種交換信息的能力增加了有惡意企圖的個人進(jìn)行攻擊或誤操作的脆弱性,從而給使用工業(yè)自動化和控制系統(tǒng)的企業(yè)帶來潛在的風(fēng)險(xiǎn)。在物理硬件、編程和通信方面,工業(yè)自動化和控制系統(tǒng)的配置非常復(fù)雜。
這種復(fù)雜性使得下列問題難以確定:授權(quán)誰可以訪問電子信息;用戶何時能訪問信息;用戶訪問何種數(shù)據(jù)或功能;訪問請求源的位置;如何請求訪問等問題。
2 工業(yè)自動化和控制系統(tǒng)的防護(hù)能力
工業(yè)自動化和控制系統(tǒng)采取的技術(shù)防護(hù)措施不能丟失其基本服務(wù)和功能(包括應(yīng)急程序),因此其安全目標(biāo)重點(diǎn)集中在控制系統(tǒng)的可用性、工廠保護(hù)、工廠運(yùn)行(即使在降級模式)和時間關(guān)鍵系統(tǒng)響應(yīng)。IT安全目標(biāo)可能更關(guān)心的是保護(hù)信息,而非有形資產(chǎn)。無論工廠集成的實(shí)現(xiàn)程度,這些不同的目標(biāo)需要明確地表述為安全目標(biāo)。國際上,大家目前比較關(guān)注的工業(yè)控制系統(tǒng)信息安全的IEC62443系列標(biāo)準(zhǔn),其IEC62443-3-3:2013主要是系統(tǒng)的技術(shù)防護(hù)能力,因?yàn)榈侥壳盀橹梗I(yè)自動化和控制系統(tǒng)還沒有象IT領(lǐng)域的成熟的信息安全防護(hù)產(chǎn)品。基于此,對工控領(lǐng)域的防護(hù)還是以系統(tǒng)為考慮對象。通過下面幾節(jié)介紹一下該標(biāo)準(zhǔn)的主要內(nèi)容。
2.1 系統(tǒng)防護(hù)等級
工業(yè)自動化和控制系統(tǒng)將其防護(hù)分為四個信息安全等級(SL),分別為:
(1)SL 1:防止通過竊聽或偶然曝光而引發(fā)的未經(jīng)授權(quán)的信息泄露;
(2)SL 2:防止針對某實(shí)體采用通用方法、低資源、低動因的簡單方式進(jìn)行主動搜索,導(dǎo)致未經(jīng)授權(quán)的信息泄露;
(3)SL 3:防止針對某實(shí)體,采用IACS特殊技能、一般資源、一般動因的復(fù)雜方式進(jìn)行主動搜尋,導(dǎo)致未經(jīng)授權(quán)的信息泄露;
(4)SL 4:防止針對某實(shí)體,采用IACS特殊技能、擴(kuò)展性資源、高動因的復(fù)雜方式進(jìn)行主動搜尋,導(dǎo)致未經(jīng)授權(quán)的信息泄露。
2.2 系統(tǒng)防護(hù)的基本要求從技術(shù)實(shí)現(xiàn)上,系統(tǒng)防護(hù)的基本要求包括:
(1)標(biāo)識和鑒別控制(IAC);
(2)使用控制(UC);
(3)系統(tǒng)完整性(SI);
(4)數(shù)據(jù)保密性(DC);
(5)受限的數(shù)據(jù)流(RDF);
(6)對事件的及時響應(yīng)(TRE);
(7)資源可用性(RA)。
2.3 實(shí)現(xiàn)各個基本要求對應(yīng)的系統(tǒng)要求
2.3.1 標(biāo)識和鑒別控制(IAC):
為了實(shí)現(xiàn)標(biāo)準(zhǔn)和鑒別控制(IAC),系統(tǒng)實(shí)現(xiàn)上,要滿足以下要求:
(1)SR1.1:人員用戶標(biāo)識和鑒別控制;
(2)SR1.2:軟件進(jìn)程和設(shè)備標(biāo)準(zhǔn)鑒別;
(3)SR1.3:帳戶管理;
(4)SR1.4:標(biāo)識符管理;
(5)SR1.5:鑒別器管理;
(6)SR1.6:無線訪問管理;
(7)SR1.7:基于口令的鑒別強(qiáng)度;
(8)SR1.8:公鑰基礎(chǔ)設(shè)施證書;
(9)SR1.9:公鑰鑒別強(qiáng)度;
(10)SR1.10:鑒別器反饋;
(11)SR1.11:失敗的登錄嘗試;
(12)SR1.12:系統(tǒng)使用提示;
(13)SR1.13:通過不可信網(wǎng)絡(luò)的訪問。
2.3.2 使用控制(FR)
為了實(shí)現(xiàn)使用控制(FR),系統(tǒng)實(shí)現(xiàn)上要滿足以下要求:
(1)SR2.1:授權(quán)執(zhí)行;
(2)SR2.2:無線使用控制;
(3)SR2.3:便攜式和移動設(shè)備使用控制;
(4)SR2.4:移動代碼;
(5)SR2.5:會話鎖定;
(6)SR2.6:遠(yuǎn)程會話終止;
(7)SR2.7:并發(fā)會話控制;
(8)SR2.8:審計(jì)事件;
(9)SR2.9:審計(jì)存儲容量;
(10)SR2.10:審計(jì)處理失敗響應(yīng);
(11)SR2.11:時間戳;
(12)SR2.12:抗抵賴。
2.3.3 系統(tǒng)完整性(SI)
為了實(shí)現(xiàn)系統(tǒng)完整性(SI),系統(tǒng)實(shí)現(xiàn)上要滿足以下要求:
(1)SR3.1:通信完整性;
(2)SR3.2:惡意代碼防護(hù);
(3)SR3.3:信息安全功能驗(yàn)證;
(4)SR3.4:軟件和信息完整性;
(5)SR3.5:輸入檢驗(yàn);
(6)SR3.6:確定性輸出;
(7)SR3.7:出錯處理;
(8)SR3.8:會話完整性;
(9)SR3.9:審計(jì)信息保護(hù)。
2.3.4 數(shù)據(jù)保密性(DC)
為了實(shí)現(xiàn)數(shù)據(jù)保密性(DC),系統(tǒng)實(shí)現(xiàn)上要滿足以下要求:
(1)SR4.1:信息保密性;
(2)SR4.2:信息留存;
(3)SR4.3:加密使用。
2.3.5 受限的數(shù)據(jù)流(RDF)
為了實(shí)現(xiàn)受限的數(shù)據(jù)流(RDF),系統(tǒng)實(shí)現(xiàn)上要滿足以下要求:
(1)SR5.1:網(wǎng)絡(luò)分區(qū);
(2)SR5.2:區(qū)域邊界防護(hù);
(3)SR5.3:通用目的的個人間通信限制;
(4)SR5.4:應(yīng)用劃分。
2.3.6 對事件的及時響應(yīng)(TRE)
為了實(shí)現(xiàn)對事件的及時響應(yīng)(TRE),系統(tǒng)實(shí)現(xiàn)上要滿足以下要求:
(1)SR6.1:審計(jì)日志可訪問性;
(2)SR6.2:連續(xù)監(jiān)視。
2.3.7 資源可用性(RA)
為了實(shí)現(xiàn)資源可用性(RA),系統(tǒng)實(shí)現(xiàn)上要滿足以下要求:
(1)SR7.1:拒絕服務(wù)保護(hù);
(2)SR7.2:資源管理;
(3)SR7.3:控制系統(tǒng)備份;
(4)SR7.4:控制系統(tǒng)恢復(fù)和重構(gòu);
(5)SR7.5:應(yīng)急電源;
(6)SR7.6:網(wǎng)絡(luò)和安全配置設(shè)置;
(7)SR7.7:最小功能性;
(8)SR7.8:控制系統(tǒng)組件詳細(xì)目錄。
3 工業(yè)控制系統(tǒng)信息安全動態(tài)
工業(yè)自動化系統(tǒng)的防護(hù)能力主要介紹了IEC62443-3-3的技術(shù)能力要求,主要分為7個基本要求和實(shí)現(xiàn)基本要求的系統(tǒng)要求,同時標(biāo)準(zhǔn)中將技術(shù)能力根據(jù)分成的SL等級進(jìn)行了劃分,大家可以參看該標(biāo)準(zhǔn)的附錄B。
目前, IEC6 2 4 4 3 - 4 系列是針對系統(tǒng)組件的兩個標(biāo)準(zhǔn),主要是要求產(chǎn)品生產(chǎn)商或軟件設(shè)計(jì)商要根據(jù)軟件能力成熟度(CMMI)的要求來實(shí)現(xiàn)產(chǎn)品或組件,以保證在組件或產(chǎn)品階段實(shí)現(xiàn)系統(tǒng)要求的內(nèi)容。同時,IEC/TC65技術(shù)委員會將成立工作組開展功能安全和信息安全融合方面的標(biāo)準(zhǔn)制定工作;ISA99工作組也在加快制定ISA62443系列標(biāo)準(zhǔn)制定的進(jìn)程,以滿足行業(yè)的需求,另外,ISASecure正在進(jìn)行基于TCP/IP協(xié)議的自動化產(chǎn)品的安全認(rèn)證工作;IECEE也于近期成立了工作組,將根據(jù)IEC62443系列標(biāo)準(zhǔn)的技術(shù)內(nèi)容開展信息安全認(rèn)證方面的標(biāo)準(zhǔn)化工作。
作者簡介
王玉敏(1971-),女,河北人,教授級高工,碩士研究生,現(xiàn)就職于機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所,主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全。
摘自《自動化博覽》2015年11月刊
北京市公安局海淀分局備案號:11010802023656號