時間:2023-03-08 15:28:29
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇控制系統信息安全范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
1我國工業控制系統信息安全發展態勢
從2011年底起,國家各部委了一系列關于工業控制系統信息安全的文件,把工控信息安全列為“事關經濟發展、社會穩定和國家安全”的重要戰略,受到國家層面的高度重視。在國家層面的推動下,工控信息安全工作轟轟烈烈展開,大批行政指令以及標準應運而生;在行政和市場雙重動力的推動下,安全信息產業如雨后春筍般發展,工控信息安全產業聯盟迅速壯大。這種形勢下,我國電力、石化、鋼鐵等各大行業的集團和公司面臨著如何迅速研究工控信息安全這個新課題,學習這一系列文件精神和標準,加強工控信息安全管理,研究采取恰當的信息安全技術措施等,積極穩妥地把工控信息安全工作踏踏實實地開展起來這一系列緊迫任務。但是,當前面臨的困難是,從事信息安全產業的公司大多不太熟悉特點各異的各行業工控系統,有時還不免把工控系統視作一個互聯網信息系統去思考和防護,而從事工控系統應用行業的人們大多還來不及了解信息安全技術,主導制定本行業的相關標準和本行業控制系統信息安全的工作策略,并推動兩支力量的緊密配合。這正是當前面臨的困境和作者力圖要與同仁們一起學習和探討的問題。
2從工控系統特點出發正確制定信息安全發展策略
火電廠控制系統與傳統信息系統相比,相對來說,與外部完全開放的互聯網聯系極少,分布地域有限,接觸人員較少,而對實時性、穩定性和可靠性卻要求極高。這正是我們制定火電廠控制系統信息安全工作策略的基本出發點。為了形象起見,我們以人類抵抗疾病為例。人要不生病,一方面要自身強壯,不斷提高肌體的免疫系統和自修復能力;另一方面,要盡可能營造一個良好的外部環境(不要忽冷忽熱,空氣中污染物少,無彌漫的病菌和病毒)。人類積累了豐富的經驗,根據實際情況采取非常適當的保護措施。例如,對于一般人來說,他們改變環境的可行性較差。因此,確保自身強壯以及發現病兆及時吃藥修復等是其保護自己的主要手段。但是,對于新生兒,因為自身免疫系統還比較脆弱,短時間也不可能馬上提高。剛出生時醫生也有條件將其暫時置于無菌恒溫保護箱中哺養,以隔絕惡劣的環境。信息安全與人類抵抗病十分相似。對于一般互聯網信息系統,分布地域極廣,接觸人員多而雜,因此信息安全策略重點,除了在適當地點采取一些防火墻等隔離措施外,主要依靠提高自身健壯性,以及查殺病毒等措施防御信息安全。對于工控系統,特別是火電廠控制系統,它與外部互聯網聯系較少,分布地域有限,接觸人員較少。因此,對火電廠應該首先把重點放在為控制系統營造一個良好環境上。也就是說,盡可能與充斥病毒和惡意攻擊的源泉隔離,包括從互聯網進來的外部入侵,以及企業內外人員從內部的直接感染和入侵。前者可采取電力行業中證明行之有效的硬件網絡單向傳輸裝置(單向物理隔離裝置)等技術手段;后者則主要通過加強目前電廠內比較忽視和薄弱的信息安全管理措施。火電廠控制系統采取這種信息安全策略可以達到事半功倍的效果。從當前國內外出現的不少工控系統遭受惡意攻擊和植入病毒導致的嚴重事故來看,幾乎大多數是沒有或者隔離措施非常薄弱經互聯網端侵入,或者通過企業內外人員從內部直接植入病毒導致。當然,我們不能忽視提高控制系統自身健壯性的各種努力和措施,以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是,開展這方面工作,特別是在已經投運的控制系統上進行這方面工作要特別慎重,這不僅因為這些工作代價較高,而且在當前信息安全產業中不少公司還不太熟悉相關行業工控系統特點,有些產品在工控系統中應用尚不成熟,而火電廠控制系統廠家對自身產品信息安全狀態研究剛剛開始,或者由于種種原因沒有介入和積極配合的情況下風險較高。這不是聳人聽聞,實踐已經發生,有的電廠為此已經付出了DCS停擺,機組誤跳的事故代價。
3火電廠控制系統供應側和應用側兩個信息安全戰場的不同策略及相互協調
火電廠控制系統,主要是DCS,不僅是保證功能安全的基礎,也是提高自身健壯性,確保信息安全的關鍵,它包括供應側和應用側兩個信息安全戰場。在DCS供應側提高自身健壯性,并通過驗收測收,確保系統信息安全有許多明顯的優點。它可以非常協調地融入信息安全策略,可以離線進行危險性較大的滲透性測試,發現的漏洞對應用其控制系統的電廠具有一定的通用性等。此外,DCS供應側在提高信息安全方面積累的經驗和措施,培養起來的隊伍,也將有助于現有電廠DCS的測試評估,以及安全加固等直接升級服務或配合服務。與信息安全產業的公司提供服務擴大了公司的市場不同,DCS供應側提高其信息安全水平增加了DCS成本。因此,為了推動DCS供應側提高信息安全水平,除了目前已經在發揮作用的行政手段外,我們還必須加強市場手段的動力。為此,當前我們電力行業應盡快從信息安全角度著手制定DCS準入標準,制定火電廠DCS信息安全技術標準和驗收測試標準,以及招標用典型技術規范書等?;痣姀SDCS應用側,是當前最緊迫面臨現實信息安全風險,而且范圍極廣的戰場,必須迅速有步驟地點面結合提高信息安全,降低風險。具體意見如下:
3.1應迅速全面開展下列三方面工作
(1)全面核查DCS與SIS及互聯網間是否真正貫徹落實了發改委2014年14號令和國家能源局2015年36號文附件中關于配置單向物理隔離的規定,沒有加裝必須盡快配置,已配置的要檢查是否符合要求。(2)迅速按照《工業控制系統信息安全防護指南》加強內部安全管理,杜絕內部和外部人員非法接近操作、介入或在現場總線及其它接入系統上偷掛攻擊設備等,并適度開展一些風險較小的安全測評項目。上述兩項工作,在已投運系統上實施難度較低,實施風險相對較低,但是卻能起到抵御當前大部分潛在病毒侵襲和惡意攻擊的風險。(3)通過試點,逐步開展對已運DCS進行較為深入的安全測評,適度增加信息安全技術措施,待取得經驗后,再組織力量全面推廣,把我國火電廠控制系統信息安全提高到一個新的水平。為了提高這項工作的總體效益,建議針對國內火電廠應用的各種型號的DCS品牌出發,各大電力集團互相協調,統籌規劃,選擇十個左右試點電廠,由應用單位上級領導組織,國家級或重點的測評機構、實驗室技術指導,相關DCS供應商、優秀信息安全產品生產商以及電廠負責DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經驗,包括他們已經開展的信息安全測評和信息安全加強措施,減少不必要的某些現場直接工作帶來的較大風險。也有利于當前復合人才缺乏的情況下,確保工控系統技術和工控系統信息安全技術無縫融合,防止發生故障而影響安全生產(目前已經有電廠在測試和加入安全措施導致DCS故障而停機的事件)。
4DCS信息安全若干具體問題的建議
4.1關于控制大區和管理大區隔離的問題
根據國家發改委2014年14號令頒發的《電力監控系統安全防護規定》,以及國家能源局36號文附件《電力監控系統安全防護總體方案》的要求:(1)生產拉制大區和管理信息大區之間通信應當部署專用橫向單向安全隔離裝置,是橫向防護的關鍵設備。(2)生產控制大區內的控制區與非控制區之間應當采取具有訪問功能的設施,實現邏輯隔離。2016年修訂的電力行業標準《火電廠廠級監控信息系統技術條件》(DL/T 924-2016)對隔離問題做了新的補充規定:(1)當MIS網絡不與互聯網連接時,宜采用SIS與MIS共用同一網絡,在生產控制系統與SIS之間安裝硬件的網絡單向傳輸裝置(單向物理隔離裝置)。(2)當MIS網絡與互聯網連接時,宜采用SIS網絡獨立于MIS網絡,并加裝硬件的網絡單向傳輸裝置(單向物理隔離裝置),而在生產控制系統與SIS之間安裝硬件防火墻隔離。根椐當前嚴峻的網絡安全形勢,應當重新思考單向物理隔離裝置這個行之有效的關鍵安全措施的設置點問題。建議無論是剛才提到的哪一種情況,單向物理隔離裝置均應設置在生產控制系統(DCS)與SIS之間,理由是:(1)生產控制系統(DCS)對電廠人身設備危害和社會影響極大,而且危險事件瞬間爆發。因此,一定要把防控惡意操作、網絡攻擊和傳播病毒的區域限制在盡可能小的范圍內,這樣可以最大限度提高電廠控制系統應對網絡危害的能力。(2)SIS是全廠性的,涉及人員相對廣泛,跟每臺機組均有聯系。因此,一旦隔離屏障被攻破,故障將是全廠性的,事故危害面相對較大。
4.2DCS信息安全認證和測試驗收問題
火電廠在推廣應用DCS的30年歷史中,從一開始就適時提出了供編制招標技術規范書參考的典型技術規范書,進而逐步形成了標準, 明確規定了功能規范、性能指標以及驗收測試等一系列要求。隨后又根據發展適時增加了對電磁兼容性和功能安全等級認證的要求。當前,為確保得到信息安全的DCS產品,歷史經驗可以借鑒。筆者認為,宜首先對控制系統供應側開展阿基里斯認證(Achilles Communications Certification,簡稱ACC)作為當前提高DCS信息安全的突破口。眾所周知,ACC已得到全球前十大自動化公司中八個公司的確認,并對其產品進行認證;工業領域眾多全球企業巨頭,均已對其產品供應商提供的產品強制要求必須通過ACC認證。目前,ACC事實上已成為國際上公認的行業標準。國內參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認證。至于國產主流DCS廠家,他們大多也看到了ACC認證是進入國際市場的門檻,也嗅到了國內市場未來的傾向,都在積極為達到ACC一級認證而努力(緊迫性程度明顯與行業客戶對ACC認證緊迫性要求有關)。此外,我國也已建立了進行測試認證的合格機構,具備了國內就地認證的條件。根據調查判斷,如果我們電力行業側開始編制技術規范書將ACC一級認證納入要求,相信在行政推動和市場促進雙重動力下,國產主流DCS在一年多時間內通過ACC一級認證是可以做到的。除ACC認證外,如前所述,當前還急需編制招標用火電廠信息安全技術規范和驗收測試標準,使用戶在采購時對其信息安全的保障有據可依。從源頭抓起,取得經驗,必將有利于在運DCS信息安全工作,少走彎路。
5結語
【關鍵詞】 工業控制系統 信息安全 存在問題 解決方案
按照工業控制系統信息安全的相關要求及防范手段的特點,當前工業控制系統對信息安全提出了解決方案,在控制系統內部建立防火墻、安裝入侵檢測系統及建立連接服務器的驗證機制,能夠在控制系統內部實現網絡安全設備交互信息的目的,以此可以提升工業控制系統的整體防御能力[1]。在此情況下,工業控制系統現已成為信息安全領域愈來愈受關注的話題與重點之一,對其中存在的問題加以解決是迫不可待的[2]。
一、當前工業控制系統信息安全存在問題分析
工業控制系統,一般來說可以分為三個層面,即現場控制層面、監控管理層面與生產控制層面?,F場控制層面由生產設備、DCS及PLC等相關控制器組成,用來通訊的工具主要是工業以太網及現場總線;監控管理層面基本由上位機、數據服務器、監控設備及數據采集機等組成,用來通訊的工具為工業以太網及OPC;生產控制層面由管理終端組成,比如:供應鏈、質檢與物料等相關的管理服務器,主要用以太網來進行通訊。當前工業控制系統的信息安全問題來自以下方面:1、工業控制系統通訊方案較為落后守舊。大多數的工業控制系統通訊方案都具有一定的歷史,是由技術人員在多年前便已設計好的,基本上都是在串行連接的基礎上訪問網絡,設計時考慮的主要因素便是工業控制系統的可靠性與實用性,而忽視了控制系統的安全性,加之通訊方案對于用戶的身份認證、信息數據保密等這些方面存在考慮不足的問題[3]。2、接入限定點不夠明確。接入限定點不夠明確的問題主要體現在系統終端與計算機接口等,不同版本、不同安全要求及通訊要求的設備都可以直接或者間接連接互聯網,加上訪問的策略管理工作存在松散與懈怠的情況,能夠在一定程度上增加工業控制系統內部病毒感染的幾率[4]。3、工業控制系統信息安全的關注降低。現階段網絡安全方面很少有黑客攻擊工業網絡的情況發生,故工業控制系統技術人員對于工業控制系統信息安全的關注逐漸降低,也沒有制定科學化與合理化的工業控制系統安全方案、管理制度,也沒有加強培養操作人員與設計人員的安全意識,隨著時間的推移,人員的安全意識愈來愈淡薄,操作管理的實際技術能力與安全思想觀念存在差異,極容易出現違規操作與越權訪問的情況,給工業控制系統的生產系統埋下安全隱患[5]。4、在信息科學技術及工業技術的高速融合下,現代企業的物聯程度與信息化程度不斷提升,這樣便促使更多更智能的儀器設備將會在市場上出現,也將帶來更多的安全問題。
二、當前工業控制系統信息安全的相關特點分析
傳統計算機信息系統信息安全的要求主要有:保密性、可用性與完整性,而現代工業控制系統信息安全首要考慮的是可用性。工業控制系統的控制對象為不同方面的生產過程,如物理、生物與化學,系統終端設備與執行部位能夠嚴格設定生產過程中的實際操作,故在對安全措施進行調整與試行之前必須要將生產設備保持停機狀態,對工業控制系統采取的安全措施必須查看其是否具有一定的準確性及時效性,并要在停機狀態下對其進行測試與調整,但這些程序勢必會給企業帶來一定程度的經濟影響[6]。
根據相關的研究報告顯示,在已公布于社會與民眾的工業控制系統漏洞中,拒絕服務類與控制軟件類等漏洞造成系統業務停止的比重,分別占據了百分之三十三與百分之二十,這樣的情況,便給工業控制系統的實用功能帶來了巨大的威脅,不但會在信息安全方面造成信息丟失,增加工業生產過程中生產設備出現故障的幾率,而且會在最大程度上造成操作人員的意外傷亡情況及設備損壞情況,造成企業經濟利益嚴重虧損。
三、當前工業控制系統信息安全解決方案分析
1、主動隔離式。主動隔離式信息安全解決方案的提出,來自于管道與區域的基本概念,即將同樣性能與安全要求的相關設備安置在同一個區域內,通訊過程主要靠專門管道來完成,并利用管道管理工作來起到抵制非法通信的作用,能夠集中防護網絡區域內或者外部的所有設備。這種方案,相對來說具有一定的有效性,可以按照實際需求來靈活運用工業控制系統,并為其實施信息安全防護工作,但在實施這種解決方案之前,必須先確定防護等級與安全范圍,并尋找出一種適度的防護與經濟成本折中辦法。
2、被動檢測式。被動檢測式解決方案是一種以傳統計算機系統為基礎的新型網絡安全保護方案,因為計算機系統本身便具有結構化、程序化及多樣化等特點,故除了采取對用戶的身份認證與加密數據等防護技術之外,還添設了查殺病毒、檢測入侵情況及黑名單匹配等手段,以此有助于確定非法身份,并結合多方面的部署來提升網絡環境的安全。這種方案的硬件設備除了原部署的系統之外,還能利用終端的白名單技術來實現主機的入侵抵制功能,這些措施能夠減少對原來系統具備性能的負面影響,達到工業控制系統實用的目標。但網絡威脅的特征庫無法及時更新,故黑名單技術對于新出現的違法入侵行為不能做出實時回應,故對于工業控制系統來說還是帶來了一定的危害。
結束語:總而言之,本文主要對當前工業控制系統信息安全存在的問題展開分析,針對工業控制系統通訊方案較為落后守舊、接入限定點不夠明確及工業控制系統信息安全的關注降低等問題,研究了當前工業控制系統信息安全的特點,最后對當前工業控制系統信息安全解決方案展開剖析,即主動隔離式與被動檢測式。當然,要完全解決工業控制系統存在的問題,還得要求我國政府機關及相關部門提高網絡安全的意識,構建并不斷完善一個有效、科學且合理的安全機制,以此來推動我國工業控制系統的發展。
參 考 文 獻
[1]朱世順,黃益彬,朱應飛,張小飛.工業控制系統信息安全防護關鍵技術研究[J].電力信息與通信技術,2013,11:106-109.
[2]張波.西門子縱深防御DCS信息安全方案在青島煉化項目的應用[J].自動化博覽,2015,02:42-45.
[3]陳紹望,羅琪,陸曉鵬.海洋石油平臺工業控制系統信息安全現狀及策略[J].自動化與儀器儀表,2015,05:4-5+8.
[4]張波.基于縱深防御理念的DCS信息安全方案在青島煉化項目的應用[J].中國儀器儀表,2014,02:30-35.
江蘇省根據工信部的相關文件精神,按照江蘇經信委領導的有關要求,結合工作實際,就加強工業控制系統信息安全管理問題談點看法。
(一)1、情況不明。絕大部分省市從事信息安全工作的管理人員,目前既不知道本地區工業控制系統的數量,也不清楚工業控制系統的類型,更不了解重要工業控制系統的運營單位和設備、組網情況以及重要程度。
2、 聯系不緊。工業控制系統涉及各行各業,建設規模大小不一、技術水平參差不齊、經濟效益差別不小,建設單位既有政府組成部門或國務院國有資產監督管理委員會等專設直屬機構,又有企事業單位。投資主體不但有中國大陸的,又有外資及港澳臺投資企業。以上建設單位或投資主體各自為政,與信息安全主管部門目前在工業控制系統規劃、建設、運營等工作方面基本上沒有什么聯系。
3、 管理不順。各級網絡與信息安全協調小組是轄區內信息安全工作的主要協調機構,其具體辦事的辦公室設在當地經信部門。由于各級經信部門成立時間不長,工作頭緒多、壓力大,加上各地、各部門和各單位在工業控制系統建設上的經費投入、建設運維等方面的自主性,減弱了信息安全主管部門目前對工業控制系統信息安全管理的力度。
(二)1、開展調查。一是思想認識不到位,重視不夠,存在該報的不報;二是工業控制系統應列為重要工業控制系統;三是具體辦事人員對數據采集與監控系統、分布式控制系統和可編程控制器等工業控制系統的類型了解不多,理解不透,也較難于正常填寫上報。
加強對重要工業控制系統運營單位和設備、組網情況以及事故可能導致后果等調查內容的整理匯總,統計出產品的品牌、系統國產化率等綜合數據,并建立江蘇重要工業控制系統數據庫。
2、 管理試點。在對重要工業控制系統基本情況調查分析的基礎上,開展信息安全管理試點工作,摸索行之有效的管理辦法。
3、 安全檢查。建立工業控制系統信息安全檢查制度,定期開展信息安全檢查活動。檢查內容以工信部提出的連接、組網、配置、設備選擇與升級、數據和應急六個管理項為準。
(三)1、制定審查規范,明確安全控制。應采用基于漏洞庫的匹配技術、插件技術等進行漏洞掃描,開展信息安全風險評估,并采取縱深防御的安全策略。在此基礎上,結合日常管理的內容、方法、程序等,制定工業控制系統信息安全管理審查規范,明確管理、技術和運行控制的目標。
2、 出臺管理辦法,實行備案制度。隨著計算機和網絡技術的快速發展,特別是近年來兩化融合的深化和物聯網的推進,工業控制系統的產品越來越多地采用通用協議、通用硬件和通用軟件,并以各種方式與互聯網等惡意代碼威脅著工業控制系統。
1美國電力行業信息安全的戰略框架
為響應奧巴馬政府關于加強丨Kj家能源坫礎設施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美國能源部出資,能源行業控制系統工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護能源行業控制系統路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎上,于2011年了《實現能源傳輸系統信息安全路線閣》。2011路線圖為電力行業未來丨0年的信息安全制定了戰略框架和行動計劃,體現了美國加強國家電網持續安全和可靠性的承諾和努力%
路線圖基于風險管理原則,明確了至2020年美國能源傳輸系統網絡安全目標、實施策略及里程碑計劃,指導行業、政府、學術界為共丨司愿景投入并協同合作。2011路線圖指出:至2020年,要設計、安裝、運行、維護堅韌的能源傳輸系統(resilientenergydeliverysystems)。美國能源彳了業的網絡安全目標已從安全防護轉向系統堅韌。路線圖提出了實現目標的5個策略,為行業、政府、學術界指明了發展方向和工作思路。(1)建立安全文化。定期回顧和完善風險管理實踐,確保建立的安全控制有效。網絡安全實踐成為能源行業所有相關者的習慣,,(2)評估和監測風險。實現對能源輸送系統的所有架構層次、信息物理融合領域的連續安全狀態監測,持續評估新的網絡威脅、漏洞、風險及其應對措施。(3)制定和實施新的保施。新一代能源傳輸系統結構實現“深度防御”,在網絡安全事件中能連續運行。(4)開展事件管理。開展網絡事件的監測、補救、恢復,減少對能源傳輸系統的影響。開展事件后續的分析、取證以及總結,促進能源輸送系統環境的改進。(5)持續安全改進。保持強大的資源保障、明確的激勵機制及利益相關者密切合作,確保持續積極主動的能源傳輸系統安全提升。為及時跟蹤2011路線圖實施情況,能源行業控制系統工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果,掌握里程碑進展情況,使能源利益相關者為路線圖的實現作一致努力。
2美國電力行業信息安全的管理結構
承擔美國電力行業信息安全相關職責的主要政府機構和組織包括:國土安全部(DHS)、能源部(1)0£)、聯邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業委員會(PUC)。2.1國土安全部美國國土安全部是美國聯邦政府指定的基礎設施信息安全領導部I'j'負責監督保護政府網絡安全,為私營企業提供專業援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負責與聯邦相關部門、各州、各行業以及國際社會共享網絡威脅發展趨勢,組織協調事件響應。
2.2能源部
美國能源部不直接承擔電網信息安全的管理職責,而是通過指導技術研發和協助項目開發促進私營企業發展和技術進步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔加強國家能源基礎設施的可靠性和堅韌性的職責,提供技術研究和發展的資金,推進風險管理策略和信息安全標準研發,促進威脅信息的及時共享,為電網信息安全戰略性綜合方案提供支撐。
能源部2012年與美國國家標準技術研究院、北美電力可靠性公司合作編制了《電力安全風險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協作編制完成了《電力行業信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撐電力行業的信息安全能力評估和提升;2014年資助能源行業控制系統工作組(ESCSWG)形成了《能源傳輸系統網絡安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強供應鏈的信息安全風險管理。
在201丨路線圖的指導下,能源部啟動了能源傳輸系統的信息安全項目,資助愛達荷國家實驗室建立SCADA安全測試平臺,發現并解決行業面臨的關鍵安全漏洞和威脅;資助伊利諾伊大學等開展值得信賴的電網網絡基礎結構研究。
2.3聯邦能源管理委員會
聯邦能源管理委員會負責依法制定聯邦政府職責范圍內的能源監管政策并實施監管,是獨立監管機構。2005年能源政策法案(EnergyPolicyActof2005)授權FERC監督包括信息安全標準在內的主干電網強制可靠性標準的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標準與技術研究所(National丨nstituteofStandardsan<丨Technology,NIST)相關責任以協調智能電網指導方針和標準的編制和落實。2011年的電網網絡安全法案(GridCyberSecurityAct)要求FKRC建立關鍵電力基礎設施的信息安全標準。
2007年FERC批準由北美電力可靠性公司制定的《關鍵基礎設施保護》(criticalinfrastructprotection,CIPW標準為北美電力可靠性標準之中的強制標準,要求各相關企業執行,旨在保護電網,預防信息系統攻擊事件的發生。
2.4北美電力可靠性公司
北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監管下,制定并強制執行包括信息安全標準在內的大電力系統可靠性標準,開展可靠性監測、分析、評估、信息共享,確保大電力系統的可靠性。
NERC了一系列的關鍵基礎設施保護(CIP)標準181作為北美電力系統的強制性標準;與美國能源部和NIST編制了《電力行業信息安全風險管理過程指南》,提供了網絡安全風險管理的指導方針。
歸屬NERC的電力行業協凋委員會(ESCC)是聯邦政府與電力行業的主要聯絡者,其主要使命是促進和支持行業政策和戰略的協調,以提高電力行業的可靠性和堅韌性'NERC通過其電力行業信息共享和分析中心(ES-ISAC)的態勢感知、事件管理以及協調和溝通的能力,與電力企業進行及時、可靠和安全的信息共享和溝通。通過電網安全年會(GridSecCon)、簡報,提供威脅應對策略、最佳實踐的討論共享和培訓機會;組織電網安全演練(GridEx)檢查整個行業應對物理和網絡事件的響應能力,促進協調解決行業面臨的突出的網絡安全問題。
2.5州公共事業委員會
美國聯邦政府對地方電力公司供電系統的可靠性沒有直接的監管職責。各州公共事業委員會負責監管地方電力公司的信息安全,大多數州的PUC沒有網絡安全標準的制定職責。PUC通過監管權力,成為地方電力系統和配電系統網絡安全措施的重要決策者。全國公用事業監管委員協會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯盟協會,也采取措施促進PUC的電力網絡安全工作,呼吁PUC密切監控網絡安全威脅,定期審查各自的政策和程序,以確保與適用標準、最佳實踐的一致性
3美國電力行業信息安全的硏究資源
參與美國電力行業信息安全研究的機構和組織主要有商務部所屬的國家標準技術研究院及其領導下的智能電網網絡安全委員會、國土安全部所屬的能源行業控制系統工作組,重點幵展電力行業信息安全發展路線圖、框架以及標準、指南的研究。同時,能源部所屬的多個國家實驗室提供網絡安全測試、網絡威脅分析、具體防御措施指導以及新技術研究等。
3.1國家標準技術研究院(NIST)
根據2007能源獨立與安全法令,美_國家標準技術研究院負責包括信息安全協議在內的智能電網協議和標準的自愿框架的研發能電網互操作標準的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明確了智能電網的網絡安全原則以及標準等。2011年3月,NIST了信息安全標準和指導方針系列中的旗艦文檔《NISTSP800-39,信息安全風險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意義的信息安全改進建議。2014年2月,根據13636行政令,了《提高關鍵基礎設施網絡安全框架》第一版,以幫助組織識別、評估和管理關鍵基礎設施信息安全風險。
NIST正在開發工業控制系統(ICS)網絡安全實驗平臺用于檢測符合網絡安全保護指導方針和標準的_「.業控制系統的性能,以指導工業控制系統安全策略最佳實踐的實施。
3.2智能電網網絡安全委員會
智能電網網絡安全委員會其前身是智能電網互操作組網絡安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網安全架構、風險管理流程、安全測試和認證等研究,致力于推進智能電網網絡安全的發展和標準化。
在NIST的領導下,SGCC編制并進一步修訂了《智能電網信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網信息安全分析框架,為組織級研究、設計、研發和實施智能電網技術提供了指導性T.具。
3.3國家電力行業信息安全組織(NESC0)
能源部組建的國家電力行業信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO),集結了美國國內外致力于電力行業網絡安全的專家、開發商以及用戶,致力于網絡威脅的數據分析和取證工作⑴。美國電力科學研究院(EPRI)作為NESC0成員之一提供研究和分析資源,開展信息安全要求、標準和結果的評估和分析。NESCO與能源部、聯邦政府其他機構等共同合作補充和完善了2011路線圖的關鍵里程碑和目標。
3.4能源行業控制系統工作組(ESCSWG)
隸屬國土安全部的能源行業控制系統工作組由能源領域安全專家組成,在關鍵基礎設施合作咨詢委員會框架下運作。在能源部的資助下,ESCSWG編制了《實現能源傳輸系統信息安全路線圖》、《能源傳輸系統網絡安全釆購用語指南》。3.5能源部所屬的國家實驗室
3.5.1愛達荷國家實驗室(INL)
愛達荷W家實驗室成立于1949年,是為美國能源部在能源研究、國家防御等方面提供支撐的應用工程實驗室。近十年來,INL與電力行業合作,加強了電網可靠性、控制系統安全研究。
在美國能源部的資助下,INL建立了包含美國國內和國際上多種控制系統的SCADA安全測試平臺以及無線測試平臺等資源,目的對SCADA進行全面、徹底的評估,識別控制系統脆弱點,并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統信息安全項目,INL提出了采用數據壓縮技術檢測惡意流量對SCADA實時網絡保護的方法hi。為支持美國國土安全部控制系統安全項目,INL開發并實施了培訓課程以增強控制系統專家的安全意識和防御能力。1NL的相關研究報告有《SCADA網絡安全評估方法》、《控制系統十大漏洞及其補救措施》、《控制系統網絡安全:深度防御戰略》、《控制系統評估中常見網絡安全漏洞》%、《能源傳輸控制系統漏洞分析>嚴|等。
3.5.2太平洋西北國家實驗室(PNNL)
太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室,研究解決美國在能源、環境和國家安全等方面最緊迫的問題。
PNNL提出的安全SCADA通信協議(secureserialcommunicationsprotocol,SSCP)的概念,有助于實現遠程訪問設備與控制中心之間的安全通信。的相關研究報告有《工業控制和SCADA的安全數據傳輸指南》等。PNNL目前正在開展仿生技術提高能源領域網絡安全的研究項。
3.5.3桑迪亞國家實驗室(SNL)
工業控制系統面臨新威脅
就煙草行業而言,為了實現管理與控制的一體化,提高企業信息化和綜合自動化水平,實現生產和管理的高效率、高效益,行業引入了生產執行系統MES ,實現了管理信息網絡與生產控制網絡之間的數據交換,生產控制系統不再是一個獨立運行的系統,可以與管理系統進行互通、互聯。與此同時,行業實現了實時數據采集與生產控制,滿足了“兩化融合”的需求和管理的方便,通過邏輯隔離的方式,使工業控制系統和企業管理系統可以直接進行通信。然而,企業管理系統一般直接連接互聯網,在這種情況下,工業控制系統接入的范圍擴展到了企業網,也不斷面臨著來自互聯網的威脅。
成都卷煙廠工控安全項目正式項目名稱是“川渝中煙工業有限責任公司信息安全三期建設項目”,其目標是根據行業政策要求,結合川渝中煙成都卷煙廠的實際情況,建立川渝中煙四川子公司成都分廠的工業控制系統(ICS)安全防護體系,為川渝中煙成都卷煙廠建立行之有效的工業控制系統安全管理制度, 其范圍覆蓋廠級MES系統、制絲車間、卷包車間、高架庫、能源車間的工業控制系統,這是在全行業都具有完整意義的工控安全體系建設項目,意義重大。
啟明星辰在承建該項目之前就已經在煙草行業做過大量的關于工控安全問題的調查和研究,并為國家煙草局起草全行業相關規范和標準提供主要技術支撐,并在接手項目前后進行了細致的現場踏勘調研和溝通。2014年1月份項目啟動,經過詳細方案設計、安裝調試 、系統測試、上線試運行、解決初驗時的遺留問題、對系統的穩定性和功能進行改善和優化等階段,系統運行良好并投入了使用,并于2015年10月10日通過終驗。
由于此項目的開創性和現場環境的復雜性,本項目在實施期間遇到了包括技術方面的諸多困難,啟明星辰增派技術人員,聘請專家到現場加班加點,反復研究、調整提高設計和實施方案,對全部工業防火墻設備進行了升級,從而使項目順利完成。在完成標書與合同承諾的同時,啟明星辰還配合川渝中煙項目組成員完成了煙草工業企業工業控制系統安全防護部分規范標準的制定,完成了三篇相關科研論文,為成都分廠以及整個川渝中煙工控安全體系下一步建設的思路和做法做了科學有益的探索。
開辟工控安全建設新道路
川渝中煙工業有限責任公司信息安全三期建設項目”的成功驗收具有兩大意義:
【 關鍵詞 】 工控設備;風險評估;安全隱患;安全防護
Security Risk Assessment and Practice for Industrial Equipment
Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li
(Institute of Computer Application, China Academy of Engineering Physics SichuanMianyang 621900)
【 Abstract 】 Security information incidents occur recently shows, industrial system has become the main target of foreign information security attacks, safety protection for industrial control system must be strengthen. Industrial control system, is not office system, it has many intelligent devices、embedded operating system with various special protocols, especially intelligent equipments which has more high integration、specialty-industry, private kernel and lack efficient control technology for data interface, security risk assessment method and standard for industrial control system has not informed. In this paper, security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system, security risk assessment method is given to assess the full life of 840D.Last,some safety protections for confidential security is advised to adopted to protect industrial system.
【 Keywords 】 industrial equipment; risk assessment; security threat; safety protection
1 引言
近年來,越來越多的數控設備和工控系統應用到工業生產中,它們更多地采用了開放性和透明性較強的通用協議、通用硬件和通用軟件,并通過各種方式與企業管理網、互聯網等公共網絡連接。根據CNNVD搜集的漏洞數據和CNCERT的網絡安全態勢報告,這些工控系統中存在的各種漏洞、病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。
近期披露的信息安全事件表明,信息安全問題已經從軟件延伸至硬件,從傳統的網絡信息系統延伸至工業控制系統、大型科研裝置、基礎設施等諸多領域。對于工控系統以及工控設備的安全性測試和風險評估也變得重要起來。
工控系統與辦公系統不同,系統中使用智能設備、嵌入式操作系統和各種專用協議,尤其是智能設備具有集成度高、行業性強、內核不對外開放、數據交互接口無法進行技術管控等特點,工控系統的安全風險不能直接參照辦公系統的風險評估標準,其評估方法、標準還在不斷研究和探索中。
2 工控設備風險評估模型和流程
2.1 工控設備風險評估模型
工控設備安全保密風險需求主要涉及到三大方面:一是工控設備所處的物理環境安全,如防偷竊、非授權接觸、是否有竊聽竊視裝置等;二是工控設備自身的安全,主要分析包括硬件、軟件、網絡和電磁等方面的安全;三是工控設備的安全保密管理問題,包括其管理機構、人員、制度、流程等。在對工控設備安全保密需求分析的基礎上,本文結合工控設備安全檢測的需求,提出了工控設備安全風險評估框架,如圖1所示。
2.2 工控設備安全保密風險評估流程
針對上述評估模型,本文按照檢測對象、風險分析、檢測方案、結果評估的流程開展工控設備安全保密風險評估,如圖2所示。
1)檢測對象:確定設備用途,分析基本組成;
2)風險分析:根據不同設備類型,按照風險評估模型進行風險分析;
3)檢測方案:依據根據風險分析結果制定檢測方案,準備檢測工具、環境,明確檢測項目、要求和方法;
4)結果評估:依據檢測方案執行檢測,完成所有檢測項,依據檢測結果進行評估,對發現的可疑風險點進行深入檢測,修訂檢測方案,綜合評估。
3 數控設備安全保密風險評估實踐
3.1 檢測對象
數控機床主要用于各種零部件的生產加工,機床包括機床主體和核心控制系統。840D控制系統是西門子公司推出的一款功能強大、簡單開放的數控系統,本次數控設備安全保密風險評估的主要內容也是針對該控制系統。
840D sl將數控系統(NC、PLC、HMI)與驅動控制系統集成在一起,可與全數控鍵盤(垂直型或水平型)直接連接,通過PROFIBUS總線與PLC I/O連接通訊,基于工業以太網的標準通訊方式,可實現工業組網。其各部分硬件組成結構、拓撲結構、軟件系結構統如圖3、4、5所示。
3.2 風險分析及評估
3.2.1 物理安全
通過對840D數控機床設備所處的房間進行物理安全檢查,區域控制符合要求;竊聽竊照檢測,未發現有竊聽竊照裝置;通過對房間的進行聲光泄漏檢測,符合相關安全要求。
3.3.2 系統自身安全
1) 操作系統
脆弱點分析:
* 基本情況
> SINUMERIK 840D PCU采用Windows XP平臺
> 一般不會對Windows平臺安裝任何補丁
> 微軟停止對Windows XP的技術服務
> NCU系統為黑盒系統
* PCU
> RPC遠程執行漏洞(MS08-067)
> 快捷方式文件解析漏洞(MS10-046)
> 打印機后臺程序服務漏洞(MS10-061)
> 系統未安裝任何防火墻軟件和殺毒軟件
* NCU(CF卡)
> SINUMERIK 840D系統的NCU采用的西門子自有的內嵌式Linux系統,該系統在編譯時經過特殊設計,只能在SINUMERIK系統環境下運行;
> 可以對CF卡進行映像和重建,而且新建的CF卡可以在SINUMERIK 840D系統上成功啟動;
> NCU系統中設定了不同的用戶及權限,但內置的用戶及口令均以默認狀態存在系統存在默認用戶及口令;
> SNMP服務存在可讀口令,遠程攻擊者可以通過SNMP獲取系統的很多細節信息。密碼可暴力猜解,snmp服務密碼為弱口令“public”。
風險:
* 攻擊者可以利用漏洞入侵和控制SINUMERIK 840D系統的PCU,獲取到相應操作權限,對下位機下達相應指令;
* 由于在CF卡上有用戶數據的存放、HMI應用程序顯示的數據以及系統日志文件,因此通過對CF卡的復制和研究可還原用戶存放數據、PLC加工代碼等信息;
* 只要通過PCU或者直接使用PC安裝相應的管理軟件,通過網絡連接到NCU,即可使用以上用戶和口令進行各類操作;
* 攻擊者一旦得到了可寫口令,可以修改系統文件或者執行系統命令。
2) 應用系統
* 基本情況
> 應用軟件多種多樣,很難形成統一的防范規范;
> 開放應用端口,常規IT防火墻很難保障其安全性;
> 利用一些應用軟件的安全漏洞獲取設備的控制權。
* 重要應用――Winscp
脆弱點分析:是一款遠程管理軟件,其可通過ssh、SCP、SFTP等加密協議對下位機進行一定權限的系統命令操作; 通過winscp軟件可以對NCU進行遠程管理,需要相應的用戶賬戶和密碼。賬戶和密碼可通過協議漏洞獲取,如表1所示。
風險評估:攻擊者機器上直接登錄winscp遠程控制NCU。進一步,可對下位機NCU進行信息的竊?。℅代碼等相關數據均存于此)、系統破壞、上傳病毒、木馬、后門等作進一步攻擊。
* 重要應用――VNC Viewer
脆弱點分析:VNC是一款功能強大的遠程管理軟件。可接受管理人員鍵盤、鼠標等幾乎全部本地的控制操作;840d工控系統上位機所采用的VNC遠程管理軟件為通用軟件,不需要登錄認證。
風險評估:在內網的攻擊者只需一款普通VNC就可以實現對下位機的遠程的、完全的控制。
* 重要應用――HMI
脆弱點分析:HMI(直接發出指令操控機器的計算機軟件),可裝在任何符合條件的PC上,通過工程調試模式(直連管理口)連接NCU,進行配置信息的查看修改。
風險評估:物理接觸、調試,不僅存在信息泄露、甚至可能存在致使系統崩潰,或者植入軟件后門的風險。也可通過網絡配置實現對下位機的控制操作 。
3) 通信協議
> SINUMERIK 840D采用TCP/IP 協議和OPC 協議等通信,通信協議存在潛在威脅;
> 網絡傳輸的信息是否安全;
> 容易讀取到網絡上傳輸的消息,也可以冒充其它的結點。
* 協議――MPI
脆弱點分析:MPI MPI是一種適用于少數站點間通信的多點網絡通信協議,用于連接上位機和少量PLC之間近距離通信。MPI協議為西門子公司內部協議,不對外公開。
風險評估:尚未發現MPI多點通訊協議的安全問題。
* 協議――G代碼傳輸協議
脆弱點分析:G代碼是數控程序中的指令,它是數控系統中人與制造機床的最本質橋梁,是上位機對下位機及加工部件最直接最根本控制;G代碼傳輸采用的是基于TCP/IP協議之上的自定義協議,其傳輸過程中的G代碼裝載、卸載,PC_Panel上按鍵操作等都是進行明文傳輸。
風險評估:攻擊者不僅可以嗅探到完全的G代碼及上位機操作信息。而且可以對傳輸過程中的G代碼進行篡改、重放,致使下位機接收錯誤的命令和數據,從而使得工業控制系統不可控,生產制造不合格甚至帶有蓄意破壞性的工件。
4) 其他部分
* 數據存儲
脆弱點分析:生產加工數據明文存放于PCU上,缺少必要的安全增加及保護措施。
風險評估:數據存在被非法獲取的隱患。
* 特定部件
脆弱點分析:G代碼在CF卡上有臨時備份,通過數據處理,有可能獲取到加工參數。
風險評估:可通過非法拷貝等方式對加工數據進行獲取。
* 硬件安全
脆弱點分析:是否存在危險的硬件陷阱,如邏輯鎖等安全問題。
風險評估:目前尚未發現。
3.3.3 管理安全
1)人員安全意識 工業控制系統在設計時多考慮系統的可用性,普遍對安全性問題的考慮不足,缺乏相應的安全政策、管理制度以及對人員的安全意識培養。
2)安全審計 缺少對系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性等方面的安全審計。
3)安全運維與管理 缺少對賬號與口令安全、惡意代碼管理、安全更新(補丁管理)、業務連續性管理等關鍵控制領域實施制度化/流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設。
4)核心部件使用管理 缺乏對類似NCU的CF卡這些核心部件的使用、復制和保管進行安全管理,防止非信任人員的接觸的管理規定。
4 工控設備安全防護建議
1)建立縱深防御安全體系,提高工控系統安全性; 2)針對核心部件加強安全管理,進行嚴格的訪問控制;3)加強網絡脆弱性的防護、采用安全的相關應用軟件 、嚴格控制NCU服務; 4)加強對工業控制系統的安全運維管理; 5)建立有效的安全應急體系;6)從設備采購、使用、維修、報廢全生命周期關注其信息安全,定期開展風險評估,工控系統全生命周期如圖6所示。
5 結束語
隨著信息技術的廣泛應用,工控系統已經從封閉、孤立的系統走向互聯體系的IT系統,安全風險在不斷增加。做好工控系統安全保密風險評估非常重要,研究工控設備的風險評估模型、流程,開展數控設備的安全保密風險評估實踐,可以為工控系統的安全保密風險評估奠定重要的基礎。
參考文獻
[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. (2011205221), http: //.cn/.
[2] CNCERT. 2010年中國互聯網安全態勢報告[Z/OL].(2011205221), CERT. 2010 report on the Internet Security Situation of China [Z/OL]. (2011205221), .cn.(in Chinese).
[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner, Alice Goguen, and Alexis Feringa. National Institute of Standards and Technology(NIST),2002.
[4] GB/T 20984―2007.信息安全技術信息安全風險評估規范[S].北京:中華人民共和國國家質量監督檢驗檢疫總局,2007.
[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing: General Administration of Quality Supervision,Inspection and Quarantine of the Peopleps Republic of China,2007. (in Chinese)
[6] 趙冬梅,張玉清,馬建峰.網絡安全的綜合風險評估[J].計算機科學, 2004,31(7): 66-69.
作者簡介:
謝彬(1966-),女,四川安岳人,中國紡織大學,大學本科,副主任,高級工程師;長期從事信息系統軟件測評、信息系統安全保密相關的技術研究,負責了多個項目的技術安全保密檢測、安全保密防護方案設計以及相關技術研究工作;主要研究方向和關注領域:信息安全相關技術、信息系統安全、工控系統安全。
賀志強(1983-),男,四川綿陽人,四川大學,碩士,測評工程師,工程師;主要研究方向和關注領域:信息安全技術、信息安全及相關技術。
第二,建立互聯網內容與網絡安全監控體系,以網站、論壇、貼吧等為監控重點,及時了解社情民意,掌握輿情引導的主動權,杜絕網上不良信息傳播,及時刪除和封堵有害信息,嚴厲打擊網上違法犯罪活動;建設和部署公共互聯網網絡安全監控與預警平臺,建立分級預警和定期上報機制,加強對基礎電信企業、互聯網接入服務商、重點互聯網網站的日常監測與管理,實施信息實名制和IP地址黑名單制度,提高互聯網絡安全應對能力;建立政府部門互聯網接入安全保障體系,規范政府部門互聯網安全接入,對網絡攻擊、網站掛馬、網頁篡改等信息安全事件進行實時監測,實現全網可管、可控、可剝離。
第三,健全信息安全應急響應體系,建設和完善信息安全通報平臺、信息安全應急支援平臺和輔助決策系統,為全省重大信息安全事件提供應急指揮和輔助決策。
第四,建立網絡信任體系,優化提升數字證書認證和密鑰管理系統,普及數字證書在電子政務和電子商務中的應用,建立授權管理和責任認定平臺,通過身份認證、訪問控制和授權管理等手段,促進信息資源合理利用。
第五,建立信息安全管理體系,推廣石家莊市信息安全管理體系試點經驗,逐步建立信息安全工作的長效管理機制;探索電子政務信息系統建設模式,為全省各級黨政機關開展應用創造條件。