返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
《网络安全和信息化》:工控安全 在行动
2018-06-08 IT运维网 / IT运维网

      工业控制系统作为工业企业生产运行的中枢神经,是国家重要的关键信息基础设施,在信息化时代扮演着越来越重要的角色。随着“中国制造2025”的持续推进与两化融合的不断加深,其安全问题也接踵而至,严重威胁到企业乃至国家安全,工控安全正引起国家的高度重视。

      目前,有关部门已相继出台多项工控安全的相关政策,旨在推动我国工控安全保障体系的建设,促进我国工业信息安全产业健康发展。   

      同时,为响应并宣贯相关政策法规,本刊记者采访了多位工控安全领域的专家、安全厂商代表及其工业企业用户代表,专家们各抒己见,解读了相关政策,企业用户代表的痛点,安全厂商代表的安全理念以及其优秀的行业解决方案,希望能够促进多方的共同努力与配合,更好地实现政策在工业企业中的落地。

工控安全刻不容缓

      工业控制系统信息安全(以下简称“工控安全”)是实施制造强国和网络强国战略的重要保障,尤其是“中国制造2025”的不断推进过程中,两化融合与物联网技术发展,使得互联网在工业领域的应用迅速加深。信息技术广泛应用于能源、电力、交通、制造等众多领域,为传统工业控制系统优化升级提供了重要的支撑。

“黑云压城”

      与此同时,工控安全问题也在不断涌现:2010年伊朗布什尔核电站遭到“震网”病毒攻击,致使1/5的离心机报废;2016年乌克兰电网系统遭黑客攻击,数百户家庭供电被迫中断,网络攻击造成关键基础设施的严重破坏,这也再次警示人们工业控制系统的薄弱。

      如果说以上例子离我国还较为遥远,那么,2017年5月份开始席卷全球的“永恒之蓝”勒索病毒则波及全球150多个国家和地区,包括我国在内的公安网、石油系统、银行、教育网、校园网及多所大学的计算机系统遭到感染,就在我们身边。在这次事件中让人们感到意外的是,一向自诩封闭、安全无虞的工业互联网也惨遭殃及,并且危害尤甚!

图1  赛迪智库网络空间研究所所长  刘权

      事实上,工业互联网从来都不是绝对安全的,随着越来越多的工控系统采用通用的网络设备及软件,工业系统的开放性成为事所必然。据赛迪智库网络空间研究所所长刘权(如图1)介绍,随着工业控制系统和互联网的不断融合,互联网正快速渗透到工业控制系统的各环节,能源、装备制造等重要行业原有相对封闭的系统运行环境逐渐被打破,越来越多的工业控制系统可以通过互联网、移动互联网等直接或间接地被访问,不仅大大增加了针对工业控制系统的攻击点,攻击面和信任网络边界,也使得病毒、木马等传统网络安全威胁通过互联网逐渐向工业控制系统扩散,为工控安全保障工作带来了新的挑战。

      来自于我国国家信息安全漏洞共享平台(CNVD)的统计显示,自2000年1月到2017年12月,所有的信息安全漏洞总数为101734个,其中工业控制系统漏洞总数为1437个。2017年CNVD统计的新增信息安全漏洞4798个,工控系统新增漏洞数351个,均比去年同期有显著增长。

      从漏洞危险程度上看,CNVD在2017年收录的工控相关漏洞中,高危漏洞占比最高,达到53.6%。中危漏洞占比42.4%,其余4.0%为低危漏洞。

      工业控制系统安全国家地方联合工程实验室主任陶耀东也表示,“与IT环境中的安全所强调的‘机密性、完整性和可用性’不同,OT(Operation Technology,操作技术)的安全讲求的是‘可用性、完整性和机密性’,更加注重可用性。” 同时,陶耀东也表达了对工控安全形势的担忧,“我国的工控安全形势将是越来越严峻的,特别是近年来勒索软件的情况来看,黑产方面已经开始构建对业务安全的一些商业模式,这种方式的成本很低,危害却很大,而且还出现了勒索软件与人的行为的结合,将勒索病毒放置到工业环境中,这种方式将非常危险,可能造成极其严重的后果。”

      杭州安恒信息技术股份有限公司的工控安全专家则概括了目前工控安全的威胁与隐患:一是观念与体制欠缺,企业领导普遍认为物理隔离就是安全,工控企业缺少合理的安全组织体系以及有效的制度保障;二是管理不全面,工控企业在工控安全缺乏统一设计,安全措施片面且没有预见性;三是专业人员与技术欠缺,工控系统运维人员一般较少接受网络安全相关的培训,网络安全意识和技术水平较为薄弱;四是工控设备自身的问题,诸如系统漏洞,高精尖的工控系统国产化水平较低,且普遍存在后门等;五是病毒威胁,大部分的工控主机未采取防病毒措施;六是人员的因素,工控系统存在合法授权人员有意无意将安全风险引入工控系统的情况,此外也有黑客入侵的风险。

      工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统也在经受着日益严峻的安全威胁。

      工控安全刻不容缓!

政府行动

      工控安全的风险引起了我国政府的高度重视,因此政府在政策层面出台了一系列指导方针,给工业企业指明方向的同时也规定了相关的义务。

      在2016年10月,工业和信息化部印发了《工业控制系统信息安全防护指南》(以下简称《防护指南》),明确了工业企业开展工控安全防护工作的指导方针,《防护指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。

      2017年6月1日起正式施行的《中华人民共和国网络安全法》更是以法律的形式明确了保障关键信息基础设施运行安全。

      工业和信息化部于2017年12月12日正式印发《工业控制系统信息安全行动计划(2018—2020)》(以下简称《行动计划》),明确了未来三年工信部在工控安全方面的工作重点和方向,《行动计划》通过定量和定性相结合的方式提出了2020年工业信息安全产业发展目标。《行动计划》确立了“坚持安全和发展同步推进”、“坚持落实企业主体责任”、“坚持因地制宜分类指导”以及“坚持技术和管理并重”基本原则,提出“加强防护技术研究、建立健全标准体系、落实企业主体责任、落实监督管理责任”四项任务,从而实现产业“安全防护能力提升”和“安全管理水平提升”。

专家释疑

      工控安全也是传统信息安全问题在工业控制领域的延伸,绿盟科技工控安全部总监王晓鹏(如图2)表示,工业安全与信息安全是深度融合交织的,尤其是在“中国制造2025”的背景下,更多的IT技术已经成为提升工业系统能力的重要组成部分,云计算、大数据等技术已经成为提升工业企业能力的基础性手段。

图2  绿盟科技工控安全部总监  王晓鹏

      “从技术上讲,我国工控安全防护技术相对落后,技术攻关有待进一步加强。” 赛迪智库网络空间研究所所长刘权表示,我国的仿真验证测试、在线监测预警等共性技术保障能力建设尚处于起步阶段,漏洞分析、芯片级硬件安全分析、态势感知、协议分析等技术能力严重不足,难以及时发现和应对针对工控系统的网络攻击,这些领域需要我国尽快实现突破。

      政策的提出和制度的建设需要真正落实到工业企业中去,企业工控系统网络安全建设需在符合国家相关法律法规和行业规范的前提下进行,包括对原有工控系统的安全评测和安全防护。立思辰信息安全集团CTO胡浩强调了对合规的重视,“《防护指南》的出台和颁发使合规成为一种趋势和要求。”

多方联动

      对工控安全的建设绝不是孤立的、各自为战的,需要中央到地方、政府、企业与安全厂商、研究机构等各方的联动配合。

      考虑到工业控制系统的独立性及控制系统厂家间的壁垒,当前尚有较多安全问题需要依靠管理手段进行解决,天融信解决方案中心部门经理马霄(如图3)强调了多方协同,“例如运维审计,源自工业控制领域与IT领域的差异,双方之间的协议不同导致难以整合,类似方面在工控环境中仍有较多场景,其主要原因解决的核心在于技术的开源以及技术的积累,这一过程在工控安全领域仍有较长的路要走,还需要控制厂商、安全厂商及用户的共同努力得以实现。”

图3  北京天融信解决方案中心部门经理  马霄

      而安全厂商与地方政府的合作在当前契机下也迅速增多,陶耀东表示,“《行动计划》中提到的构建‘一网一库三平台’多级联防联动安全体系和培育龙头骨干企业,这对于360企业安全集团来说这是个难得的机遇,我们与很多地方经信委合作,在技术上支持经信委做相关方面的检查,通过我们专业的工业安全的检查工具来帮助经信委发现当地企业在工业信息安全方面的问题。”

      同时,绿盟科技在工业领域中也与一些地方政府建立起相关合作,王晓鹏表示,“我们会协助相关的机构完成相关的安全检查工作和省内的工控系统的安全评估工作。例如某省经信委如果需要对该省的典型工控系统进行安全摸底,绿盟科技作为主要的检测执行方,对包括水务、制药、燃气等工业设施的典型工控系统进行检测,为经信委摸底本身工控系统的安全现场提供有效支撑。”

 

用户观点

对于工业企业是个巨大挑战

     《行动计划》中提到“坚持落实企业主体责任”,确立企业工控安全主体责任地位,强化责任意识,把工控安全作为工业生产安全的重要组成部分,将安全要求纳入企业生产、经营、管理各环节。可见,《行动计划》将工控安全提升到与工业生产安全同等重要地位,这对于工业企业来讲可谓挑战巨大。

      工业控制系统的安全维护与互联网安全有很大区别,因此,传统网络安全措施未必能很好地适用于工控环境之下。在IT与OT相结合的过程中,往往会将工业网络系统设备的可用性、实时性摆在优先地位。工业企业最为关心的是自身业务连续稳定运行,考虑到工业领域的高危程度,企业管理者们在部署安全产品时往往持谨慎的态度。

      绿盟科技的某家电力公司管理者用户表达了自己的想法和担忧,“我们不会轻易在业务系统内部部署相关的安全产品,而是往往先会从边界方面考虑,把生产性系统与非生产系统进行有效隔离。而对于系统性提供安全产品并进行应用,目前还有比较大的顾虑,另一方面,因为涉及到生产的稳定运行,客户希望部署的安全设备能够得到控制器厂家的认可,避免安全设备布置所带来的安全风险。”

      而从立思辰的企业用户中的实际需求来看,也有着类似的担忧,“生产企业工业控制系统关系着人身和财产安全,不容许出现任何差错,例如对于防火墙等安全设备来说,第三方评测机构的实验室环境并不能覆盖工业生产现场的全部应用场景,在实际部署后,又是否能够保证万无一失?而且虽然白名单技术可有效防范病毒和恶意软件,但当工业生产业务逻辑发生变更时,白名单技术就显得略为呆板,适应性较差。”

      还有非常重要的一点是企业内部的潜在威胁,如何有效管理企业内部人员也是摆在企业管理者面前的难题,因此企业希望能有相关的安全管理工具配合管理制度来约束内部人员的行为。

      工业控制系统正面临从封闭到开放、从本地到云端、从低价值的数据到高价值的数据、从电气的控制到智能的控制等形势的转变。这一系列变革来的突然却又不可避免,尽管目前在应用领域还不是非常广泛,相关的应用成熟度不够,但并不会影响它的发展。在谈及应对新型业务的形态发展时,绿盟科技工控安全部总监王晓鹏也表示,客户已经意识到安全的重要程度,相关云平台的提供者已经开始在平台落地前考虑安全的问题,但是对于安全的具体的布置和应用还比较迷茫。

      从以上各方观点来看,工业企业更加注重的是网络安全产品的实际应用效果,而非品牌效应,因此用户希望能与网络安全厂商进行深入沟通,使得在用生产控制系统能够同网络安全设备形成更紧密的配合,使其发挥全部功效,更好地保护工业控制系统。

 

 

厂商理念

 

安全理念是要解决用户问题

     《防护指南》具体提出了工控系统应用企业以及从事工控系统的规划、设计、建设、运维、评估的单位应当遵循的规范,并具体要求在安全软件选择与管理、配置和补丁管理等十一个方面做好防护工作。

      而对于工控安全的防护离不开安全厂商的参与,对于工控安全问题,安全厂商都有着各自的安全理念,通过长期的安全技术的积累,同时深入工业用户应用场景,将自身理念与用户的实际需求相结合,解决用户的实际问题。

      绿盟科技工控安全部总监王晓鹏认为,工业系统有其自身运行特点,在充分认识工业系统运行特点的情况下,绿盟把在传统信息安全领域积累的成果综合应用于工业系统安全中来,从而提升工业企业的安全能力,要从业务属性及安全要素赋值的范围来考虑安全,保障新业务模型的安全、稳定运行。

      安恒信息则结合不同行业的用户特点与需求,强调对工控系统全生命周期的防护,因此提出“PMPE”的安全技术架构,即以预警、监控、保护、应急作为核心,结合各种工控安全服务及产品,构建贯穿工业控制系统全生命周期的安全防护体系,为工控网络安全保驾护航。

      北京天融信解决方案中心部门经理马霄解读了天融信的工控安全理念,针对工控系统环境与传统IT环境之间的差异,从用户的角度出发,采用“基于用户行为基线”的安全防护模型,根据用户生产网中流量、终端等其他节点,以最小化为基本原则,采用以安全防护手段为基础,态势分析为核心,应急响应为技术手段的综合解决方案。

      而立思辰则一直坚持工控系统合规和零干预的全方位网络监测理念,即工业控制系统网络安全建设需在符合国家相关法律法规和行业规范的前提下进行,另一方面,不仅仅对网络内的病毒或异常软件进行检测,同时还对工业控制系统网络内的流量、设备资产、业务操作等进行多维度、全方位的监测,发生异常时报警,但在监测过程中不拦截或干预业务操作,不会对原有业务系统产生影响。

      由工业控制系统安全国家地方联合工程实验室与360威胁情报中心联合发布的《IT/OT一体化的工业信息安全态势报告(2017)》中提出建立网络安全滑动标尺动态安全模型,包含架构安全、被动防御、积极防御、威胁情报和进攻反制五大类别,并有效展示了防御逐步提升的理念;从安全运营的角度,建立企业的工业安全运营中心(IISOC)。在IT和OT一体化推进发展中,工业企业对这两个应用角度都要识别风险的切入点,列举相关的风险,并且要进行一体化的规划;组建IT&OT融合的安全管理团队,对整个工业控制系统进行安全运营;在技术层面提高防护能力,包括终端、网络和监管层面,以及数据和系统的可恢复性(备份层面)方面等。

 

行业应用

剑指工控,各展风采

      为实现国家所出台的相关工业安全政策以及企业对工控安全理念的落地,安全厂商深入工业企业业务,深入挖掘应用场景,在自身领域不断耕耘,将自身安全理念、安全技术与服务与工业环境完美融合,逐渐打造出了在不同行业下较为完善的工控安全解决方案,为我国工控系统安全保驾护航。(以下介绍顺序不分先后)

 

绿盟:风电场系统安全

      电力行业是工控安全保障尤为重要的领域,同时,国家也有具体相关的条款规定在电力行业应确保的安全措施。绿盟科技在风电场系统防护中有着完善的安全策略,为满足相关部门规定,绿盟科技从入侵检测、主机设备与网络配置安全加固、存储器与外设管理、安全审计、数据备份、恶意代码防范、设备选型及漏洞整改等方面构建针对风电场的安全防护。

      根据相关部门的相关要求来构建针对风电场的安全防护,主要讨论以下几个重要方面:

1.入侵检测

      根据规定:生产控制大区可以统一部署一套网络入侵检测系统,应合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。

       建议在生产控制大区控制区(安全Ⅰ区)与非控制区(安全Ⅱ区)和OMS工作站汇聚交换机分别部署一套入侵监测系统,合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。入侵检测系统为旁路部署仅接受并分析交换机镜像过来的数据,不参与数据的转发工作,如图4。

图4  风电场监控系统网络入侵检测系统部署图

2. 主机设备与网络配置安全加固

      根据规定:发电厂厂级信息监控系统等关键应用系统的主服务器,以及网络边界处的通信网关机、Web服务器等,应使用安全加固的操作系统。

      建议在风电场监控系统中进行加固时使用主机安全加固软件进行加固,需要的加固软件的版本有Windows版、Linux版。主机及网络设备安全配置也可参考电力行业信息系统安全等级保护基本要求和国调中心下发关于开展并网电厂电力监控系统涉网安全防护专项治理活动的通知所强调的安全控制措施。

3. 安全审计

      根据规定:生产控制大区的监控系统应具备安全审计功能,能够对操作系统、数据库、业务应用的重要操作进行记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于用户登录行为,应进行严格的安全审计。

      建议风电场可通过在监控系统中旁路部署安全审计系统,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集分析,如图5。

图5  风电场监控系统安全审计系统部署结构图

 

天融信:基于用户行为基线的安全防护

      在安全与生产之间其实存在着诸多矛盾:安全防范与生产过程的冲突;终端安全与应用软件的冲突;安全加固与生产过程的冲突;检测维度与安全监控需求的冲突;新技术应用与生产工艺的冲突等。因此,在确保生产业务连续稳定运行下进行工控系统的安全防护成为了基本前提。

      在这样的矛盾下,天融信总结出“基于用户行为基线”的安全防护模型,根据用户生产网中流量、终端等其他节点,以最小化为基本原则,采用以安全防护手段为基础,态势分析为核心,应急响应为技术手段的综合解决方案。

      1. 安全防护。防护对象包含网络中的控制设备、管理设备、感知设备等,防护范围覆盖生产网,安全防护中心作为数据探知,将基于各个节点的数据上送至态势感知系统,用作安全环境、基线的分析,并执行分析结果。同时,将生产网网络、应用等运行状态传递至应急响应体系进行统一的运维监控。

      2. 态势分析。态势分析作为生产网安全防护的“大脑”,承担安全信息分析,通过收集安全防护体系中监测数据,利用大数据,基于用户的安全基线进行安全建模,通过模型间的组合进行流式分析,分析网络中安全威胁及脆弱性,后依据分析结果下发策略至安全防护设备、安全审计设备以及应急响应团队执行安全策略的落地,形成基于用户行为的纵向安全防护体系。

      3. 应急响应。应急响应体系包含运行监测中心及应急响应团队以及整体安全管理执行机构。

      通过上述三套技术体系进行安全信息的互联互通,构成针对工业控制系统的动态防护体系,根据网络中威胁分布及类型实时更新完善安全防护策略,并辅以行业、控制、工艺专家对生产过程进行纵深监控分析,形成安全闭环生态,在不影响生产独立性的前提下,将安全手段与控制过程进行有机结合,做到工业控制系统安全的技术落地。

      对生产网及其流量基线采用“自上而下”的设计,对各个网元节点间数据进行分析,建立“纯净”的网络环境,对于白名单外的连接、指令、进程等,则交由态势分析进一步分析,形成事前防范的能力,部分无法通过调整策略解决的安全事件则通过应急响应体系完成安全的应急处置,自动化解决。

      在安全体系的建设上采用“自下而上”,即即优先保障独立控制系统安全,其后再对生产网进行监测,两者数据作为态势分析的基础,从而进行态势分析平台的建设;在拥有一定分析能力的基础上再辅以主动感知手段,最后进行整体联动,并建立应急响应体系,完成安全闭环。

 

安恒:PMPE体系智能守护电力系统安全

图6  PMPE防护体系

      安恒通过研究工控系统特性,结合各不同行业的特点,经过众多项目实践检验,提出“PMPE”的安全技术架构,“PMPE”工控安全防护体系作为技术保障,构建有效抵御工控系统病毒木马传播影响及恶意网络攻击行为,有效的降低工控安全运行维护难度及成本,实现工控系统全生命周期的安全防护。

       “PMPE”的安全技术架构(如图6)以预警、监控、保护、应急作为核心,结合安恒信息的安全服务及工控安全产品,构建贯穿火力发电行业工业控制系统(DCS、DEH、NCS、辅控、SIS等系统)全生命周期的安全防护体系,为火力发电企业的工控网络安全保驾护航。

      预警的核心功能包括网络行为审计、整体的风险评估、无损漏洞检测等技术手段,通过周期性或实时分析网络安全状态,判断可能出现的网络安全事件,达到安全预警的作用;

      安全监控是整个技术安全体系的核心,负责监控整个网络的运行情况,并集中管理安全设备、主机设备、网络交换设备等。

      安全防护是安全保障的核心功能,目前包括网络防护和主机防护。

      应急处置环节是技术安全体系的最后一道保障,可通过平台处置和现场处置两种技术措施规避险情的发生,即使由于种种原因发生安全事件时,也可以通过故障恢复措施将工控安全设备恢复成正常生产的安全状态。

      由于电厂网络原有安全措施缺乏有效的隔离和防护、监测审计等手段,在安全Ⅰ区及管理信息大区内部缺乏合理的威胁发现防护机制,无法做到及时告警和响应,而且无有效监控平台,无法统一监控整厂安全态势。

      因此,根据以上不足,安恒通过在中央控制室部署工业安全威胁感知中心,利用大数据分析能力在本地完成建模,对工业企业的安全态势进行感知和展示;通过工业防火墙部署在信息管理大区和生产控制大区的互联边界,采用黑白名单技术实现协议深度解析及工业入侵防御;部署工控网络监测审计平台,发现工控环境中的恶意攻击流量等;管理信息大区部署APT预警平台、数据库审计平台、Web应用防火墙,建立网络安全防护、预警及审计体系,如图7。

图7  电厂安全防护技术架构

 

立思辰:合规和零干预的全方位网络监测

      工控系统的网络安全有其自身特点,但对其加固仍需按照“安全评估+防护建设”的思路进行:

      对目标工控系统进行深入的安全评估,包括物理安全、资产安全、威胁分析、脆弱性分析、安全管理制度评估等,根据各个子项安全评估的结果给出工控系统安全评估报告,指出该系统目前存在的缺陷和不足,并提出合理化建议;

      提供各种工控系统网络安全防护方法和设备以及工控网络安全培训,提供完整的工控网络安全管理建设方案,工业控制系统安全管理包括安全防护和监管,其中安全防护是通过技术和管理两方面,而监管分为N个层面,分别为企业层面和N个上级部门监管层面,通过对前端日志信息的收集、汇总和关联分析,可及时发现网络中的攻击行为,从而进行报警。

      立思辰在电力行业曾对浙江省内大型火力发电企业进行工控安全评估并提供了完整的解决方案。在安全评估过程中发现尽管是同样的火电发电厂,但其使用的DCS系统也来自于不同的厂家,即使同品牌的DCS系统在不通的业务逻辑下其系统配置和操作逻辑也不同,具有鲜明的业务特点。与传统的信息安全建设不同,不能简单的将某个或多个安全防护设备以统一的安装思路粗暴地部署到工业现场中。立思辰通过实地深入大型火力发电企业的业务现场,抓取电厂工控DCS系统的实际业务系统数据并进行分析,在了解其实际业务逻辑之后提供切实有效的建设实施方案。在方案中,对安全加固产品也根据业务参数进行了合理配置,确保对原有工控DCS系统的零干预,同时保证安全加固产品运行的稳定和有效。

——文章摘自《网络安全和信息化》杂志,2018年第4期

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读