1引言
2019年5月13日,新发布的网络安全等级保护制度2.0标准(简称等级保护2.0 ) )在原有的基础上细化、分类、加强,对重要基础设施、重要系统以及“云、移动、物、工作控制、大” 名称从原来的《信息安全技术 信息系统安全等级保护基本要求》改为了《信息安全技术 网络安全等级保护基本要求》。 等级保护上升到了网络空间的安全等级,意味着等级保护的对象全面升级。 包含网络安全基础架构、云计算、移动互联网、物联网、工业控制系统、大数据安全等对象,而不是传统意义上的计算机信息系统在等级保护2.0时代,如何建立健全有效的工程安全体系是所有工业企业、工程制造商、工程安全企业必须思考的问题。
二级保护发展的历史
上个世纪,西方发达国家制定了一系列加强网络信息安全建设的政策和标准,其核心是将不同重要程度的信息系统划分为不同的安全水平,以方便指导不同领域的信息安全工作。 因此,相关部门和专家结合我国的实际情况进行了多年的研究,形成了我国的信息系统安全等级保护制度。
1994年,国务院公布了《中华人民共和国计算机信息系统安全保护条例》。
2003年,中央办公厅、国务院办公厅印发《国家信息化领导小组关于加强信息安全保障工作的意见》,明确提出“实施信息安全等级保护”。
2004年至2006年间,公安部联合四部委开展了信息系统等级保护基础调查和等级保护考试。
2007年6月、010年~ 3010年发表; 7月,公安部等四部门联合发布《信息安全等级保护管理办法》,7月20日召开全国重要信息系统安全等级保护等级业务配置特别电视电话会议,标志着我国信息安全等级保护制度开始正式实施。
2010年4月,公安部发布《关于开展全国重要信息系统安全等级保护定级工作的通知》,提出分级保护工作阶段性目标12月,公安部和国务院国有资产监督管理委员会联合发布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,标志着我国信息安全分级保护工作全面展开。
3等级保护2.0分析
3.1等级保护2.0与1.0的比较
随着云计算、移动互联、物联网、大数据等新技术的发展和应用,等级保护2.0对新技术及国家重要基础设施安全(工业控制系统)等提出了全面、深入、细分的标准。
内容上,等级保护2.0调整分为物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理者、安全建设管理、安全运维管理; 将各级安全要求调整为通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。 消除原有安全控制点的s、a、g标记,增加附录a说明等级保护对象的分级结果与安全要求的关系,说明如何根据分级结果选择安全要求; 调整了原附录a和附录b的顺序,增加了附录c中说明的网络安全等级保护的整体框架,提出了重要的技术使用要求。
除了内容的整合修改外,等级保护2.0也将基准名称从《关于进一步推进中央企业信息安全等级保护工作的通知》改为《信息安全技术 信息系统安全等级保护基本要求》,与《信息安全技术 网络安全等级保护基本要求》的相关法律条文一致。
3.2等级保护2.0工程安全扩展要求
工程安全是网络空间领域的另一种安全,不同于传统的计算机和互联网等虚拟空间的信息防盗安全。 工控安全是物理世界的安全,是保护重要基础设施使用的工控系统(简称工控系统)免受恶意操作的安全,从而保障物理设施的正常运行,防止生产停止、经济停止、环境污染乃至社会不安、国家瘫痪等重大灾害事故的发生
等级保护2.0专门提出了工程安全扩展的要求,如表1所示。
表1工业控制系统的安全扩展要求
4 等级保护2.0工控安全思考
由表1可以发现,等级保护2.0在工控安全方面突出强调了控制设备安全,需要采用技术和管理两个手段确保工控系统安全稳定运行。
4.1 什么是工控系统
工控系统是指由计算机与工业过程控制部件组成的自动控制系统,在没有人直接参与的情况下,利用外加的设备或装置,使机器、设备或者生产装备等基础设施按照预定的规律运行,以保证生产出合格的产品,同时还不会引发灾难事故。按应用行业和特点分类,主要包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)等。这些工控系统在系统组成和网络层次上是一样的,都是由运行在工程师站、操作员站的SCADA软件、控制器、现场仪表,以及上层监控网络和现场低速总线网络构成。只是由于它们的应用场合和应用侧重点(如表2所示)不同,导致在不同的行业会有不同的叫法。
表 2 SCADA、DCS、PLC、RTU 的区别
4.2 工控系统安全防护的本质要求
2010年,伊朗发生了震惊世人的“震网”(Stuxnet)事件,通过攻击西门子PCS7控制系统,破坏了大量铀浓缩离心机和布什尔核电站发电机组,导致伊朗核计划至少被延迟2年。“震网”虽然利用了RPC远程执行漏洞(MS08-067)、快捷方式文件解析漏洞(MS10-046)、打印机后台程序服务漏洞(MS10-061)、内核模式驱动程序漏洞(MS10-073)、任务计划程序漏洞(MS10-092)等操作系统的漏洞,但这些漏洞只是被用于“震网”恶意代码的传播;而“震网”的核心代码,它利用了西门子PCS7控制系统的特征,结合伊朗铀浓缩离心机和核电站的生产工艺、特征参数,通过向核心组件——控制器PLC(S7-300、S7-400系列PLC)发起攻击,使PLC控制器一方面向离心机、核电设备发送恶意操控指令使之超负荷运行,直至损坏;另一方面向操作站发送“正常”的生产工况数据,使操作人员误以为生产正常。
需要指出的是,“震网”所发出的恶意操控指令、虚假的“正常”生产工况数据,都是利用PCS7控制系统本身的“合法”协议、“合法”指令(如控制离心机的转速减少或增加指令)、“合法”数据,并没有利用其核心控制器PLC的任何漏洞。这些“合法”指令之所以能够导致伊朗核设施损毁,在于其与正常的生产工艺、操作流程不符合。由此可见,针对工控系统核心部件的攻击才是真正的工控系统安全威胁,它能够导致基础设施灾难性的物理损毁。
鉴于此,对工控系统网络的安全防护和保护需要着眼以下几个方面:
(1)需要覆盖工控系统软件、硬件和网络等所有部件
要针对攻击者可能利用的途径、可能利用的手段以及可能引发的后果等多个方面,对工控系统所有的主机、主机应用软件、进程,甚至是关键软件代码进行有效保护和防护;对工控网络所有的协议、服务以及传输的数据、操作指令进行保护和防护;对DCS控制器、PLC控制模块、RTU控制模块等嵌入式代码进行保护和防护。
(2)需要结合生产工艺与操作流程而开展
“震网”恶意代码引发伊朗铀浓缩离心机和核电站机组的物理损毁,其关键在于通过操控工控系统,使铀浓缩离心机和核电站机组的运行状态偏离其设计的正常工况,使之超负荷、非正常工况运转,直至最后物理损毁。因此,针对工控系统的网络安全防护,必须对基础设施、生产装置运行的关键工艺参数、关键工况、关键控制方案等进行保护和防护。
(3)需要贯穿基础设施及其工控系统的全生命周期
对工控系统的网络安全防护和保护,仅仅靠安装一些安全产品还远远不够,还必须覆盖工控系统的设计、生产、调试、工程实施、维修、运行维护等全生命周期的所有环节,既要从技术上进行防护和保护,也需要从管理措施上阻断恶意代码的带入。
4.3 工控系统安全防护建议
(1)重要关键基础设施的工控系统逐渐实现自主可控
等级保护2.0工业控制系统安全扩展要求部分强调控制设备安全在逐渐实现自主可控的情况下可实现工控系统核心部件——控制设备安全。这就要求:控制设备内置安全设计,实现通信与控制隔离,确保在遭到外部攻击时不影响控制回路的正常运行;控制网络通信采用加密和完整性保护;控制设备内核自主可控(硬件、嵌入式系统、控制算法、协议栈等);控制设备具备对组态和用户数据等关键数据进行完整性和正确性检测功能,故障时进行报警和记录等。
(2)重要关键基础设施必须部署工控网络安全防护系统
重要关键基础设施部署的工控网络安全防护系统应具备以下特点:一是针对内置预埋代码,切断危害,进行应急处置;在安全区域、系统出口,加强预警防范;二是以不影响生产和生产安全为前提,注意数据保护和操作保护;三是对系统重要性识别、系统资产识别、系统脆弱性识别、系统威胁识别及系统风险识别等维度进行安全防护;四是采用软件防护、边界维护、PLC嵌入式代码防护、控制异常监测与阻断等措施进行立体防护;五是对工控系统进行无扰动实时在线修复,并启动安全应急系统,实现数字化、网络化、智能化环境中工业企业的工控信息安全。
(3)针对行业建设工控系统网络安全测试床
国家、企业(包括工业企业、工控安全企业、相关测评单位)应加快建设其所在领域行业的工控系统网络测试床,可实现以下目的:在上线部署前,测试控制设备其自身的安全性;对上线部署的工控网络安全产品其功能、可用性、安全性、可靠性及对工控系统是否有影响等进行测试;结合实际应用场景的控制方案、业务逻辑等进行未知威胁的生成,建设未知威胁库,增强工控系统及其安全产品的主动防御能力;对上线部署的工控网络安全产品进行训练,提升其自学习能力等。
(4)建设工控网络安全人才队伍,完善或制定工控网络安全产品标准体系
工控系统网络安全攻防技术研究攻防兼顾,以攻促防。人才队伍不仅要懂工业控制系统的网络技术、体系架构、嵌入式软件、私有协议等,还要懂使用工业控制系统的具体对象的工艺、设备技术,只有这样才能做到定点攻击或精确防护。构建一支工控网络安全专业研究团队,将有助于针对国家重要关键基础设施的工业控制系统安全防护能力。
此外,工控网络安全产品不同于普通安全产品,需紧密联系工控现场环境,性能稳定,满足实时性与准确性等需求,保障可用性大于机密性、完整性。针对相关安全产品标准,需要完善或制定工控网络安全产品标准体系。
5 结束语
在等级保护2.0时代,工控系统的网络安全防护和保护回归到了控制系统的本质。在传统互联网安全、计算机安全领域有效的手段和产品对工控系统不一定有效。对工控系统的网络安全防护和保护,需同时从工控系统的软件、硬件、网络以及生产工艺、生产流程、生产装置的角度,才能够防护得住有组织的专业团队的攻击,也才能保护我们国家重要基础设施的安全。
作者简介
atgdwd(1986- ),男,江苏盐城人,学士,工程师,现任浙江国利网安科技有限公司副总经理,主要研究方向为工控网络安全。
笑点低的冬天(1981- ),男,浙江杭州人,学士,工程师,现任浙江国利网安科技有限公司总经理,主要研究方向为工控网络安全。
激动的手机(1987- ),男,浙江绍兴人,学士,高级工程师,现任浙江国利网安科技有限公司安全研究中心主任,主要研究方向为工控网络安全。
• end •
更多精彩内容请关注工业安全产业联盟V信(ICSISIA)