工業控制系統安全入門與實踐—從五層架構和安全標準說起

2019-12-17     李孟宦

寫在面前

大家好,我是小智,智能製造之家號主~


前面我們提到了工業控制系統中的安全,也從安全角度分析了Modbus協議和西門子S7Comm協議:

MES、SCADA下的數據採集— 西門子S7comm協議分析

Modbus 的RTU、ASCII、TCP傻傻搞不清楚?這將是你見過的最全面分析


今天我們從整體五層架構的角度來談談如何認識工業控制中的安全,不論目前你是從事企業層的ERP, PLM,或者管理層的MES/MOM,又或者是監控層,現場控制層的DCS, SCADA, PLC,安全都伴隨著你,如果你還不清楚五層架構,請先移步:

西家軟體知多少-盤點有多少你不知道的西門子軟體


本次內容主要有:

01 五層架構中的安全

02 工業控制網絡VS傳統IT網絡

03 工業控制系統軟硬體及其協議的脆弱性

04 工業控制系統中的安全標準

05 你應該知道的等保2.0

06 行業控制架構圖與安全問題分享


01 五層架構中的安全


工業控制系統分層模型

該標準參考IEC 62264-1的層次結構模型劃分,同時將SCADA系統、DCS系統和PLC系統等模型的共性進行分類,共分為5個層級,依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層,不同層級的實時性要求不同。

企業資源層主要包括ERP,PLM等功能單元,用於為企業決策層員工提供決策運行手段;

生產管理層主要包括MES系統功能單元,用於對生產過程進行管理,如製造數據管理、生產調度管理等;

過程監控層主要包括監控伺服器與HMI系統功能單元,用於對生產過程數據進行採集與監控,並利用HMI系統實現人機互動;

現場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用於對各執行設備進行控制;

現場設備層主要包括各類過程傳感設備與執行設備單元,用於對生產過程進行感知與操作。

根據工業控制系統的架構模型不同層次的業務應用、實時性要求以及不同層次之間的通信協議不同,需要部署的工控安全產品或解決方案有所差異,尤其是涉及工控協議通信的邊界需要部署工控安全產品進行防護,不僅支持對工控協議細粒度的訪問控制,同時滿足各層次對實時性的要求。

工業控制系統典型分層架構模型

該標準專門標註了隨著工業4.0、信息物理系統的發展,上述分層架構已不能完全適用,因此對於不同的行業企業實際發展情況,允許部分層級合併,可以根據用戶的實際場景進行判斷。

  • 相關內容的映射關係

考慮到工業控制系統構成的複雜性,組網的多樣性,以及等級保護對象劃分的靈活性,給安全等級保護基本要求的使用帶來了選擇的需求。該標準給出了各個層次使用本標準相關內容的映射關係,可以在實際應用中參考:

約束條件

工業控制系統通常對可靠性、可用性要求非常高,所以在對工業控制系統依照等級保護進行防護的時候要滿足以下約束條件:

  • 原則上安全措施不應對高可用性的工業控制系統基本功能產生不利影響。例如用於基本功能的帳戶不應被鎖定,甚至短暫的也不行;
  • 安全措施的部署不應顯著增加延遲而影響系統響應時間;
  • 對於高可用性的控制系統,安全措施失效不應中斷基本功能等;
  • 經評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關條款時,應進行安全聲明,分析和說明此條款實施可能產生的影響和後果,以及使用的補償措施。


02 工業控制網絡VS傳統IT網絡

工業控制網絡與傳統IT網絡的不同

從大體上看,工業控制網絡與傳統IT信息網絡在網絡邊緣、體系結構和傳輸內容三大方面有著主要的不同。

網絡邊緣不同:工控系統在地域上分布廣闊,其邊緣部分是智能程度不高的含傳感和控制功能的遠動裝置,而不是IT系統邊緣的通用計算機,兩者之間在物理安全需求上差異很大。

體系結構不同:工業控制網絡的結構縱向高度集成,主站節點和終端節點之間是主從關係。傳統IT信息網絡則是扁平的對等關係,兩者之間在脆弱節點分布上差異很大。

傳輸內容不同:工業控制網絡傳輸的是工業設備的「四遙信息」,即遙測、遙信、遙控、遙調。此外,還可以從性能要求、部件生命周期和可用性要求等多方面,進一步對二者進行對比,詳細內容如表1所示。

工業控制系統安全涉及計算機、自動化、通信、管理、經濟、行為科學等多個學科,同時擁有廣泛的研究和應用背景。兩化融合後,IT系統的信息安全也被融入了工控系統安全中。不同於傳統的生產安全(Safety),工控系統網絡安全(Security)是要防範和抵禦攻擊者通過惡意行為人為製造生產事故、損害或傷亡。可以說,沒有工控系統網絡安全就沒有工業控制系統的生產安全。只有保證了系統不遭受惡意攻擊和破壞,才能有效地保證生產過程的安全。雖然工業控制網絡安全問題同樣是由各種惡意攻擊造成的,但是工業控制網絡安全問題與傳統IT系統的網絡安全問題有著很大的區別。


03 工業控制系統軟硬體及其協議的脆弱性

工業控制系統面臨的脆弱性示例

1 工業控制系統產品漏洞(可以這樣說,幾乎100%的工業控制系統都存在漏洞)

工業控制系統產品漏洞,如Emerson RS3漏洞,SIEMENS PLC漏洞。工業領域因軟、硬體更新、升級、換代困難,漏洞不能得到及時修補。

2 Modbus自身協議缺陷

不單是Modbus,像IEC104,PROFINET等主流的工控協議,都存在一些通用問題。為了追求實用性和時效性,犧牲了很多安全性,因此會導致黑客的攻擊。

3 OPC協議自身的脆弱性(非OPC UA)

OPC協議目前廣泛應用於石油煉化、煉鋼廠、發電、精密製造領域。OPC協議在為大家帶來便利的同時,存在著非常大的安全隱患。首先,OPC協議架構基於Windows平台,Windows系統所具有的漏洞和缺陷在OPC部署環境下依然存在。並且,為了實現信息交互的便捷性,所有的Client端使用相同的用戶名和密碼來讀取OPC server所採集的數據。另外,只要Client端連接,所有的數據都會公布出去,極易造成信息的泄露。更有甚者,在某些不太規範的部署環境下,OPC server一方面是為現場所採集的實時數據提供展示,另一方面又為MES層提供數據。相當於MES和現場數據共用一個OPC資料庫,MES一旦被攻擊,就會導致OPC的某個參數被修改,致使現場操作也會隨之變動。


04 工業控制中的安全標準


工控安全參考標準

我們搜集了下文所提到的標準法規和其他部分工控標準

國際標準

國家標準

  • 《工業控制系統信息安全防護指南》

《工業控制系統信息安全防護指南》是國家網絡和信息安全的重要組成部分,是推動中國製造2025、製造業與網際網路融合發展的基礎保障。2016年10月,工業和信息化部印發《工業控制系統信息安全防護指南》,為工業企業制定工控安全防護實施方案提供指導方向。該指南的制訂,是在國內深化製造業與網際網路融合發展的大背景下,國內工業控制系統信息安全問題突出的情況下,國內工控安全多個標準發布,工控安全技術蓬勃發展的環境下,基於管理、深入技術、結合業務,以新高度為工業企業提供全面的工控安全建設指導。

  • 《工業控制系統信息安全行動計劃 (2018-2020年)》

工業控制系統信息安全行動計劃的主要目標:到2020年,一是建成工控安全管理工作體系,企業主體責任明確,各級政府部門監督管理職責清楚,工作管理機制基本完善。二是全系統、全行業工控安全意識普遍增強,對工控安全危害認識明顯提高,將工控安全作為生產安全的重要組成部分。三是態勢感知、安全防護、應急處置能力顯著提升,全面加強技術支撐體系建設,建成全國在線監測網絡,應急資源庫,仿真測試、信息共享、信息通報平台(一網一庫三平台)。四是促進工業信息安全產業發展,提升產業供給能力,培育一批龍頭骨幹企業,創建3-5個國家新型工業化產業化產業示範基地(工業信息安全)。

  • 《信息安全技術工業控制系統安全控制應用指南》(GB/T 32919-2016)

該標準由全國信息安全標準化委員會(SAC/TC260)提出,全國信息安全標準化技術委員會歸口管理。適用於工業控制系統擁有者、使用者、設計實現者以及信息安全管理部門,為工業控制系統信息安全設計、實現、整改工作提供指導,也為工業控制系統信息安全運行、風險評估和安全檢查工作提供參考。方便規約工業控制系統的安全功能需求,為安全設計(包括安全體系結構設計)和安全實現奠定基礎。

  • 《信息安全技術 網絡安全等級保護基本要求 第5部分 工業控制系統安全擴展要求》

也就是等保2.0了,將原來的標準《信息安全技術 信息系統安全等級保護基本要求》改為《信息安全技術 網絡安全等級保護基本要求》,等級保護制度已被打造成新時期國家網絡安全的基本國策和基本制度。對重要基礎設施重要系統以及「雲、物、移、大、工」納入等保監管,將網際網路企業納入等級保護管理,並在《網絡安全等級保護基本要求 第5部分 工業控制系統安全擴展要求》中針對工控安全進行詳細描述,並專門對工控分層模型等內容進行了描述。

  • GB/T 26333-2010《工業控制網絡安全風險評估規範》

作為我國工控安全第一個國家標準,解決了我國工控安全標準空白的問題,實現了工控安全標準零的突破。此標準2011年發布實施,從發布時間上可以看出,我國關注工控安全的前輩們的高瞻遠矚。但是此標準並未推行起來,成為了事實上可有可無的標準,成為了工控安全標準界的先烈。究其原因,還是此標準無核心內容(核心內容都是直接引用其它標準),標準過於簡單,可操作性低,導致此標準落地困難。建議相關單位對此標準進行修訂。

  • GB/T 30976.1-2014《工業控制系統信息安全 第1部分:評估規範》

作為我國工控安全第一個有內容的國家標準,解決了我國工控安全無標準可依的窘境。《評估規範》分為管理評估和系統能力(技術)評估。管理評估宜對照風險接受準則和組織機構相關目標,識別、量化並區分風險的優先次序。風險評估的結果宜指導並確定適當的管理措施及其優先級,評估風險和選擇控制措施的過程需要執行多次,以覆蓋組織機構的不同部門或各個工業控制系統。管理評估分三個級別、系統能力(技術)評估分為四個級別。信息安全等級由系統能力等級和管理等級二維確定。

此評估標準實施過程中,還沒有一套有效的方法論來指導用戶單位確定自己需要的信息安全等級,或者政府未有一套信息安全等級評定的依據。目前階段只能根據用戶單位自己的自發需求來確定信息安全等級,然後根據用戶單位確認的等級開展評估活動。

GB/T 30976.2-2014《工業控制系統信息安全 第2部分:驗收規範》

此標準解決了我國工業控制系統信息安全驗收上的空白,解決了驗收有標準可依的困境。此標準的使用方是工業控制系統用戶方,《驗收規範》涉及到專業的安全測試,除電力和石油石化等大部分用戶方在能力上不足以完成驗收階段的安全測試。因此需要藉助第三方的測評力量來驗收,就涉及到項目預算增加的問題。因此在做標準宣貫時,需要在立項階段就考慮驗收標準和費用的問題。

行業標準

電力行業

在工控安全領用,電力行業2005年頒布的電監會5號令《電力二次系統安全防護規定》,「安全分區、網絡專用、橫向隔離、縱向認證」十六字深入人心。其次是石化、核電及煙草行業也有相應標準。

  • 《電力監控系統安全防護規定》(中華人民共和國國家發展和改革委員會令第14號)

《電力監控系統安全防護規定》是為了加強電力監控系統的信息安全管理,防範黑客及惡意代碼等對電力監控系統的攻擊及侵害,保障電力系統的安全穩定運行而制定的法規,經國家發展和改革委員會主任辦公會審議通過,2014年8月1日中華人民共和國國家發展和改革委員會令第14號公布,自2014年9月1日起施行。

  • 《電力監控系統安全防護總體方案》(國能安全【2015】36號)

《電力監控系統安全防護總體方案》(國能安全【2015】36號)作為行業最新的電力系統安全規範文件,以「安全分區、網絡專用、橫向隔離、縱向認證」為原則,提出了省級以上調度中心、地縣級調度中心、發電廠、變電站、配電等的二次系統安全防護方案,綜合採用防火牆、入侵檢測、主機加固、病毒防護、日誌審計、統一管理等多種手段,為二次系統的安全穩定運行提供可靠環境。

  • 《電力行業信息系統安全等級保護基本要求》電監信息[2012]62號

2012年,電力行業按照國家信息安全等級保護相關標準和管理規範,結合自身行業現狀和特點,制定了本行業的等保標準——《電力行業信息系統安全等級保護基本要求》,指導行業信息安全等級保護工作。

  • 國家電網信息安全檢測依據的其他標準(國家電網2017年發布)

石化行業

  • GB/T 50609-2010 《石油化工工廠信息系統設計規範》

此設計規範中要求網絡之間需要採用安全隔離,2010年頒布的行業標準,算比較早重視工控信息安全的行業。

核電行業

  • GB/T 13284.1-2008 《核電廠安全系統 第1部分 設計準則》
  • GB/T 13629-2008 《核電廠安全系統中數字計算機的適用準則》

《設計準則》提供了有關核電廠安全設計應遵循的準則。標準中規定了核電廠安全系統動力源、儀表和控制部分最低限度的功能和設計要求,標準適用於為防止或減輕設計基準事件後果、保護公眾健康和安全所需要的那些系統。《適用準則》主要針對核電廠安全系統中數字計算機適用性制定的準則。

煙草行業

  • YC/T 494-2014 《煙草工業企業生產網與管理網網絡互聯安全規範》

此標準主要規範煙草工業企業生產網與管理網之間的聯網安全問題。

  • 《煙草行業工業控制系統網絡安全基線技術規範》



05 你應該知道的等保2.0

等保2.0工控安全基本要求

等保2.0為了適應新技術、新業務、新應用,該標準對雲計算、移動互聯、物聯網和工業控制系統分別提出相應的要求,內容結構調整各個級別的安全要求為安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。

  • 工控系統安全擴展要求控制項數量變化

等保2.0工業控制系統安全擴展要求

物理和環境安全:增加了對室外控制設備的安全防護要求,如放置控制設備的箱體或裝置以及控制設備周圍的環境;

網絡和通信安全:增加了適配於工業控制系統網絡環境的網絡架構安全防護要求、通信傳輸要求以及訪問控制要求,增加了撥號使用控制和無線使用控制的要求;

設備和計算安全:增加了對控制設備的安全要求,控制設備主要是應用到工業控制系統當中執行控制邏輯和數據採集功能的實時控制器設備,如PLC、DCS控制器等;

安全建設管理:增加了產品採購和使用和軟體外包方面的要求,主要針對工控設備和工控專用信息安全產品的要求,以及工業控制系統軟體外包時有關保密和專業性的要求;

安全運維管理:調整了漏洞和風險管理、惡意代碼防範管理和安全事件處置方面的需求,更加適配工業場景應用和工業控制系統。

等保2.0工業控制系統應用場景

工業控制系統的概念和定義

工業控制系統(ICS)是幾種類型控制系統的總稱,包括數據採集與監視控制系統(SCADA)系統、集散控制系統(DCS)和其它控制系統,如在工業部門和關鍵基礎設施中經常使用的可編程邏輯控制器(PLC)。工業控制系統通常用於諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、製藥、紙漿和造紙、食品和飲料以及離散製造(如汽車、航空航天和耐用品)等行業。工業控制系統主要由過程級、操作級以及各級之間和內部的通信網絡構成,對於大規模的控制系統,也包括管理級。過程級包括被控對象、現場控制設備和測量儀表等,操作級包括工程師和操作員站、人機介面和組態軟體、控制伺服器等,管理級包括生產管理系統和企業資源系統等,通信網絡包括商用乙太網、工業乙太網、現場總線等。



06 行業控制架構圖與安全問題分享

某行業的工控系統結構圖


某行業工業控制系統面臨的信息安全問題

(1)操作站、工程師站、伺服器採用通用Windows系統,基本不更新補丁。

(2)DCS在與操作站、工程師站系統通信時,基本不使用身份認證、規則檢查、加密傳輸、完整性檢查等信息安全措施。

(3)生產執行層的MES伺服器和監督控制層的OPC伺服器之間缺少對OPC埠的動態識別,OPC伺服器可以允許任何OPC客戶端連接獲取任何數據。

(4)工程師站權限非常大,有些是通用的工程師站,只要接入生產網絡,就可以對控制系統進行運維。

(5)多餘的網絡埠未封閉,工控網絡互連時缺乏安全邊界控制。

(6)外部運維操作無審計監管措施。


參考資料

https://www.kiwisec.com/news/detail/5c1c603bdb30c341099f28ab.html

https://www.venustech.com.cn/article/new_type/52.html

https://www.secrss.com/articles/3526

http://www.winicssec.com/Wap/Index/show/catid/57/id/456.html

《工業控制網絡安全技術與實踐》姚羽,祝烈煌,武傳坤 著 機械工業出版社

工控系統信息安全-自動化博覽2016/5

劉德莉. 構建工業信息安全屏障 助力航天企業快速發展[N]. 中國航天報,2019-02-28(003).

來源:安全客

連結: https://www.anquanke.com/post/id/178265

文章來源: https://twgreatdaily.com/2SduVm8BMH2_cNUgxHWz.html