工业控制系统安全入门与实践—从五层架构和安全标准说起

2019-12-17     李孟宦

写在面前

大家好,我是小智,智能制造之家号主~


前面我们提到了工业控制系统中的安全,也从安全角度分析了Modbus协议和西门子S7Comm协议:

MES、SCADA下的数据采集— 西门子S7comm协议分析

Modbus 的RTU、ASCII、TCP傻傻搞不清楚?这将是你见过的最全面分析


今天我们从整体五层架构的角度来谈谈如何认识工业控制中的安全,不论目前你是从事企业层的ERP, PLM,或者管理层的MES/MOM,又或者是监控层,现场控制层的DCS, SCADA, PLC,安全都伴随着你,如果你还不清楚五层架构,请先移步:

西家软件知多少-盘点有多少你不知道的西门子软件


本次内容主要有:

01 五层架构中的安全

02 工业控制网络VS传统IT网络

03 工业控制系统软硬件及其协议的脆弱性

04 工业控制系统中的安全标准

05 你应该知道的等保2.0

06 行业控制架构图与安全问题分享


01 五层架构中的安全


工业控制系统分层模型

该标准参考IEC 62264-1的层次结构模型划分,同时将SCADA系统、DCS系统和PLC系统等模型的共性进行分类,共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。

企业资源层主要包括ERP,PLM等功能单元,用于为企业决策层员工提供决策运行手段;

生产管理层主要包括MES系统功能单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等;

过程监控层主要包括监控服务器与HMI系统功能单元,用于对生产过程数据进行采集与监控,并利用HMI系统实现人机交互;

现场控制层主要包括各类控制器单元,如PLC、DCS控制单元等,用于对各执行设备进行控制;

现场设备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。

根据工业控制系统的架构模型不同层次的业务应用、实时性要求以及不同层次之间的通信协议不同,需要部署的工控安全产品或解决方案有所差异,尤其是涉及工控协议通信的边界需要部署工控安全产品进行防护,不仅支持对工控协议细粒度的访问控制,同时满足各层次对实时性的要求。

工业控制系统典型分层架构模型

该标准专门标注了随着工业4.0、信息物理系统的发展,上述分层架构已不能完全适用,因此对于不同的行业企业实际发展情况,允许部分层级合并,可以根据用户的实际场景进行判断。

  • 相关内容的映射关系

考虑到工业控制系统构成的复杂性,组网的多样性,以及等级保护对象划分的灵活性,给安全等级保护基本要求的使用带来了选择的需求。该标准给出了各个层次使用本标准相关内容的映射关系,可以在实际应用中参考:

约束条件

工业控制系统通常对可靠性、可用性要求非常高,所以在对工业控制系统依照等级保护进行防护的时候要满足以下约束条件:

  • 原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响。例如用于基本功能的账户不应被锁定,甚至短暂的也不行;
  • 安全措施的部署不应显著增加延迟而影响系统响应时间;
  • 对于高可用性的控制系统,安全措施失效不应中断基本功能等;
  • 经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时,应进行安全声明,分析和说明此条款实施可能产生的影响和后果,以及使用的补偿措施。


02 工业控制网络VS传统IT网络

工业控制网络与传统IT网络的不同

从大体上看,工业控制网络与传统IT信息网络在网络边缘、体系结构和传输内容三大方面有着主要的不同。

网络边缘不同:工控系统在地域上分布广阔,其边缘部分是智能程度不高的含传感和控制功能的远动装置,而不是IT系统边缘的通用计算机,两者之间在物理安全需求上差异很大。

体系结构不同:工业控制网络的结构纵向高度集成,主站节点和终端节点之间是主从关系。传统IT信息网络则是扁平的对等关系,两者之间在脆弱节点分布上差异很大。

传输内容不同:工业控制网络传输的是工业设备的“四遥信息”,即遥测、遥信、遥控、遥调。此外,还可以从性能要求、部件生命周期和可用性要求等多方面,进一步对二者进行对比,详细内容如表1所示。

工业控制系统安全涉及计算机、自动化、通信、管理、经济、行为科学等多个学科,同时拥有广泛的研究和应用背景。两化融合后,IT系统的信息安全也被融入了工控系统安全中。不同于传统的生产安全(Safety),工控系统网络安全(Security)是要防范和抵御攻击者通过恶意行为人为制造生产事故、损害或伤亡。可以说,没有工控系统网络安全就没有工业控制系统的生产安全。只有保证了系统不遭受恶意攻击和破坏,才能有效地保证生产过程的安全。虽然工业控制网络安全问题同样是由各种恶意攻击造成的,但是工业控制网络安全问题与传统IT系统的网络安全问题有着很大的区别。


03 工业控制系统软硬件及其协议的脆弱性

工业控制系统面临的脆弱性示例

1 工业控制系统产品漏洞(可以这样说,几乎100%的工业控制系统都存在漏洞)

工业控制系统产品漏洞,如Emerson RS3漏洞,SIEMENS PLC漏洞。工业领域因软、硬件更新、升级、换代困难,漏洞不能得到及时修补。

2 Modbus自身协议缺陷

不单是Modbus,像IEC104,PROFINET等主流的工控协议,都存在一些通用问题。为了追求实用性和时效性,牺牲了很多安全性,因此会导致黑客的攻击。

3 OPC协议自身的脆弱性(非OPC UA)

OPC协议目前广泛应用于石油炼化、炼钢厂、发电、精密制造领域。OPC协议在为大家带来便利的同时,存在着非常大的安全隐患。首先,OPC协议架构基于Windows平台,Windows系统所具有的漏洞和缺陷在OPC部署环境下依然存在。并且,为了实现信息交互的便捷性,所有的Client端使用相同的用户名和密码来读取OPC server所采集的数据。另外,只要Client端连接,所有的数据都会公布出去,极易造成信息的泄露。更有甚者,在某些不太规范的部署环境下,OPC server一方面是为现场所采集的实时数据提供展示,另一方面又为MES层提供数据。相当于MES和现场数据共用一个OPC数据库,MES一旦被攻击,就会导致OPC的某个参数被修改,致使现场操作也会随之变动。


04 工业控制中的安全标准


工控安全参考标准

我们搜集了下文所提到的标准法规和其他部分工控标准

国际标准

国家标准

  • 《工业控制系统信息安全防护指南》

《工业控制系统信息安全防护指南》是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,为工业企业制定工控安全防护实施方案提供指导方向。该指南的制订,是在国内深化制造业与互联网融合发展的大背景下,国内工业控制系统信息安全问题突出的情况下,国内工控安全多个标准发布,工控安全技术蓬勃发展的环境下,基于管理、深入技术、结合业务,以新高度为工业企业提供全面的工控安全建设指导。

  • 《工业控制系统信息安全行动计划 (2018-2020年)》

工业控制系统信息安全行动计划的主要目标:到2020年,一是建成工控安全管理工作体系,企业主体责任明确,各级政府部门监督管理职责清楚,工作管理机制基本完善。二是全系统、全行业工控安全意识普遍增强,对工控安全危害认识明显提高,将工控安全作为生产安全的重要组成部分。三是态势感知、安全防护、应急处置能力显著提升,全面加强技术支撑体系建设,建成全国在线监测网络,应急资源库,仿真测试、信息共享、信息通报平台(一网一库三平台)。四是促进工业信息安全产业发展,提升产业供给能力,培育一批龙头骨干企业,创建3-5个国家新型工业化产业化产业示范基地(工业信息安全)。

  • 《信息安全技术工业控制系统安全控制应用指南》(GB/T 32919-2016)

该标准由全国信息安全标准化委员会(SAC/TC260)提出,全国信息安全标准化技术委员会归口管理。适用于工业控制系统拥有者、使用者、设计实现者以及信息安全管理部门,为工业控制系统信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估和安全检查工作提供参考。方便规约工业控制系统的安全功能需求,为安全设计(包括安全体系结构设计)和安全实现奠定基础。

  • 《信息安全技术 网络安全等级保护基本要求 第5部分 工业控制系统安全扩展要求》

也就是等保2.0了,将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。对重要基础设施重要系统以及“云、物、移、大、工”纳入等保监管,将互联网企业纳入等级保护管理,并在《网络安全等级保护基本要求 第5部分 工业控制系统安全扩展要求》中针对工控安全进行详细描述,并专门对工控分层模型等内容进行了描述。

  • GB/T 26333-2010《工业控制网络安全风险评估规范》

作为我国工控安全第一个国家标准,解决了我国工控安全标准空白的问题,实现了工控安全标准零的突破。此标准2011年发布实施,从发布时间上可以看出,我国关注工控安全的前辈们的高瞻远瞩。但是此标准并未推行起来,成为了事实上可有可无的标准,成为了工控安全标准界的先烈。究其原因,还是此标准无核心内容(核心内容都是直接引用其它标准),标准过于简单,可操作性低,导致此标准落地困难。建议相关单位对此标准进行修订。

  • GB/T 30976.1-2014《工业控制系统信息安全 第1部分:评估规范》

作为我国工控安全第一个有内容的国家标准,解决了我国工控安全无标准可依的窘境。《评估规范》分为管理评估和系统能力(技术)评估。管理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果宜指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次,以覆盖组织机构的不同部门或各个工业控制系统。管理评估分三个级别、系统能力(技术)评估分为四个级别。信息安全等级由系统能力等级和管理等级二维确定。

此评估标准实施过程中,还没有一套有效的方法论来指导用户单位确定自己需要的信息安全等级,或者政府未有一套信息安全等级评定的依据。目前阶段只能根据用户单位自己的自发需求来确定信息安全等级,然后根据用户单位确认的等级开展评估活动。

GB/T 30976.2-2014《工业控制系统信息安全 第2部分:验收规范》

此标准解决了我国工业控制系统信息安全验收上的空白,解决了验收有标准可依的困境。此标准的使用方是工业控制系统用户方,《验收规范》涉及到专业的安全测试,除电力和石油石化等大部分用户方在能力上不足以完成验收阶段的安全测试。因此需要借助第三方的测评力量来验收,就涉及到项目预算增加的问题。因此在做标准宣贯时,需要在立项阶段就考虑验收标准和费用的问题。

行业标准

电力行业

在工控安全领用,电力行业2005年颁布的电监会5号令《电力二次系统安全防护规定》,“安全分区、网络专用、横向隔离、纵向认证”十六字深入人心。其次是石化、核电及烟草行业也有相应标准。

  • 《电力监控系统安全防护规定》(中华人民共和国国家发展和改革委员会令第14号)

《电力监控系统安全防护规定》是为了加强电力监控系统的信息安全管理,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力系统的安全稳定运行而制定的法规,经国家发展和改革委员会主任办公会审议通过,2014年8月1日中华人民共和国国家发展和改革委员会令第14号公布,自2014年9月1日起施行。

  • 《电力监控系统安全防护总体方案》(国能安全【2015】36号)

《电力监控系统安全防护总体方案》(国能安全【2015】36号)作为行业最新的电力系统安全规范文件,以“安全分区、网络专用、横向隔离、纵向认证”为原则,提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案,综合采用防火墙、入侵检测、主机加固、病毒防护、日志审计、统一管理等多种手段,为二次系统的安全稳定运行提供可靠环境。

  • 《电力行业信息系统安全等级保护基本要求》电监信息[2012]62号

2012年,电力行业按照国家信息安全等级保护相关标准和管理规范,结合自身行业现状和特点,制定了本行业的等保标准——《电力行业信息系统安全等级保护基本要求》,指导行业信息安全等级保护工作。

  • 国家电网信息安全检测依据的其他标准(国家电网2017年发布)

石化行业

  • GB/T 50609-2010 《石油化工工厂信息系统设计规范》

此设计规范中要求网络之间需要采用安全隔离,2010年颁布的行业标准,算比较早重视工控信息安全的行业。

核电行业

  • GB/T 13284.1-2008 《核电厂安全系统 第1部分 设计准则》
  • GB/T 13629-2008 《核电厂安全系统中数字计算机的适用准则》

《设计准则》提供了有关核电厂安全设计应遵循的准则。标准中规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求,标准适用于为防止或减轻设计基准事件后果、保护公众健康和安全所需要的那些系统。《适用准则》主要针对核电厂安全系统中数字计算机适用性制定的准则。

烟草行业

  • YC/T 494-2014 《烟草工业企业生产网与管理网网络互联安全规范》

此标准主要规范烟草工业企业生产网与管理网之间的联网安全问题。

  • 《烟草行业工业控制系统网络安全基线技术规范》



05 你应该知道的等保2.0

等保2.0工控安全基本要求

等保2.0为了适应新技术、新业务、新应用,该标准对云计算、移动互联、物联网和工业控制系统分别提出相应的要求,内容结构调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

  • 工控系统安全扩展要求控制项数量变化

等保2.0工业控制系统安全扩展要求

物理和环境安全:增加了对室外控制设备的安全防护要求,如放置控制设备的箱体或装置以及控制设备周围的环境;

网络和通信安全:增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求,增加了拨号使用控制和无线使用控制的要求;

设备和计算安全:增加了对控制设备的安全要求,控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备,如PLC、DCS控制器等;

安全建设管理:增加了产品采购和使用和软件外包方面的要求,主要针对工控设备和工控专用信息安全产品的要求,以及工业控制系统软件外包时有关保密和专业性的要求;

安全运维管理:调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求,更加适配工业场景应用和工业控制系统。

等保2.0工业控制系统应用场景

工业控制系统的概念和定义

工业控制系统(ICS)是几种类型控制系统的总称,包括数据采集与监视控制系统(SCADA)系统、集散控制系统(DCS)和其它控制系统,如在工业部门和关键基础设施中经常使用的可编程逻辑控制器(PLC)。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模的控制系统,也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等。



06 行业控制架构图与安全问题分享

某行业的工控系统结构图


某行业工业控制系统面临的信息安全问题

(1)操作站、工程师站、服务器采用通用Windows系统,基本不更新补丁。

(2)DCS在与操作站、工程师站系统通信时,基本不使用身份认证、规则检查、加密传输、完整性检查等信息安全措施。

(3)生产执行层的MES服务器和监督控制层的OPC服务器之间缺少对OPC端口的动态识别,OPC服务器可以允许任何OPC客户端连接获取任何数据。

(4)工程师站权限非常大,有些是通用的工程师站,只要接入生产网络,就可以对控制系统进行运维。

(5)多余的网络端口未封闭,工控网络互连时缺乏安全边界控制。

(6)外部运维操作无审计监管措施。


参考资料

https://www.kiwisec.com/news/detail/5c1c603bdb30c341099f28ab.html

https://www.venustech.com.cn/article/new_type/52.html

https://www.secrss.com/articles/3526

http://www.winicssec.com/Wap/Index/show/catid/57/id/456.html

《工业控制网络安全技术与实践》姚羽,祝烈煌,武传坤 著 机械工业出版社

工控系统信息安全-自动化博览2016/5

刘德莉. 构建工业信息安全屏障 助力航天企业快速发展[N]. 中国航天报,2019-02-28(003).

来源:安全客

链接: https://www.anquanke.com/post/id/178265

文章来源: https://twgreatdaily.com/zh-hans/2SduVm8BMH2_cNUgxHWz.html