业内信息 技术分享

产业发展新势能:读《工业控制系统信息安全防护指南》的管窥之见

  自从2011年9月《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)文件发布之后,国内各行各业对工业控制系统信息安全的认识都达到了一个新的高度,电力、石化、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业安全检查与整改活动。451号文填补了国内工业控制系统信息安全的政策空白,由此拉开了行业发展的帷幕。

  然而,随着国家信息安全机构职能的调整,工控安全管理工作在后续一段时间基本处于暂停状态。直到中编办对工信部在2015年9月16日发布的新“三定”职责中明确:“拟定工业控制系统网络与信息安全规划、政策、标准并组织实施,加强工业控制系统网络安全审查”,工控安全相关工作正式纳入工信部的职责范围之后,工信部以信息化和软件服务司为主管司局,开始加快工控安全的保障工作。今年5月20日,《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件明确提出:“以提升工业信息安全监测、评估、验证和应急处置等能力为重点,依托现有科研机构,建设国家工业信息安全保障中心,为制造业与互联网融合发展提供安全支撑。”今年7月25日,工业和信息化部怀进鹏副部长在山东威海组织召开全国信息化和软件服务业工作座谈会上明确提出:“推进《工业控制系统信息安全防护指南》(下文简称《指南》)的宣贯落实,提升工业信息系统安全保障能力”,这是工信部第一次在公开途径发布《指南》的有关消息。千呼万焕,2016年10月17日,在451号文件发布的5年后,《指南》终于正式印发。

  该《指南》的印发是对习总书记在“4.19”讲话精神中明确强调“采取有效措施,切实做好国家关键信息基础设施安全防护”的贯彻落实,也充分体现了11月7日发布的《国家网络安全法》中的有关条款要求。《指南》的及时发布,为工业企业和地方主管部门提供了一个有力的上位文件指导,为工业企业如何开展工业控制系统信息安全工作提供了可操作性的防护措施,并可进一步提升相关人员的工业控制系统信息安全防护意识,推进产业的整体良性发展,切实提升国家关键信息基础设施控制系统的安全防护水平。

  同时,也从另一个角度也可以体现国家对工业控制系统信息安全的重视。近两年,从公开信息统计,国家对工业控制系统信息安全项目投资逐渐提高。各部委(发改委、工信部、科技部等)在工业控制系统信息安全方面累计建设和产业化投资已超过10亿元。行业进入了快速发展阶段,各行业协会、产业联盟、软/硬服务厂商等积极参与到产业发展当中,成果显著。本《指南》明确了适用于工业控制系统信息安全的防护技术、管理体系,对工业控制系统信息安全如何防护、培训指导、技术研发、责任落实、应急响应等,都有了明确的内容指导。

  本文将就《指南》在实际应用中如何快速落地进行解读,并闸述了如何利用《指南》去开展工业控制系统信息安全工作,制订建设方案,以及相关产业、产品如何受益等。

  《指南》共分为11个大项30个条目,涵盖了安全技术体系和安全管理体系。
guide_for_information_security_protection_of_ics

一、安全技术体系

  工业控制系统信息安全事关经济发展、社会稳定和国家安全。近年来,随着新一代信息技术对工业生产活动各业务环节的不断渗透,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。

  其中,安全技术体系设计是工业控制系统信息安全防护的重要部分和核心,其思想主要是:构建集安全防护能力、安全风险监测能力、 应急响应能力和灾难恢复能力于一体的安全技术保障体系,切实保障工控系统信息安全。安全技术体系由应用安全防护、网络安全防护、物理安全防护、主机安全防护和数据安全防护等环节构成。

1.1、应用安全防护

  应用安全防护在《指南》中体现在第一、二条,主要强调了对病毒防护和恶意软件及配置和补丁的管理。

  在实际应用中,具体措施为:在工业主机应用程序多且复杂的情况下,选择防病毒软件;在工业主机应用程序少且简单的情况下,选择应用程序白名单软件(application whitelisting)。应用白名单在管理上过于复杂,业务流程和应用存在不断增长的复杂性和互连性,需要谨慎使用。需要建立工控系统防病毒和恶意软件入侵管理机制,并保证机制执行的一套制度。管理制度应包括:防病毒和恶意软件入侵管理的总体思路,防病毒软件的选择、安装、升级及维护,发现病毒与恶意软件的处理措施,对工控系统、临时接入设备、移动设备等。

  在新建工业控制系统时,要求工业控制网络、工业主机和工业控制设备的供应商提供推荐的安全配置,建立安全配置清单;工业企业存量的工业控制网络、工业主机和工业控制设备也可以由供应商推广安全配置清单或者由第三方安全服务供应商经过严谨测试后提供安全配置清单。建立了安全配置清单,工业企业需要定期对工业控制网络、工业主机和工业控制设备进行安全审计。在重大配置变更时,需要制定严谨的变更计划。首先在离线环境进行安全测试,进行影响分析;重要控制系统,需要在检修期间再进行变更操作,同时进行影响测试观察,保证控制系统无影响运行。关注专业或权威机构发布的工业控制系统信息安全漏洞或工控系统供应商的补丁发布,其中权威机构的清单可参考plcscan.org上发表的《工业控制系统信息安全资源汇总(国内篇)》《工业控制系统信息安全资源汇总(国外篇)》。建议工业企业采用第三方工业控制系统信息安全服务商对现场工控软硬件匹配性安全漏洞通报及加固方案推荐。工业企业自身有安全服务能力的情况下,可以自行对升级补丁进行严格安全评估与测试验证;服务能力不足的情况下,可以选择专业的工业控制系统信息安全服务商协助进行补丁的安全评估与测试验证。配置和补丁管理详细的落地措施可以参考国标GB/T 32919-2016《信息安全技术 工业控制系统安全控制应用指南》的安全控制族配置管理(CM)和安全控制项SI-2,其中补丁评估与验证方法还可参考CISSP的“补丁与漏洞管理”或IEC 62443-2-3的《Patch management in the IACS environment 》。
patch_management

 工控补丁管理流程

  可能受益的产品或厂商包括:桌面防病毒软件(360、安天、赛门铁克等),应用白名单软件(匡恩、威努特、谷神星等),安全配置核查工具(绿盟科技、启明星辰等)。

1.2、网络安全防护

  网络安全防护方面,《指南》侧重说明了边界安全防护,重点写明了开发、测试环境和生产环境之间、控制网与互联网或企业网之间、控制网不同区域之间的边界防护问题。

  工业控制系统的开发、测试环境与生产环境的安全要求不同,执行不一样的安全控制措施,需要将安全要求不同的环境分离出来,比如物理隔离或其它安全隔离手段。开发测试环境需要经常变动配置,应用各种工具,接入各种外设,如果与生产环境没有分离,可能对生产环境造成干扰及威胁引入。

  工控控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关。工控网络与企业网互连,根据工控网络的重要性及现场需求来选择工业防火墙、工业网闸、单向隔离设备及边界安全防护网关。工控网络与互联网相连,建议选择单向隔离设备,如果对现场业务有影响,尽量选择安全级别高的设备进行安全防护。具体选择哪种隔离设备,可以通过第三方安全评估单位对现场进行评估后,给出适合现场需要的边界隔离方案。

  工控网络安全区域之间的安全防护,建议根据区域重要性和业务需求来选择使用工业防火墙、网闸还是其它安全隔离装置。可以通过第三方安全评估单位对现场进行评估后,给出适合现场需要的区域隔离方案。

  可能受益的产品或厂商包括:工业防火墙(海天炜业、三零卫士、中科网威、匡恩、威努特等),工业网闸(力控华康、启明星辰、网神等),单向隔离网关(珠海鸿瑞、科东、南瑞、东方电子等)。

  工业企业具体选择工业防火墙、网闸、单向隔离设备和边界安全网关等供应商时,可参考计算机信息系统安全专用产品销售许可服务平台:http://www.ispl.com.cn/ispl/jsp/common/ProductList_Public.jsp

1.3、物理安全防护

  物理安全防护:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。具体措施为工控系统的机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录人员的进出情况;对机房设置视频监控和报警系统;机房建筑设置避雷装置,建立备用供电系统等。

  对重要工控资产所在区域,需要采取双因子防护措施,比如门禁加视频监控、专人值守登记加门禁等,进入重要区域实现先备案,可被审计或追溯。

  对常规工业主机上的USB、光驱、无线等接口进行拆除或封闭。确需使用,可以使用终端外设统一接入方式进行管理或对有外设的主机实行隔离存放,使用需要经过审批及访问控制才能接触。工业企业需要定期对工业主机的外设配置及使用情况进行审计,发现并消除风险。

  可能受益的产品或厂商包括:工业终端管理(中电瑞凯、匡恩、威努特等)。

1.4、主机安全防护

  主机安全防护主要体现在第五条的身份认证和第六条的远程访问安全。包括主机安全、身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。具体措施为对登录操作系统和数据库系统的用户进行身份标识和鉴别。对工业主机、应用服务资源、工业云平台等访问或使用过程中使用身份认证管理,对不支持身份认证管理的资产,进行物理上的访问控制。对于关键资源的访问需要根据重要性级别实行多因素访问。工业企业工控系统账户权限采用申请制,以满足工作要求的最小权限原则来进行账户权限分配,并定期审计分配的权限是否超出工作需要。对工业控制设备、SCADA软件、工业通信设备等需要登录账户及密码的情况,可以采用供应商推荐的密码强度,工业企业也可以根据资产重要性采取不同强度的账户及密码,并避免使用默认口令或弱口令。对资产的登陆账户及密码的保存,需要采取严密的统一管理措施,并定期对账户及密码进行审计与更新。身份认证证书在不同系统或网络环境下分别使用,保护证书暴露后对系统和网络的影响范围。重要的身份认证证书,可以采用USB key的方式进行保护。

  工业控制系统与互联网互连需要进行边界安全防护,并关闭通用的网络服务。由于许多工业控制产品在设计之初只考虑了应用的功能需求,而并未考虑安全需求,开放了通用网络服务,而这些服务存在严重的安全漏洞。如果一定需要通用网络服务,需要设置DMZ区域,将通用网络服务放置在此区域,并且DMZ区域与工控系统采用严格的边界安全防护措施。需要进行远程访问的,需要在边界上使用单向隔离装置,并对访问时限进行备案控制,保证在数据访问时,远程访问侧不允许对单向隔离装置进行配置变更,只允许控制网侧进行配置变更。另外,使用需要远程维护的,可以采用专网或VPN进行远程接入,对接入账号实行专人专号,并对接入账户进行操作记录审计。也可以考虑在工控设备前端使用专用的VPN设备连接网络。对工控系统相关访问日志进行保护,定期对访问日志进行异地备份,并对操作过程进行合规性审计。

  可能受益的产品或厂商包括:VPN接入设备(珠海鸿瑞、T-BOX、MOXA、研华、东土等)。

1.5、数据安全防护

  包括数据完整性、数据保密性、备份和恢复。具体措施为:能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏, 并在检测到完整性错误时采取必要的恢复措施; 采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性; 提供数据本地备份与恢复功能,保证完全数据定期备份,备份介质场外存放; 提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。对工控系统的测试数据需要进行保护,比如委托的第三方服务机构,需要签订保密协议,并对测试数据进行回收保护。

二、安全管理体系

  工控系统安全管理体系是一个不断完善、不断改进的过程,随着外部情况及内部条件的改变,需要对管理体系的内容及范围做相应的调整, 以适应变化。最终达到管理体系为工控系统安全的成功实施起 到保驾护航的作用。在《指南》中,安全管理防护体系由系统运维管理、系统建设管理、安全制度和机构管理等部分组成。

2.1、系统运维管理

  系统运维管理强调对异常行为监测和应急预案演练的管理体系建设。包括网络攻击监测、异常行为监测、工业协议深度包检测、监控管理和安全管理中心、安全事件处置、应急预案管理等,各环节应符合国家及行业标准的要求。

  其中,如果部署监测管理设备,需要能即时发现网络攻击或异常风险,及时告警,并推荐风险解决方案,工业企业需要及时处理风险或委托第三方安全服务商进行快速处理。

  在重要工控设备前端推荐部署带有深度包检测功能的防护设备,限制对重要设备的写操作,同时防护设备本身不能因为设置过滤规则过多而造成误过滤,影响业务连续性。

  工业企业需要自主或委托第三方工业控制系统信息安全服务厂商制定工业控制系统信息安全事件应急响应预案,当遭受安全威胁导致工控系统出现异常或故障时,第一时间恢复业务,并对现场进行保护,方便取证。企业需要针对自身业务特点,起草应急响应方案,并定期模拟、演练。

2.2、系统建设管理

  系统建设管理主要体现为第八条和第十条,即资产管理和供应链管理。资产管理包括资产管理、介质管理、设备管理等,建立工控软、硬件资产清单,明确资产责任人,定期对资产进行安全巡检,审计对资产的操作记录,并检查资产的运行状态,及时发现风险。对工控系统中的关键组件进行冗余配置,包括端口冗余、网络冗余、设备冗余、软件冗余等,根据业务需要选择冷备份与热备份或同时运行的方式。

  供应链管理需要统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案, 并形成配套文件。组织相关部门和有关安全技术专家进行论证和审定,并经过行业监管机构、上级信息安全主管部门和相应生产调度机构的审核。在选择工控系统规划、设计、建设、运维或评估服务商时,优先考虑有工业控制系统信息安全防护经验的服务商,工业企业在选择工控系统安全防护建设、运维或评估等服务商时,也是要优先考虑具备工业控制系统信息安全防护与服务经验的服务商,并以合同等方式明确服务商应承担的信息安全责任与义务,比如保密义务、安全防护义务等。服务商需要以保密协议的方式为工业企业的业务数据、网络结构、设备清单等接触到的一切工业企业信息进行保密,尤其是通过普查、调研、检查、审计等获取的企业敏感数据,对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。

2.3、安全管理制度和机构

  明确由主管安全生产的领导作为工控系统安全防护的主要责任人, 成立指导和管理信息安全工作的协调小组或委员会;设立信息安全管理工作的职能部门;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。严格规范人员录用过程,对被录用人员的 身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;与安全管理员、系统管理员、网络管理员等关键岗位的人员签署保密协议; 定期对各个岗位的人员进行安全意识教育、岗位技能培训和相关安全技术培训及安全认知的考核。逐步建立重要工业控制系统信息安全漏洞和事件的通报、推送和共享机制。部署工业控制系统信息安全防护管理与技术措施,逐步建立工业控制系统信息安全企业保障体系。

  总结:对应美国国土安全部的工业控制系统信息安全“七步骤”,该指南更加详细、全面,突显了服务保障理念,兼顾了技术体系和管理体系,为政府、企业、科研机构和用户等相关产业部门提供参考。当然,该指南还只是指导性文件,未来产业如何进一步发展,还需要相关执行标准的进一步健全、完善和落地,从而全面保障关键信息基础设施安全。

  本文由灯塔实验室(plcscan.org)工业控制系统信息安全产业联盟(icsisia.com)联合发布,特别感谢《指南》的牵头编制单位工信部电子一所(电子科学技术情报研究所)的大力指导。由于《指南》发布不久,管窥之见,未尽事宜,欢迎来函指正。

参考文献:

1)Seven Steps to Effectively Defend Industrial Control Systems_S508C
2)CISSP认证考试指南(第六版)
3)IEC 62443-2-3
4)PLCSCAN.ORG
5)工业控制系统信息安全防护体系研究 《工业控制计算机》2013年第26卷第10期
6)GB/T 32919-2016《信息安全技术 工业控制系统安全控制应用指南》

Leave a Reply

Your email address will not be published. Required fields are marked *