工业控制系统全生命周期网络安全防护研究

引言

工业控制系统是由计算机和工业过程控制部件组成的自动化生产过程控制系统,利用相关的电子电气、机械、软件等设备来控制生产相关设备,按照预定的规律运行,以保证生产出合格的产品。目前,工业控制系统被运用到智慧电网、智慧水利、智慧能源、智慧交通等涉及国计民生的重要领域,用于监控工业流程,提升工业领域的智能化水平[1]。

工业控制系统受到网络入侵攻击或者破坏将会导致工业生产中断甚至停工,不仅会造成生产效率下降,还会导致安全生产事故,严重的甚至会导致商业机密泄露,给生产企业带来不可估量的风险,如2010年“震网病毒”(stuxnet)事件[2],2015年乌克兰电网遭受攻击引发大面积停电事件[3]。工业控制系统的安全更关系到国家的战略安全,如何保证工业控制系统的安全,已引起国家相关部门的高度重视[4]。

因此,为应对工业控制系统网络安全风险,必须对工业控制系统进行网络安全防护研究。

1工业控制系统结构

如图1所示,工业控制系统一般为4层系统结构。

0层:过程接口层,包括由传感器、变送器、限位开关、智能仪表以及现场总线系统等组成的测量设备,也包括由电磁阀、气动开关阀、调节阀、泵、风机等组成的执行器设备。主要功能为工艺过程参数测量、控制指令执行。

1层:自动控制和保护层,包括控制机柜、服务器、信号采集模块、信号输出模块、控制处理器模块、网络通信模块、信号隔离模块、信号分配模块、电源模块等设备。主要功能为工艺过程参数测量处理和计算、控制联锁逻辑执行、控制指令处理和控制输出等。

2层:操作和信息管理层,包括操作员站、工程师站、大屏幕等设备。主要功能是为操作人员监督工厂运行状态提供操作信息显示和设备状态显示,并为操作人员提供设备控制操作接口。

3层:全厂技术管理层,包括生产调度系统、应急指挥管理系统。主要功能为生产执行管理、生产计划管理、应急事故管理等。

从图1可以看出,工业控制系统的功能和结构与IT系统不同。另外,工业控制系统的安全性并不遵循IT系统信息安全三要素(机密性、完整性和可用性),对工业控制系统而言可用性至关重要,其次才考虑机密性[5],这种不同造成了IT系统的信息安全防护方案不能完全满足工业控制系统网络信息安全防护要求。

2工业控制系统安全等级划分

对工业控制系统进行安全等级划分是实施网络安全防护的前提。工业控制系统安全等级划分一般应依据控制系统的结构、各部分实现的功能的重要程度、责任主体、系统边界、受到安全威胁后对责任主体和公众造成的损害程度进行划分。

根据图1中工业控制系统结构,0层、1层和2层在工业生产中完成相对独立的功能,应独立划分安全等级。根据执行功能的重要程度,对于执行安全保护和安全重要功能的系统划分为高的安全等级,对于执行常规的生产过程控制功能的系统划分为低的安全等级。3层作为生产技术管理层,应独立划分安全等级。

安全等级的划分还应考虑工业控制系统受到破坏后对责任主体造成的损害和对公众造成的损害。

工业控制系统应依据安全等级划分,实行分级防护,不同安全等级的工业控制系统分别实施不同的安全防护措施。

3全生命周期的网络安全防护

工业控制系统包括软件和硬件部件,生命周期可分为如下五个阶段:需求阶段,设计阶段,制造、安装和调试测试阶段'运行阶段'退役阶段。

工业控制系统网络安全防护应从需求阶段到退役阶段贯穿整个系统生命周期[6]'并不断迭代。在不同的阶段由不同的责任主体实施网络安全防护。在需求阶段'实施工业控制系统网络安全防护的责任主体是工业控制系统的设计方、最终业主和相应系统的供货商。在设计阶段'实施网络安全防护的责任主体是设计方和系统供货商。在制造、安装和调试测试阶段'实施网络安全防护的责任主体是设计方、加工制造商、供货商、安装和调试方。在运行阶段'实施网络安全防护的责任主体是运营和维护方。在退役阶段'实施网络安全防护的责任主体是业主方和设备拆除方。

3.1需求阶段网络安全防护

本阶段的责任主体是工业控制系统的设计方、最终业主和相应系统的供货商。各个责任主体应建立网络安全计划'内容至少应包括组织结构、责任分工、风险和脆弱性识别、网络安全纵深防御策略以及防护措施的总体说明。网络安全计划在需求阶段建立'贯穿整个项目生命周期'应定期评估并及时升版'保持网络安全计划的有效性。

需求阶段要进行风险和脆弱性识别和分析。设计方、最终业主和相应系统的供货商应确定保护对象'结合外部网络安全形势和对象的结构特征'评估保护对象存在的漏洞'分析存在的潜在风险和威胁'针对每一项潜在风险和威胁制定初步的风险应对措施。

需求阶段要进行安全等级划分'对工业控制系统的每一部分确定网络安全等级'不同的网络安全等级对应不同的网络安全防护要求。

在风险分析和安全等级划分成果的基础上'确定详细的网络安全防护需求。

3.2设计阶段网络安全防护

本阶段的责任主体是设计方和系统供货商。将网络安全防护需求作为输入'通过软件、硬件和系统的手段构建防护措施使保护对象免受网络安全威胁。防护措施可分为两大类:行政措施和技术措施。

行政措施通过法规、制度、工作规范等约束网络安全防护相关人员的行为'从而减少风险的发生。

技术措施包括加固措施和防范措施。加固措施

消除保护对象自身的漏洞'关闭不必要的功能和接口'提高对网络安全威胁的抵御能力。防范措施通过风险识别和隔离'尽早探知风险并采取措施'同时采用隔离手段减少保护对象暴露在风险威胁环境下的概率。

主要的防护措施有:

1)提供安全的物理环境:为安装工业控制系统设备的厂房提供所要求的适宜的温度、湿度和能源供应。防火、防盗、防自然灾害'防止非授权人员随意进入。

2)提供安全的通信网络:对工业控制系统进行分区域控制。特别是大型工业控制系统'应根据功能和责任主体划分不同的安全域'不同的安全域之间设置隔离设备'限制网络安全风险威胁的扩散范围。隔离工业控制系统与其他系统之间的网络'如图2所示'对于与工业控制系统之间有双向数据交换的其他第三方系统采用防火墙等隔离设备隔离;对于3层生产技术管理系统采用单向的隔离设备'使数据只能由工业控制系统向3层传输。另外'采用访问控制措施'限制非授权的网络和设备接入工业控制系统的通信网络。

3)提供安全的计算环境:采用身份鉴别防止非授权人员和系统的访问。采用防病毒措施和入侵检测'防范恶意代码。设计数据备份和恢复系统'在工业控制系统受到破坏后能迅速恢复运行。

4)加强安全建设管理:工业控制系统由众多复杂部件构成'应加强对工业控制系统供货商和分包商的管理'选择规范的、有资质的分包商。规范供应链的管理,避免采购有设计缺陷和漏洞的设备。

5)采用纵深防御措施:设计多重防御手段,使重要的关键工业控制系统设备处于防御屏障的核心。

工业控制系统网络安全防护对工业控制系统来说是非功能需求,往往与功能需求存在冲突。因此,在设计阶段应予以重点考虑和关注,进行综合权衡和协调。

3.3制造、安装和调试测试阶段网络安全防护

制造、安装和调试测试由专业人员完成,工作人员只有获得授权才能进入厂房进行设备作业,不同的人员应分区域授权作业。

制造和安装需要确保工业控制系统和设备按照预先的设计进行加工、制造和集成,避免不经意间引入额外的缺陷。调试测试通过具体的验证手段核实最终交付的系统能够防御所预期的网络安全风险,达到预期的网络安全等级,具备了预期的网络安全防护能力。

3.4运行阶段网络安全防护

本阶段的责任主体是运营和维护方。进入运行阶段后,工业控制系统具备了所设计预期的网络安全防护能力。通过行政手段和技术手段限制了非授权人员的访问控制,但维护人员仍需关注网络安全防护威胁。

在运行阶段,系统的维护人员应定期对工业控制系统进行巡视和检测,检查系统的非授权访问情况和遭受的网络攻击和破坏。运行阶段周期长,随着新的网络安全威胁的出现以及未被发现的漏洞的暴露,当初设计的网络安全防御措施可能不能防御新的风险,因此,需要基于当前的网络安全形势和新暴露的漏洞缺陷进行风险分析、识别和评估,并对工业控制系统面临的网络安全风险采取补救措施。

3.5退役阶段网络安全防护

本阶段的责任主体是业主方和设备拆除方。网络安全防护与安装阶段相同,退役作业工作人员只有获得授权才能进入厂房进行设备作业,不同的人员应分区域授权作业。

退役作业完成后应清除其他在运行系统与退役系统之间的访问控制接口和授权,同时清除退役系统中的运行数据和敏感数据。另外,需对在运行系统

进行风险分析、识别和评估,并决定是否对在运行系统采取补救措施。

4结束语

本文分析了典型工业控制系统结构,指出了传统IT系统的信息安全防护方案不能完全满足工业控制系统网络信息安全防护要求的原因,简要说明了工业控制系统安全等级划分的方法和划分依据,并从工业控制系统全生命周期的角度出发,对于每一个生命周期阶段,分别提出了网络安全防护方案。