《工业控制系统信息安全》专刊第二辑特辑



《工业控制系统信息安全》专刊第二辑特辑

编者按：《工业控制系统信息安全》专刊第二辑已于2015年11月正式发行，该刊是“工业控制系统信息安全产业联盟”（ICSISIA）工作的重要内容之一。专刊作为交流的平台，从专家视点、行业声音、研究分析、标准&测试&防护、技术&应用多角度出发，集中展示了我国工业控制系统信息安全产业的发展现状、最前沿的技术和研究成果。专刊第二辑出版后，得到联盟成员、关注和研究工控信息安全技术的专家学者以及奋斗在一线的广大工程师的热烈反馈，并对我们的工作给予了高度的肯定。在本期的“工业安全”专题中，特再次精选专刊中的部分内容，希望可以对各位读者的工作有所帮助和启发。

全部文章内容请点击：http://www.icsisia.com

《基于eID建立可信的云安全环境》（节选）

3 基于eID的可信云安全环境

自2009年起，公安部第三研究所根据公安部指示开展网络身份管理试点研究。在我国，eID是以密码技术为基础、以安全智能芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络身份标识，能够在不泄露身份信息的前提下在线远程识别身份。“公安部公民网络身份识别系统”于2011年投入正式运行，通过了国家密码管理局的系统安全性审查及权威技术鉴定，它向用户签发eID时，会以用户个人身份信息和随机数计算出一个唯一代表用户身份的编码，即用户的网络身份标识编码（eIDcode）。该编码不含任何个人身份信息，且不可逆推出个人身份信息。eID由一对非对称密钥（公钥和私钥）及相关电子信息文件组成，该密钥由安全芯片内部产生，通过高强度安全机制确保无法被读取、复制、篡改或非法使用。eID在网络上远程使用时，使用上述密钥文件基于国家商用密码算法（SM2/ SM3/SM4等）进行芯片内部的数字签名等密码运算。

因此eID具有三个功能，一是网络服务机构能在不获取身份信息的前提下远程有效识别持有者是否“人证合一”，在此过程中eID的发行机构是掌握持有者的身份信息的，具有保护隐私的特点；二是持有者能对eID进行有效挂失（eID使用时需要输入eID签名密码）；三是具有数字签名功能，从法律上使得eID持有者的网络行为不可抵赖。

基于eID具有的以上特质，本文提出了基于eID的可信云安全环境模型（如图1所示），主要包括以下部分:

——公安部第三研究所胡传平

（1）eID签发机构：连接公安部人口库的“公安部公民网络身份识别系统”，承担eID签发和管理职能。

（2）eID登记发行机构：承担eID载体的登记和发行职能，严格执行面对面审核用户身份和eID的现场签发，并提供加载eID的载体的机构。

（3）用户：通过eID登记发行机构面签后，用户持有eID载体（卡），并设置其PIN码。

（4）云服务提供商：连接eID签发机构并接入云应用的服务机构，承担eID网络身份识别基础服务和相关安全增值服务。

（5）线上应用：指泛在的云服务，是基于eID进行用户身份识别和安全服务的云应用。

图1　基于eID的可信云安全环境模型

在云计算平台中，eID通过三大特质——即在云中能有效地证明“我是谁（通过严格的面对面审核）”、“我知道什么（eID签名密码校验）”、“我拥有什么（eID卡）”——来建立云服务提供商与用户的强可信关系。

而且用户使用eID通过网络向云应用方自证身份时，应用方会通过连接“公安部公民网络身份识别系统”的云服务提供商，请求验证核实用户网络身份的真实性和有效性。一旦用户的eID通过验证，应用方会得到一个与该应用相对应的用户网络身份应用标识编码（appeIDcode）。虽然用户拥有唯一的网络身份标识编码（eIDcode），但不同的云服务提供商得到的是不同的网络身份应用标识编码（appeIDcode），这样即使在云服务提供商的平台上发生内部人员失职、黑客攻击及系统故障导致安全机制失效等安全问题时，都可以避免用户在不同云应用中的行为数据被汇聚、分析和追踪，最大程度地保护用户的身份、行为等隐私信息。

同时，云服务提供商既能知道权威的用户身份识别结果，又无需收集用户身份信息，避免了内盗或黑客攻击而泄露用户隐私的风险。

《国内工业控制系统信息安全面临的紧迫问题分析》（节选）

——中国自动化学会专家咨询工作委员会罗安

3 对策分析

虽然一个封闭的控制系统核心比较容易划定边界，但这也并不表明这样的系统是放在保险箱里的，因为有些端口容易被人忽略，成为系统防线的薄弱环节。例如组态端口，如果通过组态端口向系统下装了含有恶意攻击的组态数据，就足以对控制系统造成严重危害。另外，如人机界面终端，其移动存储接口（如USB）就很容易成为引入攻击的薄弱环节。有时外部攻击并不表现为对系统数据的窃取或恶意篡改，而是简单造成网络风暴或广播风暴，使系统网络陷于瘫痪，也同样会对系统造成严重危害。另外，在很多SCADA系统中，远程的数据和控制命令是通过广域网进行传输的，有些甚至通过公共网络进行传输，这都是容易遭受攻击的薄弱环节。

对此，我们不能认为工控系统不应该走开放路线，而是应该考虑如何避免开放所带来的负面影响。我们现在还无法预见在工控系统走向更加网络化的进程中会遇到什么问题，但可以肯定的一点是，我们不应该过分强调开放性，而要有分析地考虑在系统的哪些地方采用哪种程度的开放技术。在控制系统中，网络必须分层次，靠近现场控制的底层网络必须具有最高的安全性、可靠性和实时性。由于底层网络的功能相对简单，因此对底层网络的要求不是更多更复杂的功能，对于其开放性的考虑也不应该把重点放在功能性、便利性和广泛的互联性方面。对于控制系统的底层网络，我们最为关注的是现场实时数据和重要的资产管理数据的快速、及时、准确的传递，现场网络的通信协议和通信机制应该尽量简单、明确、易于检查诊断，出现异常时能够及时发现并快速处理，以最短的时间恢复正常。显然，目前市场上有一些现场网络产品并不符合上述原则，由于其过于庞大，技术实现过于复杂，对于保障控制系统最基础的底层功能能够安全可靠运行就不太有利。目前的当务之急并不是对现场层的网络作加法，不断让其承担更多的功能，而是要作减法，保留必要的功能并予以强化，使控制系统的最底层成为一个少而精、运行高效、可靠、坚固的核心，这样才能够在此基础上建立一个功能强大的、完善的、规模庞大的完整系统。对此，一个很能说明问题的实例是，在有关功能安全的国际标准中，对于执行关键安全功能的控制器中甚至不主张使用操作系统，其考虑问题的出发点就在于此。

对于底层控制器的组态功能，应予以限制，除执行控制功能的必要参数外，尽量减少可组态部分。这样比较便于进行检查，以发现因不当组态所造成的威胁。对于可执行代码，应该严格禁止对底层控制器实施下装，这类操作是对系统安全的最大威胁。

另外，与系统的功能安全不同的是，仅采用技术手段还不足以保证系统的信息安全，有时技术手段甚至不是保证信息安全的主要措施。对于一个重要的、关键性的、复杂而大型的控制系统，必须要有一套严格有效的安全管理规范，并切实执行。目前最基本的安全管理包括授权管理和身份认证，用于保证经过授权的人员在其授权范围内对系统进行操作，而拒绝非授权人员的操作及授权范围以外的操作。这一点虽然简单，但严格执行却并不容易。例如经过授权的操作人员通过Password登录系统后，就可以进行系统操作，而这时如果其他人趁操作人员暂时离开操作终端的机会实施恶意的破坏性操作，就会造成对系统的破坏。对于诸如此类的管理性漏洞，必须要认真、仔细、周到地进行考虑并进行实际场景的模拟分析，以发现漏洞并制定应对措施。在系统的日常运行中，还需要定期检查执行情况，并对管理规程进行审核，以评估其有效性，发现问题及时修订，保持管理规程的适用有效。

《能源行业工控系统信息安全现状及需求分析》（节选）

——中国电力工程顾问集团西南电力设计院有限公司张晋宾，周四维

3 需求分析

3.1行业需求

煤炭清洁高效利用主要是发展大容量、高参数、节能环保型发电机组，由此带来压力容器与压力管道的数量增多、压力等级提升，从而使面临的危险更大。基于核电站已基本不采用工控模拟系统，大力推广工控系统的数字化，其工控系统的信息安全等级要求更高，需求更为急迫。当前电厂、电网的数字化、网络化、智能化发展如火如荼，智能仪表/控制设备、无线传感/控制网络等的大量采用，电厂/电网内IOT（物联网）、IOS（服务互联网）的推广，正在形成泛在的传感、泛在的计算、泛在的控制，网络边界动态及模糊，信息管控面和量剧增，对信息安全形成更大的挑战。虚拟电厂是电力行业网络化继续向前推进的一个显著代表，是一种新型的发电模式，是分布式发电集控或群控技术的发展。其网络互联主要是通过LAN、WAN、GPRS、ISDN或总线系统而实现。所采用的工控系统信息安全应适应虚拟电厂的地域分散性、控制的实时性和可靠性的需求。

在信息安全中，传统的安全目标三角是C（保密性）、I（完整性）和A（可用性）。对于IT应用，其安全优先级排列顺序为CIA；对于工控系统，通常认为安全优先顺序应为AIC。综合能源行业因素，考虑到工控系统的应用对象及其重要性，能源控制系统的网络安全目标不是CIA，也不是AIC，而应是SAIC四角，即在CIA基础上增加S（安全），且优先级最高。

3.2信息安全平台需求

传统的信息安全防护是采用多层、点状的防护机制，如防火墙防护、基于应用的防护、IPS、抗病毒、端点防护等。从安全角度看，上述机制主要是基于状态检测原理，处于分割状态，不能提供完善的防护，如7层可见度、基于用户的访问控制等。

因此，宜采用具有完整的、高度融合的、防范内外威胁且减小成本的工控信息安全平台。选择或构建的新型安全平台必须具有至少以下9个方面的能力。

（1）利用威胁防范智能核集成网络和端点安全；

（2）基于应用和用户角色，而不是端口和IP，对通信进行分类；

（3）支持颗粒度可调的网络分段，如基于角色或任务的访问等；

（4）本质闭锁已知威胁；

（5）检测和预防未知恶意软件的攻击；

（6）阻止对端点的零日攻击；

（7）具有集中管理和报告功能；

（8）支持无线和虚拟技术的安全应用；

（9）强大的API和工业标准管理接口。

3.3政府管理层面的需求

信息安全是一个多维度、多学科、技术和管理并存、动态发展的综合体。要达到国家等级保护3至5级（特别是4级以上），或国际标准所定义的SL3级或SL4级信息安全等级，没有国家及政府层面的介入，单凭企业的力量是难以实现的。

《浅谈市政行业自动化与信息系统的内核安全》（节选）

——中国市政工程西南设计研究总院有限公司第十一设计研究院刘卫民

4 操作系统的内核安全加固

“安全分区、网络专用、横向隔离、纵向认证”的防护原则核心目的是保护关键业务系统的数据安全以及业务的稳定运行，然而如果不能解决C2级别操作系统的根源问题，其他任何安全措施就好比将城堡建在沙子上，根基出现问题，任何其他防范措施都不能解决根本问题。那么，对关键业务主机进行综合防护是目前工业领域安全防护的重点。综合防护是结合国家信息安全等级保护工作的相关要求，对工业控制领域关键业务系统从主机层面实现对操作系统安全等级提升、恶意代码防范、远程主机入侵防范、应用安全控制、安全审计等多个层面进行信息安全防护的过程。

目前绝大部分的监控软件都是运行在一些主流的操作系统平台之上，而这些操作系统的安全级别较低，随着自动化与信息化在行业内所起的作用越来越显著且被更多的依赖，提升操作系统安全等级，避免事关民生的灾难性安全事故，便是我们目前的重要任务之一。

操作系统安全等级提升是指采用专用软件强化操作系统的访问控制能力，提升后的操作系统应达到安全操作系统四级，此类专用软件应具备公安部四级安全操作系统测评认证。

恶意代码防范应具备在操作系统内核层上实现对未知恶意代码攻击的抵御能力。其他情况防范措施还包括，应当及时更新特征代码，查看查杀记录；恶意代码更新文件的安装应当经过测试；应禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。

远程主机入侵防范，生产控制大区服务器可以统一部署网络入侵检测系统，应当合理设置检测规则，检测发现隐藏于网络边界正常信息流中的非法连接及入侵行为，分析潜在威胁并进行安全审计。

应用安全控制应当对用户登录、访问系统资源等操作进行身份鉴别及强制访问控制，防止核心命令远程恶意执行。

安全审计生产控制大区的关键业务系统应当具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。

《智能家居管理系统的信息安全分析》（节选）

——公安部第三研究所检测中心郭运尧，沈清泓，顾健

2.2.1智能家居管理系统中的信息保护方法

（1）管理设备使用可信机制

管理系统与设备通讯数据的安全，为了有效地防止被窃听篡改和控制，我们可通过对设备与管理系统采用双重认证鉴别来实现，如图4所示。

图4　可信机制拓扑图

在管理系统与设备之间建立可信的相互鉴别机制，可有效防止中间人的攻击。同样鉴别的信息或介质必须不可伪造才能保证鉴别是可信的。在被管理设备端可设置唯一可信的管理端且建有备用通讯通道，如果检测到非法的管理端接入，可通过备用的通信通道向可信的管理端或警用接口发送警告信息，并采取一定的措施，如断开非可信连接。

（2）远程可信通道

管理系统与远程终端通讯数据的安全，为了有效地防止被窃听、篡改和控制，我们可通过对远程终端与管理系统采用加密通讯通道实现（VPN、HTTPS等），如图5所示。

图5　远程可信通道

管理系统与远程管理客户端之间的通信过程通常是，客户端访问管理系统端，由于个人的VPN通道对于大多数使用者来说难以承受，所以在远程管理客户端与管理系统之间通过HTTPS方式管理即可满足普通的加密通信；与客户端和管理系统的通讯不同，企业提供的服务具备长期稳定和持续性，所以为其建立一条VPN通道则可行而且有效。如果其提供其他的网络接口，这些接口应该尽可能地通过非明文方式通信。

（3）建立可靠的防御机制

管理系统自身的安全，为了有效地防止自身被恶意攻击，可通过在管理系统上增加相应的防御模块来实现。

防御机制包括自身防御，以及对被管理设备所遭受攻击的保护两部分。自身防御包括管理界面的防止暴力破解、自身的系统不存在可被利用的风险问题、提供的是服务不被垃圾报文所攻破造成拒绝服务。与之对应的是通过对鉴别失败进行合理的处理（锁定、告警记录日志）；及时升级系统，关闭不必要的任何端口，对管理界面的任何输入均做检查，防止（如SQL注入，XSS跨站脚本等）的攻击；在管理系统中增加针对DDOS的防御模块以抵御攻击（SynFlood等）。