基于PADIMEE安全模型的工控系统边界防护设计
2018-01-20 13:49刘瑞邹春明
网络空间安全 2017年12期
刘瑞+邹春明
摘 要:工业控制系统是现代工业建设、国家重大工程和关键基础设施的神经中枢。随着工业化和信息化的不断发展和演进,工控系统由传统封闭式系统演变到开放式的网络系统,同时,工控系统所面临的问题越来越复杂。考虑到适用于工业控制系统的等级保护制度即将推行,论文结合工控系统的特点,提出了基于PADIMEE安全模型的工控系统边界防护设计,进一步提高工控系统信息安全。
关键词:工业控制系统;PADIMEE安全模型;边界防护
中图分类号: TP273.5 文献标识码:A
The Boundary Protection Design of ICS Based
on PADIMEE Security Model
Liu Rui, Zou Chun-ming
(The Third Research Institute of Ministry of Public Security, Shanghai Engineering Research Center of Cyber and Information Security Evaluation, Shanghai 200031)
Abstract: Industrial control system (ICS) is the nerve center of modern industry construction, national important project and key infrastructure. With the continuous development and evolution of industrialization and information technology, ICS has evolved from traditional closed system to open network system. Meanwhile, the problems faced by ICS are becoming more and more complex. Taking into account the classified protection system for ICS to be implemented, combined with the characteristics of ICS, this paper put forward the boundary protection design of ICS based on the PADIMEE security model, and further improve the information safety of ICS.
Key words: Industrial Control System; PADIMEE Security Model; Boundary Protection
1 引言
隨着德国政府提出工业4.0的兴起以及工业化和信息化的不断融合,传统的互联网技术不断应用到工业自动化控制领域,例如航空航天、食品制造、医药和石化、交通运输以及电力和水利等。目前,超过80%涉及国计民生的关键基础设施依靠工控系统来实现自动化作业。自2010年的“震网”事件以来,一系列工控安全事件的发生表明工控系统正面临着严重的攻击威胁[1],工控系统的安全问题日益凸显。
国外较早就开始对工控系统的信息安全问题进行了研究,2005年爱达荷国家实验室的关键基础设施测试靴场正式投入运行,其中关键基础设施主要由SCADA和电力系统组成。同时,美国国土安全部制定了工控系统安全领域的专项计划,例如国家SCADA测试床计划(NSTB)。为了能够顺利开展工控系统安全工作,美国国土安全部成立了工控系统应急响应小组(ICS-CERT)致力于相关的技术研究。关于工控系统安全国家标准法规包括国家基础设施保护计划(NIPP)和《联邦信息安全管理法》[2],同时,国家标准与技术研究所(NIST)发布了一系列工控系统安全相关的指南,例如《联邦信息系统和组织的安全控制推荐》[3]和《工业控制系统安全指南》[4]等。
在“震网”事件后,我国也开始重视工控系统的安全问题,2011年工信部率先发布了《关于加强工业控制系统信息安全管理的通知》[5]。2012年,国务院正式发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》[6]。此外,国家发展和改革委等部门也开始积极部署工控系统的安全保障工作,组织了多次国家信息安全专项,专项重点支持领域均包括了工业控制信息安全领域,在专项的支持下,出现了一批适用于工业控制系统的信息安全产品,如工控防火墙、工控安全网关等。2016年《中华人民共和国网络安全法》发布,其中第31条规定了能源、交通等众多与工业控制相关的重点行业以及关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。同年,国务院发布了《国务院关于深化制造业与互联网融合发展的指导意见》[7],明确把提高工业信息系统安全水平作为主要任务之一。2016年10月,工信部印发《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)[8],把边界安全防护作为提升工控安全防护工作的一个重要方面。
基于工控系统安全高度的战略意义以及我国工业自动化控制领域和信息安全领域对工控系统安全技术研究不足的现状,及时地开展工控系统边界防护设计的研究,具有非常重要的现实意义。
2 工控系统网络安全特点
传统网络主要用于数据处理和共享,而工控系统主要用于实现对工业自动化过程的实时控制、监测和管理。由于传统网络和工控系统的适用场景不同,工控系统所面临的安全问题有其独有的特点[9]。
2.1 信息安全防护目标不同endprint
传统的IT信息系统重视数据的机密性,在一定程度上允许高的网络延迟和阻塞,实现的主要安全目标包括保密性、完整性和可用性,一般位于首位的是保密性,通过配置访问控制策略来保护用户信息的安全,其次是完整性,最后是可用性。工控系统的体系结构与传统IT系统全然不同,即使短暂的网络故障都可能导致产品损害、生产中断或对人和机器造成危险,对于工控系统而言,首先考虑的是可用性,然后才是完整性,最后是保密性。
2.2 安全威胁引入的途径不同
传统网络具有开放性、互联性等特点,安全威胁主要来自外部的网络攻击和恶意代码植入等。工控系统涉及关键领域和企业运营的大量关键敏感数据,只能进行有限受控的开放,并且在工控系统内部使用的协议、指令对字段的要求非常严格,来自互联网的网络攻击不易造成严重的威胁。对于工控系统而言,多数安全事件来自内部人员的误操作、外部不安全的设备接入等。
2.3 网络通讯协议不同
由于工业化和信息化的不断融合,管理网络和工控网络之间的数据互联也变得常态化,目前越来越多的工控协议逐渐开始支持TCP/IP底层协议通过以太网通信,如常见的Modbus TCP和OPC协议等,这就要求工控系统的网络边界能够进行支持工控协议的应用层深度解析能力,有效拦截攻击或误操作的数据包。另一方面,由于工控协议不同于传统的互联网应用协议,目前针对工控协议的漏洞扫描系统和漏洞库都亟待发展。
3 常见的安全模型
网络信息安全并不是通过简单的信息安全产品的堆砌就能解决防护问题,而是需要遵循一定的网络信息安全理念来进行控制和保障。网络的发展是动态的,不断有新的协议、操作系统、应用软件发布和应用、伴随出现的有大量新的漏洞、病毒、攻击程序,因此目前国际上普遍认为网络信息安全应该是一个动态的、不断完善的过程,并做了大量研究工作,形成了各类信息安全模型,如基于时间的PDR模型、P2DR模型[10]、全网动态安全体系APPDRR模型、安氏的PADIMEE模型[11]等。
PDR模型包括Protection、Detection、Response三个基本部分。保护是安全的第一步,采取了保护措施不一定完全保证网络安全,网络是不断发展的,需要及时检测才能发现问题,如果出现问题便需要进行及时响应。PDR模型建立了一个基于时间的安全模型。
P2DR模型是一种动态的网络安全体系,包括四个主要的部分:Policy、Protection、Detection、Response,在这个模型中,Policy是整体的核心,相对于PDR模型,P2DR对安全问题提出了明确的方向,提高系统的防护时间,降低检测和响应时间。
APPDRR模型描述了网络安全的动态螺旋上升过程,认为网絡安全由Assessment、Policy、Preotection、Detection、Reactoin、Restoration六部分完成。通过风险评估,掌握所面临的风险信息,进而采取必要的措施,使得信息系统的安全水平呈现动态螺旋上升的趋势。
在实际应用中,我们还需要考虑整体的安全生命周期和工程实施,而PADIMEE模型便是一个常用的工程安全模型,主要包括几个主要部分:Policy、Assessment、Design、Implementation、Management/Monitor、Emergency Response和Education。PADIMEE模型以安全策略为中心,安全教育为基础,通过评估、设计、实现、管理以及紧急响应,将安全实施变成一个不断改进的呈生命周期的循环过程。
4 基于PADIMEE安全模型的工控系统边界防护设计
4.1 工控系统边界分析
工控系统(ICS)是一个由工业过程控制组件和自动化组件组成,过程控制组件负责对现场设备进行数据采集和监控,使得整个工业生产环境能够自动化进行。工控系统的核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、现场总线控制系统(FCS)等[12],图1是工控系统中的一个实例。
如图1所示,工控系统的网络结构分为企业管理网络、生产监控网络和现场控制网络。
企业管理网络中包括企业ERP系统和MES系统,一般采用传统信息系统架构,网络通信以以太网为主。企业管理网络和互联网间的边界中要处理的主要是来自外部的管理数据,因此对数据保密性要求较高。此外,该边界还需负责抵御来自外部的攻击,防止内部网络受到影响。
生产监控网络中部署了SCADA服务器、OPC设备和系统监控站等上位机系统,向上与企业管理网络进行互联,向下通过现场控制网络对现场设备进行数据采集。生产监控网络和企业管理网络间的边界涉及到的数据包括来自上层网络中的任务下发等生产管理数据,同时不允许企业管理网络不相关的任何流量和报文传到生产网络中。在生产监控网络内部不同安全区域之间的边界处由于涉及数据的双向交互,需对数据流进行访问控制限制。
现场控制网络主要是由PLC、RTU、分布式I/O站、智能仪器等组成,通信方式有Modbus、Profinet、Profibus等。现场控制网络是工控系统中最重要的网络,在现场控制网络和生产监控网络间的边界要处理的是现场控制和监测数据,具有很高的实时性、可靠性等要求。
4.2 基于PADIMEE安全模型的工控边界防护
由于工业控制系统要求必须保证持续的可用性及稳定的系统访问、系统性能、专用工业控制系统安全保护技术以及全生命周期的安全支持,因此在进行工业边界防护设计的时候,更应该考虑工程实施的整个安全生命周期中的系统动态防护,PADIMEE安全模型提供了一个长期持续的全生命周期安全防护,适用于工业控制系统,本文提出了一种基于PADIMEE安全模型的工控边界防护。endprint
4.2.1策略制定阶段
工控系统在不同行业具有广泛的应用,针对不同应用的工控系统,根据实际适用环境和需求确定边界防护的安全策略和安全目标。
工控控制系统与企业管理系统之间的边界应采取有效的隔离技术手段,禁止任何穿越边界的通用网络服务数据。工控系统内生产管理层和现场设备层之间的边界应提供身份认证、访问控制和数据加密传输等功能。针对要求实时传输数据的工控控制系统,应独立组网,物理上与其他网络进行隔离;工控系统内部网络不同区域间应采用VLAN或防火墙等技术进行访问控制。
对于设备接入控制网络和内部网络需要采取管理措施加技术有段相结合方式进行管理。
为了确保工控系统稳定运行,所有的边界防护应不能影响系统功能。
4.2.2评估分析阶段
这个阶段主要从技术层面和管理层面对工控系统的边界进行评估分析。技术层面是针对边界上存在的安全技术风险评估和分析,包括网络设备、工控设备以及相关应用系统等方面。
通过分析发现企业管理网络和互联网间的边界、生产监控网络和企业管理网络间的边界对实时性相对较低,对数据保密性要求较高,面临的风险有数据泄露和网络攻击;现场控制网络和生产监控网络间的边界和生产监控网络内部不同安全区域之间的边界对数据的实时性要求较高,面临的风险有设备延迟过大影响系统运行、网络攻击和操作人员误操作等。由于误操作会导致工控系统中断、瘫痪、设备损坏或人员伤亡等严重后果,要求边界设备广泛采用白名单技术进行数据的交换控制。
管理层面是从工控系统涉及的组织人员、组织结构、管理制度等角度分析运维和管理方面的安全缺陷。
4.2.3 设计/方案阶段
根据总体工控系统边界防护的安全策略和安全目标,结合评估分析阶段进行的风险评估,制定与之相对应的方法、步骤和加固措施,进而形成一套完整的工控系统边界防护解决方案。
在企业管理网络和工业控制网络的边界可以通过部署不同强度的安全设备进行有效的安全隔离和数据交互。例如防病毒网关和工控防火墙,在进行数据交换时设置访问控制策略,仅开启必要的数据交换链路。针对特定应用可部署工控网闸或工控单向导入等隔离设备,采用信息摆渡技术等进行工控网络与管理网络之间的数据交换。
在工业控制网络内部不同安全分区之间涉及到工控系统最重要的控制和监测数据等,对实时性要求很高,可以部署工业防火墙,配置应用白名单过滤机制,对具有以太网接口的I/O设备和控制器上的进出数据进行深度包过滤。为了防止安全设备单点故障影响系统的运行,一般要求使用的工业防火墙具有Bypass功能。为了能够避免因设备联网而形成的干扰、恶意代码攻击、DDoS攻击和广播风暴等,在不同安全分区之间部署入侵检测系统等。
对外部设备接入的边界,要采取必要的有效防范措施。例如制定外部设备接入工控系统的管理制度,设备接入前通过安全检测技术确保接入设备的安全可靠,接入操作需进行审批、登记,便于事后进行审计。
在进行工业控制系统边界防护设计的时候,还需考虑部署一套完善的审计系统,针对操作人员的各类行为进行详细的审计并生成日志,以便发生安全事故时能够及时进行溯源定位。
4.2.4 实施/实现阶段
在实施阶段,我们根据安全策略和评估报告,基于工控系统边界防护解决方案,为不同网络边界中选取合适类型与型号的安全设备和网络设备,尤其是部署在生产环境中的设备应具备低时延和良好的环境适应性,并且对所有设备进行策略配置、安全加固等。
运行维护阶段:当工控系统的网络边界防护建立之后,为了保障工控系统安全持续的运行,需要对工控系统进行有效运行维护。针对重要的工控系统,部署网络监控系统,对其网络流量进行统计,生成统计报表,方便定期分析。在工控系统中亦存在与传统互联网类似的木马和恶意代码等,在各个边界定期对系统内设备进行扫描检测,及时发现网络中存在的漏洞与威胁,并且采取修复措施进行加固。
4.2.5 紧急响应阶段
紧急响应阶段是在安全事故发生时能够尽快恢复工控系统的运作和减少数据的丢失,一般可以分为响应和恢复两大环节。
(1)响应环节。当发生入侵事件时,要求入侵检测系统能够快速发现并发出告警信息通知相关人员,并配合联动设备,如工业防火墙等阻止入侵行为的持续进行。对于工控系统,高的可靠性也是响应环节中的一个关键要素。系统内部关键参数应设定阈值,当参数超过阈值时应及时告警;边界中关键网络设备应采取双机热备的部署方式,防止单点故障引起的网络瘫痪。
(2)恢复环节。对于网络边界中关键配置文件和审计记录等数据进行定期在线、离线备份,保证工控系统网络发生故障后能够迅速,进行问题追踪和网络恢复。
与此同时,还应建立规范的安全应急响应机制,制定应急预案,定期進行应急演练 。
4.2.6 教育培训阶段
教育培训是贯穿在工控边界防护建立和维护的整个生命周期内的工作,在不同时期不同阶段,需要对所有相关人员进行安全教育培训,可以通过各种方式定期或者不定期开展网络安全的知识讲座和论坛,提高网络安全意识。
基于工控系统安全状况的脆弱性以及攻击威胁的严重性,工控系统的安全问题已经提升到国家战略的高度。做好工控系统边界的防护,将攻击和威胁拒之门外,为工控系统的持续运行提供有效的保障。本文通过分析工控系统所面临安全问题的特殊性,提出了一种基于PADIMEE安全模型的工控系统边界防护设计,从整个工控系统运行的生命周期内,持续不断地完善和巩固系统的边界,切实保障工业生产的正常运转。随着工业系统渐渐走向开放以及等保2.0时代的到来,工控系统所面临的安全问题将愈加严峻,同时针对工控系统的安全要求也越来越高,针对工控系统边界防护的研究仍需进一步研究。endprint
项目基金:
2014年上海科委科技创新行动计划技术标准项目:云计算信息安全检测技术标准研究(项目编号:14DZ0502600)。
参考文献
[1] 乌尔里希·希德勒;邓敏,李现明,译.工业4.0 即将来袭的第四次工业革命[M].北京:机械工业出版社, 2014. 20-50.
[2] Hulitt E, Vaughn R. B. Information system security compliance to FISMA standard: a quantitative measure[J]. Telecommunication Systems, 2010, 45(2-3): 139-152.
[3] NIST S P.800-53[J]. Recommended Security Controls for Federal Information Systems, 2003: 800-53
[4] NIST S P.800-82[J]. Guide to Industrial Control Systems(ICS) Security, Final Public Draft, National Institute of Standards and Technology, 2008.
[5] 工信部. 关于加强工业控制系统信息安全管理的通知[Z]. 2011.
[6] W.ZF. 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》下发[J]. 军民两用技术与产品, 2012(8): 5-5.
[7] 国务院.国务院关于深化制造业与互联网融合发展的指导意见[Z]. 2016.
[8] 工信部.工业控制系统信息安全防护指南[Z]. 2016.
[9] 王文宇, 刘玉红.工控系统安全威胁分析及防护研究[J].信息安全与保密通信, 2012(2): 33-35.
[10] 田原, 沈清泓.基于P2DR2模型的工控信息系统等级保护体系[C].第四届全国信息安全等级保护技术大会论文集.北京: 2015, 91-93.
[11] 安式互聯网安全系统(中国)有限公司.安氏中国—安全服务理念与标准PADIMEE模型[EB/OL]. http://bj.is-one.net/solution/padimee.shtml. 2004.
[12] 沈清泓.工业控制系统三层网络的信息安全检测与认证[J].自动化博览, 2014(7): 68-71.endprint
