鄒春明 公安部第三研究所工控安全測評實驗室主任
本文主要介紹一下工業(yè)控制系統(tǒng)信息安全與等保2.0,主要是三個方面,一個是工控信息安全的背景要求,第二個等保2.0要求,第三個工控系統(tǒng)安全防護的個人建議。
講到工控安全包括兩個部分,一個是功能安全一個是信息安全,功能安全是非常成熟的,包括它的標準以及測評評論體系都非常完善。信息安全還基本上是起步的階段,所以工控安全是交叉學科。工業(yè)控制系統(tǒng)它的信息安全技術非常薄弱,像工控設備POC控制PCS,還有工會協(xié)議它最初基本上不缺少信息安全方面的一些考慮,它都是不帶加密不帶認證的,這個在IT里面沒有辦法想象的事情。另外在工控系統(tǒng)建設的時候主要也是考慮穩(wěn)定性可靠性,比如說工控系統(tǒng)都會采用雙環(huán)方式,主要是可靠不要中斷,對它信息的安全也比較好一些。
其實我們之前工控系統(tǒng)相對比較隔離,雖然存在各種各樣的問題,但是不會暴露到互聯(lián)網上面來,但是隨著工業(yè)4.0推進現在互聯(lián)網也在推進,原來的系統(tǒng)不得不暴露在互聯(lián)網上。這個是國家對工控安全漏洞統(tǒng)計的數據,出現了非常高危的漏洞。這個圖也是暴露了不少的工控安全事件,最典型的就是針對伊朗核設施的攻擊,這也認為全球工業(yè)信息安全的元年,基本上在2010年之后在全球才有對工控信息安全的重視,在國內最開始關注更晚一點基本上在2012年國家發(fā)改委辦信息安全專項,扶持一些工業(yè)控制信息安全產品,我也是在那個時候開始接觸工控安全。另外這幾年比較典型的像烏克蘭電力系統(tǒng)被攻擊的事情,就是非常典型的工控安全事件。
工控安全IT有很多的成熟解決方案都比較成熟,因為公共系統(tǒng)畢竟跟IT系統(tǒng)存在比較大的差別,所以IT系統(tǒng)的一些解決方案沒有辦法直接用到OT系統(tǒng),總體還是相對封閉的。另外在持續(xù)可靠性方面,可能在IT系統(tǒng)升級相對需要一些時間,對于工控系統(tǒng)要求非常高。另外在設備方面,一般的設備在5年左右就該換了,工控系統(tǒng)一般十幾二十年的設備非常多,我們現在XP的系統(tǒng)用的很少,但是工控系統(tǒng)非常常見,另外應用協(xié)議這一塊也是。所以在工控系統(tǒng)信息安全訴求也和IT系統(tǒng)類似,工控系統(tǒng)首先是要保證完整性,把保密性這一塊放到最低,所以我們在工控系統(tǒng)安全建設的時候首先要保證它的可用性,安全的工控設備和計算設備,這是整個工控安全的基礎。設備防護還是偏IT,因為這一塊還是偏IT的,技術還是相對比較成熟,但是對于工控設備這一塊,工控設備設計上就沒考慮信息安全,如果完全替換的話成本負擔高,現在一些新的會考慮信息安全的需求。
另外需要結合一些可靠的公共信息安全產品,像別的產品沒有辦法應用到工控系統(tǒng)它對實時性可靠性要求非常高,對于安全的產品最主要的一點是解析應急,因為工控系統(tǒng)應用協(xié)議是五花八門的,傳統(tǒng)的產品解析不了。
另外需要結合全生命周期的安全管理,由此保證了公共系統(tǒng)的安全。所有的這些活動都需要一些政策法規(guī)以及標準的支撐,政策法規(guī)要求企業(yè)能做什么事不能做什么事,標準指導企業(yè)具體怎么做,比如說網絡安全法要求企業(yè)需要按等級保護來做,像等級保護系列標準指導企業(yè)具體該怎么樣做。在網絡安全法里面要明確使用等級保護制度,另外網絡設備和安全產品要有許可,另外工業(yè)控制系統(tǒng)它是關鍵基礎設施的重要組成部分,像電力、軌道交通,其他的還有很多國家層面的法規(guī)。
只要是跟網絡安全的法規(guī),里面肯定會涉及到工控安全,如果工控工業(yè)制造方面都會涉及到安全部分。另外有兩個比較重要的,一個是國家基礎設施安全保護條例,還有網絡安全等級保護條例目前征求意見稿,這兩個條例應該都是以國務院的名義發(fā)布的。具體的法規(guī)工控系統(tǒng)安全防護工信部在國家層面政策文件細化提出一些具體的要求,另外在標準方面最有名的國際上工控安全標準IEC62443有12個標準,目前有一些標準已經發(fā)布了,有一些還在制訂的過程當中。另外像SP800-82《工業(yè)控制系統(tǒng)安全指南》也有一些借鑒價值另外國內還有不少的標準都在制訂,最重要的標準就是信息技術等級安全保護的要求,這里面也有擴展要求。這個是TC260WG5安全評估組,里面有一些子體系,它主要呈幾個方面基礎產品包括工控設備以及工控安全產品以及網絡安全服務。
下面介紹一下等保2.0,其實等保1.0的標準是2008年發(fā)布的,到現在十多年變化非常多,2008年云計算剛起步工控安全沒有完全關注,另外像國內外的網絡信息安全要求。2019年大的鋪開2006年就開始有起步的工作,這些年有一些不足需要進一步完善。等保2.0它不只是一個標準的更新它是一個體系的更新,原來等保1.0主要依據是國務院14716四部委聯(lián)合起草等級保護管理條例,現在因為是網絡安全法律要求,現在已經看到不少因為沒有開展等級保護工作還存在一些安全漏洞。第二個整個標準體系的更新包括定期指南基本要求設計要求測定要求,這個標準體系都在全面的修訂,像上個月有三個基本的要求,測評要求非常重要的標準已經發(fā)布了,另外還有還有一些指南。
另外測評體系這一塊可能前期對公安主管部門來說,更重要的是把整個全國的測評體系建立起來,現在加強測評體系的監(jiān)管考核完善測評的一些質量,在去年就聽了一些測評機構的指數,另外像整個等保技術體系和標準體系都在進一步完善,這是等保標準體系,因為在1.0時代主要是針對信息系統(tǒng)安全先改進網絡安全,網絡安全更能體現它的內涵,作為等保體系最核心的兩個標準,一個是應急指南,因為應急是等保工作開展的一個基礎。第二個就是等級保護的基本要求像這些要求都是基于基本要求來編的標準,這兩個是國標國標很難寫各個系統(tǒng)之間差別非常大,國標要寫成通用,這是一些行業(yè)細則像電力系統(tǒng)銀行系統(tǒng),它制訂了一些行業(yè)標準可以非常的有針對性,比如說人民銀行出了銀行業(yè)的指南,什么樣的級別應該定什么樣的級別,可以給出非常細的要求。另外等級保護基本要求也是,其實工控安全涉及到的行業(yè)也非常廣泛,公共行業(yè)不同的行業(yè)之間差別也是非常大的,它的運營期間實行要求非常高的,有一些系統(tǒng)其實也不是按照那個要求,比如說智能電表它的它采集的數據時間要求完全不高,可以一天之內才出來,所以行業(yè)的細則還是非常重要的。
另外在1.0時代它主要針對的是信息系統(tǒng),在2.0時代保護對象的拓展,拓展包括工業(yè)控制互聯(lián)網還有云計算,所以直接叫等級保護對象,在定級也更強調一些新要求,其實在原來已經有相應的要求,專家評審主管部門審批,可能在2.0時代具體操作上也執(zhí)行的更嚴格。另外對于定級的方法,定級首先確定安全責任主體公安比較關注這個,另外需要承載相應獨立的業(yè)務,它要包含相應的多個資源不要把單排控制器定性為一個系統(tǒng),這個可能涉及到上面和下面的Io網絡設備整體做一個系統(tǒng)。
這個是工控層級,定級主要是兩個緯度,一個縱向主要是把現場的一些設備,包括控制器以及上傳的軟件作為一個系統(tǒng)來定性,因為這一套整體完成一塊相對比較獨立的業(yè)務,另外從橫向的角度來,可以跟責任主體功能還有控制器的廠商都會有,這個電力系統(tǒng)比較典型。在基本的要求里面,最初的時候是想作為一個新的標準,后來這個過程還是比較復雜的,后來把它合成一本按照架構來編制。
通用要求適用于一般的IT系統(tǒng),目前還是按兩大方面技術要求和管理要求,其實對于一個系統(tǒng)來說能夠產生并作。管理這一塊沒有大的調整,安全物理環(huán)境這一塊還有一定的降低。主要調整的就是技術這一塊,強調的一個中心三層防護,安全通信網絡、安全區(qū)域遠景、安全制造環(huán)境。原來都是分主機安全網絡安全和應用安全,現在這三部分的安全要求全部合在了安全環(huán)境里面。在安全通訊網絡主要強調了網絡架構的要求,通訊傳輸。另外增加了可行驗證說一句實在話,可能對于操作系統(tǒng)層面還有相應的解決方案,在網絡層面目前還沒有一些好的解決方案,這也是在要求里面作為一個可行要求沒有做強制要求,這也是專家的想法,如果不寫到里面沒有人去做,如果寫到標準里面就會有相應的解決方案出來。
在安全區(qū)域邊界這一塊,主要強調的安全防護、防護控制、多行防范。另外增加了二級防范和安全審計和可行驗證,二級防范如果在控制器里面使用電子,另外安全質量環(huán)境這一塊主要是增加了可行性驗證和功能信息保護,主要是增加了安全管理中心這一塊其實在老的標準里面是放在里面作為管理要求,在新的標準里面作為一個技術要求它包括了系統(tǒng)管理審計管理和安全管理的集中管控,其實對于工控系統(tǒng)來說,工控系統(tǒng)不像IT系統(tǒng)那么復雜龐大,一般來說還是比較簡單,所以工控系統(tǒng)建議功能上大而全性能上要求不是很高的安全管理平臺能夠盡量多的覆蓋集中管控的要求,這樣也可以在成本上用戶也是比較好接受。
對工控系統(tǒng)的安全主要是強調五層模型,對工控的安全擴展要求主要強調的對現場設備審核和現場控制的要求,其實這個是根據國際標準,現在特別強調工業(yè)互聯(lián)網這一塊,其實在部分層級去合并的,這也是非常的清晰。對各個層次的安全需求也不一樣,基本上在以上就是偏IT的,它對延時方面區(qū)別非常大。這是擴展要求所增加的幾個方面,這個相當于包括物聯(lián)環(huán)境,因為工控系統(tǒng)涉及到戶外的一些設備,另外安全通訊網絡這一塊有一些系統(tǒng)都涉及到的面非常廣,另外區(qū)域邊界防護我覺得是工控系統(tǒng)的重中之重,它的基礎非常薄弱所以把邊界一定要看好,另外像安全智能環(huán)境,安全智能環(huán)境在擴展要求里面有一點那個意思可以降低一些要求,因為在控制機這種根據沒有辦法支持,它就在要求里面也說如果控制器無法支持,在上位集散就實現相應的安全功能,另外在管理要求里面建設也有相應的要求。
這是拓展要求的應用要根據系統(tǒng)設計的層級有通用要求加拓展要求,這個是增量的方式,首先應該滿足一些通用要求,另外如果是對應的層級和對應設備或者是一些網絡,還需要滿足拓展的要求。最后介紹一下工控系統(tǒng)防護的個人建議,其實工控系統(tǒng)整體上是技術防護與安全管理并重,像安全管理在工控系統(tǒng)里面顯得更突出,因為有一些控制器它就沒有解決方案。有一些老式的或者全部更新掉了,這個程度是非常高的,所以在解決方案有限的情況下,安全管理這一塊就顯得尤為重要。
第二個平衡安全效益突出重點適度安全,工控系統(tǒng)做一些不是像安全產品布置的越多感覺越安全,它首先還是保證可用性。三同步原則,安全技術措施同步規(guī)劃同步建設同步使用,這個對于安全系統(tǒng)也有要求,但是工控系統(tǒng)就更明顯,對IT系統(tǒng)如果有點問題整改起來相對比較容易,加一個設備。但是對于工控系統(tǒng)很多都是24小時運營的你去改造成本非常高,目前一些新的系統(tǒng)建設基本上大家還會注意像上飛還有一些汽車制造,它新建廠都會考慮安全同步建設。
另外信息安全措施不應該對高可用的工業(yè)控制系統(tǒng)產生不利的影響,特別是設備,主要是來源于防火墻,特別是現象級的防火墻這一塊目前用戶也比較難于接受。其實現象防火墻主要解決的問題是控制器這種,它沒有沒有認證沒有加密,主要是在它的前面加一個現象級的防火墻對它進行防護,目前這個方面用戶還是比較難以接受。在管理制度方面,我覺得可以以等級保護的基本要求安全管理要求為基礎來完善整個安全信息安全的管理體系,因為等保里面對于整個安全管理制度這一塊是要求比較成體系的,但是像前面工信部對制造業(yè)也有相當多的要求,所以在制度體系這一塊完善還需要兼顧其他的一些監(jiān)管要求,像關于信息基礎設施保護,另外還有業(yè)務主管部門像能源局它對能源系統(tǒng)也會有它的要求。另外安全制度需要有可操作性方便落地實施,這些安全制度不要好高騖遠我寫的非常安全怎么樣,寫的看起來很好,但是沒有辦法落地實施,這樣可能會影響制度的權威性,另外也是沒有實際的效果。第三個需要加強監(jiān)督自查留下相關證據確保制度貫徹實施。在技術防護方法,首先是分布實施,首先解決控制器上層的安全,在控制器下層現在基本上還沒有更多的解決方案,解決方案主要是三個重點,一個是邊界防護,把邊界一定要看好,一個是縱向的層級之間的防護,一般控制系統(tǒng)和IT系統(tǒng)會有單向隔離的設備,因為它比防火墻要高的,就算外面被破掉還是進不去。另外對下層可以用工業(yè)級的防火墻進行部署,一個縱向還有一個橫向的,橫向也要采取隔離措施比如一些工廠,如果出了問題把問題控制在最小的范圍內,比如一個故障不要蔓延到其他的故障,這個是邊界防護非常的重要。還有無線接收這一塊也非常重要,另外把系統(tǒng)內部的監(jiān)控做好,一般出現一些安全事件前面都會有一些征兆,如果把它做好在出現的時候會采取對應的處理措施,最大限度的降低安全問題。
第三個主機防護,其實工控系統(tǒng)安全事件,其實最主要的通過上層計算機作為入口導致的,所以把計算機設備管好非常的重要,基本上一個防病毒,一個是殺毒軟件個人覺得還是殺毒軟件比較好,因為工控系統(tǒng)相對比較封閉,殺毒軟件首先是滯后的新的出來是防不了的。第二個就是你需要定期去升級,這個在管理上從測評來說很難集中收集,這個是技術防護的幾個重點。