centos 编程 java google Firefox 程序员 mysql 云计算 wordpress shell Windows nginx Android Python 开源 linux php Ubuntu 微软 apache

工業控制系統信息安全產品標準及測評方法

1.1 工控系統現狀

目前,各類信息安全均面臨著廣泛的威脅,而工控系統尤為突出,主要是因為工業控制領域信息安全的先天不足:

(1)工控設備(如PLC、DCS等)以及工控協議本身普遍在設計之初就較少考慮信息安全方面的問題。工控設備主要關註的是功能安全,系統的穩定性及可靠性方面;互聯網通常都通過加密、身份認證等方式來保證協議傳輸的安全性,如ssh、HTTPS協議。而工控協議基本都是采用明文方式傳輸,並且缺少身份認證的支持,這在傳統IT領域是絕對無法接受的。

(2)工控系統在建設之初較少考慮信息安全問題。較早建立的工控系統很少有與外網進行信息交互的需求,因此主要采用物理隔離的方式部署,即使存在一些問題,也沒有暴露出來。

(3)隨著互聯網的發展,“兩化融合”、“互聯網+”、“工業4.0”等概念的推進,工控系統與互聯網的信息交互變得十分必要且頻繁,這就把系統中隱藏的風險、漏洞暴露出來,同時也會引入新的風險。

基於上述原因,當前工控系統信息安全形勢嚴峻。根據監測數據顯示,我國很多重要控制系統都暴露在互聯網上,涉及市政供水供熱、能源、水利等關鍵基礎設施領域,一旦被攻擊,後果將非常嚴重。

1.2 工控系統安全防護現狀

由於工控領域缺乏信息安全基礎,面臨諸多風險,為提高工控系統的安全,借助工控系統專業信息安全產品進行加固是主要措施之一。從國家層面也在鼓勵適用於工業控制系統的信息安全產品的發展,2012年及2013年國家發改委組織的年度國家信息安全專項中扶持的領域均包括工業控制領域。因此,近年工控信息安全產品得到了快速的發展。

雖然有一定的國家層面的支持,但目前工控信息安全產業鏈發展還相對遲緩,主要由於用戶需求不是很明確,缺少國家政策的強力推動,如工控系統的等級保護。

若要工控系統信息安全有質的發展,需要開發安全型的PLC、DCS及安全的工控協議,並制定工控信息安全產品、工控系統設備安全及工控系統安全的系列標準體系,來引領工控信息安全的健康發展。

2 工控信息安全產品及標準情況

2.1 工控信息安全專用產品

2.1.1 典型工控信息安全產品介紹

近年來公安部計算機信息系統安全產品質量監督檢驗中心(以下簡稱“檢測中心”)對工控信息安全專用產品的檢測情況如表1所示。在2013年之前,工控信息安全專用產品還相當少,從2014年開始有較大發展,並處於快速發展期。

z1.jpg
表1 工控信息安全專用產品檢測數量情況

從表1中看出,目前工控信息安全產品較多的有兩類:

第一類為隔離類產品,主要部署在工控系統中控制網與管理網之間。包括協議隔離產品,采用雙機架構,兩機之間不使用傳統的TCP/ip進行通信,而是對協議進行剝離,僅將原始數據以私有協議(非TCP/IP)格式進行傳輸。其次還有網閘,除了做協議剝離,兩機中間還有一個擺渡模塊,使得內外網之間在同一時間是不聯通的,比較典型的是OPC網閘,主要還是傳輸監測數據,傳輸控制命令的網閘還相當少。另外還有單向導入設備,主要采用單向光纖、VGA視頻信號等方式從物理上保證傳輸的單向性,其缺點是不能保證傳輸數據的完整性,但對於將控制網中的監測數據傳輸到企業辦公網還是可行的。總體來說,由於隔離類產品采用雙機架構,中間私有協議通信,即使外端機被攻擊者控制,也無法侵入內端機,其安全性要高於防火墻設備。

第二類為工控防火墻,根據防護的需要,在工控系統中部署的位置存在多種情況,通常用於各層級之間、各區域之間的訪問控制,也可能部署在單個或一組控制器前方提供保護。工控防火墻采用單機架構,主要對基於TCP/IP工業控制協議進行防護。通過鏈路層、網絡層、傳輸層及應用層的過濾規則分別實現對MAC地址、IP地址、傳輸協議(TCP、UDP)和端口,以及工控協議的控制命令和參數的訪問控制。工控防火墻從形態來說主要分兩種,一類是在傳統IT防火墻的基礎上增加工控防護功能模塊,對工控協議做深度檢查及過濾。還有一類工控防火墻是參考多芬諾工業防火墻的模式來實現的。

其它的工控信息安全產品目前相對較少,主要包括工控審計、工控漏洞掃描、工控主機防護等產品。此外還有2013年發改委專項支持的10款工控網關產品。

2.1.2 工控信息安全產品分類

從產品的保護對象、防護功能來看,工控信息安全產品主要分為以下幾類:

(1)邊界防護類

這類產品通常以串接方式工作,部署在工控以太網與企業管理網絡之間、工廠的不同區域之間,或者控制層與現場設備層之間。通過一定的訪問控制策略,對工控系統邊界、工控系統內部區域邊界進行保護。工控防火墻、工控隔離產品均屬於邊界防護類。由於這類產品以串接方式部署,同時具有阻斷功能,產品的穩定可靠、功能安全要求較高,產品的異常將會對工控系統的正常運行帶來直接影響。

(2)審計監控類

這類產品通過鏡像接口分析網絡流量,或者通過代理及設備的通用接口進行探測等方式工作,及時發現網絡流量或設備的異常情況並告警,通常不會主動去阻斷通信。主要包括工控審計產品、工控入侵檢測產品、工控漏洞掃描及挖掘產品、工控安全管理平臺等。這類產品自身的故障不會直接影響工控系統的正常運行,也更容易讓用戶接受。

(3)主機防護類

工控系統中會部署一定數量的主機設備,如工程師站、操作員站等。這些設備往往是工控系統的風險點,病毒的入侵、人為的誤操作等威脅主要都是通過主機設備進入工控系統。因此,這些主機有必要進行一定的防護。目前主要有兩種針對主機設備的防護產品:一種為鎧甲式防護產品,通過接管主機設備的鼠標/鍵盤輸入、USB等外圍接口來保證主機的安全;另一種就是白名單產品,通過在主機上安裝代理程序,限制只有可信的程序、進程才允許運行,防止惡意程序的侵入。

2.1.3 工控信息安全產品的發展

IT領域的信息安全產品已經非常豐富,在工控信息安全防護方面是可以借鑒的。很多產品經過適當的改進,增加工控防護的相關功能,提高其穩定性和可靠性,就能夠應用於工控系統。目前市面上較多產品均是基於這個思路來實現的。但從用戶的角度來看,部署信息安全產品,提高系統安全防護的同時,特別是針對帶阻斷防護功能的產品,也引入了潛在的風險點。因此,在工控系統內部部署訪問控制類產品,對用戶來說還需要一定的時間來接受。而審計監控類、主機防護類產品相對潛在風險要小很多,將是工控信息安全產品的一個快速發展方向。

2.2 工控系統信息安全產品技術標準

我國對信息安全產品(當然也包括工控信息安全產品)實現銷售許可制度,只有通過檢測中心依據相應的國家標準、公共安全行業標準檢測合格之後,才允許在國內銷售,國家標準和行業標準不能覆蓋的時候,檢測中心也會制訂相應的檢驗規範、檢測條件作為檢驗依據。因此,對工控信息安全產品來說,制訂相應的標準非常重要。由於工控信息安全近年才受到關註,並且標準的制定周期也比較長,目前,有大批標準尚處於編制過程中。

(1)邊界防護類產品標準

《信息安全技術 工業控制系統專用防火墻技術要求》,國標在編。

《信息安全技術 工業控制網絡安全隔離與信息交換系統安全技術要求》,國標在編。包括邏輯隔離、網閘。

《信息安全技術 工業控制系統邊界安全專用網關產品安全技術要求》,行標在編,該標準基於發改委信息安全專項提出。

(2)審計監控類產品標準

《信息安全技術 工業控制系統網絡審計產品安全技術要求》,國標在編。

《信息安全技術 工業控制安全管理平臺安全技術要求》,行標在編。

《信息安全技術 工業控制系統入侵檢測產品安全技術要求》,行標在編。

(3)主機防護類產品檢測條件

由於標準的申報與編制需要一定的周期,市場出現了某些安全防護產品,檢測中心則針對此類產品編制檢測條件,並經專家團評審通過後,檢驗中心按檢測條件來檢測這些產品。包括:

ICS主機安全防護與審計監控產品安全檢測條件;

文件加載執行控制產品安全檢測條件。

(4)其它類產品標準

《信息安全技術 工業控制系統軟件脆弱性掃描產品安全技術要求》,行標在編。

《信息安全技術 安全采集遠程終端單元(RTU)安全技術要求》,行標在編。

標準的制定,既要具備適應性,能夠滿足用戶的需求,與當前的技術水平相符,又要具備一定的前瞻性,能夠指導和引領該類產品的發展。而目前工控信息安全還處於起步發展階段,這將使得工控信息安全產品標準的制定難度頗大,主要表現在:

(1)工控信息安全標準既涉及工業控制,又涉及信息安全,究竟歸口哪個標委會需要考慮?是TC260(全國信息安全標準化技術委員會),還是TC124(全國工業過程測量控制和自動化標準化技術委員會)。如《工業控制系統信息安全》GB/T30976-2014就同時歸口兩個標委會。就算不管歸口問題,標準的評審過程中應該需要有這兩方面的專家參與。

(2)不同行業和環境的需求差別大,如電力、石化行業,標準制定的通用性難度非常大,如果全部按最嚴格標準要求,勢必增加企業成本。

(3)工控協議種類繁多,實現架構差異大。這導致很難提出一套各種協議都能支持的技術要求。

(4)當前產品種類與數量有限,用戶的需求也不是很明確。而在編制過程中,首先就需要廣泛調研用戶需求、產品現狀。這也會給工控信息安全相關標準的編制帶來困難。

3 工控信息安全產品測評及主要問題

信息安全產品的第三方檢測是非常有必要的,一是確認產品與相關標準的符合性,二是在檢測的過程中能夠發現產品的一些潛在缺陷。完善、全面、合理的第三方檢測還能增強用戶使用該類產品的信心。對於信息安全產品,我國強制的第三方檢測主要為檢測中心的銷售許可檢測。

由於目前相應的工控信息安全產品的國家標準、公共安全行業標準均未發布,而這類產品的銷售許可檢測需要依據一定的標準或者規範。工控系統與傳統的IT系統有著較大差別,直接采用IT系統的相關標準肯定是不合適的。因此,目前主要采取的方式是,主要依據相應的IT標準,除去部分明確不適用的條款,並增加部分工控系統的技術要求,以這種方式作為過渡。下面以工控防火墻為例來加以說明。

3.1 工控防火墻測試

3.1.1 測評依據

(1)主要依據傳統IT檢測標準《信息安全技術 防火墻技術要求和測試評價方法》GB/T 20281-2006來執行,除去明確不適用的條款,包括:

深度包檢測:此要求是針對用於互聯網的通用協議(HTTP、SMTP等),在工業控制網絡一般不會用到,作為不適用項。

NAT(地址轉換):傳統防火墻必需的功能,通過地址轉換隱藏真實的IP,並盡量少占用有限的IP地址資源,在工控系統中為可選要求,部署在控制系統下層時通常以透明模式部署。

動態端口開放:是針對ftp和Oracle數據庫常見的互聯網協議,要求支持動態端口開放,在工控系統中不會用到。

抗滲透:部分針對HTTP、郵件等協議的要求,作為不適用項。

性能要求:不做強制要求,工控系統中流量通常都比較小,產品的吞吐性能一般不會成為瓶頸,但部分系統中對設備帶來的延時要求非常高。

(2)在國標的基礎上,增加工業控制系統安全需求的部分要求。

基於白名單的訪問控制策略,包括網絡層及應用層的白名單。網絡層的白名單是,規則允許的MAC、IP、端口才能通過。應用層的白名單是,允許執行的控制命令能通過,其它的默認禁止。

工業控制協議過濾,這是工控防火墻最核心的功能。首先需要對協議格式進行檢查,阻止不符合協議規約的訪問請求;其次需要對請求的內容進行檢查,如讀寫操作、操作的地址範圍,以及操作值。

支持OPC協議的動態端口開放。該協議在工控系統中廣泛使用,其特點是不采用固定端口通信,而是在會話建立時協商一對動態端口。

多工作模式。在工控系統中把一個設備加進去,如果誤阻斷的話,後果非常嚴重。因此需要具備驗證模式,試運行一段時間,只報警不阻斷,來檢查規則的合理性。

具有高可靠性。

3.1.2 典型的功能要求項測試——工業控制協議過濾

(1)實現技術

分析應用層數據,對協議格式進行檢查。阻斷不符合協議規約的請求,這種請求可能為攻擊行為,並可能對控制器帶來不可預見的後果。

獲取協議中各所需參數,如功能碼、操作對象地址、操作值等,將其與設定的訪問控制規則進行比對。放行規則允許的通訊,否則就阻斷。

(2)測評方法

協議格式檢查,采用專用定制測試工具來檢測。正常協議的訪問可以通過真實設備或者模擬軟件來實現,而不符合協議規約的異常請求(非標準功能碼、異常長度、超越限值等)就需要定制開發的工具來實現。

被測設備配置允許某項工控協議。

從客戶端發起符合協議規約的所有請求,如最典型的MODBUS TCP/IP協議,通過服務端接收到的數據包進行判斷,檢測防火墻是否有誤阻斷。

采用類似模糊測試技術,發起不符合協議規約的混雜請求,把數據長度不對或字段不對的請求混合正常請求,通過服務器接收數據進行判斷,檢測防火墻能否將符合規約的數據通過,不符合規約的數據阻斷,並生成統計報表。

協議參數檢查,通過真實工控設備或得到廣泛認可的模擬軟件,手工檢測即可。

(3)預期結果

符合協議規約、規則允許的請求可以通過防火墻,不會被誤阻斷;

不符合協議規約或沒有規則允許的請求將被阻止。

3.1.3 測試的難點

對產品的測試深度往往是無止境的,需要兼顧投入與產出。對工控信息安全產品,部分測試投入是很大的,但又是必須的。如:

對協議格式的檢查,部分產品可能僅針對協議的幾個重要字段進行檢查,而未做到全覆蓋。在測試時,需要遍歷協議的各種異常,測試用例將非常龐大,且非常耗時。

另外,產品的穩定性、可靠性測試也是測試的難點。不僅包括硬件層面,還包括軟件層面。對於廠商來說,還能夠通過將大量的設備放置在特定的惡劣環境中長時間運行,來檢查設備的故障率。對於第三方測試,就難以操作了。

3.2 檢測過程中常見的問題

(1)防護功能不足(工控防火墻)

協議格式檢查的不全面,僅針對部分字段進行檢查。

部分產品控制的深度不夠。控制粒度由淺到深依次是功能碼級別、地址級別、控制值範圍。產品可能僅控制到功能碼級別,不能控制到地址和控制值這個深度。

(2)產品自身安全不足

產品自身存在安全漏洞,包括支撐系統、管理界面。目前很多產品采用B/S方式管理,管理界面存在註入、認證繞過的漏洞。

身份鑒別措施、配置信息保護、安全審計方面不足。

(3)安全保障措施不足

開發安全方面:研發的物理環境沒有明確隔離、開發主機及服務器缺乏足夠的安全保護措施、研發網絡與互聯網未采取嚴格的隔離措施等。

交付方面:主要缺少交付過程的安全措施。如果此過程中被惡意植入後門、感染病毒,威脅也很大。

配置管理方面:配置庫權限控制不夠嚴格;配置管理計劃與實際管理不符等。

延伸阅读

    评论