工业控制系统安全测评技术方案目 录1. 工业互联网安全概述 41.1 工业互联网概述 41.2 工业互联网安全架构 41.3 工业互联网典型安全问题 52. 工业控制系统安全测评技术方案 82.1 工业控制系统网络健壮性检测方案 87.1.1 概述 87.1.2 网络健壮性测试平台 87.1.3 工控系统健壮性检测方案 97.2.4 小结 142.2 工业控制系统等级保护测评方案 157.2.1 案例概述 157.2.2 工控系统等保工作现状 157.2.3 工控系统等保测评工作实践方案 167.2.4 小结 193. 结束语 20前 言 为落实《中国制造 2025》规划,工信部明确了工业转型升级的重点领域和工作要求工业互联网作为新一代信息技术与工业系统深度融合形成的产业和应用生态,是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果它通过智能机器 间的连接并最终将人机连接,结合软件和大数据分析,重构全球工业、激发生产力, 让世界更美好、更快速、更安全、更清洁且更经济工业互联网的发展得到全球主要国家以及我国政府的高度重视和积极推进,产业界也正在加速开展相关探索和实践 工业互联网广泛应用于能源、交通以及市政等关系国计民生的重 要行业和领域,已成为国家关键信息基础设施的重要组成部分。
工业 互联网打破了传统工业相对封闭可信的制造环境,病毒、木马、高级 持续性攻击等安全风险对工业生产的威胁日益加剧,一旦受到网络攻 击,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,危及 公众安全和国家安全工业互联网自身安全可控是确保其在各生产领 域能够落地实施的前提,也是产业安全和国家安全的重要基础和保障 1. 工业互联网安全概述1.1 工业互联网概述工业互联网的内涵用于界定工业互联网的范畴和特征,明确工业互联网总体目标,是研究工业互联网的基础和出发点;工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态,是工业智能化发展的关键综合信息基础设施其本质是以机器、原材料、控制系统、信息系统、产品以及人之间的网络互联为基础,通过对工业数据的全面深度感知、实时传输交换、快速计算处理和高级建模分析,实现智能控制、运营优化和生产组织方式变革1.2 工业互联网安全架构工业互联网的安全需求可从工业和互联网两个视角分析从工业视角看,安全的重点是保障智能化生产的连续性、可靠性,关注智能装备、工业控制设备及系统的安全;从互联网视角看,安全主要保障个性化定制、网络化协同以及服务化延伸等工业互联网应用的安全运行以提供持续的服务能力,防止重要数据的泄露,重点关注工业应用安全、网络安全、工业数据安全以及智能产品的服务安全。
因此,从构建工业互联网安全保障体系考虑,工业互联网安全体系框架,如图 所示,主要包括五大重点,设备安全、网络安全、控制安全、应用安全和数据安全图 1 工业互联网安全体系1 设备安全是指工业智能装备和智能产品的安全,包括芯片安全、嵌入式操作系统安全、相关应用软件安全以及功能安全等 网络安全是指工厂内有线网络、无线网络的安全,以及工厂外与用户、协作企业等实现互联的公共网络安全 控制安全是指生产控制系统安全,主要针对 PLC、DCS、SCADA 等工业控制系统的安全,包括控制协议安全、控制平台安全、控制软件安全等 应用安全是指支撑工业互联网业务运行的应用软件及平台的安全,包括各类移动应用; 数据安全是指工厂内部重要的生产管理数据、生产操作数据以及工厂外部数据(如用户数据)等各类数据的安全1.3 工业互联网典型安全问题新一轮的工业革命是工业互联网蓬勃发展的原动力反之,工业互联网的快速发展又改变或催生了工业生产的设计、生产、物流、销售和服务模式大规模个性化定制、远程运维和工业云等新兴业态崭露头角,并引起广泛关注同时, “数字化、智能化、网络化”为特征的工业互联网既面临传统 IT 的安全威胁, 也面临以物理攻击为主的信息通信技术(简称 ICT)的安全威胁。
安全保障能力已成为影响工业互联网创新发展的关键因素随着互联网与工业融合创新的不断推动,电力、交通、市政等大量关系国计民生的关键信息基础设施日益依赖于网络,并逐步与公共互联网连接,一旦受到网络攻击,不仅会造成巨大的经济损失,更可能造成环境灾难和人员伤亡,危及公众生活和国家安全工业领域安全防护急需加强和提升目前,工业领域安全防护采用分层分域 的隔离和边界防护思路工厂内网与工厂外网之间通常部署隔离和边界防护措施, 采用防火墙、虚拟专用网络、访问控制等边界防护措施保障工厂内网安全企业 管理层网络主要采用权限管理、访问控制等传统信息系统安全防护措施,与生产 控制层之间较多的采用工业防火墙、网闸、入侵防护等隔离设备和技术实现保护 “数据安全”生产控制层以物理隔离为主,工业私有协议应用较多,工业防火 墙等隔离设备需针对专门协议设计企业更关注生产过程的正常进行,一般较少在工作站和控制设备之间部署隔离设备、进行软件升级,一般也不安装病毒防护软件以避免带来功能安全问题控制协议、控制软件在设计之初也缺少诸如认证、授权、加密等安全功能,生产控制层安全保障措施的缺失成为工业互联网演进过程中的重要安全问题未来工业互联网安全主要面临以下几方面的问题:(1) 生产设备安全问题开始凸现。
传统生产设备以机械装备为主,重点关注物理和功能安全但未来的生产模式更强调终端的生产角色的扁平、协同, 导致生产设备数字化、信息化、网络化、智能化水平不断提升;生产环节中人机交互过程逐渐减少甚至消失(如无人工厂、自动驾驶)上述因素导致一些安全隐患难以发觉,更重要的是导致海量设备直接暴露在网络攻击之下木马病毒能够在这些暴露的设备之间的以指数级的感染速度进行扩散这种情况下,工业设备就成为安全攻击的“肉鸡”武器近期美国域名服务商被大量终端设备攻击事件说明了这种攻击方式的巨大危害2) 端到端生产模式下的网络安全问题为追求更高的生产效率,工业互联网开始承担从生产需求起至产品交付乃至运维的“端到端”的服务比如大规模个人定制的服装行业,个性化定制的家电行业已经开始实现从由生产需求起至产品交付“端到端”的生产服务模式无人化生产模式下,工厂网络迅速向“三化(IP 化、扁平化、无线化)+灵活组网”方向发展,工厂网络开始直接面临众多传统 IT 安全挑战工业网络灵活组网的需求使网络拓扑的变化更加复杂,导致传统基于静态防护策略和安全域的防护效果下降工业生产网络对信息交互实时性、可靠性的要求,难以接受复杂的安全机制,极易受到非法入侵、信息泄露、拒绝服务等攻击。
端到端”的生产模式、无人化生产发展趋势使得工业互联网安全防护的边界空前扩张,对安全防护机制的要求空前提高3) 控制安全问题当前工厂控制安全主要关注控制过程的功能安全,信息安全防护能力不足现有控制协议、控制软件等在设计之初主要基于 IT 和 OT 相对隔离以及 OT 环境相对可信这两个前提,同时由于工厂控制的实时性和可靠性要求高,诸如认证、授权和加密等需要附加开销的信息安全功能被舍弃IT 和 OT 的融合打破了传统安全可信的控制环境,网络攻击从 IT 层渗透到 OT 层, 从工厂外渗透到工厂内遗憾的是,目前缺乏有效的应对 APT(Advanced3Persistent Threat,高级持续性威胁)攻击检测和防护手段令业界最为担心的是控制安全问题最接近物理实体安全从某种意义上,物理空间的损害成为现实4) 应用安全问题网络化协同、服务化延伸、个性化定制等新模式新业态的出现对传统公共互联网的安全能力提出了更高要求工业应用复杂,安全需求多样,因此对工业应用的业务隔离能力、网络安全保障能力要求都将提高5) 数据安全问题数据是工业互联网的核心,工业数据由少量、单一、单向正在向大量、多维、双向转变,具体表现为工业互联网数据体量大、种类多、结构复杂,并在 IT 和 OT 层、工厂内外双向流动共享。
工业领域业务应用复杂, 数据种类和保护需求多样,数据流动方向和路径复杂,不仅对网络的可靠、实时传递造成影响,对重要工业数据以及用户数据保护的难度也陡然增大综上所述,数字化的、网络化、智能化生产设备安全、端到端生产模式下的网络安全,、生产控制系统安全、应用安全和数据安全是工业互联网发展急需解决的问题,其中终端设备安全、生产控制系统安全和数据安全尤为急迫2. 工业控制系统安全测评技术方案工业控制系统主要基于传感器、物联网、云计算、移动互联网等现代信息通信技术,实现对工业生产过程的精准控制和资源调度从安全视角来看,工业控制系统不仅面临着传统的 ICT 安全风险,同时也面临着 PLC、DCS、SCADA 等工控环境的特定协议、规程的安全风险结合《网络安全法》的要求,需要针对工控系统开展全面的例行安全测评,切实提高工控系统的安全等级本案例汇编包括两个安全测评领域的典型解决方案2.1 工业控制系统网络健壮性检测方案7.1.1 概述工业控制系统(ICS)是几种类型控制系统的总称,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其它控制系统(如可编程逻辑控制器(PLC))工业控制系统广泛应用于核设施、电力、石化、化工、冶金、食品、市政、先进制造等国家关键基础设施的运行控制过程中,是国家关键基础设施的“中枢神经”。
随着我国“两化融合”工作的不断深化,工业控制系统面临的内外部安全威胁日益严重,保障工业控制系统信息安全已经上升为国家层面的安全战略针对工业控制系统信息安全的问题,工控系统厂商、安全产品厂商、行业机构等信息安全干系方从不同的视角提出了一些安全解决方案,但这些解决方案大都是从“病了吃药”的角度提出的从根源上,更要增加工控系统自身的免疫力和提升自身的抵抗力7.1.2 网络健壮性测试平台阿基里斯认证是一项被用户、行业组织和供应商广泛认可和推荐的行业网络安全国际标准,西门子、施耐德、ABB 等公司的自动化产品均通过了阿基里斯认证的所有要求,使得阿基里斯认证成为事实上的行业标准阿基里斯测试平台(Achilles Test Platform,以下简称 ATP)是为工业设备提供网络健壮性测试而设计的平台,主要测试对象为可编程逻辑控制器(PLC)、分布式控制系统(DCS)控制器等,ATP 也可以测试任何有 Ethernet 端口和网络堆栈实现的设备,如服务器、HMI、工程师站、网络设备等阿基里斯测试平台提供主动式先期预防的技术解决方案以提升网络可靠性和安全性,并可验证产品受到网络攻击时的耐受力,通过阿基里斯测试的产品,被证明已经达到通讯可靠性的最高标准要求,可以有效防范上万种“零日漏洞”以及其他未公开的漏洞或隐患。
7.1.3 工控系统健壮性检测方案(1) 连接配置在进行设备测试时阿基里斯测试平台支持两种组网方式,一种是直接测试工控设备,另一种是桥接到工控设备和上位机中间a) 直接测试工控设备DUTAchillesAchilles ClientMgmtPort1Port2Port1图 41 直连方式b) 桥接到工控设备与上位机之间Port1Port1DUTAchillesVCSAchilles ClientPort2Port1Mgmt图 42 桥接方式71阿基里斯测试。