1 引言
2019年5月13日,新發(fā)布的網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)(簡稱等級保護(hù)2.0)在原有基礎(chǔ)上進(jìn)行了細(xì)化、分類和加強(qiáng),對重要基礎(chǔ)設(shè)施、重要系統(tǒng)及“云、移、物、工控、大”納入等級保護(hù)管理;名稱由原來的《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》變更為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》。
等級保護(hù)上升到了網(wǎng)絡(luò)空間安全的層面,意味著等級保護(hù)的對象全面升級:不再是傳統(tǒng)意義上的計(jì)算機(jī)信息系統(tǒng),而是包含網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)安全等對象的網(wǎng)絡(luò)空間安全。
等級保護(hù)2.0時(shí)代,如何建立健全有效的工控安全體系是每一個(gè)工業(yè)企業(yè)、工控制造商、工控安全企業(yè)都應(yīng)該思考的問題。
2 等級保護(hù)發(fā)展歷程
上世紀(jì),西方發(fā)達(dá)國家制定了一系列強(qiáng)化網(wǎng)絡(luò)信息安全建設(shè)的政策和標(biāo)準(zhǔn),其核心就是將不同重要程度的信息系統(tǒng)劃分為不同的安全等級,以便于對不同領(lǐng)域的信息安全工作進(jìn)行指導(dǎo)。鑒于此,相關(guān)部門和專家結(jié)合我國實(shí)際情況進(jìn)行多年的研究,逐步形成了我們國家的信息系統(tǒng)安全等級保護(hù)制度。
1994年,國務(wù)院頒布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。
2003 年,中央辦公廳、國務(wù)院辦公廳頒發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》,明確提出“實(shí)行信息安全等級保護(hù)”。
2004 年至2006 年期間,公安部聯(lián)合四部委開展信息系統(tǒng)等級保護(hù)基礎(chǔ)調(diào)查和等級保護(hù)試點(diǎn)工作。
2007 年6 月,《信息安全等級保護(hù)管理辦法》出臺(tái);7月,公安部等四部門聯(lián)合頒布了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》,并于7月20 日召開了全國重要信息系統(tǒng)安全等級保護(hù)定級工作部署專題電視電話會(huì)議,標(biāo)志著我國信息安全等級保護(hù)制度正式開始實(shí)施。
2010 年4 月,公安部出臺(tái)《關(guān)于推動(dòng)信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》,提出等級保護(hù)工作的階段性目標(biāo);12 月,公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)聯(lián)合出臺(tái)《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知》,標(biāo)志著我國信息安全等級保護(hù)工作全面展開。
3 等級保護(hù)2.0分析
3.1 等級保護(hù)2.0與1.0對比
隨著云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的不斷發(fā)展和應(yīng)用,等級保護(hù)2.0針對新技術(shù)以及國家關(guān)鍵基礎(chǔ)設(shè)施安全(工業(yè)控制系統(tǒng))等提出了全面、深入、細(xì)化的準(zhǔn)則。
在內(nèi)容上,等級保護(hù)2.0調(diào)整分類為物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理;調(diào)整各個(gè)級別的安全要求為通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求;取消了原來安全控制點(diǎn)的S、A、G標(biāo)注,增加一個(gè)附錄A描述等級保護(hù)對象的定級結(jié)果和安全要求之間的關(guān)系,說明如何根據(jù)定級結(jié)果選擇安全要求;調(diào)整了原來附錄A和附錄B的順序,增加了附錄C描述網(wǎng)絡(luò)安全等級保護(hù)總體框架,并提出關(guān)鍵技術(shù)使用要求。
除去對內(nèi)容的整合修改外,等級保護(hù)2.0也對標(biāo)準(zhǔn)名稱進(jìn)行了修改,由《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》,使之與《中華人民共和國網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致。
3.2 等級保護(hù)2.0工控安全擴(kuò)展要求
工控安全是網(wǎng)絡(luò)空間領(lǐng)域的另一種安全,不同于傳統(tǒng)計(jì)算機(jī)與互聯(lián)網(wǎng)等虛擬空間防信息竊取的安全。工控安全是物理世界安全,是保護(hù)重要基礎(chǔ)設(shè)施所使用的工業(yè)控制系統(tǒng)(簡稱工控系統(tǒng))免遭惡意操控的安全,從而保障物理設(shè)施的正常運(yùn)行,并防止發(fā)生生產(chǎn)停頓、經(jīng)濟(jì)停擺、環(huán)境污染乃至社會(huì)動(dòng)蕩、國家癱瘓等重大災(zāi)難事故。
等級保護(hù)2.0專門提出了工控安全擴(kuò)展要求,如表1所示。
表1 工業(yè)控制系統(tǒng)安全擴(kuò)展要求
4 等級保護(hù)2.0工控安全思考
由表1可以發(fā)現(xiàn),等級保護(hù)2.0在工控安全方面突出強(qiáng)調(diào)了控制設(shè)備安全,需要采用技術(shù)和管理兩個(gè)手段確保工控系統(tǒng)安全穩(wěn)定運(yùn)行。
4.1 什么是工控系統(tǒng)
工控系統(tǒng)是指由計(jì)算機(jī)與工業(yè)過程控制部件組成的自動(dòng)控制系統(tǒng),在沒有人直接參與的情況下,利用外加的設(shè)備或裝置,使機(jī)器、設(shè)備或者生產(chǎn)裝備等基礎(chǔ)設(shè)施按照預(yù)定的規(guī)律運(yùn)行,以保證生產(chǎn)出合格的產(chǎn)品,同時(shí)還不會(huì)引發(fā)災(zāi)難事故。按應(yīng)用行業(yè)和特點(diǎn)分類,主要包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)等。這些工控系統(tǒng)在系統(tǒng)組成和網(wǎng)絡(luò)層次上是一樣的,都是由運(yùn)行在工程師站、操作員站的SCADA軟件、控制器、現(xiàn)場儀表,以及上層監(jiān)控網(wǎng)絡(luò)和現(xiàn)場低速總線網(wǎng)絡(luò)構(gòu)成。只是由于它們的應(yīng)用場合和應(yīng)用側(cè)重點(diǎn)(如表2所示)不同,導(dǎo)致在不同的行業(yè)會(huì)有不同的叫法。
表 2 SCADA、DCS、PLC、RTU 的區(qū)別
4.2 工控系統(tǒng)安全防護(hù)的本質(zhì)要求
2010年,伊朗發(fā)生了震驚世人的“震網(wǎng)”(Stuxnet)事件,通過攻擊西門子PCS7控制系統(tǒng),破壞了大量鈾濃縮離心機(jī)和布什爾核電站發(fā)電機(jī)組,導(dǎo)致伊朗核計(jì)劃至少被延遲2年。“震網(wǎng)”雖然利用了RPC遠(yuǎn)程執(zhí)行漏洞(MS08-067)、快捷方式文件解析漏洞(MS10-046)、打印機(jī)后臺(tái)程序服務(wù)漏洞(MS10-061)、內(nèi)核模式驅(qū)動(dòng)程序漏洞(MS10-073)、任務(wù)計(jì)劃程序漏洞(MS10-092)等操作系統(tǒng)的漏洞,但這些漏洞只是被用于“震網(wǎng)”惡意代碼的傳播;而“震網(wǎng)”的核心代碼,它利用了西門子PCS7控制系統(tǒng)的特征,結(jié)合伊朗鈾濃縮離心機(jī)和核電站的生產(chǎn)工藝、特征參數(shù),通過向核心組件——控制器PLC(S7-300、S7-400系列PLC)發(fā)起攻擊,使PLC控制器一方面向離心機(jī)、核電設(shè)備發(fā)送惡意操控指令使之超負(fù)荷運(yùn)行,直至損壞;另一方面向操作站發(fā)送“正常”的生產(chǎn)工況數(shù)據(jù),使操作人員誤以為生產(chǎn)正常。
需要指出的是,“震網(wǎng)”所發(fā)出的惡意操控指令、虛假的“正常”生產(chǎn)工況數(shù)據(jù),都是利用PCS7控制系統(tǒng)本身的“合法”協(xié)議、“合法”指令(如控制離心機(jī)的轉(zhuǎn)速減少或增加指令)、“合法”數(shù)據(jù),并沒有利用其核心控制器PLC的任何漏洞。這些“合法”指令之所以能夠?qū)е乱晾屎嗽O(shè)施損毀,在于其與正常的生產(chǎn)工藝、操作流程不符合。由此可見,針對工控系統(tǒng)核心部件的攻擊才是真正的工控系統(tǒng)安全威脅,它能夠?qū)е禄A(chǔ)設(shè)施災(zāi)難性的物理損毀。
鑒于此,對工控系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)和保護(hù)需要著眼以下幾個(gè)方面:
(1)需要覆蓋工控系統(tǒng)軟件、硬件和網(wǎng)絡(luò)等所有部件
要針對攻擊者可能利用的途徑、可能利用的手段以及可能引發(fā)的后果等多個(gè)方面,對工控系統(tǒng)所有的主機(jī)、主機(jī)應(yīng)用軟件、進(jìn)程,甚至是關(guān)鍵軟件代碼進(jìn)行有效保護(hù)和防護(hù);對工控網(wǎng)絡(luò)所有的協(xié)議、服務(wù)以及傳輸?shù)臄?shù)據(jù)、操作指令進(jìn)行保護(hù)和防護(hù);對DCS控制器、PLC控制模塊、RTU控制模塊等嵌入式代碼進(jìn)行保護(hù)和防護(hù)。
(2)需要結(jié)合生產(chǎn)工藝與操作流程而開展
“震網(wǎng)”惡意代碼引發(fā)伊朗鈾濃縮離心機(jī)和核電站機(jī)組的物理損毀,其關(guān)鍵在于通過操控工控系統(tǒng),使鈾濃縮離心機(jī)和核電站機(jī)組的運(yùn)行狀態(tài)偏離其設(shè)計(jì)的正常工況,使之超負(fù)荷、非正常工況運(yùn)轉(zhuǎn),直至最后物理損毀。因此,針對工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù),必須對基礎(chǔ)設(shè)施、生產(chǎn)裝置運(yùn)行的關(guān)鍵工藝參數(shù)、關(guān)鍵工況、關(guān)鍵控制方案等進(jìn)行保護(hù)和防護(hù)。
(3)需要貫穿基礎(chǔ)設(shè)施及其工控系統(tǒng)的全生命周期
對工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù),僅僅靠安裝一些安全產(chǎn)品還遠(yuǎn)遠(yuǎn)不夠,還必須覆蓋工控系統(tǒng)的設(shè)計(jì)、生產(chǎn)、調(diào)試、工程實(shí)施、維修、運(yùn)行維護(hù)等全生命周期的所有環(huán)節(jié),既要從技術(shù)上進(jìn)行防護(hù)和保護(hù),也需要從管理措施上阻斷惡意代碼的帶入。
4.3 工控系統(tǒng)安全防護(hù)建議
(1)重要關(guān)鍵基礎(chǔ)設(shè)施的工控系統(tǒng)逐漸實(shí)現(xiàn)自主可控
等級保護(hù)2.0工業(yè)控制系統(tǒng)安全擴(kuò)展要求部分強(qiáng)調(diào)控制設(shè)備安全在逐漸實(shí)現(xiàn)自主可控的情況下可實(shí)現(xiàn)工控系統(tǒng)核心部件——控制設(shè)備安全。這就要求:控制設(shè)備內(nèi)置安全設(shè)計(jì),實(shí)現(xiàn)通信與控制隔離,確保在遭到外部攻擊時(shí)不影響控制回路的正常運(yùn)行;控制網(wǎng)絡(luò)通信采用加密和完整性保護(hù);控制設(shè)備內(nèi)核自主可控(硬件、嵌入式系統(tǒng)、控制算法、協(xié)議棧等);控制設(shè)備具備對組態(tài)和用戶數(shù)據(jù)等關(guān)鍵數(shù)據(jù)進(jìn)行完整性和正確性檢測功能,故障時(shí)進(jìn)行報(bào)警和記錄等。
(2)重要關(guān)鍵基礎(chǔ)設(shè)施必須部署工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)
重要關(guān)鍵基礎(chǔ)設(shè)施部署的工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)應(yīng)具備以下特點(diǎn):一是針對內(nèi)置預(yù)埋代碼,切斷危害,進(jìn)行應(yīng)急處置;在安全區(qū)域、系統(tǒng)出口,加強(qiáng)預(yù)警防范;二是以不影響生產(chǎn)和生產(chǎn)安全為前提,注意數(shù)據(jù)保護(hù)和操作保護(hù);三是對系統(tǒng)重要性識(shí)別、系統(tǒng)資產(chǎn)識(shí)別、系統(tǒng)脆弱性識(shí)別、系統(tǒng)威脅識(shí)別及系統(tǒng)風(fēng)險(xiǎn)識(shí)別等維度進(jìn)行安全防護(hù);四是采用軟件防護(hù)、邊界維護(hù)、PLC嵌入式代碼防護(hù)、控制異常監(jiān)測與阻斷等措施進(jìn)行立體防護(hù);五是對工控系統(tǒng)進(jìn)行無擾動(dòng)實(shí)時(shí)在線修復(fù),并啟動(dòng)安全應(yīng)急系統(tǒng),實(shí)現(xiàn)數(shù)字化、網(wǎng)絡(luò)化、智能化環(huán)境中工業(yè)企業(yè)的工控信息安全。
(3)針對行業(yè)建設(shè)工控系統(tǒng)網(wǎng)絡(luò)安全測試床
國家、企業(yè)(包括工業(yè)企業(yè)、工控安全企業(yè)、相關(guān)測評單位)應(yīng)加快建設(shè)其所在領(lǐng)域行業(yè)的工控系統(tǒng)網(wǎng)絡(luò)測試床,可實(shí)現(xiàn)以下目的:在上線部署前,測試控制設(shè)備其自身的安全性;對上線部署的工控網(wǎng)絡(luò)安全產(chǎn)品其功能、可用性、安全性、可靠性及對工控系統(tǒng)是否有影響等進(jìn)行測試;結(jié)合實(shí)際應(yīng)用場景的控制方案、業(yè)務(wù)邏輯等進(jìn)行未知威脅的生成,建設(shè)未知威脅庫,增強(qiáng)工控系統(tǒng)及其安全產(chǎn)品的主動(dòng)防御能力;對上線部署的工控網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行訓(xùn)練,提升其自學(xué)習(xí)能力等。
(4)建設(shè)工控網(wǎng)絡(luò)安全人才隊(duì)伍,完善或制定工控網(wǎng)絡(luò)安全產(chǎn)品標(biāo)準(zhǔn)體系
工控系統(tǒng)網(wǎng)絡(luò)安全攻防技術(shù)研究攻防兼顧,以攻促防。人才隊(duì)伍不僅要懂工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)技術(shù)、體系架構(gòu)、嵌入式軟件、私有協(xié)議等,還要懂使用工業(yè)控制系統(tǒng)的具體對象的工藝、設(shè)備技術(shù),只有這樣才能做到定點(diǎn)攻擊或精確防護(hù)。構(gòu)建一支工控網(wǎng)絡(luò)安全專業(yè)研究團(tuán)隊(duì),將有助于針對國家重要關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)安全防護(hù)能力。
此外,工控網(wǎng)絡(luò)安全產(chǎn)品不同于普通安全產(chǎn)品,需緊密聯(lián)系工控現(xiàn)場環(huán)境,性能穩(wěn)定,滿足實(shí)時(shí)性與準(zhǔn)確性等需求,保障可用性大于機(jī)密性、完整性。針對相關(guān)安全產(chǎn)品標(biāo)準(zhǔn),需要完善或制定工控網(wǎng)絡(luò)安全產(chǎn)品標(biāo)準(zhǔn)體系。
5 結(jié)束語
在等級保護(hù)2.0時(shí)代,工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù)回歸到了控制系統(tǒng)的本質(zhì)。在傳統(tǒng)互聯(lián)網(wǎng)安全、計(jì)算機(jī)安全領(lǐng)域有效的手段和產(chǎn)品對工控系統(tǒng)不一定有效。
對工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù),需同時(shí)從工控系統(tǒng)的軟件、硬件、網(wǎng)絡(luò)以及生產(chǎn)工藝、生產(chǎn)流程、生產(chǎn)裝置的角度,才能夠防護(hù)得住有組織的專業(yè)團(tuán)隊(duì)的攻擊,也才能保護(hù)我們國家重要基礎(chǔ)設(shè)施的安全。
協(xié)會(huì)官方微信
