引言

工業(yè)控制系統(tǒng)是由計(jì)算機(jī)和工業(yè)過程控制部件組成的自動(dòng)化生產(chǎn)過程控制系統(tǒng),利用相關(guān)的電子電氣、機(jī)械、軟件等設(shè)備來控制生產(chǎn)相關(guān)設(shè)備,按照預(yù)定的規(guī)律運(yùn)行,以保證生產(chǎn)出合格的產(chǎn)品。目前,工業(yè)控制系統(tǒng)被運(yùn)用到智慧電網(wǎng)、智慧水利、智慧能源、智慧交通等涉及國計(jì)民生的重要領(lǐng)域,用于監(jiān)控工業(yè)流程,提升工業(yè)領(lǐng)域的智能化水平[1]。

工業(yè)控制系統(tǒng)受到網(wǎng)絡(luò)入侵攻擊或者破壞將會(huì)導(dǎo)致工業(yè)生產(chǎn)中斷甚至停工,不僅會(huì)造成生產(chǎn)效率下降,還會(huì)導(dǎo)致安全生產(chǎn)事故,嚴(yán)重的甚至?xí)?dǎo)致商業(yè)機(jī)密泄露,給生產(chǎn)企業(yè)帶來不可估量的風(fēng)險(xiǎn),如2010年“震網(wǎng)病毒”(stuxnet)事件[2],2015年烏克蘭電網(wǎng)遭受攻擊引發(fā)大面積停電事件[3]。工業(yè)控制系統(tǒng)的安全更關(guān)系到國家的戰(zhàn)略安全,如何保證工業(yè)控制系統(tǒng)的安全,已引起國家相關(guān)部門的高度重視[4]。

因此,為應(yīng)對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),必須對(duì)工業(yè)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù)研究。

1工業(yè)控制系統(tǒng)結(jié)構(gòu)

如圖1所示,工業(yè)控制系統(tǒng)一般為4層系統(tǒng)結(jié)構(gòu)。

0層:過程接口層,包括由傳感器、變送器、限位開關(guān)、智能儀表以及現(xiàn)場總線系統(tǒng)等組成的測量設(shè)備,也包括由電磁閥、氣動(dòng)開關(guān)閥、調(diào)節(jié)閥、泵、風(fēng)機(jī)等組成的執(zhí)行器設(shè)備。主要功能為工藝過程參數(shù)測量、控制指令執(zhí)行。

1層:自動(dòng)控制和保護(hù)層,包括控制機(jī)柜、服務(wù)器、信號(hào)采集模塊、信號(hào)輸出模塊、控制處理器模塊、網(wǎng)絡(luò)通信模塊、信號(hào)隔離模塊、信號(hào)分配模塊、電源模塊等設(shè)備。主要功能為工藝過程參數(shù)測量處理和計(jì)算、控制聯(lián)鎖邏輯執(zhí)行、控制指令處理和控制輸出等。

2層:操作和信息管理層,包括操作員站、工程師站、大屏幕等設(shè)備。主要功能是為操作人員監(jiān)督工廠運(yùn)行狀態(tài)提供操作信息顯示和設(shè)備狀態(tài)顯示,并為操作人員提供設(shè)備控制操作接口。

3層:全廠技術(shù)管理層,包括生產(chǎn)調(diào)度系統(tǒng)、應(yīng)急指揮管理系統(tǒng)。主要功能為生產(chǎn)執(zhí)行管理、生產(chǎn)計(jì)劃管理、應(yīng)急事故管理等。

從圖1可以看出,工業(yè)控制系統(tǒng)的功能和結(jié)構(gòu)與IT系統(tǒng)不同。另外,工業(yè)控制系統(tǒng)的安全性并不遵循IT系統(tǒng)信息安全三要素(機(jī)密性、完整性和可用性),對(duì)工業(yè)控制系統(tǒng)而言可用性至關(guān)重要,其次才考慮機(jī)密性[5],這種不同造成了IT系統(tǒng)的信息安全防護(hù)方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)要求。

2工業(yè)控制系統(tǒng)安全等級(jí)劃分

對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全等級(jí)劃分是實(shí)施網(wǎng)絡(luò)安全防護(hù)的前提。工業(yè)控制系統(tǒng)安全等級(jí)劃分一般應(yīng)依據(jù)控制系統(tǒng)的結(jié)構(gòu)、各部分實(shí)現(xiàn)的功能的重要程度、責(zé)任主體、系統(tǒng)邊界、受到安全威脅后對(duì)責(zé)任主體和公眾造成的損害程度進(jìn)行劃分。

根據(jù)圖1中工業(yè)控制系統(tǒng)結(jié)構(gòu),0層、1層和2層在工業(yè)生產(chǎn)中完成相對(duì)獨(dú)立的功能,應(yīng)獨(dú)立劃分安全等級(jí)。根據(jù)執(zhí)行功能的重要程度,對(duì)于執(zhí)行安全保護(hù)和安全重要功能的系統(tǒng)劃分為高的安全等級(jí),對(duì)于執(zhí)行常規(guī)的生產(chǎn)過程控制功能的系統(tǒng)劃分為低的安全等級(jí)。3層作為生產(chǎn)技術(shù)管理層,應(yīng)獨(dú)立劃分安全等級(jí)。

安全等級(jí)的劃分還應(yīng)考慮工業(yè)控制系統(tǒng)受到破壞后對(duì)責(zé)任主體造成的損害和對(duì)公眾造成的損害。

工業(yè)控制系統(tǒng)應(yīng)依據(jù)安全等級(jí)劃分,實(shí)行分級(jí)防護(hù),不同安全等級(jí)的工業(yè)控制系統(tǒng)分別實(shí)施不同的安全防護(hù)措施。

3全生命周期的網(wǎng)絡(luò)安全防護(hù)

工業(yè)控制系統(tǒng)包括軟件和硬件部件,生命周期可分為如下五個(gè)階段:需求階段,設(shè)計(jì)階段,制造、安裝和調(diào)試測試階段'運(yùn)行階段'退役階段。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)應(yīng)從需求階段到退役階段貫穿整個(gè)系統(tǒng)生命周期[6]'并不斷迭代。在不同的階段由不同的責(zé)任主體實(shí)施網(wǎng)絡(luò)安全防護(hù)。在需求階段'實(shí)施工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的責(zé)任主體是工業(yè)控制系統(tǒng)的設(shè)計(jì)方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商。在設(shè)計(jì)階段'實(shí)施網(wǎng)絡(luò)安全防護(hù)的責(zé)任主體是設(shè)計(jì)方和系統(tǒng)供貨商。在制造、安裝和調(diào)試測試階段'實(shí)施網(wǎng)絡(luò)安全防護(hù)的責(zé)任主體是設(shè)計(jì)方、加工制造商、供貨商、安裝和調(diào)試方。在運(yùn)行階段'實(shí)施網(wǎng)絡(luò)安全防護(hù)的責(zé)任主體是運(yùn)營和維護(hù)方。在退役階段'實(shí)施網(wǎng)絡(luò)安全防護(hù)的責(zé)任主體是業(yè)主方和設(shè)備拆除方。

3.1需求階段網(wǎng)絡(luò)安全防護(hù)

本階段的責(zé)任主體是工業(yè)控制系統(tǒng)的設(shè)計(jì)方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商。各個(gè)責(zé)任主體應(yīng)建立網(wǎng)絡(luò)安全計(jì)劃'內(nèi)容至少應(yīng)包括組織結(jié)構(gòu)、責(zé)任分工、風(fēng)險(xiǎn)和脆弱性識(shí)別、網(wǎng)絡(luò)安全縱深防御策略以及防護(hù)措施的總體說明。網(wǎng)絡(luò)安全計(jì)劃在需求階段建立'貫穿整個(gè)項(xiàng)目生命周期'應(yīng)定期評(píng)估并及時(shí)升版'保持網(wǎng)絡(luò)安全計(jì)劃的有效性。

需求階段要進(jìn)行風(fēng)險(xiǎn)和脆弱性識(shí)別和分析。設(shè)計(jì)方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商應(yīng)確定保護(hù)對(duì)象'結(jié)合外部網(wǎng)絡(luò)安全形勢(shì)和對(duì)象的結(jié)構(gòu)特征'評(píng)估保護(hù)對(duì)象存在的漏洞'分析存在的潛在風(fēng)險(xiǎn)和威脅'針對(duì)每一項(xiàng)潛在風(fēng)險(xiǎn)和威脅制定初步的風(fēng)險(xiǎn)應(yīng)對(duì)措施。

需求階段要進(jìn)行安全等級(jí)劃分'對(duì)工業(yè)控制系統(tǒng)的每一部分確定網(wǎng)絡(luò)安全等級(jí)'不同的網(wǎng)絡(luò)安全等級(jí)對(duì)應(yīng)不同的網(wǎng)絡(luò)安全防護(hù)要求。

在風(fēng)險(xiǎn)分析和安全等級(jí)劃分成果的基礎(chǔ)上'確定詳細(xì)的網(wǎng)絡(luò)安全防護(hù)需求。

3.2設(shè)計(jì)階段網(wǎng)絡(luò)安全防護(hù)

本階段的責(zé)任主體是設(shè)計(jì)方和系統(tǒng)供貨商。將網(wǎng)絡(luò)安全防護(hù)需求作為輸入'通過軟件、硬件和系統(tǒng)的手段構(gòu)建防護(hù)措施使保護(hù)對(duì)象免受網(wǎng)絡(luò)安全威脅。防護(hù)措施可分為兩大類:行政措施和技術(shù)措施。

行政措施通過法規(guī)、制度、工作規(guī)范等約束網(wǎng)絡(luò)安全防護(hù)相關(guān)人員的行為'從而減少風(fēng)險(xiǎn)的發(fā)生。

技術(shù)措施包括加固措施和防范措施。加固措施

消除保護(hù)對(duì)象自身的漏洞'關(guān)閉不必要的功能和接口'提高對(duì)網(wǎng)絡(luò)安全威脅的抵御能力。防范措施通過風(fēng)險(xiǎn)識(shí)別和隔離'盡早探知風(fēng)險(xiǎn)并采取措施'同時(shí)采用隔離手段減少保護(hù)對(duì)象暴露在風(fēng)險(xiǎn)威脅環(huán)境下的概率。

主要的防護(hù)措施有:

1)提供安全的物理環(huán)境:為安裝工業(yè)控制系統(tǒng)設(shè)備的廠房提供所要求的適宜的溫度、濕度和能源供應(yīng)。防火、防盜、防自然災(zāi)害'防止非授權(quán)人員隨意進(jìn)入。

2)提供安全的通信網(wǎng)絡(luò):對(duì)工業(yè)控制系統(tǒng)進(jìn)行分區(qū)域控制。特別是大型工業(yè)控制系統(tǒng)'應(yīng)根據(jù)功能和責(zé)任主體劃分不同的安全域'不同的安全域之間設(shè)置隔離設(shè)備'限制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)威脅的擴(kuò)散范圍。隔離工業(yè)控制系統(tǒng)與其他系統(tǒng)之間的網(wǎng)絡(luò)'如圖2所示'對(duì)于與工業(yè)控制系統(tǒng)之間有雙向數(shù)據(jù)交換的其他第三方系統(tǒng)采用防火墻等隔離設(shè)備隔離;對(duì)于3層生產(chǎn)技術(shù)管理系統(tǒng)采用單向的隔離設(shè)備'使數(shù)據(jù)只能由工業(yè)控制系統(tǒng)向3層傳輸。另外'采用訪問控制措施'限制非授權(quán)的網(wǎng)絡(luò)和設(shè)備接入工業(yè)控制系統(tǒng)的通信網(wǎng)絡(luò)。

3)提供安全的計(jì)算環(huán)境:采用身份鑒別防止非授權(quán)人員和系統(tǒng)的訪問。采用防病毒措施和入侵檢測'防范惡意代碼。設(shè)計(jì)數(shù)據(jù)備份和恢復(fù)系統(tǒng)'在工業(yè)控制系統(tǒng)受到破壞后能迅速恢復(fù)運(yùn)行。

4)加強(qiáng)安全建設(shè)管理:工業(yè)控制系統(tǒng)由眾多復(fù)雜部件構(gòu)成'應(yīng)加強(qiáng)對(duì)工業(yè)控制系統(tǒng)供貨商和分包商的管理'選擇規(guī)范的、有資質(zhì)的分包商。規(guī)范供應(yīng)鏈的管理,避免采購有設(shè)計(jì)缺陷和漏洞的設(shè)備。

5)采用縱深防御措施:設(shè)計(jì)多重防御手段,使重要的關(guān)鍵工業(yè)控制系統(tǒng)設(shè)備處于防御屏障的核心。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)對(duì)工業(yè)控制系統(tǒng)來說是非功能需求,往往與功能需求存在沖突。因此,在設(shè)計(jì)階段應(yīng)予以重點(diǎn)考慮和關(guān)注,進(jìn)行綜合權(quán)衡和協(xié)調(diào)。

3.3制造、安裝和調(diào)試測試階段網(wǎng)絡(luò)安全防護(hù)

制造、安裝和調(diào)試測試由專業(yè)人員完成,工作人員只有獲得授權(quán)才能進(jìn)入廠房進(jìn)行設(shè)備作業(yè),不同的人員應(yīng)分區(qū)域授權(quán)作業(yè)。

制造和安裝需要確保工業(yè)控制系統(tǒng)和設(shè)備按照預(yù)先的設(shè)計(jì)進(jìn)行加工、制造和集成,避免不經(jīng)意間引入額外的缺陷。調(diào)試測試通過具體的驗(yàn)證手段核實(shí)最終交付的系統(tǒng)能夠防御所預(yù)期的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),達(dá)到預(yù)期的網(wǎng)絡(luò)安全等級(jí),具備了預(yù)期的網(wǎng)絡(luò)安全防護(hù)能力。

3.4運(yùn)行階段網(wǎng)絡(luò)安全防護(hù)

本階段的責(zé)任主體是運(yùn)營和維護(hù)方。進(jìn)入運(yùn)行階段后,工業(yè)控制系統(tǒng)具備了所設(shè)計(jì)預(yù)期的網(wǎng)絡(luò)安全防護(hù)能力。通過行政手段和技術(shù)手段限制了非授權(quán)人員的訪問控制,但維護(hù)人員仍需關(guān)注網(wǎng)絡(luò)安全防護(hù)威脅。

在運(yùn)行階段,系統(tǒng)的維護(hù)人員應(yīng)定期對(duì)工業(yè)控制系統(tǒng)進(jìn)行巡視和檢測,檢查系統(tǒng)的非授權(quán)訪問情況和遭受的網(wǎng)絡(luò)攻擊和破壞。運(yùn)行階段周期長,隨著新的網(wǎng)絡(luò)安全威脅的出現(xiàn)以及未被發(fā)現(xiàn)的漏洞的暴露,當(dāng)初設(shè)計(jì)的網(wǎng)絡(luò)安全防御措施可能不能防御新的風(fēng)險(xiǎn),因此,需要基于當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)和新暴露的漏洞缺陷進(jìn)行風(fēng)險(xiǎn)分析、識(shí)別和評(píng)估,并對(duì)工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)采取補(bǔ)救措施。

3.5退役階段網(wǎng)絡(luò)安全防護(hù)

本階段的責(zé)任主體是業(yè)主方和設(shè)備拆除方。網(wǎng)絡(luò)安全防護(hù)與安裝階段相同,退役作業(yè)工作人員只有獲得授權(quán)才能進(jìn)入廠房進(jìn)行設(shè)備作業(yè),不同的人員應(yīng)分區(qū)域授權(quán)作業(yè)。

退役作業(yè)完成后應(yīng)清除其他在運(yùn)行系統(tǒng)與退役系統(tǒng)之間的訪問控制接口和授權(quán),同時(shí)清除退役系統(tǒng)中的運(yùn)行數(shù)據(jù)和敏感數(shù)據(jù)。另外,需對(duì)在運(yùn)行系統(tǒng)

進(jìn)行風(fēng)險(xiǎn)分析、識(shí)別和評(píng)估,并決定是否對(duì)在運(yùn)行系統(tǒng)采取補(bǔ)救措施。

4結(jié)束語

本文分析了典型工業(yè)控制系統(tǒng)結(jié)構(gòu),指出了傳統(tǒng)IT系統(tǒng)的信息安全防護(hù)方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)要求的原因,簡要說明了工業(yè)控制系統(tǒng)安全等級(jí)劃分的方法和劃分依據(jù),并從工業(yè)控制系統(tǒng)全生命周期的角度出發(fā),對(duì)于每一個(gè)生命周期階段,分別提出了網(wǎng)絡(luò)安全防護(hù)方案。