引言

工業(yè)控制系統(tǒng)是由計算機和工業(yè)過程控制部件組成的自動化生產(chǎn)過程控制系統(tǒng),利用相關的電子電氣、機械、軟件等設備來控制生產(chǎn)相關設備,按照預定的規(guī)律運行,以保證生產(chǎn)出合格的產(chǎn)品。目前,工業(yè)控制系統(tǒng)被運用到智慧電網(wǎng)、智慧水利、智慧能源、智慧交通等涉及國計民生的重要領域,用于監(jiān)控工業(yè)流程,提升工業(yè)領域的智能化水平[1]。

工業(yè)控制系統(tǒng)受到網(wǎng)絡入侵攻擊或者破壞將會導致工業(yè)生產(chǎn)中斷甚至停工,不僅會造成生產(chǎn)效率下降,還會導致安全生產(chǎn)事故,嚴重的甚至會導致商業(yè)機密泄露,給生產(chǎn)企業(yè)帶來不可估量的風險,如2010年“震網(wǎng)病毒”(stuxnet)事件[2],2015年烏克蘭電網(wǎng)遭受攻擊引發(fā)大面積停電事件[3]。工業(yè)控制系統(tǒng)的安全更關系到國家的戰(zhàn)略安全,如何保證工業(yè)控制系統(tǒng)的安全,已引起國家相關部門的高度重視[4]。

因此,為應對工業(yè)控制系統(tǒng)網(wǎng)絡安全風險,必須對工業(yè)控制系統(tǒng)進行網(wǎng)絡安全防護研究。

1工業(yè)控制系統(tǒng)結構

如圖1所示,工業(yè)控制系統(tǒng)一般為4層系統(tǒng)結構。

0層:過程接口層,包括由傳感器、變送器、限位開關、智能儀表以及現(xiàn)場總線系統(tǒng)等組成的測量設備,也包括由電磁閥、氣動開關閥、調節(jié)閥、泵、風機等組成的執(zhí)行器設備。主要功能為工藝過程參數(shù)測量、控制指令執(zhí)行。

1層:自動控制和保護層,包括控制機柜、服務器、信號采集模塊、信號輸出模塊、控制處理器模塊、網(wǎng)絡通信模塊、信號隔離模塊、信號分配模塊、電源模塊等設備。主要功能為工藝過程參數(shù)測量處理和計算、控制聯(lián)鎖邏輯執(zhí)行、控制指令處理和控制輸出等。

2層:操作和信息管理層,包括操作員站、工程師站、大屏幕等設備。主要功能是為操作人員監(jiān)督工廠運行狀態(tài)提供操作信息顯示和設備狀態(tài)顯示,并為操作人員提供設備控制操作接口。

3層:全廠技術管理層,包括生產(chǎn)調度系統(tǒng)、應急指揮管理系統(tǒng)。主要功能為生產(chǎn)執(zhí)行管理、生產(chǎn)計劃管理、應急事故管理等。

從圖1可以看出,工業(yè)控制系統(tǒng)的功能和結構與IT系統(tǒng)不同。另外,工業(yè)控制系統(tǒng)的安全性并不遵循IT系統(tǒng)信息安全三要素(機密性、完整性和可用性),對工業(yè)控制系統(tǒng)而言可用性至關重要,其次才考慮機密性[5],這種不同造成了IT系統(tǒng)的信息安全防護方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡信息安全防護要求。

2工業(yè)控制系統(tǒng)安全等級劃分

對工業(yè)控制系統(tǒng)進行安全等級劃分是實施網(wǎng)絡安全防護的前提。工業(yè)控制系統(tǒng)安全等級劃分一般應依據(jù)控制系統(tǒng)的結構、各部分實現(xiàn)的功能的重要程度、責任主體、系統(tǒng)邊界、受到安全威脅后對責任主體和公眾造成的損害程度進行劃分。

根據(jù)圖1中工業(yè)控制系統(tǒng)結構,0層、1層和2層在工業(yè)生產(chǎn)中完成相對獨立的功能,應獨立劃分安全等級。根據(jù)執(zhí)行功能的重要程度,對于執(zhí)行安全保護和安全重要功能的系統(tǒng)劃分為高的安全等級,對于執(zhí)行常規(guī)的生產(chǎn)過程控制功能的系統(tǒng)劃分為低的安全等級。3層作為生產(chǎn)技術管理層,應獨立劃分安全等級。

安全等級的劃分還應考慮工業(yè)控制系統(tǒng)受到破壞后對責任主體造成的損害和對公眾造成的損害。

工業(yè)控制系統(tǒng)應依據(jù)安全等級劃分,實行分級防護,不同安全等級的工業(yè)控制系統(tǒng)分別實施不同的安全防護措施。

3全生命周期的網(wǎng)絡安全防護

工業(yè)控制系統(tǒng)包括軟件和硬件部件,生命周期可分為如下五個階段:需求階段,設計階段,制造、安裝和調試測試階段'運行階段'退役階段。

工業(yè)控制系統(tǒng)網(wǎng)絡安全防護應從需求階段到退役階段貫穿整個系統(tǒng)生命周期[6]'并不斷迭代。在不同的階段由不同的責任主體實施網(wǎng)絡安全防護。在需求階段'實施工業(yè)控制系統(tǒng)網(wǎng)絡安全防護的責任主體是工業(yè)控制系統(tǒng)的設計方、最終業(yè)主和相應系統(tǒng)的供貨商。在設計階段'實施網(wǎng)絡安全防護的責任主體是設計方和系統(tǒng)供貨商。在制造、安裝和調試測試階段'實施網(wǎng)絡安全防護的責任主體是設計方、加工制造商、供貨商、安裝和調試方。在運行階段'實施網(wǎng)絡安全防護的責任主體是運營和維護方。在退役階段'實施網(wǎng)絡安全防護的責任主體是業(yè)主方和設備拆除方。

3.1需求階段網(wǎng)絡安全防護

本階段的責任主體是工業(yè)控制系統(tǒng)的設計方、最終業(yè)主和相應系統(tǒng)的供貨商。各個責任主體應建立網(wǎng)絡安全計劃'內容至少應包括組織結構、責任分工、風險和脆弱性識別、網(wǎng)絡安全縱深防御策略以及防護措施的總體說明。網(wǎng)絡安全計劃在需求階段建立'貫穿整個項目生命周期'應定期評估并及時升版'保持網(wǎng)絡安全計劃的有效性。

需求階段要進行風險和脆弱性識別和分析。設計方、最終業(yè)主和相應系統(tǒng)的供貨商應確定保護對象'結合外部網(wǎng)絡安全形勢和對象的結構特征'評估保護對象存在的漏洞'分析存在的潛在風險和威脅'針對每一項潛在風險和威脅制定初步的風險應對措施。

需求階段要進行安全等級劃分'對工業(yè)控制系統(tǒng)的每一部分確定網(wǎng)絡安全等級'不同的網(wǎng)絡安全等級對應不同的網(wǎng)絡安全防護要求。

在風險分析和安全等級劃分成果的基礎上'確定詳細的網(wǎng)絡安全防護需求。

3.2設計階段網(wǎng)絡安全防護

本階段的責任主體是設計方和系統(tǒng)供貨商。將網(wǎng)絡安全防護需求作為輸入'通過軟件、硬件和系統(tǒng)的手段構建防護措施使保護對象免受網(wǎng)絡安全威脅。防護措施可分為兩大類:行政措施和技術措施。

行政措施通過法規(guī)、制度、工作規(guī)范等約束網(wǎng)絡安全防護相關人員的行為'從而減少風險的發(fā)生。

技術措施包括加固措施和防范措施。加固措施

消除保護對象自身的漏洞'關閉不必要的功能和接口'提高對網(wǎng)絡安全威脅的抵御能力。防范措施通過風險識別和隔離'盡早探知風險并采取措施'同時采用隔離手段減少保護對象暴露在風險威脅環(huán)境下的概率。

主要的防護措施有:

1)提供安全的物理環(huán)境:為安裝工業(yè)控制系統(tǒng)設備的廠房提供所要求的適宜的溫度、濕度和能源供應。防火、防盜、防自然災害'防止非授權人員隨意進入。

2)提供安全的通信網(wǎng)絡:對工業(yè)控制系統(tǒng)進行分區(qū)域控制。特別是大型工業(yè)控制系統(tǒng)'應根據(jù)功能和責任主體劃分不同的安全域'不同的安全域之間設置隔離設備'限制網(wǎng)絡安全風險威脅的擴散范圍。隔離工業(yè)控制系統(tǒng)與其他系統(tǒng)之間的網(wǎng)絡'如圖2所示'對于與工業(yè)控制系統(tǒng)之間有雙向數(shù)據(jù)交換的其他第三方系統(tǒng)采用防火墻等隔離設備隔離;對于3層生產(chǎn)技術管理系統(tǒng)采用單向的隔離設備'使數(shù)據(jù)只能由工業(yè)控制系統(tǒng)向3層傳輸。另外'采用訪問控制措施'限制非授權的網(wǎng)絡和設備接入工業(yè)控制系統(tǒng)的通信網(wǎng)絡。

3)提供安全的計算環(huán)境:采用身份鑒別防止非授權人員和系統(tǒng)的訪問。采用防病毒措施和入侵檢測'防范惡意代碼。設計數(shù)據(jù)備份和恢復系統(tǒng)'在工業(yè)控制系統(tǒng)受到破壞后能迅速恢復運行。

4)加強安全建設管理:工業(yè)控制系統(tǒng)由眾多復雜部件構成'應加強對工業(yè)控制系統(tǒng)供貨商和分包商的管理'選擇規(guī)范的、有資質的分包商。規(guī)范供應鏈的管理,避免采購有設計缺陷和漏洞的設備。

5)采用縱深防御措施:設計多重防御手段,使重要的關鍵工業(yè)控制系統(tǒng)設備處于防御屏障的核心。

工業(yè)控制系統(tǒng)網(wǎng)絡安全防護對工業(yè)控制系統(tǒng)來說是非功能需求,往往與功能需求存在沖突。因此,在設計階段應予以重點考慮和關注,進行綜合權衡和協(xié)調。

3.3制造、安裝和調試測試階段網(wǎng)絡安全防護

制造、安裝和調試測試由專業(yè)人員完成,工作人員只有獲得授權才能進入廠房進行設備作業(yè),不同的人員應分區(qū)域授權作業(yè)。

制造和安裝需要確保工業(yè)控制系統(tǒng)和設備按照預先的設計進行加工、制造和集成,避免不經(jīng)意間引入額外的缺陷。調試測試通過具體的驗證手段核實最終交付的系統(tǒng)能夠防御所預期的網(wǎng)絡安全風險,達到預期的網(wǎng)絡安全等級,具備了預期的網(wǎng)絡安全防護能力。

3.4運行階段網(wǎng)絡安全防護

本階段的責任主體是運營和維護方。進入運行階段后,工業(yè)控制系統(tǒng)具備了所設計預期的網(wǎng)絡安全防護能力。通過行政手段和技術手段限制了非授權人員的訪問控制,但維護人員仍需關注網(wǎng)絡安全防護威脅。

在運行階段,系統(tǒng)的維護人員應定期對工業(yè)控制系統(tǒng)進行巡視和檢測,檢查系統(tǒng)的非授權訪問情況和遭受的網(wǎng)絡攻擊和破壞。運行階段周期長,隨著新的網(wǎng)絡安全威脅的出現(xiàn)以及未被發(fā)現(xiàn)的漏洞的暴露,當初設計的網(wǎng)絡安全防御措施可能不能防御新的風險,因此,需要基于當前的網(wǎng)絡安全形勢和新暴露的漏洞缺陷進行風險分析、識別和評估,并對工業(yè)控制系統(tǒng)面臨的網(wǎng)絡安全風險采取補救措施。

3.5退役階段網(wǎng)絡安全防護

本階段的責任主體是業(yè)主方和設備拆除方。網(wǎng)絡安全防護與安裝階段相同,退役作業(yè)工作人員只有獲得授權才能進入廠房進行設備作業(yè),不同的人員應分區(qū)域授權作業(yè)。

退役作業(yè)完成后應清除其他在運行系統(tǒng)與退役系統(tǒng)之間的訪問控制接口和授權,同時清除退役系統(tǒng)中的運行數(shù)據(jù)和敏感數(shù)據(jù)。另外,需對在運行系統(tǒng)

進行風險分析、識別和評估,并決定是否對在運行系統(tǒng)采取補救措施。

4結束語

本文分析了典型工業(yè)控制系統(tǒng)結構,指出了傳統(tǒng)IT系統(tǒng)的信息安全防護方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡信息安全防護要求的原因,簡要說明了工業(yè)控制系統(tǒng)安全等級劃分的方法和劃分依據(jù),并從工業(yè)控制系統(tǒng)全生命周期的角度出發(fā),對于每一個生命周期階段,分別提出了網(wǎng)絡安全防護方案。