2024企業(yè)工業(yè)控制系統(tǒng)信息安全體系模型

PAGE1PAGE8企業(yè)工業(yè)控制系統(tǒng)信息安全體系模型工業(yè)控制系統(tǒng)信息安全現(xiàn)狀現(xiàn)代工業(yè)控制系統(tǒng)(ICS)包括數(shù)據(jù)采集系統(tǒng)(SCADA)，分布式控制系統(tǒng)(DCS)，程序邏輯控制(PLC)以及其他控制系統(tǒng)等，目前已應(yīng)用于金屬冶煉、電力、水力、石化、醫(yī)藥、食品以及汽車、航天等工業(yè)領(lǐng)域，成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國(guó)家的戰(zhàn)略安全。與傳統(tǒng)基于TCP/IP協(xié)議的網(wǎng)絡(luò)與信息系統(tǒng)的安全相比，我國(guó)ICS的安全保護(hù)水平明顯偏低，長(zhǎng)期以來(lái)沒(méi)有得到關(guān)注。大多數(shù)ICS在開(kāi)發(fā)時(shí)，受限于計(jì)算資源有限，在設(shè)計(jì)時(shí)只考慮到效率和實(shí)時(shí)性等特性，并未將安全作為一個(gè)主要的指標(biāo)考慮。隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速，越來(lái)越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來(lái)極大推動(dòng)作用的同時(shí)，也帶來(lái)了ICS的安全問(wèn)題，如木馬、病毒、網(wǎng)絡(luò)攻擊造成信息泄露和控制指令篡改等。ICS系統(tǒng)的安全事件會(huì)導(dǎo)致:(1)系統(tǒng)性能下降，影響系統(tǒng)可用性；(2)關(guān)鍵控制數(shù)據(jù)被篡改或喪失；(3)失去控制；(4)嚴(yán)重的經(jīng)濟(jì)損失；(5)環(huán)境災(zāi)難；(6)人員傷亡；(7)破壞基礎(chǔ)設(shè)施；(8)危及公眾安全及國(guó)家安全。據(jù)工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組(ICS-CERT)通過(guò)工業(yè)控制系統(tǒng)相關(guān)的安全事故監(jiān)控、分析執(zhí)行漏洞和惡意代碼、現(xiàn)場(chǎng)支持為事故響應(yīng)和取證，發(fā)現(xiàn)工業(yè)控制系統(tǒng)相關(guān)的安全事件正在呈快速增長(zhǎng)的趨勢(shì)(如圖1所示)。由圖中可知，ICS-CERT在2013年上半年統(tǒng)計(jì)到的安全事件數(shù)已經(jīng)超過(guò)了2012年全年的安全事件數(shù)。2013年上半年這200多起工業(yè)控制系統(tǒng)安全事件，其中主要集中在能源、關(guān)鍵制造業(yè)、交通、通信、水利、核能等領(lǐng)域。圖1ICS-CERT統(tǒng)計(jì)的工控安全事件Figure1IndustrialsafetyincidentsstatisticsedbyICS-CERT鋁加工企業(yè)生產(chǎn)控制系統(tǒng)特點(diǎn)及信息安全分析鋁加工行業(yè)生產(chǎn)控制系統(tǒng)特點(diǎn)鋁加工企業(yè)主要生產(chǎn)板材、帶材、箔材、管材、棒材、型材、線材和鍛件（自由鍛件、模鍛件）等鋁材料，產(chǎn)品廣泛應(yīng)用于航空航天、建筑、運(yùn)輸、電氣、化工、包裝和日用品工業(yè)等行業(yè)。生產(chǎn)控制系統(tǒng)以PLC為主，生產(chǎn)工藝有：熔鑄工序：熔煉→鑄造→鋸棒→鋁棒均勻化→冷卻、洗棒→進(jìn)倉(cāng)擠壓工藝流程：壓前準(zhǔn)備→擠壓→拉伸矯直→鋸切成品→裝框修口。板帶連軋加工工藝流程：加熱爐→粗軋→精軋→卷取。以板帶熱軋生產(chǎn)為例，典型的工業(yè)控制網(wǎng)絡(luò)如圖2所示，HMI和過(guò)程機(jī)采用多CPU的高性能計(jì)算機(jī)，控制系統(tǒng)多采用PLC、Device-Net、FLEXI/O、現(xiàn)場(chǎng)執(zhí)行設(shè)備及傳動(dòng)系統(tǒng)等。PLC采用西門子、施耐德、AB等品牌。圖2熱軋生產(chǎn)線工業(yè)控制系統(tǒng)架構(gòu)Figure2Industrialcontrolsystemarchitectureofhotrollingproductionlinediagram工業(yè)控制系統(tǒng)面臨的信息安全問(wèn)題分析威脅源分類隨著兩化融合的深入，工控系統(tǒng)不再是封閉的系統(tǒng)，而是與辦公網(wǎng)、互聯(lián)網(wǎng)有千絲萬(wàn)縷的聯(lián)系，因此，威脅的來(lái)源也更加廣泛，主要威脅如下表所示。表1工業(yè)控制系統(tǒng)威脅源分類Table1Classificationofthreatssourceofindustrialcontrolsystems威脅源描述境外機(jī)構(gòu)在空間安全（Cybersecurity）和信息戰(zhàn)的思維下，境外機(jī)構(gòu)發(fā)展其對(duì)我國(guó)國(guó)家基礎(chǔ)設(shè)施進(jìn)行信息竊取、狀態(tài)干擾和攻擊的能力，其后果可能對(duì)我國(guó)工業(yè)基礎(chǔ)設(shè)施產(chǎn)生嚴(yán)重影響，甚至可能危及人民生命內(nèi)部人員由于利益或者不滿情緒的驅(qū)使，利用其對(duì)工業(yè)控制系統(tǒng)環(huán)境相關(guān)系統(tǒng)的了解，將在不具備大量計(jì)算機(jī)入侵知識(shí)的前提下造成系統(tǒng)損壞或者信息失竊；同時(shí)人員誤操作也可能造成一定程度上的風(fēng)險(xiǎn)境內(nèi)外恐怖分子恐怖分子嘗試通過(guò)對(duì)工業(yè)控制系統(tǒng)的干擾、破壞從而威脅國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全工業(yè)間諜獲取工業(yè)控制網(wǎng)絡(luò)的相關(guān)核心技術(shù)和敏感信息工業(yè)控制系統(tǒng)的脆弱性分析工業(yè)控制系統(tǒng)脆弱性分為管理和技術(shù)兩方面，經(jīng)分析主要存在策略和程序上的脆弱性，以及平臺(tái)自身的脆弱性和網(wǎng)絡(luò)脆弱性。下表描述了工業(yè)控制系統(tǒng)中可能存在的脆弱性：表2工業(yè)控制系統(tǒng)脆弱性Table2Fragilityofindustrialcontrolsystems脆弱性分類描述策略和程序脆弱性缺乏針對(duì)工業(yè)網(wǎng)絡(luò)的特定安全策略無(wú)針對(duì)工業(yè)控制網(wǎng)絡(luò)的培訓(xùn)和意識(shí)教育缺乏安全架構(gòu)和設(shè)計(jì)沒(méi)有針對(duì)安全策略形成安全工作流程缺乏安全審計(jì)缺乏工業(yè)控制網(wǎng)業(yè)務(wù)連續(xù)性計(jì)劃或者災(zāi)難恢復(fù)計(jì)劃缺少口令重復(fù)登錄的次數(shù)限制和口令定期更換機(jī)制缺乏工業(yè)控制網(wǎng)絡(luò)特定的變更管理系統(tǒng)脆弱性系統(tǒng)配置脆弱性操作系統(tǒng)以及軟件打補(bǔ)丁不及時(shí)，并且未經(jīng)過(guò)測(cè)試使用默認(rèn)配置關(guān)鍵配置未存儲(chǔ)或者備份移動(dòng)設(shè)備數(shù)據(jù)缺乏保護(hù)缺乏適當(dāng)?shù)拿艽a策略不恰當(dāng)?shù)脑L問(wèn)控制硬件脆弱性針對(duì)關(guān)鍵系統(tǒng)缺乏物理防護(hù)未授權(quán)人員對(duì)設(shè)備的物理訪問(wèn)不安全的遠(yuǎn)程訪問(wèn)資產(chǎn)登記不完備缺乏備用能源易受網(wǎng)絡(luò)負(fù)載的影響，環(huán)境控制缺失缺乏無(wú)線電頻率和電磁脈沖防護(hù)能力缺乏關(guān)鍵組件的冗余軟件脆弱性存在緩沖區(qū)溢出漏洞安全功能未默認(rèn)開(kāi)啟針對(duì)OPC的RPC/DCOM攻擊使用不安全的工業(yè)領(lǐng)域通訊協(xié)議使用明文運(yùn)行不必要的服務(wù)不適當(dāng)?shù)尼槍?duì)配置和編程軟件的訪問(wèn)控制未采用入侵檢測(cè)/防御工具未留存日志未監(jiān)控安全事件惡意代碼保護(hù)脆弱性未安裝惡意代碼防護(hù)軟件惡意代碼防護(hù)軟件更新不及時(shí)惡意代碼軟件部署前未測(cè)試網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)配置脆弱性網(wǎng)絡(luò)架構(gòu)存在脆弱性未對(duì)數(shù)據(jù)流進(jìn)行限制網(wǎng)絡(luò)設(shè)備配置脆弱性網(wǎng)絡(luò)設(shè)備配置未存儲(chǔ)和備份敏感信息如口令等傳輸未加密網(wǎng)絡(luò)硬件脆弱性不恰當(dāng)?shù)奈锢肀Ｗo(hù)和環(huán)境控制不安全的物理端口未必要人員對(duì)網(wǎng)絡(luò)設(shè)備和鏈接線纜的訪問(wèn)關(guān)鍵網(wǎng)絡(luò)缺乏冗余網(wǎng)絡(luò)邊界脆弱性未定義安全邊界未部署防火墻或者配置不當(dāng)控制網(wǎng)絡(luò)內(nèi)部存在其他不相關(guān)的流量控制網(wǎng)絡(luò)依賴非控制網(wǎng)絡(luò)的服務(wù)網(wǎng)絡(luò)監(jiān)控/日志脆弱性不恰當(dāng)?shù)姆阑饓吐酚善魅罩九渲每刂凭W(wǎng)絡(luò)無(wú)監(jiān)控?zé)o線網(wǎng)絡(luò)脆弱性無(wú)線客戶端和接入點(diǎn)的認(rèn)證措施不足無(wú)線客戶端和接入點(diǎn)之間的數(shù)據(jù)傳輸保護(hù)措施不足通信脆弱性通信缺乏完整性校驗(yàn)通信未進(jìn)行用戶和設(shè)備的認(rèn)證采用公開(kāi)明文協(xié)議關(guān)鍵監(jiān)控和控制路徑未識(shí)別工業(yè)控制系統(tǒng)漏洞日益增多，攻擊手段更為復(fù)雜化，對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)日趨重要，必須從整體安全防護(hù)角度出發(fā)。工業(yè)控制信息安全體系模型思路參照IEC62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》對(duì)網(wǎng)絡(luò)進(jìn)行分區(qū)分域，分析工業(yè)控制系統(tǒng)面臨的威脅，依據(jù)《工業(yè)控制系統(tǒng)安全指南》（NISTSP800-82)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008）》等相關(guān)要求進(jìn)行建設(shè)，重點(diǎn)加強(qiáng)縱深防御。體系模型參照IEC62443工業(yè)控制系統(tǒng)模型和IATF框架，對(duì)企業(yè)工業(yè)控制網(wǎng)進(jìn)行分區(qū)分域，如下圖所示。企業(yè)經(jīng)營(yíng)管理（業(yè)務(wù)規(guī)劃和物流）生產(chǎn)管理企業(yè)經(jīng)營(yíng)管理（業(yè)務(wù)規(guī)劃和物流）生產(chǎn)管理監(jiān)督控制基本控制安全和保護(hù)過(guò)程（受控設(shè)備）第4層企業(yè)經(jīng)營(yíng)管理層第3層生產(chǎn)管理層第2層監(jiān)督控制層第1層現(xiàn)場(chǎng)控制層第0層現(xiàn)場(chǎng)設(shè)備層工業(yè)自動(dòng)化與控制系統(tǒng)圖3工業(yè)控制系統(tǒng)分層架構(gòu)Figure3Layeredarchitectureofindustrialcontrolsystems第4層企業(yè)經(jīng)營(yíng)管理層，包括企業(yè)財(cái)務(wù)系統(tǒng)、辦公系統(tǒng)、以及一個(gè)地點(diǎn)的下屬工廠或所屬企業(yè)進(jìn)行生產(chǎn)計(jì)劃、運(yùn)營(yíng)管理和維護(hù)等相關(guān)系統(tǒng)。第3層企業(yè)生產(chǎn)管理層，包括分派生產(chǎn)任務(wù)，詳細(xì)生產(chǎn)調(diào)度，可靠性保障的貫徹執(zhí)行和本地的控制優(yōu)化等。第2層監(jiān)督控制層，包括監(jiān)督和控制實(shí)際生產(chǎn)過(guò)程的功能。包括人機(jī)界面HMI，操作員站，負(fù)責(zé)組態(tài)的工程師站等。報(bào)警服務(wù)器及報(bào)警處理。監(jiān)督控制功能。實(shí)時(shí)數(shù)據(jù)收集與歷史數(shù)據(jù)庫(kù)，用于連接的服務(wù)器客戶機(jī)等。第1層現(xiàn)場(chǎng)控制層，主要是PLC,該層是對(duì)來(lái)自第0層的傳感器所采集的數(shù)據(jù)進(jìn)行操作，執(zhí)行控制算法，輸出到執(zhí)行器（如控制閥門等）執(zhí)行，該層通過(guò)現(xiàn)場(chǎng)總線與第0層的傳感器和執(zhí)行器形成控制回路。設(shè)備包括但不限于如下所示：第0層現(xiàn)場(chǎng)設(shè)備層，該層是對(duì)生產(chǎn)設(shè)施的現(xiàn)場(chǎng)設(shè)備進(jìn)行數(shù)據(jù)采集和輸出操作的功能，包括了所有連在現(xiàn)場(chǎng)總線的傳感器（模擬量和開(kāi)關(guān)量輸入）和執(zhí)行器（模擬量和開(kāi)關(guān)量輸出）等控制對(duì)象。控制系統(tǒng)信息安全對(duì)策工業(yè)控制系統(tǒng)的信息安全按照分層分區(qū)、縱深防御思路進(jìn)行設(shè)計(jì)。以大型鋁加工企業(yè)為例，其工業(yè)控制系統(tǒng)層次和區(qū)域劃分如下：圖4某鋁加工企業(yè)工業(yè)控制網(wǎng)絡(luò)分層分區(qū)模型Figure4HierarchicalpartitioningmodelofindustrialcontrolnetworkinanAluminumprocessingenterprise現(xiàn)場(chǎng)設(shè)備層現(xiàn)場(chǎng)設(shè)備層是傳輸?shù)哪M信號(hào)或數(shù)字信號(hào)，與過(guò)程控制層設(shè)備進(jìn)行嚴(yán)密的、高速的數(shù)據(jù)交換。在建設(shè)階段考察儀表、傳感器和電氣傳動(dòng)設(shè)備的自身的安全性，例如：高可靠性、設(shè)備標(biāo)識(shí)與鑒別、身份認(rèn)證等。過(guò)程控制層按照工序不同分為加熱爐區(qū)、粗軋區(qū)、精軋區(qū)和卷取區(qū)，每個(gè)區(qū)域是單獨(dú)的一個(gè)工業(yè)以太網(wǎng)。各工序需要有數(shù)據(jù)交互，通過(guò)梳理傳輸協(xié)議、IP地址、端口、傳輸參數(shù)和指令等信息，建立白名單，用工業(yè)安全網(wǎng)關(guān)做訪問(wèn)控制。在各區(qū)域環(huán)網(wǎng)交換機(jī)上做端口鏡像，部署采集器，采集網(wǎng)絡(luò)傳輸數(shù)據(jù)，并傳給安全管理平臺(tái)。生產(chǎn)執(zhí)行層生產(chǎn)執(zhí)行層包括各工序PLC的HMI以及過(guò)程計(jì)算機(jī)，使用的是通用Windows系統(tǒng)，在計(jì)算機(jī)上安裝防病毒系統(tǒng)和統(tǒng)一安全管理系統(tǒng)，進(jìn)行防病毒，U盤使用管理、上網(wǎng)管理、軟件白名單管理、進(jìn)程管理等。在HMI、各工序過(guò)程機(jī)前端部署工業(yè)安全網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)HMI或過(guò)程機(jī)與PLC通訊的傳輸協(xié)議、IP地址、端口、傳輸參數(shù)和指令等信息控制。并在熱連軋工業(yè)以太環(huán)網(wǎng)交換機(jī)做端口鏡像，部署采集器采集網(wǎng)絡(luò)傳輸數(shù)據(jù)，并傳給安全管理平臺(tái)。經(jīng)營(yíng)管理層在MES與工業(yè)以太網(wǎng)之間部署雙向隔離網(wǎng)閘，采用數(shù)據(jù)擺渡機(jī)制對(duì)生產(chǎn)計(jì)劃、生產(chǎn)狀態(tài)數(shù)據(jù)、采集的網(wǎng)絡(luò)數(shù)據(jù)、設(shè)備安全日志等信息進(jìn)行傳輸控制。部署安全管理平臺(tái)實(shí)現(xiàn)如下功能：自動(dòng)發(fā)現(xiàn)和識(shí)別工業(yè)控制設(shè)備資產(chǎn)，并識(shí)別這些資產(chǎn)之間的連接關(guān)系或包含關(guān)系，以拓?fù)浞绞秸故举Y產(chǎn)信息。對(duì)各種不同廠商的工業(yè)控制設(shè)備、信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器的安全性與可用性進(jìn)行實(shí)時(shí)監(jiān)控，可以對(duì)監(jiān)控指標(biāo)設(shè)置告警閾值，觸發(fā)告警。進(jìn)行網(wǎng)絡(luò)根本故障源（RootCause）診斷，協(xié)助管理員定位故障問(wèn)題源。分析出工業(yè)控制系統(tǒng)信息安全態(tài)勢(shì)。提供多種知識(shí)體系，包括案例庫(kù)、漏洞庫(kù)、事件庫(kù)、文檔庫(kù)、字典庫(kù)等。部署漏洞掃描系統(tǒng)對(duì)HMI、工業(yè)交換機(jī)、過(guò)程機(jī)、PLC等進(jìn)行漏洞發(fā)現(xiàn)。戰(zhàn)略決策層運(yùn)維決策層參照等級(jí)保護(hù)要求建設(shè)，在運(yùn)維區(qū)部署漏洞掃描系統(tǒng)、運(yùn)維審計(jì)系統(tǒng)、安全管理系統(tǒng)、桌面安全管理系統(tǒng)服務(wù)端、桌面防病毒服務(wù)端、準(zhǔn)入