早期的ICS运行于相对独立的网络,生命周期长达15~20年,其中涉及到的工业协议五花八门,且对延时要求高,所以设计时以高可用性、高效性、实时性为核心,缺乏安全领域考虑。随着计算机技术在工业领域的不断发展融合,ICS成为网络攻击的对象。网络作为ICS的核心组成部分,一旦受到恶意攻击,轻则导致生产运行瘫痪,重则危害社会国家利益,所以它的安全性尤为重要。国内工业互联网发展与发达国家同步起步,随着工业4.0、互联网+、制造强国等战略的不断推进,工业化和信息化的发展较快,新技术和新应用的融合带来了巨大机遇的同时,也给ICS的安全防护系统带来巨大挑战。针对ICS信息安全相继出台了多项政策法规和指南,目的在于规范工业系统。2017年,国家发布《中华人民共和国网络安全法》,明确要求实施信息安全等级保护制度。2019年5月,基于网络体系新的形势和发展需求,公安部发布了国家信息安全等级保护标准第二版,正式进入等保2.0。相较于等保1.0,等保2.0更大程度完善了保护对象的范围,将大数据中心、云、ICS全面纳入了保护范围,对安全检测、应急处理、事情追溯等要求纳入了等级保护体系中,通过制度规范国内网络安全。本文将先对ICS进行安全现状分析,再从政策法规、测评标准、ICS全生命周期安全管理、可靠工控信息安全产品和计算机安全出发,提出一个工业互联网环境下的ICS信息安全防护方案。
2 ICS信息安全风险现状
2.1 安全意识误区和技能不足
工控安全防护中存在一些误区,如部署安全网络产品等于ICS做了安全防护;单向通信即可保证百分百安全等。实际上不合理的安全策略配置、安全功能的搭配选择、错误的产品搭配以及工业系统网络结构的不规范,将导致引入的安全网络产品事倍功半。人员技能方面,过分依赖于供应商,但实际厂商对工业系统漏洞认知层次不同,技术支撑点不同,导致即便认识到漏洞,处理手段也有限。安全防护并非一次性,需要伴随工业系统环境改变而做出相应改变,需定期对网络安全产品和ICS进行检查、更新和维护,这对人员的技能有一定的要求。
2.2 制度体系不完善
工控安全威胁不全来自于外部,内部制度的健全程度也直接关系到ICS的抗攻击性。ICS网络安全制度的不完善和不适用,导致数据管理、资产管理、外包服务管理、技能培训管理、安全运维管理等方面的混乱和不规范。在生产环境中或运维管理时,没有制度的约束和规范,随意使用外接U盘、移动硬盘等移动存储介质,随意接入运维终端至工控网络中,甚至为方便,开放调试端口直接面向互联网,都对ICS构成了威胁,给病毒、木马等恶意软件进入ICS提供了有力的传播通道。缺乏应急预案的培训,直接导致面临网络威胁攻击时的无措。
2.3 控制系统漏洞
自2010年以来,漏洞数量迅速增长,截至2020年9月1日,根据国家信息安全共享平台CNVD统计,公布工控漏洞2805个。一方面“震网(Stuxnet)”、“毒区(Duqu)”、“勒索病毒”等恶意攻击事件造成的巨大损失引起人们对控制系统漏洞话题高度关注。另一方面ICS从封闭走向开放,工控信息安全走向国产化,各个领域的网络厂商、信息厂商和老牌工控厂商加大对工控安全的研发投入,导致公开漏洞数的迅速增长。由于国内安全技术与国外先进技术的差距,目前重要的控制系统仍有80%使用国外的产品和技术,并且将近95%的高中危漏洞来自这些产品,直接成为恶意攻击的突破口。
2.4 主机和应用安全风险
生产控制区中的服务器和网络设备存在大量弱口令、用户权限不合理现象和主机系统升级加固困难导致ICS中存在大量老旧操作系统(Windows XP、Windows 2003),以及系统补丁不更新或者不及时更新等情况。对于主机防护不足,存在未安装杀毒软件或安装杀毒软件,但病毒库长期未更新的现象,导致主机针对恶意代码缺乏有效防御手段。
2.5 网络审计监控缺失
工控网络中缺少对异常流量或日志统一分析系统,未能监控网络运行健康状况,并探测潜在威胁。许多安全产品不支持解析工控协议,导致无法识别针对工控协议发起的恶意攻击。甚至一些产品,缺少安全审计功能,对运维、配置等操作缺少记录,一旦出现越权操作、违规操作、安全问题,无法追溯起源。
2.6 网络结构模糊
由于ICS业务的不断拓展,网络结构早已改变,又因早期工业系统网络缺乏长远规划,网络结构不规范,存在边界不明确的情况。工控网络内部未根据业务和功能进行必要的安全区域划分和安全隔离,甚至有生产区域和办公区域混合的现象,一旦出现恶意代码或病毒入侵,将迅速感染并蔓延扩散至整个网络。
2.7 网络接入访问控制限制
网络化、无线化的引入,给ICS带来了便捷,降低了成本。但是,普遍缺乏网络准入和控制机制,导致上位机和下位机之间、边界入口、不同业务区域之间的访问、通信和控制缺少身份鉴别,加上信息的明文传输,大大降低了网络攻击的门槛。在工控网络边界,包括一些可以接入ICS的主机和网络设备,缺少必要的访问控制授权,导致终端违规接入、非法外联等现象的出现,从而产生安全隐患。
3 ICS信息安全防护
图1是ICS信息安全所需因素,其依靠内部管理和技术支撑,同时结合外部政策法规的要求和标准的指导,对系统信息安全进行安全评估。ICS内部需要采用安全的工控设备和计算机设备,配合上全生命周期的安全管理制度和可靠的信息安全类产品,达到生产和管理上的安全。紧跟政策动向,积极响应,与专业的评测机构合作,结合相应标准进行测试检查。面对评测结果中的管理漏洞、技术空缺等高中微风险及时进行查漏补缺,形成闭环的安全防护体系。网络安全等级保护制度经历过3个阶段,从1994年中华人民共和国国务院第147号令,国家规定对计算机信息系统实行安全等级保护,到2007年,由公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室联合印发了《信息安全等级保护管理办法》(公通字〔2007〕43号),标志着等级保护制度正式开始实施,再到2017年,《中华人民共和国网络安全法》正式实施,网络安全等级保护制度成为网络安全的基本制度。
图1 ICS信息安全五要素
ICS作为一个综合且至关重要的计算机信息系统,对其的政策法规和要求处于持续出台、更新、修订、拓展的状态。从2016年两会发布的《国民经济和社会发展第十三个五年规划纲要》,到年中国务院印发《国务院关于深化制造业与互联网融合发展的指导意见》(国发[2016]28号),再到年底国务院印发《“十三五”国家信息化规划》,对工业信息化安全的深化发展提出了指导性意见。2017年国家工业和信息化部制订印发了《工业控制系统信息安全行动计划(2018-2020年)》,为提升工业信息安全防护、促进工业信息化指明了方向。结合2019年5月等级保护全面升级和发布,等保2.0标准的全面实行,给ICS信息安全建设、等级评估、安全测评和安全整改提供了明确指南,其总体思想是“一个中心,三重防护”,做到以安全管理中心为核心,遵循安全技术措施和安全管理同步规划、同步建设、同步使用的原则,确保区域边界防护,计算级网络防护和通信网络安全。
3.1 全生命周期安全管理
安全防护中,单凭技术防护没有制度的约束,容易出现管理上的混乱。等级保护2.0实施规范中,分别对公司管理制度、管理机构、管理人员、系统建设管理、系统运维管理五个方面做出了全生命周期安全管理上的要求。安全制度应具有针对性、可操作性和全面性。针对人员意识不足、技能不足等现象,需成立系统网络安全专项小组,并在制度中明确指定安全培训和技能培训计划,且落实于实践中,加固安全防范,提高专业技能水平。对于网络专职人员需要定期考核,且组织应急演练,做到事前防范、事中响应、事后总结。组建安全运维团队,或与有资质的安全团队合作实现外包运维服务。内部介质以及内部资产管理由资产管理员统一管理,对介质的使用、维护、销毁制定严格闭环的规定。规范运维操作要求,严格把控运维工具的使用,禁止随意将私有移动U盘、移动硬盘接入运维系统。需在制度和流程上完善外来人员运维工具接入的审核和审批,禁止阻断非法运维手段,记录远程运维过程。在制度中,明确规定临时接口开放和临时权限账号的开放。
有形资产如服务器、机房等防护,除了良好的物理防范措施供其具有防雷性、防潮性、防火性等特点外,还需做好安全防范,安排特定人员24小时全年的值守,并配合监控技术,无死角保护资产不被损坏、盗用等。对于外来人员,需要完整的审批流程,全程由相关负责人陪同,并且在访问前和结束访问后留有完整的记录,确保资产和系统安全。
3.2 可靠的工控信息安全产品
基于《中华人民共和国网络安全法》要求,信息安全网络类产品国内实行销售许可制度,所有产品需要经由授权机构依据相应的国家标准或行业标准进行安全性测试,仅合格产品才给予销售许可证。在对工控信息安全类产品进行统计分析中,发现针对于工业信息安全类产品的正式标准较少,仅有工控安全管理平台和工业系统IDS等几类产品。其余一些适用于工控信息安全类产品大部分采用基于标准的基础之上,添加工控协议支持要求,弱化删减不适用于工控系统的条目。工控信息安全产品从保护的对象、功能上大致分为以下3大类:
(1)边界防护类
边界防护类产品通常串联部署于工控以太网与企业管理网络之间、工业不同区域间、控制层与设备层之间。通过配置访问控制策略,实现对系统边界、区域边界的保护,起到访问不可旁路的效果。工控网络隔离和工业防火墙均属于这类产品,具有流量清洗、违规阻断功能,且对其性能有较高要求,产品故障直接影响ICS正常运行。
(2)审计监控类
审计类产品主要包括工控审计产品、工控入侵检测产品、工控漏洞扫描及挖掘产品、工控安全管理平台等。通过接入网络环境中镜像流量数据包或日志接收,通过漏洞库、安全事件库或自定义异常行为,对审计数据进行分析,及时发现异常并触发告警。大部分审计类产品不具有阻断功能,旁路部署在网络环境中,故其产品自身故障对工控系统无影响。
(3)主机防护类
主机防护类产品主要为白名单产品和杀毒软件,通过主机安装代理实现对主机软件、外界设备等的限制,阻绝病毒、恶意程序的威胁。
3.3 技术防范方案
根据规章制度和现有的工控信息安全产品,制定相应的技术规划和网络优化方案。针对现有信息安全脆弱环境,做出有效整改和加固,遵循“事前预防、事中响应、事后追溯”十二字总体方针。
3.3.1 网络结构规范化
ICS网络架构设计遵循“安全分区,网络专用,横向隔离,纵向认证”的原则构建。针对早已改变的复杂工控网络,首先需要梳理、清点和统计业务资源,再对网络结构进行相应有效的风险评估,优化网络结构,甚至重新构建网络结构,定义边界并配置防护策略。图2为工控一体化安全防御结构,安全区域的划分和分区是工控网络的基础,结合业务、物理位置、网络需求等将整个系统划分至不同安全区域,如生产管理区,过程监控区、控制区1、控制区2等,避免不同区域之间的交叉。横向隔离作为同级网络防护体系中横向的防线,需采用不同级别的安全隔离装置。对于控制区等重要工控生产区域,部署常规的防火墙不能满足安全的需求,这类防火墙大部分不支持解析工业常用协议,如OPC、Modbus等,所以网络中需进一步升级防火墙至工控防火墙,实现对工控数据流的深度解析,防止各类非法操作。相较于监控区域,控制区的安全防护等级更为优先,所以在集中监控区与控制区之间的数据传输需要做内容上的深度解析,并根据白名单策略,对合规操作放行,对违规操作进行及时有效的阻断。
图2 工控一体化安全防御结构
3.3.2 计算机设备防护
ICS中计算机设备主要是对操作员站、工程师站以及数据服务器进行防护,通过安装主机加固类软件,以白名单的技术方式监控主机进程状态、服务状态、网络端口状况、外接设备状况,起到全方位保护主机资源的作用。通过白名单配置策略,阻止非法进程的开启、非法端口的开放,以及USB设备的接入,从而切断病毒和木马传播的途径。对于移动介质防护,利用文件过滤技术,根据系统特点做出相应配置,过滤所有可疑文件。内网U盘统一管理,实现身份认证,针对不同身份配置相应权限(可读、可写、可使用等),并对操作行为进行日志审计,消除USB在使用中可能出现的安全威胁,如BadUSB攻击、LNK攻击等。重视主机系统自身漏洞,定期对计算机设备进行漏洞扫描和补丁更新。
3.3.3 区域边界访问控制
纵向的区域之间需采用身份认证、通信加密、访问控制等技术,保障数据传输的保密、远程接入和资源访问的合规,杜绝越权访问。在配置访问控制策略时基于白名单模式仅供指定用户,源目的IP访问或工控协议通过,其他通信默认全部拒绝。外接终端设备,需要通过网络准入协议(如802.1x协议)与交换机联动进行接入身份认证,并在接入终端前进行安全性扫描。对于未安装杀毒软件或病毒库老旧的统一拒绝入网,分配至隔离区进行安全升级。对于远程访问,禁止直接将内部资源投放至互联网,须通过虚拟专用网(VPN)等远程安全接入产品,对接入用户进行鉴别,授予其所需权限。在生产层部署运维堡垒机,为运维人员集中开设运维账号,进行用户授权,实现运维集中管理,单点登录并审计操作过程。实时监控运维进程,阻断违规操作,为事后追溯提供不可抵赖依据。加强网络安全设备和计算机设备中密码管理,避免默认用户名口令和弱口令的使用,开启口令复杂度策略,并定期更换系统密码。严格控制访问账号和权限,以最小权限分配,原则上不应留有超级管理员,但对于无法删除默认账号的情况,需修改其密码并由相关负责人保管。
3.3.4 安全监控
参考文献:
[1] GB/T 22239 - 2019. 信息安全技术 网络安全等级保护基本要求[S].
摘自《工业控制系统信息安全专刊(第七辑)》