今日頭條
官方微信
官方抖音
資訊頻道一 引言
隨著工業(yè)化與信息化深度融合,以工業(yè)互聯(lián)網(wǎng)、信息物理系統(tǒng)、制造業(yè)創(chuàng)新網(wǎng)絡等為特征的智能工業(yè)將引領我國工業(yè)邁入轉型發(fā)展的新時代,工業(yè)控制系統(tǒng)(ICS)已成為國家關鍵基礎設施的神經(jīng)中樞,其安全防護至關重要。
工業(yè)控制系統(tǒng)包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、集散控制系統(tǒng)(DCS)和其它控制系統(tǒng),如在工業(yè)部門和關鍵基礎設施中經(jīng)常使用的可編程邏輯控制器(PLC)。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業(yè)。
工業(yè)控制系統(tǒng)的安全包括信息安全(Security)和功能安全(Safety)。信息安全是指保證工業(yè)控制系統(tǒng)的信息可用性、完整性、保密性,防范非授權的竊取、破壞。功能安全是指保證工業(yè)控制系統(tǒng)或控制設備執(zhí)行正確的功能,當失效或故障發(fā)生時,控制設備和工業(yè)控制系統(tǒng)仍需保持安全條件或者進入到安全狀態(tài)。
因此,工業(yè)控制系統(tǒng)的信息安全是用于構建工業(yè)控制系統(tǒng)多區(qū)域多邊界的防護結構,形成工業(yè)控制系統(tǒng)的信息安全防護屏障;工業(yè)控制系統(tǒng)的功能安全是工業(yè)控制系統(tǒng)的最終防護屏障,當工業(yè)控制系統(tǒng)外圍防護被突破后,為避免安全事故發(fā)生而采取降低傷害的概率和嚴重程度的安全手段。
《中華人民共和國網(wǎng)絡安全法》,在第二十一條規(guī)定“國家實行網(wǎng)絡安全等級保護制度”。因此,需要綜合采納信息安全和功能安全的保護思想,對工業(yè)控制系統(tǒng)進行網(wǎng)絡安全等級保護,即通過采取必要措施,防范對工業(yè)控制系統(tǒng)網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使工業(yè)控制系統(tǒng)網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài),以及保障工業(yè)控制系統(tǒng)網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力。
二
2.1 工業(yè)控制系統(tǒng)的典型層次模型
工業(yè)控制系統(tǒng)主要由過程級、操作級以及各級之間和內部的通信網(wǎng)絡構成,對于大規(guī)模的控制系統(tǒng),也包括管理級。過程級包括被控對象、現(xiàn)場控制設備和測量儀表等,操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務器等,管理級包括生產管理系統(tǒng)和企業(yè)資源系統(tǒng)等,通信網(wǎng)絡包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場總線等。
依據(jù)國際標準IEC 62443-1-1,本文給出工業(yè)控制系統(tǒng)參考模型,如圖1所示。工業(yè)控制系統(tǒng)參考模型根據(jù)工業(yè)控制系統(tǒng)的特點及工業(yè)典型層次模型架構,給出了工業(yè)控制系統(tǒng)所涵蓋的層級范圍。
企業(yè)資源層,主要包括ERP系統(tǒng)功能單元,用于為企業(yè)決策層員工提供決策運行手段。
生產管理層,包括管理生產所需的工作流程所涉及的主要功能和系統(tǒng),例如調度生產、生產計劃、可靠性保障和現(xiàn)場控制業(yè)務優(yōu)化等功能系統(tǒng)。主要包括MES生產管理系統(tǒng)、EMS能源管理系統(tǒng)、生產調度系統(tǒng)等系統(tǒng),主要用于將決策層生產計劃等信息轉化成車間的生產調度計劃,并將計劃細化到作業(yè)工位。依據(jù)底層控制系統(tǒng)提供的設備、人員、物料等實時數(shù)據(jù),進行分析、計算與處理。
過程監(jiān)控層,包括監(jiān)視和控制過程所涉及的功能和系統(tǒng),過程監(jiān)控層系統(tǒng)為提供操作員人機界面功能、提供報警和過程歷史記錄收集等功能的系統(tǒng)。主要用于對生產過程中不同方面數(shù)據(jù)進行采集與集中監(jiān)控,實現(xiàn)對工業(yè)生產的監(jiān)視、控制、分析、報警等功能。
現(xiàn)場控制層,包括直接用于工業(yè)控制過程的安全保護系統(tǒng)和基本控制系統(tǒng),如用以完成連續(xù)控制、順序控制、批量控制和離散控制的工業(yè)自動化控制系統(tǒng)。直接用于工業(yè)控制過程的基本控制系統(tǒng)包括但不限于DCS、PLC、RTU等,安全保護系統(tǒng)如SIS安全儀表系統(tǒng)等。
現(xiàn)場設備層,包括實際參與工業(yè)生產和業(yè)務的工業(yè)控制物理過程,該層涉及的生產設施為直接連接到工藝和工業(yè)設備且受現(xiàn)場控制層控制系統(tǒng)控制的傳感器和執(zhí)行器等。
2.2 工業(yè)控制系統(tǒng)各層次涵蓋的典型對象
結合國際標準IEC 62443-1-1和工業(yè)控制系統(tǒng)各層次的典型對象類型,本文給出了GB/T 22239-2019《信息安全技術網(wǎng)絡安全等級保護基本要求》(以下簡稱為“GB/T 22239-2019”)中工業(yè)控制系統(tǒng)各層級所覆蓋的典型生產控制系統(tǒng)和裝置,供工業(yè)控制系統(tǒng)安全建設時參考使用。
工業(yè)控制系統(tǒng)各層級所覆蓋的典型生產控制系統(tǒng)和裝置如表1所示。
構建工業(yè)控制系統(tǒng)的綜合安全防護體系時,可以依據(jù)工業(yè)控制系統(tǒng)的層級和安全保護級別采取合適的安全保護措施。
三 工業(yè)控制系統(tǒng)的等級保護對象
工業(yè)控制系統(tǒng)是非常復雜的系統(tǒng),需要根據(jù)工業(yè)控制系統(tǒng)的規(guī)模、功能以及業(yè)務主體來劃分工業(yè)控制系統(tǒng)的等級保護對象和明確網(wǎng)絡安全責任主體。
一般來說,工業(yè)控制系統(tǒng)主要包括現(xiàn)場采集/執(zhí)行、現(xiàn)場控制、過程控制和生產管理等特征要素。其中,現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素需作為一個整體對象定級,各要素不單獨定級;生產管理要素宜單獨定級。
對于大型工業(yè)控制系統(tǒng),可以根據(jù)系統(tǒng)功能、責任主體、控制對象和生產廠商等因素劃分為多個定級對象。
3.1 工業(yè)控制系統(tǒng)等級保護對象的縱向劃分方法
在確定工業(yè)控制系統(tǒng)等級保護對象的時候,企業(yè)資源層、生產管理層的構成要素可以分別作為單獨的等級保護對象,而過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層的構成要素應作為一個整體對象,各要素不單獨定級。這是從縱向(功能層次)劃分工業(yè)控制系統(tǒng)的等級保護對象,如圖2所示。
3.2 工業(yè)控制系統(tǒng)等級保護對象的橫向劃分方法
如果工業(yè)控制系統(tǒng)規(guī)模很大,并且橫向上的業(yè)務責任主體和系統(tǒng)功能也不同,可以在橫向上根據(jù)工業(yè)控制系統(tǒng)業(yè)務的責任主體和工業(yè)控制系統(tǒng)的不同功能、控制對象的不同范圍等因素將現(xiàn)場設備層、現(xiàn)場控制層和過程監(jiān)控層進一步劃分成多個等級保護對象。這是從橫向(業(yè)務責任主體+功能層次)劃分工業(yè)控制系統(tǒng)的等級保護對象,如圖3所示。
四 工業(yè)控制系統(tǒng)的網(wǎng)絡安全等級保護
4.1 網(wǎng)絡安全等級保護的整體安全保護能力要求
工業(yè)控制系統(tǒng)的網(wǎng)絡安全等級保護所遵循的標準體系包括以下國家標準:
(1)計算機信息系統(tǒng)安全保護等級劃分準則(GB 17859-1999)
(2)網(wǎng)絡安全等級保護定級指南(GB/T 22240-2020)
(3)網(wǎng)絡安全等級保護基本要求(GB/T 22239-2019)
(4)網(wǎng)絡安全等級保護安全設計要求(GB/T 25070-2019)
(5)網(wǎng)絡安全等級保護測評要求(GB/T 28448-2019)
(6)網(wǎng)絡安全等級保護測評過程指南(GB/T 28449-2018)
(7)網(wǎng)絡安全等級保護實施指南(GB/T 25058-2019)
網(wǎng)絡安全等級保護系列標準首次明確將工業(yè)控制系統(tǒng)納入了等級保護范圍內,并且構成了“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”支持下的“一個中心、三重防護”體系架構。
在網(wǎng)絡安全等級保護系列標準里,GB/T 22239-2019《信息安全技術網(wǎng)絡安全等級保護基本要求》是核心標準,可以依據(jù)該標準從技術類和管理類來構建不同安全保護等級的工業(yè)控制系統(tǒng)綜合防護體系。技術類包括:安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心;管理類包括:安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
依據(jù)不同的安全保護等級,工業(yè)控制系統(tǒng)需要具有相適應的安全保護能力,需要考慮以下總體性要求,保證工業(yè)控制系統(tǒng)的整體安全保護能力。在GB/T 22239-2019中給出了關于等級保護對象整體安全保護能力的要求,工業(yè)控制系統(tǒng)可以參考等級保護對象整體安全保護能力構建工業(yè)控制系統(tǒng)的整體安全保護能力。
GB/T 22239-2019對等級保護對象的整體安全保護能力要求如下:
(1)構建縱深的防御體系:從技術和管理兩個方面采取相應的安全要求,在采取由點到面的各種安全措施時,在整體上還應保證各種安全措施的組合從外到內構成一個縱深的安全防御體系,保證等級保護對象整體的安全保護能力。應從通信網(wǎng)絡、網(wǎng)絡邊界、局域網(wǎng)絡內部、各種業(yè)務應用平臺等各個層次落實GB/T 22239-2019提到的各種安全措施,形成縱深防御體系。
(2)采取互補的安全措施:GB/T 22239-2019以安全控制的形式提出安全要求,在將各種安全控制落實到特定等級保護對象中時,應考慮各個安全控制之間的互補性,關注各個安全控制在層面內、層面間和功能間產生的連接、交互、依賴、協(xié)調、協(xié)同等相互關聯(lián)關系,保證各個安全控制共同綜合作用于等級保護對象上,使得等級保護對象的整體安全保護能力得以保證。
(3)保證一致的安全強度:GB/T 22239-2019將安全功能要求,如身份鑒別、訪問控制、安全審計、入侵防范等內容,分解到等級保護對象的各個層面,在實現(xiàn)各個層面安全功能時,應保證各個層面安全功能實現(xiàn)強度的一致性。應防止某個層面安全功能的減弱導致整體安全保護能力在這個安全功能上消弱。例如,要實現(xiàn)雙因子身份鑒別,則應在各個層面的身份鑒別上均實現(xiàn)雙因子身份鑒別;要實現(xiàn)基于標記的訪問控制,則應保證在各個層面均實現(xiàn)基于標記的訪問控制,并保證標記數(shù)據(jù)在整個等級保護對象內部流動時標記的唯一性等。
(4)建立統(tǒng)一的支撐平臺:GB/T 22239-2019針對較高級別的等級保護對象,提到了使用密碼技術、可信技術等,多數(shù)安全功能(如身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性等)為了獲得更高的強度,均要基于密碼技術或可信技術,為了保證等級保護對象的整體安全防護能力,應建立基于密碼技術的統(tǒng)一支撐平臺,支持高強度身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性等安全功能的實現(xiàn)。
(5)進行集中的安全管理:GB/T 22239-2019針對較高級別的等級保護對象,提到了實現(xiàn)集中的安全管理、安全監(jiān)控和安全審計等要求,為了保證分散于各個層面的安全功能在統(tǒng)一策略的指導下實現(xiàn),各個安全控制在可控情況下發(fā)揮各自的作用,應建立集中的管理中心,集中管理等級保護對象中的各個安全控制組件,支持統(tǒng)一安全管理。
4.2 根據(jù)工業(yè)控制系統(tǒng)的應用場景選取合適的安全保護措施
在GB/T 22239-2019中,明確提出了因為業(yè)務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態(tài)出現(xiàn),形態(tài)不同的等級保護對象面臨的威脅有所不同,安全保護需求也會有所差異。為了便于實現(xiàn)對不同級別的和不同形態(tài)的等級保護對象的共性化和個性化保護,等級保護要求分為安全通用要求和安全擴展要求。
安全通用要求針對共性化保護需求提出,等級保護對象無論以何種形式出現(xiàn),必須根據(jù)安全保護等級實現(xiàn)相應級別的安全通用要求;安全擴展要求針對個性化保護需求提出,需要根據(jù)安全保護等級和使用的特定技術或特定的應用場景選擇性實現(xiàn)安全擴展要求。安全通用要求和安全擴展要求共同構成了對等級保護對象的安全要求。
由于工業(yè)控制系統(tǒng)通常是對可用性要求較高的等級保護對象,工業(yè)控制系統(tǒng)中的一些裝置如果實現(xiàn)特定類型的安全措施可能會終止其連續(xù)運行,原則上安全措施不應對高可用性的工業(yè)控制系統(tǒng)基本功能產生不利影響。例如用于基本功能的賬戶不應被鎖定,甚至短暫的也不行;安全措施的部署不應顯著增加延遲而影響系統(tǒng)響應時間;對于高可用性的控制系統(tǒng),安全措施失效不應中斷基本功能等。
經(jīng)評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關條款時,應進行安全聲明,分析和說明此條款實施可能產生的影響和后果,以及使用的補償措施。
五 總結
GB/T 22239-2019《信息安全技術網(wǎng)絡安全等級保護基本要求》是網(wǎng)絡安全等級保護的核心標準,在該標準中對工業(yè)控制系統(tǒng)的安全要求為:安全通用要求和工業(yè)控制系統(tǒng)安全擴展要求。
工業(yè)控制系統(tǒng)的安全擴展要求包括5個層面和9個控制點,這5個層面和9個控制點內容分別為:
(1)安全物理環(huán)境:室外控制設備物理防護。
(2)安全通信網(wǎng)絡:網(wǎng)絡架構、通信傳輸。
(3)安全區(qū)域邊界:訪問控制、撥號使用控制、無線使用控制。
(4)安全計算環(huán)境:控制設備安全。
(5)安全建設管理:產品采購和使用、外包軟件開發(fā)。
工業(yè)控制系統(tǒng)構成的復雜性,組網(wǎng)的多樣性,以及等級保護對象劃分的靈活性,給網(wǎng)絡安全等級保護基本要求的使用帶來了選擇的需求。在GB/T 22239-2019中給出了工業(yè)控制系統(tǒng)功能層次模型和標準相關內容的映射關系。
工業(yè)控制系統(tǒng)通常是對可用性要求較高的等級保護對象,原則上安全措施不應對高可用性的工業(yè)控制系統(tǒng)基本功能產生不利影響,即統(tǒng)籌考慮業(yè)務安全和網(wǎng)絡安全。工業(yè)控制系統(tǒng)的具體安全措施需要結合具體的應用場景和實時性要求進行具體分析,在保障業(yè)務安全的前提下,通過采取必要安全措施,防范對工業(yè)控制系統(tǒng)網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使工業(yè)控制系統(tǒng)網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài),以及保障工業(yè)控制系統(tǒng)網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力。
參考文獻
[1]GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則. 北京:中國標準化出版社,1999.
[2]GB/T 22240-2020 信息安全技術 網(wǎng)絡安全等級保護定級指南. 北京:中國標準化出版社,2020.
[3]GB/T 22239-2019 信息安全技術 網(wǎng)絡安全等級保護基本要求. 北京:中國標準化出版社,2019.
[4]GB/T 28448-2019信息安全技術 網(wǎng)絡安全等級保護測評要求 . 北京:中國標準化出版社,2019.
[5]GB/T 28449-2018信息安全技術 網(wǎng)絡安全等級保護測評過程指南. 北京:中國標準化出版社,2018.
[6]GB/T 25070-2019 信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求. 北京:中國標準化出版社,2019.
作者簡介:
陶源:博士,公安部第三研究所副研究員、高級測評師,全國網(wǎng)絡安全等級測評師授課專家(負責講解物聯(lián)網(wǎng)、工控系統(tǒng)和大數(shù)據(jù)安全等課程)。
來源:工業(yè)菜園
北京市公安局海淀分局備案號:11010802023656號