工业控制系统(Industrial Control System,以下简称“ICS”)是确保工业基础设施自动运行、过程控制与监控的业务流程管控系统的统称,由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成。数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器系统(PLC)等广泛应用于制造业各领域,对生产设备的正常运行发挥着至关重要的作用。
工业控制系统走向开放互联
近年来,随着制造业数字化转型逐步深入,物联网、云计算、大数据、人工智能等新一代信息技术加速与实体经济深度融合,ICS也逐步走向开放互联,传统信息安全威胁不可避免地扩散到工业控制领域,ICS安全防护面临着日益严峻的挑战。
ICS安全作为国家网络空间安全的重要组成部分,受到党中央、国务院的高度重视。《国家网络空间战略》《中华人民共和国网络安全法》高度概括了工业安全对于保障关键国家信息基础设施正常运行、社会稳定和国家安全的重大意义,明确了指导原则;《工业控制系统信息安全防护指南》指出,要从管理、技术等方面做好工控安全防护工作。
目前,产业界也已基于应用实践开展了诸多ICS安全防护的标准化工作。在国际标准层面,IEC 62443系列标准从通用要求、策略和规程、系统级措施、组件级措施等方面,关注工业过程测量、控制和自动化网络与系统的信息安全;IEC 62351系列标准重点关注电力系统管理与相关的信息交互数据和通信安全;ISO/IEC 27000系列标准重点关注信息安全管理系统的安保要求和网络信息安全。
我国ICS安全标准体系也在不断完善,全国信息安全标准化技术委员会(编号TC260)、全国电力系统管理及其信息交换标准化技术委员会(编号TC82)、全国工业过程测量和控制标准化技术委员会(编号TC124)以及一些行业标准化组织,从安全要求、安全等级、安全措施、安全测评等方面开展了相关标准化工作,并发布了一批国家标准及行业标准,对制造企业ICS安全防护具有重要的指导和规范作用。
工业控制系统的脆弱性及安全风险分析
根据ANSI/ISA-95企业管理系统与控制系统架构模型,企业制造系统“自底向上”依次可分为现场设备层、现场控制层、过程监控层、制造执行层、企业管理层等。在制造业数字化转型过程中,IT、OT技术深度融合,ICS大量使用TCP/IP协议,工控网和企业管理网紧密联系,极大地促进了企业制造系统各层级之间的集成,使得传统企业资源管理系统(ERP)、过程控制系统(PCS)、制造执行系统(MES)与现场设备设施有机地融为一体。
当前,ICS正经历从封闭系统向开放系统、从独立网络解决方案向集成化网络互联解决方案、从生产部门主导运营向IT部门深度协同运营、从单一安全机制向综合安全防控机制、从面向产品的服务到面向解决方案的服务等一系列转变。传统ICS在体系架构、安全策略、软件、通信协议、平台、网络等方面,存在一些显而易见的脆弱性。伴随着越来越多的系统集成、设备互联,ICS的脆弱性进一步放大,使得制造业企业面临诸多方面的工控安全风险。
体系架构缺乏安全设计
ICS设计之初主要考虑系统可用性,相较而言其保密性、安全性优先级较低。很多制造业企业的OT网络与现场网络间弱隔离,控制设备、编程软件、组态软件以及工业协议等普遍缺乏身份认证、授权、加密等安全举措,通信协议设计未考虑保密和验证机制。TCP/IP协议和OPC协议等通用协议越来越多地应用于ICS网络中,传统IT防火墙几乎无法有效保障其安全性。
系统及设备存在安全漏洞
根据CNVD统计,近几年ICS漏洞呈剧增趋势,涉及工控领域的主流厂商,而一些安全厂商及黑客组织掌握的漏洞远超该统计数量。很多工控关键设备、控制软件、应用软件被预留了“后门”,能够对生产数据进行窃取,甚至发起攻击。工业软件的多样性使得ICS无法形成统一的安全防护规范,面向网络应用时还要开放端口,常规IP防火墙成效甚微。工业主机大多基于Windows平台,企业从过程控制系统独立性和系统运行稳定性角度考量,一般存在系统版本老旧、系统漏洞众多且补丁更新不及时、安全配置基线无加固、杀毒软件兼容性不足、恶意代码防范能力弱等问题,使得攻击工业主机在技术上相对更加容易。因此,工业主机成为攻击的首要目标,这为ICS安全埋下了隐患。
ICS缺乏有效安全防护
在工业生产环境中,越来越多的智能传感器、生产设备、应用系统与办公网、互联网等第三方网络进行互联,网络边界越来越模糊。很多工程师站不安装杀毒软件,即使装了杀毒软件,病毒库更新也不及时。企业在日常维护过程中经常存在笔记本电脑、U盘等移动存储介质使用不规范或未进行严格访问控制的情况,缺乏完整有效的安全策略和管理流程,导致一些病毒、木马、蠕虫等恶意代码程序通过移动存储介质进入到工业生产环境中,这也给ICS安全带来很大威胁。
安全管理制度体系不健全
制造企业的产线通常由多个设备商、集成商共同建设,并依靠第三方维护,在ICS的长生命周期中,软硬件资产分布于不同功能模块,在进行系统集成、优化配置后往往更新不及时,与实际资产台账存在差异。很多企业建立了管理制度及生产管理规范,但针对ICS的管控制度和措施不健全,无法有效覆盖规划、建设、运行、维护、报废全生命周期,如移动存储介质使用弱管控,补丁、防病毒和访问控制策略定义不完善,信息安全责任制不明确,信息安全审计机制缺乏,管理界面不清晰,甚至工业交换机、边界防护网闸、防火墙属于“三不管地界”,这些都给ICS安全埋下了很大隐患。
安全运维和应急响应机制不健全
很多制造企业委托设备厂商、系统集成商等第三方服务商开展运维工作,现场运维过程粗放式管理,对于运维人员在运维过程中出现的违规操作、误操作、窃取生产数据等行为无监控、无审计,出现事故后无法追踪溯源。同时,很多企业的既有安全应急响应机制往往是针对生产安全事故设立的,对于网络安全事件的考虑不充分,相关网络安全事件的应急预案及处置流程缺失。
安全投入和人员意识有待提升
对于制造企业而言,网络安全投入占比较低,ICS安全投入则更低,安全投入不足难以保证全量的安全防护;同时由于安全技术门槛相对高,生产人员甚至一些管理人员缺乏充分的安全意识,针对ICS的安全教育、培训等也相对不足。在数字化转型背景下,ICS安全面临新的态势,理论及实践层面的一些知识技能需要以更为有效的方式在制造业进行推广普及。
综上所述,ICS系统的脆弱性给制造企业带来了多方面的安全技术和管理风险,要做好ICS安全防护工作,需要从安全防护技术应用和安全防护体系建设两个方面协同并进。
部署应用ICS安全防护技术
应对ICS安全风险,安全技术是重中之重。常见的ICS安全技术包括以下五大类:鉴别与授权技术,过滤、阻止、访问控制技术,编码技术与数据确认技术,管理、审计、测量、监控和检测技术,以及物理安全控制技术。
鉴别与授权技术
鉴别与授权是ICS访问控制的基本要求,一般工业企业可根据岗位职责向不同用户分配访问权限,使用口令鉴别、智能卡或令牌鉴别、生物鉴别、位置信息鉴别、设备互联互通鉴别等手段对系统访问权限进行约束。
过滤、阻止、访问控制技术
针对已授权设备或系统的信息流量,企业可通过过滤、阻止、访问控制技术进行指导或调节。常见的做法包括:配置工业防火墙进行分区管控,深度解析并跟踪应用层数据流量;在工作站或控制器部署基于主机的状态包防火墙解决方案,用以控制进出特定设备的流量;通过将物理网络划分为更小的逻辑网络,增加性能、提升可管理性。
编码技术与数据确认技术
制造企业可以使用数据编码技术对授权信息进行编解码,使用数据确认技术对工业过程数据的准确性和完整性进行保护,常见的有对称密钥编码技术、公钥编码与密钥分配技术、虚拟专网技术等。其中,虚拟专网技术不仅可以保护网络边界安全,也是一种常用的网络互联手段,SSL VPN已广泛应用于控制系统。
管理、审计、测量、监控和检测技术
制造企业通过对系统日志的审核,可以发现安全事件发生的踪迹、文件及攻击入口,通过部署在工作站、服务器、网络边界的病毒和恶意代码检测系统,可以对非正常活动进行主动检测;通过入侵检测可以收集ICS关键点信息并进行分析;通过入侵防护技术则可以主动、智能地开展入侵检测、防范。漏洞扫描技术通常用于对ICS恶意入侵者或在系统遭到破坏时进行检测。辩论和分析工具则可以帮助企业对基本网络活动中的非正常网络流量进行分析。
物理安全控制技术
物理安全技术主要采用物理措施限制对ICS信息资产的物理访问,常见的有摄像机、传感器等访问监视系统,以及围栏、门禁等访问控制系统。通过制定安全方针、采用安全最佳实践等,可以有效减小ICS安全风险。
系统开展ICS安全防护管理水平提升
为指导制造企业持续开展ICS设计、建设、运维全生命周期的信息安全防护工作,切实提升企业安全防护水平,工信部印发了《工业控制系统信息安全防护指南》,全国信息安全标准化技术委员会(编号TC260)也进一步组织“产学研用”各方研制了《信息安全技术工业控制系统信息安全防护能力成熟度模型》(GB/T 41400-2022)国家标准。工控安全防护能力成熟度模型如图1所示,由安全能力要素、能力成熟度等级和能力建设过程3个维度构成,安全能力要素包括机构建设、制度流程、技术工具、人员能力4个方面,能力成熟度等级将企业工控安全防护能力定义为基础建设级、规范防护级、集成管控级、综合协同级、智能优化级5个级别。同时,依据IEC 62443关于ICS层次模型的定义,能力建设过程由核心保护对象安全和通用安全两部分组成。核心保护对象安全包含工业设备安全、工业主机安全、工业网络边界安全、工业控制软件安全、工业数据安全5个方面,通用安全包含安全规划与机构、人员管理与培训、物理与环境安全、监测预警与应急响应、供应链安全保障5个方面。上述标准对于企业全方位开展ICS安全防护工作具有重要指导意义。
基于此,企业在开展ICS安全防护过程中,可以站在管理视角,做好如下几方面工作。
开展工控安全水平评估
企业可通过安全评估,对工控资产进行识别、梳理,完善企业资产台账,基于资产进行漏洞无损扫描、基线检查以及其他脆弱性识别、梳理、分析,进一步对资产、网络流量、业务、日志等进行威胁识别、梳理、分析。
图1工控安全防护能力成熟度模型
强化工控安全技术应用
企业可基于初步构建的工控安全防护技术体系,通过在工控网络边界部署工业防火墙、完整配置安全策略、合理划分网络隔离区域、合理设置网络端口、及时更新系统补丁、安装专业安全防护工具等方式保护ICS安全。基于安全评估结果,从架构优化、安全通信、边界防护、访问控制、安全接入、身份认证、监测审计、工业主机防护、安全运维以及监测预警等方面进行针对性防护,落实安全策略,建立安全技术防御体系。
完善安全防护管理机制
数字化转型背景下,企业已初步认识到ICS安全防护工作的重要性,但工控安全管理制度体系仍需进一步完善。建立科学完备的ICS安全防护管理体系,需要综合考虑安全策略和制度、管理机构和人员、安全建设与运维等。企业需做好安全规划,明确企业方针、目标,建立工控安全组织架构,通过安全管控责任制统筹协调工控安全相关工作;还应制定覆盖组织整体的分层工控安全管理制度体系,包括管理办法和管理制度、操作规范、安全管理专项措施、管理流程、操作流程以及配套管理表单等。
增强企业员工安全意识
从全员参与的角度看,企业工控安全意识不足的现象仍较为突出。工控安全防护能力建设是每位员工的责任,提升自身工控安全防护意识是每位员工的义务。在管理实践中,企业应不断完善工控安全教育培训制度,通过持续的培训、教育、宣贯等工作,向各层级、各职能人员普及工控安全防护实践知识,特别是通过开展一些实例化安全防护教育,确保工控安全防护规章制度在执行过程中“不打折”。只有全员参与,全面树立信息安全观念、增强信息安全意识,企业才能构筑坚实的信息安全防护“堡垒”。
开展贯标达标工作,以评促建
《信息安全技术工业控制系统信息安全防护能力成熟度模型》(GB/T 41400-2022)国家标准立足ICS安全防护设计、建设、运维全生命周期,为企业开展ICS安全防护工作提供了全方位视角,有助于引导企业统筹发展和安全,指导企业工控安全防护能力的逐级提升,为企业构建工控安全管理和技术防护体系提供低成本且有效的途径,并量化评估企业安全防护水平。通过开展工控安全防护能力贯标工作,企业在启动、宣贯、设计、实施、核验等阶段中,可以进一步完善工控安全建设工作方案,加深对工控安全工作的体系化认识,准确把握发展现状及自身定位,选取合理技术路线及针对性的工控安全防护能力提升方案。通过第三方机构的核验,可以进一步通过以评促建、以评促转,提升企业工控安全防护能力。
在数字化转型的大背景下,工业控制系统愈发成为制造业的核心,其安全是制造业提质降本增效的重要保障,事关制造强国和网络强国战略的实施。目前,我国在政策、标准、技术、产业多层次构建了工控安全防护的基础,但由于工控系统的脆弱性,制造业仍面临较多工控安全风险。制造企业应充分认识当前存在的问题,基于科学的方法论,从安全防护技术水平、安全防护管理水平等方面构筑工业企业安全管理防线,完善综合技术防护体系,扎实提升工控安全防护整体水平。