安全风险评估完成之后,就可以根据评估结果制定工业控制系统的安全解决方案。对业务网络进行安全分区或者安全域划分是常用的信息安全手段,也是企业建立纵深防御安全体系的基础。安全域指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。通俗来说,安全域是指具有相同业务要求和安全要求的IT系统要素的集合。通过网络安全域的划分,可以把复杂的大型网络系统安全问题转化为较小区域的更为单纯的安全保护问题,从而更好地控制网络安全风险,降低系统风险;根据不同安全域的安全等级要求,明确各区域的防护重点,可以将有限的安全设备投人到最需要保护的资产,提高安全设备利用率。
如图2所示,IEC 62443系列标准是由IEC/TC65/WG10与ISA99共同制定的适用于工业自动化和控制领域的权威安全标准,其中IEC 62443-3在防护策略中引入了区域和管道的方法,这实际上就是安全域的划分:通过横向分区,纵向分域,对控制系统的各个子系统进行分段管理,区域之间的通信靠专用管道执行,通过对管道的管理来阻挡区域之间的非法通信,保护网络区域和其中的设备。
图2 IEC62443中的安全分区和管道通信
在国内的工业控制领域,基于安全域理念的防护体系也已经很成熟,这其中典型代表就是电力二次系统的安全防护体系。原电监会颁布的《电力二次系统安全防护规定》中提出,电力二次系统安全防护工作应该坚持安全分区、专网专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全,如图3所示。
在安全域划分中,常用的安全技术包括防火墙、UTM、网闸等,但这些通用的安全技术无法针对工业控制协议进行深度检测,比如对Modbus、OPC、DNP3等协议字段级别的识别和防护。在工业控制系统中,还需采用支持工业控制协议的专用安全产品来弥补通用安全技术的不足,实现对网络边界的完全保护。
作为国内最早推出专业工控安全产品和安全服务的厂商,力控华康的工业防火墙和工业网络安全防护网关是目前比较成熟的工业控制网络边界防护产品,在钢铁冶金、石油化工、电力、市政等领域有着广泛的应用。
图3 电力二次系统的安全分区防护
力控华康HC-ISG工业防火墙是国内首款专门应用于工业控制安全领域的自主知识产权的防火墙产品,能有效针对SCADA、DCS、PLC、RTU提供安全保护。HC-ISG支持对常见工业控制协议的识别、过滤和深度防御,可以对工业协议内部的指令、寄存器等信息进行检查,防止应用层协议被篡改或破坏,保证工业协议通讯的可控性和准确性。
力控华康PSL工业网络安全防护网关是一款安全隔离产品,用于解决工业控制系统接入信息网络时的安全问题。PSL安全防护网关采用“2+1”的安全隔离技术架构,阻断网络间直接的TCP/IP连接,通过专有协议实现对OPC、Modbus等工业控制协议的封装和安全的数据传输。由于工业控制系统的特殊性,黑客攻击的最终目标往往并不是窃取信息,而是对生产过程进行破坏,甚至制造恶性事故。这种情况下,“安全执行系统”是否能够正常运行就成为确保不发生事故的最后一道防线。“震网病毒”就是典型的在破坏了信息安全之后又破坏功能安全的案例。“震网病毒”在侵入伊朗的铀浓缩工厂后,最主要的动作是控制离心机的转速,通过提高其转速而达到破坏离心机的效果。但是在离心机的转速不正常的情况下,控制系统的“安全执行系统”就会起作用,强制停止离心机的运转,这样伊朗的技术人员就能够迅速的发现异常。只有“安全执行系统”也被破坏或屏蔽,“震网病毒”才能够随意控制离心机的转速,达到大面积破坏的目的。“震网病毒”成功控制了伊朗工厂的“安全执行系统”,通过发送伪造的传感器数据来掩盖其攻击行为,使得破坏可以不被发现地持续进行。
国际电工协会制定的IEC61508标准:《电气、电子、可编程电子安全系统的功能安全》规范了满足安全相关系统功能安全的基本要求和规则,在IEC61508基础之上,IEC又制订了一系列的标准,其中IEC61511《过程工业安全仪表系统的功能安全》是关于过程工业系统功能安全的主要国际标准,可用于实际工作中功能安全相关操作的指引。
“安全执行系统”是确保工业控制系统安全的重要一环。同工业控制系统一样,现在的“安全执行系统”也离不开信息技术,例如出于安全监控等目的,安全仪表系统经常通过TCP/IP协议同其他系统连接,增加了被攻击的风险。信息安全和功能安全相结合,一方面指综合采用信息安全措施和功能安全措施来确保工业控制系统的安全,另一方面,也要采用信息安全措施来保护功能安全的“安全执行系统”。在工业控制系统内实施信息安全风险评估,不仅要评估控制系统的安全风险,还要评估“安全执行系统”的安全风险,识别信息安全风险可能对功能安全带来的影响;在工业控制系统内实施信息安全策略,不仅要保护控制系统本身,还要保护控制系统的“安全执行系统”,否则“行百里者半九十”,容易出现安全短板。在IT系统的信息安全保障体系中,纵深防御是比较常见的一种安全保护模型。纵深防御是指综合利用安全分区、边界保护、威胁检测、安全审计等多种安全手段,层层制定安全防护策略,确保核心业务系统的信息安全。工业控制系统很早就借鉴了IT系统信息安全建设的思路。早在2009年,美国国土安全部发布了《利用纵深防御策略提升工业控制系统的网络安全性》指导文件,用于指导美国国内重要基础设施和流程工业企业的工业控制系统安全实践。图4是采用纵深防御体系的工业控制系统的网络结构。在这份指导性文件中,将工业企业的网络划分为不同的保护区域,并将控制系统中对外提供服务的设施进一步划分出不同的DMZ区。对DMZ区的所有访问,利用IT防火墙和PLC/现场级工业防火墙来提供足够强度的安全防护,不允许绕过防火墙进行操作;并进一步通过部署入侵检测系统(IDS)、安全事件管理(SIEM)来提供对网络威胁的识别和告警,以弥补单纯防护手段的不足。
图4 采用了纵深防御体系的工业控制系统(美国国土安全部)
2010年“震网病毒”事件之后,工业控制系统的安全性问题开始为大众所关注,各大控制系统厂商、工控安全厂商也纷纷推出了自己的安全解决方案。比如西门子提出的基于纵深防御理念的工业控制系统保护模型,通过部署多层次的、具有不同针对性的安全措施,来确保关键的工业自动化控制过程与应用的安全;同时,其针对整个工业信息安全的防护体系也分为工厂安全、工厂IT安全和访问控制多个层级,层层保护,纵深加强。
在纵深防御的理念已经成为业界主流的情况下,对“纵深”的不同理解成为防护是否有效的关键。在笔者看来,在工业控制系统内真正有效的纵深防御体系应该具备以下特点:(1)对“症”下药而非生搬硬套。工业控制系统的使用场景有别于传统IT系统,不能将传统IT安全的一套照搬过来。比如在边界防护中,需要考虑工业控制系统对实时性的要求,选择有足够性能支撑的防火墙。而在使用IDS来进行威胁侦测时,如果使用人员不具备对安全事件的分析和识别能力,那么IDS频繁的事件上报将会是一种灾难。必须针对工业控制系统的使用环境,调整并优化安全策略,使各种安全技术能够真正有效地发挥作用。
(2)防护、检测技术和响应手段相结合。针对工业控制系统中的攻击一般都是高级可持续性威胁(APT),潜伏周期长,攻击手段复杂。针对这种类型的威胁和攻击,采用单纯的防御措施是远远不够的,经典安全理论中的防护技术(Protection)、检测技术(Detection)和响应手段(Response)缺一不可。防护技术(比如防火墙)提供一定时间的安全缓冲,而通过检测手段和响应措施,可以弥补防护技术的不足。典型的检测手段包括:漏洞扫描和修补、入侵检测、日志分析、网络行为审计、安全事件管理等。
(3)需要建立安全管理策略和规范。安全是“三分技术、七分管理”,一个完整的纵深防御体系,不能缺少安全管理和规范的内容。相关统计数据显示,只有20%的数据破坏是公司外部威胁导致,而80%的安全威胁是来自公司内部的,其中包括操作失误、故意破坏和知识缺乏等。针对这样的问题,企业内部信息安全通报和响应机制的建立、针对员工安全意识的培训、制定工控系统安全操作规范等,都是行之有效的措施。
