1506500144101826

详解《工业控制系统信息安全防护指南》

发布日期:2017-10-18 22:36:56 点击次数:

11月3日,工信部网站正式发布“工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知” (以下简称通知),牛君第一时间联系威努特的技术专家对通知进行了解读,以下是全文:

  详解《工业控制系统信息安全防护指南》.jpg

  制定《指南》的背景

  通知中明确“为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)(以下简称意见),保障工业企业工业控制系统信息安全,工业和信息化部制定《工业控制系统信息安全防护指南》。”可以看出,《工业控制系统信息安全防护指南》(以下简称指南)是根据《意见》制定的。

  《意见》是根本,是指导思想,是“道”的层面;《指南》是细节,是具体方法,是“术”的层面。这个《指南》的形成周期很长,为什么能在《意见》后面很快发出,前期是做过了很多工作的,其中威努特也提过一些意见并有幸被采纳。

  《意见》中相关要求

  追本溯源,要读懂《指南》,先要了解《意见》中有哪些相关要求,在“七大任务”中专门有一条“提高工业信息系统安全水平”,其中明确要求“实施工业控制系统安全保障能力提升工程,制定完善工业信息安全管理等政策法规,健全工业信息安全标准体系,建立工业控制系统安全风险信息采集汇总和分析通报机制,组织开展重点行业工业控制系统信息安全检查和风险评估。组织开展工业企业信息安全保障试点示范,支持系统仿真测试、评估验证等关键共性技术平台建设,推动访问控制、追踪溯源、商业信息及隐私保护等核心技术产品产业化。以提升工业信息安全监测、评估、验证和应急处置等能力为重点,依托现有科研机构,建设国家工业信息安全保障中心,为制造业与互联网融合发展提供安全支撑。”

  工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要求编制的《工业和信息化部关于印发信息化和工业化融合发展规划(2016-2020年)》中进一步明确,在十三五期间,我国两化融合面临的机遇和挑战第四条就是“工业领域信息安全形势日益严峻,对两化融合发展提出新要求”,其“七大任务”中也提到要“逐步完善工业信息安全保障体系”,“六大重点工程”中之一就是“工业信息安全保障工程”。

  以上这些,就是政策层面的指导思想和要求。

  《指南》条款详细解读

  《指南》整体思路借鉴了等级保护的思想,具体提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地。我们从《指南》要求的主体、客体和方法将十一条分为三大类

  a、针对主体目标(法人或人)的要求,包含第十条供应链管理、第十一条人员责任:

  1.10 供应链管理

  (一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。

  解读:工业控制系统的全生产周期的安全管理过程中,采用适合于工业控制环境的管理和服务方式,要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点,且对安全防护体系和工业控制系统安全防护的相关法律法规要有深入的理解和解读,保证相应法律法规的有效落实,并以合同的方式约定服务商在服务过程中应当承担的责任和义务。

  (二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。

  解读:与工业控制系统安全服务方签定保密协议,要求服务商及其服务人员严格做好保密工作,尤其对工业控制系统内部的敏感信息(如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据等)进行重点保护,防范敏感信息外泄。

  1.11落实责任

  通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。

  解读:设立工业控制系统安全管理工作的职能部门,负责工业控制系统全生命周期的安全防护体系建设和管理,明确安全管理机构的工作范围、责任及工作人员的职责,制定工业控制系统安全管理方针,持续实施和改进工业控制系统的安全防护能力,不断提升工业控制系统防攻击和抗干扰的水平。

  b、针对客体目标(被保护的资产或数据)的安全要求,包含第八条资产安全、第九条数据安全:

  1.8 资产安全

  (一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置原则。

  解读:为实现和保持对组织机构资产的适当保护,确保所有资产可查,应建设工业控制系统资产清单,并明确资产使用及处置原则,配置资产清单,定期更新清单库,并对资产进行分类。

  所有资产应指定责任人,并且明确责任人的职责,明确资产使用权。制定资产在生产、调试、运行、维护、报废等过程中的处置原则。

  (二)对关键主机设备、网络设备、控制组件等进行冗余配置。

  解读:在系统运行过程中,可能出现的宕机、中断、死机、病毒攻击、自然灾害等资产被侵害的事件发生,导致系统无法正常工作,给企业和社会带来损失,甚至威胁到员工生命和财产安全。对关键主机设备、网络设备、控制组件等进行冗余配置,防止重大安全事件的发生。

  1.9 数据安全

  (一)对静态存储数据和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。

  解读:在数据创建、使用、分发、共享、销毁的整个生命周期中,对重要数据如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据等应进行保护,如加密技术、安全存储介质等。数据遭受破坏时及时采取必要的恢复措施。

  风险评估对数据的分类分级原则应包含对企业经济影响、生产稳定性影响、人身安全、法律风险、名誉度损失等角度开展,根据数据的重要程度在信息存储、信息传输、信息交换、信息使用等过程中采取相应的防护措施。

  (二)定期备份关键业务数据。

  解读:为保证系统在灾难发生时,数据能够尽量还原真实数据,应对历史数据库服务器、实时数据服务器、先进控制系统、优化控制系统等重要系统设备进行硬件冗余,启用实时数据备份功能,保证当主设备出现故障时冗余设备可以无扰动的切换并恢复数据,对于关键的业务数据,应定期进行软备份。

  (三)对测试数据进行保护。

  解读:测试数据一般来源于真实的现场设备实时数据,有必要对测试数据进行安全防护,防止发生数据泄露、篡改、破坏,保护企业资产。

  c、针对保护方法措施的要求,根据工业控制网络由内而外的结构包括:终端(第一条软件选择与管理、第四条物理环境安全);配置(第二条配置安全);网络(第五条身份认证、第三条边界防护、第六条远程安全);例外(第七条监测应急)。

  1.1 安全软件选择与管理

  (一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。

  解读:工业控制系统对可用性和实时性要求非常高,任何未经验证测试的软件都可能影响控制系的稳定性,应对防病毒软件或应用程序白名单软件进行离线测试,测试无风险后,方可在工业主机上部署。

  目前工业主机有效防护机制有“黑名单机制”和“白名单机制”,相比之下工控网络则更加注重防护的“高可用性”和“高可靠性”,鉴于工业应用的特殊性,“黑名单机制”无法应对多元化的风险及威胁。利用“白名单机制”可以建立工控行业应用程序信誉库,为工控应用程序提供可信认证、授权和评估,同时辅助沙箱检测技术和杀毒软件进行应用程序软件的安全性测试,从根本上保证了工控主机安全。

  (二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。

  解读:病毒和恶意代码是工控系统主要威胁之一,应对工控系统设备(例如操作员站、工程师站、控制服务器等)部署病毒和恶意代码集中监控、防护管理措施,对工业控制系统及临时接入的设备进行病毒和恶意代码扫描检测,防止遭受病毒和恶意软件攻击。

  1.4 物理和环境安全防护

  (一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。

  解读:重要的工程师站、数据库、服务器是工业控制系统的核心组件,为了防止来自人为的恶意破坏。应对核心工业控制软硬件所在的位置,按照物理位置和业务功能进行区域划分,区域之间设置物理隔离装置。

  在必要区域前设置交付或安装等过渡区域,特殊区域应配置电子门禁系统,7*24小时的视频监控。

  对核心工业控制软硬件所在区域,出入口应安排专人值守,控制、鉴别和记录进入的人员,来访人员应经过申请和审批流程,并限制和监控其活动范围。

  (二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。

  解读:工业主机越来越多采用通用计算机,USB、光驱、无线等接口的使用,为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的USB、光驱、无线等接口可以从根本上切断非法数据、程序的传播途径。

  若确需使用,可以通过主机安全管理软件对外设的端口进行控制,记录文件的导入导出等操作痕迹,实现对端口的严格访问控制。

  1.2 配置和补丁管理

  (一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。

  解读:安全配置是基础性的安全防护措施,安全配置能够增强工控网络、工业主机和工控设备安全性,应建立工控系统安全配置清单,包括工控网络设备、工业主机、工控设备的安全配置清单。

  在日常运维管理方面,指导管理人员对系统安全配置优化,避免存在安全隐患。

  根据工业控制系统配置清单,定期对工业控制网络、工业主机和工业控制设备开展配置审计,及时发现配置问题。

  (二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。

  解读:工控系统的日常维护管理经常涉及到配置变更,但未经严格安全测试的重大变更可能会对工控系统造成破坏。

  在工控系统重大配置变更之前,应制定变更计划,对变更可能出现的影响进行评估分析,并在工控系统离线环境中进行安全测试,保障配置变更的安全性和可靠性。

  (三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。

  解读:工控系统较传统的IT系统更脆弱,在补丁升级方面要非常慎重,补丁升级可能会影响工控系统的稳定性,如果补丁升级失败,可能对工控系统造成破坏,导致工控系统运行中断。

  因此,工控系统在补丁升级之前必须进行严格验证测试,包括安全性、稳定性、兼容性和可靠性验证测试。

  1.5 身份认证

  (一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。

  解读:面对工业控制主机和系统的登录、访问过程中常见身份冒用,越权访问等安全风险,给工业控制生产活动带来安全隐患。通过采取身份鉴别、角色判定、权限分配等安全措施实现工业主机登录、应用服务资源访问、工业云平台访问等过程的统一身份认证管理。

  对于关键设备、系统和平台应采取如口令、usbkey、智能卡、生物指纹等多种认证方式组合的多因素认证方式。一是避免他人盗用、误用,二是提高设备、系统和平台的攻击难度。

  (二)合理分类设置账户权限,以最小特权原则分配账户权限。

  解读:应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、篡改等原因造成的损失最小化,对超级管理员账号未禁止、各账户权限未实现分立制约等常见问题应及时发现并改正。

  (三)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认密码或弱密码,定期更新口令。

  解读:对登录账户和密码要及时更新,密码要以多位数含数字、字母、特殊符号的组合方式提高密码强度,建议采用验证码机制,提高被暴力破解的难度。避免使用默认密码、易猜测密码、空口令甚明文张贴密码的现象发生。

  (四)加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。

  解读:建议采用安全介质存储证书信息,对证书的申请、发放、使用、吊销等过程通过技术手段严格控制,并建立相关制度保障。建议采用国际通用的安全商密算法或国密算法。在不用系统和网络环境下禁止传递证书信息。

  1.3 边界安全防护

  (一)分离工业控制系统的开发、测试和生产环境。

  解读:工业控制系统的开发、测试和生产环境承载的功能不同,为了避免由开发、测试环境引入的安全威胁给生产环境带来作业风险,需要将开发、测试和生产环境分离。将开发、测试和生产环境分别置于不同的区域,进行逻辑或物理隔离。

  (二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。

  解读:工业控制网络与企业网或互联网之间互联互通,为工业控制系统带来巨大创造力和生产力的同时,也会引入更加复杂、严峻的安全问题。一是深度网络化和多层面互联互通增加了攻击路径;二是传统IT产品的引入带来了更多安全漏洞;三是新兴信息技术在工业控制领域的防护体系尚不成熟。

  因此,需要在不同网络边界之间,部署边界安全防护设备实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。

  (三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

  解读:为了降低工业控制网络安全区域之间连接风险,减少攻击平面,需要在区域之间部署逻辑隔离设备,如工业防火墙、网闸。在区域间有双向访问需求的网络,可采用工业防火墙进行逻辑隔离,深度检测并过滤主流工控协议(如:OPC、Modbus、S7、Ethernet/IP等)带来的安全风险;在区域间只需要单向访问的情况下,可采用网闸进行隔离防护。

  1.6 远程访问安全

  (一)原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。

  解读:基于明文传输的HTTP、FTP、Telnet等网络服务协议容易遭到非法窃听、数据篡改、敏感信息泄露等高安全风险。因此,在工业控制系统中,需要严格禁止HTTP、FTP、Telnet等高风险通用网络服务面向互联网开通。

  (二)确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。

  解读:远程访问工业控制系统网络,意味着为黑客开辟了一条攻击工业控制网络的通路,存在极大隐患。但在确需远程访问的情况下,需要采用数据单向访问控制等策略进行安全加固,并对访问时间进行控制,还可以采用加标锁定来限制对机器、设备、工艺和电路的操作行为。

  (三)确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。

  解读:确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式连接,相当于在公用网络上为用户建立了一条专用通道,这条专用通道上的所有通讯数据会被加密处理,并通过对数据包的加密和数据包目标地址转换实现安全的远程访问。

  (四)保留工业控制系统的相关访问日志,并对操作过程进行安全审计。

  解读:保留工业控制系统相关访问日志,可以在发生非授权的远程登录后进行日志分析。通过日志中记录到的登入登出、人员账号、访问时间等信息对非授权登录行为进行追踪、定位,做到有源可溯,并对操作过程进行安全审计,记录所有操作行为,做到有据可查。

  1.7安全监测和应急预案演练

  (一)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。

  解读:工控系统网络组成元素繁多,非法入侵、恶意代码、维修接入甚至是误操作都可能导致生产运行的瘫痪或功能丧失,通过部署工控安全监测设备,采用工控协议深度包解析等多种技术,对工业控制网络可能存在的病毒、蠕虫、木马及针对工控网络的攻击行为和误操作进行实时检测并告警。

  (二)在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。

  解读:重要工业控制设备是工业企业生产核心控制单元,包含PLC、DCS控制器等,核心控制设备的异常将危及生产安全、公众健康甚至社会稳定。在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,对Modbus、S7、Ethernet/IP等主流工控协议进行深度分析,采用“白名单”机制对发送至重要工控设备的指令进行过滤,杜绝违法操作,并抑制恶意代码及未知攻击行为,保障重要工业控制设备运行安全。

  (三)制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。

  解读:工控安全应急响应预案可提高工业控制系统应对突发事件的应急响应能力,最大限度减少工控系统的损失及影响,做到“第一时间发现问题,第一时间解决问题”。

  应急预案框架应包括应急计划的策略和规程、应急处理流程、系统恢复流程、事后教育和培训、系统备份、系统恢复重建等内容。同时预案需从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。

  在发生安全事件时,应根据应急预案流程采取安全防护措施,并按照应急预案规程逐级上报至安全主管部门。同时,应对事故现场进行保护,便于事后调查取证。

  (四)定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。

  解读:通过开展应急演练工作,使各工控企业熟悉应急响应机制、熟练应急响应流程、提高应急响应的处置能力,同时检验应急响应预案的可行性、相关部门的协调与配合能力、相关工作的落实情况以及应急响应所需备用设备的完备情况等,同时应根据应急演练中遇到的问题,对应急演练方案进行及时修订。

  小结

  《指南》从十一条三十款具体要求宏观描述了工业控制系统信息安全防护的轮廓,面向工控网络真实环境及特殊性提出了多项针对性要求,为工业控制安全防护标准制定、技术研究、评估内容等方面提供了具体依据,尤其对工业控制安全供需双方指明了具体方向和思路,便于开展工控安全规划,落地实施。

  同时参考《网络安全法》和其他相关法律法规中对监管部门责任、网络攻击组织或个人的处罚规定,相关行业对生产安全的要求,以及新修订等级保护标准中对工控安全的相关要求,企业将对如何实施工业控制系统整体安全防护有更完整的思路。

应用方案