导读:常规网络安全机制防护下的工控系统已不能满足新形势下(如网络作战域)关键基础设施的需求,新一代可信工控系统的研发势在必行。本文阐述了可信工控系统的概念及关键特性,分析了包括最高层、数据防护层和安全模型&策略层等3层结构的可信工控系统安全框架,提出了包括7个环节的可信工控系统的可信链,描述了SL2~SL4安全等级的端点设备的网络安全结构。

1、引言

工业自动化和控制系统(Industrial Automation and Control Systems,IACS),简称工控系统,广泛应用于制造业、流程工业等工业领域,航空航天、轨道交通、楼宇等系统,电力、天然气、自来水供给等公共设施中。工控系统是国民经济、人民生活正常运转的重要支撑。

随着工控系统的进一步开放互联、数字化、网络化甚至全面云化,工控系统自身的信息安全脆弱性和所面临来自自然环境、人为失误、设备故障、恶意软件、工业间谍、犯罪组织、恐怖分子、境外国家力量等方面的威胁与日俱增。NATO(北约)已将网络空间认定为作战域,视网络攻防为新的战场,许多西方信息安全公司也已将信息安全上升到军事战争高度。对工控系统仅采用传统的“封堵查杀”信息安全手段,已基本无法应对系统性高强度的网络攻击(如APT攻击)。

按照国家《网络安全法》的规定,能源、交通、水利等国家重要行业和领域的工控系统,属于关键信息基础设施,其一旦遭到破坏、丧失功能或者关键数据泄露,可能严重危害国家安全、国计民生和公共利益。鉴于关键基础设施工控系统对于国民经济和社会生活的重要性及其所面临日趋严峻的环境,研发和构建满足关键基础设施安全需求的新一代可信工控系统迫在眉睫。

2、可信工控系统概念及关键特性

2.1 概念

狭义的工控系统是指工业生产、交通运输、水电气等公共设施中使用的自动化和控制系统,包括分散控制系统(DCS)、监督控制和数据采集系统(SCADA)及其它监视和诊断系统,可编程逻辑控制器(PLC)、远程终端单元(RTU)及其它智能仪表或电子装置等。随着工厂数字化、网络化、智能化的加速推进,OT和IT的深度融合,新型的工控系统内涵已扩大不少。以智能电厂为例,如图1所示,其工控系统不仅从原先单纯的监视和控制功能扩充到包含模型、预测、优化、管理等功能的控制域和运维域,而且还扩展到包括信息域、应用域,甚至业务域(如其中的AMS资产管理系统)。习惯上,工控系统的安全依赖于物理隔离,系统不与外网和无线网互联,将系统中脆弱性组件与网络隔离,关键控制系统设计和访问规则采取隐含或模糊原则等。但在泛在感知、泛在互联、云-边协同、工控/信息深度融合等发展背景下,传统的安全措施已不能系统保护工控系统的信息安全,研发新一代可信工控系统的需求提上日程。

图1 智能电厂工控系统架构及信息流示意图

所谓可信工控系统,是指在面临环境干扰、人为错误、系统故障和网络攻击时,系统在信息安全、功能安全、可靠性、韧性、私密性等关键系统特性方面的性能达到预期的工业自动化和控制系统,如图2所示。对于可信工控系统而言,从结构视角来看,不仅构成工控系统的I/O单元、控制器、交换机、服务器、操作员站等部件及其系统软件、应用软件等建立在可信机制上,而且防火墙、网闸、DMZ(非军事区)等网络安全设备及其网管设备和软件等也均建立于可信机制之上。可信度是指系统在面对环境干扰、人为错误、系统故障和网络攻击时,人们对系统在所有关键系统特性方面的性能达到期望所具有的信心程度。可信工控系统的可信程度可以用可信度来进行度量。

图2 可信工控系统特性

2.2 关键特性

信息安全是指保护系统不受意外或未经授权的访问、变更或破坏,系统连续可靠正常运行的状态,其基本要素包括常称之为CIA三角的机密性、完整性和可用性。功能安全是指系统运行时,不会直接或间接引起人身健康或安全、环境破坏及资产财产损失方面不可接受风险的状态。可靠性是指系统或部件在规定的条件和规定的时间内执行其所需功能的能力。韧性是指系统在完成分配的任务时能规避、承受和管理所面临的动态不利条件,并在遭受重大损失后仍能重建其运行能力的行为方式,是系统的紧急属性。私密性是指个人或团体控制或影响与之相关的信息哪些可被收集、处理和存储,以及可由谁和向谁披露该信息的权利。

信息安全、功能安全、可靠性、韧性和私密性是判定一个工控系统是否可信的重要特征,因而将这五个特征称之为可信工控系统的关键特征。系统的可扩展性、可用性、可维护性、可移植性或可组合性等其它特性也很重要,但通常不被认为是可信性的“关键特征”。

3、可信工控系统信息安全技术框架

可信工控系统信息安全技术框架可分为三层,如图3所示,其最高层由基于可信机制的端点防护、通信&互联防护、信息安全监视&分析、信息安全配置&管理等四个核心安全功能组成,其支撑层由基于可信机制的数据防护层和覆盖整个系统的信息安全模型&信息安全策略层构成。

图3 可信工控系统信息安全技术框架

3.1 最高层

最高层是可信工控系统信息安全的关键,其四个核心功能简述如下:

(1)端点防护:

对本地工控系统或采用云-边架构的工业互联网系统的端点(端点是指具有计算和通信能力,实现某种功能的设备或部件,如工业互联网中的边缘设备、通信设施、云服务器等)进行防护。又可细分为端点物理安全、端点可信根、端点身份识别、端点完整性防护、端点访问控制、端点监视&分析、端点安全配置&管理和端点信息安全模型&安全策略等。

(2)通信和互联防护:

通常端点间需相互通信,而通信可能是漏洞的来源,工控信息安全仅单靠端点防护是不够的,通信和互联防护的必要性显而易见。基于对端点的身份鉴别、通信授权和加密,通信和互联防护为端点到网络的连接提供物理安全保障,保护网络中的信息流,并对端点间的通信进行加密保护。从功能划分视角看,通信和互联防护又可细分为互联物理防护、通信端点防护、信息流防护、密码防护、网络配置&管理、网络监视&分析、通信&互联防护的安全策略等。

(3)安全监视&分析:

以监视-分析-行动的循环周而复始进行,首先是抓取端点及互联通信、远程登录、供应链的全部状态相关数据,然后对这些数据进行行为分析和基于规则的分析或其它类别的基于机器学习的态势分析,以探测或感知出可能的安全违规行为或潜在的系统漏洞、威胁、攻击等。一旦探测或感知到上述状态或行为,则立即按照系统安全策略等相关规定来执行一系列动作(如主动、预测性的提前消除威胁;自动响应正在进行的攻击,减轻威胁,恢复正常状态;根原因/取证分析、取证调查等)。

(4)安全配置和管理:

负责工控系统运营功能(包括可靠性和安全行为)及其网络安全设备的变更控制和管理,以确保所有变更均以安全、受控和可信的方式执行。

3.2 数据防护层

数据防护层包括端点数据防护、通信数据防护、配置数据防护、监视数据防护、数据安全模型&安全策略等子功能,通过采用机密性控制、完整性控制、访问控制、隔离和复制等手段,对静态数据(指在数据库服务器、控制器固态磁盘等存储的数据)、在用数据(指放置在RAM、CPU缓存和寄存器等中的非持久性数据)、运动数据(指在端点间移动的数据)等实施防护,以保护上述数据均不受未经授权的访问和不受控制的变更。

3.3 信息安全模型&策略层

信息安全模型和策略层负责对信息安全如何实施,以及用于确保工控系统在整个生命周期中的机密性、完整性和可用性等的信息安全策略进行管理和控制。它协调整个信息安全体系中的所有功能元素协同工作,以使工控系统始终处于持续的符合要求的安全状态。具体而言,该层首先是基于系统威胁分析和系统安全目标,确立安全策略(该策略是动态变化的而非固化一成不变的)和安全模型,再依次确立数据防护安全策略、端点防护安全策略、通信&互联安全策略、监视&分析安全策略、配置&管理安全策略等。

4、可信链

众所周知,一件质量优良的产品主要是通过优良的设计和制造而非校核和检验得到。工控信息安全体系的构建也是如此,只有基于可信机制建立的可信工控系统,才可以克服传统的网络安全基于普通设备而仅采用“封堵查杀”的不彻底性,从而从根本上系统解决工控系统的信息安全。

图4 构成可信对象的可信链

为了确保工控系统的全面安全,无论是网络设备及网络安全设备,还是工控主机、服务器或控制器及其软件等,都必须是安全可信的。一个可信的安全对象的可信链是由可信供应链、可信根、可信操作系统、安全数据存储、安全通信、应用软件完整性、安全设备管理等环节构成,如图4所示。各环节说明如下:

(1)可信供应链:

为建立可信工控系统,必须首先确保系统的全部构成部件(包括硬件、固件、软件等)的供应链是可信的。具体研发及应用中可按照ISO 28000系列国际标准的要求,建立相应的可信安全供应链。

(2)可信根:

是本质上可信的功能集,这些功能可以是硬件功能也可以是软件功能,主要用于执行鉴别、保护加密密钥、软件的测量或验证、探测及报告对程序或系统的未授权变更等。国际可信计算组织(由AMD、惠普、IBM、Intel、微软等组建)确定了TPM(可信保护模块)的规范和标准,国家密码管理局也制定有TCM(可信密码模块)的相关标准和规范。TPM和TCM等都属于硬件类可信根芯片,均属于国际标准所对应的TPM(可信平台模块)。关键信息基础设施系统需采用如TPM、TCM类的硬件方法来对密钥存储提供最佳保护,其次,其供应链也能受到较好的控制。若设备没有可信根,则从设备发出的任何信息注定是不可信的。ISO/IEC 11889系列国际标准对可信平台模块的架构、结构、命令、算法和方法等进行了规定。GB/T 38638国家标准对可信计算的体系结构、可信部件等进行了规定。密码行业标准GM/T 0012、GM/T 0013、GM/T 0058、GM/T 0082等分别对TCM接口、TCM符合性检测、TCM服务模块接口、TCM保护轮廓等进行了规范。

(3)可信操作系统:

可提供安全的引导和安全的操作环境,具有主体行为的可信性,客体内容的保密性、完整性和可信性,自身的完整性等特点。可信操作系统具备提供存贮器和文件保护、I/O设备访问控制、用户鉴别、访问控制、探测某些攻击等功能。不可信的操作系统极易导致恶意代码或其它攻击。ISO/IEC 15408国际标准规定了安全操作环境的相关要求。GB/T 37935国家标准对可信软件基的总体结构、功能模块、交互接口、工作流程、自身安全要求等进行了规定。

(4)安全数据存储:

除应对系统软件进行保护外,还需对应用软件和存储在设备上的数据进行保护。安全数据存储的目标就是确保存储在设备上的数据只能由授权用户和进程进行访问,并提供相应机制以确保数据不能被感染、篡改或损坏。

(5)安全通信:

应提供安全的网络服务,便于设备之间的安全通信。安全通信通过采用恰当的加密、身份识别、校验等措施,确保信息不被伪造、重放或损坏(如报文重复、丢失、插入、乱序、损坏、延迟等)。国际上主要的通信组织都制定有相应的安全通信规约标准,如CIP Safety Specification(CIP安全通信规范)、IEC 61784-3等。

(6)软件完整性:

除采用可信操作系统外,也必须保护在设备上运行的应用软件免受篡改或感染。软件完整性即提供应用软件检测和防护所需的功能、进程和工具。

(7)安全设备管理:

可信操作系统、安全数据存储、安全通信、软件完整性均是有助于设备保护的功能,但这些功能和模块也必须接受安全管理。此外,还需对设备的安全生命周期进行管理,确保其身份识别、证书和全部生命周期内的安全。同理,需对用于保护设备的软件和配置进行安全管理。

5、端点安全等级

国际标准IEC62443和国家标准GB/T 35673对工业自动化和控制系统从低到高规定了SL0~SL4五个网络安全防护等级:SL0指没有特殊防护要求或不需要网络安全防护;SL1要求能防止窃听或不经意的暴露所导致的未经授权的信息披露;SL2要求能防止未经授权地将信息泄露给通过少量资源、通用技能和低动机的简单手段主动进行信息搜索的实体;SL3要求能防止未经授权地将信息泄露给通过一般资源、IACS特殊技能和一般动机的复杂手段主动进行信息搜索的实体;SL4要求能防止未经授权地将信息泄露给通过扩展资源、IACS特殊技能和高动机的复杂手段主动进行信息搜索的实体。当忽略工控系统重要性程度、工控系统信息安全威胁两个维度时,SL安全级别与“等保”网络安全保护等级基本一致(国内信息系统安全保护等级划分为5级,实际使用的是1~4级)。SL1~SL4所对应的需加以防护的攻击者及特征如表1所示(从网络安全角度看,SL0无实质意义,故不考虑)。

表1 SL1~SL4需设防攻击者及特征对比表

由此可见,对于要求具有SL2及以上等级安全防护的端点,应针对性地采用具有相应可信防护机制的端点产品。图5~图7分别为SL2~SL4等级的端点安全结构体。

图5 SL2等级的端点安全结构

图6 SL3等级的端点安全结构

图7 SL4等级的端点安全结构

结构体中各个对象分别说明如下:

(1)可信根:

每个端点中所包含的基于可信供应链之上的可信根构成了各个端点安全可信的基础,可信根的强度决定了每个端点设备所能达到的可信度,故SL2级端点可采用基于软件的可信根,但SL3和SL4级端点必须采用TCM类硬件可信根。

(2)安全引导:

采用基于国密算法的密钥等措施来确保固件、引导程序等的安全引导认证,带电时执行不可变更的或加密防护的引导代码,直到扩展实现从引导到操作系统启动的平台级证明,从而有助于防止通过空中或网络的对固件、引导加载程序或引导映像等的非授权变更。

(3)端点身份:

端点身份标识是其他安全措施所必需的基础,应采用PKI(公钥基础设施)身份认证系统或国家密码管理局所规定的基于国密的其它身份认证系统。

(4)密码服务:

要确保全面的端点安全,则需要从传输规约(运动数据),到存储设备(静态数据),再到各类应用(在用数据)的全部环节均正确地利用密码、实施加密,从而保护数据的机密性和完整性。因工控类端点部署后在役时间较长,考虑到量子计算的快速兴起,所应用的密码算法应易于在线升级,以适应“后-量子”密码部署的预期需求。

(5)安全通信:

端点与端点间的通信需采用符合其安全等级要求的安全通信规约堆栈,通信前进行可信验证,对SL3和SL4级端点的通信过程需进行基于硬件密码模块的密码运算和密钥管理。

(6)端点配置&管理:

对端点的固件、操作系统、配置或应用程序的任何远程或自动更新等都必须进行验证,在保证机密性和完整性的条件下实现端到端内容的安全可靠交付。需对端点的配置及变更、应用程序及控制活动等进行实时和连续监视,以探测并防止如对固件、操作系统、已安装应用程序等未授权的变更,或探测并防止危及数据机密性或完整性的未经授权的活动。

(7)安全信息&事件管理:

具备风险监视、分配规则、触发规则、行为分析、事件响应、日志/事件记录、减轻威胁、审计等能力。

6、结语

可信机制是工控系统信息安全最为重要的基石,只有建立在可信机制基础之上的可信工控系统才能确保工控系统信息安全的系统性、彻底性。为此,我国应加大对可信工控系统的研发,并在关键基础设施中逐步推广应用可信工控系统。

参考文献略。

作者简介

张晋宾(1967-),男,专业副总工程师,教授级高级工程师,现就职于电力规划设计总院,从事发电自动化、信息化工程设计、咨询、研究及管理等工作。

摘自《自动化博览》2021年4月刊

声明:本文来自控制网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。