工业控制系统网络安全防护建设是一项体系化、系统化工作。工业互联网的发展带来了“互联网+工业控制”的新模式,工业控制系统的网络安全建设重点也应随着新模式、新形势的出现而做出相应的调整。2016年印发的《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)(以下简称《防护指南(2016版)》)已经实施了7年多的时间,有效地指导了工业企业对工业控制系统的网络安全防护工作。近年来,工业控制系统网络安全事件出现新的特点,工业领域各行业数字化、网络化和智能化发展出现新趋势,需要根据网络安全态势不断丰富《防护指南(2016版)》的内涵,拓展保护范围,进一步适应当前网络安全法律法规的要求。因此,工业和信息化部于2024年1月30日印发了《工业控制系统网络安全防护指南》(以下简称《防护指南》),指导企业提升工业控制系统网络安全防护水平,为企业数字化转型发展提供网络安全保障,有效满足当前和未来一个时期内工业控制系统网络安全防护需求。
《防护指南》与《防护指南(2016版)》相比较,从名称、结构和内容三个方面做出了变化和调整,如下图所示。
图1 防护指南比对示意图
名称变化,从“信息安全”修改为“网络安全”。一方面能够与国家现行的《网络安全法》保持一致,有助于准确界定和规范工业领域的网络安全工作的范围和职责,统一理解和执行相关政策、标准和规范,提高网络安全工作的协同效应。另一方面,名称的统一能够使《防护指南》更加贴合国家网络安全战略和法律要求,便于工业企业了解、遵守和落实相关安全措施。
结构变化,从十一个方面要求调整为四个方面。《防护指南》划分为安全管理、技术防护、安全运营、责任落实四个方面要求,将《防护指南(2016版)》中的十一个方面要求进行了归并整理,有助于工业企业更好地组织和理解工业控制系统网络安全防护工作的核心内容,促进网络安全工作的规范化和系统化,进一步有效地开展网络安全管理,应对威胁和风险,提高工业控制系统的安全性和可靠性。
内容调整,适应工业领域新技术、新场景的发展。《防护指南》将《防护指南(2016版)》的要求项进行了整理,部分条款被删除,同时也有部分新增要求。首先,删除了对物理安全防护措施的要求,这在一定程度上表明了物理安全防护已经在工业企业中得到了普遍重视和有效执行,不需要再做阐述和要求。其次,新增了安全评估、宣传教育、上云安全三个大类的安全要求。这部分新增要求,一方面凸显出对工业控制系统网络安全建设“三同步”要求的重视,网络安全防护应当与工业控制系统同步投入使用;另一方面,强调了对人员安全意识和安全技能的重点关注;最后,适应了工业云平台的逐步推广应用趋势下对网络安全防护能力的要求。
《防护指南》从安全管理、技术防护、安全运营、责任落实四个方面,十四个大类,33个小项对工业控制系统网络安全防护建设做出指导。本文将重点解析《防护指南》的各项网络安全建设内容,并结合成熟的技术方案协助工业企业实现正确应用落地,旨在帮助工业企业快速响应行业主管部门要求,积极做好工业控制系统网络安全防护工作,护航智能制造和数字化转型进程。
图2工业控制系统网络安全防护指南要点
“三分技术,七分管理”这句网络安全领域的至理名言同样适用于工业控制系统网络安全防护建设工作。通过构建高效的安全管理机制,确保工业控制系统网络安全建设在资源分配、团队协作、决策制定等方面发挥关键作用。
清资产:工业企业通常拥有品牌多样、种类繁多的工业控制系统软件与硬件产品,为了能够清晰掌握需要防护的工业资产对象,需要对现有工业控制系统以及相关设备、软件、数据等资产进行全面梳理并建立动态更新的资产清单。在摸清工控资产家底的同时,形成明确的权责关系,工控资产的管理责任部门和相关责任人需要承担起定期开展工控资产核查工作。在工控资产清单的基础上,建立重要工业控制系统清单并实施重点保护,对其关键组件实现冗余备份。
强配置:工业企业加强工业控制系统的网络安全配置和管理,以降低工业控制系统受到恶意攻击的风险。一方面,通过强化工业控制系统的账户及口令管理并建立安全配置清单,促使工业企业提高工业控制系统的安全性和整体防护能力;另一方面,通过定期开展安全配置清单审计和配置策略调整,确保工业控制系统的安全性与当前安全需求相匹配。同时,配合严格的安全测试确保网络安全策略变更与工业控制系统功能安全要求相适应,及时发现潜在问题,降低安全风险。
重评估:新建或升级的工业控制系统上线前,或者工控网络与管理网/互联网连接前需要进行安全风险评估。针对重要工业控制系统企业每年应当自行或委托第三方专业机构至少开展一次工控安全防护能力评估,在安全评估与工业控制系统稳定运行密切结合的前提下致力于防控风险及时发现安全隐患。
明责任:为保障工业控制系统的供应链安全,工业企业在与工业控制系统供应商签订协议时,应明确双方在管理范围、职责划分、访问权限、隐私保护、行为准则以及违约责任等安全方面的责任和义务,从而确保供应商、合作方都清楚应承担的安全责任,从而提升合作过程中的安全性。控制器指令的执行时间≤0.08微秒的PLC被纳入网络关键设备目录,如西门子S7-1200/1500系列中的部分CPU模块。工业企业在采购网络关键设备目录中所包含的PLC时,需要要求其具有网络安全认证证书或者安全检测证书,以确保其具备较高的网络安全性和功能可靠性。
筑意识:工业企业需要进一步推进在全员范围内开展工业控制系统网络安全相关的法律法规、政策标准的宣传工作,使企业员工认识到网络安全是工业生产安全稳定运行的重要保障之一,认识到忽视网络安全风险对日常工作的危害,增强全体人员保护工业控制系统网络安全的责任意识。同时,提升工业控制系统和网络相关运维人员的工控安全技能是预防和应对工业控制系统网络安全问题的重要环节,通过考核评估他们的技能水平,确保运维人员具备足够的专业知识和技能来正确落实工业控制系统的网络安全保护措施。
网络安全技术在确保工业控制系统功能安全的基础上实现广泛应用无疑是助力工业企业实现增涨和创新的关键要素之一,也是提高工业控制系统网络安全防护建设深度和广度的重要基础。网络安全技术已经成为工业控制系统安全稳定运行的重要保障,可以提供有效的防御和保护措施,以应对针对工业控制系统日益复杂的网络安全威胁和攻击。
3.2.1工业控制系统技术防护体系架构设计
随着工业领域数字化转型进程逐步走实向深,企业中工业控制系统的网络架构也随之发生转变。基于普渡模型的五层工业控制系统网络模式与“云-网-边-端”新型工业互联网模式在企业中并存。工业控制系统网络安全防护架构也要匹配两种模式下的安全需求,典型的防护架构如下图所示。
图3 工业控制系统网络安全防护架构
3.2.2主机和终端层面安全设计
防病毒:工业控制系统的特殊性,使得工业控制系统的工程师站、操作员站、数据库服务器等主机设备应用传统桌面杀毒软件有所受限,应对层出不穷的风险及威胁效力不足。对于保护工业主机的安全,使用专门针对工业控制系统的防病毒软件是至关重要的,需要专注于发现和阻止工业控制系统中可能存在的威胁和恶意代码。在选择工业主机安全杀毒软件时,需要考虑其适用性、易用性、性能影响、技术支持和更新等因素。此外,定期更新软件和进行缓解措施的评估也是确保工业主机安全的重要措施。
强管控:依托工控安全卫士构建工业主机应用程序白名单机制,通过创建白名单列表,将合法应用程序、操作系统进程、需要对外开放的程序或端口及可访问的IP地址等加入到白名单列表,通过度量信息实现对程序进程的全面管控;基于双因子认证实现登录访问控制;支持光驱、USB、无线网卡、蓝牙等外部设备接口管控,对于U盘等移动存储介质的访问策略支持“禁用、只读、读写、执行”。通过多种技术防护措施确保只有合法对象才能执行,使工控主机免受恶意代码进程启动、操作系统内核漏洞的隐患,有效抵御零日漏洞攻击和其他有针对性的攻击。
3.2.3架构与边界安全设计
纵向边界:在企业管理网与工业控制系统网络之间部署工业网闸,实现IT网络与工业控制系统网络从物理层面和逻辑层面断开直接连接,通过工业网闸的内、外网处理单元和安全数据交换单元实现在内外网主机间按照指定的周期进行安全的数据摆渡。在制造执行层、过程监控层、现场控制层之间分别部署工业防火墙,对工业控制协议进行深度解析,结合网络通信白名单和智能学习技术,构建工业控制网络安全通信模型,仅允许指定协议通过,实现与其他系统安全隔离;针对OPC通讯采用动态端口带来的网络安全风险,利用动态过滤技术为合法连接打开需要的端口,在连接断开时,自动关闭当前端口,有效阻断病毒传播和非法访问。
横向边界:过程监控层工程师/操作员站、实时数据库服务器以及制造执行层历史数据库服务器、APC服务器、生产计划服务器等在工业控制系统中扮演着承上启下的重要角色,是数据采集与控制指令下发的中转点和通信协议转换器,由于连接这些服务器的设备和通信协议是固定的,分别部署工业防火墙进行基于数据包过滤和白名单机制的横向逻辑隔离和访问控制,仅允许授权的设备进行连接,保证服务器的安全性。
远程访问:针对通过广域网公共通信链路实现设备接入、远程访问/维护时的安全防护需求,采用边缘安全网关提供虚拟私有网络(VPN)功能,通过加密和认证技术,确保远程访问的安全性。基于国产商用密码算法实现控制指令和重要数据传输加密和设备接入工控网络的身份认证,保证数据传输和远控指令的安全,实现数据传输的机密性、完整性保护,避免信息传输过程中的泄漏和被纂改。
3.2.4上云安全设计
工业云平台的网络安全防护依托 “软件定义安全 SDS” 架构,将虚拟化安全设备和传统硬件安全设备进行资源池化的整合,实现安全能力的“按需调度、弹性扩展”,加强安全能力适配工业云平台安全防护需求。
基于国产商用密码技术实现数字证书、可信认证机制,解决工业设备上云过程中面临的非法接入、控制指令篡改、采集数据截获等安全风险,实现工业设备接入工业云平台的身份认证安全。
3.2.5应用安全设计
在访问制造执行系统(MES)、组态软件和工业数据库等应用服务时,应基于身份认证为每个用户或角色分配最低限度的访问权限。强化口令和登录账号验证并通过双因子认证来增加身份验证的安全性。在应用程序中实施输入验证和过滤,避免恶意输入或攻击者利用应用漏洞,确保输入数据的完整性和合法性,以防止跨站脚本(XSS)和SQL注入等攻击。
3.2.6工业数据安全设计
工业数据产生于工业生产流程的各个环节,为保障数据流动“自由化”过程中的安全性,发挥数据的最大价值,针对工业生产数据采取分类分级、标记用途、数据加密、访问控制、数据脱敏等多种防护措施,覆盖数据采集、传输、存储、处理等全生命周期的各个环节,实现数据“拿不到”、“看不懂”、“改不了”、“赖不掉”。
图4 工业控制系统数据安全防护架构
收集安全:依据工业数据的属性,按照生产数据(工艺流程数据、设备数据)、管理数据、研发数据、运维数据等分类,依照一般数据、重要数据和核心数据三种等级将分散在工业生产环节中零散数据进行分类分级采集。
存储安全:依据数据的类别与安全等级,通过数据加密、数据完整性保护、数据防泄漏、访问控制等安全措施保障数据存储安全。
使用加工安全:数据使用加工是工业数据价值再创造的核心环节,将工业生产的关键技术、流程、知识、工艺积累沉淀,不断迭代进而优化工艺流程、寻找最高效、最经济的生产路径,为工业高质量发展提供最核心的数据支撑。在高价值工业数据使用加工过程中采取数据防泄漏、访问控制、完整性保护、机密性保护等措施,保证合法用户对信息和资源的有效使用。
传输安全:在数据传输过程中,采用密码技术、校验技术等相关手段来保证数据传输过程中的机密性、完整性和有效性,防止数据被窃取或篡改。
针对工业控制系统的新型网络攻击手段层出不穷,工业控制系统网络安全仅依赖安全设备的被动防护已经无法满足日益严峻的工业控制系统网络安全形势。工业控制系统网络安全运营是将人、技术、流程有机结合的持续性、综合性的过程,旨在保护工业控制系统高效应对网络攻击和威胁。
图5 工业控制系统网络安全运营架构
工业控制系统的网络安全运营需要适应工业企业生产场景的差异性、复杂性和多样性,以安全运营中心为依托,以监测预警、应急处置、漏洞管理、安全评估为重要手段,以安全资源的集约化利用为重要原则,以安全措施与业务流程紧密结合为目标,建立基于工业生产业务流程的安全编排、自适应安全架构。利用自动化工具和技术,构建数据采集和分析的流程,减少人工干预和提高数据质量与时效性。打造完备的安全事件处置体系,包括事件的报告、确认、响应和分析,实现对业务的无缝支持和保护。
工业领域的数字化转型充分利用了信息技术和数字化手段改造和提升传统工业流程,实现业务模式、组织结构和价值链的全面升级。网络安全防护成为构建以数据为核心,实现园区、供应链、生产线和产品等全产业链数字化连接和智能化管理模式稳定发展的重要保障,工业企业应当积极推进跨部门、跨专业的网络安全协同合作,不断完善网络安全管理制度、技术防护体系、安全运营体系等方面的工作机制,有效预防和应对网络安全威胁,维护工业控制系统的正常运行,保障国家经济发展,社会稳定和政治安全。
作者:绿盟科技 杨博