从分类分级管理谈工控网络安全保障体系构建
一、引言
随着新一轮工业革命的推进,全球正处于新一轮科技革命和产业变革的历史交汇期,工业制造(OT)的智能化转型正在让现实与虚拟世界之间的界限变得越来越模糊。当生产过程和信息合二为一,要求IT和 OT深度融合,形成一个贯穿整个工业制造企业的技术架构。IT和OT的融合会帮助工业制造企业改善业务系统以及各部门之间的整体的信息流动,从而提升企业的运营水平。
OT被认为是现代智能工厂的支柱。它控制着工厂的基础设施,并使工厂生产线正常运转。对所有智能企业,从管理信息系统到客户关系管理,一切都是在IT基础架构上运行。自现代工业制造业开始以来,IT 和OT 就一直共存,但往往彼此独立。然而,随着工业物联网 (IIoT )的出现,将网络传感器和相关软件与复杂的物理机械结合在一起,物联网 (IoT)正在模糊办公室和车间工厂之间的界限,让数据从设备层-控制层-信息层直至云端无缝对接,从而消散IT 和OT 之间的鸿沟,体现IT与OT融合。
以大数据、云计算、人工智能为代表的新一代信息技术与工业制造深度融合,工业制造加速由数字化向网络化、智能化发展。IT与OT互联互通,导致病毒、木马、勒索软件、黑客等针对工业生产控制系统攻击变得更加方便,攻击成本更加低廉。
二、国内外典型工控安全事件
二、国内外典型工控安全事件
近年来,国内外工业控制领域发生了众多的网络安全事件。
1.国外安全事件
2004年,美国某化工厂的一个DCS控制系统被震荡波蠕虫病毒通过连接在防火墙的445端口入侵,该系统因被感染而失去控制超过5小时。
2010年,伊朗布什尔核电站发生震网病毒事件。有关专家分析,震网事件是由美国军方和以色列军方共同策划的一起针对伊朗布什尔核电站浓缩铀进行的一次有组织、有计划、有蓄谋的攻击。利用社工,以及windows和西门子wincc 的漏洞,对西门子300系统PLC系统进行了逻辑炸弹攻击,使得布什尔核电站离心机控制系统遭受破坏,导致核电站延期运行,损失难以估量。
Flame火焰病毒具有超强的数据攫取能力,不仅袭击了伊朗的相关设施,还影响了整个中东地区。据报道,该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实施的高科技的网络武器。以色列计划还包括打击德黑兰所有通信网络设施,包括电力、雷达、控制中心等。一旦感染了系统,该病毒就会实施一系列操作,如监听网络通信、截取屏幕信息、记录音频通话、截获键盘信息等,所有相关数据都可以远程获取。
2015年6月,波兰航空公司的地面操作系统遭遇黑客攻击,导致长达5个小时的系统瘫痪,至少10个班次的航班被迫取消,超过1400名旅客滞留。这是全球首次发生的航空公司操作系统被黑事件。
2015年乌克兰电力部门感染的一款名为”BlackEnergy(黑暗力量)”的恶意软件,至少有三个区域的电力系统感染,造成大规模停电,使得近一半的乌克兰伊万诺-弗兰科夫斯克地区的家庭陷入黑暗。一种阐释说这是具有政治动机的持续攻击者采取的攻势,旨在攻击乌克兰关键基础设施,破坏该国稳定性。
瑞典指责俄罗斯政府2016年11月4日针对该国的空中交通管制基础设施发动网络攻击。当天瑞典阿兰达机场、维特国际机场、布鲁玛机场等多个机场不得不取消了国内及国际航班。虽然瑞典官员此前发表声明称这次事件或与太阳耀斑有关,但他们已暗中通知北约关于俄罗斯发起此次网络攻击的细节。
2020年2月,美国一家天然气管道运营商遭勒索软件攻击。该勒索软件成功加密了运营商IT和OT系统中的数据,导致相应的天然气压缩设备关闭。
2020年4月24日,研究人员在ABB System 800xA分布式控制系统(DCS)中发现了几个严重漏洞,包括可用于远程代码执行、拒绝服务(DoS)攻击和权限提升的漏洞。
2020年12月,伊朗黑客团伙贴出视频,显示自己已成功黑入以色列供水设施工业控制系统(ICS),目标是再生水蓄水池。工业网络安全公司OTORIO发表文章称,黑客侵入了直接连接互联网的人机接口(HMI)系统,该系统毫无防护,没有设置任何身份验证。
2.国内安全事件
从2011年以来,国内工业企业也开始频繁遭到攻击。2011年吉林某电厂机组DCS系统感染W32/Conficker.worm.gen.A蠕虫病毒。2017年“永恒之蓝”、“WannaCry“勒索病毒全球爆发,我国各加油站、政府、高校以及电力等行业受到不同程度的攻击。2018年台积电WannaCry变种病毒,造成三大产线停摆三天,造成18亿损失。2019年,我国在水利、石油石化、电力、钢铁、汽车制造以及其他关键制造业遭受到不同层次的WannaCry和挖矿病毒的攻击,大多数都导致了企业的工业主机出现蓝屏,反复重启、甚至数据被加密等。
通过对近年国内外安全事件的梳理发现,主要在电力(发电和电网)、水利、交通、天然气、石油石化以及关键工控等行业进行攻击。因为这些行业属于国家关键信息基础设施,承载着重大的国家命脉,威胁着社会民生、国家安全。所以,这些攻击,不单纯是简单的攻击,而必然存在国家势力参与其中。
三、分类分级管理
三、分类分级管理
当前,以美国为首的西方国家,正在封锁制裁其他国家高精尖技术的发展,达到其霸权目的;另一方面,工业控制系统本身存在着大量的漏洞和后门(工业控制系统在设计时,只考虑了系统的稳定性、实时性、鲁棒性,牺牲了安全性),据CVE、CNVD等统计,西门子、施耐德、罗克韦尔、AB、ABB、艾默生、欧姆龙等占据首位。一旦这些漏洞和后门被病毒、木马、勒索软件甚至黑客、敌对势力所利用必然导致严重安全事件。
在我国,由于工业控制系统基础弱,大部分控制系统被国外垄断,受制于人,国外厂商完全有能力、有手段对正在我国运行的工业控制系统进行远程操控,或者获取机密数据。再加上新基建下的工业互联网的大力发展,必然导致工业控制系统的广泛互联,如果不进行安全有力的保障措施必然给国外的黑客组织、敌对势力带来攻击的机会。
为深入贯彻习近平总书记对工业互联网一系列重要指示精神,落实党中央、国务院决策部署,进一步巩固提升发展成效,更好地谋划推进未来一个阶段发展工作,工业互联网专项工作组制定出台了《工业互联网创新发展行动计划(2021-2023年)》(后称《三年行动计划》)。
《三年行动计划》坚持以深化供给侧结构性改革为主线,提升新型基础设施支撑服务能力,拓展融合创新应用,深化商用密码应用,增强安全保障能力。提出实施工业互联网企业网络安全分类分级管理制度,集中力量指导重要行业、重点企业建立安全防护能力,提升安全防护水平。开展分类分级管理,一是进一步贯彻指导意见有关要求,督促企业落实主体责任,健全完善部门协同、政府指导、企业主责的网络安全管理体系;二是指导地方主管部门形成工业互联网企业清单,建立健全定级核查、信息通报、监测预警、安全检查等机制,集中力量指导管理重点企业;三是通过标准规范引领推动企业贯标达标,促进工业互联网企业网络安全防护能力提升。
分类分级管理着力打造“1+4”的制度体系。1项《工业互联网企业网络安全分类分级管理指南》(后称《管理指南》),明确将工业互联网企业分为联网工业企业、平台企业、标识解析企业等三类,结合企业所属行业的重要性、企业规模、应用工业互联网程度、网络安全风险程度等因素,将企业分成三个级别,同时明确定级流程和安全管理、支持保障等方面的要求。4项《工业互联网企业网络安全分类分级防护规范》(后称《安全规范》),针对联网工业企业、平台企业、标识解析企业以及工业互联网数据四类对象,分别明确防护要点和不同级别的网络安全防护要求。
四、构建工控网络安全保障体系
四、构建工控网络安全保障体系
2021年1月13日,工业和信息化部印发《开展工业互联网企业网络安全分类分级管理试点工作的通知》,启动部署分类分级试点工作。结合各地工业互联网发展实际,目前选定上海、江苏、广东等15个省(区、市)232家重点工业行业的重点企业参与试点。试点工作由各省工业和信息化主管部门与通信管理局共同组织实施,包括自主定级、定级核查、落实安全要求、试点工作总结四个阶段,计划10月底前完成试点工作。通过试点进一步完善《管理指南》,提升《安全规范》的科学性、有效性和指导性,形成可复制可推广的安全管理模式。
试点过程中,工业互联网企业需依照法律、法规和相关标准的要求,采取技术、管理等综合措施,保障工业互联网相关设备、控制、网络、平台、应用、数据等网络安全,建立健全工控网络安全保障体系(如下图所示),有效防范应对网络安全事件,提升工业互联网企业网络安全防护能力。
图1 工控网络安全保障体系
工业互联网企业,从基础支撑、基础设施、安全保护、安全监管、管理保障及标准规范等多方面,构建工控网络安全保障体系。以密码技术、安全芯片等为基础支撑,针对PLC、数据采集与监视控制系统(SCADA)、远程信息处理器(T-BOX)等关键核心领域,加快密码应用核心技术突破;保护工控数据与应用安全、计算环境安全及网络与边界安全;强化监测保障,加快工业互联网安全态势感知、在线监测、风险评估等技术手段建设;强化管理保障能力;加强工业互联网密码应用安全性评估能力建设,全方位增强工业互联网企业安全保障能力,促进工控网络安全产业发展壮大,为工业互联网企业网络安全保驾护航。
五、小结
五、小结
从《管理指南》的实际落实过程来看,由于各类工业控制信息系统的应用场景各不相同,通常需要对重点生产环境进行足够全面的了解,才能形成最终精准全面的安全保障体系需求,同时还需要考虑物理安全与信息安全的结合问题,因此具体实施往往是分阶段进行的。从技术协同角度看,除了引入传统IT网络安全防护措施外,5G、区块链、人工智能等新技术的发展势必会不断形成新的工控网络安全保障体系建设方案。