一種符合工控系統“四高”特性的安全防御體系設計
工業控制網絡的特殊安全需求
工業控制網絡(后簡稱工控網絡)不同于普通信息網絡,其核心任務是保障生產操作指令常時暢通、持續有效,確保生產指令、生產要素、生產活動得以依托網絡快速展開,在生產鏈路的全時貫通、操作信息的全時受控、生產系統的連續運行、控制體系的安全可靠等方面有著很高的要求,導致其網絡安全防護體系設計有其特殊性。現階段主要采取遷移傳統IT安全保護技術到工控網絡,并不能很好地滿足工控信息體系安全需求。其特殊性主要體現在以下3個方面:
一是安全防御以生產業務優先作為首要原則。在信息網絡的安全保護中,主要關注的是對網絡中業務數據的安全防護,著重保證數據的保密性、完整性與可用性。而在工控網絡中,網絡的可用性是需要優先保障的,生產業務要求不間斷運行,運行過程中很難對安全設備進行更新換代,也不能像信息網絡那樣可以晚間中止服務數個小時來更新版本、補丁或安全控制措施。
二是安全彈性是工控網絡的基本要求。與普通信息網絡強調“共享性”不同,工控網絡要求具有高彈性安全能力(Cyber Resilience),也叫高魯棒性安全能力,其網絡信息體系設計和安全防御架構,必須考慮從各類網絡攻擊事件中“迅速恢復”能力。如何確保生產活動在遭受網絡攻擊時,工控網絡系統能夠抵擋攻擊入侵并快速從攻擊損壞中恢復,自動適應生產環境并保持其業務正常運轉能力,是非常重要的。
三是安全措施不能影響工控網絡的“四高”屬性。工控網絡的四高屬性:高可用性,與普通信息網絡強調保密性不同,工控網絡強調可用性;高確定性,工控網絡對通信時延、抖動要求遠高于普通信息網絡;高可靠性,工控網絡要求盡可能短的通信中斷、盡可能低的丟包率、對報文時序錯亂天生比較敏感;高融合性,這是當代工控網絡出現的新趨勢,工控網絡不再是單純的OT網絡,而是OT、IT、IoT高度混雜融合的網絡。
基于工控網絡特殊安全屬性,其安全防御需求至少包括以下3個方面:
一是網絡環境的可信性,主要是指整個網絡環境必須是確定清晰且可信任的,至少涵蓋網絡邊界、網絡設備和網絡交互的可信性等三個方面。網絡邊界可信是指所有網絡邊界都是清晰可描述的,包括終端設備的接入、終端設備上的外設接口、邊界隔離交換設備配置策略等;設備可信是指所有接入網絡的設備都是明確無遺漏的,所有終端設備的使用與變更要做到實時監控;網絡交互可信是指網絡中各個終端設備之間的交互行為是清晰可信的,包括網絡交互的參與方、采用的通信協議、執行的操作行為等。
二是網絡狀態的可知性,主要是指對于網絡當前運行的總體狀態明確可知,能夠及時感知其中正在發生或可能發生的安全事件,提前發現網絡異常情況或正在發生的攻擊活動,提升網絡異常行為發現感知能力,至少涵蓋設備接入、網絡交互和安全事件的可知性等三個方面。
設備接入可知是指各類終端設備接入網絡的情況是實時可知的,包括設備數量、類型、終端屬性信息等;交互活動可知是指網絡內各個終端設備之間的交互情況是實時可知的,包括當前活動連接分布情況、網絡流量內容情況等;網絡行為事件可知是指網絡中出現的異常流量現象或異常網絡行為是實時可知的,包括可疑終端設備接入、違規外聯、惡意提權操作等。
三是網絡運行的可控性,主要是指網絡能夠在運行過程中隨著網絡環境的變化及時調整威脅檢測規則,在網絡內發現異常活動或攻擊行為時能夠隨即采取措施,阻斷其攻擊活動,控制其危害范圍,保證相關生產業務系統的安全平穩運行,至少需要涵蓋分布性、適應性和可恢復性等三個方面內容。
控制的分布性是指網絡中的安全控制點或監測設備分散在網絡各個角落;控制的適應性是指能夠隨著網絡環境的變化動態調整其威脅檢測能力,確保對外部安全威脅和內部異常行為的檢測效率與準確性;控制的自恢復性是指網絡在發現內部異常活動或外部攻擊行為后,能夠及時采取反制措施,自行恢復網絡運轉。
高安全工控網絡防御體系設計思路
高安全工控網絡,絕對不是簡單的將普通信息網絡安全保護技術遷移到工控網絡,也不是將普通信息網絡安全保護的三大件部署在工控網絡,形成“安全孤島”或“數字堡壘”。
高安全工控網絡構建思路分為全新重構高安全工控網絡和持續加固現有工控網絡。
全新重構高安全工控網絡,主要有以下2個設計思路:
一是創新網絡體系結構,基于下一代互聯網技術建立具備自認證特征的基礎安全網絡,解決現有網絡在互聯互通與安全可控之間的對立矛盾,改變當前以行政管理手段解決基礎架構安全問題的尷尬局面,為工控網絡安全防御體系構造打下堅實技術根基;
二是建立動態信任體系,將傳統網絡安全技術與"可信計算"技術結合起來,改變傳統安全體系"防外重于防內"卻"防不勝防"的不利現狀,根據不同任務場景的不同安全需求,以終端的安全可信為源頭、作為信任根,從終端到網絡、到應用、到服務、到數據,基于主體屬性與客體保護等級之間的安全度量,建立動態信任信任鏈,最終建立起覆蓋整個工控網絡的可信網絡連接,從而提供對工控網絡環境更加完善的安全控制與安全保障;
持續加固現有工控網絡,主要有以下2個設計思路:
一是建立和持續優化縱深防御機制,將網絡安全能力部署到工控基礎設施與信息系統的“每一個角落”,力求最大化覆蓋構成工控網絡的各個組成實體,實現工控網絡與安全防護措施“深度融合、縱深覆蓋”的縱深防御能力;
二是部署網絡主動防御能力,建立威脅情報和人工智能引導的網絡安全態勢感知與安全控制體系,持續檢測網絡安全風險、準確感知網絡攻擊特征、及時阻斷網絡攻擊活動、完善改進網絡防護措施,哪怕是遭受物理攻擊,也能確保核心業務數據不被竊取、重要生產活動不被干擾、表現出充分的業務安全彈性與自主恢復能力。
全新重構高安全工控網絡關鍵路徑
高安全工控網絡以統一安全基底為基礎、以安全按需賦能為核心、以智能安全管理為保障,在安全態勢感知、威脅檢測預警、防御能力部署機制的支撐下,形成“監測-決策-響應-防御”的動態防御體系,實現基于態勢變化和安全需求的網絡信息系統安全防御。
其關鍵技術途徑主要包括:內生安全的基礎網絡、安全可信終端、動態信任機制,其中:具備內生安全的基礎網絡是整個工控網絡防御的基石;動態信任體制是工控網絡防御的關口,既不能讓“壞人”進來,又要把“好人”放進來,而且“好”與“壞”并非一成不變,而是要持續度量持續評估;安全可信終端是工控網絡防御的支點,終端是所有安全策略與信任關系的執行點,是所有安全措施與訪問控制的落腳點,是所有安全防御活動實際效果體現的環節。
內生安全基礎網絡:當前基礎的工控網絡,包括普通信息網絡,都不具備地址真實性鑒別的內生機制。針對此問題,IETF提出的HIP協議思路,在網絡層和傳輸層之間插入主機標識層,IP地址只作為網絡層所使用的定位標識符,實現數據報的路由轉發,主機標識符 HI(Host Identity)提供主機身份標識功能,由傳輸層使用。雙方在通信時,IP地址的變化對傳輸層透明,從而保證在發生移動或地址變化時,通信不中斷可以持續進行,并且通信對端可以根據主機標識 HI確定移動節點身份。
安全可信終端:目前工控網絡中的各類終端設備,其軟硬件體系結構大多是Wintel架構,其終端安全管控系統只能通過"打補丁、堵漏洞、建盾墻"等外掛方式,為終端系統運行提供安全防護能力,其防護效果往往是防不勝防。有人提出借助當前國產化替代的契機,采用虛擬化技術來實現可信終端。
動態信任機制:靜態信任機制先構建基礎的信任根,然后從信任根開始到硬件平臺、操作系統、應用程序,一層認證一層,一層信任一層,把這種信任擴展到整個工控網絡,從而確保整個工控網絡的可信性。工業互聯網將封閉的工控網絡系統打開,更加強調大規模業務資源共享與廣域業務流程協作,更加強調扁平化控制與分步式協同聯動,靜態信任機制已經不適用于當前及未來工控網絡。
基于“零信任”理念的動態信任機制,是參考了人類社會中的信任關系而提出的用于解決分布式網絡的信任管理模型。動態信任管理模型認為信任關系隨時間變化而變化,需要實時在線對信任關系進行評估;認為不同任務場景下網絡主體與客體之間的信任關系,需要根據主體身份屬性與客體受保護等級的不同而精確度量分析,進行細粒度權限控制和特定時空范圍的檢測審計;認為信任關系可以傳播,可以沿著業務網絡中具備可信連接路徑的關系路線進行傳播,解決不同安全域之間身份標識按需安全互認問題;認為信任關系的構建主要依靠相當長有效時間的安全交互行為,真正管用好用的可信管理策略需要從海量通信實體交互日志中挖掘生成,人為行政管理手段只是輔助。
持續安全加固現有工控網絡關鍵路徑
在實現高安全工控網絡的時候,我們不得不面對一個現實,那就是當前存在超大規模的正在服役的工控網絡系統,如何確保它的網絡信息安全?
一是建立和持續優化縱深防御機制。縱深防御是攻防對抗中消耗對方資源的最有效的方法。從網絡空間安全的角度,如下圖,可以從物理層、技術層和管理層分別建立縱深防御體系。
物理層縱深防御又可分為物理層、技術層和管理層。物理層有可視性、CPTED等安全考慮和措施指標;技術層措施包括電子門禁、物理入侵檢測、CCTV、報警系統等指標;管理層面會有場地管理、人員管理、應急演練等指標。
技術層縱深防御至少包括網絡、主機/設備、應用、數據等四層防線。如下圖所示:
網絡層按協議縱向層次防御,在OSI模型7個層次都可以采取相應的安全措施,比如物理層的防竊聽、鏈路層的防ARP欺騙、網絡層的IPsec、傳輸層的TLS等,應用層的識別控制等。網絡層按照邏輯區域防御,從外至內看,DMZ區可以有防火墻、VPN、WAF、IDS、APT防護、蜜罐等防控措施,在內網區域,有防火墻和網絡分區,有VLAN隔離、網絡準入、網絡DLP、內網蜜罐、SIEM、虛擬桌面等等內容,在內網的核心區域,保存著重要業務的數據庫。
應用層可從代碼層、服務層和業務層來防御,代碼層是最基礎,對應的安全方法有安全編碼規范、代碼走查、代碼掃描、代碼審計等等;服務層,有認證、授權、日志、加密、哈希、簽名等等技術措施;業務層,可以做更多的安全措施,會根據用戶的行為和特征做相應的安全防范。
管理層縱深防御從組織保障、安全規劃、管理制度到人的安全意識逐層遞進。在組織保障層面,要建立起安全組織架構、人員配備、崗位職責、協調機制等;在安全規劃層面,要制定安全方針、目標、愿景、策略并注重跟蹤落實;在管理制度層面,要定義一系列工作的規章和流程,如安全需求管理、漏洞管理、應急管理、事件管理、變更管理、配置管理等規章制度。
最終在人的安全意識層面上,本質上是要防范和規避人性的缺陷。為防范因人的疏忽而導致的誤操作,會采用變更管理,方案審核,雙人復核等措施;為防范人的懶惰,會采用考勤、巡檢、抽查、督辦、審計等措施;為防范人的貪婪,會采用最小特權、職責分離、多人控制、知識分離、特權管理等手段;為防范或威懾可能的作案,會采用崗位輪換、強制休假、離任審計等手段;為防范人的安全防范意識薄弱,需要對他們進行不斷的培訓、教育、宣傳、警示。信息安全意識培訓最重要的是提高警惕性,尤其是提高對社工類型攻擊的識別和防范能力。安全問責,對所有因不履行流程、不盡職、甚至是故意違反制度,尤其是引起不良后果的情況,都要問責。
為正在運行服役的工控網絡系統部署縱深防御能力,也可以考慮從物理層面、技術層面和管理層面來實施。這里僅描述技術層面的縱深防御體系。
為工控網絡系統實施縱深防御的核心思想:垂直分層、水平分區;邊界控制、內部監測;態勢感知、集中管理。如下圖所示,為工控系統和網絡提供五道防線:
第1道防線:部署工業網閘或工業防火墻實現IT與OT網絡隔離與訪問控制;
第2道防線:部署工業防火墻實現操作層與監控層網絡隔離與訪問控制;
第3道防線:部署工業衛士實現上位機加固、惡意代碼防護;
第4道防線:部署工業網絡入侵防御系統或工業防火墻抵御上位機與控制器之間的雙向入侵攻擊;
第5道防線:部署現場總線防火墻抵御來自現場總線網絡的入侵攻擊。
如上圖所示,有時候我們容易將工業網絡入侵審計系統、工業安全管理平臺、廠站工業態勢感知平臺三個系統在縱深防御體系中的價值定位混淆。
旁路部署在工業交換機的工業網絡入侵審計系統,屬于安全監測類系統,它的視野也僅僅是工業交換機所能夠連接的網絡區域,要想搞清楚工業網絡入侵審計系統應該提供哪些安全功能,應該以什么樣的交互方式提供這些安全功能,那么我們可以觀察一下這個網絡區域的OT工程師他們是如何監測生產業務的,具有如下特點:
- 工控裝置為監測單元,一臺顯示器的一個畫面監測此裝置的相關指標數據是否存在異常;
- 在線監測,線下處置;
- 監控畫面多為形象化、指標化。
因此工業網絡入侵審計系統不需要太多的統計分析圖表,而是重點提供經過去重、關聯、排序后的安全事件實時監測畫面即可,當然還需要提供安全事件留存證據查詢與調取的操作界面。
工業安全管理平臺針對整個工控網絡或工控網絡某區域從安全設備、網絡結構、安全策略、安全事件四個方面進行統一管理。因此工業安全管理平臺的管理視野可以小到一臺工業交換機的網絡范圍,大到整個工廠的工控網絡。
二是部署主動防御能力。工業網絡入侵審計系統是針對安全事件的實時監測,但往往視野僅僅局限在某個工業交換機網絡范圍,如果希望了解整個工廠的工控網絡,甚至是工廠IT網絡的安全狀況,則需要一個能夠監測到更大范圍的工具,這個工具就是上圖中的廠站工業態勢感知平臺。
在工廠范圍來說,更關心的是發生了什么,是否被網絡入侵、感染病毒了,因此廠站工業態勢感知平臺側重于基于XDR思想,借助人工智能、大數據分析等技術,實現整個工廠的工控網絡和信息網絡的關聯威脅檢測和威脅處置,從而具備主動防御能力:持續檢測網絡安全威脅、準確感知網絡安全風險、及時阻斷網絡攻擊活動、完善改進網絡防護措施。
