原創 | 工控系統的“一個中心”
引言
在信息技術高速發展的今天,網絡技術不斷的應用到工業控制系統中,利用網絡技術改進了企業產品全生命周期的各個環節,淘汰落后的生產能力,提升企業核心自主創新能力。享受兩化融合帶來的效能與效益之余,保障企業工業控制系統中的網絡安全成了企業所關注的焦點。鑒于安全形勢,國家發布了《信息安全技術 網絡安全等級保護基本要求》,新變革針對共性安全保護需求提出安全通用要求;針對云計算、移動互聯、物聯網、工業控制系統和大數據等新技術、新應用的保護需求提出安全擴展要求,形成新的網絡安全等級保護標準,確保關鍵信息基礎設施安全,強化了安全管理中心的概念,明確安全管理中心在系統網絡架構上的獨立地位,對管理傳輸鏈路通信安全性提出要求,同時要求具備對網絡安全事件的分析和告警能力。那么安全管理中心在企業工業控制系統中是否能起到應有的作用?本文就說一說我們在企業工業控制系統中發現安全管理中心存在的問題。
工控系統層級模型
要想了解“一個中心”,首先要對工業控制系統層次模型有個基本概念。
參考:IEC 62264-1的層次結構模型劃分。
L4企業資源層:主要包括ERP系統功能單元,用于為企業決策層員工提供決策運行手段。
L3生產管理層:主要包括MES系統功能單元,用于對生產過程進行管理,如制造數據管理、生產調度管理等。
L2過程監控層:主要包括監控服務器與HMI系統功能單元,用于對生產過程數據進行采集與監控,并利用HMI系統實現人機交互。
L1現場控制層:主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執行設備進行控制。
L0現場設備層:主要包括各類過程傳感設備與執行設備單元,用于對生產過程進行感知與操作。
“一個中心”是什么?
工業控制系統根據被保護對象業務性質分區,針對功能層次技術特點實施信息安全等級保護設計,根據“一個中心”管理下的“三重防護”體系框架,“一個中心”就是安全管理中心,也就是構建在安全管理中心支持下的安全通信網絡、安全區域邊界、安全計算環境三重防御體系。
安全管理中心的要求
安全管理中心名稱雖然看著像管理,但實際為技術部分。在《信息安全技術 網絡安全等級保護基本要求》中主要要求包括系統管理、審計管理、安全管理和集中管控四個控制點。
1) 系統管理要求:
a) 應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些操作進行審計。
b) 應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。
2) 審計管理要求:
a) 應對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計。
b) 應通過審計管理員對審計記錄應進行分析,并根據分析結果進行處理,包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。
3) 安全管理要求
a) 應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,并對這些操作進行審計。
b) 應通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。
4) 集中管控要求:
a) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理。
b) 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。
c) 應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求。
d) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。
e) 應能對網絡中發生的各類安全事件進行識別、報警和分析。
f) 應保證系統范圍內的時間由唯一確定的時鐘產生,以保證各種數據的管理和分析在時間上的一致性。
為什么管?
“一個中心,三重防護”的體系架構,目的是讓工控系統通過安全策略建立邊界防護體系,事前未雨綢繆;通過安全機制建立動態監控體系,事中風雨同舟;通過查處震懾建立信用體系,事后秋后算賬。最后通過安全管理中心使整體具備安全運維、應急響應的能力,保證系統安全機制始終可管。
管什么?
由下圖可見,安全管理中心應與第0-3層,也就是工控系統中所有參與通信的網絡設備相連接。安全管理中心可以把分散的安全設備、安全策略、安全事件、安全風險、安全運維和系統中產生的日志集中統一的管理和運營起來。
怎么管?
要符合安全管理中心相應要求,通常要使用但不局限于以下安全產品。
- 運維審計類產品:
建立面向用戶的集中、有序、主動的運維安全管控平臺,通過基于唯一身份標識的集中賬號與訪問控制策略,與各服務器、網絡設備等無縫連接。知道什么人,在什么時間,登錄了什么設備,做了什么事情,實現集中精細化運維操作管控與審計。
- 日志審計類產品:
采集不同廠商的網絡設備、主機、操作系統以及各種應用系統產生的日志信息,實現對工控系統整體安全狀況的全面審計。
- 集中管理類產品:
對工控系統中的工業防火墻、安全審計、入侵檢測、終端衛士等設備進行統一管理、配置、授權和響應。對安全設備的策略和安全事件進行集中、有效的管理。
存在什么問題?
通過上述描述相信大家也認識到了,安全通信網絡、安全區域邊界、安全計算環境覆蓋工控系統的各層級。安全管理中心要服務于工控系統的各層級,網絡的連通是必備條件,所以規劃時多數會將安全管理中心放在生產管理層。工控系統中由于廠家、協議的繁雜,生產數據在L2(過程監控層)、L3(生產管理層)、L4(企業資源層)傳遞時多數在層級之間使用接口機。接口機也稱為Buffer機,接口機通過與OPC服務器進行通訊,采集生產數據,起著數據緩沖、數據格式轉換等作用。接口機通常采用多網卡收發數據,各層在數據傳遞時,網絡路由是不可達的,這就導致了安全管理中心無法連接到接口機的另一側網絡,看不到想看的數據,管不到想管的設備,安全管理中心不能起到作用,那無疑會大大提高企業安全運維的成本。這直接導致企業只買不用,將安全產品堆在角落,淪落為應付合規性檢查的工具。下面就簡單列舉一下我們實際發現的一些問題。
- 問題1
在我們調查的企業中,大多數企業往往因為擔心破壞工控系統的穩定性,或因預算不足等原因不去建設安全專網,如果操作站安裝日志采集代理、終端安全防護軟件,是無法將日志、安全事件上傳到安全管理中心的。這會使工控系統中所有安全組件各自為政。
- 問題2
還以這張圖為例,可以看到雖然建設了安全專網,但若要管理操作站,只能將工控系統與安全專網連通,這樣雖然可以統一管理,但會使安全管理中心變的不安全,我們還沒有見到過將工控系統直接與安全專網打通的企業。
- 問題3
少數建設安全專網的企業中,安全專網打通了工控系統的各層網絡,卻沒有按照工控安全框架對安全專網進行邊界隔離,導致了新的安全問題出現,攻擊者可通過安全專網進入安全管理中心,使攻擊者更加容易的入侵工控系統。
- 問題4
很多企業在工控安全建設時,不會一步到位的去建設安全體系,會根據實際情況分期建設。由于每個廠家的安全產品接口不共享,自家產品只支持自家平臺管理,如果后續建設中選用的安全產品與之前廠家不一樣,會出現無法統一管理的問題。使用相同廠家安全產品,雖然可以統一管理,但會存在相同的編碼問題,相同的通用組件等,這些問題會極大降低攻擊者的攻擊成本。
解決思路
要想安全管理中心起到作用,這些問題是當前階段需要解決的,我們提出了一些解決思路。
1、建立安全專網,這是毋庸置疑的。安全專網的架構需要與原有工控系統網絡架構一樣,在安全管理中心邊界為之部署下一代防火墻,之所以不使用工業防火墻,因為工業防火墻設計更偏向于工業場景、工業協議,而安全專網中不存在工業協議,下一代防火墻更加適用在安全專網中。
2、在工控系統中都應選擇具備獨立管理網口的安全產品,使業務與管理分離,互不干擾。
3、對于安全管理中心無法管理,網絡路由不可達的區域,建立安全專網組網,然后通過多級部署的方式進行管理,雙網卡分別連接工控系統與安全專網,類似接口機方式,這樣分離工控系統與安全專網,也可提高安全管理中心的安全性。
4、盡可能選擇不同廠家的安全產品,使部署在工控系統中的安全產品差異化。工控安全廠家應開放接口建立行業統一標準,使不同廠家的安全產品可以在一個平臺上統一管理。
5、要有專用的安全運維計算機,用于運維人員對安全管理中心的維護。也要對安全管理中心的所有產品進行安全加固,如設置復雜的登錄密碼,取消超級權限用戶,滿足三權分立要求。設置訪問策略,只允許安全運維計算機訪問安全產品等。
總結
在《信息安全技術 網絡安全等級保護基本要求》中,已經要求安全管理中心建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理。但工控系統網絡結構復雜,節點較多,搭建一條真正安全的專網并不是一個簡單的事情。安全管理中心是安全的大腦,但在企業眼里重視程度遠不如邊界安全、終端安全重要,這是一個值得思考的問題。工控安全已經從無到有,從有到優,如何從優到強,建立完善的安全管理中心,是當前階段需要解決的問題。
內容引自: 網絡安全應急技術國家工程實驗室
作者: | 綠盟科技格物實驗室 任心 renxin2@nsfocus.com
