作者:肖建荣
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
工业控制系统信息安全试读:
前言
工业控制系统信息安全事件的频繁发生,吸引了全球人们的目光,因为现代工业控制系统普遍采用数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制(PLC),以及其他控制系统等,而且已广泛应用于电力、水力、石化、钢铁、医药、食品、汽车、航天等工业领域,成为国家关键基础设施的重要组成部分,其是否能够安全稳定运行,已经关系到国家的战略安全。
为了应对工业控制系统信息安全,世界各国政府都在积极参与,世界各国专家开展广泛合作,制定一些相关的国际标准和规范,各国也在组织本国的人力、物力,制定相应的国家标准和规范,做到未雨绸缪,竭尽全力做好工业控制系统信息安全工作。
工业控制系统信息安全刚刚走过十几年,还处在发展过程中。如何建立一套全面的知识和实践应用体系,是我们面对的当务之急,这正是本书的编写出发点。虽然对其中的内容有些争议,但是我们希望在各方共同参与下,在争议和发展中积极推进工业控制系统信息安全工作,做到在争论中不断发展,在实践中不断推进。因此,本书将给广大的工业控制系统用户一个全面和正确的指导,给广大从事工业控制系统设计、施工、调试和服务用户一个强有力的支撑,同时也可以给工业控制系统供应商提供参考,对政府的一些职能部门的工作也有一定的参考性。
本书分为 12 章。第 1 章介绍工业控制系统信息安全现状、威胁与趋势、定义与要求,以及标准体系;第2章介绍工业控制系统架构与漏洞分析;第3章介绍工业控制系统信息安全技术与部署的工业防火墙技术、虚拟专用网技术、控制网络逻辑分隔、网络隔离,以及纵深防御架构;第 4 章介绍工业控制系统信息安全风险评估的系统识别、区域与管道定义、信息安全等级、风险评估过程,以及风险评估方法;第 5 章介绍工业控制系统生命周期、信息安全程序成熟周期,以及信息安全等级生命周期;第 6 章介绍工业控制系统信息安全管理体系的安全方针、组织与合作团队、资产管理、人力资源安全、物理与环境管理、通信与操作管理、访问控制、信息获取与开发维护、信息安全事件管理、业务连续性管理,以及符合性;第 7 章介绍工业控制系统信息安全项目规划设计、初步设计、详细设计、施工调试、运行维护,以及升级优化;第 8 章介绍工业控制系统信息安全产品认证机构、产品认证,以及产品认证趋势;第 9 章介绍工业控制系统入侵检测与入侵防护;第 10 章介绍工业控制系统补丁定义、补丁管理系统设计、补丁管理程序,以及补丁管理实施;第 11 章介绍工业控制系统信息的两个常见应用实例,即工厂信息管理系统和远程访问系统;第 12 章介绍工业发展趋势、工业控制系统发展趋势,以及工业控制系统信息安全展望。
本书在编写过程中,除引用了作者多年的工作实践和研究内容之外,还大量参考了一些国内外优秀论文、书籍,以及互联网上公布的相关资料,尽量在书后面的参考文献中列出,但由于互联网上资料数量众多、出处引用不明确,可能无法将所有文献一一注明出处,对这些资料的作者表示由衷的感谢,同时声明,原文版权属于原作者。
本书是一本工业控制系统信息安全前沿技术专业书,可以作为广大从事工业控制系统、网络安全管理工程设计、应用开发、部署与管理工作的高级技术人员的参考书,也可以作为高等院校工业自动化、计算机科学与技术、信息安全等相关专业的本科高年级学生、研究生的参考书。
工业控制系统信息安全是一门应用性很强的跨专业学科,在工业化和信息化大规模发展的今天已取得了一定的发展,本书尝试对此领域的理论和技术做一些归纳,以期有益于广大专业同行和关心工业控制系统信息安全的人士。由于工业控制系统信息安全技术在快速发展,加之作者的水平有限,书中难免有一些缺点和错误,真诚希望读者不吝赐教,以期再版修订。作者2015年4月第1章工业控制系统信息安全简介1.1 工业控制系统信息安全现状、威胁与趋势
随着工业化和信息化的飞速发展,工业控制系统产品越来越多地采用以信息技术(IT)为基础的通用协议、通用硬件和通用软件,并广泛应用于电力、冶金、安防、水利、污水处理、石油天然气、化工、交通运输、制药,以及大型制造等行业中。同时,为了适应当前工业控制的要求,提高工厂或公司管理的运作效率,工业控制系统通过各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散。由于工业控制系统的产品特性和网络连接,工业控制系统正面临很大的威胁,于是,工业控制系统信息安全受到越来越多的关注。1.1.1 工业控制系统信息安全现状
2001 年后,通用开发标准与互联网技术的广泛使用,使针对工业控制系统的攻击行为出现大幅度增长,工业控制系统信息安全变得日益严重。
据权威工业安全事件信息库(Repository of Industrial Security Incidents,RISI)统计,截止到 2011 年 10 月,全球已发生 200 余起针对工业控制系统的攻击事件。据美国 ICS-CERT 报告,2012 年工控安全事件 197 起,2013 年工控安全事件 248 起,其统计图如图1-1所示。
由此可见,近几年针对工业控制系统的安全事件呈明显上升趋势。同时,ICS-CERT安全报告指出,工业控制系统安全事件主要集中在能源、关键制造业、交通、通信、水利、核能等领域,而能源行业的安全事故则超过了一半。
近年来,典型工业控制系统入侵事件出现在能源、水利与水处理、交通运输、制造等行业。
1.能源行业
1994年,美国亚利桑那州Salt River Project 被黑客入侵。
2000 年,俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络(属于GAzprom公司)。
2001年,黑客侵入了监管加州多数电力传输系统的独立运营商。
2003年,美国俄亥俄州 Davis-Besse 的核电厂控制网络内的一台计算机被微软的 SQL Server蠕虫所感染,导致其安全监控系统停机将近5小时。
2003 年,龙泉、政平、鹅城换流站控制系统发现病毒,后发现是由外国工程师在系统调试中用笔记本电脑上网所致。
2007年,在美国国土安全局的“Aurora”演习中,针对电力控制系统进行渗透测试,一台发电机在其控制系统受到攻击后被物理损坏。
2010年,“网络超级武器”Stuxnet病毒针对性地入侵工业控制系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营。
2012年,美国国土安全局下属的ICS-CERT称,自2011年12月以来,已发现多起试图入侵几大输气公司的黑客活动。
2012 年 4 月 22 日,伊朗石油部和国家石油公司内部计算机网络遭病毒攻击,为安全起见,伊朗方面暂时切断了海湾附近哈尔克岛石油设施的网络连接。
2.水利与水处理行业
2000 年,一个工程师在应聘澳大利亚的一家污水处理厂被多次拒绝后,远程侵入该厂的污水处理控制系统,恶意造成污水处理泵站3的故障,导致超过 1000m 的污水被直接排入河流,导致了严重的环境灾难。
2001 年,澳大利亚的一家污水处理厂由于内部工程师的多次网络入侵,该厂发生了46次控制设备功能异常事件。
2005年,美国水电溢坝事件。
2006 年,黑客从 Internet 攻破了美国哈里斯堡的一家污水处理厂的安全措施,在其系统内植入了能够影响污水操作的恶意程序。
2007年,攻击者侵入加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于控制从Sacrmento河调水的控制计算机。
2011 年,黑客通过 Internet 操纵美国伊利诺伊州城市供水系统 SCADA,使得其控制的供水泵遭到破坏。
3.交通运输行业
1997年,一个十几岁的少年侵入纽约NYNES系统,干扰了航空与地面通信,导致马萨诸塞州的Worcester机场关闭6个小时。
2003 年,CSX 运输公司的计算机系统被病毒感染,导致华盛顿特区的客货运输中断。
2003年,19岁的Aaron Caffrey侵入Houston渡口的计算机系统,导致该系统停机。
2008 年,攻击者入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,导致四节车厢脱轨。
4.制造行业
2005年,在 Zotob 蠕虫安全事件中,尽管在 Internet 与企业网、控制网之间部署了防火墙,还是有 13 个美国汽车厂由于被蠕虫感染而被迫关闭,50 000 生产线工人被迫停止工作,预计经济损失超过1 400 000美元。
2010年我国某石化、2011年某炼油厂的某装置控制系统分别感染Conficker病毒,都造成了控制系统服务器与控制器通信不同程度地中断。
2014 年,某钢铁厂遭到攻击,攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转,造成重大破坏。
5.跨行业
2011年,微软警告称最新发现的 Duqu病毒可从工业控制系统制造商那里收集情报数据。
2012 年,发现攻击多个中东国家的恶意程序 Flame 火焰病毒,它能收集各行业的敏感信息。1.1.2 工业控制系统信息安全威胁
工业控制系统信息安全的威胁主要来自敌对因素、偶然因素、系统结构因素和环境因素。
1.敌对因素
敌对因素可以是来自内部或外部的个体、专门的组织或政府,通常采用包括黑客攻击、数据操纵(Data M anipulation)、间谍(Espionage)、病毒、蠕虫、特洛伊木马和僵尸网络等进行攻击。
黑客攻击是通过攻击自动化系统的要害或弱点,使得工业网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,从而造成不可估量的损失。
来自外部的攻击包括非授权访问,是指一个非授权用户的入侵;拒绝服务(Denial o f Service,DoS)攻击,即黑客想办法让目标设备停止提供服务或资源访问。这样一来,一个设备不能执行它的正常功能,或它的动作妨碍了其他设备执行它们的正常功能,从而导致系统瘫痪,停止运行。
近些年来,高级持续威胁(Advanced Persistence Th reat,APT)不断出现。攻击者有一个基于特定战略的缜密计划,即使他们使用的是相对简单的机制。其攻击对象是大中型企业、政府、重要机构。攻击者使用社会上的工程技术和/或招募内部人员来获取有效登录凭证。选择使用何种工具主要取决于他们的攻击目标是什么,以及其网络配置和安全状况。攻击者经常利用僵尸网络,僵尸网络能够给他们提供更多资源来发动攻击,并且很难追踪到攻击的源头。
2.偶然因素
偶然因素可以是来自内部或外部的专业人员、运行维护人员或管理员。由于技术水平的局限性及经验的不足,这些人员可能会出现各种意想不到的操作失误,势必对系统或信息安全产生较大的影响。
3.系统结构因素
系统结构因素可以是来自系统设备、安装环境和运行软件。由于老化、资源不足或其他情况造成系统设备故障、安装环境失控及软件故障,对系统或信息安全产生较大的影响。
4.环境因素
环境因素可以是来自自然或人为灾害、非正常的自然事件(如太阳黑子等)和基础设施破坏。这些自然灾害、人为灾害、非正常的自然事件和基础设施破坏,对工业控制系统信息安全产生较大的影响。1.1.3 工业控制系统信息安全趋势
工业控制系统信息安全趋势主要有 3个:分布式全行业覆盖趋势、经济越发达安全事件越多趋势和日益增多趋势。
1.全行业覆盖趋势
目前,工业控制系统广泛应用于我国电力、冶金、安防、水利、污水处理、石油天然气、化工、交通运输、制药,以及大型制造等行业中,据不完全统计,超过80%涉及国计民生的关键基础设施是依靠工业控制系统来实现自动化作业的,工业控制系统已是国家安全战略的重要组成部分。因此,工业控制系统信息安全有全行业覆盖的趋势。
2.经济越发达安全事件越多趋势
国家经济越发达,工业控制系统应用越广泛;国家经济越发达,工业管理要求更高,工厂信息化建设越多。因此,工业控制系统信息安全有国家经济越发达工业控制系统安全事件就越多的趋势。
3.日益增多趋势
新技术新应用层出不穷,云计算、移动互联网、大数据、卫星互联网等领域的新技术新应用带来了新的信息安全问题。因此,工业控制系统信息安全有日益增多的趋势。1.2 工业控制系统信息安全定义
工业领域的安全通常可分为功能安全(Functional Safety)、物理安全(Physical Safety)和信息安全(Security)三类。
功能安全是为了实现设备和工厂安全功能,受保护的安全相关部分和控制设备的安全相关部分必须正确执行其功能。当失效或故障发生时,设备或系统必须仍能保持安全条件或进入到安全状态。
物理安全是减少由于电击、着火、辐射、机械危险、化学危险等因素造成的危害。
信息安全的范围较广,大到国家军事政治等机密安全,小到防范企业机密的泄露、个人信息的泄露等。在 ISO/IEC 2700 2 中,信息安全的定义是“保持信息的保密性、完整性、可用性,另外也可包括真实性、可核查性、不可否认性和可靠性等。”1.2.1 IEC对工业控制系统信息安全的定义
工业控制系统信息安全是工业领域信息安全的一个分支,是最近发展起来的一个热点名词。事实上,工业控制系统信息安全早就存在,只是当时人们并没有意识到。
工业控制系统信息安全与通用信息技术(IT)安全有一定的区别,有一定的共性,有时也有一定的交集,取决于工业控制系统的架构。
在IEC 6244 3中对工业信息安全的定义:①保护系统所采取的措施;②由建立和维护保护系统的措施所得到的系统状态;③能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失;④基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据又无法访问系统功能,却保证授权人员和系统不被阻止;⑤防止对工业控制系统的非法或有害入侵,或者干扰其正确和计划的操作。1.2.2 工业控制系统信息安全需求
工业控制系统信息安全是针对工业控制系统的信息保护而言的,其信息安全的 3 个基本需求如下。图1-2 工业控制系统信息安全与信息技术系统安全比较图
1.可用性
工业控制系统信息安全必须确保所有控制系统部件可用,运行正常及功能正常。
工业控制系统的过程是连续的,工业过程控制系统不能接受意外中断。如果需要人为中断,必须提前计划和安排。具体实施前的测试是必须的,以确保工业控制系统的高可用性。除了意外中断,许多控制系统为了保证生产连续,不允许随便停止和启动。在某些情况下,生产的产品或使用的设备比信息的中断更重要。因此,采用典型的 IT 策略,如重新启动一个组件,通常在工业控制系统中是不能接受的,会对系统的可用性、可靠性和可维护性要求产生不利影响。有些工业控制系统采用冗余组件,并行运行,在主组件出问题时可以切换到备份组件,提供连续性。
2.完整性
工业控制系统信息安全必须确保所有控制系统信息的完整性和一致性。工业控制系统信息的完整性和一致性,分为如下两方面:(1)数据完整性,即未被未授权篡改或者损坏。(2)系统完整性,即系统未被非法操纵,按既定的目标运行。
3.保密性
工业控制系统信息安全必须确保所有控制系统信息安全,配置必要的授权访问,防止工业信息盗取事件的发生。
除上面介绍的 3 个基本需求外,工业控制系统信息安全还有其他方面的需求,这些需求将在第2章介绍。1.2.3 工业控制系统信息安全与信息技术系统安全比较
与工业控制系统信息安全相比较,信息技术系统安全也有上面提到的 3个需求。两者对这些需求的优先级是有区别的,其区别如图1-2所示。1.3 工业控制系统信息安全要求和标准体系
目前,工业控制系统信息安全已引起国际社会的广泛关注,成立专门工作组,相互协作,共同应对工业控制系统信息安全问题,对工业控制系统信息安全提出要求,建立相关国际标准。
我国也正在抓紧制定工业控制系统关键设备信息安全规范和技术标准,明确设备安全技术要求。1.3.1 国家部委、行业通知
2011 年 9 月,工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》([2011]451 号),通知明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求。并在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理六个方面提出了明确的具体要求。文中明确指出:“全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准,明确设备安全技术要求。”
2012 年 6 月 28 日,国务院《关于大力推进信息化发展和切实保障信息安全的若干意见(国发〔2012〕23 号)》明确要求:保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统,定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评,实行安全风险和漏洞通报制度。
2013 年 8 月 12 日,在国家发改委《关于组织实施 2013 年国家信息安全专项有关事项的通知》中,工控安全成为四大安全专项之一,国家在政策层面给予工控安全大力的支持。
电力行业已陆续发布《电力二次系统安全防护规定》、《电力二次系统安全防护总体要求》等一系列文件。1.3.2 国际标准体系
1.IEC/ISA
1)IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》
IEC 62443一共分为四个系列共13个标准,第一系列是通用标准,第二系列是策略和规程,第三系列提出系统级的措施,第四系列提出组件级的措施。在这 13 个标准中,其中4个标准已完成,其他9个标准在投票或制定过程中,其详细架构图如图1-3所示。各系列的各个标准简要介绍如下:
IEC 62443-1 是第一系列,描述了信息安全的通用方面,作为 IEC 62 443 其他系列的基础。图1-3 IEC 62443/ISA-99 架构图
IEC 62443-1-1 是术语、概念和模型,主要介绍安全目标、深度防御、安全上下文、威胁风险评估、安全程序成熟度、安全等级生命周期、参考模型、资产模型、区域和管道模型,以及模型之间的关系,还包括7个基本要求(FR)的安全保障等级(SAL)。
IEC 62443-1-2 是术语和缩略语,包含了该系列标准中用到的全部术语和缩略语列表。
IEC 62443-1-3 是系统信息安全符合性度量,包含建立定量系统信息安全符合性度量体系所必要的要求,提供系统目标、系统设计和最终达到的信息安全保障等级。
IEC 62443-1-4是系统信息安全生命周期和使用案例。
IEC 62443-2 是第二系列主要针对用户的信息安全程序。它包括整个信息安全系统的管理、人员和程序设计方面,是用户在建立其信息安全程序时需要考虑的。
IEC 62443-2-1 是建立工业自动化和控制系统信息安全程序,描述了建立网络信息安全管理系统所要求的元素和工作流程,以及针对如何实现各元素要求的指南。
IEC 62443-2-2 是运行工业自动化和控制系统信息安全程序,描述了在项目已设计完成并实施后如何运行信息安全程序,包括测量项目有效性的度量体系的定义和应用。
IEC 62443-2-3是工业自动化和控制系统环境中的补丁更新管理。
IEC 62443-2-4是对工业自动化控制系统制造商信息安全政策与实践的认证。
IEC 62443-3 是第三系列,是针对系统集成商保护系统所需的技术性信息安全要求。它主要是系统集成商在把系统组装到一起时需要处理的内容。它包括将整体工业自动化控制系统设计分配到各个区域和通道的方法,以及信息安全保障等级的定义和要求。
IEC 62443-3-1 是信息安全技术,提供了对当前不同网络信息安全工具的评估、缓解措施,可有效地应用于基于现代电子的控制系统,以及用来调节和监控众多产业和关键基础设施的技术。
IEC 62443-3-2 是区域和通道的信息安全保障等级,描述了定义所考虑系统的区域和通道要求,用于工业自动化和控制系统的目标信息安全保障等级要求,并对验证这些要求提供信息性的导则。
IEC 62443-3-3是系统信息安全要求和信息安全保障等级,描述了与IEC 62443-1-1定义的7项基本要求相关的系统信息安全要求,以及如何分配系统信息安全保障等级。
IEC 62443-4 是第四系列,是针对制造商提供的单个部件的技术性信息安全要求。它包括系统的硬件、软件和信息部分,以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。
IEC 62443-4-1是产品开发要求,定义了产品开发的特定信息安全要求。
IEC 62443-4-2 是对 IACS 产品的信息安全技术要求,描述了对嵌入式设备、主机设备、网络设备等产品的技术要求。
IEC 62443 涵盖了所有的利益相关方,即资产所有者、系统集成商、组件供应商,以尽可能地实现全方位的安全防护。为了避免标准冲突,IEC 62443 同时涵盖了业内相关国际标准的内容,例如,来自荷兰石油天然气组织 WIB 标准和美国电力可靠性保护协会标准NERC-CIP标准,它们包含的附加要求也被整合在IEC 62443 系列标准中。因此,该标准是工业控制系统信息安全的通用而且全面的标准。该标准的建立和实施,是工业控制系统信息安全的里程碑,将对工业控制系统信息安全产生深远的影响。
2)IEC 62351《电力系统管理与相关信息交互数据和通信信息安全》
IEC 6235 1是IEC 第57技术委员会WG15工作组为电力系统安全运行针对有关通信协议(IEC 6 0870-5、IEC 60870-6、IEC 61850、IEC 61970、IEC 61968系列和DNP 3)而开发的数据和通信安全标准。IEC 6 2351标准的全名为电力系统管理及关联的信息交换-数据和通信安全性(Power Systems M anagement an d Associated In formation Exchange-Data and Communications Security),它由八个部分组成,现对该标准各部分做简要介绍如下:(1)IEC 6 2351-1 是介绍部分,该部分包括对电力系统运行安全的背景,以及IEC 62351安全性系列标准的导言信息。(2)IEC 623 51-2 是术语部分,该部分包括 IEC 62351 标准中使用的术语和缩写词的定义。这些定义将建立在尽可能多的现有的安全性和通信行业标准定义上,所给出的安全性术语广泛应用于其他行业及电力系统中。(3)IEC 623 51-3 是 TCP/IP 平台的安全性规范部分,提供任何包括 TCP/IP 协议平台的安全性规范,包括IEC 60870-6 T ASE.2、基于TCP/IPACSI的IEC 61 850 ACSI 和IEC 60870-5-104。它指定了通常在互联网上包括验证、保密性和完整性的安全配合的传输层安全性(TLS)的使用。这部分介绍了在电力系统运行中有可能使用的 TLS 参数和整定值。(4)IEC 62 351-4 是 MMS 平台的安全性部分,提供了包括制造报文规范(MMS) (9506 标准)平台的安全性,包括 TASE.2(ICCP)和 IEC 61850。它主要与 TLS 一起配置和利用它的安全措施,特别是身份认证。它也允许同时使用安全和不安全的通信,所以在同一时间并不是所有的系统需要使用安全措施升级。(5)IEC 623 51-5 是 IEC 60870-5 及其衍生规约的安全性部分,对该系列版本的规约(主要是IEC 60870-5-101,以及部分的102和103)和网络版本(IEC 60870-5-104和DNP 3.0)提供不同的解决办法。具体来说,运行在 TCP/IP 上的网络版本,可以利用在 IEC62351-3 中描述的安全措施,其中包括由 TLS 加密提供的保密性和完整性。因此,唯一的额外要求是身份认证。串行版本通常仅能与支持低比特率通信媒介,或与受到计算约束的现场设备一起使用。因此,TLS 在这些环境使用的计算和/或通信会过于紧张。因此,提供给串行版本的唯一的安全措施,包括地址欺骗、重放、修改和一些拒绝服务攻击的认证机制,但不尝试解决窃听、流量分析或需要加密的拒绝。这些基于加密的安全性措施,可以通过其他方法来提供,如虚拟专用网(VPN)或“撞点上线”技术,依赖于采用的通信和有关设备的能力。(6)IEC 623 51-6 是 IEC 61850 对等通信平台的安全性部分,IEC 6185 0 包含变电站LAN 的对等通信多播数据包的 3 个协议,它们是不可路由的。所需要的信息传送要在4ms 内完成,因而采用影响传输速率的加密或其他安全措施是不能接受的。因此,身份认证是唯一包括的安全措施,这样 IEC 62351-6 这些报文的数字签名提供了一种涉及最少计算要求的机制。(7)IEC 623 51-7 是用于网络和系统管理的管理信息库部分,这部分标准规定了指定用于电力行业通过以 SNMP 为基础处理网络和系统管理的管理信息库(MIB)。它支持通信网络的完整性、系统和应用的健全性、入侵检测系统(IDS),以及电力系统运行所特别要求的其他安全性/网络管理要求。(8)IEC 623 51-8 是基于角色的访问控制部分,这一部分提供了电力系统中访问控制的技术规范。通过本规范支持的电力系统环境是企业范围内的,以及超出传统的边界的,包括外部供应商、供应商和其他能源合作伙伴。本规范精确地解释了基于角色的访问控制(RBAC)在电力系统中企业范围内的使用。它支持分布式或面向服务的架构,这里的安全性是分布式服务的,而应用是来自分布式服务的消费者。
IEC 62351 中所采用的主要安全机制,包括数据加密技术、数字签名技术、信息摘要技术等,其常用的标准有先进的加密标准(AES)、数据加密标准(DES)、数字签名算法(DSA)、RSA 公钥密码、MD5 信息摘要算法、D-H 密钥交换算法、SHA-1 哈希散列算法等。当有新的更加安全可靠的算法出现时,也可以引入IEC 62351标准中。
该标准的建立和实施将对电力系统数据和通信信息安全产生深远的影响。
3)IEC 62278《轨道交通可靠性、可用性、可维修性和安全性规范及示例》
本标准定义了 RAMS 各要素(可靠性、可用性、可维修性和安全性)及其相互作用,规定了一个以系统生命周期及其工作为基础、用于管理 RAMS 的流程,使 RAMS 各个要素间的矛盾得以有效地控制和管理。
本标准不规定轨道交通特定应用中的 RAMS 指标、量值、需求或解决方案,不指定保证系统安全的需求。这些应在各类特定应用的RAMS子标准中规定。
2.ISO/IEC
ISO/IEC 270 00 《信息安全管理系统》包含了信息安保标准,由国际标准化组织(ISO)和国际电工委员会(IEC)共同颁布。
下面是ISO/IEC的安保系列标准,可以用于实施安保蓝图中的项目:
ISO/IEC 27000—信息安保管理系统-概述和词汇。
ISO/IEC 27001—信息安保管理系统-要求。
ISO/IEC 27002—用于信息安保管理实践的规则。
ISO/IEC 27003—信息安保管理系统实施指南。
ISO/IEC 27004—信息安保管理-测量。
ISO/IEC 27005—信息安保危险管理。
ISO/IEC 27006—对信息安保管理系统提供审计和认证机构的要求。
ISO/IEC 27011—基于ISO/IEC 27002电信组织的信息安保管理指南。
ISO/IEC 27033-1—网络安保概述和概念。1.3.3 国内标准体系
我国工业控制系统信息安全标准体系正在建立过程中,分为国家标准和行业标准,有些已经发布,有些正在制定、审批或计划过程中,敬请关注。
这些标准的建立,对我国工业控制系统信息安全具有极其重要的指导和规范作用,将大力推动我国工业控制系统信息安全建设。
目前,已发布与工业控制系统信息安全有关的标准介绍如下,具体内容请查阅相关标准。
1.全国工业过程测量和控制标准化技术委员会
1)GB/T 30976.1-2014《工控系统信息安全 第1部分:评估规范》
该规范规定了工业控制系统(SCADA、DCS、PLC、PCS等)信息安全评估的目标、评估的内容、实施过程等。
该规范适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人,以及评估认证机构等对工业控制系统的信息安全进行评估时使用。
该规范包括术语、定义和缩略语,工业控制系统信息安全概述,组织机构管理评估,系统能力(技术)评估,评估程序,工业控制系统生命周期各阶段的风险评估,以及评估报告的格式要求等内容。
该规范于2015年2月1日正式实施。
2)GB/T 30976.2-2014《工控系统信息安全 第2部分:验收规范》
该规范规定了对实施安全解决方案的工业控制系统信息安全能力进行验收的验收流程、测试内容、方法及应达到的要求。这些测试是为了证明工业控制系统在增加安全解决方案后满足对安全性的要求,并且保证其主要性能指标在允许范围内。
该规范的各项内容可作为实际工作中的指导,适用于各种工艺装置、工厂和控制系统。
该规范包括术语和定义、概述、验收准备阶段、风险分析与处置阶段,以及能力确认阶段等内容。
该规范于2015年2月1日正式实施。
2.全国电力系统管理及其信息交换标准化技术委员会
1)GB/Z 25320.1-2010《电力系统管理及其信息交换 数据和通信安全 第1部分:通信网络和系统安全 安全问题介绍》
本部分范围是电力系统控制运行的信息安全。本部分的主要目的是“为 IEC TC5 7 制定的通信协议的安全,特别是 IEC 60870-5、IEC 60870-6、IEC 6185 0、IEC 619 70 和IEC61968的安全,承担标准的制定;承担有关端对端安全的标准和技术报告的制定”。
2)GB/Z 25320.2-2013《电力系统管理及其信息交换数据和通信安全 第2部分:术语》
本部分包括了在 GB/Z 25320 中所使用的关键术语,然而并不意味着这是一个由它定义的术语列表。用于计算机安全的大多数术语已由其他标准组织正式定义,因此,在这里通过对原始定义术语出处的引用,可以包括这些术语。
3)GB/Z 25320.3-2010《电力系统管理及其信息交换 数据和通信安全 第3部分:通信网络和系统安全 包括TCP/IP的协议集》
本部分规定如何为 SCADA 和用 TCP/IP 作为信息传输层的远动协议,提供机密性、篡改检测和信息层面认证。
虽然对 TCFIIP 的安全防护存在许多可能的解决方案,但本部分的特定范围是在端通信实体内 TCP/IP 连接的任一端处,提供通信实体之间的安全。对插入其间的外接安全装置(如“链路端加密盒”)的使用和规范不在本部分范围内。
4)GB/Z 25320.4-2010《电力系统管理及其信息交换 数据和通信安全 第4部分:包含MMS的协议集》
为了对基于GB/T 16720(ISO 9506)制造报文规范(Manufacturing Message Specification,MMS)的应用进行安全防护,本部分规定了过程、协议扩充和算法。其他IEC TC57 标准如需要以安全的方式使用MMS,可以引用本部分作为其规范性引用文件。
本部分描述了在使用GB/T 16720 (ISO/IEC 9508)制造业报文规范MMS时应实现的一些强制的和可选的安全规范。
为了保护使用 MMS 传递的信息,本部分包含一组由这些引用标准所使用的规范,其建议是基于为传送MMS信息所使用的特定通信协议集的协议。
5)GB/Z 25320.5-2013《电力系统管理及其信息交换 数据和通信安全 第5部分:GB/T 18657及其衍生标准的安全》
为了对基于或衍生于IEC 60870-5 (GB/T 18657《远动没备及系统第5部分:传输规约》)的所有协议的运行进行安全防护,本部分规定了所用的信息、过程和算法。
根据 IEC 第 57 委员会第 3 工作组的指令,IEC 62351 的本部分仅关注应用层认证和由此认证所产生的安全防护问题。安全防护涉及的其他问题,特别是通过加密的使用来防止窃听和中间人攻击,被认为超出本部分的范围。通过本部分和其他规范一起使用,可以增加加密功能。
6)GB/Z 25320.6-2011《电力系统管理及其信息交换 数据和通信安全 第6部分:IEC61850的安全》
为了对基于或派生于 IEC61850 的所有协议的运行进行安全防护,本指导性技术文件规定了相应的信息、过程与算法。
3.全国核电行业管理及其信息交换标准化技术委员会
1)GB/T 13284.1-2008《核电厂安全系统 第1部分 设计准则》
GB/T 13284.1-2008 是为代替旧版本的 GB/T 132 84-1998 而制定的国家标准,该标准提供了有关核电厂安全设计应遵循的准则。标准中规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求,标准适用于为防止或减轻设计基准事件后果、保护公众健康和安全所需要的系统。同样适用于保护整个核电厂安全所需的所有与安全有关的系统、构筑物及设备。标准主要引用了 GB/T 及 EJ/T 系列标准和准则,主要从安全系统的设计准则、安全系统准则、检测指令设备的功能和要求、执行装置的功能和设计要求及对动力源的要求这几个方面对核工厂安全系统设计规范进行了较为详细的规范。
2)GB/T 13629-2008《核电厂安全系统中数字计算机的适用准则》
GB/T 13629-2008准则是2008年7月2日发布的,主要针对核电厂安全系统中数字计算机适用性制定的准则,用于代替原有的 GB/T 13629-199 8《核电厂安全系统中数字计算机的适用准则》。该准则主要参考IEEE S td 7-4.3.2-2003《核电厂安全系统中数字计算机的使用准则》进行修改,将其中的美国标准改为相应的中国标准。标准规定了计算机用做核电厂安全系统设备时的一般原则,规范主要引用了 GB/T、EJ/T、HAF 及 IEEE 的相关标准。
4.行业标准和导则
1)JB/T 11960-2014 《工业过程测量和控制安全网络和系统安全》(IEC/TR62443-3:2008)
本标准建立了在工厂生命周期中的运行阶段来保障工业过程测量和控制系统的信息和通信技术方面的框架,包括其网络及这些网络中的设备。本标准提供了对工厂运行的安全要求指南,主要用于自动化系统所有者/操作者(负责ICS运行)。
此外,本标准的运行要求可能会引起ICS相关方的兴趣,例如,自动化系统设计者;设备、子系统和系统的制造商(供应商);子系统和系统的集成商。
本标准考虑到以下几点:(1)适当地移植或改进现有系统。(2)使用现有的COTS技术和产品来满足安全目标。(3)保证安全通信服务的可靠性/可用性;对于各种规模和风险系统的适用性(可扩展性)。(4)兼顾功能安全、法律法规及符合信息安全要求的自动化功能要求。
2)JB/T 11961-2014《工业通信网络 网络和系统安全术语、概念和模型》(IEC/TS62443-1-1:2009)
本标准是技术规范,定义了用于工业自动化和控制系统(IACS)信息安全的术语、概念和模型,是系列标准中其他标准的基础。为了全面清晰地表达本标准的系统和组件,可以从几个方面定义和理解覆盖的范围,包括如下:(1)所含功能性的范围。(2)特定的系统和接口。(3)选择所含活动的准则。(4)选择所含资产的准则。
3)JB/T 11962-2014 《工业通信网络 网络和系统安全 工业自动化和控制系统信息安全技术》(IEC/TR62443-3-1:2009)
本标准提供了对不同网络信息安全工具、缓解对抗措施和技术的评估,可有效地用在基于现代电子的 IACS 中,以调整和监视数量众多的工业关键基础设施。本标准描述了若干不同种类的控制系统网络信息安全技术、这些种类中可用的产品类别、在自动化 IACS环境中使用这些产品的正面和反面理由、相对于预期的威胁和已知的网络脆弱性,更重要的是,对于使用这些网络信息安全技术产品和/或对抗措施的初步建议和指南。
在本标准中所用到的 IACS 网络信息安全的概念是,最大可能地在所有工业关键基础设施中包含所有类型的部件、工厂、设施和系统。IACS 包括,但不限于硬件(如历史数据服务器)和软件系统(如操作平台、配置、应用),例如,分布式控制系统(DCS)、可编程序控制器(PLC)、数据采集与监控(SCADA)系统、网络化电子传感系统,以及监视、诊断和评估系统。包含在此硬件和软件范围的是必要的工业网络,以及任何相连的或相关的信息技术(IT)设备和对成功运行整个控制系统关键的链路。就这点而言,此范围也包括,但不限于防火墙、服务器、路由器、交换机、网关、现场总线系统、入侵检测系统、智能电子/终端设备、远程终端单元(RTU),以及有线和无线远程调制解调器。用于连续的、批处理的、分散的或组合过程的相关内部的、人员、网络或机器接口,用来提供控制、数据记录、诊断、(功能)安全、监视、维护、质量保证、法规符合性、审计和其他类型的操作功能。类似地,网络信息安全技术和对抗措施的概念也是广泛用于本标准,并包括(但不限于)如下技术:鉴别和授权;过滤、阻塞和访问控制;加密;数据确认;审计;措施;监视和检测工具;操作系统。此外,非网络信息安全技术,即物理信息安全控制,对于网络信息安全的某些方面来说也是一个基本要求,并在本标准中进行了讨论。
本标准的目的是分类和定义网络信息安全技术、对抗措施和目前可用的工具,为后续技术报告和标准提供一个通用基础。本标准中的每项技术从以下几方面进行讨论:此技术、工具和/或对抗措施针对的信息安全脆弱性;典型部署;已知问题和弱点;在IACS环境中使用的评估;未来方向;建议和指南;信息源和参考材料。本标准旨在记录适用于IACS 环境的信息安全技术、工具和对抗措施的已知技术发展水平,明确定义目前可采用哪种技术,并定义了需要进一步研究的领域。
4)HAD102-16 《核电厂基于计算机的安全重要系统软件》
HAD102-16 于 2004 年 12 月 8 日批准发布,主要是在核动力厂计算机重要系统软件在各个周期进行安全论证时,为其提供收集证据和编制的指导文件。该指导文件从计算机系统各个方面(如技术考虑、安全管理要求及项目计划等方面)入手,详细列举了系统软件设计的各个阶段和方面应符合的要求建议,包括软件需求、设计、实现及验证等各个环节,对与软件系统关联的计算机系统,从集成、系统确认、调试、运行及修改等方面应遵循的要求建议进行了详细叙述。该指导文件对计算机重要软件安全涉及的方方面面,进行了较为详细的分析及建议,对核电厂信息安全防护体系的建立具有重要的参考意义。图2-1 企业典型分层架构图第2章工业控制系统架构与漏洞分析2.1 工业控制系统架构
一个典型的工业控制系统通常由检测环节、控制环节、执行环节和显示环节组成。
经过这么多年的发展,工业控制系统在控制规模、控制技术和信息共享方面都有巨大的变化。在控制规模方面,工业控制系统由最初的小系统发展成现在的大系统;在控制技术方面,工业控制系统由最初的简单控制发展成现代复杂或者先进控制;在信息共享方面,工业控制系统由最初的封闭系统发展成现在的开放系统。
企业根据自身生产或运行流程搭建各自不同的工业控制系统。2.1.1 工业控制系统范围
按照ANSI/ISA-95.00.01企业分层模型,可绘制企业典型分层架构图如图2-1所示。
典型的企业生产或制造系统包括现场设备层、现场控制层、过程监控层、制造执行系统(MES)层、企业管理层和外部网络。
由图 2-1 可以看出,以制造执行系统层分界,向上为通用 IT 领域,向下为工业控制系统领域。
下面将对工业控制系统领域制造执行系统层、过程监控层、现场控制层、现场设备层进行详细介绍。2.1.2 制造执行系统(MES)层
制造执行系统(MES)层包括工厂信息管理系统(PIMS)、先进控制系统(APC)、历史数据库、计划排产、仓储管理等。
1.工厂信息管理系统(PIMS)
工厂信息管理系统是根据企业在信息化时代生产过程中的实际需求而推出的一款管理软件。工厂信息管理系统(PIMS)以“生产管理实用化”作为生产信息管理系统建设的出发点和最终目标,提供了一套先进的现代企业生产管理模式,帮助企业在激烈的市场竞争中全方位地迅速了解自己、对市场的快速变化做出符合自身实际情况的物流调整和决策,提升企业在同行业中的竞争能力。
工厂信息管理系统已经在各个应用控制系统的流程工业领域、全国大多数企业获得成功实施应用,在系统集成、生产调度、能源管理、企业危险源管理等领域得到了广泛应用,为用户的企业信息化建设提供了良好的数据管理平台。
2.先进控制系统(APC)
先进控制系统就是以先进过程控制(Advanced Process Control,APC)技术为核心的上位机监控系统。
先进过程控制技术是具有比常规单回路PID控制更好控制效果的控制策略统称,专门用来处理那些采用常规控制效果不好,甚至无法控制的复杂工业过程控制问题。
先进过程控制技术就是采用科学、先进的控制理论和控制方法,以工艺控制方案分析和数学模型计算为核心,以计算机和控制网络为信息载体,充分发挥 DCS 和常规控制系统的潜力,保证生产装置始终运转在最佳状态,以获取最大的经济效益。
先进过程控制技术可分为3大类。(1)经典的先进控制技术:变增益控制、时滞补偿控制、解耦控制、选择性控制等。(2)现今流行的先进控制技术:模型预测控制(MPC)、统计质量控制(SQC)、内模控制(IMC)、自适控制、专家控制、神经控制器、模糊控制、最优控制等。(3)发展中的先进控制:非线性控制及鲁棒控制等。2.1.3 过程监控层
过程监控层包括数据采集与监控系统(SCADA),分散型控制系统(DCS),安全仪表控制系统(SIS),可编程逻辑控制系统(PLC)的工程师站、操作站、OPC 服务器、实时数据库、监控中心等。
1.数据采集与监控系统(SCADA)
数据采集与监控系统(Supervisory Control And Data Acquisition,SCADA)是以计算机为基础的生产过程控制与调度自动化系统。它可以对现场的运行设备进行监视和控制。
SCADA 系统涉及组态软件、数据传输链路(如数传电台、GPRS 等)、工业隔离安全网关,其中工业隔离安全网关是保证工业信息网络的安全,工业上大多数都要用到这种安全防护性的网关,防止病毒入侵,以保证工业数据、信息的安全。
SCADA 的应用领域很广,可以应用于电力、冶金、安防、水利、污水处理、石油天然气、化工、交通运输、制药,以及大型制造等领域的数据采集与监视控制及过程控制等诸多领域。
这些应用领域对 SCADA 的要求不同,由此导致这些不同应用领域的 SCADA 系统发展也不完全相同。
在电力系统领域中,SCADA 系统的应用最为广泛,技术发展也最为成熟。SCADA作为能量管理系统(Energy Managem ent System,EMS)的一个最主要的子系统,有着信息完整、效率提高、正确掌握系统运行状态、加快决策、能帮助快速诊断出系统故障状态等优势,现已经成为电力调度不可缺少的工具。同时,SCADA 对提高电网运行的可靠性、安全性与经济效益,减轻调度员的负担,实现电力调度自动化与现代化,提高调度的效率和水平方面有着不可替代的作用。
在交通运输系统领域中,SCADA 在铁道电气化远动系统上的应用较早,在保证电气化铁路的安全可靠供电、提高铁路运输的调度管理水平方面发挥了很大的作用。在铁道电气化 SCADA 系统的发展过程中,随着计算机的发展,不同时期有不同的产品,同时我国也从国外引进了大量的 SCADA 产品与设备,这些都带动了铁道电气化远动系统向更高的目标发展。
SCADA 系统一般为客户/服务器体系结构。在这个体系结构中,服务器与硬件设备通信,进行数据处理和运算,而客户用于人机交互,如用文字、动画显示现场的状态,并可以对现场的开关、泵、阀门等进行操作。
2.分散型控制系统(DCS)
分散型控制系统(Distributed Control System,DCS)是由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统,综合了计算机(Computer)、通信(Communication)、显示(CRT)和控制(Control)等4C技术,其基本设计思路是分散控制、集中操作、分级管理、配置灵活、组态方便。
系统主要由现场控制站(I/O站)、数据通信系统、人机接口单元、操作员站、工程师站、机柜、电源等组成。系统具备开放的体系结构,可以提供多层开放数据接口。
硬件系统在恶劣的工业现场具有高度的可靠性、维修方便、工艺先进。多数 DCS 提供底层汉化的软件平台具备强大的处理功能,并提供方便的组态复杂控制系统的能力与用户自主开发专用高级控制算法的支持能力;易于组态,易于使用,并支持多种现场总线标准以便适应未来的扩充需要。
系统的主要特点如下:(1)系统的参数、报警、自诊断及其他管理功能高度集中在 CRT 上显示和在打印机上打印,控制系统在功能和物理上实现真正分散。(2)系统的设计采用合适的冗余配置和诊断至模件级的自诊断功能,具有高度的可靠性。系统内任一组件发生故障,均不会影响整个系统的工作。(3)整个系统的可利用率至少为 99.9%;系统平均无故障时间为 10 万小时,实现了对核电、火电、热电、石化、化工、冶金、建材诸多领域的完整监控。(4)采用“域”的概念,把大型控制系统用高速实时冗余网络分成若干相对独立的分系统,一个分系统构成一个域,各域共享管理和操作数据,而每个域内又是一个功能完整的DCS系统,以便更好地满足用户的使用。(5)网络结构具有很好的可靠性、开放性及先进性。在系统操作层,采用冗余的100Mbps 以太网;在控制层,采用冗余的 100Mbps 工业以太网,保证系统的可靠性;在现场信号处理层,采用专用控制总线或采用12Mbps的PROFIBUS总线连接中央控制单元和各现场信号处理模块。(6)采用标准的Client/Server结构。有的DCS的操作层采用Client/Server结构。(7)采用开放并且可靠的操作系统。系统的操作层采用Windows NT 操作系统;控制站采用成熟的嵌入式实时多任务操作系统 QNS 以确保控制系统的实时性、安全性和可靠性。(8)采用标准的控制组态软件。系统采用标准的控制组态工具,可以实现任何监测、控制要求。(9)系统具有可扩展性和可裁剪性,并保证经济性。
3.安全仪表系统(SIS)
安全仪表系统(Safety I nstrumented System,SIS),有时称为安全联锁系统(Safety Interlocking System,SIS),主要是为了实现工厂控制系统中报警和安全联锁,对控制系统中检测的结果实施报警动作或调节或停机控制,是工厂企业自动控制中的重要组成部分。
安全仪表系统(SIS)的主要特点如下:(1)基于IEC 61508标准,符合国际安全协会规定仪表的安全标准规定。(2)采用容错性的多重冗余系统。SIS 一般采用多重冗余结构以提高系统的硬件故障裕度,单一故障不会导致SIS安全功能丧失。(3)覆盖面广、安全性高、有自诊断功能,能够检测并预防潜在的危险。(4)自诊断覆盖率大,工人维修时需要检查的点数比较少。(5)应用程序容易修改,可根据实际需要对软件进行修改。(6)实现从传感器到执行元件所组成的整个回路的安全性设计,具有 I/O 短路、断线等监测功能。(7)响应速度快。从输入变化到输出变化的响应时间一般在 10~50ms 左右,一些小型SIS的响应时间更短。
SIS 的主流系统结构主要有三重化(TMR)和四重化(2004D)两种,这两种结构简单介绍如下。(1)TMR 结构:这种结构将三路隔离、并行的控制系统(每路称为一个分电路)和广泛的诊断集成在一个系统中,用三取二表决提供高度完善、无差错、不会中断的控制。
目前,市场上常见的TRICON、ICS等SIS均采用TMR结构系统。(2)2004D 结构:这种结构由两套独立并行运行的系统组成,通信模块负责其同步运行,当系统自诊断发现一个模块发生故障时,CPU 将强制其失效,确保其输出的正确性。同时,安全输出模块中的 SMOD 功能(辅助去磁方法),可确保在两套系统同时故障或电源故障时,系统输出一个故障安全信号。一个输出电路实际上是通过四个输出电路及自诊断功能实现的。这样确保了系统的高可靠性、高安全性及高可用性。
目前,市场上常见的HONEYWELL、HIMA等SIS均采用了2004D结构系统。
安全仪表系统(SIS)的基本功能和要求如下:(1)实现安全联锁报警,对于一般的工艺操作参数都会有设定的报警值和联锁值。(2)保证生产的正常运转、事故安全联锁,控制系统 CPU 扫描时间一定要达到毫秒等级。(3)联锁动作和投运显示。
安全联锁系统的附加功能和要求如下。(1)安全联锁延时。(2)安全联锁的预报警功能。(3)安全联锁系统的投入和切换。(4)第一事故原因区别。(5)手动紧急停车。(6)分级安全联锁。(7)安全联锁复位。
4.可编程逻辑控制器(PLC)
试读结束[说明:试读内容隐藏了图片]