工业控制系统的定义
工业控制系统(industrial control system ,ICS):是对多种控制系统的总称,简称为工控系统)
典型形态包括:
1.监控和数据采集系统(supervisory control and data acquisition,SCADA)
2.分布式控制系统(distributed control system,DCS)
3.可编程逻辑控制器(programmable logic controller,PLC)
4.安全仪表系统(safety interlocking system,SIS)
5.制造执行系统(manufacturing execution systems,MES)
工业控制系统层次模型:
层级4:企业资源层
层级3:生产管理层
层级2:过程监控层
层级1:现场控制层
层级0:现场设备层
工业信息安全产品:
管理平台:工业安全综合平台
边界隔离:工业安全网闸、工业防火墙
检测审计:工业入侵检测系统、综合审计系统●终端防护:工业白名单、工业主机加固
控制系统:安全可信PLC、安全可信DCS
测评对象:
物理:主控制室、就地控制室
网络:总体架构、网络设备、安全设备
主机:操作系统、历史数据库、实时数据库、控制器设备
(关键资产)
应用:上位机软件(控制软件)
安全物理环境
室外控制设备物理防护
a)安全要求:室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固,箱体或装置具有透风、散热、防盗、防雨和防火能力等。
【要求解读】对于室外的控制设备需保证其物理环境安全,应放置在采用铁板或其他防火材料制作的箱体或装置中,并紧固于箱体或装置中。箱体或装置具有透风、散热、防盗、防雨和防火能力等确保控制系统的可用性,使控制设备工作在其正常工作温度范围内,保护控制设备免受火灾、雨水等外部环境的影响
【测评方法】
1)核查是否放置于采用铁板或其他防火材料制作的箱体或装置中并紧固2)核查箱体或装置是否具有透风、散热、防盗、防雨和防火能力等
b)安全要求:室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。
【要求解读】高电压高场强等强电磁干扰可能使控制设备工作信号失真,性能发生有限度的降级,甚至可能使系统或设备失灵,而高温等强热源导致环境温度偏高,若超过控制设备最高工作温度,则会导致控制设备无法正常工作。对于确实无法远离强电磁于扰,强热源环境的室外控制设备,应做好应急处置及检修,保证控制设备的正常运行
【测评方法】
1)核查放置位置是否远离强电磁干扰和热源等环境2)无法避免时,核查是否有应急处置及检修维护记录
安全通信网络
网络架构
a)安全要求:工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段。
【要求解读】工业控制系统(现场设备层、现场控制层、过程监控层、生产管理层)与企业其他系统(企业资源管理层)之间划分为生产控制大区与管理信息大区两个区域,区域间应采用单向的技术隔离手段,保证数据流只能从生产控制大区单向流向管理信息大区
【测评方法】
1)核查工业控制系统和企业其他系统之间是否部署单向隔离设备
2)核查是否采用了有效的单向隔离策略实施访问控制。
3)核查使用无线通信的工业控制系统边界是否采用与企业其他系统隔离强度相同的措施
b)安全要求:工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。
【要求解读】工业控制系统内部根据承载业务的不同和网络架构的不同,进行合理的分区分域通常将具有相同业务特点的工业控制系统划分为一个独立区域,不同业务特点的工业控制系统应划分为不同的安全域,在不同安全域之间采用工业防火墙、虚拟局域网等技术手段进行隔离
【测评方法】
1)核查工业控制系统内部是否根据业务特点划分了不同的安全域2)核查各安全域之间访问控制设备是否配置了有效的访问控制策略,将各安全域进行了隔离
c)安全要求:涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网在物理层面上实现与其他数据网及外部公共信息网的安全隔离
【要求解读】涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备进行组网,禁止与其他数据网共用网络设备,在物理层面上实现与其他数据网及外部公共信息网的安全隔离,禁止生产网与其他网络之间直接进行通信的行为
【测评方法】
核查涉及实时控制和数据传输的工业控制系统是否在物理层面上独立组网
通信传输
a)安全要求:在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输
【要求解读】对于SCADA、RTU等工业控制设备使用广域网进行控制指令或相关数据交换,在控制指令或相关数据交换过程中,应采用加密认证手段实现身份认证,访问控制和数据加密传输。只有目标身份认证通过后,才能进行数据交互,并在广域网传输过程中进行数据加密传输,防止非授权、恶意用户进入工业控制系统,防止控制指令或相关数据被窃取
【测评方法】
核查工业控制系统中使用广域网传输的控制指令或相关数据是否采用加密认证技术实现身份认证访问控制和数据加密传输
安全区域边界
【访问控制】
a)安全要求:应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。
【要求解读】工业控制系统中常采用工业专有协议和专有应用系统,而通用应用协议是网络攻击最常用的载体,应在工业控制系统区域边界、工业控制系统与企业其他系统之间部署访问控制设备,在保证业务正常通信的情况下,以最小化原则,只允许工业控制系统中使用的专有协议通过
【测评方法】
1)核查在工业控制系统与企业其他系统之间的网络边界是否部署访问控制设备,是否配置访问控制策略。
2)应核查设备安全策略,是否禁止通用网络服务穿越边界
b)安全要求:应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警【要求解读】工业控制系统内安全域与安全域之间边界防护安全管控故障或失效时,需要存在相应的检测机制,及时进行告警,便于安全管理员及时处理,避免边界防护的失效,防止存在大范围防护盲区
【测评方法】
1)核查设备是否可以在策略失效的时候进行告警
2)核查是否部署监控预警系统或相关模块,在边界防护机制失效时可及时告警
拨号使用控制
c)安全要求:工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施
【要求解读】对采用拨号方式进行网络访问的工业控制系统,在网络访问过程中对用户的连接数量及会话数量进行限制,限制用户数量,同时对网络访问者进行身份鉴别验证,只有身份鉴别验证通过后才能建立连接,并对采用拨号方式的用户进行访问控制,限制用户的访问权限。
【测评方法】
核查拨号设备是否限制具有拨号访问权限的用户数量,拨号服务器和客户端是否使用账户/口令等身份鉴别方式,是否采用控制账户权限等访问控制措施
d)安全要求:拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。
【要求解读】拨号服务器和客户端使用的操作系统可能存在安全漏洞,安装、配置不符合安全需求,参数配置错误,使用、维护不符合安全需求,安全漏洞没有及时修补,应用服务和应用程序滥用,开放不必要的端口和服务等等
【测评方法】
核查拨号服务器和客户端是否使用经安全加固的操作系统,并采取加密、数字证书认证和访问控制等安全防护措施
无线使用
a)安全要求:应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别【要求解读】对无线通信中需进行身份鉴别,在借助于运营商(无线)网络的组网中,需要对通信端(通信应用设备或通信网络设备)建立基于用户的标识(用户名、证书等),标识具有唯一性目支持对该属性进行鉴别在工业现场自建无线(WirelessHART、ISA10011aWIA-PA)网络中,通信网络设备应在组网过程中具备唯一标识,且支持对该设备属性进行鉴别
【测评方法】
1)核查无线通信的用户在登录时是否采用了身份鉴别措施
2)核查用户身份标识是否具有唯一性
b)安全要求:应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制
【要求解读】无线通信中的应用设备或网络设备需支持对无线通讯策略进行授权,非授权设备或应用不能接入无线网络,非授权功能不能在无线通信网络中执行响应动作,对于授权用户对执行使用权限进行策略控制
【测评方法】
核查无线通信过程中是否对用户进行授权,核查具体权限是否合理,核查未授权的使用是否可以被发现及告警
c)安全要求:应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护
【要求解读】由于无线通信内容容易被窃听,在无线通信过程中,对传输报文进行加密处理,加密方式包括对称加密/非对称加密、脱敏加密、私有加密等,保证无线通信过程的机密性
【测评方法】
核查无线通信传输中是否采用加密措施保证传输报文的机密性
d)安全要求:对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。
【要求解读】在应用无线通信技术的工业生产环境中,应具备识别、检测工业环境中其他未授权无线设备射频信号的应用,并对未授权的无线接入行为及应用进行审计、报警及联动管控,避免无线信号干扰影响生产、避免未授权用户通过无线接入控制系统对生产造成破坏c)【测评方法】
核查工业控制系统是否可以实时监测其物理环境中发射的未经授权的无线设备,监测设备是否能及时告警并对试图接入的无线设备进行屏蔽
安全计算环境
控制设备安全
a)安全要求:控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制。
【要求解读】考虑到控制系统历史原因、更新周期缓慢和自主可控范围较低,在其自身不满足上述条件时,需通过上位控制系统或其他管理设备实现同等功能或通过管理手段进行控制。【测评方法】
1)核查控制设备是否具有身份鉴别、访问控制和安全审计等功能,如控制设备具备上述功能,则按照通用要求测评
2)如控制设备不具备上述功能,则核查是否由其上位控制或管理设备实现同等功能或通过管理手段控制。
b)安全要求:应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。
【要求解读】由于工业控制系统专用软件较多的特殊性,相关应用软件与补丁可能存在兼容性问题,考虑到工业控制系统需长期稳定地运行,在对控制设备进行补丁更新、固件更新时,需要对控制系统进行充分的测试验证、兼容性测试、严格的安全评估后,在停产维修阶段对离线系统进行更新升级,保障控制系统的可用性
【测评方法】
1)核查是否有测试报告或测试评估记录
2)核查控制设备版本补丁及固件是否经过充分测试后进行了更新d
c)安全要求:应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理。
【要求解读】关闭或拆除控制设备上不需要的外设接口可减少被感染的风险。如不具备拆除条件或确需保留的,可采用主机外设统一管理设备、隔离存放有外设接口的工业主机/控制设备等安全管理技术手段进行严格管控
【测评方法】1)核查控制设备是否关闭或拆除设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等2)核查保留的软盘驱动、光盘驱动、USB接口、串行口或多余网口等是否通过相关的措施实施严格的监控管理。
d)安全要求:应使用专用设备和专用软件对控制设备进行更新
【要求解读】对控制设备更新应使用专用硬件设备和专用软件进行更新,确保专用设备和专用软件的独立性,防止交叉感染
【测评方法】
核查是否使用专用设备和专用软件对控制设备进行更新
e)安全要求:应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。
【要求解读】控制设备上线前,需要进行脆弱性检测以及恶意代码检测,确保控制设备固件中不存在恶意代码程序
【测评方法】
核查由相关部门出具或认可的控制设备的检测报告,明确控制设备固件中是否不存在恶意代码程序。
安全建设管理
产品采购和使用
a)安全要求:工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用
【要求解读】工业企业在采购重要及关键控制系统或网络安全专用产品时,应该了解该产品是否已通过国家相关的认证标准,并且在相关专业机构进行了安全性检测。重要设备参考《网络关键
设备和网络安全专用产品目录》
【测评方法】
1)访谈安全管理员系统使用的工业控制系统重要设备及网络安全专用产品是否通过专业机构的安全性检测
2)核查工业控制系统是否有通过专业机构出具的安全性检测报告
b)安全要求:应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容
【要求解读】工业企业在进行外包项目时,应该与外包公司及控制设备提供商签署保密协议或合同,以保证其不会将本项目重要建设过程及内容进行宣传及案例复用,保障工业企业在建设时期的敏感信息等内容不被泄露
【测评方法】
核查是否在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容