信安精品课:第24章工控安全需求分析与安全保护工程精讲笔记
第24章工控安全需求分析与安全保护工程精讲笔记
一、本章知识框架
二、本章大纲要求
7. 工控安全需求分析与安全保护工程
7.1 工控系统安全威胁与需求分析
◆工业控制系统概念及组成(SCADA系统、分布式控制系统、过程控制系统、可编程逻辑控制器、远程终端、数控机床及数控系统等)
◆工业控制系统安全威胁分析(自然灾害及环境、内部安全威胁、设备功能安全故障、恶意代码、网络攻击等)
◆工业控制系统安全隐患类型(工控协议安全、工控系统技术产品安全漏洞、工控系统基础软件安全漏洞、工控系统算法安全漏洞、工控系统设备固件漏洞、工控系统设备硬件漏洞、工控系统开放接入漏洞、工控系统供应链安全等)
◆工控系统安全需求分析(传统IT的安全、控制设备及操作安全、安全管理合规等)
7.2 工控系统安全保护机制与技术
7.2.1 物理及环境安全防护
◆视频监控 ◆工业主机加固
7.2.2 安全分区与边界防护
◆安全分区 ◆工控防火墙 ◆工业控制安全隔离与信息交换系统
7.2.3 身份认证与访问控制
◆多因素认证 ◆最小特权 ◆避免使用默认口令或弱口令
7.2.4 远程访问安全
◆ 禁用高风险服务 ◆ 安全加固 ◆ 虚拟专用网络(VPN) ◆ 安全审计
7.2.5 工控系统安全加固
◆ 安全配置策略 ◆身份认证增强 ◆强制访问控制 ◆程序白名单控制
7.2.6 工控安全审计
◆安全审计设备部署 ◆审计数据备份 ◆审计数据分析利用
7.2.7 恶意代码防范
◆防病毒软件测试及部署运行
◆ 防病毒和恶意软件入侵管理机制
◆重大工控安全漏洞信息获取及其补丁升级措施
7.2.8 工控数据安全
◆ 工业数据管理方法
◆ 工业数据安全保护措施(安全隔离、访问控制、加密传输与存储、定期备份等)
◆ 测试数据保护措施(测试数据保护类型、签订保密协议、回收测试数据等)
7.2.9 工控安全监测与应急响应
◆ 工控网络安全监测设备安装和使用
◆工控安全事件应急响应预案制定、演练
7.2.10 工控安全管理
◆ 资产管理
◆ 冗余配置
◆安全软件选择与管理
◆ 配置和补丁管理
◆供应链管理
◆ 落实责任
7.2.11 工控安全典型产品技术
◆ 工控系统防护类型产品技术原理和部署使用(工控防火墙、工控加密、工控用户身份认证、工控可信计算、系统安全加固等)
◆ 工控系统物理隔离类型产品技术原理和部署使用(网闸、正反向隔离装置等)
◆ 工控安全审计与监测类型产品技术原理和部署使用(工控安全审计和工控入侵检测系统)
◆ 工控安全检查类型产品技术原理和部署使用(工控漏洞扫描、工控漏洞挖掘、工控安全基线检查等))
◆ 工控运维和风险管控类型产品技术原理和部署使用(工控堡垒机、工控风险管理系统等)
三、本章重要易考知识点清单
24.1工控系统安全威胁与需求分析
1.工业自动化控制系统一般简称为工业控制系统或工控系统。
工业控制系统是由各种控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。工业控制系统通常简称工控系统(ICS) 。
工控系统通常分为离散制造类和过程控制类两大类, 控制系统包括 SCADA 系统、分布式控制系统(DCS) 、过程控制系统(PCS) 、可编程逻辑控制器(PLC) 、远程终端(RTU) 、数控机床及数控系统等。
SCADA 系统
SCADA 是 Supervisory Control And Data Acquisition 的缩写,中文名称是数据采集与监视控制系统,其作用是以计算机为基础对远程分布运行的设备进行监控,功能主要包括数据采集、参数测量和调节。SCADA 系统一般由设在控制中心的主终端控制单元(MTU) 、通信线路和设备、远程终端单位(RTU) 等组成, 系统作用主要是对多层级、分散的子过程进行数据采集和统一调度管理。
分布式控制系统(DCS)
DCS 是 Distribution Control System 的缩写。DCS 是基于计算机技术对生产过程进行分布控制、集中管理的系统。DCS 系统一般包括现场控制级、系统控制级和管理级两/三个层次,现场控制级主要是对单个子过程进行控制,系统控制级主要是对多个密切相关的过程进行数据采集、记录、分析和控制,并通过统一的人机交互处理实现过程的集中控制和展示,系统项目管理器实现组态的配置和分发,并有统一的对外数据接口。
过程控制系统(PCS)
PCS 是 Process Control System 的缩写。PCS 是通过实时采集被控设备状态参数进行调节,以保证被控设备保持某一特定状态的控制系统。状态参数包括温度、压力、流量、液位、成分、浓度等。PCS 系统通常采用反馈控制(闭环控制) 方式。
可编程逻辑控制器(PLC)
PLC 是Programmable Logic Controller 的缩写。PLC 主要执行各类运算、顺序控制、定时等指令,用于控制工业生产装备的动作,是工业控制系统的基础单元。
主终端设备(MTU)
MTU 是 Master Terminal Unit 的缩写。MTU 一般部署在调度控制中心, 主要用于生产过程的信息收集和监测, 通过网络与 RTU 保持通信。
远程终端设备(RTU)
RTU 是 Remoter Terminal Unit 的缩写。RTU 主要用于生产过程的信息采集、自动测量记录和传导,通过网络与 MTU 保持通信。
人机界面(HMI)
HMI 是 Human-Machine Interface 的缩写。HMI 是为操作者和控制器之间提供操作界面和数据通信的软硬件平台。目前工业控制系统主要采用计算机终端进行人机交互工作。
工控通信网络
工控通信网络是各种工业控制设备及组成单元的连接器,传统工业通信网络一般采取专用的协议来构建, 形成封闭网络。常见的工控专用协议有 OPC、Modbus、DNP3 等, 工业通信网络类型有 DCS 主控网络、SCADA 远程网络、现场控级通信网络等类型。
2.工控系统的安全威胁
2010 年首次发现针对工控系统实施破坏的恶意代码 Stuxnet(简称“震网”病毒) 。“震网”病毒利用了微软操作系统至少 4 个 0-day 漏洞,攻击伊朗核电站西门子公司的 SIMATIC WinCC 系统, 其主要目的是掩盖发生故障的情况以造成管理部门决策误判,使伊朗核电站的离心机运行失控。
根据已发生的典型事件看,工控系统的安全威胁主要来自五个方面。
自然灾害及环境
洪水、雷电、台风等是工业控制系统常见的自然灾害威胁,特别是分布在室外的工业控制设备。
内部安全威胁
人为错误或疏忽大意,如命令输入错误、操作不当,导致工业控制设备安全失效。
设备功能安全故障
工业控制设备的质量不合格,导致设备功能无法正常执行,从而产生故障,例如磁盘故障、服务器硬件故障。
恶意代码
随着工业控制网络的开放性增加,恶意代码成为工业控制系统面临的安全挑战难题, 常见的恶意代码有网络蠕虫、特洛伊木马、勒索软件等。根据研究, 针对 PLC 攻击的网络螨虫已经出现, 简称 PLC Worm。
网络攻击
由于工业控制系统的高价值性,常常是网络攻击者重要的目标对象。例如,网络安全威胁组织 Dragonfly 针对电力运营商、主要发电企业、石油管道运营商和能源工业设备供货商进行网络间谍活动。
3.工业控制系统安全隐患类型
工业控制系统还具有其特定的安全隐患,主要安全隐患分析如下
工控协议安全
工控协议设计之初,缺乏安全设计,无安全认证、加密、审计。例如,仅需要使用一个合法的 Modbus 地址和合法的功能码即可建立一个Modbus 会话。工控通信明文传递信息, 数据传输缺乏加密措施,地址和命令明文传输,可以很容易地捕获和解析。
工控系统技术产品安全漏洞
PLC、SCADA、HMI、DCS 等相关工控技术产品存在安全漏洞。西门子、施耐德、研华、罗克韦尔、欧姆龙等产品相继报告存在安全漏洞。
工控系统基础软件安全漏洞
工控系统通用操作系统、嵌入式操作系统、实时数据库等存在安全漏洞。
工控系统算法安全漏洞
工控系统控制算法存在安全缺陷。例如状态估计算法缺失容忍攻击保护,从而导致状态估计不准确。
工控系统设备固件漏洞
工控系统设备固件存在安全缺陷, 例如 BIOS 漏洞。
工控系统设备硬件漏洞
工控系统设备硬件存在安全缺陷, 例如 CPU 漏洞。
工控系统开放接入漏洞
传统工控系统在无物理安全隔离措施的情况下接入互联网,工控设备暴露在公共的网络中, 从而带来新的安全问题。如 DDoS/DoS 拒绝服务攻击、漏洞扫描、敏感信息泄露、恶意代码网上传播等。互联网上有专用的工控设备扫描平台 Shodan, 可以实时发现在线的工控设备及漏洞信息。
工控系统供应链安全
工控系统依赖多个厂商提供设备和后续服务保障,供应链安全直接影响工控系统的安全稳定运行。一旦某个关键设备或组件无法提供服务支撑,工控系统就很有可能中断运行。
4.工业控制系统安全需求分析
工业控制系统的安全除了传统 IT 的安全外,还涉及控制设备及操作安全。传统 IT 网络信息安全要求侧重于“保密性——完整性——可用性”需求顺序,而工控系统网络信息安全偏重于“可用性——完整性——保密性”需求顺序。
工控系统的网络信息安全主要有技术安全要求和管理安全要求两方面。其中,技术安全要求主要包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;管理安全要求主要包含安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
工控系统的安全保护需求不同于普通 IT 系统,要根据工控业务的重要性和生产安全, 划分安全区域、确定安全防护等级,然后持续提升工控设备、工控网络和工控数据的安全保护能力。工控相关安全措施必须符合国家法律政策及行业主管的安全管理要求,满足国家工控安全标准规范或国际工控安全标准规范。
24.2工控系统安全保护机制与技术
工业控制系统安全保护机制,主要包括物理及环境安全防护、安全分区及边界保护、身份认证与访问控制、远程访问安全、恶意代码防范、数据安全、网络安全监测与应急响应、安全管理等 8 个方面。
1物理及环境安全防护
物理及环境安全是工控系统的安全基础。为保护工业控制系统的物理及环境安全,《工业控制系统信息安全防护指南》要求如下:
对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
拆除或封闭工业主机上不必要的 USB、光驱、无线等接口。若确需使用, 通过主机外设安全管理技术手段实施严格访问控制。
2安全边界保护
为确保有安全风险的区域隔离及安全控制管理,工业企业应将工业控制系统划分为若干安全域,一般来说,工业控制系统的开发、测试和生产应分别提供独立环境,避免把开发、测试环境中的安全风险引入生产系统。
工业企业针对不同的安全域实现安全隔离及防护。其中,安全隔离类型分为物理隔离、网络逻辑隔离等方式。
常见的工业控制边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。
工业企业按照实际情况,在不同安全区域边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问。
3身份认证与访问控制
身份认证与访问控制是工业控制系统的安全基础。目前,常见的认证技术手段有口令密码、USB-Key、智能卡、人脸、指纹、虹膜等。为防范口令撞库攻击及敏感认证信息泄露影响,不同系统和网络环境下禁止使用相同的身份认证证书信息,减小身份信息暴露后对系统和网络的影响。对于工业控制设备、SCADA 软件、工业通信设备等设定不同强度的登录账户及密码,并进行定期更新,避免使用默认口令或弱口令。针对内部威胁,工业企业的安全权限管理应遵循最小特权原则,对工业控制系统中的系统账户权限分配最小化,避免权限过多,防止特权滥用。
《工业控制系统信息安全防护指南》对身份认证提出要求,具体内容如下:
(1) 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。
对于关键设备、系统和平台的访问采用多因素认证。
(2) 合理分类设置账户权限,以最小特权原则分配账户权限。
(3) 强化工业控制设备、SCADA 软件、工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令,定期更新口令。
(4) 加强对身份认证证书信息的保护力度,禁止在不同系统和网络环境下共享。
4远程访问安全
远程访问为工业企业的管理及维护提供方便,但与此同时也引入网络安全问题,威胁者可以利用远程访问的安全缺陷入侵工控系统。《工业控制系统信息安全防护指南》要求如下:
● 原则上严格禁止工业控制系统面向互联网开通 HTTP、FTP、Telnet 等高风险通用网络服务。
● 确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。
● 确需远程维护的,采用虚拟专用网络(VPN) 等远程接入方式进行。
● 保留工业控制系统的相关访问日志,并对操作过程进行安全审计。
5工控系统安全加固
工控系统安全加固通过安全配置策略、身份认证增强、强制访问控制、程序白名单控制等多种技术措施, 对工程师站、SCADA 服务器、实时数据库等工控组件进行安全增强保护, 减少系统攻击面。例如,若工业控制系统面向互联网提供 HTTP、FTP、Telnet 等网络服务,易导致工业控制系统被入侵、攻击、利用。为增强工控系统的安全性,原则上应禁止工业控制系统开启高风险通用网络服务 Telnet、FTP、TFTP、HTTP 等,以减少工业控制系统的网络攻击途径。
6工控安全审计
工业企业部署安全审计设备,如图 24-6 所示。通过审计系统保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
7恶意代码防范
恶意代码对工业控制系统的安全构成极大威胁,如震网病毒、火焰病毒。《工业控制系统信息安全防护指南》对恶意代码防范的相关安全要求如下:
(1) 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
(2) 工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
(3) 密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。
8工控数据安全
工业生产数据是工业企业的核心资源,常见的工业数据类型有研发数据(研发设计数据、开发测试数据等)、生产数据(控制信息、工况状态、工艺参数、系统日志等)、运维数据(物 流数据、产品售后服务数据等)、管理数据(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据(与其他主体共享的数据等)。工业生产数据的安全目标是保障数据全生命周期的可用性、完整性、保密性和时效性,防止遭受未授权泄露、修改、移动、销毁,特别是防止实时数据延缓滞后。
针对数据安全,指南要求对数据进行分类分级管理, 具体防护措施相关要求如下:
(1) 对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。工业企业应对静态存储的重要工业数据进行加密存储,设置访问控制功能,对动态传输的重要工业数据进行加密传输,使用 VPN 等方式进行隔离保护, 并根据风险评估结果,建立和完善数据信息的分级分类管理制度。
(2) 定期备份关键业务数据。工业企业应对关键业务数据,如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。
(3) 对测试数据进行保护。工业企业应对测试数据,包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护,如签订保密协议、回收测试数据等。
9工控安全监测与应急响应
网络安全监测与应急响应是工业控制系统的安全措施。在工业控制网络中部署网络安全监测设备,可以及时发现网络攻击行为,如病毒、木马、端口扫描、暴力破解、异常流量、异常指令、伪造工控协议包等,对网络攻击和异常行为进行识别、报警、记录。同时, 针对工业控制潜在的安全事件,制定工控安全事件应急响应预案,预案应包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容。目前,《工业控制系统信息安全防护指南》针对网络安全监测与应急响应的相关要求如下:
(1) 在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
(2) 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。
(3) 制订工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。
(4) 定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。
对关键主机设备、网络设备、控制组件等进行冗余配置。
10工控安全管理
网络安全管理是工业控制系统的必要安全措施,技术安全实施依赖于安全管理到位。目前, 国家《工业控制系统信息安全防护指南》针对安全管理的相关要求包括资产管理、安全软件选择与管理、配置和补丁管理、供应链管理等,其具体要求如下:
(1) 建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。工业企业应建设工业控制系统资产清单,包括信息资产、软件资产、硬件资产等。明确资产责任人,建立资产使用及处置规则,定期对资产进行安全巡检,审计资产使用记录,并检查资产运行状态, 及时发现风险。
(2) 对关键主机设备、网络设备、控制组件等进行冗余配置。工业企业应根据业务需要, 针对关键主机设备、网络设备、控制组件等配置冗余电源、冗余设备、冗余网络等。
(3) 安全软件选择与管理。一是在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。其中,离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。二是建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
(4) 配置和补丁管理。一是做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。配置清单主要包括虚拟局域网隔离、端口禁用等工业控制网络安全配置,远程控制管理、默认账户管理等工业主机安全配置,口令策略合规性等工业控制设备安全配置。二是对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。三是密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。工业企业应密切关注 CNVD、CNNVD 等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时, 根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。(5) 供应链管理。一是选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。二是以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。保密协议中应约定保密内容、保密时限、违约责任等内容,防范工艺参数、配置文件、设备运行数据、生产数据、控制指令等敏感信息外泄。
(6) 落实责任。通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。工业企业应建立健全工控安全管理机制,明确工控安全主体责任,成立由企业负责人牵头的,由信息化,生产管理,设备管理等相关部门组成的工业控制系统信息安全协调小组,负责工业控制系统全生命周期的安全防护体系建设和管理,制定工业控制系统安全管理制度,部署工控安全防护措施。
11工控安全典型产品技术
工业控制系统的安全产品技术除了传统的 IT 安全产品技术外,相关安全厂商也根据工业控制系统环境的特殊要求,研发了相关工控安全产品技术,主要有防护类型、物理隔离类型、检查类型、审计与监测类型、运维和风险管控类型等。
防护类型
工控系统防护类型技术产品较多,典型技术产品有工控防火墙、工控加密、工控用户身份认证、工控可信计算、系统安全加固等。其中,工控防火墙区别于传统防火墙,工控防火墙对进入工业控制系统中的网络数据包进行深度分析,可以解读工控协议数据包内容, 从而可以在网络上实现对IP、工控协议功能码、操作行为等的访问控制;工控加密有VPN、加密机、数据加密工具等;工控用户身份认证有传统的口令认证、双因素认证以及基于人脸、指纹、虹膜的生物认证等产品技术;工控可信计算采取密码、硬件安全等技术,提供可信的工控计算环境和网络通信,保护工控主机安全可信,工控设备网络连接可信;系统安全加固针对工控主机和终端设备的安全不足,采取身份增强认证、强制访问控制、应用程序白名单、安全配置、恶意代码防护等综合技术,保护工控主机安全。
物理隔离类型
针对工控系统的不同安全区域,为实现更强的安全保护,通过物理隔离技术防止不同安全域的非安全通信。常见技术产品有网闸、正反向隔离装置等。
审计与监测类型
工控安全审计与监测类型产品技术用于掌握工控系统的安全状态,主要产品有工控安全审计和工控入侵检测系统。其中,工控安全审计产品技术通过采集、存储工控系统日志信息,分析系统异常事件,对于出现的违背安全策略的操作进行告警,并提供安全事件发生场景还原及电子取证服务;工控入侵检测系统(IDS) 通过对工控系统数据包的深度解析或系统日志关联分析,利用基于特征或异常检测来发现攻击工控系统的行为,实现工控安全威胁监测。
检查类型
工控安全检查类型产品技术主要有工控漏洞扫描、工控漏洞挖掘、工控安全基线检查等。其中,工控漏洞扫描主要针对工控系统设备、操作系统、工控软件等进行安全漏洞检查,以发现安全漏洞。工控漏洞挖掘则利用协议分析、软件逆向分析、模糊安全测试等技术手段,实现对工控系统安全漏洞的发现。工控安全基线检查则根据工控安全策略、工控安全标准规范、工控安全最佳实践等要求,对工控系统的安全进行合规检查。
运维和风险管控类型
工控运维和风险管控类型产品技术主要有工控堡垒机、工控风险管理系统等。其中,工控堡垒机可以用于集中管理工控设备的运行维护和运维过程审计,减少安全隐患;工控风险管理系统则用于管理工控系统的资产、安全威胁、安全漏洞及潜在安全影响。
24.3工控系统安全综合应用案例分析
1.电力监控系统安全总体方案
本案例来自国家工业控制系统信息安全相关标准和管理政策文件。
电力监控系统的安全策略是“安全分区、网络专用、横向隔离、纵向认证”。
安全分区
电力监控系统的安全区域主要分成生产控制大区和管理信息大区。其中,生产控制大区又细分为控制区和非控制区,管理信息大区分为若干业务安全区。控制区与非控制区之间应采用逻辑隔离措施,实现两个区域的逻辑隔离、报文过滤、访问控制等功能,其访问控制规则应当正确有效。生产控制大区应当选用安全可靠的硬件防火墙,其功能、性能、电磁兼容性必须经过国家相关部门的检测认证。
网络专用
电力监控系统的调度控制网络采用专用网络,以满足电力控制实时性及高可信要求。
横向隔离
横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间必备的边界防护措施,是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。安全接入区与生产控制大区相连时,应当采用电力专用横向单向安全隔离装置进行集中互联。
纵向认证
纵向加密认证是电力监控系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站,在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。安全接入区内纵向通信应当采用基于非对称密钥技术的单向认证等安全措施,重要业务可以采用双向认证。
2.水厂工控安全集中监控
本案例来自国家工业控制系统信息安全相关标准。
在工业交换机旁路部署工业集中监控管理平台,通过私有安全协议建立安全加密的长连接,实现对工业防火墙及工业监控设备的集中管理和监控。对异常行为、恶意代码攻击、威胁行为管理等可实现集中管理及预防。
在工业以太网交换机及控制网交换机旁路部署 ICS 信息安全监控设备, 实现网络结构风险和活动的即时可见,对网络中的可疑行为或攻击行为产生报警。同时,对网络通信行为进行翔实的审计记录,定期生成统计报表,可用于分析及展示。
3.工控安全防护厂商方案
本案例来自青岛某企业。根据某客户工业控制系统的应用环境需求,需要提供专业化的适用于工控环境的相关安全防护及安全加固产品,全面护航工业控制系统信息安全
该方案主要包含以下几部分:
(1)InTrust 工控可信计算安全平台:可信计算与系统加固, 可信计算技术在工控安全领域的创新应用,中国自主的可信计算模块及加密算法,智能的可信度量与管控白名单,提高系统免疫力,阻止一切非可信进程运行,抗病毒、抗恶意攻击。
(2)Guard 工业防火墙:内置 50 多种工业协议和常规控制网络模型, 可对 OPC、Modbus TCP 等通信提供基于工业协议的深度检查和管控。同时采用 Central Management Platform(CMP, 中央管理平台)进行集中配置、组态和管理(可远程甚至跨国使用),可以实时在线调整安全配置策略,使之满足所保护区域及设备的安全要求。
(3)中央管理平台(CMP) :窗口化的中央管理平台系统及数据库, 用于Guard 工业防火墙的配置、组态和管理。
(4)安全管理平台(SMP) :安全管理中心以底层工业防火墙以及其他第三方网络设备为探针,利用内置的“工业控制网络通信行为模型库”核心模块,智能监控、分析控制网络行为,及时检测工业网络中出现的工业攻击、非法入侵、设备异常等情况,应用数据库存储、分析和挖掘技术,对危及系统网络安全的因素做出智能预警分析,给管理者提供决策支持,以总揽大局的方式为工厂网络信息安全故障的及时排查、分析提供了可靠的依据。
四、本章历年考点分布
详见2020软考信安精讲课程群
五、本章历年真题及答案解析
详见2020软考信安精讲课程群
第24章 工控安全需求分析与安全保护工程
24.1 工控系统安全威胁与需求分析 526
24.1.1 工业控制系统概念及组成 526
24.1.2 工业控制系统安全威胁分析 529
24.1.3 工业控制系统安全隐患类型 530
24.1.4 工业控制系统安全需求分析 531
24.2 工控系统安全保护机制与技术 532
24.2.1 物理及环境安全防护 532
24.2.2 安全边界保护 532
24.2.3 身份认证与访问控制 533
24.2.4 远程访问安全 533
24.2.5 工控系统安全加固 534
24.2.6 工控安全审计 534
24.2.7 恶意代码防范 534
24.2.8 工控数据安全 535
24.2.9 工控安全监测与应急响应 535
24.2.10 工控安全管理 536
24.2.11 工控安全典型产品技术 537
24.3 工控系统安全综合应用案例分析 538
24.3.1 电力监控系统安全总体方案 538
24.3.2 水厂工控安全集中监控 540
24.3.3 工控安全防护厂商方案 541
24.4 本章小结 542