工业控制系统中的安全认证技术及标准化发展
引言
工业控制系统(Industrial Control System,ICS,以下简称“工控系统”)涉及到电力、能源、交通、石化等国家基础设施的各个领域。由于工控系统与计算机网络的深度融合,在网络空间安全环境日趋严峻的今天,工控系统面临的来自网络空间的安全威胁已经引起世界各国政府的高度重视。
密码体制作为保障网络信息安全的基石,在工控系统的安全防护中将继续扮演核心角色。如何将我国自主可控的密码体制安全、高效、科学的应用到工控系统当中,已经成为维护我国工控系统和信息物理系统基础性安全的重大课题。
从工控系统的具体实现上,可分为四层结构(参照图1),即企业网络、监控和过程控制网络、控制系统网络以及作业/生产现场设施,反映了在工业生产或作业流程中,四个系统的实现层次。不同层次间包含控制、监测过程的编码、命令、响应数据流。工控系统从功能上可以分为两大子系统:分别是监控与数据采集系统(Supervisory Control and Data Acquisition,SCADA)和分布式控制系统(Distributed Control System,DCS)。SCADA子系统一般用于对地理位置上比较分散的设备和资源进行集中式监控和控制,包括监控预警和状态数据获取、处理,SCADA部署覆盖工控系统四个网络层次;DCS子系统则用于工业过程控制,它通过对各个局部控制子系统进行高层监控,以达到对工业生产整体流程的监督和控制,DCS子系统覆盖工控系统的过程控制/监控网络、控制系统网络和作业/生产现场三个层次。
图1 工控系统的四层结构
工控系统中的安全认证技术
工控系统对安全认证技术的具体可分为如下几个方面:
1. 基于位置的认证,通过对资源访问的请求者的地理位置测定,以判断访问请求是否来自已知的安全区域。在工业控制系统中使用基于位置的认证技术能有效的保护关键设施,并且在发生未授权的访问活动时,能够方便的查找未授权事件的相关责任人、区域和设备;
2. 智能卡认证,包括密码卡、智能密码钥匙、身份卡等,该卡能携带多种用户信息以支持计算机二元、三元认证,比如能存储用户身份信息、数字证书以及用户生物特征信息等。
3. 生物信息认证,利用用户唯一性的生物特征信息进行访问身份验证。
4. 设备端到端认证,在图1所示的工业控制系统四层结构中,处于不同层次的工控设备之间会发生通信,目的是传输设备相互间的数据和命令代码。未认证的通信双方极易受到中间人攻击的影响,因而有必要使用设备端到端认证技术;该技术可利用的认证对象包括传输的数据、数据发送和接收者的身份、提供数据传输的应用服务类型、端到端会话等;
5. 口令和消息反馈认证,口令和消息反馈认证是认证技术中的简单和常见类型;工业控制系统中的用户在使用或请求资源访问时,需要提供与相应资源、设备所预知的信息,比如PIN数字、密码字符串或词句等;
6. 数字证书,通信双方可使用数字证书验证身份,以确保传输信息的保密性、不可抵赖性以及完整性。数字证书的原理基于非对称加密算法,在工业控制系统中,可根据系统服务的性能要求、传输条件等因素选择是否使用数字证书作为身份验证的方式。
国外工控安全研究相关标准化路线分析
欧盟ENISA关于工控系统安全的系列报告中提出ICS系统面临的九种风险因素,分别反映其在信息安全方面的不同需求,包括:专用通信协议本身安全性脆弱、操作系统和应用逐渐向普通IT系统融合和集成、各个工控网络层次间缺乏必要的网络划分和分区分域控制机制,需要合理的网络划分和隔离策略等。
美国NIST根据信息系统的安全防护分类、风险定级,以及安全需求的标准规范,为工业控制系统的安全防护制定了指导性标准NIST SP800-82(参照图2)。总体来看,NIST产生和制定该标准的思路是在美国政府FISMA(Federal Information Security Management ACT)框架下完成,对信息系统安全性以保密性、完整性、可用性进行划分,并制定高、中、低三个等级,然后针对信息系统中信息处理的类型、信息系统类型分别详细讨论安全性的类别和等级的交叉作用、影响(FIPS PUB 199)。
图2 美国NIST系列标准
针对上述安全性的分型分类分级,提出信息系统的17类最低安全需求(FIPS PUB 200);根据FIPS199/200提出的17类安全需求,制定信息系统的安全控制措施,尤其是基线控制(Baseline Control)措施(NIST SP800-53r4);引入International Society of Automation(ISA)、International Electro-technical Commission(IEC)的ISA/IEC 62443标准系列作为工控系统安全控制标准的重要参照(并非完全参照);62443具体为关于“工业自动化和控制系统安全”(Security for Industrial Automation and Control Systems)的标准系列,主要分为四类:工控系统安全一般性概念定义、工控系统安全策略和过程定义、工控系统安全技术和需求定义、工控系统组件安全性定义。
NIST在针对工业控制系统安全控制的具体安全技术时,还结合了其他NIST、ISA标准,以及行业标准。比如密码模块安全标准FIPS PUB 140-2;工控系统无线通信系统标准ISA 100;美国American Gas Association的AGA-12等。
典型的工业控制系统安全的研究工作还包括在欧洲,以欧盟网络信息安全局(ENISA)为代表的研究组织2012年所完成的《ENISA:Protecting industrial control systems: recommendations for Europe and member states》系列报告。报告中明确地指出工控系统面临的九大安全风险因素,以及八大安全挑战。
我们将NIST建立工业控制系统安全控制指南SP800-82r2的整体思路与ENISA的风险因素相结合,说明美国和欧洲的工控系统安全发展思路均是强调IT系统与ICS系统在安全需求方面的差异以及由此带来的安全控制技术框架的“裁剪”。
欧盟ENISA将工控系统中资源访问涉及的认证技术作为工控系统安全的重要技术之一;美国NIST在NIST SP800-82中将认证技术作为SCADA系统的安全问题关键解决方案之一;德国西门子在其SIMATIC NET、SCALANCE等系列产品中(如CP343-1、S627-2M等)已将认证技术作为工控系统控制系统网络层次中和层次间关联设备的标准安全支持技术。工控系统的资源包括系统对象资源和设备资源,对资源的访问来源包括工控系统主体访问和设备访问(交互)。
总体来看,从对控制系统密码应用的角度看,我国甚至国际上相关单位的当前技术和标准化并不全面。目前国际工控安全技术上的已有标准是IEC 62443系列,该标准具体描述了工业控制系统安全评估维度和要素,但此类标准内容并没有涉及具体行业、领域或应用,因而也缺乏相应的产品评估、检测规范。我国关键信息基础设施系统中,大量部署和在建的工控系统是采购自国外,这在极大程度上使用了非国产化的安全关键技术,其涉及安全的不同方面,而国产密码应用基本是空白。另一方面,我国工控安全企业所开发的工控产品,尚处于利用传统信息安全手段对工业生产关键环节和核心系统,配置外围的安全防护,就密码而言,则缺乏可操作性、适配性较强的密码技术,因而还不能保障工控密码应用的规范性和完备性的问题。
随着工业互联网的快速发展,我国工控安全面临前所未有的挑战,这种挑战的根源并非单纯归因于国外技术长期作为国家关键信息基础设施安全的主要技术来源,同时也应当注意的是控制系统与信息系统深度融合后带来的问题。
参考文献
[1] 国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见,国务院,2017
[2] 关于加强工业控制系统信息安全管理的通知,工信部协【2011】451号
[3] Protecting Industrial Control Systems: European Network and Information Security Agency, ENISA, Dec., 2011.
[4] Guide to Industrial Control Systems (ICS) Security, NIST, SP800-82, June, 2011.
[5] Security and Privacy Controls for Federal Information Systems and Organizations, NIST, SP800-53r4, April, 2013.
[6] Security and Privacy Controls for Federal Information Systems and Organizations, NIST, SP800-53r5(Draft), August, 2017.
[7] Security Requirements for Cryptographic Modules, FIPS PUB 140-2, May, 2001.
[8] Security Technologies for Industrial Automation and Control Systems, ANSI/ISA-TR99.00.01, ISA, Oct., 2007.
[9] Technical Security Requirements for an Industrial Automation and Control Systems, ISA-99 Part 4, ISA, March, 2008.
[10] A Summary of Control System Security Standards Activities in the Energy Sector, National SCADA Test Bed, Oct., 2005.
[11] 施耐德电气Quantum PLC设备信息安全解决方案操作手册(第4版), 施耐德电气(中国)有限公司,Aug., 2013.
[12] SPPA-T3000: Integration of auxiliary power supply in SPPA-T300 based on IEC 61850, Siemens AG, April, 2009.
[13] Vigilant Plant成功案例合集,横河电机株式会社,2010.
[14] Guidelines for Smart Grid Cyber Security: Vol. 1, Smart Grid Cyber Security Strategy, Architecture, and High-Level Requirements, NISTIR 7628, the Smart Grid Interoperability Panel-Cyber Security Working Group, Aug., 2010.
[15] ISA/IEC 62443: security for industrial automation and control systems. ISA/IEC, Feb. 2013.
[16] FIPS PUB 200: minimum security requirements for federal information and information systems. NIST, March. 2006.
[17] FIPS PUB 199: standards for security categorization of federal information and information systems. NIST, Feb. 2004.
[18] Guide to Industrial Control Systems (ICS) Security, NIST, SP800-82r2, May, 2015.
中国保密协会
科学技术分会
长按扫码关注我们
作者:夏晓峰
信息物理社会可信服务计算教育部重点实验室
(重庆大学)
编辑:向灵孜
往期精彩文章TOP5回顾
近期精彩文章回顾