工业控制信息安全产品测试评价体系
摘要:工业控制系统的信息安全问题日益凸显,严重影响了社会和国家安全。但工业控制系统的特殊性,也使其与传统信息系统在所面临的安全威胁、安全问题及所需要考虑的安全防护措施等方面存在较大的不同。传统的信息安全产品无法适用于工业控制领域,因此出现了专用的工控信息安全产品,但缺少专业规范的工控信息安全测评体系,无法保证工控信息安全产品的基本安全。详细分析了工业控制系统与传统信息系统的区别,梳理了目前广泛使用的工控信息安全产品,建立了工控信息安全产品测试评价体系,并将该体系应用到实际的产品测试中,进一步推动工控信息安全的发展。
关键词:工业控制系统;信息安全;测试
中图分类号:TP39文献标志码:A
1引言
工業控制系统(IndustrialControlSystems,ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统[1]。现代的ICS网络,越来越依靠于商业IT和Internet领域的操作系统、开放协议和通信技术,这些技术已被证明存在着脆弱性。通过将ICS连接到互联网或其他公共网络,ICS脆弱性就暴露给潜在的攻击者[2]。
为了提高工业控制系统的安全性,现在一般从两方面考虑:一方面是提高工业控制系统的自身安全性,从设计阶段就开始安全性架构,并落实在工控系统的研发、部署、运行的各个阶段;另一方面是通过附加信息安全保障手段(如在系统中部署信息安全专用产品)在一定程度上弥补系统本身的安全漏洞。由于工业控制系统对高稳定性和高可用性的要求,通过附加信息安全保障的方式来提升工控安全性是目前最容易实现和被接受的方式。
工业控制系统本质上是一类信息系统,因此工控系统的安全性问题是信息系统安全性与工业控制系统的特点相结合产生的。美国国家安全局(NationalSecurityAgency,NSA)针对信息系统的安全保障陆续制定了多个版本的信息保障技术框架(InformationAssuranceTechnicalFramework,IATF)[3],成为信息安全保障的权威架构。IATF把信息安全保障分为四个环节:防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)。首先采取各种措施对需要保护的对象进行安全防护,然后利用相应的检测手段对安全保护对象进行安全跟踪和检测以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变,特别是由安全变为不安全,则马上采取应急措施对其进行响应处理,直至恢复安全保护对象的安全状态。这四个部分相辅相成,缺一不可,构成了公认的PDRR模型,如图1所示。
从PDDR模型的“检测”环节入手,对工业控制系统的信息安全产品进行测试与评估,建立工控信息安全产品测试评价体系,为工业控制系统信息安全测评提供专业化的理论支撑和实践引领,一方面有效帮助供应商大力提升其产品和系统的安全保障能力,另一方面为用户选购工控系统信息安全产品,提高工控系统安全性提供支持。通过对安全测评结果的综合分析,为相关主管部门提供真实、全面的安全态势分析报告,促进工业控制领域信息安全保障工作的开展。
2工业控制系统的信息安全要求
工业控制系统有许多区别于传统信息系统的特点,包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险,对环境的严重破坏,以及金融问题如生产损失和对国家经济的负面影响。工业控制系统有不同的性能和可靠性要求,其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外,安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突(如,需要密码验证和授权不应妨碍或干扰ICS的紧急行动)。
美国NIST发布的《工业控制系统信息安全指南》[4]对ICS与IT的差异进行了全面的总结,这些显著差异的存在导致工业控制系统与传统信息系统在通信、主机应用、外联访问等方面采取了不同的策略。
传统信息系统的信息安全通常都将保密性放在首位、完整性放在第二位、可用性则放在最后。工控系统安全目标优先级顺序则恰好相反。其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑,这些需求体现如下:
(1)工控系统的可用性则直接影响到企业生产,生产线停机或者误动都可能导致巨大经济损失,甚至是人员生命危险和社会安全破坏。
(2)工控系统的实时性要求很高,系统要求响应时间大多在毫秒级或更快等级,而通用管理系统能够接受秒级或更慢的等级。
(3)工控系统对持续稳定可靠运行指标要求很高,信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。
3工控信息安全产品
由于工控系统的自身特点以及对可用性的高度要求,适用于工业控制系统的信息安全产品也需要着重考虑工控系统的特点。目前使用相对比较广泛的工控信息安全产品主要包括工控防火墙、工控安全审计、工控隔离、工控主机防护等类型。
3.1工控防火墙
工控防火墙根据防护的需要,在工控系统中部署的位置存在多种情况,通常用于各层级之间、各区域之间的访问控制,也可能部署在单个或一组控制器前方提供保护。工控防火墙采用单机架构,主要对基于TCP/IP工业控制协议进行防护。通过链路层、网络层、传输层及应用层的过滤规则分别实现对MAC地址、IP地址、传输协议(TCP、UDP)和端口,以及工控协议的控制命令和参数的访问控制。
工控防火墙从形态来说主要分两种,一类是在传统IT防火墙的基础上增加工控防护功能模块,对工控协议做深度检查及过滤。还有一类工控防火墙是参考多芬诺工业防火墙的模式来实现的。
3.2工控安全审计
工控安全审计产品通过镜像接口分析网络流量,或者通过代理及设备的通用接口进行探测等方式工作,及时发现网络流量或设备的异常情况并告警,通常不会主动去阻断通信。
这类产品自身的故障不会直接影响工控系统的正常运行,也更容易让用户接受。
3.3工控隔离
工控隔离产品主要部署在工控系统中控制网与管理网之间。包括协议隔离产品,采用双机架构,两机之间不使用传统的TCP/IP进行通信,而是对协议进行剥离,仅将原始数据以私有协议(非TCP/IP)格式进行传输。其次还有网闸,除了进行协议剥离,两机中间还有一个摆渡模块,使得内外网之间在同一时间是不联通的,比较典型的是OPC网闸,主要还是传输监测数据,传输控制命令的网闸还相当少。另外还有单向导入设备,主要采用单向光纤、VGA视频信号等方式从物理上保证传输的单向性,其缺点是不能保证传输数据的完整性,但对于将控制网中的监测数据传输到企业办公网还是可行的。
总体来说,由于隔离类产品采用双机架构,中间私有协议通信,即使外端机被攻击者控制,也无法侵入内端机,其安全性要高于防火墙设备。
3.4工控主机安全防护
工控系统中会部署一定数量的主机设备,如工程师站、操作员站等。这些设备往往是工控系统的风险点,病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此,这些主机有必要进行一定的防护。
目前主要有两种针对主机设备的防护产品:一种为铠甲式防护产品,通过接管主机设备的鼠标/键盘输入、USB等外围接口来保证主机的安全;另一种就是白名单产品,通过在主机上安装代理程序,限制只有可信的程序、进程才允许运行,防止恶意程序的侵入。
4工控信息安全产品测试评价体系
工控信息安全产品测试评价体系涵盖测试环境、测评技术和评价服务三部分。测试环境主要由适用于工业控制系统信息安全产品的测试平台组成,测评技术主要涉及测试工具、测试方法、基础库和相关的标准及规范,评价服务提供工业控制系统的安全测评服务的能力。
4.1总体架构
以工业控制系统相关的新一代信息技术为对象,从研究工控信息安全产品的安全功能要求、自身安全要求和性能要求出发,结合信息系統的威胁分析、系统脆弱性检测和风险评价的方法和技术,建立了工控信息安全产品测试评价体系,总体架构如图2所示。
其中,测试环境体系包括基础环境和实验环境,测评技术体系包括测试方法、测试工具、基础库和关键标准,评价服务体系包括服务流程和组织管理。
4.2测试环境
根据测评机构质量体系建设等相关要求,通过对现有资源进行整合、改进和升级,形成实验室必要的物理基础设施,主要包括机房建设、硬件设备和软件购置,从而为工控信息安全产品测试评价提供基础条件。
测试环境主要包括以下两部分:
(1)基础环境:进行实验室机房装修和改造,作为测试评价体系的实施基础。
(2)实验环境:实验室基础网络和测试仪表。
4.2.1基础环境
基础环境主要通过对现有资源的整合、升级,着力建设测评环境所急需的物理基础设施,包括机房改建和扩建、硬件设备和软件购置、测评实验环境建立等内容,最终形成工控专用安全产品测试所需的必要基础条件。
基础环境包括4个测试(性能测试环境、攻击测试环境、功能测试环境和协议测试环境)隔断环境、1个演示环境和1个测试机房组成。
4.2.2实验环境
实验室环境主要是针对工业控制系统信息安全产品的检测需要,搭建典型的工业控制环境,包括测试平台和演示环境两部分。其中测试平台又包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个系统。
4.2.2.1测试平台
测试平台包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个方面。由于每个测试平台的测试重点和测试环境的要求各不相同,所以四个平台分别独立部署。
(1)功能测试平台
功能测试平台是一套典型的小规模工业控制系统,包含工业控制领域主流工业设备、工控协议交换设备、工业控制模拟软件系统。功能测试平台的工业设备包含行业主流,并支持工业控制主要协议的设备(包括西门子、施耐德、和利时及信捷等)的一至两种型号,能夠实现常用的工业控制功能及数据监测功能,具备支持多种常见的工业控制协议(支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等)的能力。
(2)协议测试平台
工控信息安全产品包括工控防火墙、工控隔离、工控审计、工控主机防护等。无论该设备在实际部署时串接接入,还是旁路接入工控网络,则该设备都需要进行协议测试,测试目地在于验证该设备是否能支持现有常用的工业控制协议。
(3)攻击测试平台
攻击测试平台主要针对常用的工控信息安全产品,用以验证安全产品是否能够抵御来自网络,压力,碎片等攻击。对于旁路接入的工控信息安全设备,测试目的在于验证系统能否能记录攻击行为(工控审计类产品);对于串行接入的工控信息安全设备,测试目的在于验证系统能否能抵御并拦截攻击行为(工控防火墙类产品)。
(4)性能测试平台
如果工控信息安全产品为串接部署则需要进行性能测试,用以验证该设备的引入是否会对现有的工业网络造成如通信延时增加、网络带宽降低等情况、安全设备的安全防护能力下降等影响。
4.2.2.2演示环境
演示环境是工控系统运行的展示,以简单明了的形式来表征工控系统运行的状态,包括正常运行和承受攻击时的运行状态。不同的工业控制产品自身的漏洞是各不相同的,所以为了直观的演示不同的攻击对不同的工业控制设备造成的影响,我们需要在工业控制协议及工业控制厂商进行尽量的覆盖。
演示环境包含高仿真沙盘模型和可视化工控系统拓扑结构展板。
沙盘由底座、台面和台面模型组成,沙盘内部完成所有动态的设计和线路的连接,台面模型根据具体设计和布局陈列,体现完整的工艺流程,各模型单体形状和比例与真实系统一致。沙盘涉及化工生产、污水处理、环境监测、智能楼宇等多个应用实景。
展板由展架和展板封面组成,展板上按层次集成工控设备、网络设备,并由灯带组成复杂的网络路径。实际演示过程中,将由不同色灯光表现正常网络数据流和受攻击后异常数据流。展板上各控制系统和交换机预留相应接口,可方便接入典型的工业控制防护设备或专用测试工具。
4.3测评技术
测评技术包括测试方法和测试工具的研究、改进和应用,基础库的建设以及相关标准的编制。
4.3.1测试方法
工控系统的安全性测试方法按照安全技术要求可以分为安全功能、安全保证、环境适应性和性能要求四个大类。根据各大类对系统的要求,分别进行测试方法的研究。
鉴于工控系统与传统信息系统在安全性要求上的区别,工控系统的信息安全目标通常都在最后考虑,因此工控系统的安全技术要求又有其特殊性。安全功能要求是对工控信息安全产品应具备的安全功能提出的具体要求,工控信息产品安全功能的具体要求包括身份鉴别、访问控制、安全管理、不可旁路、抗攻击、审计以及配置数据保护和运行状态监测等;安全保证要求针对工控信息安全产品的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发过程、指导性文档和生命周期支持等;环境适应性要求是对工控信息安全产品的应用环境提出具体的具体要求,例如IPv6环境适应性,OPC环境适应性等;性能要求则是对工控系统和工控产品应达到的性能指标做出的规定,例如去抖动、交换速率和硬件切换时间等。此外,针对工控系统和设备的操作系统层面的漏洞进行分析挖掘,形成攻击测试集。
针对以上要去分别深入研究相关的测试方法,并应用于实际的测试工作中。
4.3.2测试工具
为确保工业控制系统信息安全产品和系统测评服务的专业化,开发了一批方便易用的测评工具和分析工具。其目的一是减少测评或评估人员的工作负担,二是减少测评和评估人员因能力和经验造成的测评或评估误差,保证测评和评估服务结果的准确性和科学性,提高专业化的服务能力。通过测试软件来模拟正常和异常协议,可检测工业控制系统信息安全产品的功能实现,以及对异常协议的抵御能力。
本体系配套了工控协议模拟测试软件,集成Modbus、DNP、IEC104、IEC61850等工控协议,用于工控信息安全专用产品和工控设备的测试。该软件的运行方式是单机运行,适用的操作系统为windowsNT,windowsxp,windows7x86平台。该软件主要分为四个模块:ModBus模块、DNP模块、IEC61850MMS模块和IEC104模块。
4.3.3基础库
基础库主要包括知识库、测评指标库、测评方法库、测评用例库和测评数据库。
知识库的主要内容包括工业控制系统信息安全领域的基础技术知识、测试案例、法律法规、安全事件/技术手段等的统一描述方法、国内外安全事件、知识库的管理和维护方法、智能化数据挖掘方法等。
指标库保证各个被测系统之间测评结果的一致性。通过为工业控制系统安全测评服务建立统一的测评指标库,保证测评结果的唯一性和公正性。指标库由功能指标库、性能指标库和安全性评价指标库等构成,可根据需要对指标库进行扩展和维护。
测评方法库用以在每种信息安全专业化服务的标准编制和测评方法研究的基础上,明确具体的技术要求,从而提供有效的服务。
測评用例库是在测评方法库建设的基础上,加强测试的复用,提高安全测试的效率。根据厂家提供的说明书和测评人员的经验,深入解析相关技术要求的内涵,为每种具体服务建立测评用例库。
本体系的基础库由两部分构成,第一部分包括了知识库和漏洞库,设计成门户网站模式,直接对外开放,其中收集了4000余条安全事件、3万余条安全漏洞以及相关的法规政策、技术知识、工具等;第二部分涵盖了指标库、测评方法库、测评用例库、测评数据库等,运用于测评实战,检测人员可以在其中依据指标、测评方法、测试用例对实际的产品或系统进行测试记录。
4.3.4关键标准
工控系统与互联网信息系统采用传统信息安全产品难以满足相关要求,工控系统对持续稳定可靠运行指标要求很高,信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。因此,有必要为应用于工控系统的关键信息安全产品,以及工控系统安全提出专门的标准,并研究相应的测试技术与方法。
本体系在工控领域制定了信息安全产品标准体系,以规范和支撑产品测试。主要包括:
(1)《信息安全技术工业控制系统专用防火墙技术要求》;
(2)《信息安全技术工业控制系统网络审计产品安全技术要求》;
(3)《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》;
(4)《信息安全技术工业控制系统安全管理平台安全技术要求》;
(5)《信息安全技术工业控制系统入侵检测产品安全技术要求》
(6)《信息安全技术工业控制系统边界安全专用网关产品安全技术要求》;
(7)《信息安全技术工业控制系统软件脆弱性扫描产品安全技术要求》;
(8)《信息安全技术安全采集远程终端单元(RTU)安全技术要求》。
4.4评价服务
评价服务包括服务流程和组织管理。服务流程基于现有的服务流程,深入挖掘工业控制系统信息安全产品的特点,融入服务流程,提升服务质量;组织管理主要规范服务的相关制度,充分合理利用各方面的资源,提高服务效率。
4.4.1服务流程
服务采购单位提出自己的系统需求,测评机构经过沟通协调确定服务目标,签订服务合同,成立测评项目组;项目组根据采购单位提出的需求信息,分析需求是否充分;当需求不够充分时,需和服务采购单位进行沟通,补充需求并最终确认;当需求足够充分时,依据相关标准进行服务方案的总体设计,并由专家对方案进行评审;通过初步方案评审后,由测评人员对服务方案进行详细设计,再交由专家对方案进行评审,并提交方案;如方案需进行修改,需重新设计或晚上详细的服务方案,再由专家进行方案评审,如此类推;当提交的服务方案不需要进行修改时,形成安全的服务方案;一方面由专家对安全的服务方案进行审批,并形成标准化管理;另一方面测评人员根据安全服务方案进行测评工作,测评结束后,形成文档,并归档。
4.4.2组织管理
为了保障整套服务流程的顺利实施,本体系还建立信息安全产品及系统服务的组织架构,如图8所示。
通过成立领导办公室、管理部、技术部和检测部,分别从组织、管理和技术等方面对服务的流程进行控制。管理部主要按照相关的管理规定负责服务申请的受理、产品测评流程的控制、检验报告或测评报告的审核、客户满意度的回访等;技术部主要负责测评相关技术研究工作;检测部负责具体检测工作的实施,根据检测数据整理出具检验报告或测评报告初稿。
5结论
由于工控信息安全及相关产品的应用还处于快速发展阶段,对其的安全性测评还属于一个全新的领域,国内仅少数几个检测机构部分开展了相关测评工作。本文提出的工控信息安全产品测试评价体系已经在实际测评服务工作中得到了大力推广应用,为我国相关产业的健康发展提供了安全保障。
作者:沈清泓等
上一篇:信息时代的档案信息安全保障