《工业控制系统安全防护技术发展研究.docx》由会员分享,可在线阅读,更多相关《工业控制系统安全防护技术发展研究.docx(21页珍藏版)》请在优知文库上搜索。
1、一、前言随着工业化和信息化的深度融合,工业控制系统逐渐由传统的封闭隔离转为开放互联,并与第五代移动通信(5G)、物联网、工业互联网等技术相结合,有效提升了工业企业的生产效率和灵活性。然而,开放互联场景使工业控制系统的安全问题进一步凸显,增加了工业控制系统的网络安全风险,尤其是在相对封闭环境下的传统工业控制系统。以高级可持续威胁(APT)攻击为代表的网络未知威胁日益增多,呈现出国家间博弈与较量进一步增强的趋势。工业控制系统作为与工业生产直接相关的关键信息基础设施已成为APT攻击的主要目标,面临的攻击威胁呈现持续性、针对性、潜伏性、隐蔽性、未知性等特点,直接影响工业生产过程,范围覆盖军工、民用等多
2、个工业领域,亟需加强工业控制系统安全防护水平。工业控制系统直接关系工业生产且优先保障可用性,涵盖网络空间、物理空间,场景复杂,受到世界主要国家普遍重视。美国、欧洲等国家和地区在工业控制系统安全防护的战略部署和政策规划方面起步较早,具有一定的优势。美国制定了一系列政策、标准以加强工业控制系统的安全,如出台关键基础设施信息安全法案(2001年),将能源等工业关键基础设施列为重要保护对象;美国国家标准与技术研究院(NlST)发布工业控制系统安全指南(NISTSP800-82,2011年),为工业控制系统的安全保障提供指导;设立专门的工业控制系统网络应急响应小组和多个国家实验室负责工业控制系统的安全保
3、障和研究工作。德国对工业安全也非常重视,推出了“数字化战略2025(2016年),明确了工业控制系统安全的重要性,提出了一系列促进相关技术研发和标准制定的措施。欧洲网络安全局发布工业控制系统网络安全白皮书(2013年),为工业企业实施安全防御措施提供指导。我国历来重视网络安全问题,坚持底线思维,着力防范化解重大风险,针对工业控制系统的安全威胁,建立有效的工业控制系统安全防护体系和方法以有效应对和化解工业控制系统重大安全风险、保障国家网络空间安全。我国工业控制系统安全的研究与管理虽然起步晚但发展较快。2011年,工业和信息化部发布关于加强工业控制系统信息安全管理的通知,明确了工业控制系统安全管理
4、的相关要求。2019年,我国实施信息安全技术网络安全等级保护基本要求(GB/T22239-2019,简称为等保2.0),将工业控制系统安全纳入等级保护体系。“十四五规划纲要提出,维护水利、电力、供水、油气、交通、通信、网络、金融等重要基础设施安全,工业控制系统作为重要关键信息基础设施成为未来安全防护重点。2022年,我国发布信息安全技术关键信息基础设施安全保护要求(GB/T392042022),规定了关键信息基础设施在识别分析、安全防护、检测评估等方面的安全控制措施;作为我国首个正式发布的关键信息基础设施安全保护标准,为关键信息基础设施更好开展安全保护工作提供了操作指引。在工业控制系统安全防护
5、技术及体系研究方面,目前已提出了可编程逻辑控制器(P1.e)程序安全分析、工业行为异常检测、工业控制协议安全分析等方法,但主流方法仍沿用传统安全防护技术提出了面向工业控制系统的主机防护、防火墙、入侵检测、蜜罐、可信计算等技术,建立了以纵深防护、主动防护为代表的安全防护体系。现有工业控制系统安全防护面临两方面挑战:一方面,现有安全防护体系难以全面应对隐蔽未知的APT攻击,另一方面,对针对物理空间以及跨信息域和物理域的攻击难以适用,无法直接用于解决工业控制系统安全问题。文章在剖析工业控制系统基本构成和面临的安全防护挑战基础上,梳理工业控制系统安全防护技术的发展现状,厘清工业控制系统安全防护技术的重
6、点任务及关键技术,探索新的安全防护体系、方法及未来发展路线,以期为提升工业控制系统安全防护能力提供参考。二、工业控制系统的基本构成与面临的安全防护挑战(一)工业控制系统的基本构成工业控制系统抽象模型多采用层次架构,包括普渡模型、IEC62264-1标准层次结构模型等。我国等保2.0标准中的工业控制系统相关等级保护要求参考了IEC62264-1层次结构模型。以该模型为例,工业控制系统自上而下可分为5层(见图1):企业资源层、生产管理层、过程监控层、现场控制层和现场设备层。企业资源层可为企业提供决策运行手段;生产管理层可对生产过程进行管理;过程监控层主要对生产过程数据进行采集与监控,并利用人机界面
7、(HMI)系统实现人机交互;现场控制层通过P1.C.分布式控制系统(DCS)、远程终端单元(RTU)等控制设备对现场的传感设备、执行设备进行采集和控制;现场设备层主要涉及各类过程传感设备与执行设备单元,对生产过程进行感知与操作。IEC62264-1层次模型是一种通用的层次模型,尽管电力、冶金、石化等领域的实际工业控制网络架构与其存在一定的差异,如某些层次可能需要扁平化,但该模型仍能覆盖大部分工业控制场景,具有很高的参考价值。外部网络企业资源层生产管理层路由器财务系统销售系统人事管理供应链管理对外服务防火墙仓库管理先进控制uU计划维产j实时数据库DCS控制系统现场控制层9z.DCS控制系统OPC
8、服务器OpC服务器现场设备层现场仪表DCS控制系统现场仪表现场仪表图1IEC62264-1工业控制系统层次模型以生产管理层分界,企业资源层、生产管理层多采用信息领域相关的通用技术,其他层多采用工业控制系统特有技术。针对工业控制系统企业资源层和生产管理层的攻击与传统针对信息系统的网络攻击类似,因此,工业控制系统安全可主要关注现场设备层、现场控制层、过程监控层等,而面向这3层的网络攻击通常会给控制设备、工业现场带来严重危害。区别于传统信息网络,工业控制系统的特殊性主要表现在:信息化与自动化融合。工业控制系统融合了信息系统和自动化系统,既需要信息系统提供智能化采集、监测、管理和决策,也需要自动化系统
9、实现对现场工业设备的自动高效控制。空间互通。工业控制系统的作用域涵盖网络空间和物理空间,网络空间的决策可影响物理空间的动作,物理空间状态反过来也会影响网络空间的决策。可用优先。工业控制系统在设计之初与外部网络隔离,未考虑安全问题,与工业现场生产关系紧密,设备分散且要求全时段不间断运行,不易通过停产升级以解决安全问题。因此,针对工业控制系统的攻击呈现跨越网络空间和物理空间的特点,与传统网络攻击技术存在较大差异,亟需对安全防护技术进行优化。(二)工业控制系统安全防护技术面临的挑战现有工业控制系统安全防护体系在应对网络攻击时呈现出以下特点。网络攻防技术的不对称性。网络攻击技术只需突破工业控制系统的某
10、个点,网络防护技术则需要兼顾整个工业控制系统,防守方天然处于不利地位。此外,威胁情报不对称进一步加剧了技术水平的不对称。我国关键工业控制设备大多源自国外供应商,易被恶意植入后门、木马,只能以黑盒方式研窕工业控制系统的安全问题,在攻防对抗中不占优势;同时,不同工业控制设备厂商之间存在技术壁垒,攻防技术难以通用。攻防过程的强对抗性。针对工业控制系统的攻击呈现有组织、集团化特点,攻击组织往往掌握目标系统的多个零日(Oday)漏洞、系统/设备后门甚至能够伪造合法凭证,攻击过程较为隐蔽、攻击手段多样、对抗能力较强,致使我国的工业控制系统安全防护疲于应对。安全防护的紧耦合性。工业控制系统所采用的纵深防护、
11、主动防护等措施多以强关联、紧耦合的方式进行设计、研发和部署,是一种“自卫模式,确保了工业控制系统可以通过自身安全能力建设应对威胁,但这种防护模式在工业控制场景中会对工业控制系统产生一定程度的侵入式影响,对未知攻击难以快速响应。安全更新的高延迟性。工业控制设备和系统要求全时段运行,同时,我国存在大量缺乏维护的老旧工业控制设备,为确保系统稳定运行,不能轻易对此类设备进行改动,以免影响生产。这类工业控制系统在遇到安全问题时,往往无法立即停机更新,更新相对滞后。工业控制系统安全防护的上述特点使得工业控制系统在攻防对抗中面临“摸不透和控不住两方面的挑战。1 .工业控制系统面临“摸不透困境当前,我国工业领
12、域的核心设备、固件、软件、协议等被国外供应商垂直垄断。在关键工业控制设备P1.C方面,西门子股份公司生产的P1.C在大、中型P1.C市场上具有较强的竞争优势,约占我国P1.C市场规模的44%;罗克韦尔自动化有限公司在大型P1.C产品市场中具有绝对优势。由于工业场景复杂多样、需求不一,不同场景下适用的设备和通信协议各不相同很难形成统一规范,面临中央处理器(CPU)专用、操作系统闭源、协议碎片化等问题,这种封闭性、排他性使我国在某些核心领域很难有所突破。同时,国外供应商为维持各自的市场和技术优势,建立了覆盖硬件、固件、软件、协议的完整垂直生态系统,采用独立、排他且不公开的标准和协议,致使其他厂商的
13、产品很难融入。例如,在工业领域中,仅通信协议就存在多种不同的标准协议,如RS-232、RS-485、CAN、MOdbUs、PRoFlNET、ModbusTCPUMASS7comm、S7comm-PlusPPKDNP3OmronFINSMelsec等。以上现状致使我国工业控制领域的核心技术、核心设备长期依赖进口,关键技术被“卡脖子,易受技术封锁和制裁,产业安全受制于人。“摸不透困境也严重影响了工业控制系统的网络安全。我国企业大量的专用软/硬件工业控制设备(系统)长期被国外垄断,相关设计方案、运行机理、源码、测试方案、设备维护数据等不对外公开,导致安全分析只能采用黑盒操作,很难摸透相关设备(系统)
14、的内部机理,存在较大的安全隐患,不易发现可能存在的漏洞和后门;而国外供应商则完全掌握设备(系统)及设备漏洞,甚至可以预设后门监测通信数据或实施攻击。在攻防对抗中,对安全防护对象摸不透致使大量未知威胁难以被发现,甚至可能掉入对方设置的漏洞陷阱。2 .工业控制系统面临控不住难题从攻防对抗角度来看,我国工业控制系统安全防护技术缺乏突破性进展和创新性技术。当前,针对工业控制系统的攻击手段、规模、对象等均体现出鲜明的组织化、规模性和指向性特点,现有工业控制系统安全防护技术难以有效应对,面临控不住问题:针对工业控制系统的攻击隐蔽性强、威胁大,攻击方法难以预测,导致工业控制系统面临未知的未知网络攻击。同时,
15、工业控制系统设备更新换代慢,存在大量老旧设备,依靠系统自身内在的安全能力难以应对未知安全威胁。现有的内生安全、主动防护、纵深防护等自卫模式安全防护体系深入到工业控制系统内部,己为工业控制系统逐步建立起内在的安全防护能力,在一定程度上缓解了我国工业控制安全防护的迫切需求。然而,自卫模式安全防护体系从工业控制系统内部构建安全能力会采取一定的侵入式安全措施,影响工业生产,同时针对威胁的防护能力需要一定时间逐步建立,无法快速反应。因此,亟需在不影响工业控制系统原有架构的基础上,在工业控制系统外部形成防护能力,以“护卫模式安全防护体系弥补现有自卫模式体系的不足。工业控制系统直接关联工业现场,很难直接在工
16、业控制系统上实施安全测试、攻防演练、技术验证,较多依赖工业控制靶场复现以还原工业场景。因此,缺乏可用靶场平台成为制约工业控制系统安全防护发展的重要因素之一。目前,我国工业控制网络靶场的建设、管理、运营缺乏顶层规划,存在重复建设、资源分散难以共享等问题,未能充分挖掘和发挥其潜力,服务于工业控制系统安全防护。三、工业控制系统安全防护技术的发展现状工业控制系统安全防护技术与攻击技术的发展紧密相关,二者在对抗中螺旋上升。在介绍典型工业控制系统攻击技术的基础上,梳理工业控制系统安全防护技术的发展现状。(一)工业控制系统攻击技术针对工业控制系统的攻击多为高隐蔽、未知类攻击,极易给工业现场的正常运行带来严重破坏。工业控制系统攻击主要集中在过程监控层、现场控制层、现场设备层。按照层次顺序,工