工控安全服務框架介紹
全球工控網路態勢 自 2011 年德國漢諾威工業博覽會首次提出“工業 4.0”概念以來,全球各國都在逐步著手在 未來製造業中的各個環節中通過物聯網技術的應用,將生產工藝、管理流程全面數字化,同
時通過工業資料的分析、工業網路的互通、雲端計算和大資料技術使得網際網路和工業能夠進一 步融合。隨著工業自動化控制系統逐漸從封閉孤立轉向開放互聯,工業自動化生產開始在所
有網路層次上出現橫向與垂直整合,在享受開放互聯帶來的技術進步的同時,也面臨這越來 越嚴重的安全威脅。
綜合 ICS-CERT 對今年安全事件的統計資料分析結果,我們可以看到工業控制系統相關的安
全事件呈現快速增長的趨勢,並且這些事件大多分佈在能源、關鍵製造業、市政交通等涉及 國計民生的關鍵基礎行業。這與關鍵基礎行業對於社會生活的重要性,及其工控系統的自動
化、資訊化程度較高有密切聯絡。 根據公開資訊,近年知名度較高的工控網路安全事件列表如下:
自 2010 年以來,工控網路安全事件呈逐年增加態勢,工控網路安全成為了國與國之間、國家
與地區組織之間的全新網路戰場。目前國際上在裝的主流工業控制系統壽命均已接近
20 年, 有許多落後的 FCS 現場匯流排系統和特殊網路協議,同時這些裝置從設計之初就並沒有將現場
網路安全納入主要考量;但這些問題直到 2010 年“震網”病毒被曝光之後才引起公眾的廣泛
關注,以美國、以色列為首的國家力量早已開始對工業控制網路的安全性進行研究。此後, 市面上的工業控制系統廠商開始對在裝系統進行逐步升級,但這些系統因為固有的問題無法
徹底封鎖黑客入侵的途徑,使得在裝系統長期暴露在網路威脅之下。
上圖是 2015 年全球分行業工控網路攻擊事件的統計,可以看到關鍵製造業是工控網路安全事件的重災區,也是美歐各國增加預算應對網路威脅的重點行業領域。
2013 年 2月,美國總統釋出了總統行政命令13636 號,制定了“NIPP 2013 美國國家基礎設施保護預案”,旨在建立國家基礎設施的安全,維護網路環境,管理網路安全風險。
2013 年,歐盟釋出了 COM(2013)48——關於 NIS(Network and Information Security網路 與資訊保安)指令的提案,該提案在 2009/140/EC 指令的基礎上為網路運營商建立了安全要 求。歐盟2009/140/EC 指令是“公共網路運營商和服務商對安全風險和安全措施的管理”, 以保障網路和服務的安全性。2014 年 3月,卡達國發布了國家 ICS 安全標準。國際標準 IEC62443 系列:這是國際電工標 準委員會 IEC 制定的一套關於“工業通訊網路和控制系統供應鏈的網路安全風險”的標準。
2015 年 6 月 8日,美國國家標準與技術研究院釋出第二版工業控制系統(ICS)安全指南,該 指南包括如何調整傳統
IT 安全控制系統以適應工業控制系統獨特的效能、可靠性和安全性要求;同時對威脅與漏洞、風險管理、實施方案、安全體系架構等部分進行了更新。ICS 安 全指南自 2006 年首次釋出以來下載量已達到 300 萬次,ICS 安全指南提供瞭如何減少計算機 漏洞控制工業系統遭受惡意攻擊,裝置故障、錯誤、不充分的惡意軟體防護和其他威脅等方 面的建議。
大多數 ICS最初都是專用的,採用獨立的軟硬體集 合與其他部分隔開,並與外部威脅隔離。 如今,大量的通用軟體應用,網際網路裝置和其他非專用IT 產品已經被廣泛地整合到大多數 ICS 系統中。這種整合帶來了許多好處,但是同時也增加了這些 ICS 系統的脆弱性。 由於獨特的效能,可靠性和安全性的要求,保護 ICS往往需要適應和擴充套件到 NIST 開發的安 全標準和指導方針中以保護傳統 IT 系統。本次修訂的一個顯著內容是一個新的 ICS覆蓋提 供定製的指導,如何適應與應用安全控制及加強控制,特別出版物 SP800-53 包含了一個安 全控制目錄,可定製以滿足特殊需求、某組織的使命、操作環境、或特定技術的使用。
國內工控網路態勢
我國政府 2015 年提出了“網際網路+”行動計劃,目的在於推進生產製造模式的變革、產業創
新和產業結構升級。傳統行業通過與網際網路技術的結合,形成了新的物聯網、工業網際網路、 工業物聯網、物理資訊系統、智慧城市等新興領域。在網路互聯的大背景下,工業控制系統
打破物理隔絕的邊界已經不可避免。網路互通互聯一方面可以提高生產力和創新能力、減少 工業能耗、助力產業升級,另一方面也會因為網路的互通互聯產生一系列之前從未納入考量
的網路安全問題。工業控制系統控制的關鍵基礎設施、關鍵製造業等重要系統因此都面臨巨 大的安全風險和隱患。 據中國資訊保安測評中心資料顯示,我國目前在裝工控系統普遍存在工控漏洞,並且涵蓋了
所有的主流控制系統供應商。
Figure2 2015 年國內工控漏洞廠商分佈
我國從國家政策層面上高度重視工業控制系統的資訊防護。自工信部 451號文、電力行業TC260、TC124 等標準出臺之後,我國近年釋出施行和在擬的政策如下表所示:
2014 年 12月 1日“工業控制系統資訊保安技術國家工程實驗室”在京正式揭牌成立。該實 驗室是在中央將網路安全和資訊化上升到國家戰略的背景下建立的, 由中國電子資訊產業 集團第六研究所承擔建設任務,針對我國工業控制系統面臨的日益嚴重的資訊保安攻擊威脅等問題,圍繞涉及國計民生的重點工業和軍事領域,建設我國自主的工業控制系統資訊保安 技術研發與工程化平臺,開展關鍵技術和產品的研發和產業化。 目前,中國工控安全的焦點主要集中在關鍵基礎設施、智慧製造、物聯網、軍工生產和智慧城市等行業領域。