關於工業控制系統網路安全審查工作的思考
近年來針對工業控制系統的網路攻擊事件日益增多,安全防護態勢非常嚴峻。目前我國主要工業控制領域的關鍵技術和產品主要依賴於國外廠商,安全風險突出,開展相關安全審查工作十分必要。本文分析了美國及歐盟在網路安全審查方面的做法以及我國開展工業控制領域網路安全審查面臨的難題,並給出了相關工作建議。
工業控制系統是電力、交通、能源、水利、冶金、航空航天等國家重要基礎設施的「大腦」和「中樞神經」,超過 80% 的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業。隨著「中國製造 2025」戰略和工業互聯網體系架構的提出,工業控制系統通過物聯網、互聯網等技術實現工業全系統多層次互聯互通,互聯網和新一代信息技術與工業系統逐漸實現全方位的深度融合,工業控制和基礎設施智能化程度不斷提高。
近年來,從封閉不斷走向開放的工業控制系統同時也面臨著越來越多來自互聯網的信息安全威脅,尤其是針對工控系統關鍵產品的攻擊不斷增多,安全防護形勢十分嚴峻。另一方面,目前我國工業控制系統的關鍵技術和產品對國外廠商依賴程度相當高,短期內還無法實現有效的自主可控。在當前工控信息安全事件高發,國際政治、經濟形勢複雜多變的情況下,加強工業控制領域關鍵技術和產品的信息安全認證和審查,對於提高安全性和可控性具有重要意義。
我國工業控制系統安全狀況分析
我國工業控制系統關鍵技術和產品應用狀況
近年來隨著工業互聯網以及工業 4.0 等概念的提出,我國製造業緊緊抓住新的機遇,加快轉型發展,實現我國製造業邁向中高端水平。作為製造業至關重要的一部分,工業自動化控制同樣迎來了廣闊的市場發展機遇。縱觀我國工業控制系統產品的應用情況可以發現,目前國外主流廠商佔據了 SCADA、DCS 等關鍵系統設備的大部分市場份額,在高端應用領域更是處於壟斷地位。
可編程邏輯控制器在自動化工程項目中佔有主要地位,隨著自動化產業熱潮不斷升溫,PLC 市場增長迅速,規模持續擴大。但在我國PLC 市場上,國產品牌所佔據的市場份額比例較小 ,目前市場上 95% 以上的 PLC 產品來自國外公司,主要有:西門子、施耐德、歐姆龍、三菱電機、羅克韋爾、ABB、艾默生、GE 等。
我國工業軟體市場增長迅速,目前市場規模已近千億元。在《中國製造 2025》的大背景下,工業企業轉變發展模式、加快兩化融合成為大勢所趨,工業軟體以及信息化服務的需求仍將繼續增加,中國繼續保持著全球工業軟體市場增長生力軍的地位。儘管我國工業軟體市場成長快,但由於起步晚、積累少,在大部分工業領域,國外工業軟體仍佔據統治地位。目前,中國高端工業軟體市場 80% 被國外壟斷,中低端市場的自主率也不超過 50%。國際上西門子、GE等公司紛紛投入巨資,研發未來工業軟體,我國在工業軟體上與國際主流水平差距依然很大。
此外,在數控機床領域,發那科 (FANUC)和西門子 (SIEMENS) 仍佔領中高檔控制器的主導地位,這兩家公司在世界市場的佔有率超過80%,而機器人、變頻器、伺服系統、感測器等工業控制系統重要設備的市場份額中,國產廠商所佔的比例也明顯低於國際廠商。可以說,目前我國工業控制系統產品依賴於國外主流供應商,國產可替代產品在數量和產品功能、質量上均與進口產品存在著較大的差距,工業控制系統的信息安全管控總體受制於人。
工業控制系統面臨的安全風險
作為國家關鍵信息基礎設施的重要組成部分,工業控制系統的安全關係到國家的戰略安全 ,工業控制系統安全事故往往造成嚴重的經濟損失和社會影響。2010 年伊朗布希爾核電站的「震網病毒」攻擊、2015 年底烏克蘭電力部門遭受到惡意代碼攻擊等安全事件表明,針對工業控制系統的漏洞攻擊正朝著關鍵控制器攻擊、網路協議攻擊、專業攻擊人員攻擊、工控信息系統漏洞挖掘與發布同時增長等趨勢發展。攻擊威脅的快速發展對安全防護能力提出了更高的挑戰,安全保障難度不斷加大。目前,我國工業控制系統面臨的安全形勢非常嚴峻,安全防護能力嚴重不足,安全防護手段建設嚴重滯後,主要有以下四類風險:
工控平台結構安全風險
隨著 TCP/IP 等通用協議與開發標準引入工業控制系統以及工業互聯網體系架構的提出,開放、透明的工業控制系統為物聯網、雲計算、移動互聯網等新興技術領域開闢出廣闊的想像空間。目前,多數工業控制系統內部開始採取一些安全隔離或者訪問認證的措施,但在工控網路結構上仍然面臨著網路邊界防護缺失,安全區域防護較弱、外部網路接入缺乏加密認證等風險。
工控本體安全風險
目前多數工業企業的系統主機、工業控制設備、移動介質及網路設備等普遍採用國外品牌,因協議和配置缺陷導致工業控制系統存在大量漏洞且未修復或者未能及時修復,也缺乏必要補償性控制措施進行防護。這些漏洞一旦被入侵者利用將引起設備故障或設備未經授權的操作,影響工控系統和組件的安全運行,導致不可控的安全威脅。整體而言,工業企業的工控系統漏洞風險管理能力及對工控系統的漏洞分析和評估修復的技術能力相對較弱,尚不能準確掌握工控設備的漏洞和後門情況,工業控制系統組件漏洞的數量呈逐年增加態勢。
工控行為安全風險
由於承載著海量的操作數據,並可以通過篡改邏輯控制器控制指令而實現對目標控制系統的攻擊,關鍵領域的工業控制系統基礎設施正在成為攻擊者滲透攻擊甚至攫取利益的重點對象。但目前工業企業工控網路普遍缺乏必要的技術手段對網路行為、關鍵設備、系統帳戶等進行有效的監控和審計,不能及時監控網路中的攻擊和異常行為。工控系統安全審計的缺失將導致在發生故障後不能快速進行操作溯源以及無法及時對故障進行定位,影響工控系統安全穩定運行。
工控安全管理風險
工業控制的信息安全管理方面的問題也不容忽視,很多已經實施了安全防禦措施的工控系統仍然會因為管理或操作上的失誤,出現潛在的安全短板。目前不少工控企業普遍缺乏完善的系統風險評估、運行維護、安全審計、突發事件處理等管理體制機制,人員培訓、配置變更管理、災備管理等管理制度也存在不同程度的漏洞。工控安全管理制度的不完善導致黑客通過社會工程學攻擊工控系統的案例屢見不鮮,除了可能造成生產流程中斷等情況,更可能發生工藝數據及配方等機密信息的泄露。
工業控制系統關鍵技術產品風險
從總體上看,我國工控信息安全防護體系建設滯後於工控系統建設,產業基礎薄弱,系統產品嚴重依賴進口,自主可控性較差,導致防護薄弱。截止至 2017 年底,在 CVE、NVD、CNVD 和 CNNVD 收錄的工控漏洞信息的基礎上統計發現,近年來全球工控系統安全漏洞數量高居不下,經分析 2008 年至 2017 年的漏洞條目,可見圖 1。
圖 1 近年來公開的工控漏洞數量變化
可以看出,2011 年之後隨著「震網病毒」的出現,工控系統安全得到了空前關注,相應的漏洞信息披露也進入了快速增長時期,累計披露的工控信息安全漏洞超過 1900 條,工控系統面臨的安全問題日益嚴峻。
根據對 2008 年以來的工控信息安全漏洞進行分析研究(見圖 2),可以看出許可權管理、認證許可、資源管理、緩衝區溢出等漏洞數量最多,對工控系統的危害主要集中於伺服器系統,SCADA 軟體、PLC 設備等。上述漏洞能夠造成工控系統服務中斷、系統停機、信息泄露甚至是物理性破壞,因此常常被黑客、病毒及惡意程序所利用。此外,通過信息泄露類漏洞,企業內部的重要工藝流程、參數、設備參數等關鍵信息容易被攻擊者所竊取,極易造成嚴重的經濟損失,也將成為進一步實施攻擊的重要情報。
圖 2 2008 年以來工控安全漏洞類型分布
近年來工業控制系統關鍵控制設備及管理軟體系統的漏洞呈現快速上升的趨勢,且高風險漏洞所佔的比例逐年升高,漏洞所影響的工控系統類型不斷增多。由於我國目前在石化、交通、電力、先進位造、市政等重要基礎設施中,國外進口的工控設備、軟體所佔的比例較高,這些重要產品短期內無法實現自主可控,相關信息安全漏洞信息的獲取不可避免存在著滯後性,給現有工控系統帶來的潛在威脅更不容忽視,也對工控系統的安全保障措施提出了更高的挑戰。
國外網路安全審查制度
美國網路安全審查制度
美國是最早針對網路安全建立審查制度的國家,在網路安全審查制度的建立和執行上具有豐富的經驗,值得我們借鑒。
早在 1975 年 5 月,美國便成立了外國投 資 委 員 會 CFIUS(The Committee on ForeignInvestment in the United States)。CFIUS 最 初 主要調查外國投資和併購是否符合產業政策以及是否有利於促進競爭和不違背反壟斷法律。2007年美國的《外國投資和國家安全法》(FINSA)生效,對 CFIUS 進行了法律上的確認和制度化,由 CFIUS 對外國投資可能存在的影響國家安全的因素(包括美國關鍵基礎設施、關鍵技術等)進行審查。
除了對外國投資實施嚴格的安全審查外,美國對於信息技術產品和服務也提出了網路安全審查要求,同時針對不同領域採取了不同的網路安全審查機制。
國家安全系統
早在 2000 年美國宣布在國家安全系統中用於保護非涉密信息的密碼類信息技術產品必須通過國家標準和技術研究院 (NIST) 的 FIPS140 認證。2002 年 7 月起,美國進一步規定在國家安全系統中使用的非密碼類信息技術產品必須通過美國國家信息安全保障聯盟(NIAP)所採用的信息技術安全評估通用準則 (CommonCriteria, CC) 認證。NIAP 採用了公開的標準為國家網路安全審查活動提供指引。
除了對涉及國家安全系統的產品實施嚴格的認證之外,2013 年 11 月美國國防部在《聯邦採辦條例國防部補充條例》中新增了網路安全臨時政策——《供應鏈風險要求》,要求國防部對採購的信息產品和服務實施供應鏈安全風險評估。供應鏈安全風險評估政策並沒有公開任何流程和具體要求,且不採購的理由也不會告知供應商。
聯邦信息系統
2002 年《聯邦信息安全管理法》(FISMA) 在國會通過並生效。FISMA 要求各聯邦機構制定並實施適用於本機構的信息安全計劃 (InformationSecurity Program),保障聯邦信息和信息系統的安全。FISMA 明確授權國家標準技術研究院(NIST)負責有關標準和指南的制定工作,並為聯邦機構落實標準提供技術指導。對於存儲了聯邦機構的信息或者承接了聯邦機構業務的合同商,必須滿足 FISMA 的安全要求。FISMA 的安全標準主要來自 SP800 - 53 文件,該文件提出了針對聯邦信息系統的供應鏈保護安全要求,同時對採購過程進行了詳細的規定。
雲計算安全服務審查
美國作為雲計算服務應用的倡導者和引領者,對雲計算服務實行安全審查,也成了雲計算服務推廣應用的重要方面。2011 年,NIST 發布了《公共雲計算安全和隱私指南》和《完全虛擬化技術安全指南》兩項標準,同時美國政府頒布了《聯邦風險及授權管理計劃》(FedRAMP)等文件及法規,為雲計算服務安全審查制度提供了標準依據。FedRAMP 明確要求聯邦機構必須採購和使用滿足安全審查要求的雲計算服務。第三方評估機構根據 FedRAMP 雲安全基線對雲計算服務進行安全風險評估,聯合授權委員會根據評估結果對雲服務商進行審查。
縱觀美國網路安全審查制度,主要有以下幾個特點:
一是開展審查的範圍不斷擴大,先是國家安全系統中的產品,隨後拓展到聯邦政府信息系統、雲計算等重點信息系統等,逐步實現全面覆蓋;
二是審查對象不僅包括產品和服務的安全性能指標,還包括產品研發過程、程序、步驟、方法、產品供應鏈等,同時產品和服務提供商、員工及企業背景也在審查之列;
三是部分審查標準和過程保密,不披露原因和理由,不接受申訴,且審查沒有明確的時間限制;
四是安全審查結果具有強制性,對於關係美國國家安全的重要信息系統,必須經過網路安全審查才能夠被允許進入採購目錄。
歐盟網路安全制度建設
目前歐盟尚未有統一的網路安全審查制度建設,但在網路安全法律制定方面,通過頒布一系列決議、指令、條例等,內容涉及數字網基層服務、網路准入制度、信息保護等互聯網安全諸多方面,用以指導各成員國的互聯網管理實踐。
2016 年 7 月,歐盟立法機構正式通過首部網路安全法—《網路與信息系統安全指令》(NIS),旨在加強基礎服務運營者、數字服務提供者的網路與信息系統之安全,要求這兩者履行網路風險管理、網路安全事故應對與通知等義務。作為歐盟首部網路安全法,NIS 明確了歐盟關於網路安全的頂層制度設計,包括確立網路安全國家策略、強調合作與多方參與、確立網路安全事故通知與信息分享機制等。隨著 NIS 的實施以及不斷改進,歐盟對於基礎服務運營者的信息安全要求正在不斷提高,監管機構對於網路安全的評估日趨嚴格,針對基礎服務運營者的網路安全審查已經箭在弦上了。
歐盟內部各國家對於網路安全的審查做法也各有不同,作為信息化強國的德國,對於外國投資的安全考量以及網路安全立法等方面具有代表性。《對外貿易與支付法》(Foreign Trade and Payments Act, AWG)是德國規範外資併購的主要法律。審查部門——德國經濟與技術部有權依據 AWG 或者其他法案中的相關規定來阻止或者修改某項交易。2015 年 7 月德國議會通過《德國網路安全法》,法律中明確了「關鍵基礎設施」的範圍及運營者的責任,同時要求關鍵基礎設施運營商必須履行網路安全標準報告和網路安全事件動態報告義務。雖然目前德國尚未實施強制的網路安全審查政策,但通過一系列法律逐漸構建了關鍵基礎設施的認定範圍、責任歸屬以及安全報告等制度體系,這將為後續的安全審查提供了制度基礎 。
我國開展網路安全審查的要求和實踐
法律法規要求
2017 年 6 月 1 日,《中華人民共和國網路安全法》正式實施,該法是我國第一部全面規範網路空間安全管理方面問題的基礎性法律,是我國網路空間法治建設的重要里程碑。《網路安全法》在條文中特彆強調要保障關鍵信息基礎設施的運行安全。為此,《網路安全法》強調在網路安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者採購網路產品和服務可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。目前大多數工業控制系統作為關鍵信息基礎設施,其承擔了重要的安全責任和法律義務,所採用的工控產品和服務可能影響國家安全,對其採取安全審查符合相關的法律依據。
2017 年 5 月 2 日,國家互聯網信息辦公室發布了《網路產品和服務安全審查辦法(試行)》(以下簡稱「《審查辦法》」),並於 2017 年6 月 1 日起正式實施。《審查辦法》構建了網路產品和服務安全審查的基本制度框架,是《網路安全法》確立的網路安全整體制度建設的重要組成部分。《審查辦法》在第二條和第九條分別確定了網路安全審查的範圍:「關係國家安全的網路和信息系統採購的重要網路產品和服務」;「可能影響國家安全的公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他關鍵信息基礎設施的運營者採購網路產品和服務」。因此針對關鍵信息基礎設施,在涉及國家安全事項時,還需要在通用性安全測試認證的基礎之上實施國家安全審查。
在審查內容方面,重點審查的是網路產品和服務的安全性、可控性。《審查辦法》除關注產品和服務自身的安全風險外,著重強調了產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈風險。隨著信息技術全球化供應趨勢的發展,安全風險通過供應鏈進行滲透的渠道越來越多樣化,並成為安全威脅的主要來源。供應鏈安全審查應當綜合判斷涉及技術、管理和人員安全層面的可信狀態,同時結合第三方機構檢測等技術審查措施,為網路產品和服務搭建完善的安全審查程序。
認證認可實踐
2003 年 9 月,國務院發布了《認證認可條例》,規定認證是指由認證機構證明產品、服務、管理體系符合相關技術規範、相關技術規範的強制性要求或者標準的合格評定活動。認證的對象分為三類:產品、服務和管理體系。目前在我國信息安全領域,目前針對這三類對象的認證活動都已展開,即信息安全產品認證、信息安全服務認證和信息安全管理體系認證。目前,由中國信息安全認證中心開展了針對防火牆、入侵檢測系統(IDS)、網路脆弱性掃描產品、安全審計產品、網站恢復產品等八類十三種產品實施國家信息安全產品認證。
2017 年 6 月,根據國家《網路安全法》規定,國家互聯網信息辦公室、工業和信息化部、公安部、國家認監委《關於發布 的公告》(2017 年第 1 號),明確了對伺服器、交換機、路由器和 PLC 設備等四類網路關鍵設備和防火牆、入侵檢測系統(IDS)、網路脆弱性掃描產品、網路綜合審計系統等十一類網路安全專用產品實施檢測或認證的制度。
當然,審查絕不單單是一個單純的技術性的審查,而是將企業聲譽、背景、資質,產品研發、製造、交付的過程等各種指標和因素都納入,從多角度衡量產品和供應商的可控性與安全性。我國的信息安全產品認證認可制度應該算是安全審查工作體系的一部分。
工作面臨的困難
制度體系尚不健全
國家《網路安全法》要求關鍵信息基礎設施的運營者採購網路產品和服務,可能影響國家安全的,需要進行國家安全。《網路產品和服務安全審查辦法(試行)》要求金融、電信、能源、交通等重點行業和領域主管部門,根據國家網路安全審查工作要求組織開展本行業、本領域安全審查工作。但目前對於關鍵信息基礎設施中的工業控制系統技術和產品的認定及安全審查實施實施的主體、程序等內容尚缺乏進一步的法律和法規要求。
2011 年工信部下發了《關於加強工業控制系統信息安全管理的通知》(工信部協〔2011〕451 號),要求對重點領域工業控制系統進行安全檢查和管理。工信部近年先後印發《工業控制系統信息安全防護指南》和《工業控制系統信息安全行動計劃(2018-2020 年)》,旨在指導和管理全國工業企業工控安全防護和保障工作。但以上文件均未明確工業控制領域有關關鍵技術和產品的安全審查工作的制度性安排,同時相關的國家標準和行業標準遲遲未能出台。
工控產業體系尚未形成
近年來我國在工業控制自動化產品研發製造上取得了長足的進步,湧現出了一大批優秀的工業自動化設備產品製造商,如和利時、新華控制、浙大中控、南瑞集團等,國產設備逐漸在能源、智能製造、市政等工業控制系統中站穩腳跟並逐漸擴展了市場份額。但同時也必須看到,在工業控制系統關鍵軟硬體產品上,我國尚未形成自主的產業體系。
目前我國工業自動化系統中 PLC、DCS、HMI 等關鍵設備產品,主要由橫河公司,GE、ABB、SIMENS、施耐德、研華,霍尼韋爾等國際廠商佔據,特別是在高端領域,國際產品幾乎處於壟斷狀態。根據不完全統計,國際廠商產品大概在我國高端的 SCADA 數據採集和監視市場擁有 91% 的份額,在 DCS 分散型數字控制系統佔據 70%。與此同時,對相關產品的安全性處於不可知不可控狀態,完全受制於人。由於國內在工控核心晶元、基礎軟體、關鍵設備等領域的核心技術研發能力不足,加上知識產權、商業模式等方面的問題,我國工控產品的自主產業體系尚未形成,開展工業控制技術和產品安全審查工作將面臨技術標準制定製、保護國內產品、潛在國際貿易糾紛等困難。
幾點建議
加快工業控制安全審查制度建設
《網路安全法》從法律層面明確了我國正式實施網路安全審查制度。網路安全審查制度不應當等同於外資併購國家安全審查或其中的網路安全部分,其應當具有制度獨立性。因此,迫切需要建立與制度相關的監管執行機制、第三方評估機制、結果通報機制和社會監督機制等等。
作為關鍵信息基礎設施的最重要組成部分和重要行業領域,工業控制領域的安全審查執行主體需要儘快予以明確,由主管部門推動建立工控領域關鍵技術和產品的安全審查組織和技術體系,並確定工業控制系統技術產品的審查範圍和內容。
加強工業控制技術支撐能力建設
一是要建立工控信息安全標準體系,並納入國家網路安全標準化體系建設。針對工業控制系統,應儘快建立包括安全分級、安全基本要求、安全防護要求和能力評估各層面的技術標準;對於工業控制技術和產品,應建立覆蓋訪問控制、授權、審計、評估等技術門類的安全技術要求,用以指導相關技術產品的研發、檢測和審查評估工作。二是建設安全態勢感知與驗證、通報預警和應急處置等共性技術設施,為相關技術產品研發、驗證和評估提供試驗平台。三是建設提升網路安全審查專業機構對工業控制技術產品和服務的漏洞挖掘、病毒分析、軟體逆向、代碼分析、滲透測試等方面檢測評估能力,為工業控制領域的安全審查提供專業技術支撐。
加緊工業控制自主產業體系建設
一方面,針對我國工業自動化自主產業體系較為薄弱的現狀,應加大對核心控制設備和產品的自主研發力度,特別是加大對工控核心晶元、高端工業軟體、關鍵裝備等重要軟硬體的攻關,強化科研成果在重點領域的示範應用和成果轉化,逐步實現工業控制系統國產替代,保障工業控制產業供應鏈安全。
同時,打造工業控制安全產業生態鏈。聚集工業互聯網設備、控制、網路、平台、數據的安全需求,突破工業網路攻防、安全隔離、工業協議解析和漏洞挖掘等關鍵技術,形成覆蓋工業網路不同層面的各類安全防護產品體系;並強化重要工業軟體和大型工業裝備的安全設計和安全技術集成,融合工控系統安全需求與生產企業裝備產品的設計目標,提升軟體和裝備自身可靠性和安全性,為國家工業控制領域的網路安全審查工作提供良好樣本。
加快工業控制專業人才隊伍建設
無論是工業控制安全防護還是網路安全審查工作,都需要大量的安全專業人才。在人才教育方面,既需要在網路安全學科中補充工業控制自動化知識的教學,也需要在自動化專業中融合網路安全知識教學。同時,強化工業控制領域的安全技能職業教育培訓,鼓勵企業與院校合作,聯合培養跨學科、跨專業的複合型工控安全專門人才。極力培育工控系統網路安全保障專家隊伍和安全審查評估的可靠人才,為工業控制領域安全審查提供專業化的智力和技術支持。
為便於排版,已省去原文注釋
作者 >>>
陳清明,上海市信息安全測評認證中心副主任 , 高級工程師 , 研究方向為信息安全風險評估 ,工業控制安全。
朱少輝,上海市信息安全測評認證中心工程師 , 研究方向為工業控制安全。
(本文選自《信息安全與通信保密》2018年第六期)
原創聲明 >>>
本微信公眾號刊載的原創文章,歡迎個人轉發。未經授權,其他媒體、微信公眾號和網站不得轉載。