一、引言
隨工業(yè)控制系統(tǒng)(IndustryControlSystem,ICS)面臨遠(yuǎn)程維護(hù)、非法操作、惡意軟件入侵、非法訪問(wèn)、與互聯(lián)網(wǎng)聯(lián)接等帶來(lái)的潛在威脅,網(wǎng)絡(luò)邊界、訪問(wèn)控制、通信保護(hù)、惡意操作控制、惡意程序防護(hù)等方面存在一定的脆弱性,因此單一的防護(hù)措施已不再有效。ICS作為工業(yè)基礎(chǔ)設(shè)施核心,關(guān)系到我國(guó)經(jīng)濟(jì)發(fā)展及國(guó)家安全。相關(guān)部門應(yīng)基于深度防御理念,采取多重安全措施搭建安全的ICS,不斷滿足技術(shù)發(fā)展和商業(yè)發(fā)展的需要。
二、安全策略部署
全面翔實(shí)、科學(xué)合理的安全策略部署,對(duì)于深度防御策略的實(shí)施至關(guān)重要。安全策略需要進(jìn)行年度修訂和評(píng)估,以便更好地實(shí)現(xiàn)時(shí)效性和實(shí)用性。
(一)安全策略制定
為提高有效性,安全策略必須具有一定的可操作性,不能嚴(yán)重影響生產(chǎn)且占據(jù)過(guò)高成本,同時(shí)還需獲得高層領(lǐng)導(dǎo)的必要支持。所以,安全策略的制定需要高層行政負(fù)責(zé)人和系統(tǒng)管理員的共同參與。網(wǎng)絡(luò)和ICS管理員掌握技術(shù)知識(shí),但在執(zhí)行安全策略時(shí)仍需管理層的認(rèn)證和授權(quán)。管理層也必須支持適當(dāng)?shù)娜肆Y源部署和使用,以保證ICS安全。同時(shí),可以借鑒許多傳統(tǒng)IT安全策略,并與ICS的特定需求進(jìn)行融合。
(二)安全風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是理解與定義威脅、漏洞,并為其制定安全措施的基礎(chǔ)。實(shí)施深度防御策略首先應(yīng)進(jìn)行全方位的安全風(fēng)險(xiǎn)評(píng)估,查找并挖掘自身面臨的風(fēng)險(xiǎn)和漏洞。
(三)組建安全團(tuán)隊(duì)
組建一支跨職能的安全團(tuán)隊(duì),并由高層管理者具體負(fù)責(zé)。安全團(tuán)隊(duì)?wèi)?yīng)包括全程參與ICS的工程師和管理員,團(tuán)隊(duì)成員需接受相關(guān)安全培訓(xùn),并掌握在當(dāng)前ICS架構(gòu)下所面臨的安全挑戰(zhàn)和風(fēng)險(xiǎn)。安全團(tuán)隊(duì)的主要職責(zé)是,制定安全策略和安全流程,以提高安全能力,并有效保護(hù)ICS。
(四)操作安全計(jì)劃
為防止安全策略對(duì)ICS的可用性造成負(fù)面影響,應(yīng)考慮ICS的全部操作性要求。以滿足操作性要求為前提,建立操作安全計(jì)劃(OperationalSecurityProgram),其中包括角色與職責(zé)、物理安全、訪問(wèn)控制、區(qū)域防御等。
在實(shí)施深度防御技術(shù)前,應(yīng)首先制定技術(shù)評(píng)估計(jì)劃、安全采購(gòu)計(jì)劃及貫穿系統(tǒng)生命周期的安全實(shí)施計(jì)劃。深度防御技術(shù)被看作是ICS安全構(gòu)架的一部分,應(yīng)標(biāo)記系統(tǒng)聯(lián)接及具備不同安全能力的關(guān)鍵區(qū)域。
(五)安全培訓(xùn)
安全培訓(xùn)是宣傳安全意識(shí)重要性的重要環(huán)節(jié)。在制定安全培訓(xùn)時(shí),應(yīng)考慮目的和范圍;資源配置;實(shí)施計(jì)劃;監(jiān)控和反饋;效力評(píng)估等因素。
所有員工應(yīng)接受包括執(zhí)行層、操作層和技術(shù)層在內(nèi)的安全培訓(xùn),并針對(duì)不同崗位接受不同的培訓(xùn)內(nèi)容,例如,網(wǎng)絡(luò)安全管理員需接受涉及網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的最前沿動(dòng)態(tài),如構(gòu)架設(shè)計(jì)、防火墻和入侵檢測(cè)系統(tǒng)配置等培訓(xùn)。
(六)事件響應(yīng)
在ICS中發(fā)生突發(fā)事件時(shí),需及時(shí)采取識(shí)別、響應(yīng)、消除影響、記錄等系列措施。制定詳細(xì)的事件響應(yīng)流程文件,提高事件響應(yīng)能力,指導(dǎo)員工采取響應(yīng)措施。事件響應(yīng)過(guò)程中應(yīng)解決的問(wèn)題包括:
事件發(fā)生或正在發(fā)生的標(biāo)志;應(yīng)采取的應(yīng)急措施;通知相關(guān)人員的次序;保存收集證據(jù)的方法;保管受影響計(jì)算機(jī)的方法。
ICS取證計(jì)劃作為事件響應(yīng)的一部分,應(yīng)充分考慮事件的發(fā)起者、受害者、發(fā)生地、發(fā)生時(shí)間,并收集足夠的可用證據(jù)。為此,美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)制定了計(jì)算機(jī)安全事件管理指南SP800-61,為安全工作人員提供事件處理過(guò)程的相關(guān)指導(dǎo)。
三、深度防御措施
(一)劃分區(qū)域
為建立分層防御,需掌握系統(tǒng)聯(lián)接處位置,通過(guò)建立明確的界限,將ICS架構(gòu)劃分為獨(dú)立區(qū)域進(jìn)行管理。其中,可通過(guò)以下方法對(duì)ICS進(jìn)行區(qū)域劃分:防火墻;有訪問(wèn)控制列表的路由器;配置過(guò)的交換機(jī);靜態(tài)路由和路由表;專用通信媒體;谄斩煽刂茖哟文P停≒urdueModelforControlHierarchy)將控制系統(tǒng)分為以下5個(gè)區(qū)域。
1.外部區(qū)域(externalzone):可聯(lián)接互聯(lián)網(wǎng)、備份或遠(yuǎn)程廠區(qū)的區(qū)域。該區(qū)域不是隔離區(qū)(DMZ),但與之聯(lián)接的設(shè)備往往不被信任。此區(qū)域的優(yōu)先級(jí)最低、風(fēng)險(xiǎn)最高。
2.工作區(qū)域(corporatezone):為組織通信區(qū)域,郵件服務(wù)器、域名系統(tǒng)服務(wù)器和IT商業(yè)系統(tǒng)構(gòu)架組件均在此區(qū)域內(nèi)。該區(qū)域同外部區(qū)域聯(lián)接,因此存在潛在安全風(fēng)險(xiǎn)。由于安全態(tài)勢(shì)具有一定的成熟度及系統(tǒng)的冗余性,工作區(qū)域的優(yōu)先級(jí)要高于外部區(qū)域,同時(shí)低于其他區(qū)域。
3.制造/數(shù)據(jù)區(qū)域(manufacturingzone):即監(jiān)控區(qū)域,是保障組織業(yè)務(wù)連續(xù)性、管理控制網(wǎng)絡(luò)的重要區(qū)域,操作性設(shè)備和管理設(shè)備均部署在該區(qū)域內(nèi)。風(fēng)險(xiǎn)點(diǎn)存在于外部區(qū)域和工作區(qū)域的聯(lián)接處,該區(qū)域的優(yōu)先級(jí)較高。
4.控制區(qū)域(control/cellzone):聯(lián)接可編程邏輯控制器、人機(jī)接口和基本輸入輸出設(shè)備的區(qū)域。該區(qū)域內(nèi)的設(shè)備功能可直接影響終端設(shè)備,因此該區(qū)域的優(yōu)先級(jí)較高。
5.安全區(qū)域(safetyzone):由于該區(qū)域中設(shè)備可自動(dòng)控制終端設(shè)備的安全級(jí)別,因此該區(qū)域擁有最高優(yōu)先級(jí),且風(fēng)險(xiǎn)較低。
(二)部署防火墻
防火墻為不同網(wǎng)絡(luò)區(qū)域間的通信提供了健壯、復(fù)雜的規(guī)則,扮演了保護(hù)網(wǎng)絡(luò)的角色,以防止攻擊者從網(wǎng)絡(luò)中獲取所需信息或向網(wǎng)絡(luò)中發(fā)送文件和命令等。不同的防火墻可部署在OSI模型的不同層中,需根據(jù)控制系統(tǒng)的應(yīng)用和聯(lián)接情況及網(wǎng)絡(luò)的不同層進(jìn)行選擇。
1.包過(guò)濾防火墻:該類防火墻位于網(wǎng)絡(luò)層,根據(jù)既定規(guī)則,分析流入和流出各獨(dú)立網(wǎng)絡(luò)的數(shù)據(jù)包,其中包過(guò)濾規(guī)則通常與端口數(shù)、協(xié)議和其他指定數(shù)據(jù)相關(guān)。包過(guò)濾防火墻適用于需要快速聯(lián)接的系統(tǒng),并根據(jù)設(shè)備的地址來(lái)制定規(guī)則,有助于ICS對(duì)特殊應(yīng)用和協(xié)議開展安全防護(hù)。
2.代理防火墻:該類防火墻分布在應(yīng)用層,適用于分析應(yīng)用程序的內(nèi)部數(shù)據(jù)和收集用戶的活動(dòng)信息。在ICS中,代理防火墻可將商業(yè)局域網(wǎng)和控制局域網(wǎng)進(jìn)行隔離,并為需要特殊應(yīng)用防護(hù)的DMZ和其他資產(chǎn)提供保護(hù)。
3.主機(jī)防火墻:該類防火墻是保護(hù)設(shè)備端口和服務(wù)的軟件,可建立跟蹤、允許或拒絕數(shù)據(jù)流的規(guī)則。由于工作站、筆記本等其他設(shè)備可能會(huì)進(jìn)出ICS,因此將這些移動(dòng)設(shè)備集成主機(jī)防火墻,可為ICS增加額外的安全保護(hù)。
對(duì)于ICS來(lái)說(shuō),對(duì)防火墻進(jìn)行全面、合理、精確的配置十分重要,以此來(lái)保障所有的通信都被限制在系統(tǒng)功能允許的范圍內(nèi),且所有與特殊區(qū)域聯(lián)接的通信線路都經(jīng)過(guò)詳細(xì)的安全風(fēng)險(xiǎn)評(píng)估。ICS中的信息交互需被實(shí)時(shí)監(jiān)控,考慮流經(jīng)防火墻的雙向數(shù)據(jù),配置并管理出入網(wǎng)絡(luò)信息的規(guī)則,以保障通信過(guò)程安全。
(三)入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystems,IDS)不是單一的產(chǎn)品或技術(shù),而是工具和過(guò)程的復(fù)雜集合,可監(jiān)控網(wǎng)絡(luò)中異;蛭词跈(quán)活動(dòng)。
IDS通常部署在網(wǎng)絡(luò)架構(gòu)各出入點(diǎn),或重要資源所在的網(wǎng)絡(luò)聯(lián)接點(diǎn)。IDS將收集信息狀態(tài)與既定規(guī)則、歷史行為或攻擊特征進(jìn)行對(duì)比,以便判斷是否存在非法活動(dòng),檢測(cè)特征包括端口數(shù)、通信負(fù)載等。對(duì)比結(jié)果的偏差如超出閾值,系統(tǒng)將采取系列警報(bào)性措施,以加快事件響應(yīng)和資源管理。
IDS進(jìn)行日志分析的策略配置非常重要。如果攻擊者在日志審核前訪問(wèn)系統(tǒng)并發(fā)起攻擊,IDS再檢測(cè)攻擊行為就失去了防護(hù)意義。
四、結(jié)語(yǔ)
ICS作為國(guó)家基礎(chǔ)設(shè)施的核心控制設(shè)備,其安全關(guān)系著國(guó)計(jì)民生。本文提出針對(duì)ICS采用深度防御策略,一方面需根據(jù)ICS構(gòu)架建立主動(dòng)安全模型,方便根據(jù)架構(gòu)中的安全態(tài)勢(shì),采取相應(yīng)安全措施,進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估,并及時(shí)處理安全事故;另一方面應(yīng)為ICS制定合適的安全策略,并定期回顧安全態(tài)勢(shì),綜合考慮當(dāng)前威脅、系統(tǒng)功能和所需安全級(jí)別;同時(shí)采用設(shè)置訪問(wèn)控制列表、惡意行為監(jiān)測(cè)、日志監(jiān)測(cè)、修復(fù)核心問(wèn)題等措施,提高ICS的安全等級(jí)。
(原載于《保密科學(xué)技術(shù)》雜志2017年8月刊)