摘要
随着工业控制新手艺、新应用的生长�,,�,在原有标准的基础上举行了扩展�,,�,增添了工业控制清静要求�。�。。�。�。。从定级工具、清静系统结构、清静�;�;;;�;;�;で樾紊杓频炔忝婢傩邢热�,,�,提升了标准的可读性�,,�,有利于标准对行业的指导�。�。。�。�。。
小序
工业控制系统(ICS)是指对工业生产历程清静(Safety)、信息清静(Security)和可靠运行爆发作用和影响的职员、硬件、战略和软件的荟萃�,,�,包括集散控制系统(DCS)、监视控制和数据收罗(SCADA)系统、可编程序逻辑控制器(PLC)、远程测控单位RTU、相关的信息系统如人机界面等�。�。。�。�。。随着信息化和工业化的生长工业控制系统普遍应用于国防军工、轨道交通、电力电网、石油化工、水利水库等关系国计民生的重点工控行业�,,�,由于其重大多样性�,,�,工业控制系统也面临来自各方面的威胁�。�。。�。�。。近年来�,,�,随着工业控制新手艺的生长�,,�,原有标准部分条款无法知足工业控制高可靠性、实时性下的清静设计手艺要求�,,�,因此亟需凭证工业控制系统的特点增添新的内容�。�。。�。�。。此次修订规范了网络清静品级�;�;;;�;;�;で寰采杓剖忠找蠖怨ひ悼刂葡低车睦┱股杓埔�,,�,包括第一级至第四级工业控制系统清静�;�;;;�;;�;で樾蔚那寰才趟闱樾巍⑶寰睬蚪缦摺⑶寰餐ㄑ锻绾颓寰仓卫碇行牡确矫娴纳杓剖忠找�。�。。�。�。。适用于指导网络清静品级�;�;;;�;;�;すひ悼刂葡低城寰彩忠占苹杓朴胧笛�,,�,也可作为信息清静智能部分对工业控制系统举行监视、检查和指导的依据�。�。。�。�。。
一、定级工具
工业控制系统和其他信息系统凭证功效条理分为从下到上的五层架构:
a)第0层�,,�,现场装备层�;�;;;�;;�;
b)第1层�,,�,现场控制层�;�;;;�;;�;
c)第2层�,,�,历程监控层�;�;;;�;;�;
d)第3层�,,�,生产治理层�;�;;;�;;�;
e)第4层�,,�,企业资源层�,,�,即其他的信息系统(本标准差池第4层做品级�;�;;;�;;�;ど杓埔螅�。�。。�。�。。
凭证工业控制系统清静单位的唯一确定性、营业工具、营业特点和营业规模等因素�,,�,综合确定工业控制系统品级�;�;;;�;;�;すぞ�。�。。�。�。。在确定定级工具的清静品级时�,,�,应综合思量资产价值、生产工具及效果等因素�。�。。�。�。。确定工业控制系统定级工具详细参照GB/T 22240、GB/T 22239等相关等保标准�。�。。�。�。。
凭证对工业控制系统架构及清静的剖析�,,�,总结出工业控制系统中第0~3层防护工具包括的用户、软硬件和数据三类�,,�,如图1所示�。�。。�。�。。
二、工业控制系统清静系统结构
此次修订事情连系工业控制系统形态众多、性能各异、实时性及可靠性要求高、现场装备盘算资源有限等特点�,,�,充分剖析工业控制系统面临的种种威胁�,,�,发明其懦弱性�,,�,从而提出了三重防护多级互联、清静分区纵深防御设计手艺思绪�。�。。�。�。。
(一)三重防护多级互联手艺框架
工业控制系统的品级�;�;;;�;;�;し阑ぜ苹杓撇握找酝菇ㄔ谇寰仓卫碇行闹С窒碌呐趟闱樾巍⑶蚪缦摺⑼ㄑ锻缛胤烙低�,,�,接纳分区的架构�,,�,连系工业控制系统总线协议重大多样、实时性强、节点盘算资源有限、装备可靠性要求高、故障恢复时间短、清静机制不可影响实时性等特点举行设计�,,�,以实现可信、可控、可管的系统清静互联、区域界线清静防护和盘算情形清静�,,�,如图2所示�。�。。�。�。。
(二)清静分区纵深防御战略
关于重大工业控制系统建议接纳分层分区的�;�;;;�;;�;そ峁故迪中畔⑶寰财芳侗�;�;;;�;;�;ど杓�,,�,但关于简朴的工业控制系统则以不分层举行信息清静品级�;�;;;�;;�;ど杓�。�。。�。�。。凭证工业控制系统被�;�;;;�;;�;すぞ哂敌宰臃智�,,�,针对功效条理手艺特点实验信息清静品级�;�;;;�;;�;ど杓�,,�,对工业控制系统举行清静防护�。�。。�。�。。
依据图1�,,�,纵向上工业控制系统分为五层�,,�,其中第0~3层为工业控制系统品级�;�;;;�;;�;さ牧煊�,,�,即为本防护计划笼罩的区域�;�;;;�;;�;横向上对工业控制系统举行清静区域的划分�,,�,凭证工业控制系统中营业的主要性、实时性、关联性、对现场受控装备的影响水平以及功效规模、资产属性等�,,�,形成差别的清静防护区域�,,�,所有系统都必需置于响应的清静区域内�,,�,详细分区以工业现场现真相形为准�。�。。�。�。。此次修订给出了防护计划的示例性分区�,,�,分区方法包括但不限于:第0~2层组成一个清静区域、第0~1层组成一个清静区域、同层中有差别的清静区域等�,,�,如图3所示�。�。。�。�。。
分区的主要凭证有营业系统或其功效�??�?�?�?�??榈氖凳毙浴⑹褂谜摺⒅饕πА⒆氨甘褂贸『稀⒏饔迪低臣涞南嗷ス叵怠⒐阌蛲ㄑ斗椒ㄒ约岸怨ひ悼刂葡低车挠跋焖宦�。�。。�。�。。关于特另外清静性和可靠性要求�,,�,在主要的清静区还可以凭证操作功效进一步划分成子区�。�。。�。�。。将装备划分成差别的区域可以资助企业有用地建设“纵深防御”战略�。�。。�。�。。将具备相同功效和清静要求的各系统的控制功效划分成差别的清静区域�,,�,并凭证利便治理的原则�,,�,为各清静功效区域分派网段地点�。�。。�。�。。
三、工业控制系统清静防护系统设计
品级�;�;;;�;;�;し治募�,,�,防护计划设计逐级增强�,,�,但防护计划设计中的防护种别相同�,,�,只是清静�;�;;;�;;�;ど杓频那慷炔畋�,,�,防护种别包括:清静盘算情形、清静区域界线、清静通讯网络、清静治理中心�。�。。�。�。。各级工业控制系统信息清静�;�;;;�;;�;で樾蔚纳杓仆ü愿骷兜那寰才趟闱樾巍⑶寰睬蚪缦摺⑶寰餐ㄑ锻缫约扒寰仓卫碇行牡纳杓萍右允迪�。�。。�。�。。
(一)设计目的和战略
工业控制系统品级�;�;;;�;;�;さ纳杓颇康闹鸺对銮�。�。。�。�。。第一级工业控制系统信息清静�;�;;;�;;�;で樾蔚纳杓颇康氖嵌缘谝患豆ひ悼刂葡低车男畔⑶寰脖�;�;;;�;;�;は低呈迪侄断低车淖灾骰峒刂�,,�,使系统用户对其所属客体具有自我�;�;;;�;;�;さ哪芰�。�。。�。�。。第二级工业控制系统信息清静�;�;;;�;;�;で樾蔚纳杓颇康氖窃诘谝患兜幕∩�,,�,增添系统清静审计等清静功效�,,�,并实验基于角色的会见控制�,,�,使系统具有更强的清静�;�;;;�;;�;つ芰�。�。。�。�。。第三级工业控制系统信息清静�;�;;;�;;�;で樾蔚纳杓颇康氖窃诘诙级的基础上�,,�,增强身份判别、审计等功效�,,�,同时增添区域界线之间的清静通讯步伐�。�。。�。�。。第四级工业控制系统信息清静�;�;;;�;;�;で樾蔚纳杓颇康氖窃诘谌兜幕∩�,,�,对要害的控制回路的相关信息清静�;�;;;�;;�;ど杓埔笞隽诵鹗�,,�,要求设计者在有清静危害的场合提供适合工控应用特点的�;�;;;�;;�;ひ旌颓寰舱铰�,,�,通过实现基于角色的会见控制以及增强系统的审计机制等一系列步伐�,,�,使系统具有在统一清静战略管控下�,,�,提供高强度的�;�;;;�;;�;っ舾凶试吹哪芰�。�。。�。�。。
工业控制系统品级�;�;;;�;;�;さ纳杓普铰灾鸺对銮�。�。。�。�。。第一级系统清静�;�;;;�;;�;で樾蔚纳杓普铰允且陨矸菖斜鹞�,,�,凭证工业控制系统工具举行会见控制�,,�,监控层、控制层提供凭证用户和(或)用户组对操作员站和工程师站的文件及数据库表的自主会见控制�,,�,以实现用户与数据的隔离�,,�,装备层凭证用户和(或)用户组对清静和�;�;;;�;;�;は低场⒒究刂葡低车淖樘荨⑸柚梦募等的自主会见控制�,,�,使用户具备自主清静�;�;;;�;;�;さ哪芰�;�;;;�;;�;以包过滤和状态检测的手段提供区域界线�;�;;;�;;�;�;�;;;�;;�;以数据校验和恶意代码提防等手段提供数据和系统的完整性�;�;;;�;;�;�。�。。�。�。。第二级工业控制系统信息清静�;�;;;�;;�;で樾蔚纳杓普铰允且陨矸菖斜鹞�,,�,提供单个用户和(或)用户组对共享文件、数据库表、组态数据等的自主会见控制�;�;;;�;;�;以包过滤手段、状态检测提供区域界线�;�;;;�;;�;�;�;;;�;;�;以数据校验和恶意代码提防等手段�,,�,同时通过增添系统清静审计等功效�,,�,使用户对自己的行为认真�,,�,提供用户数据保密性和完整性�;�;;;�;;�;�,,�,以增强系统的清静�;�;;;�;;�;つ芰�。�。。�。�。。第三级工业控制系统信息清静�;�;;;�;;�;で樾蔚纳杓普铰允窃诘诙级的基础上�,,�,响应增强身份判别、审计等功效�;�;;;�;;�;增添界线之间的清静通讯防护�,,�,包管界线清静性�。�。。�。�。。第四级工业控制系统信息清静�;�;;;�;;�;で樾蔚纳杓普铰允窃诘谌兜幕∩�,,�,结构基于角色的会见控制模子�,,�,批注主、客体的级别分类和非级别分类的组合�,,�,以此为基础�,,�,凭证基于角色的会见控制规则实现对主体及其客体的会见控制�。�。。�。�。。
(二)要害设计手艺要求
1. 清静盘算情形设计手艺要求
清静盘算情形�,,�,包括工业控制系统0~3层中的信息存储、处置惩罚及实验清静战略的相关部件�。�。。�。�。。清静盘算情形凭证�;�;;;�;;�;つ芰治谝患肚寰才趟闱樾巍⒌诙级清静盘算情形、第三级清静盘算情形和第四级清静盘算情形�,,�,清静盘算情形设计手艺要求逐级增强�,,�,各品级要求如表1�。�。。�。�。。
2.
清静区域界线设计手艺要求
清静区域界线是指对定级系统的清静盘算情形界线�,,�,以及清静盘算情形与清静通讯网络之间实现毗连并实验清静战略的相关部件�。�。。�。�。。清静区域界线凭证�;�;;;�;;�;つ芰治谝患肚寰睬蚪缦摺⒌诙级清静区域界线、第三级清静区域界线和第四级清静区域界线�,,�,清静区域界线设计手艺要求逐级增强�,,�,各品级要求如表2�。�。。�。�。。
3.
清静通讯网络设计手艺要求
清静通讯网络指对定级系统清静盘算情形和信息清静区域之间举行信息传输及实验清静战略的相关部件�。�。。�。�。。清静通讯网络凭证�;�;;;�;;�;つ芰治谝患肚寰餐ㄑ锻纭⒌诙级清静通讯网络、第三级清静通讯网络和第四级清静通讯网络�,,�,清静通讯网络设计手艺要求逐级增强�,,�,各品级要求如表3�。�。。�。�。。
对网络通讯的�;�;;;�;;�;�,,�,例如对工程师站组态下装的历程�,,�,是通过网络下装到控制器�,,�,剖析网络�,,�,若是有不清静因素�,,�,需加防改动�;�;;;�;;�;�,,�,首先要判别工程师站的操作者的身份是否有对控制器举行下装操作的权限�,,�,若是有操作权限�,,�,方可建设工程师站和控制器之间的通讯毗连�。�。。�。�。。
4. 清静治理中心设计手艺要求
清静治理中心指对定级系统的清静战略及清静盘算情形、清静区域界线和清静通讯网络上的清静机制实验统一治理的平台�。�。。�。�。。第二级及第二级以上的定级系统清静�;�;;;�;;�;で樾涡枰柚们寰仓卫碇行�,,�,称为第二级清静治理中心、第三级清静治理中心和第四级清静治理中心�。�。。�。�。。清静治理中心设计手艺要求逐级增强�,,�,各级要求如表4�。�。。�。�。。
5. 针对工业控制系统特点详细剖析清静设计手艺要求
① 针对控制系统营业流程特点实验清静�;�;;;�;;�;
对工业控制系统的盘算情形�,,�,较量特殊的是处于第0层、第1层、也包括第2层的盘算情形�。�。。�。�。。其中处于第1层的控制器(或是PLC�,,�,SCADA中的RTU)�,,�,通过现场总线与传感器、执行器相毗连�,,�,形成了一个控制回路�,,�,这是工业控制系统中基础和要害的部分�,,�,也是主要的�;�;;;�;;�;つ康�。�。。�。�。。其中控制器运行系统的控制逻辑�,,�,也是毗连第0层和地2层的一个要害环节�,,�,对控制器的会见和操作�,,�,必需先经由身份判别�。�。。�。�。。这包括工程师站的组态下装�,,�,操作员站发出的下令�,,�,都应经由身份判别通事后授权执行�。�。。�。�。。已往�,,�,一些控制器对组态下装到控制器操作的身份判别是在工程师站上由组态软件系统执行�,,�,在控制器上对工程师站的组态下装�,,�,操作员站发出的下令之前举行身份判别�,,�,对冒充攻击举行了防护�。�。。�。�。。
② 对控制历程的完整性�;�;;;�;;�;
是避免滋扰和破损控制回路的数据传输和处置惩罚�,,�,避免数据延误、丧失和改动�,,�,�;�;;;�;;�;た刂葡低车耐交啤⑿J被�,,�,控制器从所处的盘算情形来说�,,�,极易受到来自网络、现场总线、I/O端口的滋扰�,,�,如以下但不限于所列行为:
a)在一个控制周期内�,,�,凌驾正常数目的中止请求�;�;;;�;;�;
b)凌驾合理包速率规模的icmp协议请求�;�;;;�;;�;
c)凌驾合理包速率规模的广播报文�;�;;;�;;�;
d)破损现场总线的请求—应答机制�;�;;;�;;�;
e)破损冗余事情机制�;�;;;�;;�;
f)滋扰表决器等清静�;�;;;�;;�;は低车恼J虑�;�;;;�;;�;
g)恶意触发冗余系统切换、清静�;�;;;�;;�;は低车耐�;�;;;�;;�;男形�;�;;;�;;�;
h)其他滋扰�。�。。�。�。。
这些滋扰会破损控制使命的执行�,,�,甚至足以引起控制器复位�,,�,而这些恶意攻击可以以正当的身份泛起�。�。。�。�。。因此�,,�,要求在设计控制应用系统时�,,�,能识别、监控和防护这类攻击行为�,,�,可在盘算情形上�,,�,如控制器通过阻止关闭受到攻击的端口�,,�,在界线上识别过滤这类攻击�,,�,在通讯上接纳防冒充防改动防滋扰等�;�;;;�;;�;げ椒�,,�,形成多条理的纵深防御�。�。。�。�。。
③ 对现场总线的清静�;�;;;�;;�;
现场总线和现场装备层的清静问题�,,�,在受到物理�;�;;;�;;�;せ蛴腥酥凳氐那樾蜗�,,�,可阻止相近攻击�。�。。�。�。。在现场总线和现场装备�,,�,要避免留有可供插入、改接的物理接口�,,�,若有的装备还设置有HART接口�,,�,在缺乏物理�;�;;;�;;�;ず图嗫氐那樾蜗�,,�,有可能为不法接入、修改参数提供了时机�,,�,在控制器的现场总线接口处�,,�,应有实时监控�,,�,关于丢帧、数据异常、凌驾一定规模的颤抖实时报警处置惩罚�。�。。�。�。。关于主要的现场总线和装备�,,�,应凭证应用的�;�;;;�;;�;ば枨�,,�,用适合于实时性好、小位数处置惩罚的密码手艺举行完整性或保密性�;�;;;�;;�;�。�。。�。�。。
④ 以操作员站向控制器发送指令为例说明
以操作员站向控制器发送指令为例说明这条信息处置惩罚路径所要应用的清静�;�;;;�;;�;げ椒�。�。。�。�。。操作员站启动前先用可信盘算处置惩罚器件对操作系统装载程序和操作系统举行怀抱�,,�,和存放的报文摘要值比照�,,�,没有被改动后系统启动�,,�,经清静治理中心确认属于白名单的应用程序和效劳启动�,,�,操作员登录进入操作员站�,,�,操作员使用用于身份鉴别的介质U-KEY插入操作员站的USB接口�,,�,此时操作员站是禁用所有外设介质端口的�,,�,这一插入USB接口事务报道清静治理中心�,,�,经由判别是做身份判别后�,,�,确认操作员身份并授权�,,�,以后操作员再次操作不需再做身份判别�,,�,以包管能实时做出响应�。�。。�。�。。操作员要脱离操作员站时要做明确的退出操作�,,�,拿走U-KEY�,,�,从清静思量�,,�,当操作员站在一准时间没有操作行动时�,,�,应提醒操作员继续操作�,,�,若是没有响应�,,�,应实时锁屏�,,�,终止这个会话�,,�,避免操作员脱离�,,�,有人趁机冒充�。�。。�。�。。解锁时需输入密码�。�。。�。�。。以上历程都被审计�,,�,可由清静治理中心审计追踪�。�。。�。�。。在对控制器的通讯时�,,�,需先通过身份判别�,,�,只有身份判别通事后方可建设通讯毗连�,,�,其中主要指令的下达�,,�,主要数据的传送�,,�,应凭证应用特点�,,�,用密码手艺包管完整性或保密性�,,�,避免伪造指令和数据诱骗�。�。。�。�。。关于操作员站和控制器的通讯会话也要提供�;�;;;�;;�;�,,�,在操作员交接班时应坚持会话的有用性�,,�,要思量到泛起紧迫事务时能够实时处置惩罚�,,�,审计步伐应能明确操作员的行为和责任�。�。。�。�。。
结语
在GB/T 25070中增添的工业控制系统清静设计要求的内容�,,�,是在国家标准GB/T25070-2010基础上为顺应工业控制新手艺、新应用情形下而举行的修订�,,�,制订统一的工业控制系统品级�;�;;;�;;�;け曜�,,�,建设整体清静防护系统及框架�,,�,给出了详细、可实验的清静设计要求�,,�,可用于指导工业控制系统运营使用单位、信息清静效劳机构开展品级�;�;;;�;;�;で寰彩忠占苹杓�,,�,能够有用应对针对工业控制系统情形的信息清静威胁�,,�,�;�;;;�;;�;す夜ひ悼刂葡低巢槐徊环üセ�,,�,包管主要工业控制系统的正常运行�,,�,从而确保国家工业基础设施免遭破损�。�。。�。�。。
(本文泉源:警员手艺杂志 作者:傅一帆 霍玉鲜)
(本文转自:e何在线)
声明:本文为工业清静工业同盟微信公众平台(微信号:ICSISIA)转发�,,�,版权归原作者所有�,,�,若有版权问题�,,�,请联系删除�。�。。�。�。。
京公网安备11010802024551号