軟考-資訊安全工程師學習筆記-第24章工控安全需求分析與安全保護

工控系統安全維系與需求分析

工業控制系統概念及組成：由各種控制元件、監測元件、資料處理與展示元件共同構成的對工業生産過程進行控制和監控的業務流程管理系統。簡稱工控系統（ICS）。工控系統通常分為離散制造類和過程控制類兩大類，控制系統包括SCADA系統、分布式控制系統（DCS）、過程控制系統（PCS）、可程式設計邏輯控制器（PLC）、遠端終端（RTU）、數控機床及數控系統等。

1.SCADA系統。即資料采集與監視控制系統，作用是以計算機為基礎對遠端分布運作的裝置進行監控，功能主要包括資料采集、參數測量和調節。一般由主終端控制單元（MTU）、通信線路和裝置、遠端終端機關（RTU）等組成，系統作用主要是對多層級、分散的子過程進行資料采集和統一排程管理。

2.分布式控制系統（DCS）。對生産過程進行分布控制、集中管理的系統。一般包括現場控制級、系統控制級和管理級兩/三個層次。

3.過程控制系統（PCS）。通過實時采集被控制裝置狀态參數進行調節，以保證被控裝置保持某一特定狀态的控制系統。

4.可程式設計邏輯控制器（PLC）。主要執行各類運算、順序控制、定時等指令，用于控制工業生産裝備的動作，是工業控制系統的基礎單元。

5.主終端裝置（MTU）。主要用于生産過程的資訊收集和監測，通過網絡與RTU保持通信。

6.遠端終端裝置（RTU）。主要用于生産過程的資訊采集、自動測量記錄和傳導，通過網絡與MTU保持通信。

7.人機界面（HMI）。提供操作界面和資料通信的軟體平台。

8.工控通信網絡。是各種工業控制裝置及組成單元的連接配接器，傳統工業通信網絡一般采取專用的協定來建構，形成封閉網絡。常見的工控專用協定有OPC、Modbus、DNP3等。

工業控制系統安全威脅分析：1.自然災害及環境。2.内部安全威脅。3.裝置功能安全故障。4.惡意代碼。5.網絡攻擊。

工業控制系統安全隐患類型：1.工控協定安全。2.工控系統技術産品安全漏洞。3.工控系統基礎軟體安全漏洞。4.工控系統算法安全漏洞。5.工控系統裝置固件漏洞。6.工控系統裝置硬體漏洞。7.工控系統開放接入漏洞。8.工控系統供應鍊安全。

工業控制系統安全需求分析：傳統IT網絡資訊安全要求側重于“保密性-完整性-可用于”需求順序，而工控系統網絡資訊安全偏重于“可用性-完整性-保密性”需求順序。國家網絡安全等級保護2.0标準已将工控系統列為等級保護對象。工控系統的網絡資訊安全主要有技術安全和管理安全要求兩方面。技術要求包括安全實體環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心；管理安全要求包含安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

工控系統的安全保護需求不同于普通IT系統，要根據工控業務的重要性和生産安全，劃分安全區域、确定安全防護等級。

工控系統安全保護機制與技術

實體及環境安全防護：對重要的工程師站、資料庫、伺服器等核心工業控制軟硬體所在區域采取通路控制、視訊監控、專人值守等實體安全防護措施。拆除或封閉工業主機上不必要的USB、光驅、無線等接口。

安全邊界保護：應将工業控制系統劃分為若幹安全區域。一般來說工業控制系統的開發、測試和生産應分别提供獨立環境，避免把開發、測試環境中的安全風險引入生産系統。

工業企業針對不同的安全區域實作安全隔離及防護。安全隔離類型分為實體隔離、網絡邏輯隔離等方式。常見的工業控制邊界安全防護裝置包括工業防火牆、工業網閘、單向隔離裝置及企業定制的邊界安全防護網關等。

身份認證與通路控制：

1.在工業主機登入、應用服務資源通路、工業雲平台通路等過程中使用身份認證管理。對于關鍵裝置、系統和平台的通路采用多因素認證。

2.合理分類設定賬戶權限，以最小特權原則配置設定賬戶權限。

3.強化工業控制裝置、SCADA軟體、工業通信裝置等的登入賬戶及密碼，避免使用預設密碼或弱密碼，定期更新密碼。

4.加強對身份認證證書資訊的保護力度，禁止在不同系統和網絡環境下共享。

遠端通路安全：原則上嚴格禁止工業控制系統面向網際網路開通HTTP、FTP、Telnet等高風險通用網絡服務。确需遠端通路的，采用資料單向通路控制等政策進行安全加強，對通路時限進行控制，并采用加标鎖定政策。确需遠端維護的，采用虛拟專用網絡（VPN）等遠端接入方式進行。保留工業控制系統的相關通路日志，并對操作過程進行安全審計。

工控系統安全加強：通過安全配置政策、身份認證增強、強制通路控制、程式白名單控制等多種技術措施，多工程師站、SCADA伺服器、實時資料庫等工控元件進行安全增強保護，減少系統攻擊面。

工控安全審計：保留各類日志，定期進行備份和審計。

惡意代碼防範：

1.采用經過離線環境中充分驗證測試的防病毒軟體或應用程式白名單軟體，隻允許經過工業企業自身授權和安全評估的軟體運作。

2.建立工業控制系統防病毒和惡意軟體入侵管理機制。

3.密切關注重大工控安全漏洞及其更新檔釋出。

工控資料安全：工業生産資料是工業企業的核心資源，常見的工業資料類型有研發資料（研發資料、開發測試資料）、生産資料（控制資訊、工控狀況、工藝參數、系統日志等）、運維資料（物流資料、産品售後服務資料等）、管理資料（系統裝置資産資訊、客戶與産品資訊、産品供應鍊資料、業務統計資料）、外部資料（與其他主體共享的資料等）。具體防護措施相關要求如下：

1.對靜态存儲和動态傳輸過程中的重要資料進行保護，根據風險評估結果對資料資訊進行分級分類管理。

2.定期備份關鍵業務資料。

3.對測試資料進行保護。

工控安全監測與應急響應：

1.在工業控制網絡部署網絡安全監測裝置，及時發現、報告并處理網絡攻擊或異常行為。

2.在重要工業控制裝置前段部署具備工業協定深度包檢測功能的防護裝置，限制違法操作。

3.制訂工控安全事件應急響應預案。

4.定期進行演練。

5.對關鍵主機裝置、網絡裝置、控制元件等進行備援配置。

2017年工業和資訊化部釋出了《工業控制系統資訊安全事件應急管理工作指南》。

工控安全管理：國家《工業控制系統資訊安全防護指南》針對安全管理的相關要求：

1.建設工業控制系統資産清單，明确資産責任人。以及資産使用及處置規則。資産清單包括資訊資産、軟體資産、硬體資産等。

2.對關鍵主機裝置、網絡裝置、控制元件等進行備援配置。

3.安全軟體選擇與管理。一是在工業主機上采用經過離線環境中充分驗證測試的防病毒軟體或應用程式白名單軟體。二是建立防病毒和惡意軟體入侵管理機制。

4.配置和更新檔管理。一是做好工業控制網絡、工業主機和工業控制裝置的安全配置，建立工業控制系統配置清單，定期進行配置審計。二是對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。其中，重大配置變更是指重大漏洞更新檔更新、安全裝置的新增或減少、安全域的重新劃分等。同時，應對變更過程中可能出現的風險進行分析，形成分析報告，并在離線環境中對配置變更進行安全性驗證。三是密切關注重大工控安全漏洞及其更新檔釋出，及時采取更新檔更新措施。

5.供應鍊管理。一是選擇工業控制系統規劃、設計、建設、運維或評估等服務商時，優先考慮具備工控安全防護經驗的企事業機關，以合同等方式明确服務商應承擔的資訊安全責任和義務。二是以保密協定的方式要求服務商做好保密工作，防範敏感資訊外洩。

6.落實責任。通過建立工控安全管理機制、成立資訊安全協調小組等方式，明确工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施。

工業安全典型産品技術：

1.防護類型。典型技術産品有工控防火牆、工控加密、工控使用者身份認證、工控可信計算、系統安全加強等。

2.實體隔離類型。常見技術産品有網閘、正反向隔離裝置等。

3.審計與監測類型。主要産品有工控安全審計和工控入侵檢測系統。

4.檢查類型。主要有工控漏洞掃描、工控漏洞挖掘、工控安全基線檢查等。

5.運維和風險管理類型。主要有工控堡壘機、工控風險管理系統等。

工控系統安全綜合應用案例分析

電力監控系統安全總體方案：

電力監控系統的安全政策是“安全分區、網絡專用、橫向隔離、縱向認證”。

1.安全分區。電力監控系統的安全區域主要分成生産控制大區和管理資訊大區。其中，生産控制大區又細分為控制區和非控制區，管理資訊大區分為若幹業務安全區。控住區與非控制區之間應采用邏輯隔離措施。生産控制大區應當選用安全可靠的應急防火牆。

2.網絡專用。電力監控系統的排程控制網絡采用專用網絡，以滿足電力監控實時性及高可信要求。

3.橫向隔離。是電力二次安全防護體系的橫向防線。采用不同強度的安全裝置隔離各安全區，在生産控制大區與管理資訊大區之間必須設定經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應當接近或達到實體隔離。生産控制大區内部的安全區之間應當采用具有通路控制功能的網絡裝置、防火牆或者相當功能的設施，實作邏輯隔離。

4. 縱向認證。是電力監控系統安全防護體系的縱向防線。采用認證、加密、通路控制等技術措施實作資料的遠方安全傳輸以及縱向邊界的安全防護。在生産控制大區與廣域網的縱向連接配接處應當設定經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施，實作雙向身份認證、資料加密和通路控制。安全接入區内縱向通信應當采用基于非對稱密鑰技術的單向認證等安全措施，重要業務可以采用雙向認證。