您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
從分類分級管理談工控網(wǎng)絡(luò)安全保障體系構(gòu)建
一、引言
隨著新一輪工業(yè)革命的推進,全球正處于新一輪科技革命和產(chǎn)業(yè)變革的歷史交匯期,工業(yè)制造(OT)的智能化轉(zhuǎn)型正在讓現(xiàn)實與虛擬世界之間的界限變得越來越模糊。當生產(chǎn)過程和信息合二為一,要求IT和 OT深度融合,形成一個貫穿整個工業(yè)制造企業(yè)的技術(shù)架構(gòu)。IT和OT的融合會幫助工業(yè)制造企業(yè)改善業(yè)務(wù)系統(tǒng)以及各部門之間的整體的信息流動,從而提升企業(yè)的運營水平。
OT被認為是現(xiàn)代智能工廠的支柱。它控制著工廠的基礎(chǔ)設(shè)施,并使工廠生產(chǎn)線正常運轉(zhuǎn)。對所有智能企業(yè),從管理信息系統(tǒng)到客戶關(guān)系管理,一切都是在IT基礎(chǔ)架構(gòu)上運行。自現(xiàn)代工業(yè)制造業(yè)開始以來,IT 和OT 就一直共存,但往往彼此獨立。然而,隨著工業(yè)物聯(lián)網(wǎng) (IIoT )的出現(xiàn),將網(wǎng)絡(luò)傳感器和相關(guān)軟件與復雜的物理機械結(jié)合在一起,物聯(lián)網(wǎng) (IoT)正在模糊辦公室和車間工廠之間的界限,讓數(shù)據(jù)從設(shè)備層-控制層-信息層直至云端無縫對接,從而消散IT 和OT 之間的鴻溝,體現(xiàn)IT與OT融合。
以大數(shù)據(jù)、云計算、人工智能為代表的新一代信息技術(shù)與工業(yè)制造深度融合,工業(yè)制造加速由數(shù)字化向網(wǎng)絡(luò)化、智能化發(fā)展。IT與OT互聯(lián)互通,導致病毒、木馬、勒索軟件、黑客等針對工業(yè)生產(chǎn)控制系統(tǒng)攻擊變得更加方便,攻擊成本更加低廉。
二、國內(nèi)外典型工控安全事件
近年來,國內(nèi)外工業(yè)控制領(lǐng)域發(fā)生了眾多的網(wǎng)絡(luò)安全事件。
1.國外安全事件
2004年,美國某化工廠的一個DCS控制系統(tǒng)被震蕩波蠕蟲病毒通過連接在防火墻的445端口入侵,該系統(tǒng)因被感染而失去控制超過5小時。
2010年,伊朗布什爾核電站發(fā)生震網(wǎng)病毒事件。有關(guān)專家分析,震網(wǎng)事件是由美國軍方和以色列軍方共同策劃的一起針對伊朗布什爾核電站濃縮鈾進行的一次有組織、有計劃、有蓄謀的攻擊。利用社工,以及windows和西門子wincc 的漏洞,對西門子300系統(tǒng)PLC系統(tǒng)進行了邏輯炸彈攻擊,使得布什爾核電站離心機控制系統(tǒng)遭受破壞,導致核電站延期運行,損失難以估量。
Flame火焰病毒具有超強的數(shù)據(jù)攫取能力,不僅襲擊了伊朗的相關(guān)設(shè)施,還影響了整個中東地區(qū)。據(jù)報道,該病毒是以色列為了打聾、打啞、打盲伊朗空中防御系統(tǒng)、摧毀其控制中心而實施的高科技的網(wǎng)絡(luò)武器。以色列計劃還包括打擊德黑蘭所有通信網(wǎng)絡(luò)設(shè)施,包括電力、雷達、控制中心等。一旦感染了系統(tǒng),該病毒就會實施一系列操作,如監(jiān)聽網(wǎng)絡(luò)通信、截取屏幕信息、記錄音頻通話、截獲鍵盤信息等,所有相關(guān)數(shù)據(jù)都可以遠程獲取。
2015年6月,波蘭航空公司的地面操作系統(tǒng)遭遇黑客攻擊,導致長達5個小時的系統(tǒng)癱瘓,至少10個班次的航班被迫取消,超過1400名旅客滯留。這是全球首次發(fā)生的航空公司操作系統(tǒng)被黑事件。
2015年烏克蘭電力部門感染的一款名為”BlackEnergy(黑暗力量)”的惡意軟件,至少有三個區(qū)域的電力系統(tǒng)感染,造成大規(guī)模停電,使得近一半的烏克蘭伊萬諾-弗蘭科夫斯克地區(qū)的家庭陷入黑暗。一種闡釋說這是具有政治動機的持續(xù)攻擊者采取的攻勢,旨在攻擊烏克蘭關(guān)鍵基礎(chǔ)設(shè)施,破壞該國穩(wěn)定性。
瑞典指責俄羅斯政府2016年11月4日針對該國的空中交通管制基礎(chǔ)設(shè)施發(fā)動網(wǎng)絡(luò)攻擊。當天瑞典阿蘭達機場、維特國際機場、布魯瑪機場等多個機場不得不取消了國內(nèi)及國際航班。雖然瑞典官員此前發(fā)表聲明稱這次事件或與太陽耀斑有關(guān),但他們已暗中通知北約關(guān)于俄羅斯發(fā)起此次網(wǎng)絡(luò)攻擊的細節(jié)。
2020年2月,美國一家天然氣管道運營商遭勒索軟件攻擊。該勒索軟件成功加密了運營商IT和OT系統(tǒng)中的數(shù)據(jù),導致相應(yīng)的天然氣壓縮設(shè)備關(guān)閉。
2020年4月24日,研究人員在ABB System 800xA分布式控制系統(tǒng)(DCS)中發(fā)現(xiàn)了幾個嚴重漏洞,包括可用于遠程代碼執(zhí)行、拒絕服務(wù)(DoS)攻擊和權(quán)限提升的漏洞。
2020年12月,伊朗黑客團伙貼出視頻,顯示自己已成功黑入以色列供水設(shè)施工業(yè)控制系統(tǒng)(ICS),目標是再生水蓄水池。工業(yè)網(wǎng)絡(luò)安全公司OTORIO發(fā)表文章稱,黑客侵入了直接連接互聯(lián)網(wǎng)的人機接口(HMI)系統(tǒng),該系統(tǒng)毫無防護,沒有設(shè)置任何身份驗證。
2.國內(nèi)安全事件
從2011年以來,國內(nèi)工業(yè)企業(yè)也開始頻繁遭到攻擊。2011年吉林某電廠機組DCS系統(tǒng)感染W(wǎng)32/Conficker.worm.gen.A蠕蟲病毒。2017年“永恒之藍”、“WannaCry“勒索病毒全球爆發(fā),我國各加油站、政府、高校以及電力等行業(yè)受到不同程度的攻擊。2018年臺積電WannaCry變種病毒,造成三大產(chǎn)線停擺三天,造成18億損失。2019年,我國在水利、石油石化、電力、鋼鐵、汽車制造以及其他關(guān)鍵制造業(yè)遭受到不同層次的WannaCry和挖礦病毒的攻擊,大多數(shù)都導致了企業(yè)的工業(yè)主機出現(xiàn)藍屏,反復重啟、甚至數(shù)據(jù)被加密等。
通過對近年國內(nèi)外安全事件的梳理發(fā)現(xiàn),主要在電力(發(fā)電和電網(wǎng))、水利、交通、天然氣、石油石化以及關(guān)鍵工控等行業(yè)進行攻擊。因為這些行業(yè)屬于國家關(guān)鍵信息基礎(chǔ)設(shè)施,承載著重大的國家命脈,威脅著社會民生、國家安全。所以,這些攻擊,不單純是簡單的攻擊,而必然存在國家勢力參與其中。
三、分類分級管理
當前,以美國為首的西方國家,正在封鎖制裁其他國家高精尖技術(shù)的發(fā)展,達到其霸權(quán)目的;另一方面,工業(yè)控制系統(tǒng)本身存在著大量的漏洞和后門(工業(yè)控制系統(tǒng)在設(shè)計時,只考慮了系統(tǒng)的穩(wěn)定性、實時性、魯棒性,犧牲了安全性),據(jù)CVE、CNVD等統(tǒng)計,西門子、施耐德、羅克韋爾、AB、ABB、艾默生、歐姆龍等占據(jù)首位。一旦這些漏洞和后門被病毒、木馬、勒索軟件甚至黑客、敵對勢力所利用必然導致嚴重安全事件。
在我國,由于工業(yè)控制系統(tǒng)基礎(chǔ)弱,大部分控制系統(tǒng)被國外壟斷,受制于人,國外廠商完全有能力、有手段對正在我國運行的工業(yè)控制系統(tǒng)進行遠程操控,或者獲取機密數(shù)據(jù)。再加上新基建下的工業(yè)互聯(lián)網(wǎng)的大力發(fā)展,必然導致工業(yè)控制系統(tǒng)的廣泛互聯(lián),如果不進行安全有力的保障措施必然給國外的黑客組織、敵對勢力帶來攻擊的機會。
為了保障網(wǎng)絡(luò)安全,維護網(wǎng)絡(luò)空間主權(quán)和國家安全,促進經(jīng)濟社會信息化健康發(fā)展,工業(yè)和信息化部會同工業(yè)互聯(lián)網(wǎng)專項工作組各單位,實施《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃(2018-2020年)》,發(fā)布實施十余項落地性文件,重點提升工控安全態(tài)勢感知、安全防護和應(yīng)急處置能力,促進產(chǎn)業(yè)創(chuàng)新發(fā)展,建立多級聯(lián)防聯(lián)動工作機制,為制造強國和網(wǎng)絡(luò)強國戰(zhàn)略建設(shè)奠定堅實基礎(chǔ)。
為深入貫徹習近平總書記對工業(yè)互聯(lián)網(wǎng)一系列重要指示精神,落實黨中央、國務(wù)院決策部署,進一步鞏固提升發(fā)展成效,更好地謀劃推進未來一個階段發(fā)展工作,工業(yè)互聯(lián)網(wǎng)專項工作組制定出臺了《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023年)》(后稱《三年行動計劃》)。
《三年行動計劃》堅持以深化供給側(cè)結(jié)構(gòu)性改革為主線,提升新型基礎(chǔ)設(shè)施支撐服務(wù)能力,拓展融合創(chuàng)新應(yīng)用,深化商用密碼應(yīng)用,增強安全保障能力。提出實施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理制度,集中力量指導重要行業(yè)、重點企業(yè)建立安全防護能力,提升安全防護水平。開展分類分級管理,一是進一步貫徹指導意見有關(guān)要求,督促企業(yè)落實主體責任,健全完善部門協(xié)同、政府指導、企業(yè)主責的網(wǎng)絡(luò)安全管理體系;二是指導地方主管部門形成工業(yè)互聯(lián)網(wǎng)企業(yè)清單,建立健全定級核查、信息通報、監(jiān)測預警、安全檢查等機制,集中力量指導管理重點企業(yè);三是通過標準規(guī)范引領(lǐng)推動企業(yè)貫標達標,促進工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全防護能力提升。
分類分級管理著力打造“1+4”的制度體系。1項《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南》(后稱《管理指南》),明確將工業(yè)互聯(lián)網(wǎng)企業(yè)分為聯(lián)網(wǎng)工業(yè)企業(yè)、平臺企業(yè)、標識解析企業(yè)等三類,結(jié)合企業(yè)所屬行業(yè)的重要性、企業(yè)規(guī)模、應(yīng)用工業(yè)互聯(lián)網(wǎng)程度、網(wǎng)絡(luò)安全風險程度等因素,將企業(yè)分成三個級別,同時明確定級流程和安全管理、支持保障等方面的要求。4項《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級防護規(guī)范》(后稱《安全規(guī)范》),針對聯(lián)網(wǎng)工業(yè)企業(yè)、平臺企業(yè)、標識解析企業(yè)以及工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)四類對象,分別明確防護要點和不同級別的網(wǎng)絡(luò)安全防護要求。
四、構(gòu)建工控網(wǎng)絡(luò)安全保障體系
2021年1月13日,工業(yè)和信息化部印發(fā)《開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理試點工作的通知》,啟動部署分類分級試點工作。結(jié)合各地工業(yè)互聯(lián)網(wǎng)發(fā)展實際,目前選定上海、江蘇、廣東等15個省(區(qū)、市)232家重點工業(yè)行業(yè)的重點企業(yè)參與試點。試點工作由各省工業(yè)和信息化主管部門與通信管理局共同組織實施,包括自主定級、定級核查、落實安全要求、試點工作總結(jié)四個階段,計劃10月底前完成試點工作。通過試點進一步完善《管理指南》,提升《安全規(guī)范》的科學性、有效性和指導性,形成可復制可推廣的安全管理模式。
試點過程中,工業(yè)互聯(lián)網(wǎng)企業(yè)需依照法律、法規(guī)和相關(guān)標準的要求,采取技術(shù)、管理等綜合措施,保障工業(yè)互聯(lián)網(wǎng)相關(guān)設(shè)備、控制、網(wǎng)絡(luò)、平臺、應(yīng)用、數(shù)據(jù)等網(wǎng)絡(luò)安全,建立健全工控網(wǎng)絡(luò)安全保障體系(如下圖所示),有效防范應(yīng)對網(wǎng)絡(luò)安全事件,提升工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全防護能力。
圖1 工控網(wǎng)絡(luò)安全保障體系
工業(yè)互聯(lián)網(wǎng)企業(yè),從基礎(chǔ)支撐、基礎(chǔ)設(shè)施、安全保護、安全監(jiān)管、管理保障及標準規(guī)范等多方面,構(gòu)建工控網(wǎng)絡(luò)安全保障體系。以密碼技術(shù)、安全芯片等為基礎(chǔ)支撐,針對PLC、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、遠程信息處理器(T-BOX)等關(guān)鍵核心領(lǐng)域,加快密碼應(yīng)用核心技術(shù)突破;保護工控數(shù)據(jù)與應(yīng)用安全、計算環(huán)境安全及網(wǎng)絡(luò)與邊界安全;強化監(jiān)測保障,加快工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知、在線監(jiān)測、風險評估等技術(shù)手段建設(shè);強化管理保障能力;加強工業(yè)互聯(lián)網(wǎng)密碼應(yīng)用安全性評估能力建設(shè),全方位增強工業(yè)互聯(lián)網(wǎng)企業(yè)安全保障能力,促進工控網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展壯大,為工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全保駕護航。
五、小結(jié)
從《管理指南》的實際落實過程來看,由于各類工業(yè)控制信息系統(tǒng)的應(yīng)用場景各不相同,通常需要對重點生產(chǎn)環(huán)境進行足夠全面的了解,才能形成最終精準全面的安全保障體系需求,同時還需要考慮物理安全與信息安全的結(jié)合問題,因此具體實施往往是分階段進行的。從技術(shù)協(xié)同角度看,除了引入傳統(tǒng)IT網(wǎng)絡(luò)安全防護措施外,5G、區(qū)塊鏈、人工智能等新技術(shù)的發(fā)展勢必會不斷形成新的工控網(wǎng)絡(luò)安全保障體系建設(shè)方案。
參考資料:
[1]工業(yè)互聯(lián)網(wǎng)行動發(fā)展計劃(2018-2020年)
http://www.cac.gov.cn/1122955095_15284189066411n.pdf
[2]工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023年)
https://www.miit.gov.cn/ztzl/rdzt/gyhlw/wjfb/art/2021/art_6706d89a6cbc49cea75e8d47d4787064.html
[3]《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023年)》解讀
https://www.miit.gov.cn/zwgk/zcjd/art/2021/art_8ddb39d0d4134b42aa8fd39a4b9f017e.html
[4] 2020全球重大工控安全事件
http://m.chinaaet.com/article/3000127421
[5]工控安全事件匯總與分析
http://www.doc88.com/p-79399021537096.html
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 作者:長揚科技