邹春明 公安部第三研究所 公安部信息系统安全产品质量监督检验中心 工业控制系统信息安全产品标准及测评方法 邹春明 公安部第三研究所 公安部信息系统安全产品质量监督检验中心

工控系统安全现状 工控信息安全产品标准 工控信息安全产品测评及主要问题

工控系统现状： 工控设备、工控协议缺少信息安全方面设计 系统建设之初较少考虑信息安全 随着互联网的发展，“两化融合”、“互联网+”、“工业4.0”的推进，引入新的风险 工控系统信息安全形势严峻：根据监测数据，我国互联网上的暴露大量重要控制系统，涉及市政供水供热、能源、水利等关键基础设施领域 1：工控设备（PLC、DCS）以及绝大部分工控协议，设计之初，主要考虑的是功能安全及稳定可靠，而很少考虑信息安全方面的问题。如工控协议都是采用明文方式、缺乏身份鉴别措施等； 2：通常采用物理隔离方式，不与其他网络互联；

工控系统安全防护： 由于工控领域缺乏信息安全基础，为提高工控系统的安全，借助工控系统专业信息安全产品进行加固就是主要措施之一 缺少国家政策的强力推动，工控信息安全产业链发展迟缓 开发安全型的PLC、DCS，安全的工控协议 工控信息安全产品、工控系统设备安全、工控系统安全的标准体系缺乏

工控系统安全现状 工控信息安全产品标准 工控信息安全产品测评及主要问题

近年工控信息安全专用产品检测情况： 产品类型 2014年 2015年 隔离类产品 22 12 工控防火墙 5 14 工控审计产品 1 （上半年） 隔离类产品 22 12 工控防火墙 5 14 工控审计产品 1 其它产品 2 工控网关(发改委专项) 10 —— 其它产品：ISC主机防护（检测条件）、安全平台（常规）

工控系统信息安全产品： 边界防护类 审计监控类 主机防护类 其它类

边界防护类产品： 信息安全技术 工业控制系统专用防火墙技术要求（国标在编） 信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求（国标申报） 逻辑隔离 网闸 单向导入 信息安全技术 工业控制系统边界安全专用网关产品安全技术要求（行标在编）

审计监控类产品： 信息安全技术 工业控制系统网络审计产品安全技术要求（国标在编） 信息安全技术 工业控制安全管理平台安全技术要求（行标在编） 信息安全技术 工业控制系统入侵检测产品安全技术要求（行标在编）

主机防护类产品： ICS主机安全防护与审计监控产品安全检测条件 文件加载执行控制产品安全检测条件

其它类产品： 信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求（行标在编） 信息安全技术 安全采集远程终端单元(RTU)安全技术要求（行标在编）

工业控制系统安全： 《工业控制系统信息安全》GB/T 30976-2014 工业控制系统等级保护基本要求

工控安全标准制定难度大： TC260？TC124？ 行业需求差别大 工控协议种类繁多 当前产品种类与数量有限 适用性、前瞻性

工控系统安全现状 工控信息安全产品标准 工控信息安全产品测评及主要问题

工控防火墙： 测评依据： 《信息安全技术 防火墙技术要求和测试评价方法》GB/T 20281-2006，除去明确不适用的条款： 深度包检测：不适应，要求是针对用于互联网的通用协议（http、smtp等），工业控制网络一般不使用 NAT：可选要求，部署在下层时，通常透明模式部署 动态开放端口：修改为要求支持OPC协议

工控防火墙： 测评依据： 《信息安全技术 防火墙技术要求和测试评价方法》GB/T 20281-2006，除去明确不适用的条款： 抗渗透：部分针对http、邮件等协议的要求作为不适用 性能要求：暂时参照传统防火墙执行，将做适当调整

工控防火墙： 测评依据 增加工业控制系统安全需求的部分要求： 基于白名单策略的访问控制 工业控制协议过滤 多工作模式 具有高可靠性 工控环境的要求主要包括： 支持基于白名单策略的访问控制，包括网络层和应用层； 工业控制协议过滤，应具备深度包检测功能，支持主流的工控协议的格式检查机制、功能码与寄存器检查机制 支持动态开放OPC协议端口； 防火墙应支持多种工作模式，保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如：学习模式，防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；验证模式或测试模式，该模式下防火墙对白名单策略外的行为做告警，但不拦截；工作模式，防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。 防火墙应具有高可靠性，包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。

工控防火墙： OPC动态端口开放： 实现方式： 分析端口协商数据包获取端口信息，后台增加策略 连接建立时，全开放，建立后获取源目的端口，在后台增加相应允许策略 通过OPC特征进行检查，除规则明确允许的，阻断非OPC连接 另外，通过特定OPC模拟软件，固定服务端端口

工控防火墙： OPC动态端口开放： 测评方法： 采用真实OPC服务器和客户端、或者模拟软件，首先确认其是采用动态端口建立连接方式 防火墙配置至少两条允许策略：一条其他TCP连接、一条OPC连接，默认拒绝 OPC客户端与OPC服务器建立连接的同时，从客户端向服务端发送大量数据包（如高频度的端口扫描），在服务端抓取数据包 另外，通过特定OPC模拟软件，固定服务端端口

工控防火墙： OPC动态端口开放： 主要问题： TCP的SYN包一直可以通过，后续数据包被阻断 存在风险 可针对服务器发起Synflood拒绝服务攻击

工控防火墙： 工业控制协议过滤： 实现技术： 分析应用层数据，对协议格式进行检查 获取所需的参数，与控制规则进行比对

工控防火墙： 工业控制协议过滤： 测评方法： 协议格式检查，需采用专用定制测试工具 被测设备配置允许某项工控协议 从客户端发起符合协议规约的所有请求，通过服务端接收到的数据包进行判断，防火墙是否有误阻断 采用类似模糊测试技术，发起不符合协议规约的混杂请求，并混个正常请求，通过服务器接收数据进行判断，并生成统计报表 协议参数检查，通过真实工控设备或得到广泛认可的模拟软件，手工检测即可

工控防火墙： 工业控制协议过滤： 主要问题： 协议格式检查不全面，仅针对部分字段进行检查 部分产品控制粒度不够，可能仅控制到功能码级别 控制粒度由浅到深：功能码级别；地址级别；控制值范围，

可靠性： 主要要求： 软件层面的安全功能、数据传输的稳定性、可靠性 设备硬件的稳定性、可靠性 无故障运行XX万小时

可靠性： 测评方法： 一定负荷下持续稳定运行一段时间 误码率：使用专用工具通过被测产品发送上亿位的正常数据，统计误码率 丢包率：采用性能测试仪表在被测设备性能支持的带宽下持续发送较长一段时间的数据包，统计丢包情况

其他常见问题： 产品自身安全不够： 产品自身存在安全漏洞，包括支撑系统、管理界面；身份鉴别措施、配置信息保护、安全审计方面不足。 安全保障措施不足： 开发安全方面：研发的物理环境没有明确隔离、开发主机及服务器缺乏足够的安全保护措施、研发网络与互联网未采取严格的隔离措施等。 交付方面：主要缺少交付过程的安全措施。 配置管理方面：主要表现为：配置库权限控制不够严格；配置管理计划与实际管理不符等。

其他常见问题： 串接类设备性能延迟过大： 开启应用层防护时，延迟过大。