Download presentation
Presentation is loading. Please wait.
1
沈清泓 公安部第三研究所 公安部信息系统安全产品质量监督检验中心
工业控制系统信息安全专用产品测评及其标准化 感谢主持人的介绍,各位专家、领导,上午好。我是公安部第三研究所检测中心的沈清泓,很荣幸能够代表我们检测中心向各位介绍一下近年来我们在工控信息安全领域的工作,特别是产品和系统检测的部分,还有就是我们在公安行业标准方面的工作。 沈清泓 公安部第三研究所 公安部信息系统安全产品质量监督检验中心
2
《关于加强工业与控制系统信息安全管理的通知》工信部协[2011]451号
工控信息安全方面国家政策: 《关于加强工业与控制系统信息安全管理的通知》工信部协[2011]451号 切实加强工业控制系统信息安全管理,以保障工业生产运行安全、国家经济安全和人民生命财产安全 点明了我国工业控制领域信息安全工作的问题和不足 明确重点领域工业控制系统信息安全管理要求 建立工业控制系统安全测评检查和漏洞发布制度 近年来工控信息安全的重要性凸显,在国家层面也是相应出台了许多针对性的政策。 工业控制系统的信息安全要求最初主要来自于工信部协[2011]451号,即关于加强工业与控制系统信息安全管理的通知。 这个通知要求充分认识工业控制系统信息安全的重要性和紧迫性,切实加强工业控制系统信息安全管理,以保障工业生产运行安全、国家经济安全和人民生命财产安全。 重点加强核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统信息安全管理,落实安全管理要求。这些要求包括连接管理要求、组网管理要求、配置管理要求、设备选择与升级管理要求、数据管理要求和应急管理要求。 《通知》提出要建立工业控制系统安全测评检查和漏洞发布制度。工业和信息化部要适时对重点领域工业控制系统信息安全进行抽查。同时,要进一步加强工业控制系统信息安全工作的组织领导。加强对工业控制系统信息安全工作的指导和督促检查。加强对重点领域工业控制系统信息安全管理工作的指导监督,结合行业实际制定完善相关规章制度,提出具体要求,并加强督促检查确保落到实处。
![《关于加强工业与控制系统信息安全管理的通知》工信部协[2011]451号](http://slidesplayer.com/slide/11635353/62/images/2/%E3%80%8A%E5%85%B3%E4%BA%8E%E5%8A%A0%E5%BC%BA%E5%B7%A5%E4%B8%9A%E4%B8%8E%E6%8E%A7%E5%88%B6%E7%B3%BB%E7%BB%9F%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E7%9A%84%E9%80%9A%E7%9F%A5%E3%80%8B%E5%B7%A5%E4%BF%A1%E9%83%A8%E5%8D%8F%5B2011%5D451%E5%8F%B7.jpg "工控信息安全方面国家政策: 《关于加强工业与控制系统信息安全管理的通知》工信部协[2011]451号. 切实加强工业控制系统信息安全管理,以保障工业生产运行安全、国家经济安全和人民生命财产安全. 点明了我国工业控制领域信息安全工作的问题和不足. 明确重点领域工业控制系统信息安全管理要求. 建立工业控制系统安全测评检查和漏洞发布制度. 近年来工控信息安全的重要性凸显,在国家层面也是相应出台了许多针对性的政策。 工业控制系统的信息安全要求最初主要来自于工信部协[2011]451号,即关于加强工业与控制系统信息安全管理的通知。 这个通知要求充分认识工业控制系统信息安全的重要性和紧迫性,切实加强工业控制系统信息安全管理,以保障工业生产运行安全、国家经济安全和人民生命财产安全。 重点加强核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统信息安全管理,落实安全管理要求。这些要求包括连接管理要求、组网管理要求、配置管理要求、设备选择与升级管理要求、数据管理要求和应急管理要求。 《通知》提出要建立工业控制系统安全测评检查和漏洞发布制度。工业和信息化部要适时对重点领域工业控制系统信息安全进行抽查。同时,要进一步加强工业控制系统信息安全工作的组织领导。加强对工业控制系统信息安全工作的指导和督促检查。加强对重点领域工业控制系统信息安全管理工作的指导监督,结合行业实际制定完善相关规章制度,提出具体要求,并加强督促检查确保落到实处。")
3
工控信息安全防护: 工控设备和组件的信息安全 防病毒、抗攻击 专用工控信息安全防护产品 工控防火墙、工控主机防护产品 工控系统的信息安全
工控系统等级保护 工控网络分层防护、分区域防护需要采取相应的防护措施来实现,主要可以分成以下三个方面: 工控设备和组件方面,主要关注其本身的信息安全,在设计、研发阶段就要考虑如防病毒、抗攻击、通信安全等内容; 由于工控设备的更新频率较低,现阶段采取的最多的是专用的信息安全防护产品,如工控防火墙、工控主机防护产品等; 产品只能解决其接入的有限区域的信息安全,无法从系统层面考虑整体的安全性,因此需要引入系统信息安全防护,目前有关部门联合检测机构已经在制定工控等级保护的相关标准,借鉴传统的计算机等级保护要求来保护和测评工控系统。 我们中心的主要工作就是信息安全产品的检测和系统测评。
4
专用工控信息安全产品测试流程: 测试依据 发布的相关产品测试标准 工控环境适应性 通过测试 申请销售许可证
根据国务院147号令、公安部32号和51号令,目前专用信息安全产品均需要申请销售许可证,工控信息安全专用产品也需要符合相应的检测流程,一般的流程是申请测试——测试通过——申领销售许可 由于现在工控信息安全产品的标准尚在制定过程中,没有可以直接用于检测的标准作为依据,所以现在的测试依据现有的类似产品标准(如工控防火墙就是参照传统防火墙的标准),抽取适用性的条款,再补充测试适用于工控环境的其他要求,特别是协议支持方面的内容。 检测通过后再向公安部申请销售许可证。
5
专用工控信息安全防护产品: 适用于工业控制的防火墙 传统防火墙要求的适用性(GB/T 20281-2006) 白名单策略
主流工控协议过滤:ModeBus TCP、OPC、Profinet、DNP3.0等 动态开放OPC端口 多工作模式 高可靠性 以工控防火墙为例,大部分传统防火墙的要求均适用,但NAT、路由不做要求。 工控环境的要求主要包括: 支持基于白名单策略的访问控制,包括网络层和应用层; 工业控制协议过滤,应具备深度包检测功能,支持主流的工控协议的格式检查机制、功能码与寄存器检查机制 支持动态开放OPC协议端口; 防火墙应支持多种工作模式,保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如:学习模式,防火墙记录运行过程中经过防火墙的所有策略、资产等信息,形成白名单策略集;验证模式或测试模式,该模式下防火墙对白名单策略外的行为做告警,但不拦截;工作模式,防火墙的正常工作模式,严格按照防护策略进行过滤等动作保护。 防火墙应具有高可靠性,包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。
6
专用工控信息安全防护产品: 工控隔离产品 工控协议转换产品 OPC网闸,工控协议隔离 数据的单向传输 不同网络之间的隔离 总线网——控制网
数据采集——协议转换封装发送 不同网络之间的数据交互
7
专用工控信息安全防护产品: 工控安全管理平台 工控主机防护产品 集中管理 安全审计 铠甲式外挂 人员审核与访问控制 操作行为审计与监控
数据安全交换与杀毒 随着工控安全设备的部署增多,为了保证不同设备之间的有序高效运行,基于传统的安管平台,不少厂商也研发了工控安全管理平台,主要实现工控防火墙、网闸、网关等的集中管理。 另一款典型的工控信息安全防护产品是工控主机防护,主要是防护工控主机,像工程师站、操作员站等。 由于工控主机一般不部署杀毒软件,即使部署了也不能保证及时更新病毒库,也没有相应的鉴权鉴别的访问控制措施。主机防护产品采取铠甲式外挂,实现人员审核与访问控制、操作行为与审计、数据安全交换与杀毒功能。其特色就是在不对工控主机采取任何软硬件的加载的前提下提高安全性。
8
工业控制系统安全测评: 借鉴计算机等级保护制度 技术要求 管理要求 物理安全、网络安全、工业控制设备安全、应用安全、数据安全
安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理 工控系统测评方面,主要是借鉴计算机等级保护制度,从技术和管理两个方面对工控系统运行的环境和使用的人员进行测评,保证其在测试点的安全合规性,已经测试点之间的动态安全性。目前相关的技术要求和测评方法正在制定过程中。
9
《国家发展改革委办公厅关于组织实施2012年国家信息安全专项有关事项的通知》(发改办高技[2012]2091号)
发改委工控信息安全专项: 《国家发展改革委办公厅关于组织实施2012年国家信息安全专项有关事项的通知》(发改办高技[2012]2091号) 适用于工业控制系统的防火墙 面向工业控制系统的异常行为审计产品 工业控制网络安全管控平台 工控信息安全专业化服务 2012年,发改委针对工业控制等领域面临的信息安全实际需要,组织国家信息安全专项。 专项重点支持工业控制信息安全领域产品的产业化,主要面向以下三类工业控制系统安全产品: (1)适用于工业控制系统的防火墙(2)面向工业控制系统的异常行为审计产品(3)工业控制网络安全管控平台 专项还重点支持面向工业控制系统的信息安全专业化服务,包括应急响应、系统安全测试、隐患分析与风险评估、在线威胁检测与风险预警、可信安全运维与防护,以及基于可用性的最小威胁容忍建模和异常行为仿真等。
![《国家发展改革委办公厅关于组织实施2012年国家信息安全专项有关事项的通知》(发改办高技[2012]2091号)](http://slidesplayer.com/slide/11635353/62/images/9/%E3%80%8A%E5%9B%BD%E5%AE%B6%E5%8F%91%E5%B1%95%E6%94%B9%E9%9D%A9%E5%A7%94%E5%8A%9E%E5%85%AC%E5%8E%85%E5%85%B3%E4%BA%8E%E7%BB%84%E7%BB%87%E5%AE%9E%E6%96%BD2012%E5%B9%B4%E5%9B%BD%E5%AE%B6%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E4%B8%93%E9%A1%B9%E6%9C%89%E5%85%B3%E4%BA%8B%E9%A1%B9%E7%9A%84%E9%80%9A%E7%9F%A5%E3%80%8B%EF%BC%88%E5%8F%91%E6%94%B9%E5%8A%9E%E9%AB%98%E6%8A%80%5B2012%5D2091%E5%8F%B7%EF%BC%89.jpg "发改委工控信息安全专项: 《国家发展改革委办公厅关于组织实施2012年国家信息安全专项有关事项的通知》(发改办高技[2012]2091号) 适用于工业控制系统的防火墙. 面向工业控制系统的异常行为审计产品. 工业控制网络安全管控平台. 工控信息安全专业化服务. 2012年,发改委针对工业控制等领域面临的信息安全实际需要,组织国家信息安全专项。 专项重点支持工业控制信息安全领域产品的产业化,主要面向以下三类工业控制系统安全产品: (1)适用于工业控制系统的防火墙(2)面向工业控制系统的异常行为审计产品(3)工业控制网络安全管控平台. 专项还重点支持面向工业控制系统的信息安全专业化服务,包括应急响应、系统安全测试、隐患分析与风险评估、在线威胁检测与风险预警、可信安全运维与防护,以及基于可用性的最小威胁容忍建模和异常行为仿真等。")
10
适用于工业控制系统的防火墙: 支持多路由协议 IP/MAC地址绑定 工业控制协议过滤 基于白名单策略的访问控制 具有高可靠性
能够适用于不同工业控制网络应用场景 (1)适用于工业控制系统的防火墙:具有支持多路由协议、 IP/MAC地址绑定、工业控制协议过滤、基于白名单策略的访问控制等功能,具有高可靠性,能够适用于不同工业控制网络应用场景。我们三所检测中心就承担了工控防火墙产品的测试任务,在测试过程中与生产厂商、业内专业人士交流,不仅圆满完成了测试任务,还取得了一定的经验积累,后续也在工控信息安全产品的行业标准、国家标准等方面的制定工作中取得了突破。
11
面向工业控制系统的异常行为审计产品: 发现与检测恶意未知行为和异常行为 内容监测、事件与行为的审计 适用于不同的工业控制网络应用场景
(2)面向工业控制系统的异常行为审计产品:具有恶意未知行为和异常行为的发现与检测,以及内容监测、事件与行为的审计等功能,能够适用于不同的工业控制网络应用场景。
12
工业控制网络安全管控平台: 支持工业控制网络流量收集识别 基于白名单的终端应用控制 实时工业控制协议与内容识别 漏洞发现与威胁识别 可视化运维、安全事件跟踪分析预警等
13
《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》(发改办高技[2013]1965号)
发改委工控信息安全专项: 《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》(发改办高技[2013]1965号) 面向现场设备环境的边界安全专用网关产品 面向集散控制系统(DCS)的异常监测产品 安全采集远程终端单元(RTU)产品 工业应用软件漏洞扫描产品 面向工业控制信息安全领域的可控试点示范 2013年,发改委针对工业控制等领域面临的信息安全实际需要,继续组织国家信息安全专项。
![《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》(发改办高技[2013]1965号)](http://slidesplayer.com/slide/11635353/62/images/13/%E3%80%8A%E5%9B%BD%E5%AE%B6%E5%8F%91%E5%B1%95%E6%94%B9%E9%9D%A9%E5%A7%94%E5%8A%9E%E5%85%AC%E5%8E%85%E5%85%B3%E4%BA%8E%E7%BB%84%E7%BB%87%E5%AE%9E%E6%96%BD2013%E5%B9%B4%E5%9B%BD%E5%AE%B6%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E4%B8%93%E9%A1%B9%E6%9C%89%E5%85%B3%E4%BA%8B%E9%A1%B9%E7%9A%84%E9%80%9A%E7%9F%A5%E3%80%8B%EF%BC%88%E5%8F%91%E6%94%B9%E5%8A%9E%E9%AB%98%E6%8A%80%5B2013%5D1965%E5%8F%B7%EF%BC%89.jpg "发改委工控信息安全专项: 《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》(发改办高技[2013]1965号) 面向现场设备环境的边界安全专用网关产品. 面向集散控制系统(DCS)的异常监测产品. 安全采集远程终端单元(RTU)产品. 工业应用软件漏洞扫描产品. 面向工业控制信息安全领域的可控试点示范. 2013年,发改委针对工业控制等领域面临的信息安全实际需要,继续组织国家信息安全专项。")
14
面向现场设备环境的边界安全专用网关产品:
支持IPv4/IPv6及工业以太网 适用于集散控制系统(DCS)、数据采集与监视控制系统(SCADA)、现场总线等现场环境 具备5种以上工业控制专有协议以及多种状态或指令主流格式数据的检查、过滤、交换、阻断等功能 数据传输可靠性达到100%,可保护节点数不少于500点,设备吞吐量达到线速运行水平,延时小于100ms 面向工业控制信息安全领域的安全产品主要包括以下几类: 一是面向现场设备环境的边界安全专用网关产品。支持IPv4/IPv6及工业以太网,适用于集散控制系统(DCS)、数据采集与监视控制系统(SCADA)、现场总线等现场环境,具备5种以上工业控制专有协议以及多种状态或指令主流格式数据的检查、过滤、交换、阻断等功能,数据传输可靠性达到100%,可保护节点数不少于500点,设备吞吐量达到线速运行水平,延时小于100ms。
15
测试环境(功能场景1) 面向现场设备环境的边界安全专用网关的实际应用部署与针对的行业和受保护的控制系统密切相关,大致可以分为两种:一种是部署在管理网和控制网之间,如图2-1功能测试部署场景1所示,主要实现管理网与控制网之间的隔离
16
测试环境(功能场景2) 另一种部署在控制网内部不同的控制组件之间,特别是上位机与下位机之间,如图2-2功能测试部署场景2所示,主要实现控制指令的过滤、检查等功能。
17
测评方法及结果判定 安全功能要求 自身安全要求 1965号文要求 支持IPv4/IPv6 基于白名单策略的访问控制 标识与鉴别
控制功能防护 攻击响应处理 时间校对 双机热备(可选) 业务审计 自身安全要求 标识与鉴别 安全管理 安全支撑系统 审计 1965号文要求 支持IPv4/IPv6 支持适用于多种现场环境的工业以太网 工业控制协议支持 性能要求
18
支持适用于多种现场环境的工业以太网:DCS、SCADA、现场总线 工控协议支持:Modbus TCP、OPC等5种以上 性能要求:
发改办高技1965号 支持IPv4/IPv6:自身管理、安全防护 支持适用于多种现场环境的工业以太网:DCS、SCADA、现场总线 工控协议支持:Modbus TCP、OPC等5种以上 性能要求: 数据传输可靠性100%:误码率、丢包率 可保护节点数500个以上:500个控制节点(例如以IP为单位,500条策略) 吞吐量达到线速水平:64、512、1518字节 延迟小于100ms:取满足100%吞吐量的包的延迟 针对发改委的要求,我们对测试方案做了细化,主要分为以下几个部分 IPv4/IPv6支持部分,要求从对内的自身管理和对外的安全防护两个角度实现支持; 工业环境的支持涉及DCS、SCADA、现场总线,已经部署,声明支持哪种进行测试; 工控协议支持需要至少5种以上,通过调研,MODbus TCP和OPC的占有率相对较高,作为必选要求,其它由厂商声明后测试,模拟(通用的第三方软件)和实体相结合; 性能方面,传输可靠性从误码率和丢包率两个指标进行测试;可保护节点数500点,通过实物+模拟500个IP,进行并发和连接测试;吞吐量从大中小包分别测试,要求必须满足其中一个达到100%,延迟就取达到100%的包进行测试。
19
面向集散控制系统(DCS)的异常监测产品:
适用于电厂、石油、化工、供热、供水等工艺流程 对工业控制系统的DCS工程师站组态变更、DCS操作站数据与操控指令变更的安全监测 对各种主流现场总线访问、负载变更、通信行为、异常流量等安全监测 具备过程状态参数、控制信号的阈值检查与报警功能 二是面向集散控制系统(DCS)的异常监测产品。适用于电厂、石油、化工、供热、供水等工艺流程,具有对工业控制系统的DCS工程师站组态变更、DCS操作站数据与操控指令变更,以及各种主流现场总线访问、负载变更、通信行为、异常流量等安全监测能力,具备过程状态参数、控制信号的阈值检查与报警功能。
20
具有内置安全模块,实现数据采集与监视控制系统(SCADA)软件端到端的信源加密 具备基于数字证书的安全认证功能
安全采集远程终端单元(RTU)产品: 支持工业以太网协议 适用于-40℃~+70℃温度环境 电磁兼容性(EMC)不低于4级 具有内置安全模块,实现数据采集与监视控制系统(SCADA)软件端到端的信源加密 具备基于数字证书的安全认证功能 支持基于国家密码局规定算法的数据加密,加密速率不小于20Mb/s 三是安全采集远程终端单元(RTU)产品。支持工业以太网协议,适用于-40℃~+70℃温度环境,电磁兼容性(EMC)不低于4级,具有内置安全模块,实现数据采集与监视控制系统(SCADA)软件端到端的信源加密,具备基于数字证书的安全认证功能,支持基于国家密码局规定算法的数据加密,加密速率不小于20Mb/s。
21
具有对符合IEC61131-3标准的控制系统上位机(SCADA/HMI)软件、DCS控制器嵌入式软件以及各种主流现场总线离线漏洞扫描能力
工业应用软件漏洞扫描产品: 适用于石油化工、先进制造领域 具有对符合IEC 标准的控制系统上位机(SCADA/HMI)软件、DCS控制器嵌入式软件以及各种主流现场总线离线漏洞扫描能力 具有对数字化设计制造软件平台(如产品数据管理PDM、专用数控机床通信软件eXtremeDNC、高级设计系统ADS等)漏洞扫描能力 具备检测与发现软件安全漏洞、评估漏洞安全风险、可视化展示、漏洞修复建议等功能 漏洞检测率达到90%以上 四是工业应用软件漏洞扫描产品。适用于石油化工、先进制造领域,具有对符合IEC 标准的控制系统上位机(SCADA/HMI)软件、DCS控制器嵌入式软件以及各种主流现场总线离线漏洞扫描能力,具有对数字化设计制造软件平台(如产品数据管理PDM、专用数控机床通信软件eXtremeDNC、高级设计系统ADS等)漏洞扫描能力,具备检测与发现软件安全漏洞、评估漏洞安全风险、可视化展示、漏洞修复建议等功能,漏洞检测率达到90%以上。
22
工控信息安全标准: 国际标准 国家标准 SAC TC124、TC260 行业标准
ISA、IEC:IEC 62443《工业过程测量、控制和自动化 网络与系统信息安全》(ISA SP99) NIST:SP 《工业控制系统安全指南》 国家标准 SAC TC124、TC260 行业标准 电力、公安(GA) 除了产品和系统检测以外,我们中心还十分关注相关标准的制定。下面介绍一下工控信息安全领域的标准化工作情况。 现阶段还未发布工控信息安全的相关标准,但是各个层次也正在制定之中。 国际标准层面,美国的ISA已经制定了相关的技术标准,IEC等同采用了ISA SP99的内容,发布了IEC 62443《工业过程测量、控制和自动化 网络与系统信息安全》标准。 NIST发布的工业控制系统安全指南可谓是工控信息安全领域的经典。 国家标准方面,TC124主要关注工控系统的标准化,TC260关注信息安全相关的标准,相关的工控信息安全标准也正在这两个标委会中制定。 行业标准方面,电力系统最早关注工控信息安全,其标准化进度也相对较为领先;而公安行业标准近两年也开始制定相关工控安全标准,主要关注专用的信息安全防护产品,涉及工控防火墙、工控审计产品、工控安全隔离与信息交换系统、工控安全管理平台和工控入侵检测系统。
23
三所参与制定的标准: 国家标准 公安行业标准 工业控制系统专用防火墙技术要求 工业控制系统网络审计产品安全技术要求
工业控制系统防火墙安全技术要求 工业控制安全隔离与信息交换系统安全技术要求 工业控制安全管理平台安全技术要求 工业控制系统入侵检测产品安全技术要求
24
谢谢! 沈清泓 公安部第三研究所
Similar presentations
