在现今大力提倡“新基建”、“中国制造2025”、“工业4.0”的大背景下,工业互联网、物联网、智能制造、人工智能等新技术、新业态迅猛发展,以往相对封闭的工业控制系统也逐渐采用通用的通信协议、硬软件系统,信息技术(IT)与工业控制系统(ICS)的融合不断深入,越来越多的工业控制系统暴露于互联网上,导致工控系统面临的信息安全威胁日益加重。
近年来,工业领域重大信息安全事故不断曝出,如何保障工控系统的信息安全成为当前国家关注的重点。密码技术作为信息安全的核心基础,能够为工业控制系统中的重要数据提供机密性、完整性、真实性和不可否认性保护,是保障网络与信息安全最有效、最可靠、最经济的关键核心技术。
工业控制系统
密码应用体系化解决方案
一、工控系统典型业务架构
典型的工业控制系统分为五层,如下图所示:
图1工控系统典型业务架构图
第一层为现场执行层,主要包含的内容为传感器和制动器,分为各类的仪器仪表,如温度传感器、压力传感器、继电器、电机、马达、指示灯等等。
第二层为现场控制层,主要包含保护和现场控制设备,分为各类的工业控制器,如RTU(远程终端设备)、DCS(分散控制系统)、PLC(可编程控制器)、PCS(过程控制系统)等等,实现的是对现场层的控制的逻辑运算、算术运算、定位控制、计时/计数等运算。
第三层为生产控制层或叫做生产监控层,主要包含以上位机为主体的工程师站、操作员站、数据库服务器等等在内,实现对现场执行层的监控功能、现场检测、现场显示等,是工控计算监控系统的核心部分。
第四层为经营管理层,主要包含与生产有关的各类数据库服务器系统,如实施服务器,历史服务器等等,完成对本系统的系统管理与监视控制等系列工作。
第五层为战略决策层,主要包含以企业IT系统为主的OA办公自动化系统、Web服务器、Email服务器、MES、PLM等。
二、工控系统密码应用需求
针对工业控制系统典型业务应用实际需要,结合现有密码应用标准情况,需要深入分析工业控制系统各业务场景的密码应用特点,切实梳理通用密码应用场景以及现场执行层、控制层、监控层、信息层(经营管理层)、应用层(战略决策层)等的密码应用场景,明确不同场景下的密码应用需求,研究各层级安全防护中密码应用在机密性、完整性、真实性和不可否认性保护方面的关键技术,提出工控系统密码应用基本框架,构建工业控制系统密码应用技术体系,使密码系统的建设和使用更加具有针对性和操作性,促进国产密码在工控领域的全面推广。
根据等级保护对信息安全的要求,工业控制系统密码应用需求主要体现在以下几个方面:
1、密码管理和服务需求
工控系统密码管理需求涉及密码设备、密钥管理、密码使用等方面的需求。工控系统中密码服务需要保证密码使用的合规性、有效性和正确性。
2、物理和环境安全需求
工控系统所在区域需建立完善的物理环境安全机制,优化物理环境下的操作管理,以保证数据的可用性、保密性和完整性,规范设备所处物理环境的安全性,防止对组织场所和信息的未授权物理访问、损坏和干扰。需要对工业控制系统所在区域采取区域划分、物理隔离、访问控制、视频监控、专人值守等安全防护措施。
3、网络和通信安全需求
工控系统网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护,密码应用需求主要涉及:在通信前采用密码技术进行网络实体身份鉴别,保证网络实体身份的真实性;通信过程中采用密码技术保障通信报文的完整性、机密性;采用密码技术确保网络边界访问控制信息的完整性及接入设备身份的真实性。
4、设备和计算安全需求
工控系统设备和计算安全主要实现对工控系统中各类设备和计算环境的安全防护,密码应用需求涉及设备准入控制、设备访问控制、对设备的实体身份鉴别、登录设备用户的身份鉴别、远程管理通道的建立、可信计算环境的建立、重要可执行程序来源的真实性等。
5、应用和数据安全需求
工控系统应用和数据安全主要实现对系统中敏感信息资源及运行中产生的应用数据的安全防护。对工业应用程序而言,最大的风险来自安全漏洞。应用安全需求包括应用程序的用户身份鉴别、访问控制、合格性检验、应用管控、应用来源保证、安全审计等。工控系统数据安全覆盖数据采集、传输、存储、处理等在内的全生命周期的各个环节。
三、工控系统密码应用体系化解决方案
从技术层面构建工控领域行业密码保障体系,实现工控行业信息系统的安全防护,综合保障工控行业业务应用的安全。从密码基础设备支撑、密码基础服务支撑、监控预警、工控业务系统密码应用、区域边界密码应用、网络通信密码应用、终端设备密码应用、密码应用仿真验证平台等几个层面组成工控行业密码应用的总体框架。其总体架构如下图所示。
图2工业控制系统密码应用体系化方案总体架构图
密码基础设备支撑包括服务器密码机、PLC密码模块、工业主机密码卡、安全网关,对工控行业密码应用提供基础的设备支撑环境。
密码基础服务支撑是指在密码基础设备支撑的基础上,提供统一认证、授权管理、访问控制、单点登录等信任服务,包括数据加解密服务系统、身份认证系统、数据可信服务系统、密钥管理系统、PLC密码模块中间件、工业主机密码卡中间件、安全SCADA密码应用服务系统。
监控预警态势感知平台能够实时采集分析加密装置、解密装置、网络设备、主机设备、安防设备等的安全与设备信息。通过大数据建模分析与核心知识库,进行风险评估、态势感知,预测预防相关设备潜在风险的发生。
工控业务系统密码应用主要包括用户或设备访问业务应用时的身份认证、授权管理、数据存储安全、数据共享安全等;安全SCADA系统可实现基于国产密码的安全通信、静态可信链、动态度量等功能。密码应用基础支撑平台可实现对系统中密码设备管理、密钥管理、证书管理、身份认证、数据加解密、数据可信服务等功能,同时为业务系统应用提供基础密码支撑服务。
工控区域边界密码应用用于实现边界的隔离、身份识别,其密码应用主要表现在访问者身份可信、访问权限的合法、以及保障资源节点可信等几个方面。
工控网络通信密码应用指在远程传输过程中,保障数据在传输过程中的机密性、完整性。
工控终端设备密码应用主要是指控制设备、管理设备以及各类无线采集设备等。基于内嵌的各类密码模块及密码中间件,能够为各类工控终端设备提供安全的密码应用基础和环境,实现国产密码在终端设备中的应用。
工控密码应用仿真验证平台能够为系统中各类密码产品和系统提供有效性和可靠性验证,针对工控系统的各类场景,通过完善的测试和验证,保证系统的可靠、安全运行。
四、工控系统密码应用解决方案优势
通过密码基础支撑设备、密码基础服务支撑平台与监控预警态势感知平台从密码服务、密码产品、密码应用和密码监管等方面提升工控系统的安全能力。
在控制层网络中,通过部署安全网关产品,实现网络通信数据的机密性、完整性保护,安全网关产品能够支持Modbus RTU、Modubus TCP、RS485、RS232等工控网络通信协议。
工控业务系统应用通过调用密码服务接口方式实现身份认证、访问控制、数据加解密等安全功能。安全SCADA系统通过调用各类密码中间件方式实现对设备的认证和通信链路的安全防护功能。
密码应用基础支撑平台包含身份认证系统、数据加解密服务系统和数据可信服务系统,以密码服务接口方式对业务系统提供密钥管理、签名验签、加密解密、数字信封、摘要运算、证书管理等密码服务。
密码作为国家重要战略资源,是网络安全的核心技术和基础支撑、是构建网络信任体系的重要基石。密码直接关系国家政治安全、经济安全、国防安全、网络安全,直接关系公民的合法权益,在网络空间中发挥着不可替代的作用。
工业控制系统涉及国家重要关键基础设施,面临着错综复杂的安全威胁,亟需构建以国产密码为基石的密码应用体系,以数据安全为核心目标,提升自主可控和安全防护能力,有效保证工控系统和基础设施的稳定、可靠、安全运行,为实现工控领域数据“可管、可控、可信”的目标奠定坚实基础。
【参考资料】
[1].《网络空间研究》(2017年2月15日,第1期),工业和信息化部赛迪研究院,2017年.
[2].《工业互联网体系架构(版本2.0)》,工业互联网产业联盟,2019年.
