伴随着两化融合的深入、“互联网+”、“中国制造2025”战略的推进,军工装备制造企业为了提高生产率和生产的灵活性,自动化技术及工业控制系统得到了日益广泛的应用。随着CNC、DNC、ERP及MES等系统的实施,信息化的触角也已经延伸到军工装备制造企业各个生产单元,包括零件制造、产品组装等。军工装备制造企业工业控制系统在享受开放、互联技术带来的技术进步、生产效率提高与竞争力大大增强的同时,也面临着越来越严重的安全威胁。
1、军工装备制造企业的工控安全特殊性
军工装备制造企业工业控制系统信息安全与IT系统信息安全和其它工控行业信息安全在信息安全目标、标准要求和技术实现等方面有很大区别。信息安全有三个目标,也称安全三元组,即保密性(confidentiality),完整性(integrity)和可用性(availability)。
(1)信息保密性
信息保密性要求信息不被未授权的第三方解读。实现信息的保密性,一方面可通过有效隔离和物理屏蔽等方法保护报文信息不被泄露;另一方面可通过密钥方式等软件方法,用加密算法对信息进行加密传输,即使加密后信息泄露,也会因为没有密钥而无法解读。
(2)信息完整性
信息完整性要求信息在传输过程中不被蓄意修改和破坏,可通过动态CRC校验、数据流序列号等措施实现。
(3)信息可用性
信息可用性要求信息不被未授权的用户访问和操作,可通过数字签名等措施实现。
传统的IT系统信息安全按重要性排列顺序为:保密性、完整性、可用性。一般工业控制系统信息安全按重要性排列顺序为:可用性、完整性、保密性。
军工装备制造企业工控系统虽然是一种工业控制系统,但它对安全三元组的排序却因对保密性特别的强调与其它工业控制系统不同,它更接近传统IT系统,即保密性、完整性、可用性。与此同时,军工装备制造工控系统在通信协议、系统架构、操作管理方式等方面与IT系统差别很大,与其它工控系统更类似[3]。这就造成了军工装备制造企业工业控制系统信息安全与传统IT系统和一般工业控制系统在面对风险、安全需求、实现技术、标准体系等方面都有很大的特殊性。
2、军工装备制造企业的工控安全脆弱性
军工装备制造工控系统主要用于下发、接收工业控制指令进行生产加工,收集各设备运行状态信息,这些均需要将工控系统与工业云(军工装备云网)进行连接以便进行数据交换[4]。工业控制系统又有其自身的复杂性和封闭性,暂还不能对工业控制系统实施有效技术管控。从网络通信风险、系统安全风险、人员管理风险等方面分析军工装备制造企业的工控安全脆弱性,更好的对工控系统进行防护。
2.1军工装备制造工业控制系统网络通信风险与脆弱性
网络通信风险及脆弱性是指军工装备云网、无线连接等重点系统及相关网络设备网络通信安全风险,主要来自三方面:各类数控系统、PLC、应用服务器通过有线网络或无线网络连接形成工业网络,工业网络与办公网络连接形成企业内部网络,企业内部网络与外面的云平台连接、第三方供应链连接、客户的网络连接。主要安全挑战包括:网络数据传递过程的常见网络威胁(如:拒绝服务、中间人攻击等),网络传输链路上的硬件和软件安全(如:软件漏洞、配置不合理等),无线网络技术使用带来的网络防护边界模糊等。研究网络结构及网络边界、网络设备、网络通信和无线连接等潜在风险,定义其检测目标、基本原则、检测对象、检测方式、结果判定指标等,核查军工装备制造工业控制系统网络通信的风险与脆弱性。
2.2军工装备制造工业控制系统操作系统安全风险与脆弱性
PC+Windows的技术架构现已成为控制系统操作站(HMI)的主流,任何一个版本的Windows自发布以来都在不停的发布漏洞补丁,为了保证过程控制系统相对的独立性,现场工程师通常在系统开发后不会对Windows平台打任何补丁,更为重要的是打过补丁的操作系统没有经过制造商测试,存在安全运行风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成军工装备制造Windows平台乃至控制网络的瘫痪。
2.3军工装备制造工业控制系统人员管理风险与脆弱性
随着智能制造的网络化和数字化发展,工业与IT的高度融合,军工装备制造企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员“有意识”或“无意识”的行为,可能破坏工业系统、传播恶意软件、忽略工作异常。因为网络的广泛使用,这些挑战的影响将会急剧放大;而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息[5]。因此,在智能制造+互联网中,人员管理的也面临巨大安全挑战。
3、军工装备制造企业的工控安全防护体系研究
军工装备制造企业作为国防科技工业的重要制造力量,一直都是国内外黑客组织关注的重点目标。近年来,全球发生的多起针对工业控制系统的攻击事件给人们敲响了警钟。如何应对军工装备制造行业的数控系统、DNC、PLC、机器人等工业控制系统信息安全风险,是在“中国制造2025”推进过程中,军工装备制造行业智能制造需要解决的现实问题[6]。
3.1以资产为中心的态势感知平台研究
在“互联网+传统行业”的大趋势下,在将新的技术应用到军工装备制造信息系统的过程中,新的信息安全问题逐渐浮出水面。因此,如何解决新形势下的信息安全威胁则是军工装备制造企业信息安全保障下一步建设的关键所在。面向军工装备制造的态势感知平台将大数据威胁情报分析技术引入军工装备制造领域,及时发现信息安全威胁、评估信息安全风险、进行风险管控。
(1)资产全面感知:采用数据探测引擎主动采集技术实现对主机、网络、安全设备的资产属性、安全配置、操作行为等信息采集,实现对军工装备电力监控系统的运行资产全覆盖。
(2)主动风险感知:一方面采用无损式被动扫描方式实现资产脆弱性识别和分析;另一方面采用内外部威胁情报技术感知军工装备制造全网网络攻击威胁,综合关联系统脆弱性、威胁以及资产属性,实时主动感知军工装备系统潜在的网络安全风险。
(3)外设准入控制:采用统一安全策略实现对军工装备制造工业控制系统接入设备的安全准入管控,具体包括外来设备接入准入、运维人员自带笔记本电脑、U盘准入、非法外联监测等类型。
(4)监测预警处置:采用深度数据挖掘技术对各种军工装备制造安全事件实时告警展示与关联分析,从网络层,到主机层,到应用层,从各个维度进行监控,将军工装备制造企业安全风险的发现、分析、处置、追责等工作纳入信息安全日常管理工作,实现闭环管理,做到安全风险全过程的可监测、可溯源、可控制。
(5)全局态势感知:按照风险、威胁、事件等构建态势要素及态势模型,从计算环境、网络边界、业务流程等维度实现对军工装备制造全网网络安全态势感知的可视化。
(6)安全合规审计:根据等级保护国标要求,对主机设备、网络设备、安全设备、业务行为以及人员操作进行审计,实现军工制造工业控制网络全周期的安全审计,达到军工装备制造系统网络安全事故事件可溯源的目标。
3.2基于白名单技术的主机安全防护研究
传统的防病毒软件不能满足军工装备制造工控系统主机的恶意代码防护要求,主要原因是传统防病毒软件主要基于黑名单+白名单方式进行防护。黑名单方式需要构建一套防病毒库,会造成:防病毒库需要定期升级;黑名单方式会造成进程误杀;系统处理延时等问题,有可能对军工装备制造工控系统的控制周期造成影响。
基于以上原因,军工装备制造系统宜采用白名单方式对主机进行防护,即:防护软件要对准备启动的软件进行认证,与预先存储的进程白名单进行对比,存在白名单中可以启动,不存在白名单中禁止启动。
军工装备制造主机白名单系统具有以下优势:不会影响操作系统的正常运行,并且能有效阻止不在白名单上的程序运行和操作;具有强大的反破解功能,不被恶意代码攻破;支持测试模式,不干预任何软件的运行,但是对非白名单文件的执行记录日志并根据设置进行告警;软件的变动(增加、卸载、白名单的程序试图运行等)都被记录、审计和上传。
3.3基于主动防御的监测响应研究
主动防御,从“应急响应”转变为“持续响应”。当军工装备制造企业工业互联网系统受到破坏并需要不断监控和修复,则需要建立多点防御、联合防御,与产业界合作开展防御响应。
以“持续监测数据联动”为核心理念。对军工装备制造工业互联网中的所有层面进行全面持续的监控,通过全面的数据感知和分析,建立军工装备制造企业安全数据库,并结合威胁情报,实现对已知威胁、高级威胁、APT攻击的有效预防、发现、防御和过程回溯。
建设安全运营中心。构建军工装备制造企业组织流程和人员团队,支持持续监控并负责持续的威胁防护流程,规划好外部安全服务合作伙伴,保证“人在回路”,应对各类军工装备制造安全事件。
3.4基于动态数据分析的自适应防护研究
信息感知。在军工装备制造工业互联网中,实现对工业网络中工业现场关键物理量数字化感知、存储,为军工装备制造工业现场异常分析、预防性健康监测分析提供物理信息来源。
数据汇集。对数控系统(CNC)、PLC、分布式数控(DNC)、制造执行系统(MES)、PDM等军工装备制造工业控制系统及应用系统所运行的关键工业数据进行汇聚,该过程不是简单的数据采集,是全生命周期的各类要素信息的同步采集、管理、存储、查询,为后续过程提供控制信息来源。在网络方面,进行全网流量的被动监听和存储,为军工装备制造工业互联网企业建立安全数据库。
转化分析。对军工装备制造数据特征提取、筛选、分类、优先级排序、可读,可以实现从数据到信息的过程,使得数据具有信息安全意义。
网络融合。基于大数据进行安全大数据分析和多维分析,利用群体经验预测单个设备的安全情况;并建立虚拟网络与实体系统相互映射,实现军工装备制造综合模型的应用。
认知预测。该过程在网络层的基础上,加入人的职责,人在回路,对军工装备互联网规律、异常、目标、态势、背景等完成认知,确定安全基线,结合大数据可视化平台,发现未知威胁,预测黑客攻击。
响应决策。根据认知预测的结果,一旦完成了对军工装备制造事件的识别并确认优先级排序后,人在回路的决策、部署、优化、响应即实现安全价值,从而启动相关响应策略,使其无法访问其他系统,从而遏制军工装备制造企业的安全威胁。
4、结束语
军工装备关键基础设施信息系统属于工业控制系统,其广泛应用在军工装备制造业领域中,加强军工装备制造企业的工控安全防护,提高军工装备制造企业工控信息安全能力,是保证军工装备军工科研生产的重要组成部分,对保障军工装备事业的发展具有重要意义。
