关于工业控制信息安全产品测试评价体系的论文

关于工业控制信息平安产品测试评价体系的论文工業控制系统（IndustrialControlSystems，ICS）是由各种自动化控制组件以及对实时数据进展采集、监测的过程控制组件，共同构成确实保工业根底设施自动化运行、过程控制与监控的业务流程管控系统[1]。现代的ICS网络，越来越依靠于商业IT和Inter领域的操作系统、开放协议和通信技术，这些技术已被证明存在着脆弱性。通过将ICS连接到互联网或其他公共网络，ICS脆弱性就暴露给潜在的攻击者[2]。为了进步工业控制系统的平安性，如今一般从两方面考虑：一方面是进步工业控制系统的自身平安性，从设计阶段就开场平安性架构，并落实在工控系统的研发、部署、运行的各个阶段；另一方面是通过附加信息平安保障手段（如在系统中部署信息平安专用产品）在一定程度上弥补系统本身的平安破绽。由于工业控制系统对高稳定性和高可用性的要求，通过附加信息平安保障的方式来提升工控平安性是目前最容易实现和被承受的方式。工业控制系统本质上是一类信息系统，因此工控系统的平安性问题是信息系统平安性与工业控制系统的特点相结合产生的。美国国家平安局（NationalSecurityAgency，NSA）针对信息系统的平安保障陆续制定了多个版本的信息保障技术框架（InformationAssuranceTechnicalFramework，IATF）[3]，成为信息平安保障的权威架构。IATF把信息平安保障分为四个环节：防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）。首先采取各种措施对需要保护的对象进展平安防护，然后利用相应的检测手段对平安保护对象进展平安跟踪和检测以随时理解其平安状态。假设发现平安保护对象的平安状态发生改变，特别是由平安变为不平安，那么马上采取应急措施对其进展响应处理，直至恢复平安保护对象的平安状态。这四个部分相辅相成，缺一不可，构成了公认的PDRR模型，如图1所示。从PDDR模型的“检测”环节入手，对工业控制系统的信息平安产品进展测试与评估，建立工控信息平安产品测试评价体系，为工业控制系统信息平安测评提供专业化的理论支撑和理论引领，一方面有效帮助供应商大力提升其产品和系统的平安保障才能，另一方面为用户选购工控系统信息平安产品，进步工控系统平安性提供支持。通过对平安测评结果的综合分析，为相关主管部门提供真实、全面的平安态势分析报告，促进工业控制领域信息平安保障工作的开展。工业控制系统有许多区别于传统信息系统的特点，包括不同的风险和优先级别。其中包括对人类安康和生命平安的重大风险，对环境的严重破坏，以及金融问题如消费损失和对国家经济的负面影响。工业控制系统有不同的性能和可靠性要求，其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外，平安和效率的目的有时会与控制系统的设计和操作的平安性发生冲突（如，需要密码验证和受权不应阻碍或干扰ICS的紧急行动）。美国NIST的《工业控制系统信息平安指南》[4]对ICS与IT的差异进展了全面的总结，这些显著差异的存在导致工业控制系统与传统信息系统在通信、主机应用、外联访问等方面采取了不同的策略。传统信息系统的信息平安通常都将保密性放在首位、完好性放在第二位、可用性那么放在最后。工控系统平安目的优先级顺序那么恰好相反。其首要考虑的是所有系统部件的可用性、完好性那么在第二位、保密性通常都在最后考虑，这些需求表达如下：（1）工控系统的可用性那么直接影响到企业消费，消费线停机或者误动都可能导致宏大经济损失，甚至是人员生命危险和社会平安破坏。（2）工控系统的实时性要求很高，系统要求响应时间大多在毫秒级或更快等级，而通用管理系统可以承受秒级或更慢的等级。（3）工控系统对持续稳定可靠运行指标要求很高，信息平安必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期平安支持。由于工控系统的自身特点以及对可用性的高度要求，适用于工业控制系统的信息平安产品也需要着重考虑工控系统的特点。目前使用相比照拟广泛的工控信息平安产品主要包括工控防火墙、工控平安审计、工控隔离、工控主机防护等类型。3.1工控防火墙工控防火墙根据防护的需要，在工控系统中部署的位置存在多种情况，通常用于各层级之间、各区域之间的访问控制，也可能部署在单个或一组控制器前方提供保护。工控防火墙采用单机架构，主要对基于TCP/IP工业控制协议进展防护。通过链路层、网络层、传输层及应用层的过滤规那么分别实现对MAC地址、IP地址、传输协议（TCP、UDP）和端口，以及工控协议的控制命令和参数的访问控制。工控防火墙从形态来说主要分两种，一类是在传统IT防火墙的根底上增加工控防护功能模块，对工控协议做深度检查及过滤。还有一类工控防火墙是参考多芬诺工业防火墙的形式来实现的。3.2工控平安审计工控平安审计产品通过镜像接口分析网络流量，或者通过代理及设备的通用接口进展探测等方式工作，及时发现网络流量或设备的异常情况并告警，通常不会主动去阻断通信。这类产品自身的故障不会直接影响工控系统的正常运行，也更容易让用户承受。3.3工控隔离工控隔离产品主要部署在工控系统中控制网与管理网之间。包括协议隔离产品，采用双机架构，两机之间不使用传统的TCP/IP进展通信，而是对协议进展剥离，仅将原始数据以私有协议（非TCP/IP）格式进展传输。其次还有网闸，除了进展协议剥离，两机中间还有一个摆渡模块，使得内外网之间在同一时间是不联通的，比较典型的是OPC网闸，主要还是传输监测数据，传输控制命令的网闸还相当少。另外还有单向导入设备，主要采用单向光纤、VGA视频信号等方式从物理上保证传输的单向性，其缺点是不能保证传输数据的完好性，但对于将控制网中的监测数据传输到企业办公网还是可行的。总体来说，由于隔离类产品采用双机架构，中间私有协议通信，即使外端机被攻击者控制，也无法侵入内端机，其平安性要高于防火墙设备。3.4工控主机平安防护工控系统中会部署一定数量的主机设备，如工程师站、操作员站等。这些设备往往是工控系统的风险点，病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此，这些主机有必要进展一定的防护。目前主要有两种针对主机设备的防护产品：一种为铠甲式防护产品，通过接收主机设备的鼠标/键盘输入、USB等外围接口来保证主机的平安；另一种就是白产品，通过在主机上安装代理程序，限制只有可信的程序、进程才允许运行，防止恶意程序的侵入。工控信息平安产品测试评价体系涵盖测试环境、测评技术和评价效劳三部分。测试环境主要由适用于工业控制系统信息平安产品的测试平台组成，测评技术主要涉及测试工具、测试方法、根底库和相关的标准及标准，评价效劳提供工业控制系统的平安测评效劳的才能。4.1总体架构以工业控制系统相关的新一代信息技术为对象，从研究工控信息平安产品的平安功能要求、自身平安要求和性能要求出发，结合信息系統的威胁分析、系统脆弱性检测和风险评价的方法和技术，建立了工控信息平安产品测试评价体系，总体架构如图2所示。其中，测试环境体系包括根底环境和实验环境，测评技术体系包括测试方法、测试工具、根底库和关键标准，评价效劳体系包括效劳流程和组织管理。4.2测试环境根据测评机构质量体系建立等相关要求，通过对现有资源进展整合、改进和晋级，形成实验室必要的物理根底设施，主要包括机房建立、硬件设备和软件购置，从而为工控信息平安产品测试评价提供根底条件。测试环境主要包括以下两部分：（1）根底环境：进展实验室机房装修和改造，作为测试评价体系的施行根底。（2）实验环境：实验室根底网络和测试仪表。4.2.1根底环境根底环境主要通过对现有资源的整合、晋级，着力建立测评环境所急需的物理根底设施，包括机房改建和扩建、硬件设备和软件购置、测评实验环境建立等内容，最终形成工控专用平安产品测试所需的必要根底条件。根底环境包括4个测试（性能测试环境、攻击测试环境、功能测试环境和协议测试环境）隔断环境、1个演示环境和1个测试机房组成。4.2.2实验环境实验室环境主要是针对工业控制系统信息平安产品的检测需要，搭建典型的工业控制环境，包括测试平台和演示环境两部分。其中测试平台又包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个系统。4.2.2.1测试平台测试平台包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个方面。由于每个测试平台的测试重点和测试环境的要求各不一样，所以四个平台分别独立部署。（1）功能测试平台功能测试平台是一套典型的小规模工业控制系统，包含工业控制领域主流工业设备、工控协议交换设备、工业控制模拟软件系统。功能测试平台的工业设备包含行业主流，并支持工业控制主要协议的设备（包括西门子、施耐德、和利时及信捷等）的一至两种型号，能夠实现常用的工业控制功能及数据监测功能，具备支持多种常见的工业控制协议（支持ModBusTCP、DNP3.0、OPC、Profi/Profibus、IEC61850、IEC104等）的才能。（2）协议测试平台工控信息平安产品包括工控防火墙、工控隔离、工控审计、工控主机防护等。无论该设备在实际部署时串接接入，还是旁路接入工控网络，那么该设备都需要进展协议测试，测试目地在于验证该设备是否能支持现有常用的工业控制协议。（3）攻击测试平台攻击测试平台主要针对常用的工控信息平安产品，用以验证平安产品是否可以抵御网络，压力，碎片等攻击。对于旁路接入的工控信息平安设备，测试目的在于验证系统能否能记录攻击行为（工控审计类产品）；对于串行接入的工控信息平安设备，测试目的在于验证系统能否能抵御并拦截攻击行为（工控防火墙类产品）。（4）性能测试平台假设工控信息平安产品为串接部署那么需要进展性能测试，用以验证该设备的引入是否会对现有的工业网络造成如通信延时增加、网络带宽降低等情况、平安设备的平安防护才能下降等影响。4.2.2.2演示环境演示环境是工控系统运行的展示，以简单明了的形式来表征工控系统运行的状态，包括正常运行和承受攻击时的运行状态。不同的工业控制产品自身的破绽是各不一样的，所以为了直观的演示不同的攻击对不同的工业控制设备造成的影响，我们需要在工业控制协议及工业控制厂商进展尽量的覆盖。演示环境包含高仿真沙盘模型和可视化工控系统拓扑构造展板。沙盘由底座、台面和台面模型组成，沙盘内部完成所有动态的设计和线路的连接，台面模型根据详细设计和布局陈列，表达完好的工艺流程，各模型单体形状和比例与真实系统一致。沙盘涉及化工消费、污水处理、环境监测、智能楼宇等多个应用实景。展板由展架和展板封面组成，展板上按层次集成工控设备、网络设备，并由灯带组成复杂的网络途径。实际演示过程中，将由不同色灯光表现正常网络数据流和受攻击后异常数据流。展板上各控制系统和交换机预留相应接口，可方便接入典型的工业控制防护设备或专用测试工具。4.3测评技术测评技术包括测试方法和测试工具的研究、改进和应用，根底库的建立以及相关标准的编制。4.3.1测试方法工控系统的平安性测试方法按照平安技术要求可以分为平安功能、平安保证、环境适应性和性能要求四个大类。根据各大类对系统的要求，分别进展测试方法的研究。鉴于工控系统与传统信息系统在平安性要求上的区别，工控系统的信息平安目的通常都在最后考虑，因此工控系统的平安技术要求又有其特殊性。平安功能要求是对工控信息平安产品应具备的平安功能提出的详细要求，工控信息产品平安功能的详细要求包括身份鉴别、访问控制、平安管理、不可旁路、抗攻击、审计以及配置数据保护和运行状态监测等；平安保证要求针对工控信息平安产品的开发和使用文档的内容提出详细的要求，例如配置管理、交付和运行、开发过程、指导性文档和生命周期支持等；环境适应性要求是对工控信息平安产品的应用环境提出详细的详细要求，例如IPv6环境适应性，OPC环境适应性等；性能要求那么是对工控系统和工控产品应到达的性能指标做出的规定，例如去抖动、交换速率和硬件切换时间等。此外，针对工控系统和设备的操作系统层面的破绽进展分析挖掘，形成攻击测试集。针对以上要去分别深化研究相关的测试方法，并应用于实际的测试工作中。4.3.2测试工具为确保工业控制系统信息平安产品和系统测评效劳的专业化，开发了一批方便易用的测评工具和分析工具。其目的一是减少测评或评估人员的工作负担，二是减少测评和评估人员因才能和经历造成的测评或评估误差，保证测评和评估效劳结果的准确性和科学性，进步专业化的效劳才能。通过测试软件来模拟正常和异常协议，可检测工业控制系统信息平安产品的功能实现，以及对异常协议的抵御才能。本体系配套了工控协议模拟测试软件，集成Modbus、DNP、IEC104、IEC61850等工控协议，用于工控信息平安专用产品和工控设备的测试。该软件的运行方式是单机运行，适用的操作系统为windowsNT，windowsxp，windows7x86平台。该软件主要分为四个模块：ModBus模块、DNP模块、IEC61850MMS模块和IEC104模块。4.3.3根底库根底库主要包括知识库、测评指标库、测评方法库、测评用例库和测评数据库。知识库的主要内容包括工业控制系统信息平安领域的根底技术知识、测试案例、法律法规、平安事件/技术手段等的统一描绘方法、国内外平安事件、知识库的管理和维护方法、智能化数据挖掘方法等。指标库保证各个被测系统之间测评结果的一致性。通过为工业控制系统平安测评效劳建立统一的测评指标库，保证测评结果的唯一性和公正性。指标库由功能指标库、性能指标库和平安性评价指标库等构成，可根据需要对指标库进展扩展和维护。测评方法库用以在每种信息平安专业化效劳的标准编制和测评方法研究的根底上，明确详细的技术要求，从而提供有效的效劳。測评用例库是在测评方法库建立的根底上，加强测试的复用，进步平安测试的效率。根据厂家提供的说明书和测评人员的经历，深化解析相关技术要求的内涵，为每种详细效劳建立测评用例库。本体系的根底库由两部分构成，第一部分包括了知识库和破绽库，设计成站形式，直接对外开放，其中搜集了4000余条平安事件、3万余条平安破绽以及相关的法规政策、技术知识、工具等；第二部分涵盖了指标库、测评方法库、测评用例库、测评数据库等，运用于测评实战，检测人员可以在其中根据指标、测评方法、测试用例对实际的产品或系统进展测试记录。4.3.4关键标准工控系统与互联网信息系统采用传统信息平安产品难以满足相关要求，工控系统对持续稳定可靠运行指标要求很高，信息平安必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期平安支持。因此，有必要为应用于工控系统的关键信息平安产品，以及工控系统平安提出专门的标准，并研究相应的测试技术与方法。本体系在工控领域制定了信息平安产品标准体系，以标准和支撑产品测试。主要包括：（1）《信息平安技术工业控制系统专用防火墙技术要求》；（2）《信息平安技术工业控制系统网络审计产品平安技术要求》；（3）《信息平安技术工业控制网络平安隔离与信息交换系统平安技术要求》；（4）《信息平安技术工业控制系统平安管理平台平安技术要求》；（5）《信息平安技术工业控制系统入侵检测产品平安技术要求》（6）《信息平安技术工业控制系统边界平安专用网关产品平安技术要求》；（7）《信息平安技术工业控制系统软件脆弱性扫描产品平安技术要求》；（8）《信息平安技术平安采集远程终端单元（RTU）平安技术要求》。4.4评价效劳评价效劳包括效劳流程和组织管理。效劳流程基于现有的效劳流程，深化挖掘工业控制系统信息平安产品的特点，融入