近年來,公共安全是整個網絡安全重要的組成部分,也是國家主管部門重點關注的一個對象。其實公共安全包括兩個部分:一是功能安全、二是信息安全。功能安全的機制相對比較完善。其實,現在所說的公共安全多數是指公共的信息安全。
下面,主要從公共安全的現狀、公共安全的相關政策和標準、公共系統的安全防護與典型的公共信息安全產品,這幾個方面做一個簡單介紹。
公共系統,其實在2010年之前,基本上沒有信息安全的概念,公共設備和公共協議基本上是缺少一個信息安全方面的設計的,公共協議基本上是沒有的。這就使得絕大多數公共設備要網絡可達和連通,基本上就可以被設備像TLD這種設備完全控制。包括其它的IO點的控制,因為IO點直接輸出來,可能對應的就是一些閥門和一些壓力,這種后果非常嚴重。
另外公共系統在建設之初,基本上是沒有考慮信息安全,目前主要還是通過與互聯網物理隔離的方式來保證它的安全。這就使得原公共系統很多漏洞存在,掩蓋在隔離上面,沒有暴露出來。但是隨著像“工業4.0”、“兩化融合”、以及到“互聯網+”這些概念的推進,公共系統在業務上或者在效率上的需要,就不得不與互聯網進行融合,這就使得原來被掩蓋的一些問題都暴露出來了。
提到公共安全事件,在2010年針對伊朗所做出的“震網病毒”,這個公共事件導致伊朗五分之一的離心機停機。這是全球比較公開報道的一個重大公共信息安全事件,因此2010年也確定為公共信息安全的元年。另外像前面的烏克蘭事件也是典型的公共信息安全事件,導致大面積的電力癱瘓。
總體而言,公共安全事件就相對于IT的安全事件,互聯網還是相對比較少的。這主要是幾個方面的原因:第一,這種公共信息安全的人才相對還是比較少的。第二,對于公共系統的一些攻擊后果通常都是非常嚴重的。另外,還有很多公共的漏洞和事件可能不會在上面直接通報,如果通報被人利用,后果是會很嚴重的。很多互聯網的攻擊都是基于經濟利益的驅動去做互聯網的攻擊,對于公共系統的攻擊可能比較少的帶來經濟利益。但是從國家安全的層面來說,就不是靠經濟利益來驅動的,所以從國家層面就制定了一系列的安全工作法規。
這個數據是來自德伯斯那邊的統計,從2010年開始,公共安全的漏洞有過大量的報告。其實這里已經公布的漏洞應該還是冰山一角的,如果公布這些漏洞不能利用,可能后果是非常嚴重的。另外,一些信息安全廠商自己會針對沒有公開的漏洞一些研究。這是最近2017年公布的一些漏洞。
下面介紹一下相關的法規,最重要的一個是今年6月份開始實施的《國家網絡安全法》,這個是從法律的高度來對整個網絡的安全做一個規范的。這里面我大概提到與公共比較相關的,第一個是必要需求,國家實行網絡安全等級保護制度。這個網絡安全也包括公共網絡。
第二個是第23條,網絡關鍵設備和網絡安全專用產品實施銷售許可制度,這個相當于現在實行部署在公共系統的專用信息安全產品都實行銷售許可制度,要通過第三方的檢測,拿到銷售許可證,才能在市場上銷售。
第三個是第31條,國家關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。這個在《網絡安全法》里面也是比較明確的,關鍵基礎設施由國務院進行定義。從目前公布的試行的《關鍵信息基礎設施確定指南》里面,里面所涉及的行業絕大部分是與控制相關的,像人員、交通、市政、工業制造等這些都是與控制系統直接相關的。
另外從國家層面還有相應的一些文件,像《中國制造2025》、《國家“十三五”信息化規劃》等等,國家層面的一些文件都從大方向確定對公共安全保護的要求。國家層面的一些政策或者制度都是大方向主導性的,各個部委或者一些行業會有針對性地做一些具體的細化。最重要的一個就是工信部2016年發布的28號文《工業控制系統信息安全防護指南》,這個就相當于一個可落地的、操作性比較強的文件。
這個文件涵蓋的技術管理方面都是一個大項,它是一個條目,技術條目包括邊界安全防護、配置和補丁管理、身份認證等等。另外在安全管理方面,有安全監測和應急的一些要求,還有資產管理、供應鏈管理和責任落實等管理方面的一些要求。這個可以預見,在《網絡安全法》出臺以后,各個主管部委和一些行業肯定還有相應的一些具體細化的政策出臺。
三個標準,其實標準也是屬于技術法規,形成一個標準的體系。現在在公共信息安全方面的標準,在國際上的一個標準主要是IEC 62443系列標準。這個標準主要是從策略和程序以及系統和幫助這幾個方面提出了具體的要求,這個標準也是適用于用戶單位、系統集成單位、公共設備以及公共信息安全產品的開發廠商。國內在公共安全信息方面的標準情況是,現在目前已經發布了大概10來個國家標準,包括公共風險評估、評估規范、安全控制應用指南等等。
另外還有16、17個正在建制的一些標準,因為國標建制的時間相對比較長,可能要等2到3年才能出來。在建的這些標準,包括系統的管理、產品以及評估的一些要求。在建的標準里面,最重要的一個就是信息安全技術網絡安全保護等級保護基本要求,作為第五部分工業控制系統安全擴展要求。這個標準應該在今年2月份已經完成征求意見,目前應該是在送審稿階段。
因為等級保護工作可能是由公安來推動的,原來的基本要求主要是針對IT,在公共系統中不是很能用,那個標準也沒法強推到控制系統里面。如果現在這個標準正式公布之后,公安有可能比較強烈地來推動公共系統的等保,包括等保的定級備案。這個標準的發布,應該對公共系統信息安全有一個比較大的促進。另外目前整個標準體系還不是很完善,我們會繼續完善信息安全的工作。從今年開始,在武漢信息安全標準小組,今年可能又有一批新立項的公共安全標準。
下面。介紹一下公共系統安全防護的一些典型的適用于公共系統信息安全的產品。公共網絡和IT網絡還是有比較大的差別的、比較大的差異的,第一是在開放性方面,像我們接觸的IT網絡不是開放互聯的,公共網絡是相對比較封閉的。第二是在持續可靠性方面,比如我們的IT網絡有延時,結果我們訪問網頁慢一點,這也僅僅是用戶體驗會差一點,包括收發郵件慢一點都是我們接受的。但是在公共網絡里面,如果有些關鍵的時間上不去,可能就會帶來一些災難性的后果。另外在信息私密性以及設備軟件的一些更新方面,都是存在著較大差別的。因此,公共網絡與IT網絡在信息安全方面和技術也是不一樣的,現在IT網絡都是把保密性放在首位的,可靠性是放在末位的。但是在公共網絡里面,首先考慮的是可靠性,保密性是放在最末位的。
對于公共系統整體的安全來說,首先,必須要有安全的公共設備,公共系統主要是由計算機以及公共設備來構成的,公共設備自身需要安全,另外再結合一些可靠的工業控制系統的信息安全產品, 來達到公共系統的整體安全。包括設備的自身安全以及公共信息安全產品的系統整體安全,這些都需要政策法規的指引,也需要具體的標準來指導。可能有些企業說,要加固,要把系統做到安全,那怎么做?不清楚,就需要政策法規和標準的指引。
這是工業控制系統典型的一個防護架構,這張圖就是一個比較典型的公共系統上層架構。這里一般在層級之間以及外部的邊界,通常主要部署邊界防護的產品,像防火墻或者隔離類單向保護的產品。第二個就是部署到航路監測的,對于流量以及設備做一些審計監測的產品,及時發現網絡中是否存在一些攻擊行為或者一些異常行為。第三個就是主機防護力,因為公共系統操作在云端,都是普通的PC,這些PC往往是重要的風險點,包括病毒的帶入都是從這里進入的。
公共信息安全產品是相對于傳統的IT安全產品也有一些自身的特點,第一是對產品的可靠性要求非常高,接一個防火墻進來,不能有任何一個風險點,防火墻必須安全可靠。第二是對部署在現場的一些設備,特別是防火墻直接部署在現場的,這就要求有低延時、要有良好的環境適應性,像電子兼容和溫濕度、易抗震。這個我在那邊看到一個展示臺,就是因為長時間使用溫度過高,必須停了。但是如果一個設備布置在那里,它必須要有良好的環境適應性。
另外在公共安全產品里面,廣泛采用白名單的特點,對于公共系統一般來說要做到可知可控,所有的包括通訊我應該都是知道的,網絡安全該不該進行網絡通訊、該不該控制,這些都是應該知道的。如果出現意外的都認為質疑它,無論是輔機還是主機,主機防護力。對于監測類的產品,主要是有公共防火墻、公共隔離,這一類產品主要是注入在系統邊界,主要是防護一些網絡攻擊。
同時審計監測最典型的產品,還有路線監測和一些公共安全平臺之類的,這一類主要是監測流量的異常或者設備的異常。另外作為一個審計,可以作為一個事后的追捕,就是防止抵賴。對于主機防護來講,目前主要產品包括兩類:第一類是外掛式的防護,就是接管主機的所有的外部接口,就像USB或者外接鍵盤一樣,外部接口做一個安全防護。第二類是白名單,白名單是可移植的技術來做白名單的產品。這類產品主要是保證公共系統的PC安全,像一些代碼防止越權或者濫用。
這是根據銷售許可檢測的情況,統計我們國家現在目前的公共信息安全產品的情況。從這個圖可以看到,從2014年到2016年,公共系統的信息安全產品有大幅的增加,目前市場上總數大概在90款左右,主要的還是這三類,就是隔離、防火墻和審計,這三類占的比例是特別大的。
最后,簡單介紹一下我的單位和我的主要工作。我是來自公安部第三研究所的,我們的主要工作,第一個是信息安全產品的銷售許可檢測,第二個是信息系統的等級保護工作。在公共方面,我們主要做的工作,第一個是公共風控系統的信息安全產品檢測,第二個是公共設備的安全性測試,第三個是公共系統的安全評估,就是等保測評。另外我們也會做一些公共信息安全相關的科研項目,來支撐我們的課題和檢測。
(本文來自于公安部三所鄒春明先生在2017年H3C Navigate 領航者峰會上的演講)
京公網安備 11010502049343號