4.2 区域与管道的定义
在IEC 62443中介绍了“区域”和“管道”的概念,可通过这种方式对控制系统的各个子系统进行分段管理。
4.2.1 区域的定义
1.概述
按照IEC 62443中的定义,区域是由逻辑的或物理的资产组成的,并且共享通用的信息安全要求。区域是代表需考虑系统分区的实体集合,基于功能、逻辑和物理关系。
区域可以是一些独立资产的组合,也可以是一些子区域的组合,或者是一些独立资产和一些子区域的资产的组合,这些子区域包括在大区域内。区域具有继承性的特点,即子区域必须满足大区域的要求。如图4-2所示是多装置区域模型图,在这个模型中,公司区域是大区域,每个装置是子区域,每个装置子区域又带有一个控制子区域。同样地,公司架构也可以是几个独立区域的组合,如图4-3所示。在这个模型中,区域的安全方针是相互独立的,每个区域都要有完全不同的安全方针。
区域内的设备有着相同的信息安全保证等级(SAL)能力,如果设备的信息安全能力达不到要求的能力,那么就必须采取额外的保证措施。任何两个区域间的通信都必须通过管道进行。通过管道可以控制对区域的访问,以防止拒绝服务(DoS)攻击或恶意代码的传播,从而屏蔽其他网络系统和保护网络流量的完整性和保密性。典型地,对管道的控制意图是缓解区域间信息安全保证等级能力及其信息安全要求之间的不同。把焦点放在管道的控制上是一种性价比非常好的方法,因为这样就不用对区域内的每个设备或计算机都进行升级以满足系统能力的要求。
图4-2 多装置区域模型图
图4-3 分开区域模型图
2.信息安全区域的定义
在工业控制系统中定义和设计区域、管道的目的是将具有相同功能和信息安全要求的设备分成组进行标识和分析,从而有利于对设备和操作的管理。这样需要保护的就不是单个设备而是整个区域。例如,各类设施最初按操作进行分区,接下来就可以按照功能进行分层,如MES、监控系统(如HMI)、主控系统(如DCS控制器、RTU和PLC等)和仪表安全系统(SIS)。
区域的定义可以通过区域参数或属性进行。对关键区域的实现要求,包括:区域描述(名称、定义的功能)、区域边界、典型的资产/库存、从其他区域的继承、区域的风险评估(区域资产的信息安全能力、威胁/脆弱性、信息安全破坏的后果、关键业务的影响等)、信息安全的目标和战略、验收使用政策、内部区域的连接(如访问要求),以及变更管理过程。
每个区域不仅要定义其边界、资产和风险分析,而且要包括信息安全能力,因此区域内使用Windows 2008操作系统服务器的信息安全能力与区域内使用Windows NT操作系统服务器的不同。区域内可能面临的信息安全风险,与控制风险需要具有的信息安全能力一起决定并用于管道的信息安全功能要求,从而利用管道进行区域间的连接。已完成的IEC 62443-3-3部分—工业过程测量和控制安全-网络、系统安全要求和安全保证等级(SAL)就是帮助用户定义这些信息安全能力和要求的。
区域也可以根据控制资产的继承性来定义其信息安全能力,如旧款PLC在鉴别方面的措施就非常差,可以将这些PLC放在已经提供了额外防护措施的区域中。
4.2.2 管道的定义
1.概述
按照IEC 62443的定义,管道是连接两个或多个共享安全要求区域通信渠道的逻辑组。
管道是一种特殊类型的安全区域,成组信息按逻辑被编成信息组在区域内或区域外流动。它可能是单个服务(单一以太网)或由多个数据载体组成(多根网络电缆和直接的物理存取通路)。与区域一样,它由物理的与逻辑的两种结构组成。管道可连接区域内的实体,或连接不同区域的实体,如图4-4所示是公司管道举例。
管道中是数据信息流,信息需要在安全区域内流入与流出,甚至在非网络化系统中,也会存在通信(如创建和维持系统、可编程设备的间断连接等)。为涵盖通信的安全方面,以及提供包括通信特殊要求的结构,IEC 62443定义了专门的安全区域,即通信管道。
与区域相同,管道可以是可信的,也可以是不可信的。典型的可信管道不越过区域边界,在区域内通过通信处理。越过区域边界的可信管道需要使用端到端的安全处理。
图4-4 公司管道举例
2.信息安全管道定义
定义管道的方法很多,最常用的就是通过分析区域间的数据流来发现路径,但是这个过程通常非常复杂,因为要分析和判断流通的数据,最好将数据的流向也详细分析清楚。区域间经过的数据就是网络的管道,每个管道定义时都要考虑其连接的区域,所使用的技术、传输的协议,以及连接区域时所要满足的信息安全特性要求等。确定网络中区域间信息的传输通常使用数据流量或简单的协议分析器。同时,还要分析在网络信息传输中,哪些是隐式的流量,如有没有通过USB驱动传输的文件、有没有使用电话调制解调器远程连接到RT U。这些流量也会导致严重的信息安全问题。
如图4-5所示的数据流图总结了管道和它们包含的流量。每个区域都可以看作一个节点,而每条数据流都可以看作一个向量。
图4-5 数据流图
与区域一样,每个管道都有自身的特点和安全要求,包括以下几点:
(1)安全方针。
(2)资产库存。
(3)访问求和控制。
(4)威胁与漏洞。
(5)违反安全的后果。
(6)授权的技术。
(7)变更管理过程。
(8)连接的区域。
通常,高层次工艺流程工业的管道和区域典型图如图4-6所示。图中有3个信息安全区,每个信息安全区的要求是不同的,有两条管道连接各自的区域。
IEC 62443系列标准没有明确规定企业应如何定义它们的区域或管道。相反,针对计算机可能发生的攻击,此系列标准基于对企业风险的评估提供所需要满足的相关要求。既然风险是计算机事件加上事件造成结果的可能性函数,那么针对每个具体的设施,就要实施应有的区域、管道和保护。
图4-6 高层次工艺流程工业的管道和区域典型图
4.2.3 区域定义模板
为了提高管理风险的效率,公司可以建立通用安全区域方法,其中一种方式是采用公司模板架构,这个模板架构包含公司不同设备和系统的网络隔离策略及安全区域,如图4-7所示是一个公司安全区域模板架构图。
图4-7 公司安全区域模板架构图
图4-8举例说明了工业控制系统的设备或资产映射到各个安全区域的模板架构,该模板架构采用三层区域方式。
图4-8 工业控制系统安全区域范例图