【解決方案】工業(yè)控制系統(tǒng)信息安全的探討與實現(xiàn)
一、 前言
工信部協(xié)【2011】451號通知明確指出:“SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領域,用于控制生產設備的運行。隨著計算機和網絡技術的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網的快速發(fā)展,工業(yè)控制系統(tǒng)產品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網等公共網絡連接,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散,工業(yè)控制系統(tǒng)信息安全問題日益突出。2010年發(fā)生的“震網”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢。對此,各地區(qū)、各部門、各單位務必高度重視,增強風險意識、責任意識和緊迫感,切實加強工業(yè)控制系統(tǒng)信息安全管理。”
本文分析了當前工業(yè)控制系統(tǒng)的安全漏洞,并結合工業(yè)控制系統(tǒng)的網絡架構和多芬諾工業(yè)防火墻的“測試”模式功能,詳細介紹了工業(yè)控制系統(tǒng)信息安全的縱深防御策略,致力于建立一個“本質安全”的工業(yè)控制網,從而解決了困擾各公司的控制系統(tǒng)信息安全隱患,保證了企業(yè)各裝置控制系統(tǒng)的安全平穩(wěn)運行。
二、 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析
近十年來,隨著信息技術的迅猛發(fā)展,信息化在我們企業(yè)中的應用取得了飛速發(fā)展,互聯(lián)網技術的出現(xiàn),使得工業(yè)控制網絡中大量采用通用 TCP/IP 技術,ICS 網絡和企業(yè)管理網的聯(lián)系越來越緊密。另一方面,傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議,設計上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網與工業(yè)控制網的防護功能都很弱或者甚至幾乎沒有隔離功能,因此在工控系統(tǒng)開放的同時,也減弱了控制系統(tǒng)與外界的隔離,工控系統(tǒng)的安全隱患問題日益嚴峻。系統(tǒng)中任何一點受到攻擊都有可能導致整個系統(tǒng)的癱瘓。
2.1 工業(yè)控制系統(tǒng)的安全漏洞
2.1.1 通信協(xié)議漏洞
兩化融合和物聯(lián)網的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應用在工業(yè)控制網絡中,隨之而來的通信協(xié)議漏洞問題也日益突出。例如,OPC Classic協(xié)議(OPC DA, OPC HAD和OPC A&E) 基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)。
2.1.2 操作系統(tǒng)漏洞
目前大多數工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺的,為保證過程控制系統(tǒng)的相對獨立性,同時考慮到系統(tǒng)的穩(wěn)定運行,通常現(xiàn)場工程師在系統(tǒng)開車后不會對Windows平臺安裝任何補丁,但是存在的問題是,不安裝補丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。
2.1.3 安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。
2.1.4 殺毒軟件漏洞
為了保證工控應用軟件的可用性,許多工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關鍵的一點是,其病毒庫需要不定期的經常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的,導致每年都會爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒。
2.1.5 應用軟件漏洞
由于應用軟件多種多樣,很難形成統(tǒng)一的防護規(guī)范以應對安全問題;另外當應用軟件面向網絡應用時,就必須開放其應用端口。因此常規(guī)的IT防火墻等安全設備很難保障其安全性?;ヂ?lián)網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設備的控制權,一旦這些控制權被不良意圖黑客所掌握,那么后果不堪設想。
2.2 工業(yè)控制系統(tǒng)的安全防御措施要求
一般來說,公司的IT部門人員了解信息安全相關知識,但并不了解過程控制系統(tǒng)。而且傳統(tǒng)IT環(huán)境和工控系統(tǒng)環(huán)境之間存在著一些關鍵不同,例如,控制系統(tǒng)通常需要每周7天,每天24小時的長期運行。因此控制系統(tǒng)的特殊功能要求可能使原本合格的安全技術變得沒有效果。所以,簡單地將IT安全技術配置到工控系統(tǒng)中并不是高效可行的解決方案。
國際行業(yè)標準ANSI/ISA-99明確指出目前工業(yè)控制領域普遍認可的安全防御措施要求如下:
名稱 | 要點描述 | 達到目標 |
區(qū)域劃分 | 將具備相同功能和安全要求的設備劃分到同一區(qū)域 | 安全等級劃分 |
管道建立 | 實現(xiàn)區(qū)域間執(zhí)行管道通信 | 易于控制 |
通信管控 | 通過在控制區(qū)域間管道中通信管理控制來實現(xiàn)設備保護 |
|
即將具有相同功能和安全要求的控制設備劃分到同一區(qū)域,區(qū)域之間執(zhí)行管道通信,通過控制區(qū)域間管道中的通信內容來確保工業(yè)控制系統(tǒng)信息安全。
2.3 “縱深防御”策略
“縱深防御”策略嚴格遵循ANSI/ISA-99標準,是提高工業(yè)控制系統(tǒng)信息安全的最佳選擇。建立“縱深防御”的最有效方法是采用ANSI/ISA-99.02.01和IEC-63443標準的區(qū)級防護,將網絡劃分為不同的安全區(qū),在安全區(qū)之間按照一定規(guī)則安裝防火墻。
建立“縱深防御”策略的兩個主要目標:
1、即使在某一點發(fā)生網絡安全事故,也能保證裝置或工廠的正常安全穩(wěn)定運行
對于現(xiàn)代計算機網絡,我們認為最可怕的是病毒的急速擴散,它會瞬間令整個網絡癱瘓,該防護目標在于當工業(yè)網絡 的某個局部存在病毒感染或者其它不安全因素時,不會向其它 設備或網絡擴散,從而保證裝置或工廠的安全穩(wěn)定運行。
2、工廠操作人員能夠及時準確的確認故障點,并排除問題
怎樣能夠及時發(fā)現(xiàn)網絡中存在的感染及其他問題,準確找到故障的發(fā)生點,是維護控制系統(tǒng)信息安全的前提。
三、 工業(yè)控制系統(tǒng)信息安全的縱深防御
3.1 工業(yè)系統(tǒng)網絡結構及安全區(qū)域的劃分
從總體結構上來講,工業(yè)系統(tǒng)網絡可分為三個層次:企業(yè)管理層、數采信息層和控制層。企業(yè)管理層主要是辦公自動化系統(tǒng),一般使用通用以太網,可以從數采信息層提取有關生產數據用于制定綜合管理決策。數采信息層主要是從控制層獲取數據,完成各種控制、運行參數的監(jiān)測、報警和趨勢分析等功能??刂茖迂撠熗ㄟ^組態(tài)設汁,完成數據采集、A/D轉換、數字濾波、溫度壓力補償、PID控制等各種功能。
系統(tǒng)的每一個安全漏洞都會導致不同的后果,所以將它們單獨隔離防護十分必要。對于額外的安全性和可靠性要求,在主要的安全區(qū)還可以根據操作功能進一步劃分成子區(qū)。這樣一旦發(fā)生信息安全事故,就能大大提高工廠生產安全運行的可靠性,同時降低由此帶來的其他風險及清除費用。
將企業(yè)系統(tǒng)結構劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略,參照ANSI/ISA-99標準,同時結合工業(yè)系統(tǒng)的安全需要,可以將工業(yè)系統(tǒng)網絡劃分為下列不同的安全區(qū)域,包括企業(yè)IT網絡區(qū)域、過程信息/歷史數據區(qū)域、管理/HMI區(qū)域、DCS/PLC控制區(qū)域和第三方控制系統(tǒng)區(qū)域,如安全儀表系統(tǒng)SIS等,如圖1所示:
圖1 工業(yè)系統(tǒng)網絡安全區(qū)域的劃分
3.2 基于縱深防御策略的工業(yè)控制系統(tǒng)信息安全
針對企業(yè)流程工業(yè)的特點,同時結合工業(yè)控制系統(tǒng)的網絡結構,基于縱深防御策略,創(chuàng)建“本質安全”的工業(yè)控制網絡需要以下五個層面的安全防護,如圖2所示:
圖2 工業(yè)控制系統(tǒng)信息安全的縱深防御
3.2.1 企業(yè)管理層和數采監(jiān)控層之間的安全防護
在企業(yè)管理層和數采監(jiān)控層之間加入防火墻,一方面提升了網絡的區(qū)域劃分,另一方面更重要的是只允許兩個網絡之間合法的數據交換,阻擋企業(yè)管理層對數采監(jiān)控層的未經授權的非法訪問,同時也防止管理層網絡的病毒感染擴散到數采網絡。
考慮到企業(yè)管理層一般采用通用以太網,要求較高的通訊速率和帶寬等因素,對此部位的安全防護建議使用常規(guī)的IT防火墻。
3.2.2 數采監(jiān)控層和控制層之間的安全防護
該部位通常使用OPC通訊協(xié)議,由于OPC通訊采用不固定的端口號,使用傳統(tǒng)的IT防火墻進行防護時,不得不開放大規(guī)模范圍內的端口號。在這種情況下,防火墻提供的安全保障被降至最低。
因此,在數采監(jiān)控層和控制層之間應安裝專業(yè)的工業(yè)防火墻,解決OPC通訊采用動態(tài)端口帶來的安全防護瓶頸問題,阻止病毒和任何其它的非法訪問,這樣來自防護區(qū)域內的病毒感染就不會擴散到其他網絡,提升網絡區(qū)域劃分能力的同時從本質上保證了網絡通訊安全。
3.2.3 保護關鍵控制器
考慮到和控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議,或者其它工業(yè)通信標準如Modbus等。由于常規(guī)的IT防火墻和網閘等安全防護產品都不支持工業(yè)通訊協(xié)議,因此,對關鍵的控制器的保護應使用專業(yè)的工業(yè)防火墻。一方面對防火墻進行規(guī)則組態(tài)時只允許制造商專有協(xié)議通過,阻擋來自操作站的任何非法訪問;另一方面可以對網絡通訊流量進行管控,可以指定只有某個專有操作站才能訪問指定的控制器;第三方面也可以管控局部網絡的通訊速率,防止控制器遭受網絡風暴及其它攻擊的影響,從而避免控制器死機。
3.2.4 隔離工程師站,保護APC先控站
對于網絡中存在的工程師站和APC先控站,考慮到工程師站和APC節(jié)點在項目實施階段通常需要接入第三方設備(U盤、筆記本電腦等),而且是在整個控制系統(tǒng)開車的情況下實施,受到病毒攻擊和入侵的概率很大,存在較高的安全隱患。
在工程師站和APC先控站前端增加工業(yè)防火墻,可以將工程師站和APC節(jié)點單獨隔離,防止病毒擴散,保證了網絡的通訊安全。
3.2.5 和第三方控制系統(tǒng)之間的安全防護
使用工業(yè)防火墻將SIS安全儀表系統(tǒng)等第三方控制系統(tǒng)和網絡進行隔離后,主要是為了確保兩個區(qū)域之間數據交換的安全,管控通訊數據,保證只有合法可信的、經過授權的訪問和通訊才能通過網絡通信管道。同時也提升了網絡安全區(qū)域劃分能力,有效地阻止了病毒感染的擴散。
3.3 報警管理平臺
報警管理平臺的功能包括集成系統(tǒng)中所有的事件和報警信息,并對報警信息進行等級劃分。提供實時畫面顯示、歷史數據存儲、報警確認、報警細目查詢、歷史數據查詢等功能。報警管理平臺還負責捕獲現(xiàn)場所有安裝有工業(yè)防火墻的通訊信道中的攻擊,并詳細顯示攻擊來自哪里、使用何種通信協(xié)議、攻擊目標是誰,以總攬大局的方式為工廠網絡故障的及時排查、分析提供了可靠依據。
3.4 “測試”模式
系統(tǒng)工程師可以利用多芬諾工業(yè)防火墻提供的“測試”模式功能,在真正部署防火墻之前,在真實工廠操作環(huán)境中對防火墻規(guī)則進行測試。通過分析確認每一條報警信息,實現(xiàn)全面的控制功能,從而確保工控需求的完整性和可靠性。
四、 總結
工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫,本文針對企業(yè)流程工業(yè)的特點,同時結合工業(yè)控制系統(tǒng)網絡結構和安全需求以及多芬諾工業(yè)防火墻提供的“測試”模式功能,提出工業(yè)控制系統(tǒng)信息安全的縱深防御策略,即參照國際行業(yè)標準ANSI/ISA-99,將工業(yè)系統(tǒng)網絡劃分為不同的安全區(qū)域,在區(qū)域之間執(zhí)行管道通信,從而通過管控區(qū)域間管道中的通信內容,實現(xiàn)保證工廠控制網絡安全穩(wěn)定運行的三個目標:通訊可控、區(qū)域隔離和報警追蹤,進而全方位地保障工業(yè)控制系統(tǒng)信息安全。
全國免費技術支持電話:4006-556-776
更多即時動態(tài)與海量信息分享,請關注企業(yè)官方新浪微博:青島多芬諾。
提交
能源領域網絡安全框架實施指南(英文版)
【指導手冊】有效網絡防御的關鍵控制
【操作指南】SCADA與過程控制網絡防火墻配置指南
【指導手冊】控制系統(tǒng)安全實踐匯編
【操作指南】工業(yè)控制系統(tǒng)(ICS)安全指南