企業到底需要什么樣的工控安全
本文在對工業控制系統特點和面臨的安全風險進行分析的基礎上,提出了工業控制系統安全體系架構,在深入了解企業工控系統安全現狀的情況下,結合業界專家的觀點提出了適用于工控系統的信息安全研究思路及解決辦法,對廣大制造企業具有一定的借鑒意義。
一、概述
當前,隨著工業控制信息化、三網融合、物聯網、云計算等在內的多種新型信息技術的發展與應用,越來越多的信息技術應用到了工業領域,給工業控制系統信息安全保障工作提出了新的挑戰: 工業控制系統需要利用最新的計算機網絡技術來提高系統間的集成、互聯以及信息化管理水平;工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,從而導致將傳統IT風險延伸到了工控系統,工業控制系統的安全問題越來越嚴峻。
本文在對工業控制系統特點和面臨的安全風險進行分析的基礎上,提出了工業控制系統安全體系架構,在深入了解企業工控系統安全現狀的情況下,結合業界專家的觀點提出了適用于工控系統的信息安全研究思路及解決辦法,對廣大制造企業具有一定的借鑒意義。
二、工控系統安全體系架構
工業控制系統(簡稱工控系統)是現代工業基礎設施的核心,包括過程控制、數據采集系統,分布式控制系統,程序邏輯控制以及其他控制系統等,廣泛應用于電力、石油化工、先進制造、軌道交通等與國計民生緊密相關領域,是國家關鍵基礎設施的重要組成部分。
工業控制系統通常由一系列網絡設備構成,包括:傳感器、執行器、過程控制單元和通信設備。控制系統通常采用分層結構,典型的控制系統體系架構如圖1所示。第一層為安裝有傳感器和執行器等現場設備的物理設施,現場設備通過現場總線網絡與可編程邏輯控制器(PLC)或遠程終端設備(RTU)連接,PLC或RTU設備負責實現局域控制功能。第二層為控制網絡,主要負責過程控制器和操作員站之間的實時數據傳輸。操作員站用于區域監控和設置物理設施的設定值。第三層為企業網,企業工作站負責生產控制,過程優化和過程日志記錄。
圖1 工控系統架構圖
工控系統的信息安全問題,在各層上都面臨著來自不同方面的威脅,詳細如下圖所示。企業網的管理信息層面臨來自互聯網的攻擊,也有企業內部惡意的攻擊通過企業網進入工控網,一直到現場網絡;在控制層有系統管理人員非法操作,最嚴重的要屬第三方運維人員的對現場設備的操作;還有遠程撥號的攻擊,有部分現場還有野外搭線的威脅。
圖2 ICS攻擊路徑分析
本文在對工業控制系統特點和面臨的安全風險進行分析的基礎上,提出了工業控制系統安全體系架構,在深入了解企業工控系統安全現狀的情況下,結合業界專家的觀點提出了適用于工控系統的信息安全研究思路及解決辦法,對廣大制造企業具有一定的借鑒意義。
三、工控系統安全分析
近年來,工控系統安全問題頻發,隨著2010年伊朗核電站的“震網”(Stuxnet)病毒事件,為工業生產控制系統安全敲響了警鐘。現在,國內外生產企業都把工業控制系統安全防護建設提上了日程。工控系統安全頻發的原因主要有以下幾個方面:
1)基于物理設施的風險
◆ 操作系統的安全漏洞問題
由于考慮到工控軟件與操作系統補丁兼容性的問題,系統開車后一般不會對Windows平臺打補丁,導致系統帶著風險運行。
◆ 殺毒軟件安裝及升級更新問題
用于生產控制系統的Windows操作系統基于工控軟件與殺毒軟件的兼容性的考慮,通常不安裝殺毒軟件,給病毒與惡意代碼傳染與擴散留下了空間。
◆ 使用U盤、光盤導致的病毒傳播問題
由于在工控系統中的管理終端一般沒有技術措施對U盤和光盤使用進行有效的管理,導致外設的無序使用而引發的安全事件時有發生。
◆ 設備維修時筆記本電腦的隨便接入問題
工業控制系統的管理維護,沒有到達一定安全基線的筆記本電腦接入工業控制系統,會對工業控制系統的安全造成很大的威脅。
2)基于“兩化融合”的風險
工業控制系統最早和企業管理系統是隔離的,但近年來為了實現實時的數據采集與生產控制,滿足“兩化融合”的需求和管理的方便,通過邏輯隔離的方式,使工業控制系統和企業管理系統可以直接進行通信,而企業管理系統一般直接連接Internet,在這種情況下,工業控制系統接入的范圍不僅擴展到了企業網,而且面臨著來自Internet的威脅。
同時,企業為了實現管理與控制的一體化,提高企業信息化合綜合自動化水平,實現生產和管理的高效率、高效益,引入了生產執行系統MES ,對工業控制系統和管理信息系統進行了集成,管理信息網絡與生產控制網絡之間實現了數據交換。導致生產控制系統不再是一個獨立運行的系統,而要與管理系統甚至互聯網進行互通、互聯。
3)采用通用軟硬件帶來的風險
工業控制系統向工業以太網結構發展,開放性越來越強。基于TCP/IP以太網通訊的OPC技術在該領域得到廣泛應用。在工業控制系統中,由于工業系統集成和使用的便利性,大量使用了工業以太環網和OPC通信協議進行了工業控制系統的集成;同時,也大量的使用了PC服務器和終端產品,操作系統和數據庫也大量的使用了通用的系統,很容易遭到來自企業管理網或互聯網的病毒、木馬、黑客的攻擊。
本文在對工業控制系統特點和面臨的安全風險進行分析的基礎上,提出了工業控制系統安全體系架構,在深入了解企業工控系統安全現狀的情況下,結合業界專家的觀點提出了適用于工控系統的信息安全研究思路及解決辦法,對廣大制造企業具有一定的借鑒意義。
四、工控系統信息安全保障策略
通過以上對工業控制系統安全狀況分析,我們可以看到,工控系統采用通用平臺,加大了工控系統面臨的安全風險,而“兩化融合”和工控系統自身的缺陷造成的安全風險,主要從兩個方面進行安全防護。
1)構建“三層架構,二層防護”的安全體系
一般工業企業的信息系統,可以劃分為管理層、制造執行層、工業控制層。在管理信層與制造執行系統層之間,主要進行身份鑒別、訪問控制、檢測審計、鏈路冗余、內容檢測等安全防護;在制造執行系統層和工業控制系統層之間,主要避免管理層直接對工業控制層的訪問,保證制造執行層對工業控制層的操作唯一性。工控系統安全防護架構如下圖所示:
圖3 工控系統安全防護架構
通過上圖可以看到,我們把工業企業信息系統劃分為三個層次,分別是計劃管理層、制造執行層、工業控制層。
管理系統是指以ERP為代表的管理信息系統(MIS),其中包含了許多子系統,如:生產管理、財務管理、質量管理、車間管理、人事管理、綜合管理等,管理信息系統融信息服務、決策支持于一體。
制造執行系統(MES)處于工業控制系統與管理系統之間,主要負責生產管理和調度執行。通過MES,管理者可以及時掌握和了解生產工藝各流程的運行狀況和工藝參數的變化,實現對工藝的過程監視與控制。
工業控制系統是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。主要完成加工作業、檢測和操控作業、作業管理等功能。
2)工控系統的二層防護
1、管理層與MES層之間的安全防護 管理層與MES層之間的安全防護主要是為了避免管理信息系統域和MES(制造執行)域之間數據交換面臨的各種威脅,具體表現為:避免非授權訪問和濫用(如業務操作人員越權操作其他業務系統);對操作失誤、篡改數據,抵賴行為的可控制、可追溯;避免終端違規操作;及時發現非法入侵行為;過濾惡意代碼(病毒蠕蟲)。 也就是說,管理層與MES層之間的安全防護,保證只有可信、合規的終端和服務器才可以在兩個區域之間進行安全的數據交換,同時,數據交換整個過程接受監控、審計。管理層與MES層之間的安全防護如下圖所示:
圖4 管理層與MES層之間的安全防護
2、MES層與工業控制層之間的安全防護
通過在MES層和生產控制層部署工業防火墻,可以阻止來自企業信息層的病毒傳播; 阻擋來自企業信息層的非法入侵;管控OPC客戶端與服務器的通訊,實現以下目標:
區域隔離及通信管控:通過工業防火墻過濾MES層與生產控制層兩個區域網絡間的通信,那么網絡故障會被控制在最初發生的區域內,而不會影響到其它部分。
實時報警:任何非法的訪問,通過管理平臺產生實時報警信息,從而使故障問題會在原始發生區域被迅速的發現和解決。
MES層與工業控制層之間的安全防護如下圖所示:
圖5 MES層與工業控制層之間的安全防護
3、工控系統安全防護分域
安全域是指同一系統內有相同的安全保護需求,相互信任,并具有相同的安全訪問控制和邊界控制策略的子網或網絡,且相同的網絡安全域共享一樣的安全策略。
在管理層、制造執行層、工業控制層中,進行管理系統安全子域的劃分,制造執行安全子域的劃分、工業控制安全子域的劃分。 安全域的合理劃分,使用每一個安全域都要明確的邊界,便于對安全域進行安全防護。對MES、ICS的安全域劃分如下圖所示:
圖6 MES、ICS的安全域劃分
如上圖所示,為了保證各個生產線的安全,對各個生產線進行了安全域劃分,同時在安全域之間進行了安全隔離防護。
