您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
淺談工業(yè)控制系統(tǒng)安全與實踐
隨著現(xiàn)代計算機技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展及與工業(yè)控制系統(tǒng)(以下也稱“ICS”系統(tǒng))的深度融合,極大地提高了工業(yè)控制系統(tǒng)的工作效率,但同時也帶來了嚴峻的網(wǎng)絡(luò)安全問題。隨著國與國的競爭日益激烈和黑客水平的不斷提高,網(wǎng)絡(luò)攻擊已經(jīng)不僅僅以獲取經(jīng)濟利益為目的,近年來還呈現(xiàn)出以破壞敵對國家基礎(chǔ)設(shè)施和能源供給的趨勢,通過不斷滲透或潛伏到電力、能源、鐵路、化工、冶金、智能制造等領(lǐng)域的工業(yè)控制系統(tǒng),展開具有針對性的破壞攻擊活動。因此,世界各國均正努力采取措施用以加強工業(yè)控制系統(tǒng)的安全,強化其網(wǎng)絡(luò)系統(tǒng)的防護能力,變被動防御為主動防御,構(gòu)造有足夠縱深的立體化網(wǎng)絡(luò)防護體系,力爭將網(wǎng)絡(luò)攻擊造成的損失降低到最小。
本文通過介紹工業(yè)控制系統(tǒng)的安全現(xiàn)狀和安全挑戰(zhàn),討論工業(yè)控制系統(tǒng)自身潛在的風(fēng)險和可能導(dǎo)致入侵的薄弱環(huán)節(jié),分析工業(yè)控制系統(tǒng)發(fā)生安全事件帶來的影響,并結(jié)合國內(nèi)現(xiàn)有的安全標準規(guī)范提出一些應(yīng)對風(fēng)險的可行性實踐措施。
一、ICS系統(tǒng)的現(xiàn)狀與挑戰(zhàn)
1 . ICS系統(tǒng)的安全現(xiàn)狀
在工業(yè)控制技術(shù)和設(shè)備方面,由于國內(nèi)尚未掌握工業(yè)控制核心技術(shù),工業(yè)控制技術(shù)和設(shè)備主要由西門子、施耐德、羅克韋爾等國際廠商主導(dǎo)工業(yè)控制技術(shù)的發(fā)展和占領(lǐng)大部分的工業(yè)控制領(lǐng)域市場。工業(yè)生產(chǎn)企業(yè)選擇設(shè)備供應(yīng)商后,在運行維護和設(shè)備升級更換等多方面面臨被工業(yè)設(shè)備廠商控制,無法輕易更換的局面。
在工業(yè)控制系統(tǒng)安全建設(shè)方面,工業(yè)控制網(wǎng)絡(luò)普遍是絕對“物理隔離”為核心安全手段的獨立工業(yè)控制系統(tǒng),在安全防護上普遍處于缺乏狀態(tài)。隨著兩化融合和智能制造在我國相關(guān)領(lǐng)域的探索,以及云計算、大數(shù)據(jù)和人工智能等新一代信息技術(shù)的迅速發(fā)展,新技術(shù)的應(yīng)用使得原來封閉的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)越來越開放,尤其是“兩化融合”的深入以及“中國制造2025”等戰(zhàn)略的推進,工業(yè)控制系統(tǒng)開始逐漸開始采用以太網(wǎng)、通用協(xié)議、無線設(shè)備、遠程配置等。OT生產(chǎn)系統(tǒng)和IT辦公管理系統(tǒng)開始進行連接以提升生產(chǎn)效率,這一過程切實地提升了業(yè)務(wù)生產(chǎn)水平,但是在互聯(lián)互通、縱向集成等新的生產(chǎn)模式下,工業(yè)控制系統(tǒng)正逐漸暴露于互聯(lián)網(wǎng)中,對應(yīng)的安全建設(shè)跟不上,工業(yè)控制系統(tǒng)下的安全問題所包含的軟件隱患、網(wǎng)絡(luò)邊界隱患、環(huán)境和硬件隱患等問題,以及工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全協(xié)議問題,如操作系統(tǒng)的落后、補丁的更新不及時、緩沖區(qū)溢出問題、拒絕服務(wù)漏洞、關(guān)鍵設(shè)備沒有冗余備份,不安全的遠程訪問ICS組件等問題帶來的安全隱患問題開始不斷顯現(xiàn)。
在該類型探索中進展最大的智能制造工廠往往采用傳統(tǒng)IT系統(tǒng)邊界網(wǎng)關(guān)防護設(shè)備對IT、OT網(wǎng)絡(luò)進行邏輯隔離,但策略設(shè)置上缺乏經(jīng)驗,控制粒度上設(shè)備能力不足,尤其是OT網(wǎng)絡(luò)內(nèi)部缺乏保護,導(dǎo)致保護深度不到位,保護廣度不足與網(wǎng)絡(luò)安全保護相關(guān)要求仍存在較大的差距。
2 . ICS系統(tǒng)的安全挑戰(zhàn)
(1)針對ICS系統(tǒng)安全事件頻發(fā)
根據(jù)權(quán)威工業(yè)安全事件信息庫RISI的披露,針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊行為增長明顯,而且針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊更多的發(fā)生在電力、能源、水利和交通等重要行業(yè)和領(lǐng)域。
◇ 2010年,伊朗布什爾核電站感染“震網(wǎng)(Stuxnet)”病毒,嚴重威脅核反應(yīng)堆安全運營,摧毀了伊朗濃縮鈾工廠五分之一的離心機,導(dǎo)致該國的核工業(yè)進程遭到重大影響。
◇ 2014年,德國境內(nèi)的鋼鐵廠遭遇到網(wǎng)絡(luò)黑客攻擊,惡意軟件攻擊了工廠鋼鐵熔爐控制系統(tǒng),讓鋼鐵熔爐無法正常關(guān)閉,導(dǎo)致遭受到“大規(guī)?!蔽锢砥茐?。
◇ 2015年,烏克蘭電網(wǎng)遭“Black Energy(黑暗力量)病毒”攻擊,受影響家庭70萬戶,成為有史以來首次導(dǎo)致大規(guī)模停電的網(wǎng)絡(luò)攻擊。
◇ 2017年,WannaCry勒索病毒蔓延全球,感染了150個國家的30多萬臺計算機,中石油公司超過2萬座加油站遭受到攻擊,在斷網(wǎng)約36小時左右才慢慢恢復(fù)。
◇ 2018年,臺積電遭受WannaCry病毒攻擊,使其工廠生產(chǎn)線受損,預(yù)計損失10多億元人民幣。
◇ 2019年,委內(nèi)瑞拉國內(nèi)發(fā)生全國范圍的大規(guī)模停電,導(dǎo)致全國交通癱瘓,地鐵系統(tǒng)關(guān)閉,醫(yī)院手術(shù)中斷,通訊線路中斷,給委內(nèi)瑞拉帶來了重大損失。
除此之外,各大安全攻防研究機構(gòu)還先后提取了火焰病毒、sandworm病毒、格盤病毒、“方程式”組織病毒庫、red October病毒、Cleaver系列病毒等一系列工業(yè)控制網(wǎng)絡(luò)病毒,工業(yè)控制系統(tǒng)的安全形勢是十分嚴峻。
(2)工業(yè)控制系統(tǒng)面臨嚴重威脅
工業(yè)控制系統(tǒng)面臨的嚴重威脅主要包括外部威脅和內(nèi)部威脅兩大方面。其中外部威脅方面,工業(yè)控制系統(tǒng)主要面臨的是網(wǎng)絡(luò)攻擊的威脅,我們通過對一些客戶網(wǎng)絡(luò)中的攻擊分析發(fā)現(xiàn),目前對工控系統(tǒng)的攻擊主要還是在系統(tǒng)信息收集以及工業(yè)控制數(shù)據(jù)篡改;而根據(jù)相關(guān)網(wǎng)絡(luò)安全調(diào)查結(jié)果顯示,大多的安全威脅來自組織內(nèi)部,包括無意識的外部風(fēng)險引入,第三方維護人員的威脅,管理制度漏洞、安全策略無法有效落地等內(nèi)部因素。
(3)國內(nèi)外對ICS防護高度重視
工業(yè)控制系統(tǒng)脆弱的安全狀況以及面臨的日益嚴重的攻擊威脅,已經(jīng)引起了國家的高度重視,甚至提升到國家安全戰(zhàn)略的高度,在政策、標準、技術(shù)等方面展開了積極應(yīng)對。德國提出“德國工業(yè)4.0戰(zhàn)略”,美國提出“先進制造業(yè)國家戰(zhàn)略計劃”,日本和英國也分別提出“制造業(yè)白皮書”和“英國工業(yè)2050戰(zhàn)略”等概念。
我國政府對于工業(yè)控制系統(tǒng)的安全性予以高度重視,先后出臺了多項政策、標準和指導(dǎo)意見,對工業(yè)控制網(wǎng)絡(luò)安全提出了重要的建設(shè)性意見和指導(dǎo)標準,并強調(diào)了工業(yè)控制網(wǎng)絡(luò)安全的戰(zhàn)略地位。國家發(fā)展和改革委員會2010年起開始組織信息安全專項,將工業(yè)控制系統(tǒng)安全問題作為獨立領(lǐng)域重點支持。2011年年底,工信部下發(fā)《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)的通知,強調(diào)加強工業(yè)信息安全的重要性、緊迫性。國家發(fā)展和改革委員會也開始從政策和科研層面上積極部署工業(yè)控制系統(tǒng)的安全保障工作,研究和制定相關(guān)規(guī)范及要求,其中對電力行業(yè)、石油石化行業(yè)、煙草行業(yè)及先進制造業(yè)的規(guī)范尤為突出。2015年,隨著“互聯(lián)網(wǎng)+”、“中國制造2025”等國家戰(zhàn)略方針的出臺,隨著“兩化融合”政策的深入推進,國內(nèi)工業(yè)控制網(wǎng)絡(luò)的網(wǎng)絡(luò)化、智能化水平快速提高。2016年4月19日,習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化工作座談會上發(fā)表了重要講話,進一步表明工控行業(yè)的相關(guān)問題已經(jīng)上升到國家高度。李克強總理在2017年政府工作報告中強調(diào)“深入實施《中國制造2025》,加快大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)應(yīng)用,以新技術(shù)新業(yè)態(tài)新模式,推動傳統(tǒng)產(chǎn)業(yè)生產(chǎn)、管理和營銷模式變革。”
二、ICS系統(tǒng)安全風(fēng)險分析
1 . 發(fā)電行業(yè)ICS系統(tǒng)安全風(fēng)險分析
(1)SIS系統(tǒng)與電氣系統(tǒng)、鍋爐汽輪機系統(tǒng)等所有發(fā)電控制系統(tǒng)連接在一區(qū),無分區(qū)分域設(shè)計,并且缺乏安全防護措施,其中一個系統(tǒng)受到破壞,面臨著所有發(fā)電控制系統(tǒng)受到破壞的風(fēng)險;
(2)電氣系統(tǒng)、鍋爐汽輪機等系統(tǒng)的操作員站、工程師站等大多采用Windows的操作系統(tǒng),長期不更新系統(tǒng)補丁且無任何防病措施,面臨感染病毒的風(fēng)險;
(3)大多電廠的發(fā)電控制系統(tǒng)通過OPC協(xié)議和上層管理系統(tǒng)通訊,很多電廠中用來做邏輯隔離的防火墻不支持OPC動態(tài)端口機制,導(dǎo)致安全控制策略無法有效實施;
(4)多數(shù)電廠未明確網(wǎng)絡(luò)安全管理機構(gòu),網(wǎng)絡(luò)安全管理人員職責(zé)分工不明確、安全意識缺乏,網(wǎng)絡(luò)安全管理制度體系缺失或不完善。
2 . 軌交行業(yè)ICS系統(tǒng)安全風(fēng)險分析
(1)軌道交通采用控制系統(tǒng)通信協(xié)議自身存在漏洞,黑客可利用漏洞對相關(guān)工業(yè)控制系統(tǒng)發(fā)送非法控制命令;
(2)軌道交通采用控制系統(tǒng)工業(yè)協(xié)議廣泛,如西門子、和利時等PLC、DCS等協(xié)議均缺乏身份認證機制,面臨著被非法控制的風(fēng)險;
(3)工業(yè)控制系統(tǒng)中的工程師站、操作員站以及部分服務(wù)器均采用Windows系統(tǒng),而且很多還是早期的Windows XP系統(tǒng)、Windows 2000系統(tǒng),微軟官方早已停止漏洞和補丁更新,面臨著漏洞被利用風(fēng)險;
(4)主機外聯(lián)接口如USB接口無管控,U盤、光盤隨意使用;擔(dān)心殺毒軟件誤殺業(yè)務(wù)程序影響業(yè)務(wù)連續(xù)性,幾乎無防病毒措施,面臨著引入病毒攻擊風(fēng)險;
(5)IT和OT網(wǎng)絡(luò)責(zé)任主體不清楚,安全管理和運維相對混亂,沒有專門為工業(yè)控制系統(tǒng)設(shè)計網(wǎng)絡(luò)安全管理方面的管理部門和工作流程。
3 . 煙草行業(yè)ICS系統(tǒng)安全風(fēng)險分析
(1)目前多數(shù)卷煙廠均建有MES系統(tǒng),業(yè)務(wù)上需要MES系統(tǒng)和各車間工業(yè)控制系統(tǒng)互聯(lián),但管理網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間、生產(chǎn)網(wǎng)絡(luò)生產(chǎn)區(qū)與控制區(qū)之間缺乏必要的隔離控制措施,缺乏有效的訪問控制和安全防護手段,導(dǎo)致辦公網(wǎng)中安全風(fēng)險極易傳播到生產(chǎn)網(wǎng);
(2)大多卷煙廠的工業(yè)控制系統(tǒng)缺乏安全審計檢測類產(chǎn)品,無法對工業(yè)控制網(wǎng)絡(luò)進行威脅感知和故障檢測,不能及時發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的異常行為及入侵行為,并進行及時處理;
(3)制絲集控系統(tǒng)中幾乎所有主機在病毒防護方面做的并不到位,工控上位機大多數(shù)處于“裸奔”狀態(tài),很多都沒有安裝統(tǒng)一的防病毒軟件,即便安裝了防病毒軟件,病毒庫也未及時更新,實際病毒木馬的防護相當脆弱;
(4)部分卷煙廠沒有制訂完善的工業(yè)控制系統(tǒng)安全政策、管理制度,以及對人員的安全意識培養(yǎng)缺乏,造成人員的安全意識淡薄。
4 . 共性安全風(fēng)險分析與確認
通過對電力、城市軌道交通、煙草等行業(yè)工業(yè)現(xiàn)場安全隱患的調(diào)研與分析,我們發(fā)現(xiàn)目前工業(yè)控制系統(tǒng)中存在多方面的風(fēng)險。
(1)安全邊界模糊無分層分區(qū)設(shè)計
大多數(shù)行業(yè)的工業(yè)控制系統(tǒng)各子系統(tǒng)之間沒有安全隔離防護,未根據(jù)區(qū)域重要性和業(yè)務(wù)需求對工業(yè)控制網(wǎng)絡(luò)進行安全區(qū)域劃分,網(wǎng)絡(luò)和區(qū)域邊界不清晰,邊界訪問控制策略缺失,重要網(wǎng)段和其他網(wǎng)段之間缺少有效的隔離手段,一旦出現(xiàn)網(wǎng)絡(luò)安全事件,安全威脅無法控制在特定網(wǎng)絡(luò)區(qū)域內(nèi)。
(2)對ICS系統(tǒng)多種漏洞缺乏應(yīng)對
◇ 工控設(shè)備漏洞
工業(yè)控制系統(tǒng)安全的價值已經(jīng)被普遍認可,在這樣的背景下,從2010年“震網(wǎng)病毒”事件開始針對工控設(shè)備的漏洞挖掘成果大量被披露,設(shè)備現(xiàn)場的漏洞,通過網(wǎng)絡(luò)、外設(shè)等方式被順利利用后,將導(dǎo)致系統(tǒng)過載、設(shè)備故障停擺等嚴重影響,從而影響企業(yè)的整體安全生產(chǎn)。
例如,以目前在油氣田中普遍使用的Siemens S7-300 PLC為例,作為市場占有率極高的一款工業(yè)控制設(shè)備,其漏洞數(shù)量多、影響大,且在現(xiàn)場普遍未被修復(fù)。
◇工控協(xié)議漏洞
工業(yè)控制協(xié)議主要傳輸?shù)母黝悈f(xié)議的指令碼,使用之初未采用TCP/IP,在工業(yè)網(wǎng)絡(luò)的以太網(wǎng)化過程中,協(xié)議也基于TCP/IP協(xié)議族做了重新設(shè)計,而這一過程,僅僅將工業(yè)控制指令作為TCP/IP的數(shù)據(jù)載荷在進行傳輸封裝,缺乏安全性考慮,導(dǎo)致存在大量的漏洞可被利用。
例如,在數(shù)據(jù)監(jiān)控與采集中經(jīng)常應(yīng)用的OPC Classic協(xié)議(OPC DA, OPC HAD和OPC A&E)基于微軟的DCOM協(xié)議,而DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認識之前設(shè)計的,極易受到攻擊;并且,OPC通訊采用不固定的端口號,導(dǎo)致目前幾乎無法使用傳統(tǒng)的安全設(shè)備來確保其安全性。
圖 工業(yè)控制系統(tǒng)各工控協(xié)議漏洞占比圖
◇工控軟件漏洞
由于工業(yè)應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防護規(guī)范以應(yīng)對安全問題;另外當應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時,就必須開放其應(yīng)用端口,因此常規(guī)的IT安全設(shè)備很難保障其安全性。
例如,以常見的工業(yè)應(yīng)用GE IFIXv5.0為例,GE IFIX公開披露漏洞8個,其中包含高危漏洞1個(CNVD-2013-14823,遠程緩沖區(qū)溢出漏洞。成功利用后可使攻擊者在受影響應(yīng)用上下文中執(zhí)行任意代碼)。
◇操作系統(tǒng)漏洞
目前企業(yè)的工程師站/操作員站/HMI都是基于Windows平臺的Windows XP及Windows7操作系統(tǒng)。由于傳統(tǒng)上一般認為工業(yè)控制主機是在隔離的“安全環(huán)境”中,又要保證上位機上各類工控軟件的穩(wěn)定運行,通?,F(xiàn)場工程師在系統(tǒng)開始運行后便不會對Windows平臺安裝任何補丁。不安裝補丁系統(tǒng)就存在更多被攻擊的可能,從而埋下安全隱患。目前工業(yè)控制系統(tǒng)經(jīng)常出現(xiàn)的誤中勒索病毒及“礦機病毒”事件,利用的多數(shù)都是已經(jīng)提供補丁的漏洞,其影響之大可見一斑。
(3)對ICS系統(tǒng)缺乏控制隔離機制
部分先進制造企業(yè)的工業(yè)控制系統(tǒng)和辦公網(wǎng)絡(luò)在同一個物理網(wǎng)絡(luò)中,隔離機制僅僅依賴不具備工業(yè)系統(tǒng)防護技術(shù)的傳統(tǒng)防火墻,無法覆蓋當前多個生產(chǎn)區(qū)域的實際環(huán)境,也導(dǎo)致實際應(yīng)用中的許多控制網(wǎng)絡(luò)都是“敞開的”,不同的生產(chǎn)區(qū)域、不同的子系統(tǒng)之間都沒有有效的隔離。一旦發(fā)生攻擊,沒有有效的阻斷機制和隔離機制將難以遏制攻擊擴散造成嚴重的影響。
(4)病毒與入侵行為防護能力不足
為了保證工控應(yīng)用軟件的可用性,許多石油煉化控制系統(tǒng)操作員站通常不會安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關(guān)鍵的一點是,其病毒庫需要不定期的經(jīng)常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的,導(dǎo)致每年都會爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒。
(5)缺少新型未知威脅的防控方法
在應(yīng)對各類已知問題和現(xiàn)有網(wǎng)絡(luò)設(shè)計缺陷帶來的風(fēng)險的同時,還必須充分應(yīng)對各類基于0-day漏洞的APT攻擊。
工業(yè)安全領(lǐng)域存在極為嚴重的信息的不對稱,工業(yè)控制系統(tǒng)中的問題往往難以被察覺,且普遍存在攻擊事件未被披露的情況,導(dǎo)致大量的安全防護知識未能被利用。這一背景,也導(dǎo)致了在工業(yè)環(huán)境中有更多可被輕易利用的0-day漏洞,未知威脅攻擊在工業(yè)互聯(lián)網(wǎng)越來越多,打通工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)絡(luò)邊界的未來,將成為企業(yè)工業(yè)控制系統(tǒng)安全防護的重點課題之一,而企業(yè)目前針對工業(yè)控制系統(tǒng)未知威脅的防護還是空白。
(6)安全管理流程上不夠重視安全
追求可用性而不注重安全性,是目前工業(yè)控制系統(tǒng)中存在的普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如在多個網(wǎng)絡(luò)事件中,事由都源于對多個網(wǎng)絡(luò)端口進入點疏于防護,包括USB鑰匙、維修連接、筆記本電腦等。
三、ICS系統(tǒng)安全解決之道
在工業(yè)控制系統(tǒng)的安全建設(shè)中,可通過“分層分區(qū)、本體保護、智能分析和集中管控”的原則進行安全防護設(shè)計,解決以上工業(yè)控制系統(tǒng)提到一些共性網(wǎng)絡(luò)安全問題。
分層分區(qū):依據(jù)“垂直分層,水平分區(qū)”的思想對工業(yè)控制系統(tǒng)進行細致的安全區(qū)域劃分,同時根據(jù)不同區(qū)域的安全防護需求特點分級別、分重點落實安全措施。
本體保護:工業(yè)控制系統(tǒng)中的各個模塊均應(yīng)實現(xiàn)自身的安全。同時,在條件不具備的條件下將各模塊本體作為安全防護的單元,應(yīng)用必要的安全技術(shù)、管理手段和應(yīng)急措施。
智能分析:在構(gòu)筑安全架構(gòu)的基礎(chǔ)上,通過對AI技術(shù)、自動化技術(shù)實現(xiàn)對網(wǎng)絡(luò)行為中新型未知威脅的挖掘,通過智能化的策略建議提供更高的安全防護水平。
集中管控:對部署的安全防護技術(shù)手段應(yīng)在系統(tǒng)范圍內(nèi)進行集中管控,將各個孤立的安全模塊提供的安全能力整合成協(xié)同工作的安全防護體系。
1 . 分層分區(qū)結(jié)構(gòu)設(shè)計
對工業(yè)控制系統(tǒng)進行安全保護的有效方法就是分層分區(qū),把具有相似特點的信息資產(chǎn)集合起來,進行總體防護,從而可更好地保障安全策略的有效性和一致性。參考《網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019)和IEC62264《工業(yè)過程測量、控制和自動化 網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標準,按照“縱向分層,橫向分區(qū)”的原則,對工業(yè)控制系統(tǒng)進行分層分區(qū),并將不同的生產(chǎn)線進行邏輯隔離。
圖 工業(yè)控制系統(tǒng)分層分區(qū)保護架構(gòu)模型圖
如上圖所示,“縱向分層、橫向分區(qū)”即對工業(yè)控制系統(tǒng)垂直方向化分為5層:現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層和企業(yè)資源層。橫向分區(qū)指各工業(yè)控制系統(tǒng)之間應(yīng)該從網(wǎng)絡(luò)上隔離開,處于不同的安全區(qū)。橫向上對工業(yè)控制系統(tǒng)進行安全區(qū)域的劃分,根據(jù)工業(yè)控制系統(tǒng)中業(yè)務(wù)的重要性、實時性、資產(chǎn)屬性等,劃分不同的安全防護區(qū)域。一個網(wǎng)絡(luò)安全區(qū)域可以包括多個不同等級的子區(qū)域,也可以包括一個或多個功能層次的設(shè)備。
2 . 安全防護重點實施
(1)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離
在IT辦公網(wǎng)和工業(yè)控制網(wǎng)絡(luò)之間部署安全隔離網(wǎng)閘,進行技術(shù)隔離和數(shù)據(jù)交換,安全隔離網(wǎng)閘的隔離技術(shù)采用固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng),剝離了網(wǎng)絡(luò)協(xié)議,規(guī)避了基于網(wǎng)絡(luò)傳輸協(xié)議、工業(yè)控制協(xié)議的攻擊和入侵。當然,對于安全要求不太高的工業(yè)控制系統(tǒng),在IT辦公網(wǎng)和工業(yè)控制網(wǎng)絡(luò)之間也可部署防火墻進行網(wǎng)絡(luò)隔離。
(2)通信傳輸安全防護
在工業(yè)控制系統(tǒng)中,一般采用加密技術(shù)或其他有效的技術(shù)手段保證通信數(shù)據(jù)傳輸?shù)陌踩?。在生產(chǎn)管理層和過程監(jiān)控層中通常采用IPSec、SSL或RPC等技術(shù)的VPN網(wǎng)關(guān)技術(shù)保證通信過程中數(shù)據(jù)傳輸?shù)耐暾裕瑢崿F(xiàn)通信網(wǎng)絡(luò)和非現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾员Wo。對數(shù)據(jù)傳輸實時性要求較高的現(xiàn)場總線網(wǎng)絡(luò),通常采用能滿足實時性要求的物理保護機制或數(shù)據(jù)加密方式,以適應(yīng)現(xiàn)場總線報文小、時延短的特點。
(3)通信網(wǎng)絡(luò)異常檢測
工業(yè)控制系統(tǒng)中通信網(wǎng)絡(luò)異常監(jiān)測主要通過在現(xiàn)場控制層的網(wǎng)絡(luò)部署入侵防護設(shè)備或采用相應(yīng)的檢測技術(shù)措施,對不同的通信網(wǎng)絡(luò)異常監(jiān)測對象進行檢查和管控,對異常情況進行捕獲并報警;部署流量監(jiān)控軟件,對現(xiàn)場總線的流量進行監(jiān)控,對惡意流量進行阻斷;可在網(wǎng)絡(luò)邊界部署工控異常監(jiān)測系統(tǒng)進行惡意代碼的防范,以及監(jiān)測網(wǎng)絡(luò)的異常情況。
(4)控制設(shè)備自身安全
工業(yè)控制系統(tǒng)里大量使用工業(yè)主機進行控制操作和監(jiān)控,這些主機都使用通用操作系統(tǒng)尤其是Windows系統(tǒng)存在大量漏洞,很容易被病毒感染,目前保護這類工業(yè)控制主機的方法有兩種:安裝防病毒軟件、或者使用基于進程白名單技術(shù)的防護軟件。由于防病毒軟件占用資源較多、也存在病毒庫升級不便的問題,在工業(yè)環(huán)境里,更多的推薦使用基于進程白名單技術(shù)的防護軟件針對工業(yè)主機的病毒感染和入侵防范,并實現(xiàn)對光盤、USB接口、串行口等監(jiān)控管理和外設(shè)接入控制管理。
(5)集中管控
在工業(yè)控制系統(tǒng)中,一般通過部署運維管理系統(tǒng)、態(tài)勢感知系統(tǒng)和日志審計系統(tǒng),對工業(yè)控制網(wǎng)絡(luò)中部署的安全防護措施進行集中管控,對用戶的真實身份進行統(tǒng)一管理,對工業(yè)控制網(wǎng)絡(luò)中的日志進行統(tǒng)一收集和存儲,將孤立的安全能力整合成協(xié)同工作的安全防護體系。
(6)安全審計
在工業(yè)控制系統(tǒng)中,一般通過在生產(chǎn)管理層和過程監(jiān)控層的不同區(qū)域分布部署工業(yè)控制系統(tǒng)信息安全監(jiān)測和審計系統(tǒng)進行安全審計,實現(xiàn)上下位系統(tǒng)的安全審計、工業(yè)控制系統(tǒng)報警審計、上下位機通信協(xié)議的審計、程序異常行為檢測及審計、審計報表的生成等功能。
(7)應(yīng)急響應(yīng)機制
隨著入侵技術(shù)的復(fù)雜性、隱蔽性越來越高,對于系統(tǒng)安全事故的處理不能只停于解決故障上,而應(yīng)該要分析原因,查清入侵來源,提高整個工業(yè)控制系統(tǒng)安全水平。有條件的工業(yè)生產(chǎn)企業(yè)應(yīng)建立安全事件響應(yīng)團隊和機制,在突發(fā)的安全事件中能夠應(yīng)急響應(yīng),迅速處理被破壞的系統(tǒng)和網(wǎng)絡(luò),消除入侵隱患。
(8)網(wǎng)絡(luò)安全培訓(xùn)
鑒于近年來入侵技術(shù)的升級,以及部分工業(yè)生產(chǎn)企業(yè)相關(guān)安全人員安全意識淡薄以及技術(shù)存儲不足,可進行網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全技術(shù)培訓(xùn)。
◇ 信息安全意識培訓(xùn)
通過大量的當前典型安全事件導(dǎo)入,從感性認知層面對目前的信息安全威脅給予形象的描述,能對當前的網(wǎng)絡(luò)安全威脅形成深刻的認識。同時通過對日常工作、生活中經(jīng)常用到的一些安全威脅進行分析,最終協(xié)助建立起適合個人、企業(yè)的用戶行為基準。
◇ 信息安全技術(shù)培訓(xùn)
面向工業(yè)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)類用戶,例如安全管理員和審計管理員等,通過培訓(xùn)讓其在網(wǎng)絡(luò)層面、系統(tǒng)層面及應(yīng)用層面上了解常見網(wǎng)絡(luò)安全攻防原理和技術(shù),掌握常見的攻擊防護方法。
四、總結(jié)
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全是綜合了網(wǎng)絡(luò)安全技術(shù)與自動化技術(shù)的產(chǎn)物,應(yīng)充分借鑒傳統(tǒng)IT網(wǎng)絡(luò)安全經(jīng)驗,并考慮工業(yè)控制自身的特點,將傳統(tǒng)IT網(wǎng)絡(luò)安全的技術(shù)融合到工業(yè)控制領(lǐng)域建設(shè)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保障體系。
來源:工業(yè)菜園