本文在對工業控制系統特點和面臨的安全風險進行分析的基礎上,提出了工業控制系統安全體系架構,在深入了解企業工控系統安全現狀的情況下,結合業界專家的觀點提出了适用于工控系統的資訊安全研究思路及解決辦法,對廣大制造企業具有一定的借鑒意義。
一、概述
目前,随着工業控制資訊化、三網融合、物聯網、雲計算等在内的多種新型資訊技術的發展與應用,越來越多的資訊技術應用到了工業領域,給工業控制系統資訊安全保障工作提出了新的挑戰:
工業控制系統需要利用最新的計算機網絡技術來提高系統間的內建、互聯以及資訊化管理水準;工業控制系統産品越來越多地采用通用協定、通用硬體和通用軟體,進而導緻将傳統it風險延伸到了工控系統,工業控制系統的安全問題越來越嚴峻。
二、工控系統安全體系架構
工業控制系統(簡稱工控系統)是現代工業基礎設施的核心,包括過程控制、資料采集系統,分布式控制系統,程式邏輯控制以及其他控制系統等,廣泛應用于電力、石油化工、先進制造、軌道交通等與國計民生緊密相關領域,是國家關鍵基礎設施的重要組成部分。
工業控制系統通常由一系列網絡裝置構成,包括:傳感器、執行器、過程控制單元和通信裝置。控制系統通常采用分層結構,典型的控制系統體系架構如圖1所示。第一層為安裝有傳感器和執行器等現場裝置的實體設施,現場裝置通過現場總線網絡與可程式設計邏輯控制器(plc)或遠端終端裝置(rtu)連接配接,plc或rtu裝置負責實作局域控制功能。第二層為控制網絡,主要負責過程控制器和操作員站之間的實時資料傳輸。操作員站用于區域監控和設定實體設施的設定值。第三層為企業網,企業工作站負責生産控制,過程優化和過程日志記錄。
圖1 工控系統架構圖
工控系統的資訊安全問題,在各層上都面臨着來自不同方面的威脅,詳細如下圖所示。企業網的管理資訊層面臨來自網際網路的攻擊,也有企業内部惡意的攻擊通過企業網進入工控網,一直到現場網絡;在控制層有系統管理人員非法操作,最嚴重的要屬第三方運維人員的對現場裝置的操作;還有遠端撥号的攻擊,有部分現場還有野外搭線的威脅。
圖2 ics攻擊路徑分析
三、工控系統安全分析
近年來,工控系統安全問題頻發,随着2010年伊朗核電站的“震網”(stuxnet)病毒事件,為工業生産控制系統安全敲響了警鐘。現在,國内外生産企業都把工業控制系統安全防護建設提上了日程。工控系統安全頻發的原因主要有以下幾個方面:
1)基于實體設施的風險
◆ 作業系統的安全漏洞問題
由于考慮到工控軟體與作業系統更新檔相容性的問題,系統開車後一般不會對windows平台打更新檔,導緻系統帶着風險運作。
◆ 防毒軟體安裝及更新更新問題
用于生産控制系統的windows作業系統基于工控軟體與防毒軟體的相容性的考慮,通常不安裝防毒軟體,給病毒與惡意代碼傳染與擴散留下了空間。
◆ 使用u盤、CD光牒導緻的病毒傳播問題
由于在工控系統中的管理終端一般沒有技術措施對u盤和CD光牒使用進行有效的管理,導緻外設的無序使用而引發的安全事件時有發生。
◆ 裝置維修時筆記本電腦的随便接入問題
工業控制系統的管理維護,沒有到達一定安全基線的筆記本電腦接入工業控制系統,會對工業控制系統的安全造成很大的威脅。
2)基于“兩化融合”的風險
工業控制系統最早和企業管理系統是隔離的,但近年來為了實作實時的資料采集與生産控制,滿足“兩化融合”的需求和管理的友善,通過邏輯隔離的方式,使工業控制系統和企業管理系統可以直接進行通信,而企業管理系統一般直接連接配接internet,在這種情況下,工業控制系統接入的範圍不僅擴充到了企業網,而且面臨着來自internet的威脅。
同時,企業為了實作管理與控制的一體化,提高企業資訊化合綜合自動化水準,實作生産和管理的高效率、高效益,引入了生産執行系統mes
,對工業控制系統和管理資訊系統進行了內建,管理資訊網絡與生産控制網絡之間實作了資料交換。導緻生産控制系統不再是一個獨立運作的系統,而要與管理系統甚至網際網路進行互通、互聯。
3)采用通用軟硬體帶來的風險
工業控制系統向工業以太網結構發展,開放性越來越強。基于tcp/ip以太網通訊的opc技術在該領域得到廣泛應用。在工業控制系統中,由于工業系統內建和使用的便利性,大量使用了工業以太環網和opc通信協定進行了工業控制系統的內建;同時,也大量的使用了pc伺服器和終端産品,作業系統和資料庫也大量的使用了通用的系統,很容易遭到來自企業管理網或網際網路的病毒、木馬、黑客的攻擊。
四、工控系統資訊安全保障政策
通過以上對工業控制系統安全狀況分析,我們可以看到,工控系統采用通用平台,加大了工控系統面臨的安全風險,而“兩化融合”和工控系統自身的缺陷造成的安全風險,主要從兩個方面進行安全防護。
1)建構“三層架構,二層防護”的安全體系
一般工業企業的資訊系統,可以劃分為管理層、制造執行層、工業控制層。在管理信層與制造執行系統層之間,主要進行身份鑒别、通路控制、檢測審計、鍊路備援、内容檢測等安全防護;在制造執行系統層和工業控制系統層之間,主要避免管理層直接對工業控制層的通路,保證制造執行層對工業控制層的操作唯一性。工控系統安全防護架構如下圖所示:
圖3 工控系統安全防護架構
通過上圖可以看到,我們把工業企業資訊系統劃分為三個層次,分别是計劃管理層、制造執行層、工業控制層。
管理系統是指以erp為代表的管理資訊系統(mis),其中包含了許多子系統,如:生産管理、财務管理、品質管理、工廠中的房間管理、人事管理、綜合管理等,管理資訊系統融資訊服務、決策支援于一體。
制造執行系統(mes)處于工業控制系統與管理系統之間,主要負責生産管理和排程執行。通過mes,管理者可以及時掌握和了解生産工藝各流程的運作狀況和工藝參數的變化,實作對工藝的過程監視與控制。
工業控制系統是由各種自動化控制元件和實時資料采集、監測的過程控制元件共同構成。主要完成加工作業、檢測和操控作業、作業管理等功能。
2)工控系統的二層防護
1、管理層與mes層之間的安全防護
管理層與mes層之間的安全防護主要是為了避免管理資訊系統域和mes(制造執行)域之間資料交換面臨的各種威脅,具體表現為:避免非授權通路和濫用(如業務操作人員越權操作其他業務系統);對操作失誤、篡改資料,抵賴行為的可控制、可追溯;避免終端違規操作;及時發現非法入侵行為;過濾惡意代碼(病毒蠕蟲)。
也就是說,管理層與mes層之間的安全防護,保證隻有可信、合規的終端和伺服器才可以在兩個區域之間進行安全的資料交換,同時,資料交換整個過程接受監控、審計。管理層與mes層之間的安全防護如下圖所示:
圖4 管理層與mes層之間的安全防護
2、mes層與工業控制層之間的安全防護
通過在mes層和生産控制層部署工業防火牆,可以阻止來自企業資訊層的病毒傳播; 阻擋來自企業資訊層的非法入侵;管控opc用戶端與伺服器的通訊,實作以下目标:
區域隔離及通信管控:通過工業防火牆過濾mes層與生産控制層兩個區域網絡間的通信,那麼網絡故障會被控制在最初發生的區域内,而不會影響到其它部分。
實時報警:任何非法的通路,通過管理平台産生實時報警資訊,進而使故障問題會在原始發生區域被迅速的發現和解決。
mes層與工業控制層之間的安全防護如下圖所示:
圖5 mes層與工業控制層之間的安全防護
3、工控系統安全防護分域
安全域是指同一系統内有相同的安全保護需求,互相信任,并具有相同的安全通路控制和邊界控制政策的子網或網絡,且相同的網絡安全域共享一樣的安全政策。
在管理層、制造執行層、工業控制層中,進行管理系統安全子域的劃分,制造執行安全子域的劃分、工業控制安全子域的劃分。 安全域的合理劃分,使用每一個安全域都要明确的邊界,便于對安全域進行安全防護。對mes、ics的安全域劃分如下圖所示:
圖6 mes、ics的安全域劃分
如上圖所示,為了保證各個生産線的安全,對各個生産線進行了安全域劃分,同時在安全域之間進行了安全隔離防護。
作者:佚名
來源:51cto