工業(yè)控制系統安全分析 工業(yè)控制系統(Industrial Control Systems, ICS),是由各種自動(dòng)化控制組件和實(shí)時(shí)數據采集監測的過(guò)程控制組件共同構成。其組件包括數據采集與監控系統(SCADA)分布式控制系統(DCS)可編程邏輯控制器(PLC)遠程終端(RTU)智能電子設備(IED),以及確保各組件通信的接口技術(shù)。 典型的ICS 控制過(guò)程通常由控制回路HMI遠程診斷與維護工具三部分組件共同完成,控制回路用以控制邏輯運算,HMI 執行信息交互,遠程診斷與維護工具確保ICS能夠穩定持續運行。 一、工業(yè)控制系統潛在的風(fēng)險 操作系統的安全漏洞問(wèn)題 由于考慮到工控軟件與操作系統補丁兼容性的問(wèn)題,系統開(kāi)車(chē)后一般不會(huì )對Windows平臺打補丁,導致系統帶著(zhù)風(fēng)險運行。 殺毒軟件安裝及升級更新問(wèn)題 用于生產(chǎn)控制系統的Windows操作系統基于工控軟件與殺毒軟件的兼容性的考慮,通常不安裝殺毒軟件,給病毒與惡意代碼傳染與擴散留下了空間。 使用U盤(pán)光盤(pán)導致的病毒傳播問(wèn)題。 由于在工控系統中的管理終端一般沒(méi)有技術(shù)措施對U盤(pán)和光盤(pán)使用進(jìn)行有效的管理,導致外設的無(wú)序使用而引發(fā)的安全事件時(shí)有發(fā)生。 設備維修時(shí)筆記本電腦的隨便接入問(wèn)題 工業(yè)控制系統的管理維護,沒(méi)有到達一定安全基線(xiàn)的筆記本電腦接入工業(yè)控制系統,會(huì )對工業(yè)控制系統的安全造成很大的威脅。 存在工業(yè)控制系統被有意或無(wú)意控制的風(fēng)險問(wèn)題 如果對工業(yè)控制系統的操作行為沒(méi)有監控和響應措施,工業(yè)控制系統中的異常行為或人為行為會(huì )給工業(yè)控制系統帶來(lái)很大的風(fēng)險。 工業(yè)控制系統控制終端服務(wù)器網(wǎng)絡(luò )設備故障沒(méi)有及時(shí)發(fā)現而響應延遲的問(wèn)題 對工業(yè)控制系統中IT基礎設施的運行狀態(tài)進(jìn)行監控,是工業(yè)工控系統穩定運行的基礎。 “兩化融合”給工控系統帶來(lái)的風(fēng)險 工業(yè)控制系統最早和企業(yè)管理系統是隔離的,但近年來(lái)為了實(shí)現實(shí)時(shí)的數據采集與生產(chǎn)控制,滿(mǎn)足“兩化融合”的需求和管理的方便,通過(guò)邏輯隔離的方式,使工業(yè)控制系統和企業(yè)管理系統可以直接進(jìn)行通信,而企業(yè)管理系統一般直接連接Internet,在這種情況下,工業(yè)控制系統接入的范圍不僅擴展到了企業(yè)網(wǎng),而且面臨著(zhù)來(lái)自Internet的威脅。 同時(shí),企業(yè)為了實(shí)現管理與控制的一體化,提高企業(yè)信息化合綜合自動(dòng)化水平,實(shí)現生產(chǎn)和管理的高效率高效益,引入了生產(chǎn)執行系統MES ,對工業(yè)控制系統和管理信息系統進(jìn)行了集成,管理信息網(wǎng)絡(luò )與生產(chǎn)控制網(wǎng)絡(luò )之間實(shí)現了數據交換。導致生產(chǎn)控制系統不再是一個(gè)獨立運行的系統,而要與管理系統甚至互聯(lián)網(wǎng)進(jìn)行互通互聯(lián)。 工控系統采用通用軟硬件帶來(lái)的風(fēng)險 工業(yè)控制系統向工業(yè)以太網(wǎng)結構發(fā)展,開(kāi)放性越來(lái)越強;赥CP/IP以太網(wǎng)通訊的OPC技術(shù)在該領(lǐng)域得到廣泛應用。在工業(yè)控制系統中,由于工業(yè)系統集成和使用的便利性,大量使用了工業(yè)以太環(huán)網(wǎng)和OPC通信協(xié)議進(jìn)行了工業(yè)控制系統的集成;同時(shí),也大量的使用了PC服務(wù)器和終端產(chǎn)品,操作系統和數據庫也大量的使用了通用的系統,很容易遭到來(lái)自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒木馬黑客的攻擊。 二、工業(yè)控制系統安全防護設計 通過(guò)以上對工業(yè)控制系統安全狀況分析,我們可以看到,工控系統采用通用平臺,加大了工控系統面臨的安全風(fēng)險,而“兩化融合”和工控系統自身的缺陷造成的安全風(fēng)險,主要從兩個(gè)方面進(jìn)行安全防護。 通過(guò)“三層架構,二層防護”的體系架構,對工業(yè)企業(yè)信息系統進(jìn)行分層分域分等級,從而對工控系統的操作行為進(jìn)行嚴格的排他性控制,確保對工控系統操作的唯一性。 通過(guò)工控系統安全管理平臺,確保HMI管理機控制服務(wù)工控通信設施安全可信。 構建“三層架構,二層防護”的安全體系 工業(yè)控制系統需要進(jìn)行橫向分層縱向分域區域分等級進(jìn)行安全防護,否則管理信息系統生產(chǎn)執行系統工業(yè)控制系統處于同一網(wǎng)絡(luò )平面,層次不清,你中有我我中有你。來(lái)自于管理信息系統的入侵或病毒行為很容易對工控系統造成損害,網(wǎng)絡(luò )風(fēng)暴和拒絕式服務(wù)攻擊很容易消耗系統的資源,使得正常的服務(wù)功能無(wú)法進(jìn)行。 工控系統的三層架構 一般工業(yè)企業(yè)的信息系統,可以劃分為管理層制造執行層工業(yè)控制層。在管理信層與制造執行系統層之間,主要進(jìn)行身份鑒別訪(fǎng)問(wèn)控制檢測審計鏈路冗余內容檢測等安全防護;在制造執行系統層和工業(yè)控制系統層之間,主要避免管理層直接對工業(yè)控制層的訪(fǎng)問(wèn),保證制造執行層對工業(yè)控制層的操作唯一性。工控系統三層架構如下圖所示: ![]() 通過(guò)上圖可以看到,我們把工業(yè)企業(yè)信息系統劃分為三個(gè)層次,分別是計劃管理層制造執行層工業(yè)控制層。 管理系統是指以ERP為代表的管理信息系統(MIS),其中包含了許多子系統,如:生產(chǎn)管理物質(zhì)管理財務(wù)管理質(zhì)量管理車(chē)間管理能源管理銷(xiāo)售管理人事管理設備管理技術(shù)管理綜合管理等等,管理信息系統融信息服務(wù)決策支持于一體。 制造執行系統(MES)處于工業(yè)控制系統與管理系統之間,主要負責生產(chǎn)管理和調度執行。通過(guò)MES,管理者可以及時(shí)掌握和了解生產(chǎn)工藝各流程的運行狀況和工藝參數的變化,實(shí)現對工藝的過(guò)程監視與控制。 工業(yè)控制系統是由各種自動(dòng)化控制組件和實(shí)時(shí)數據采集監測的過(guò)程控制組件共同構成。主要完成加工作業(yè)檢測和操控作業(yè)作業(yè)管理等功能。 工控系統的二層防護 1、管理層與MES層之間的安全防護 管理層與MES層之間的安全防護主要是為了避免管理信息系統域和MES(制造執行)域之間數據交換面臨的各種威脅,具體表現為:避免非授權訪(fǎng)問(wèn)和濫用(如業(yè)務(wù)操作人員越權操作其他業(yè)務(wù)系統);對操作失誤篡改數據,抵賴(lài)行為的可控制可追溯;避免終端違規操作;及時(shí)發(fā)現非法入侵行為;過(guò)濾惡意代碼(病毒蠕蟲(chóng))。 也就是說(shuō),管理層與MES層之間的安全防護,保證只有可信合規的終端和服務(wù)器才可以在兩個(gè)區域之間進(jìn)行安全的數據交換,同時(shí),數據交換整個(gè)過(guò)程接受監控審計。管理層與MES層之間的安全防護如下圖所示: ![]() 2、MES層與工業(yè)控制層之間的安全防護 通過(guò)在MES層和生產(chǎn)控制層部署工業(yè)防火墻,可以阻止來(lái)自企業(yè)信息層的病毒傳播; 阻擋來(lái)自企業(yè)信息層的非法入侵;管控OPC客戶(hù)端與服務(wù)器的通訊,實(shí)現以下目標: 區域隔離及通信管控:通過(guò)工業(yè)防火墻過(guò)濾MES層與生產(chǎn)控制層兩個(gè)區域網(wǎng)絡(luò )間的通信,那么網(wǎng)絡(luò )故障會(huì )被控制在最初發(fā)生的區域內,而不會(huì )影響到其它部分。 實(shí)時(shí)報警:任何非法的訪(fǎng)問(wèn),通過(guò)管理平臺產(chǎn)生實(shí)時(shí)報警信息,從而使故障問(wèn)題會(huì )在原始發(fā)生區域被迅速的發(fā)現和解決。 MES層與工業(yè)控制層之間的安全防護如下圖所示: ![]() 工控系統安全防護分域 安全域是指同一系統內有相同的安全保護需求,相互信任,并具有相同的安全訪(fǎng)問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò ),且相同的網(wǎng)絡(luò )安全域共享一樣的安全策略。 在管理層制造執行層工業(yè)控制層中,進(jìn)行管理系統安全子域的劃分,制造執行安全子域的劃分工業(yè)控制安全子域的劃分。 安全域的合理劃分,使用每一個(gè)安全域都要明確的邊界,便于對安全域進(jìn)行安全防護。對MESICS的安全域劃分如下圖所示: ![]() 如上圖所示,為了保證各個(gè)生產(chǎn)線(xiàn)的安全,對各個(gè)生產(chǎn)線(xiàn)進(jìn)行了安全域劃分,同時(shí)在安全域之間進(jìn)行了安全隔離防護。 工控系統安全防護分等級 根據安全域在信息系統中的重要程度以及考慮風(fēng)險威脅安全需求安全成本等因素,將其劃為不同的安全保護等級并采取相應的安全保護技術(shù)管理措施,以保障信息的安全。 安全域的等級劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近,具有相同或相近的安全等級安全環(huán)境安全策略等。安全域所涉及應用和資產(chǎn)的價(jià)值越高,面臨的威脅越大,那么它的安全保護等級也就越高。 構建工業(yè)控制系統安全管理平臺 工業(yè)控制系統和傳統信息系統具有大多數相同的安全問(wèn)題,但同時(shí)也存在獨特的安全需求。工業(yè)控制系統最大的安全需求是唯一性和排它性,在某一特定的工業(yè)控制系統中,工業(yè)控制系統只需用唯一的工業(yè)應用程序和工業(yè)通信協(xié)議運行,其他一概不需要。 啟明星辰工業(yè)系統安全管理平臺為工業(yè)控制系統建立了一個(gè)相對可信的計算環(huán)境,對工控系統管理終端和網(wǎng)絡(luò )通信具有非常強的安全控制功能。工業(yè)控制系統安全管理平臺有兩部分組成,一部分是工業(yè)控制系統安全管理平臺,具有終端管理網(wǎng)絡(luò )管理行為監控功能,另一部分是終端安全管理客戶(hù)端。 管理平臺部分 工業(yè)控制系統的安全運行,主要需要保障工業(yè)控制系統相關(guān)信息系統基礎設施的安全,包括工業(yè)以太網(wǎng)網(wǎng)絡(luò )操作終端關(guān)系數據庫服務(wù)器實(shí)時(shí)數據庫服務(wù)器操作和應用系統等各類(lèi)IT資源的安全,從工業(yè)控制系統安全的角度對工控系統的各類(lèi)IT資源進(jìn)行監控(包括設備監控運行監控與安全監控),實(shí)現對安全事件的預警與響應,保障工業(yè)控制系統的安全穩定運行。 具體而言,工業(yè)控制系統安全管理平臺功能如下: 能夠對應用服務(wù)器關(guān)系數據庫服務(wù)器實(shí)時(shí)數據庫服務(wù)器工業(yè)以太網(wǎng)設備運行狀態(tài)進(jìn)行監控,例如CPU內存端口流量等等。 能夠對操作終端外設進(jìn)程桌面進(jìn)行合規性在線(xiàn)和離線(xiàn)管理。 能夠對各層邊界數據交換情況進(jìn)行監控。 能夠對工業(yè)控制系統中的網(wǎng)絡(luò )操作行為進(jìn)行審計。 能夠對工業(yè)控制系統日志進(jìn)行關(guān)聯(lián)分析和審計。 能夠對工業(yè)控制系統中的異常事件進(jìn)行預警響應。 能夠對工業(yè)企業(yè)信息系統進(jìn)行虛擬安全域的劃分。 工業(yè)控制系統終端安全管理部分 由于工業(yè)控制系統管理終端的安全防護技術(shù)措施十分薄弱,所以病毒木馬黑客等攻擊行為都利用這些安全弱點(diǎn),在終端上發(fā)生發(fā)起,并通過(guò)網(wǎng)絡(luò )感染或破壞其他系統。 工業(yè)控制系統終端最大特點(diǎn)是應用相對固定,終端主要安裝工業(yè)控制系統程序,所以,要防范傳統方式的病毒或木馬等惡意軟件,最直接的方式就是利用工業(yè)控制系統對終端應用程序的進(jìn)程進(jìn)行管理。 具體而言,工業(yè)控制系統安全管理平臺終端安全管理部分功能如下: 工業(yè)控制系統安全管理平臺客戶(hù)端軟件輕巧精煉,占用資源極少,能夠最大程度保證工業(yè)控制系統管理終端的穩定性。 工業(yè)控制系統安全管理平臺客戶(hù)端具有終端準入控制功能,可以防止沒(méi)有達到安全基線(xiàn)的筆記本對終端進(jìn)行管理。 工業(yè)控制系統安全管理平臺客戶(hù)端具有終端安全優(yōu)化與加固功能,能夠對工業(yè)控制系統終端進(jìn)行安全優(yōu)化和加固,使終端安全水平達到一定的安全基線(xiàn)。 工業(yè)控制系統安全管理平臺客戶(hù)端具有外設管理功能,對工業(yè)控制系統的外設進(jìn)行管理,比如USB接口光驅網(wǎng)卡串口等。 工業(yè)控制系統安全管理平臺客戶(hù)端具有工業(yè)控制系統應用程序監控功能,對終端中的工業(yè)控制系統軟件進(jìn)行監控和管理。 工業(yè)控制系統安全管理平臺客戶(hù)端具有工業(yè)通信協(xié)議監控功能。工業(yè)控制系統終端通信協(xié)議相對固定,客戶(hù)端能夠對終端通信協(xié)議具有唯一性管理功能。 工業(yè)控制系統安全管理平臺客戶(hù)端具有離線(xiàn)管理功能,工業(yè)控制系統終端有一部分無(wú)法進(jìn)行在線(xiàn)管理,客戶(hù)端具有比較強大的離線(xiàn)自管理功能,可以完成對離線(xiàn)終端的管理。 工業(yè)控制系統安全管理平臺客戶(hù)端具有強身份認證功能,客戶(hù)端具有使用工業(yè)控制系統在線(xiàn)終端和離線(xiàn)終端都具有強身份認證功能,從而防止工業(yè)控制系統被有意或無(wú)意被控制的風(fēng)險。 三、總結 國內外發(fā)生了多起由于工控系統安全問(wèn)題而造成的生產(chǎn)安全事故。最鮮活的例子就是2010年10月發(fā)生在伊朗布什爾核電站的“震網(wǎng)”(Stuxnet)病毒,為整改工業(yè)生產(chǎn)控制系統安全敲響了警鐘。 為此,工信部在2011年10月下發(fā)了“關(guān)于加強工業(yè)控制系統信息安全管理的通知”,要求各級政府和國有大型企業(yè)切實(shí)加強工業(yè)控制系統安全管理。工信部趙澤良司長(cháng)也強調,工業(yè)控制系統安全工作也到了非加強不可的時(shí)候,否則將影響到我國重要的生產(chǎn) 來(lái)源:太平洋電腦網(wǎng) |