本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义。
一、概述
当前,随着工业控制信息化、三网融合、物联网、云计算等在内的多种新型信息技术的发展与应用,越来越多的信息技术应用到了工业领域,给工业控制系统信息安全保障工作提出了新的挑战: 工业控制系统需要利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平;工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,从而导致将传统IT风险延伸到了工控系统,工业控制系统的安全问题越来越严峻。
本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义。
二、工控系统安全体系架构
工业控制系统(简称工控系统)是现代工业基础设施的核心,包括过程控制、数据采集系统,分布式控制系统,程序逻辑控制以及其他控制系统等,广泛应用于电力、石油化工、先进制造、轨道交通等与国计民生紧密相关领域,是国家关键基础设施的重要组成部分。
工业控制系统通常由一系列网络设备构成,包括:传感器、执行器、过程控制单元和通信设备。控制系统通常采用分层结构,典型的控制系统体系架构如图1所示。第一层为安装有传感器和执行器等现场设备的物理设施,现场设备通过现场总线网络与可编程逻辑控制器(PLC)或远程终端设备(RTU)连接,PLC或RTU设备负责实现局域控制功能。第二层为控制网络,主要负责过程控制器和操作员站之间的实时数据传输。操作员站用于区域监控和设置物理设施的设定值。第三层为企业网,企业工作站负责生产控制,过程优化和过程日志记录。
![图1 工控系统架构图]()
图1 工控系统架构图
工控系统的信息安全问题,在各层上都面临着来自不同方面的威胁,详细如下图所示。企业网的管理信息层面临来自互联网的攻击,也有企业内部恶意的攻击通过企业网进入工控网,一直到现场网络;在控制层有系统管理人员非法操作,最严重的要属第三方运维人员的对现场设备的操作;还有远程拨号的攻击,有部分现场还有野外搭线的威胁。
![图2 ICS攻击路径分析]()
图2 ICS攻击路径分析
本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义。
三、工控系统安全分析
近年来,工控系统安全问题频发,随着2010年伊朗核电站的“震网”(Stuxnet)病毒事件,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了日程。工控系统安全频发的原因主要有以下几个方面:
1)基于物理设施的风险
◆ 操作系统的安全漏洞问题
由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。
◆ 杀毒软件安装及升级更新问题
用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
◆ 使用U盘、光盘导致的病毒传播问题
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。
◆ 设备维修时笔记本电脑的随便接入问题
工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。
2)基于“两化融合”的风险
工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。
同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统MES ,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。
3)采用通用软硬件带来的风险
工业控制系统向工业以太网结构发展,开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中,由于工业系统集成和使用的便利性,大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时,也大量的使用了PC服务器和终端产品,操作系统和数据库也大量的使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。
本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义。
四、工控系统信息安全保障策略
通过以上对工业控制系统安全状况分析,我们可以看到,工控系统采用通用平台,加大了工控系统面临的安全风险,而“两化融合”和工控系统自身的缺陷造成的安全风险,主要从两个方面进行安全防护。
1)构建“三层架构,二层防护”的安全体系
一般工业企业的信息系统,可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间,主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间,主要避免管理层直接对工业控制层的访问,保证制造执行层对工业控制层的操作唯一性。工控系统安全防护架构如下图所示:
![图3 工控系统安全防护架构]()
图3 工控系统安全防护架构
通过上图可以看到,我们把工业企业信息系统划分为三个层次,分别是计划管理层、制造执行层、工业控制层。
管理系统是指以ERP为代表的管理信息系统(MIS),其中包含了许多子系统,如:生产管理、财务管理、质量管理、车间管理、人事管理、综合管理等,管理信息系统融信息服务、决策支持于一体。
制造执行系统(MES)处于工业控制系统与管理系统之间,主要负责生产管理和调度执行。通过MES,管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。
工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。
2)工控系统的二层防护
1、管理层与MES层之间的安全防护 管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据,抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。 也就是说,管理层与MES层之间的安全防护,保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控、审计。管理层与MES层之间的安全防护如下图所示:
![图4 管理层与MES层之间的安全防护]()
图4 管理层与MES层之间的安全防护
2、MES层与工业控制层之间的安全防护
通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播; 阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:
区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故障会被控制在最初发生的区域内,而不会影响到其它部分。
实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速的发现和解决。
MES层与工业控制层之间的安全防护如下图所示:
![图5 MES层与工业控制层之间的安全防护]()
图5 MES层与工业控制层之间的安全防护
3、工控系统安全防护分域
安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
在管理层、制造执行层、工业控制层中,进行管理系统安全子域的划分,制造执行安全子域的划分、工业控制安全子域的划分。 安全域的合理划分,使用每一个安全域都要明确的边界,便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示:
![图6 MES、ICS的安全域划分]()
图6 MES、ICS的安全域划分
如上图所示,为了保证各个生产线的安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。
作者:佚名
来源:51CTO
图1 工控系统架构图
图2 ICS攻击路径分析
