關注工業自動化控制系統安全,建立健全預防機制和措施
根據面粉工業項目的控制特點,在借鑒其它行業的控制系統安全的經驗,同時結合流程工業控制系統的的結構、安全需求,參考IEC62443等國際標準的基礎上,提出面粉行業工業項目控制系統的預防、管理措施。供制粉工作者借鑒。
關鍵詞︰面粉工業項目 工業自動化系統 工控信息安全 PROFIDP TCP/IP SCADA PLC
工業信息化部[2011] 451號通知明確指出︰“SCADA,DCS,PCS,PLC等工業控制系統被廣泛應用于工業,能源,交通,水利,以及市政和其他領域的,用于控制生產設備的操作的計算機和網絡技術,特別是信息化與工業化的深度融合和物聯網的快速發展,隨著時代的發展,工業控制系統產品越來越多地采用一個共同的協議,通用的硬件和通用軟件,以各種方式,與互聯網及其他公共網絡連接,病毒,特洛伊木馬和其他威脅擴散到工業控制系統,工業控制系統的安全問題已成為日益突出的“震網”病毒事件發生在2010年、工業控制系統的信息安全面臨的嚴峻形勢,充分體現了這各地區,各部門,各單位必須高度重視,增強風險意識,意識的責任感和緊迫感,切實加強工業控制系統的信息安全管理“
面粉工業的屬于典型的流程工業控制,在傳統的工程設計中,計算資源有限(包含PLC CPU模塊和存儲模塊),在設計時只考慮效率和實時相關的特性,控制系統的安全並未考慮,隨著技術發展,信息化推動,使得工業控制網絡中大量采用通用TCP/IP技術,ICS網絡和企業管理網的聯系越來越緊密。通用計算機設備和數據通信設備代替專用的工業控制計算機及通信設備應用于工業控制系統中,ERP、MES等企業信息化應用和企業信息網與Internet互聯
,在設計上基本不考慮互聯互通所接觸的通信安全問題。企業管理網與工業控制網的防護功能都很弱或者甚至幾乎沒有隔離功能,這些技術使用帶來進步的同時,同時帶來控制系統的安全問題,如病毒、信息泄露和賺改,系統癱瘓導致車間停車等系列問題。因此如何保障面粉工業控制系統安全是急需解決的問題,特別是國內已上ERP等企業信息化系統大型面粉廠家。本文旨在行業內提出預警,未雨綢繆,給面粉廠家在建設新項目或改造工程設計時借鑒。
基于TCP/IP的工業控制網絡作為一個開放系統,潛在的安全風險是不可避免的。其網絡安全主 要解決工業控制網絡內部資源與數據通信的安全性問題,以保障系統的正常運行;或在受到攻擊時 能夠迅速地發現並采取相應的安全措施,使系統的安全損失減少到最小,並能夠迅速地恢復。
一、工業自動化控制系統信息安全定義及現狀
工廠信息安全防護包括︰保護在工廠車間中廣泛使用的如,工業以太網、數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等網絡設備及工業控制系統的運行安全,確保工業以太網及工業系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為企業正常生產提供信息服務。
對于工廠信息安全,尚無還沒有一個公認、統一的定義,但是對于信息安全,有較為統一的認識。信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。其根本目的就是使內部信息不受外部威脅,因此信息通常要加密。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟件駐留,不能有非法操作。
工廠的信息安全就是應該對工廠車間內部的系統及終端設備進行安全防護。根據工廠內部所涉及的終端設備及系統,普遍認為工廠信息安全包括︰保護在工廠車間中廣泛使用的如,工業以太網、數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等網絡設備及工業控制系統的運行安全,確保工業以太網及工業系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為企業正常生產提供信息服務。
生產管理系統的防護相對特殊,既要直接采集來源于生產現場的數據,同工廠生產車間中的各項終端設備都會進行直接的數據交互,而且也要同上層的ERP系統進行通訊,因此生產管理系統在大多數企業中,為了方便與ERP系統之間的數據交互與員工訪問,通常會劃分在辦公網的安全防護體系中。但是,實際上由于生產管理系統能夠直接對工業控制系統進行訪問,因此,對于生產管理系統的防護應該提升其系統防護級別,生產管理系統與辦公網進行隔離。
工廠信息安全中最為基礎的部分就是工業以太網,所以工業以太網網絡首先得必須保證7*24*365天的可用性,必須能夠不間斷的可操作,能夠確保系統的可訪問性,數據能夠實時進行傳輸,需要有完備的保護方案。工業以太網與普通辦公網具體區別如下表所示︰
|
|
辦公網 |
工業以太網 |
|
可靠性 |
容忍偶然故障 |
不能容忍停機 |
|
風險影響 |
數據丟失 |
危及生產、設備、人的安全 |
|
性能 |
高流通量 |
接受中等流通量 |
|
恢復 |
能接受較長時間恢復 |
故障後要求快速恢復/切換 |
|
風險管理 |
通過再引導恢復 |
必要的容錯措施 |
|
均一性 |
通常為同機種環境(如操作系統、應用、硬件) |
異種機環境(如操作系統、界面、硬件、品牌) |
|
安全性 |
大多情況現場不夠安全 |
嚴密的物理安全性 |
表1 工業以太網與普通辦公網對比
工廠信息安全的所帶來的風險十分廣泛,大致的威脅級別可以分為︰未授權訪問、數據竊取、數據篡改、病毒破壞工廠導致停產、破壞工廠導致事故。
1)、未授權訪問
未授權訪問是指,未經授權使用網絡或未授權訪問網絡資源、文件的一種行為。主要包括非法進入系統或網絡後進行操作的行為。
2)、數據竊取
通過未授權的訪問、網絡監听等非法手段獲取到有價值的信息或數據。
3) 數據篡改
據篡改即是對計算機網絡數據進行修改、增加或刪除,造成數據破壞。
4)、破壞工廠導致停產
通過病毒或其他攻擊手段對包括PLC、DCS在內的工業控制系統進行攻擊,導致其無法正常工作從而影響企業的正常生產。
5. 破壞工廠導致事故
通過破壞工業控制系統的正常運作,導致控制無法正常讀取諸如溫度、轉速等及時信息導致控制系統發出錯誤指令而導致的工廠事故。
工業網絡與辦公網在風險源上的區別見表2。
|
|
未授權訪問 |
數據竊取 |
數據篡改 |
破壞導致停產 |
破壞導致事故 |
|
辦公網絡 |
需要防護 |
需要防護 |
需要防護 |
一般不會 |
一般不會 |
|
工業網絡 |
需要防護 |
需要防護 |
需要防護 |
需要防護 |
需要防護 |
表2 辦公網與工業以太網風險對比
由于長期缺乏安全需求的推動,對 (采用TCP/IP 等通用技術的)網絡環境下廣泛存在的安全威脅缺乏充分認識,現有的工業自動化控制系統過去在設計、研發中沒有充分考慮安全問題,在部署、運維中又缺乏安全意識、管理、流程、策略與相關專業技術的支撐,導致許多工業自動化控制系統中存在著這樣或那樣的安全問題,一旦被無意或惡意利用,就會造成各種安全事件。近年來,越來越多的工業信息安全事件見諸報端,充分說明工業自動化控制系統所面臨的安全威脅絕非空穴來風。
目前,我國對工業自動化控制系統信息安全工作的重要性與緊迫性也日益重視。2011年工信部發布了 <關于加強工業控制系統安全管理的通知>,明確了重點領域工業控制系統信息安全管理要求,並強調了 “誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則,對連接管理、組網管理、配置管理、設備選擇與升級管理、數據管理、應急管理等等提出了明確要求。
國際上也早已意識到工業自動化控制系統信息安全的重要性,包括美國、歐洲在內的西方國家,早在上個世紀90年代左右就開始了相關的研究工作。而工控信息安全方面的國際標準,包括IEC 62443、NERC CIP、NISTSP800-82、WIB M-2784、IEC 62351等等。其中IEC 62443由WG4工作組負責制定,面向各種工業行業的工業自動化控制系統 (IACS)的安全。由于IEC 62443充分考慮了工業領域的不同參與方 (自動化產品廠商、系統、產品提供商、系統集成商、終端用戶)的不同安全需求,比較符合各工業行業的對信息安全標準的需要。目前,IEC 62443已經完成 一、二、三部分,其他部分也正在制定中,而我國也已開始積極參與到該標準的制定工作中。
工業自動化控制系統的信息安全將會成為信息安全研究及相關工作的一個重點研究領域。針對工業自動化控制系統的特點,研制並部署相應的工業自動化控制系統信息安全解決方案,保障我國工業基礎設施的安全運營,已成為迫在眉睫的需求。
二、面粉工業項目工業自動化控制網絡架構及風險
面粉工業控制系統是以工業網絡為中心實現的實時分布式系統。系統采用分散控制、集中管理的分層分布式控制結構,包括運行和控制中心系統、電機控制系統、保護和安全檢測系統、數據顯示和處理系統。控制系統由工程師站、操作站、現場控制站、通信控制站、打印服務站、系統服務器、管理網絡以及系統網絡等組成。控制系統構成如圖2所示。
整個系統是基于Profibus/DP體系結構的大型分布式控制系統,從邏輯結構上劃分,系統共分為現場采集控制層、監控層和管理層三層網絡。管理層采用TCP/IP以太網;在監控層,操作站、工程師站、中央處理服務器以及不同系統之間采用工業以太網,有很強的網絡互聯能力;現場采集控制層采用高速現場總線。設備保護安全級系統與非安全級系統之間數據通信通過安全級網關執行。從而可以看出,整個系統的網絡信息安全大多采用普通 IT領域網絡信息安全技術,面對日益嚴重的黑客攻擊威脅,這些措施很難實現有效防御。
2.1、面粉工業項目工業控制系統的架構與組成
根據制粉工業項目的實際情況,系統硬件規劃采用的是過程控制系統,實現原糧工作塔、立筒庫、清理車間、制粉車間、配粉車間、成品庫,這一段工藝流程的過程自動化控制。由公司管理層,設備控制層,現場設備控制層等組成。
1)、公司管理層有ERP系統組成,統籌管理工廠的全部業務。通過TCP/IP對工業控制系統進行監控
2)、現場控制層現場控制層的作用是對現場的I/O信號進行采集、運算和邏輯順控處理,通過現場控制層網絡將相關數據送入控制處理機,實現過程控制和順序、邏輯控制。
3)、控制管理層控制管理層的作用是實現集中操作和統一管理,通過監控系統和生產過程,實現控制方案,生成系統數據庫,用戶畫面和報表等,從而在用戶與系統功能之間提供了一個接口,使操作員能夠觀察過程回路參數狀態,實時趨勢、歷史趨勢和報警情況,實現設備起停,過程回路操作和參數調整等,過程工程師可以通過操作站調出過程組態畫面進行操作方案組態,過程流程圖組態、趨勢畫面及各種報表組態等。
4)、系統網絡控制系統網絡由中央監控網絡和現場網絡兩部分組成,通過工業以太網和PROFIBUS DP連接將分散布局的控制站和遠程站等相連接,構成一體化結構,由于系統所完成的是工業控制,具有實時反應、速度快、較高的可靠性和適應惡劣的工業現場環境的特點。
圖1 面粉工業控制項目工業控制系統網絡架構圖
2.2、 控制架構體系下的安全隱患風險
從整個架構體系中,管理網與控制網是緊密融合在一起的, PLC系統所構成的實時數據采集架構體系幾乎覆蓋了公司的整個管理網絡,安全形勢不容樂觀,存在下述安全風險隱患︰
1)、目前許多控制系統的工程師站/操作站 (HMI)都是Windows平台,任何一個版本的 Windows自發布以來都在不停地發布漏洞補丁,為保證過程控制系統相對的獨立性,現場工程師(一般多是儀表維護工程師)通常在系統開車後不會對Windows平台打任何補丁,更為重要的是打過補丁的操作系統沒有經過制造商測試,存在安全 運行風險。但是與之相矛盾的是,系統不打補丁就會存在被攻擊的漏洞,即使是普通常見病毒也會遭受感染,可能造成本機乃至控制網絡癱瘓。
2)、基于工控軟件與殺毒軟件的兼容性問題。在操作站上通常不安裝殺毒軟件,即使安裝有殺毒軟件,其基于病毒庫查殺的機制在工控領域使用也有局限性,對病毒庫的升級維護難以統一,更重要的是對新病毒的處理總是存在滯後,這導致每年都會大規模地爆發病毒,特別是新病毒。
3)、OPC是基于 Microsoft的分布式組件對象模式(DCOM)技術,該技術使用了遠程過程調用(RPC)網絡協議來實現工業網絡中的以太網連接。來自該領域的安全研究人員 (包括黑客組織)卻發現該標準中存在一些嚴重問題,如 OPC使用的 Windows的 DCOM和 RPC服務極易受到攻擊。在過去的5年內,來自網絡的病毒和蠕蟲對這些接口的攻擊越來越強,這個方式幾乎成了病毒和蠕蟲開發者目前的最愛。
4)、在實現數據采集的過程中,數據采集服務器雖然采用了雙網卡技術,管理信息網與控制網通過該服務器進行了隔離,部分惡意程序不能直接攻擊到控制網絡,但對于能夠利用 Windows系統漏洞的網絡蠕蟲及病毒等,這種配置沒有作用,病毒會在信息網和控制網之間互相傳播。安裝殺毒軟件可以對部分病毒或攻擊有所抑制,但病毒庫存在滯後,所以不能從根本上進行防護。
因此,按照IEC 62443安全標準建立新的安全防範體系,以確保控制系統安全是當務之急。
三、面粉工程項目工業控制系統控安全需求分析
3.1、工業控制系統的安全防御措施要求
工控信息安全是復雜的系統工程,不僅涉及到技術、產品、系統,更取決于工業企業的安全管理的水平。在工業應用多元化發展需求的強勁推動下,隨著工業自動化控制網絡正逐步演變為開放系統,大規模采用IT技術,其集成化網絡系統與IT網絡基礎設施充分互聯,IT部門與自動化生產部門共同負責自動化網絡運營。在這一背景下,工業企業是否經常性地組織安全培訓與意識培養,是否根據其系統特點制訂了相關的安全策略,是否建立了正規、可備案的安全流程,是否設計、維護了工業自動化控制系統的安全架構,是否根據相關實 施指南貫徹了工控設備安全配置,是否建立了常規的安全審計制度,是否建立了安全事件監控與應急響應制度與預案,都直接關系著相應的安全技術及解決方案是否能真正起到作用。
一般來說,公司的IT部門人員了解信息安全相關知識,但並不了解過程控制系統。而且傳統IT環境和工控系統環境之間存在著一些關鍵不同,例如,控制系統通常需要每周7天,每天24小時的長期運行。因此控制系統的特殊功能要求可能使原本合格的安全技術變得沒有效果。所以,簡單地將IT安全技術配置到工控系統中並不是高效可行的解決方案。
國際行業標準IEC 62443明確指出目前工業控制領域普遍認可的安全防御措施要求如下表︰
名稱要點描述達到目標即將具有相同功能和安全要求的控制設備劃分到同一區域,區域之間執行管道通信,通過控制區域間管道中的通信內容來確保工業控制系統信息安全。
表一、防護區域劃分表
|
名稱 |
要點描述 |
達到目標 |
|
區域劃分 |
將具備相同功能和安全要求的設備劃分到同一區域 |
安全等級劃分 |
|
管道建立 |
實現區域間執行管道通信 |
易于控制 |
|
通信管控 |
通過在控制區域間管道中通信管理控制來實現設 |
|
3.2 “縱深防御”策略
“縱深防御”策略嚴格遵循IEC 62443標準,是提高工業控制系統信息安全的最佳選擇。建立“縱深防御”的最有效方法是采用IEC 62443標準的區級防護,將網絡劃分為不同的安全區,在安全區之間按照一定規則安裝防火牆。建立“縱深防御”策略的兩個主要目標︰
1)、即使在某一點發生網絡安全事故,也能保證裝置或工廠的正常安全穩定運行
對于現代計算機網絡,我們認為最可怕的是病毒的急速擴散,它會瞬間令整個網絡癱瘓,該防護目標在于當工業網絡的某個局部存在病毒感染或者其它不安全因素時,不會向其它 設備或網絡擴散,從而保證裝置或工廠的安全穩定運行。
2)、工廠操作人員能夠及時準確的確認故障點,並排除問題
怎樣能夠及時發現網絡中存在的感染及其他問題,準確找到故障的發生點,是維護控制系統信息安全的前提。
四、面粉工業控制系統安全的結構解決措施
根據工業自動化控制系統的特點,要滿足上述安全需求,需要引入工業自動化控制系統 “縱深防御”的概念作為解決方案。縱深防御就是要通過部署多層次的、具有不同針對性的安全措施,保護關鍵的工業自動化控制過程與應用的安全,其特點在于︰一攻擊者將不得不滲透或繞過不同的多層安全機制,大大增加了攻擊的難度;二安全架構中存在于某一層次上的安全脆弱性,可被其他防護措施所彌補,從而避免 “一點突破,滿盤皆輸”的危險。
對工業信息安全而言,首先需要滿足控制系統的高可用性的要求,其次是完整性。由于在工控環境下,多數數據都是設備與設備之間的通信,因此再次的安全目標才是機密性。所以,可以將工業自動化控制系統安全的關鍵需求總結為︰
1)、開展工業安全風險評估,建設全面的信息安全管理;
2)、實現安全域的劃分與隔離,不同安全域之間 的網絡接口需遵從清晰的安全規範;
3)、部署集成安全措施的保護基于工業P C的控制系統;
4)、保護工業自動化控制系統的控制單元,防御安全攻擊;
5)、實現對工業自動化控制通信的可感知與可控制。
4.1工業控制系統的安全區域劃分
建立工業自動化控制系統縱深防御,首先需要對具體工業自動化控制系統安全需求進行系統地分析,制定相應的安全規劃;並對工控系統進行風險評估,切合實際地識別出該系統的安全脆弱性,面臨的安全威脅,以及風險的來源。在此基礎上,借助于產品安全、安全操作指南以及專業的工業安全服務,建立、部署層次化的多重安全措施。目前,縱深防御的工業信息安全理念覆蓋了工業自動化控制系統的所有級別, 是滿足工業信息安全領域的關鍵需求的現實解決方案。見下圖
圖2 工廠信息系統防護架構圖
4.2,建立工業控制系統安全性的基礎上的戰略縱深防御
面粉行業的特點,結合工業控制系統的網絡結構,縱深防御戰略的基礎上,創建“本質安全型”工業控制系統
1)、企業管理層和數采監控層之間的安全防護
在企業管理層和數采監控層之間加入防火牆,一方面提升了網絡的區域劃分,另一方面更重要的是只允許兩個網絡之間合法的數據交換,阻擋企業管理層對數采監控層的未經授權的非法訪問,同時也防止管理層網絡的病毒感染擴散到數采網絡。考慮到企業管理層一般采用通用以太網,要求較高的通訊速率和帶寬等因素,對此部位的安全防護建議使用常規的IT防火牆。
2)、數采監控層和控制層之間的安全防護
該部位通常使用OPC通訊協議,由于OPC通訊采用不固定的端口號,使用傳統的IT防火牆進行防護時,不得不開放大規模範圍內的端口號。在這種情況下,防火牆提供的安全保障被降至最低。因此,在數采監控層和控制層之間應安裝專業的工業防火牆,解決OPC通訊采用動態端口帶來的安全防護瓶頸問題,阻止病毒和任何其它的非法訪問,這樣來自防護區域內的病毒感染就不會擴散到其他網絡,提升網絡區域劃分能力的同時從本質上保證了網絡通訊安全。
3)、保護關鍵控制器
考慮到和控制器之間的通訊一般都采用制造商專有工業通訊協議,或者其它工業通信標準如Modbus等。由于常規的IT防火牆和網閘等安全防護產品都不支持工業通訊協議,因此,對關鍵的控制器的保護應使用專業的工業防火牆。一方面對防火牆進行規則組態時只允許制造商專有協議通過,阻擋來自操作站的任何非法訪問;另一方面可以對網絡通訊流量進行管控,可以指定只有某個專有操作站才能訪問指定的控制器;第三方面也可以管控局部網絡的通訊速率,防止控制器遭受網絡風暴及其它攻擊的影響,從而避免控制器死機。
4)、隔離工程師站,保護APC先控站
對于網絡中存在的工程師站和APC先控站,考慮到工程師站和APC節點在項目實施階段通常需要接入第三方設備(U盤、筆記本電腦等),而且是在整個控制系統開車的情況下實施,受到病毒攻擊和入侵的概率很大,存在較高的安全隱患。在工程師站和APC先控站前端增加工業防火牆,可以將工程師站和APC節點單獨隔離,防止病毒擴散,保證了網絡的通訊安全。
5)、和第三方控制系統之間的安全防護
使用工業防火牆將SIS安全儀表系統等第三方控制系統和網絡進行隔離後,主要是為了確保兩個區域之間數據交換的安全,管控通訊數據,保證只有合法可信的、經過授權的訪問和通訊才能通過網絡通信管道。同時也提升了網絡安全區域劃分能力,有效地阻止了病毒感染的擴散。
此外,根據ISA-99,深度防御工業自動化控制系統也需要建立安全日志的收集,歸檔和審計機制,並建立一個安全事故處理和應急響應計劃的情況下出現安全事故,能夠迅速找出薄弱點,追溯攻擊源,並迅速恢復系統的正常功能,為了實現工業自動化和控制通訊認為可以控制
6)、系統加固、補丁管理和賬號管理
目前用于組態/維護的工程師站、HMI終端、OPC、SCADA、應用服務器等都采用的是安裝了Windows的IPC,加之在 IPC上運行的工業控制軟件、應用,以及相關中間件等,都可能存在相應 的安全漏洞,因此在條件允許的情況下,需要及時地進行補丁升級與系統加固。同時,雖然 PLC等工控設備多數基于專有的嵌入式系統,但其固件也存在補丁升級的問題。
對 PLC、IPC上的關鍵工控應用、過程、資源,為防止未經授權的訪問或濫用,對不同人員的訪問權限進行細粒度的控制,並在安全審計中對安全事件進行溯源,需要將管理措施與技術手段相結合,針對PLC CPU口令,工業 WLAN口令、IPC Windows口令、HMI口令等建立系統的賬號管理,強化基于口令的訪問控制。
4.3 報警管理平台
報警管理平台的功能包括集成系統中所有的事件和報警信息,並對報警信息進行等級劃分。提供實時畫面顯示、歷史數據存儲、報警確認、報警細目查詢、歷史數據查詢等功能。報警管理平台還負責捕獲現場所有安裝有工業防火牆的通訊信道中的攻擊,並詳細顯示攻擊來自哪里、使用何種通信協議、攻擊目標是誰,以總攬大局的方式為工廠網絡故障的及時排查、分析提供了可靠依據。
4.4 “測試”模式
系統工程師可以利用工業防火牆提供的“測試”模式功能,在真正部署防火牆之前,在真實工廠操作環境中對防火牆規則進行測試。通過分析確認每一條報警信息,實現全面的控制功能,從而確保工控需求的完整性和可靠性。
五、結語
工業自動化和控制系統的安全性不是一個純粹的技術問題,而是意識培訓,以啟動相關的各方面的管理,流程,架構,技術,產品,系統的工程,管理需求的工業自動化控制系統,在業務方面,集成商和零部件供應商參與,共同努力,整個工業基礎設施的生命周期的各個階段和持續實施,並不斷改進,以保護中國的工業基礎設施運營的安全
最後,類似的IT信息安全,工業自動化控制系統本身的動態演化中的安全性是一個動態的過程和設備的變化,系統升級,將導致工業自動化和控制系統,以及各種安全攻擊的安全威脅,技術復雜,技能也不斷發展,預防難度也越來越大,因此不能達到100%信息安全,信息安全,需要繼續實施的各個階段,工業自動化控制系統的生命周期,持續改進。
