點評:本文從伊朗核電站的受美國的病毒說去.詳談工業控制系統中的安全問題
2010年10月發生在伊朗核電站的"震網"(Stuxnet)病毒,為工業生產控制系統安全敲響瞭警鐘。現在,國內外生產企業都把工業控制系統安全防護建設提上瞭日程。本文在對工業控制系統特點和面臨的安全風險進行分析的基礎上,提出瞭工業控制系統安全體系架構,並對實現工業控制系統安全的核心產品–啟明星辰工控系統安全管理平臺進行瞭說明。
一、工業控制系統安全分析
工業控制系統(Industrial Control Systems,ICS),是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統(SCADA)、分佈式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED),以及確保各組件通信的接口技術。
典型的ICS控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成,控制回路用以控制邏輯運算,HMI執行信息交互,遠程診斷與維護工具確保ICS能夠穩定持續運行。
1.1工業控制系統潛在的風險
1.操作系統的安全漏洞問題
由於考慮到工控軟件與操作系統補丁兼容性的問題,系統開車後一般不會對Windows平臺打補丁,導致系統帶著風險運行。
2.殺毒軟件安裝及升級更新問題
用於生產控制系統的Windows操作系統基於工控軟件與殺毒軟件的兼容性的考慮,通常不安裝殺毒軟件,給病毒與惡意代碼傳染與擴散留下瞭空間。
3.使用U盤、光盤導致的病毒傳播問題
由於在工控系統中的管理終端一般沒有技術措施對U盤和光盤使用進行有效的管理,導致外設的無序使用而引發的安全事件時有發生。
4.設備維修時筆記本電腦的隨便接入問題
工業控制系統的管理維護,沒有到達一定安全基線的筆記本電腦接入工業控制系統,會對工業控制系統的安全造成很大的威脅。
5.存在工業控制系統被有意或無意控制的風險問題
如果對工業控制系統的操作行為沒有監控和響應措施,工業控制系統中的異常行為或人為行為會給工業控制系統帶來很大的風險。
6.工業控制系統控制終端、服務器、網絡設備故障沒有及時發現而響應延遲的問題
對工業控制系統中IT基礎設施的運行狀態進行監控,是工業工控系統穩定運行的基礎。
1.2"兩化融合"給工控系統帶來的風險
工業控制系統最早和企業管理系統是隔離的,但近年來為瞭實現實時的數據采集與生產控制,滿足"兩化融合"的需求和管理的方便,通過邏輯隔離的方式,使工業控制系統和企業管理系統可以直接進行通信,而企業管理系統一般直接連接Internet,在這種情況下,工業控制系統接入的范圍不僅擴展到瞭企業網,而且面臨著來自Internet的威脅。
同時,企業為瞭實現管理與控制的一體化,提高企業信息化合綜合自動化水平,實現生產和管理的高效率、高效益,引入瞭生產執行系統MES,對工業控制系統和管理信息系統進行瞭集成,管理信息網絡與生產控制網絡之間實現瞭數據交換。導致生產控制系統不再是一個獨立運行的系統,而要與管理系統甚至互聯網進行互通、互聯。
1.3工控系統采用通用軟硬件帶來的風險
工業控制系統向工業以太網結構發展,開放性越來越強。基於TCP/IP以太網通訊的OPC技術在該領域得到廣泛應用。在工業控制系統中,由於工業系統集成和使用的便利性,大量使用瞭工業以太環網和OPC通信協議進行瞭工業控制系統的集成;同時,也大量的使用瞭PC服務器和終端產品,操作系統和數據庫也大量的使用瞭通用的系統,很容易遭到來自企業管理網或互聯網的病毒、木馬、黑客的攻擊?
二、工業控制系統安全防護設計
通過以上對工業控制系統安全狀況分析,我們可以看到,工控系統采用通用平臺,加大瞭工控系統面臨的安全風險,而"兩化融合"和工控系統自身的缺陷造成的安全風險,主要從兩個方面進行安全防護。
通過"三層架構,二層防護"的體系架構,對工業企業信息系統進行分層、分域、分等級,從而對工控系統的操作行為進行嚴格的、排他性控制,確保對工控系統操作的唯一性。
通過工控系統安全管理平臺,確保HMI、管理機、控制服務工控通信設施安全可信。
2.1構建"三層架構,二層防護"的安全體系
工業控制系統需要進行橫向分層、縱向分域、區域分等級進行安全防護,否則管理信息系統、生產執行系統、工業控制系統處於同一網絡平面,層次不清,你中有我、我中有你。來自於管理信息系統的入侵或病毒行為很容易對工控系統造成損害,網絡風暴和拒絕式服務攻擊很容易消耗系統的資源,使得正常的服務功能無法進行。
2.1.1工控系統的三層架構
一般工業企業的信息系統,可以劃分為管理層、制造執行層、工業控制層。在管理信層與制造執行系統層之間,主要進行身份鑒別、訪問控制、檢測審計、鏈路冗餘、內容檢測等安全防護;在制造執行系統層和工業控制系統層之間,主要避免管理層直接對工業控制層的訪問,保證制造執行層對工業控制層的操作唯一性。工控系統三層架構如下圖所示:
通過上圖可以看到,我們把工業企業信息系統劃分為三個層次,分別是計劃管理層、制造執行層、工業控制層。
管理系統是指以ERP為代表的管理信息系統(MIS),其中包含瞭許多子系統,如:生產管理、物質管理、財務管理、質量管理、車間管理、能源管理、銷售管理、人事管理、設備管理、技術管理、綜合管理等等,管理信息系統融信息服務、決策支持於一體。
制造執行系統(MES)處於工業控制系統與管理系統之間,主要負責生產管理和調度執行。通過MES,管理者可以及時掌握和瞭解生產工藝各流程的運行狀況和工藝參數的變化,實現對工藝的過程監視與控制。
工業控制系統是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。主要完成加工作業、檢測和操控作業、作業管理等功能。
2.1.2工控系統的二層防護
1、管理層與MES層之間的安全防護
管理層與MES層之間的安全防護主要是為瞭避免管理信息系統域和MES(制造執行)域之間數據交換面臨的各種威脅,具體表現為:避免非授權訪問和濫用(如業務操作人員越權操作其他業務系統);對操作失誤、篡改數據,抵賴行為的可控制、可追溯;避免終端違規操作;及時發現非法入侵行為;過濾惡意代碼(病毒蠕蟲)。
也就是說,管理層與MES層之間的安全防護,保證隻有可信、合規的終端和服務器才可以在兩個區域之間進行安全的數據交換,同時,數據交換整個過程接受監控、審計。管理層與MES層之間的安全防護如下圖所示:
2、MES層與工業控制層之間的安全防護
通過在MES層和生產控制層部署工業防火墻,可以阻止來自企業信息層的病毒傳播;阻擋來自企業信息層的非法入侵;管控OPC客戶端與服務器的通訊,實現以下目標:
區域隔離及通信管控:通過工業防火墻過濾MES層與生產控制層兩個區域網絡間的通信,那麼網絡故障會被控制在最初發生的區域內,而不會影響到其它部分。
實時報警:任何非法的訪問,通過管理平臺產生實時報警信息,從而使故障問題會在原始發生區域被迅速的發現和解決。
MES層與工業控制層之間的安全防護如下圖所示:
2.1.3工控系統安全防護分域
安全域是指同一系統內有相同的安全保護需求,相互信任,並具有相同的安全訪問控制和邊界控制策略的子網或網絡,且相同的網絡安全域共享一樣的安全策略。
在管理層、制造執行層、工業控制層中,進行管理系統安全子域的劃分,制造執行安全子域的劃分、工業控制安全子域的劃分。安全域的合理劃分,使用每一個安全域都要明確的邊界,便於對安全域進行安全防護。對MES、ICS的安全域劃分如下圖所示:
如上圖所示,為瞭保證各個生產線的安全,對各個生產線進行瞭安全域劃分,同時在安全域之間進行瞭安全隔離防護。
2.1.4工控系統安全防護分等級
根據安全域在信息系統中的重要程度以及考慮風險威脅、安全需求、安全成本等因素,將其劃為不同的安全保護等級並采取相應的安全保護技術、管理措施,以保障信息的安全。
安全域的等級劃分要做到每個安全域的信息資產價值相近,具有相同或相近的安全等級、安全環境、安全策略等。安全域所涉及應用和資產的價值越高,面臨的威脅越大,那麼它的安全保護等級也就越高。
2.2構建工業控制系統安全管理平臺
工業控制系統和傳統信息系統具有大多數相同的安全問題,但同時也存在獨特的安全需求。工業控制系統最大的安全需求是唯一性和排它性,在某一特定的工業控制系統中,工業控制系統隻需用唯一的工業應用程序和工業通信協議運行,其他一概不需要。
啟明星辰工業系統安全管理平臺為工業控制系統建立瞭一個相對可信的計算環境,對工控系統管理終端和網絡通信具有非常強的安全控制功能。工業控制系統安全管理平臺有兩部分組成,一部分是工業控制系統安全管理平臺,具有終端管理、網絡管理、行為監控功能,另一部分是終端安全管理客戶端。
2.2.1管理平臺部分
工業控制系統的安全運行,主要需要保障工業控制系統相關信息系統基礎設施的安全,包括工業以太網網絡、操作終端、關系數據庫服務器、實時數據庫服務器、操作和應用系統等各類IT資源的安全,從工業控制系統安全的角度對工控系統的各類IT資源進行監控(包括設備監控、運行監控與安全監控),實現對安全事件的預警與響應,保障工業控制系統的安全穩定運行。
具體而言,工業控制系統安全管理平臺功能如下:
1.能夠對應用服務器、關系數據庫服務器、實時數據庫服務器、工業以太網設備運行狀態進行監控,例如CPU、內存、端口流量等等。
2.能夠對操作終端外設、進程、桌面進行合規性在線和離線管理。
3.能夠對各層邊界數據交換情況進行監控。
4.能夠對工業控制系統中的網絡操作行為進行審計。
5.能夠對工業控制系統日志進行關聯分析和審計。
6.能夠對工業控制系統中的異常事件進行預警響應。
7.能夠對工業企業信息系統進行虛擬安全域的劃分。
2.2.2工業控制系統終端安全管理部分
由於工業控制系統管理終端的安全防護技術措施十分薄弱,所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點,在終端上發生、發起,並通過網絡感染或破壞其他系統。
工業控制系統終端最大特點是應用相對固定,終端主要安裝工業控制系統程序,所以,要防范傳統方式的病毒或木馬等惡意軟件,最直接的方式就是利用工業控制系統對終端應用程序的進程進行管理。
具體而言,工業控制系統安全管理平臺終端安全管理部分功能如下:
1.工業控制系統安全管理平臺客戶端軟件輕巧精煉,占用資源極少,能夠最大程度保證工業控制系統管理終端的穩定性。
2.工業控制系統安全管理平臺客戶端具有終端準入控制功能,可以防止沒有達到安全基線的筆記本對終端進行管理。
3.工業控制系統安全管理平臺客戶端具有終端安全優化與加固功能,能夠對工業控制系統終端進行安全優化和加固,使終端安全水平達到一定的安全基線。
4.工業控制系統安全管理平臺客戶端具有外設管理功能,對工業控制系統的外設進行管理,比如USB接口、光驅、網卡、串口等。
5.工業控制系統安全管理平臺客戶端具有工業控制系統應用程序監控功能,對終端中的工業控制系統軟件進行監控和管理。
6.工業控制系統安全管理平臺客戶端具有工業通信協議監控功能。工業控制系統終端通信協議相對固定,客戶端能夠對終端通信協議具有唯一性管理功能。
7.工業控制系統安全管理平臺客戶端具有離線管理功能,工業控制系統終端有一部分無法進行在線管理,客戶端具有比較強大的離線自管理功能,可以完成對離線終端的管理。
8.工業控制系統安全管理平臺客戶端具有強身份認證功能,客戶端具有使用工業控制系統在線終端和離線終端都具有強身份認證功能,從而防止工業控制系統被有意或無意被控制的風險。
三、總結
國內外發生瞭多起由於工控系統安全問題而造成的生產安全事故。最鮮活的例子就是2010年10月發生在伊朗佈什爾核電站的"震網"(Stuxnet)病毒,為整改工業生產控制系統安全敲響瞭警鐘。
為此,工信部在2011年10月下發瞭"關於加強工業控制系統信息安全管理的通知",要求各級政府和國有大型企業切實加強工業控制系統安全管理。工信部趙澤良司長也強調,工業控制系統安全工作也到瞭非加強不可的時候,否則將影響到我國重要的生產設施的安全。
本文根據工業控制系統安全防護的特點,提出瞭對工業控制系統進行分層、分域、分等級,構建"三層架構,二層防護"的工業控制系統安全體系架構思想;通過分析工業控制系統面臨的風險,對作為工業控制系統安全防護的核心產品–工業控制系統安全管理平臺功能進行瞭說明。工控系統安全管理平臺,不僅是實現工業控制系統終端安全的產品,也是監控工業控制系統IT基礎實施和操作行為的平臺。