关注工业自动化控制系统安全,建立健全预防机制和措施
根据面粉工业项目的控制特点,在借鉴其它行业的控制系统安全的经验,同时结合流程工业控制系统的的结构、安全需求,参考IEC62443等国际标准的基础上,提出面粉行业工业项目控制系统的预防、管理措施。供制粉工作者借鉴。
关键词:面粉工业项目 工业自动化系统 工控信息安全 PROFIDP TCP/IP SCADA PLC
工业信息化部[2011] 451号通知明确指出:“SCADA,DCS,PCS,PLC等工业控制系统被广泛应用于工业,能源,交通,水利,以及市政和其他领域的,用于控制生产设备的操作的计算机和网络技术,特别是信息化与工业化的深度融合和物联网的快速发展,随着时代的发展,工业控制系统产品越来越多地采用一个共同的协议,通用的硬件和通用软件,以各种方式,与互联网及其他公共网络连接,病毒,特洛伊木马和其他威胁扩散到工业控制系统,工业控制系统的安全问题已成为日益突出的“震网”病毒事件发生在2010年、工业控制系统的信息安全面临的严峻形势,充分体现了这各地区,各部门,各单位必须高度重视,增强风险意识,意识的责任感和紧迫感,切实加强工业控制系统的信息安全管理“
面粉工业的属于典型的流程工业控制,在传统的工程设计中,计算资源有限(包含PLC CPU模块和存储模块),在设计时只考虑效率和实时相关的特性,控制系统的安全并未考虑,随着技术发展,信息化推动,使得工业控制网络中大量采用通用TCP/IP技术,ICS网络和企业管理网的联系越来越紧密。通用计算机设备和数据通信设备代替专用的工业控制计算机及通信设备应用于工业控制系统中,ERP、MES等企业信息化应用和企业信息网与Internet互联
,在设计上基本不考虑互联互通所接触的通信安全问题。企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能,这些技术使用带来进步的同时,同时带来控制系统的安全问题,如病毒、信息泄露和赚改,系统瘫痪导致车间停车等系列问题。因此如何保障面粉工业控制系统安全是急需解决的问题,特别是国内已上ERP等企业信息化系统大型面粉厂家。本文旨在行业内提出预警,未雨绸缪,给面粉厂家在建设新项目或改造工程设计时借鉴。
基于TCP/IP的工业控制网络作为一个开放系统,潜在的安全风险是不可避免的。其网络安全主 要解决工业控制网络内部资源与数据通信的安全性问题,以保障系统的正常运行;或在受到攻击时 能够迅速地发现并采取相应的安全措施,使系统的安全损失减少到最小,并能够迅速地恢复。
一、工业自动化控制系统信息安全定义及现状
工厂信息安全防护包括:保护在工厂车间中广泛使用的如,工业以太网、数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等网络设备及工业控制系统的运行安全,确保工业以太网及工业系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。
对于工厂信息安全,尚无还没有一个公认、统一的定义,但是对于信息安全,有较为统一的认识。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。
工厂的信息安全就是应该对工厂车间内部的系统及终端设备进行安全防护。根据工厂内部所涉及的终端设备及系统,普遍认为工厂信息安全包括:保护在工厂车间中广泛使用的如,工业以太网、数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等网络设备及工业控制系统的运行安全,确保工业以太网及工业系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。
生产管理系统的防护相对特殊,既要直接采集来源于生产现场的数据,同工厂生产车间中的各项终端设备都会进行直接的数据交互,而且也要同上层的ERP系统进行通讯,因此生产管理系统在大多数企业中,为了方便与ERP系统之间的数据交互与员工访问,通常会划分在办公网的安全防护体系中。但是,实际上由于生产管理系统能够直接对工业控制系统进行访问,因此,对于生产管理系统的防护应该提升其系统防护级别,生产管理系统与办公网进行隔离。
工厂信息安全中最为基础的部分就是工业以太网,所以工业以太网网络首先得必须保证7*24*365天的可用性,必须能够不间断的可操作,能够确保系统的可访问性,数据能够实时进行传输,需要有完备的保护方案。工业以太网与普通办公网具体区别如下表所示:
|
办公网 |
工业以太网 |
可靠性 |
容忍偶然故障 |
不能容忍停机 |
风险影响 |
数据丢失 |
危及生产、设备、人的安全 |
性能 |
高流通量 |
接受中等流通量 |
恢复 |
能接受较长时间恢复 |
故障后要求快速恢复/切换 |
风险管理 |
通过再引导恢复 |
必要的容错措施 |
均一性 |
通常为同机种环境(如操作系统、应用、硬件) |
异种机环境(如操作系统、界面、硬件、品牌) |
安全性 |
大多情况现场不够安全 |
严密的物理安全性 |
表1 工业以太网与普通办公网对比
工厂信息安全的所带来的风险十分广泛,大致的威胁级别可以分为:未授权访问、数据窃取、数据篡改、病毒破坏工厂导致停产、破坏工厂导致事故。
1)、未授权访问
未授权访问是指,未经授权使用网络或未授权访问网络资源、文件的一种行为。主要包括非法进入系统或网络后进行操作的行为。
2)、数据窃取
通过未授权的访问、网络监听等非法手段获取到有价值的信息或数据。
3) 数据篡改
据篡改即是对计算机网络数据进行修改、增加或删除,造成数据破坏。
4)、破坏工厂导致停产
通过病毒或其他攻击手段对包括PLC、DCS在内的工业控制系统进行攻击,导致其无法正常工作从而影响企业的正常生产。
5. 破坏工厂导致事故
通过破坏工业控制系统的正常运作,导致控制无法正常读取诸如温度、转速等及时信息导致控制系统发出错误指令而导致的工厂事故。
工业网络与办公网在风险源上的区别见表2。
|
未授权访问 |
数据窃取 |
数据篡改 |
破坏导致停产 |
破坏导致事故 |
办公网络 |
需要防护 |
需要防护 |
需要防护 |
一般不会 |
一般不会 |
工业网络 |
需要防护 |
需要防护 |
需要防护 |
需要防护 |
需要防护 |
表2 办公网与工业以太网风险对比
由于长期缺乏安全需求的推动,对 (采用TCP/IP 等通用技术的)网络环境下广泛存在的安全威胁缺乏充分认识,现有的工业自动化控制系统过去在设计、研发中没有充分考虑安全问题,在部署、运维中又缺乏安全意识、管理、流程、策略与相关专业技术的支撑,导致许多工业自动化控制系统中存在着这样或那样的安全问题,一旦被无意或恶意利用,就会造成各种安全事件。近年来,越来越多的工业信息安全事件见诸报端,充分说明工业自动化控制系统所面临的安全威胁绝非空穴来风。
目前,我国对工业自动化控制系统信息安全工作的重要性与紧迫性也日益重视。2011年工信部发布了 <关于加强工业控制系统安全管理的通知>,明确了重点领域工业控制系统信息安全管理要求,并强调了 “谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,对连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理等等提出了明确要求。
国际上也早已意识到工业自动化控制系统信息安全的重要性,包括美国、欧洲在内的西方国家,早在上个世纪90年代左右就开始了相关的研究工作。而工控信息安全方面的国际标准,包括IEC 62443、NERC CIP、NISTSP800-82、WIB M-2784、IEC 62351等等。其中IEC 62443由WG4工作组负责制定,面向各种工业行业的工业自动化控制系统 (IACS)的安全。由于IEC 62443充分考虑了工业领域的不同参与方 (自动化产品厂商、系统、产品提供商、系统集成商、终端用户)的不同安全需求,比较符合各工业行业的对信息安全标准的需要。目前,IEC 62443已经完成 一、二、三部分,其他部分也正在制定中,而我国也已开始积极参与到该标准的制定工作中。
工业自动化控制系统的信息安全将会成为信息安全研究及相关工作的一个重点研究领域。针对工业自动化控制系统的特点,研制并部署相应的工业自动化控制系统信息安全解决方案,保障我国工业基础设施的安全运营,已成为迫在眉睫的需求。
二、面粉工业项目工业自动化控制网络架构及风险
面粉工业控制系统是以工业网络为中心实现的实时分布式系统。系统采用分散控制、集中管理的分层分布式控制结构,包括运行和控制中心系统、电机控制系统、保护和安全检测系统、数据显示和处理系统。控制系统由工程师站、操作站、现场控制站、通信控制站、打印服务站、系统服务器、管理网络以及系统网络等组成。控制系统构成如图2所示。
整个系统是基于Profibus/DP体系结构的大型分布式控制系统,从逻辑结构上划分,系统共分为现场采集控制层、监控层和管理层三层网络。管理层采用TCP/IP以太网;在监控层,操作站、工程师站、中央处理服务器以及不同系统之间采用工业以太网,有很强的网络互联能力;现场采集控制层采用高速现场总线。设备保护安全级系统与非安全级系统之间数据通信通过安全级网关执行。从而可以看出,整个系统的网络信息安全大多采用普通 IT领域网络信息安全技术,面对日益严重的黑客攻击威胁,这些措施很难实现有效防御。
2.1、面粉工业项目工业控制系统的架构与组成
根据制粉工业项目的实际情况,系统硬件规划采用的是过程控制系统,实现原粮工作塔、立筒库、清理车间、制粉车间、配粉车间、成品库,这一段工艺流程的过程自动化控制。由公司管理层,设备控制层,现场设备控制层等组成。
1)、公司管理层有ERP系统组成,统筹管理工厂的全部业务。通过TCP/IP对工业控制系统进行监控
2)、现场控制层现场控制层的作用是对现场的I/O信号进行采集、运算和逻辑顺控处理,通过现场控制层网络将相关数据送入控制处理机,实现过程控制和顺序、逻辑控制。
3)、控制管理层控制管理层的作用是实现集中操作和统一管理,通过监控系统和生产过程,实现控制方案,生成系统数据库,用户画面和报表等,从而在用户与系统功能之间提供了一个接口,使操作员能够观察过程回路参数状态,实时趋势、历史趋势和报警情况,实现设备起停,过程回路操作和参数调整等,过程工程师可以通过操作站调出过程组态画面进行操作方案组态,过程流程图组态、趋势画面及各种报表组态等。
4)、系统网络控制系统网络由中央监控网络和现场网络两部分组成,通过工业以太网和PROFIBUS DP连接将分散布局的控制站和远程站等相连接,构成一体化结构,由于系统所完成的是工业控制,具有实时反应、速度快、较高的可靠性和适应恶劣的工业现场环境的特点。
图1 面粉工业控制项目工业控制系统网络架构图
2.2、 控制架构体系下的安全隐患风险
从整个架构体系中,管理网与控制网是紧密融合在一起的, PLC系统所构成的实时数据采集架构体系几乎覆盖了公司的整个管理网络,安全形势不容乐观,存在下述安全风险隐患:
1)、目前许多控制系统的工程师站/操作站 (HMI)都是Windows平台,任何一个版本的 Windows自发布以来都在不停地发布漏洞补丁,为保证过程控制系统相对的独立性,现场工程师(一般多是仪表维护工程师)通常在系统开车后不会对Windows平台打任何补丁,更为重要的是打过补丁的操作系统没有经过制造商测试,存在安全 运行风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成本机乃至控制网络瘫痪。
2)、基于工控软件与杀毒软件的兼容性问题。在操作站上通常不安装杀毒软件,即使安装有杀毒软件,其基于病毒库查杀的机制在工控领域使用也有局限性,对病毒库的升级维护难以统一,更重要的是对新病毒的处理总是存在滞后,这导致每年都会大规模地爆发病毒,特别是新病毒。
3)、OPC是基于 Microsoft的分布式组件对象模式(DCOM)技术,该技术使用了远程过程调用(RPC)网络协议来实现工业网络中的以太网连接。来自该领域的安全研究人员 (包括黑客组织)却发现该标准中存在一些严重问题,如 OPC使用的 Windows的 DCOM和 RPC服务极易受到攻击。在过去的5年内,来自网络的病毒和蠕虫对这些接口的攻击越来越强,这个方式几乎成了病毒和蠕虫开发者目前的最爱。
4)、在实现数据采集的过程中,数据采集服务器虽然采用了双网卡技术,管理信息网与控制网通过该服务器进行了隔离,部分恶意程序不能直接攻击到控制网络,但对于能够利用 Windows系统漏洞的网络蠕虫及病毒等,这种配置没有作用,病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制,但病毒库存在滞后,所以不能从根本上进行防护。
因此,按照IEC 62443安全标准建立新的安全防范体系,以确保控制系统安全是当务之急。
三、面粉工程项目工业控制系统控安全需求分析
3.1、工业控制系统的安全防御措施要求
工控信息安全是复杂的系统工程,不仅涉及到技术、产品、系统,更取决于工业企业的安全管理的水平。在工业应用多元化发展需求的强劲推动下,随着工业自动化控制网络正逐步演变为开放系统,大规模采用IT技术,其集成化网络系统与IT网络基础设施充分互联,IT部门与自动化生产部门共同负责自动化网络运营。在这一背景下,工业企业是否经常性地组织安全培训与意识培养,是否根据其系统特点制订了相关的安全策略,是否建立了正规、可备案的安全流程,是否设计、维护了工业自动化控制系统的安全架构,是否根据相关实 施指南贯彻了工控设备安全配置,是否建立了常规的安全审计制度,是否建立了安全事件监控与应急响应制度与预案,都直接关系着相应的安全技术及解决方案是否能真正起到作用。
一般来说,公司的IT部门人员了解信息安全相关知识,但并不了解过程控制系统。而且传统IT环境和工控系统环境之间存在着一些关键不同,例如,控制系统通常需要每周7天,每天24小时的长期运行。因此控制系统的特殊功能要求可能使原本合格的安全技术变得没有效果。所以,简单地将IT安全技术配置到工控系统中并不是高效可行的解决方案。
国际行业标准IEC 62443明确指出目前工业控制领域普遍认可的安全防御措施要求如下表:
名称要点描述达到目标即将具有相同功能和安全要求的控制设备划分到同一区域,区域之间执行管道通信,通过控制区域间管道中的通信内容来确保工业控制系统信息安全。
表一、防护区域划分表
名称 |
要点描述 |
达到目标 |
区域划分 |
将具备相同功能和安全要求的设备划分到同一区域 |
安全等级划分 |
管道建立 |
实现区域间执行管道通信 |
易于控制 |
通信管控 |
通过在控制区域间管道中通信管理控制来实现设 |
|
3.2 “纵深防御”策略
“纵深防御”策略严格遵循IEC 62443标准,是提高工业控制系统信息安全的最佳选择。建立“纵深防御”的最有效方法是采用IEC 62443标准的区级防护,将网络划分为不同的安全区,在安全区之间按照一定规则安装防火墙。建立“纵深防御”策略的两个主要目标:
1)、即使在某一点发生网络安全事故,也能保证装置或工厂的正常安全稳定运行
对于现代计算机网络,我们认为最可怕的是病毒的急速扩散,它会瞬间令整个网络瘫痪,该防护目标在于当工业网络的某个局部存在病毒感染或者其它不安全因素时,不会向其它 设备或网络扩散,从而保证装置或工厂的安全稳定运行。
2)、工厂操作人员能够及时准确的确认故障点,并排除问题
怎样能够及时发现网络中存在的感染及其他问题,准确找到故障的发生点,是维护控制系统信息安全的前提。
四、面粉工业控制系统安全的结构解决措施
根据工业自动化控制系统的特点,要满足上述安全需求,需要引入工业自动化控制系统 “纵深防御”的概念作为解决方案。纵深防御就是要通过部署多层次的、具有不同针对性的安全措施,保护关键的工业自动化控制过程与应用的安全,其特点在于:一攻击者将不得不渗透或绕过不同的多层安全机制,大大增加了攻击的难度;二安全架构中存在于某一层次上的安全脆弱性,可被其他防护措施所弥补,从而避免 “一点突破,满盘皆输”的危险。
对工业信息安全而言,首先需要满足控制系统的高可用性的要求,其次是完整性。由于在工控环境下,多数数据都是设备与设备之间的通信,因此再次的安全目标才是机密性。所以,可以将工业自动化控制系统安全的关键需求总结为:
1)、开展工业安全风险评估,建设全面的信息安全管理;
2)、实现安全域的划分与隔离,不同安全域之间 的网络接口需遵从清晰的安全规范;
3)、部署集成安全措施的保护基于工业P C的控制系统;
4)、保护工业自动化控制系统的控制单元,防御安全攻击;
5)、实现对工业自动化控制通信的可感知与可控制。
4.1工业控制系统的安全区域划分
建立工业自动化控制系统纵深防御,首先需要对具体工业自动化控制系统安全需求进行系统地分析,制定相应的安全规划;并对工控系统进行风险评估,切合实际地识别出该系统的安全脆弱性,面临的安全威胁,以及风险的来源。在此基础上,借助于产品安全、安全操作指南以及专业的工业安全服务,建立、部署层次化的多重安全措施。目前,纵深防御的工业信息安全理念覆盖了工业自动化控制系统的所有级别, 是满足工业信息安全领域的关键需求的现实解决方案。见下图
图2 工厂信息系统防护架构图
4.2,建立工业控制系统安全性的基础上的战略纵深防御
面粉行业的特点,结合工业控制系统的网络结构,纵深防御战略的基础上,创建“本质安全型”工业控制系统
1)、企业管理层和数采监控层之间的安全防护
在企业管理层和数采监控层之间加入防火墙,一方面提升了网络的区域划分,另一方面更重要的是只允许两个网络之间合法的数据交换,阻挡企业管理层对数采监控层的未经授权的非法访问,同时也防止管理层网络的病毒感染扩散到数采网络。考虑到企业管理层一般采用通用以太网,要求较高的通讯速率和带宽等因素,对此部位的安全防护建议使用常规的IT防火墙。
2)、数采监控层和控制层之间的安全防护
该部位通常使用OPC通讯协议,由于OPC通讯采用不固定的端口号,使用传统的IT防火墙进行防护时,不得不开放大规模范围内的端口号。在这种情况下,防火墙提供的安全保障被降至最低。因此,在数采监控层和控制层之间应安装专业的工业防火墙,解决OPC通讯采用动态端口带来的安全防护瓶颈问题,阻止病毒和任何其它的非法访问,这样来自防护区域内的病毒感染就不会扩散到其他网络,提升网络区域划分能力的同时从本质上保证了网络通讯安全。
3)、保护关键控制器
考虑到和控制器之间的通讯一般都采用制造商专有工业通讯协议,或者其它工业通信标准如Modbus等。由于常规的IT防火墙和网闸等安全防护产品都不支持工业通讯协议,因此,对关键的控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许制造商专有协议通过,阻挡来自操作站的任何非法访问;另一方面可以对网络通讯流量进行管控,可以指定只有某个专有操作站才能访问指定的控制器;第三方面也可以管控局部网络的通讯速率,防止控制器遭受网络风暴及其它攻击的影响,从而避免控制器死机。
4)、隔离工程师站,保护APC先控站
对于网络中存在的工程师站和APC先控站,考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备(U盘、笔记本电脑等),而且是在整个控制系统开车的情况下实施,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。在工程师站和APC先控站前端增加工业防火墙,可以将工程师站和APC节点单独隔离,防止病毒扩散,保证了网络的通讯安全。
5)、和第三方控制系统之间的安全防护
使用工业防火墙将SIS安全仪表系统等第三方控制系统和网络进行隔离后,主要是为了确保两个区域之间数据交换的安全,管控通讯数据,保证只有合法可信的、经过授权的访问和通讯才能通过网络通信管道。同时也提升了网络安全区域划分能力,有效地阻止了病毒感染的扩散。
此外,根据ISA-99,深度防御工业自动化控制系统也需要建立安全日志的收集,归档和审计机制,并建立一个安全事故处理和应急响应计划的情况下出现安全事故,能够迅速找出薄弱点,追溯攻击源,并迅速恢复系统的正常功能,为了实现工业自动化和控制通讯认为可以控制
6)、系统加固、补丁管理和账号管理
目前用于组态/维护的工程师站、HMI终端、OPC、SCADA、应用服务器等都采用的是安装了Windows的IPC,加之在 IPC上运行的工业控制软件、应用,以及相关中间件等,都可能存在相应 的安全漏洞,因此在条件允许的情况下,需要及时地进行补丁升级与系统加固。同时,虽然 PLC等工控设备多数基于专有的嵌入式系统,但其固件也存在补丁升级的问题。
对 PLC、IPC上的关键工控应用、过程、资源,为防止未经授权的访问或滥用,对不同人员的访问权限进行细粒度的控制,并在安全审计中对安全事件进行溯源,需要将管理措施与技术手段相结合,针对PLC CPU口令,工业 WLAN口令、IPC Windows口令、HMI口令等建立系统的账号管理,强化基于口令的访问控制。
4.3 报警管理平台
报警管理平台的功能包括集成系统中所有的事件和报警信息,并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。报警管理平台还负责捕获现场所有安装有工业防火墙的通讯信道中的攻击,并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁,以总揽大局的方式为工厂网络故障的及时排查、分析提供了可靠依据。
4.4 “测试”模式
系统工程师可以利用工业防火墙提供的“测试”模式功能,在真正部署防火墙之前,在真实工厂操作环境中对防火墙规则进行测试。通过分析确认每一条报警信息,实现全面的控制功能,从而确保工控需求的完整性和可靠性。
五、结语
工业自动化和控制系统的安全性不是一个纯粹的技术问题,而是意识培训,以启动相关的各方面的管理,流程,架构,技术,产品,系统的工程,管理需求的工业自动化控制系统,在业务方面,集成商和零部件供应商参与,共同努力,整个工业基础设施的生命周期的各个阶段和持续实施,并不断改进,以保护中国的工业基础设施运营的安全
最后,类似的IT信息安全,工业自动化控制系统本身的动态演化中的安全性是一个动态的过程和设备的变化,系统升级,将导致工业自动化和控制系统,以及各种安全攻击的安全威胁,技术复杂,技能也不断发展,预防难度也越来越大,因此不能达到100%信息安全,信息安全,需要继续实施的各个阶段,工业自动化控制系统的生命周期,持续改进。