u赢电竞竞猜:航天科学和技术六院7103厂成功申报

近日,航天科技集团六院7103厂《工控系统与涉密网络“智联融网”安全互联方案》通过国防科工局和国家保密局联合评审,标志着该厂成为“智联融网”首批试点单位。

据悉,该方案基于液体火箭发动机科研生产实际,结合信息化和数字化建设,着力解决工控设备与涉密信息系统安全互联问题,有效提高各车间设备协调工作能力,为液体动力智能制造新实践提供了安全稳定的技术支撑。 来源:航天科技网站

本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义。

u赢电竞竞猜 1

一、概述

很多人都在讲工控系统安全与互联网安全或者办公网的安全又很大的不同。 具体有哪些不同呢? 其实NIST的SP800-82的工控系统安全指南里面讲了10大类。 作为目前我们看到的比较系统的工控系统安全的标准或者指南来说。 NIST的这个文件概括的还是比较全面的。 不过, 在实践中,有些重要的不同点NIST并没有提到或者没有强调 而有些NIST的指南则未免有些纸上谈兵。 这里我举几个例子。

当前,随着工业控制信息化、三网融合、物联网、云计算等在内的多种新型信息技术的发展与应用,越来越多的信息技术应用到了工业领域,给工业控制系统信息安全保障工作提出了新的挑战: 工业控制系统需要利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平;工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,从而导致将传统IT风险延伸到了工控系统,工业控制系统的安全问题越来越严峻。

安全实施与设备管理在不同部门导致的责任问题

本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义。

在互联网或者企业网里, 所保护的对象比如服务器,存储,网络设备等的管理一般属于IT部门。 而实施网络安全方案的也是IT部门。 而在工控系统的安全里, 一般来说安全也是由IT部门主导, 而设备则是由另外的部门来管理。 比如在电网有所谓的OT部门。 在化工企业可能是设备处等等。 总之, 工控系统设备不归IT部门管。 有很多时候, IT部门的人员甚至都进不了工控机房。

二、工控系统安全体系架构

这样带来了工控系统安全产品开发和销售中的一个很大的挑战。

工业控制系统(简称工控系统)是现代工业基础设施的核心,包括过程控制、数据采集系统,分布式控制系统,程序逻辑控制以及其他控制系统等,广泛应用于电力、石油化工、先进制造、轨道交通等与国计民生紧密相关领域,是国家关键基础设施的重要组成部分。

首先是责任划分问题, 也就是说出了事谁负责的问题。 IT系统安全很简单, 出了事就是IT部门的事。 而在工控系统安全中,就存在责任划分问题。 “要是装了你的安全方案后出了问题算谁的?”设备部门的第一个问题往往就是这个。 如果没有一个很好的技术和管理结合的解决方案,控安全的方案就很难在企业真正大规模推广开。

工业控制系统通常由一系列网络设备构成,包括:传感器、执行器、过程控制单元和通信设备。控制系统通常采用分层结构,典型的控制系统体系架构如图1所示。第一层为安装有传感器和执行器等现场设备的物理设施,现场设备通过现场总线网络与可编程逻辑控制器(PLC)或远程终端设备(RTU)连接,PLC或RTU设备负责实现局域控制功能。第二层为控制网络,主要负责过程控制器和操作员站之间的实时数据传输。操作员站用于区域监控和设置物理设施的设定值。第三层为企业网,企业工作站负责生产控制,过程优化和过程日志记录。

其次, 在工控系统安全方案中, 客户对于生产系统的可持续性(continuity)的要求要大大高于IT安全的方案。 对一些大型工控系统,停一次机的损失就得几千万人民币或者几百万美元, 客户的生产部门对于由于安全方案需要的停机就特别反感, 尤其是在没有现实的威胁的情况下, 很难说服客户去做大规模的停机升级。 那么, 很多针对IT系统安全的方案比如升级或者补丁等就不一定合适。 且不说很多工控系统出于系统稳定性的考虑, 根本不允许进行补丁升级。 这样就要求我们不得不在网络层根据流量模式进行相应的防御。

u赢电竞竞猜 2

工控系统的“纵深防御“存在很大困难, 边界安全非常重要

图1 工控系统架构图

“纵深防御”是互联网和企业安全的一个很重要的策略。 在NIST的指南里也提到要采用“纵深防御“的策略。 不过, 从实践上来看, 在现阶段工控系统架构和设计不能做出重大改变的情况下,”纵深防御“很难实施,而边界安全其实更加重要。

工控系统的信息安全问题,在各层上都面临着来自不同方面的威胁,详细如下图所示。企业网的管理信息层面临来自互联网的攻击,也有企业内部恶意的攻击通过企业网进入工控网,一直到现场网络;在控制层有系统管理人员非法操作,最严重的要属第三方运维人员的对现场设备的操作;还有远程拨号的攻击,有部分现场还有野外搭线的威胁。

首先是工控系统的主机防御有很大困难, 很多主机系统非常老旧,漏洞非常多。 我们甚至在客户的工控系统中看到过Windows98的系统。 而由于存在升级的困难(事实上, 很多主机系统运行了超过10年, 都找不到相应的升级补丁)。

u赢电竞竞猜 3

其次, 工控系统从设计上不是一个通用计算系统, 设计的资源余量很少, 除了干工控系统本身的事之外, 从主机到网络都很少有冗余的资源进行其他工作。 不要说病毒, 就是一个扫描程序都可能导致工控系统的资源枯竭而导致问题。

图2 ICS攻击路径分析

在此情况下, 工控系统内部其实是一个资源紧张, 漏洞百出的系统。 而且是短时间内无法改变的状况。 在此种情况下进行工控系统安全的防御, 只能从边界安全上做文章。

本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义。

而边界安全来说, 传统企业安全的防火墙等方案并不能解决问题。 因为很多客户提出的所谓“安全隔离”, 其实并不能真正的隔离工控系统与外界的通信。 有很多工控系统的运行需要与办公网进行数据交流。 比如很多生产调度是要在办公网进行的。 有些办公系统应用需要从工控系统中或者实时数据库中取数据(比如商业分析, 生产优化等)。 目前普遍采用的OPC协议采用的动态端口分配的方式, 使得传统防火墙很难简单的通过规则制定来进行防护。 事实上, 我们看到不少客户买了由互联网防火墙改成的所谓“工控网防火墙“后, 发现无法适应生产的要求而弃之不用的情况。 我们的实践发现, 目前阶段工控系统边界安全的比较有效的方案是通过针对网络流量的分析, 利用人工智能的方式建立行为模式的白名单, 以及持续进行非主动的流量监测。

三、工控系统安全分析

工控系统的数据安全需要格外重视

近年来,工控系统安全问题频发,随着2010年伊朗核电站的“震网”(Stuxnet)病毒事件,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了日程。工控系统安全频发的原因主要有以下几个方面:

工控系统的数据风险有两个方面的威胁:

1)基于物理设施的风险

  • 一个是网络攻击的威胁, 我们通过对一些客户网络中的攻击分析发现, 目前对工控系统的攻击主要还是在系统信息收集以及工控数据篡改(事实上“震网“在最后实施攻击的那一步就是篡改了仪表数据进行的);
  • 另外一个是对于客户工控系统的经营和管理数据的窃取, 这里面包括可能有价值的工艺流程等情报。

◆ 操作系统的安全漏洞问题

而在实践中, 数据也是工控系统与外界通信的最主要原因。 大量的不同应用要去工控系统上取数据, 这也带来了工控系统一个主要的攻击面。 因此, 对于工控系统来说, 需要比企业网或者互联网要有更多的对数据安全的重视。

由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。

在进行数据安全的方案中, 一个需要注意的问题就是信息安全不能影响到工控系统的正常经营。 由于工控系统的资源冗余度很低, 数据安全的解决方案要考虑到资源占用的问题, 同时也要考虑到满足数据应用的大量需求, 这个矛盾需要认真解决。 仅仅按照企业网的数据安全的方案是不符合实际情况的。关于工控安全与传统IT安全思路的重大差异,读者还可以参考我两年前发布的这篇文章:工控安全,该做的和不该做的。

◆ 杀毒软件安装及升级更新问题

【编辑推荐】

用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。

◆ 使用U盘、光盘导致的病毒传播问题

由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。

◆ 设备维修时笔记本电脑的随便接入问题

工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。

2)基于“两化融合”的风险

工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。

同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统MES ,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。

3)采用通用软硬件带来的风险

工业控制系统向工业以太网结构发展,开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中,由于工业系统集成和使用的便利性,大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时,也大量的使用了PC服务器和终端产品,操作系统和数据库也大量的使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。

本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义。

四、工控系统信息安全保障策略

通过以上对工业控制系统安全状况分析,我们可以看到,工控系统采用通用平台,加大了工控系统面临的安全风险,而“两化融合”和工控系统自身的缺陷造成的安全风险,主要从两个方面进行安全防护。

1)构建“三层架构,二层防护”的安全体系

一般工业企业的信息系统,可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间,主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间,主要避免管理层直接对工业控制层的访问,保证制造执行层对工业控制层的操作唯一性。工控系统安全防护架构如下图所示:

u赢电竞竞猜 4

图3 工控系统安全防护架构

通过上图可以看到,我们把工业企业信息系统划分为三个层次,分别是计划管理层、制造执行层、工业控制层。

管理系统是指以ERP为代表的管理信息系统(MIS),其中包含了许多子系统,如:生产管理、财务管理、质量管理、车间管理、人事管理、综合管理等,管理信息系统融信息服务、决策支持于一体。

制造执行系统(MES)处于工业控制系统与管理系统之间,主要负责生产管理和调度执行。通过MES,管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。

工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。

2)工控系统的二层防护

1、管理层与MES层之间的安全防护 管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据,抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。 也就是说,管理层与MES层之间的安全防护,保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控、审计。管理层与MES层之间的安全防护如下图所示:

u赢电竞竞猜 5

图4 管理层与MES层之间的安全防护

2、MES层与工业控制层之间的安全防护

通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播; 阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:

区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故障会被控制在最初发生的区域内,而不会影响到其它部分。

实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速的发现和解决。

MES层与工业控制层之间的安全防护如下图所示:

u赢电竞竞猜 6

图5 MES层与工业控制层之间的安全防护

3、工控系统安全防护分域

安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。

在管理层、制造执行层、工业控制层中,进行管理系统安全子域的划分,制造执行安全子域的划分、工业控制安全子域的划分。 安全域的合理划分,使用每一个安全域都要明确的边界,便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示:

u赢电竞竞猜 7

图6 MES、ICS的安全域划分

如上图所示,为了保证各个生产线的安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。

本文由u赢电竞app发布于u赢电竞竞猜,转载请注明出处:u赢电竞竞猜:航天科学和技术六院7103厂成功申报

您可能还会对下面的文章感兴趣: