【解決方案】工業控制系統信息安全的探討與實現

一、 前言

        工信部協【2011】451號通知明確指出：“SCADA、DCS、PCS、PLC等工業控制系統廣泛運用于工業、能源、交通、水利以及市政等領域，用于控制生產設備的運行。隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。2010年發生的“震網”病毒事件，充分反映出工業控制系統信息安全面臨著嚴峻的形勢。對此，各地區、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業控制系統信息安全管理。”

        本文分析了當前工業控制系統的安全漏洞，并結合工業控制系統的網絡架構和多芬諾工業防火墻的“測試”模式功能，詳細介紹了工業控制系統信息安全的縱深防御策略，致力于建立一個“本質安全”的工業控制網，從而解決了困擾各公司的控制系統信息安全隱患，保證了企業各裝置控制系統的安全平穩運行。

二、 工業控制系統信息安全現狀分析

        近十年來，隨著信息技術的迅猛發展，信息化在我們企業中的應用取得了飛速發展，互聯網技術的出現，使得工業控制網絡中大量采用通用 TCP/IP 技術，ICS 網絡和企業管理網的聯系越來越緊密。另一方面，傳統工業控制系統采用專用的硬件、軟件和通信協議，設計上基本沒有考慮互聯互通所必須考慮的通信安全問題。企業管理網與工業控制網的防護功能都很弱或者甚至幾乎沒有隔離功能，因此在工控系統開放的同時，也減弱了控制系統與外界的隔離，工控系統的安全隱患問題日益嚴峻。系統中任何一點受到攻擊都有可能導致整個系統的癱瘓。

2.1 工業控制系統的安全漏洞

2.1.1 通信協議漏洞

        兩化融合和物聯網的發展使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中，隨之而來的通信協議漏洞問題也日益突出。例如，OPC Classic協議(OPC DA, OPC HAD和OPC A&E) 基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號，導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此確保使用OPC通訊協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。

2.1.2 操作系統漏洞

        目前大多數工業控制系統的工程師站/操作站/HMI都是Windows平臺的，為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，通常現場工程師在系統開車后不會對Windows平臺安裝任何補丁，但是存在的問題是，不安裝補丁系統就存在被攻擊的可能，從而埋下安全隱患。

2.1.3 安全策略和管理流程漏洞

        追求可用性而犧牲安全，是很多工業控制系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給工業控制系統信息安全帶來了一定的威脅。例如工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。   

2.1.4 殺毒軟件漏洞

        為了保證工控應用軟件的可用性，許多工控系統操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要不定期的經常更新，這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

2.1.5 應用軟件漏洞

        由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題；另外當應用軟件面向網絡應用時，就必須開放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。

2.2 工業控制系統的安全防御措施要求

        一般來說，公司的IT部門人員了解信息安全相關知識，但并不了解過程控制系統。而且傳統IT環境和工控系統環境之間存在著一些關鍵不同，例如，控制系統通常需要每周7天，每天24小時的長期運行。因此控制系統的特殊功能要求可能使原本合格的安全技術變得沒有效果。所以，簡單地將IT安全技術配置到工控系統中并不是高效可行的解決方案。

        國際行業標準ANSI/ISA-99明確指出目前工業控制領域普遍認可的安全防御措施要求如下：

         即將具有相同功能和安全要求的控制設備劃分到同一區域，區域之間執行管道通信，通過控制區域間管道中的通信內容來確保工業控制系統信息安全。

2.3 “縱深防御”策略

         “縱深防御”策略嚴格遵循ANSI/ISA-99標準，是提高工業控制系統信息安全的最佳選擇。建立“縱深防御”的最有效方法是采用ANSI/ISA-99.02.01和IEC-63443標準的區級防護，將網絡劃分為不同的安全區，在安全區之間按照一定規則安裝防火墻。

         建立“縱深防御”策略的兩個主要目標：

         1、即使在某一點發生網絡安全事故，也能保證裝置或工廠的正常安全穩定運行

         對于現代計算機網絡，我們認為最可怕的是病毒的急速擴散，它會瞬間令整個網絡癱瘓，該防護目標在于當工業網絡 的某個局部存在病毒感染或者其它不安全因素時，不會向其它 設備或網絡擴散，從而保證裝置或工廠的安全穩定運行。

         2、工廠操作人員能夠及時準確的確認故障點，并排除問題

         怎樣能夠及時發現網絡中存在的感染及其他問題，準確找到故障的發生點，是維護控制系統信息安全的前提。

三、 工業控制系統信息安全的縱深防御

3.1 工業系統網絡結構及安全區域的劃分

        從總體結構上來講，工業系統網絡可分為三個層次：企業管理層、數采信息層和控制層。企業管理層主要是辦公自動化系統，一般使用通用以太網，可以從數采信息層提取有關生產數據用于制定綜合管理決策。數采信息層主要是從控制層獲取數據，完成各種控制、運行參數的監測、報警和趨勢分析等功能。控制層負責通過組態設汁，完成數據采集、A/D轉換、數字濾波、溫度壓力補償、PID控制等各種功能。

        系統的每一個安全漏洞都會導致不同的后果，所以將它們單獨隔離防護十分必要。對于額外的安全性和可靠性要求，在主要的安全區還可以根據操作功能進一步劃分成子區。這樣一旦發生信息安全事故，就能大大提高工廠生產安全運行的可靠性，同時降低由此帶來的其他風險及清除費用。

        將企業系統結構劃分成不同的區域可以幫助企業有效地建立“縱深防御”策略，參照ANSI/ISA-99標準，同時結合工業系統的安全需要，可以將工業系統網絡劃分為下列不同的安全區域，包括企業IT網絡區域、過程信息/歷史數據區域、管理/HMI區域、DCS/PLC控制區域和第三方控制系統區域，如安全儀表系統SIS等，如圖1所示：

圖1 工業系統網絡安全區域的劃分

3.2 基于縱深防御策略的工業控制系統信息安全

        針對企業流程工業的特點，同時結合工業控制系統的網絡結構，基于縱深防御策略，創建“本質安全”的工業控制網絡需要以下五個層面的安全防護，如圖2所示：

圖2 工業控制系統信息安全的縱深防御

3.2.1 企業管理層和數采監控層之間的安全防護

        在企業管理層和數采監控層之間加入防火墻，一方面提升了網絡的區域劃分，另一方面更重要的是只允許兩個網絡之間合法的數據交換，阻擋企業管理層對數采監控層的未經授權的非法訪問，同時也防止管理層網絡的病毒感染擴散到數采網絡。

        考慮到企業管理層一般采用通用以太網，要求較高的通訊速率和帶寬等因素，對此部位的安全防護建議使用常規的IT防火墻。

3.2.2 數采監控層和控制層之間的安全防護

        該部位通常使用OPC通訊協議，由于OPC通訊采用不固定的端口號，使用傳統的IT防火墻進行防護時，不得不開放大規模范圍內的端口號。在這種情況下，防火墻提供的安全保障被降至最低。

        因此，在數采監控層和控制層之間應安裝專業的工業防火墻，解決OPC通訊采用動態端口帶來的安全防護瓶頸問題，阻止病毒和任何其它的非法訪問，這樣來自防護區域內的病毒感染就不會擴散到其他網絡，提升網絡區域劃分能力的同時從本質上保證了網絡通訊安全。

3.2.3 保護關鍵控制器

        考慮到和控制器之間的通訊一般都采用制造商專有工業通訊協議，或者其它工業通信標準如Modbus等。由于常規的IT防火墻和網閘等安全防護產品都不支持工業通訊協議，因此，對關鍵的控制器的保護應使用專業的工業防火墻。一方面對防火墻進行規則組態時只允許制造商專有協議通過，阻擋來自操作站的任何非法訪問；另一方面可以對網絡通訊流量進行管控，可以指定只有某個專有操作站才能訪問指定的控制器；第三方面也可以管控局部網絡的通訊速率，防止控制器遭受網絡風暴及其它攻擊的影響，從而避免控制器死機。

3.2.4 隔離工程師站，保護APC先控站

        對于網絡中存在的工程師站和APC先控站，考慮到工程師站和APC節點在項目實施階段通常需要接入第三方設備（U盤、筆記本電腦等），而且是在整個控制系統開車的情況下實施，受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。

        在工程師站和APC先控站前端增加工業防火墻，可以將工程師站和APC節點單獨隔離，防止病毒擴散，保證了網絡的通訊安全。

3.2.5 和第三方控制系統之間的安全防護

        使用工業防火墻將SIS安全儀表系統等第三方控制系統和網絡進行隔離后，主要是為了確保兩個區域之間數據交換的安全，管控通訊數據，保證只有合法可信的、經過授權的訪問和通訊才能通過網絡通信管道。同時也提升了網絡安全區域劃分能力，有效地阻止了病毒感染的擴散。

3.3 報警管理平臺

報警管理平臺的功能包括集成系統中所有的事件和報警信息，并對報警信息進行等級劃分。提供實時畫面顯示、歷史數據存儲、報警確認、報警細目查詢、歷史數據查詢等功能。報警管理平臺還負責捕獲現場所有安裝有工業防火墻的通訊信道中的攻擊，并詳細顯示攻擊來自哪里、使用何種通信協議、攻擊目標是誰，以總攬大局的方式為工廠網絡故障的及時排查、分析提供了可靠依據。

3.4 “測試”模式

        系統工程師可以利用多芬諾工業防火墻提供的“測試”模式功能，在真正部署防火墻之前，在真實工廠操作環境中對防火墻規則進行測試。通過分析確認每一條報警信息，實現全面的控制功能，從而確保工控需求的完整性和可靠性。

四、 總結

        工業控制系統信息安全問題已迫在眉睫，本文針對企業流程工業的特點，同時結合工業控制系統網絡結構和安全需求以及多芬諾工業防火墻提供的“測試”模式功能，提出工業控制系統信息安全的縱深防御策略，即參照國際行業標準ANSI/ISA-99，將工業系統網絡劃分為不同的安全區域，在區域之間執行管道通信，從而通過管控區域間管道中的通信內容，實現保證工廠控制網絡安全穩定運行的三個目標：通訊可控、區域隔離和報警追蹤，進而全方位地保障工業控制系統信息安全。

全國免費技術支持電話：4006-556-776

更多即時動態與海量信息分享，請關注企業官方新浪微博：青島多芬諾。