某生產氮肥的化肥廠,有一個聯合控制室,有40多套DCS操作站,負責二期工程的生產控制。為了方便生產調度管理,2005年對全廠的DCS數據進行采集,上傳到生產管理部門。由于當時網絡威脅不是很嚴重,一切運行正常。當蠕蟲病毒爆發后,這種平靜被打破了。
2008年某個普普通通的工作日,當生產緊張而有序地進行著的時候。突然,聯合控制室,有1套DCS操作站出現了死機的現象,然后幾分鐘之內,多個工段的操作站接二連三的出現相同的現象。對于易燃易爆的生產工藝來說,這種DCS失控的狀態隨時可能引發不可挽回的后果。
幸虧工廠的維護人員經驗豐富,馬上拔掉的數據采集的網線。然后,同時對每臺操作站進行殺毒。成千上萬的蠕蟲病毒被發現,險情得到了控制。
需求分析:
2008年國內做工業網絡安全的公司很少,而力控華康也是剛剛推出第一款pSafetyLink®隔離網關。經過仔細分析,甲方認為力控隔離網關是解決DCS安全問題最有效的方法。于是先上一臺看看。由于是第一次應用,隔離網關與DCS OPC Server的通訊會出現中斷的現象。力控華康的開發人員經過分析,發現是DCS OPC Server的問題,于是請DCS廠家對OPC Server進行了改進。于是運行穩定了。
直到隔離網關正常運行后,該化肥廠才將生產數據采集調度系統恢復運行。由于該化肥廠還有2個分廠需要解決接入調度系統的安全問題,于是工廠又購買了幾臺pSafetyLink®隔離網關,并順利投入運行。
工控網絡安全解決方案
前面企業的需求并非個例, 化肥企業是典型的資金和技術密集型企業, 對信息系統依賴程度很高, 生產的連續性很強, 裝置和設備的意外停產都會導致巨大的經濟和財產損失。通過前面對化肥企業網絡安全風險的分析, 我們總結出化肥企業信息安全建設的需求主要是通過建設具備縱深防御能力的信息安全保障體系, 抵御來自內部、外部的入侵和攻擊, 及時發現病毒、漏洞并抑制病毒在網絡間的擴散, 尤其要確保工業控制系統的安全, 避免因為控制系統被入侵而出現生產事故。
參照ANSI/ISA-99 標準, 同時結合化肥行業的具體情況, 我們將企業系統結構劃分成不同的區域,以幫助企業有效地建立“縱深防御”體系:
1.橫向分層,將企業的生產網絡劃分成企ERP、MES、PCS三層網絡結構。在MES和PCS間部署了力控華康PSL系列工業隔離網關,主要實現了控制網絡的物理隔離, 有效屏蔽ERP和MES層面的網絡威脅向生產控制系統傳導, 同時又實現了網絡之間安全的數據交換。在管理網絡和信息網絡之間部署工業防火墻, 主要用于彌補傳統防火墻的不足, 實現對工業協議的安全檢測。
2.在生產控制網絡層內縱向分區, 每個生產區內包含離散控制系統(DCS) 、OPC服務器和不同的生產車間。在OPC服務器與DCS控制系統之間采用力控華康ISG工業防火墻進行安全防護,通過對工業協議的深度過濾確保DCS系統及控制設備的安全,并抑制安全威脅在不同生產區之間的擴散。
3.在生產控制網絡內布署工業漏洞掃描系統,定期對工業網絡設備、系統及PLC等控制設備進行安全檢測, 讓安全管理人員及時了解工業網絡安全和運行的應用服務情況, 及時發現安全漏洞, 更新漏洞補丁, 避免因此而帶來的風險威脅。目前網絡邊界防御中最普遍應用的安全技術是通用防火墻。通用防火墻是在網絡層對數據包作安全檢查, 并不切斷網絡連接, 很多案例證明無論包過濾、狀態檢測還是代理防火墻技術都很難防止木馬病毒的入侵內部網絡。Nimda 繞過很多防火墻的檢查并在全世界肆虐就是一個很好的例證。通常見到的木馬大部分是基于TCP 的, 木馬的客戶端和服務器端需要建立連接,而PSL工業隔離網關從原理實現上就切斷所有的 T CP、UDP、ICMP 等通用協議鏈接, 使得蠕蟲病毒和木馬無法通過工業安全隔離網關進行通訊, 從而可以防止已知和未知的木馬攻擊。
本方案中采用的力控華康PSL安全工業隔離網關內部特殊的2+1的雙獨立主機架構, 控制端接入工業控制網絡, 通過采集接口完成各子系統數據的采集; 信息接入到企業管理網絡, 完成數據到調度中心的傳輸。雙主機之間通過專有的PSL網絡隔離傳輸技術,截斷 TCP 連接,徹底割斷穿透性的 TCP連接。PSL的物理層采用專用隔離硬件,鏈路層和應用層采用私有通信協議,數據流采用128 位以上加密方式傳輸,更加充分保障數據安全。PSL技術實現了數據完全自我定義、自我解析、自我審查, 傳輸機制具有徹底不可攻擊性, 從根本上杜絕了非法數據的通過, 確保子系統控制系統不會受到攻擊、侵入及病毒感染。
應用效果:
到目前為止,該化肥廠采用pSafetyLink®隔離網關有7年的時間了。通過物理隔離的技術手段,再加上甲方維護人員的精心管理,再也沒有發生過那種驚心動魄的情況。他們都說:“是力控華康pSafetyLink®隔離網關解決了我們化肥廠的DCS安全問題”。
2008年某個普普通通的工作日,當生產緊張而有序地進行著的時候。突然,聯合控制室,有1套DCS操作站出現了死機的現象,然后幾分鐘之內,多個工段的操作站接二連三的出現相同的現象。對于易燃易爆的生產工藝來說,這種DCS失控的狀態隨時可能引發不可挽回的后果。
幸虧工廠的維護人員經驗豐富,馬上拔掉的數據采集的網線。然后,同時對每臺操作站進行殺毒。成千上萬的蠕蟲病毒被發現,險情得到了控制。
需求分析:
2008年國內做工業網絡安全的公司很少,而力控華康也是剛剛推出第一款pSafetyLink®隔離網關。經過仔細分析,甲方認為力控隔離網關是解決DCS安全問題最有效的方法。于是先上一臺看看。由于是第一次應用,隔離網關與DCS OPC Server的通訊會出現中斷的現象。力控華康的開發人員經過分析,發現是DCS OPC Server的問題,于是請DCS廠家對OPC Server進行了改進。于是運行穩定了。
直到隔離網關正常運行后,該化肥廠才將生產數據采集調度系統恢復運行。由于該化肥廠還有2個分廠需要解決接入調度系統的安全問題,于是工廠又購買了幾臺pSafetyLink®隔離網關,并順利投入運行。
工控網絡安全解決方案
前面企業的需求并非個例, 化肥企業是典型的資金和技術密集型企業, 對信息系統依賴程度很高, 生產的連續性很強, 裝置和設備的意外停產都會導致巨大的經濟和財產損失。通過前面對化肥企業網絡安全風險的分析, 我們總結出化肥企業信息安全建設的需求主要是通過建設具備縱深防御能力的信息安全保障體系, 抵御來自內部、外部的入侵和攻擊, 及時發現病毒、漏洞并抑制病毒在網絡間的擴散, 尤其要確保工業控制系統的安全, 避免因為控制系統被入侵而出現生產事故。
參照ANSI/ISA-99 標準, 同時結合化肥行業的具體情況, 我們將企業系統結構劃分成不同的區域,以幫助企業有效地建立“縱深防御”體系:
1.橫向分層,將企業的生產網絡劃分成企ERP、MES、PCS三層網絡結構。在MES和PCS間部署了力控華康PSL系列工業隔離網關,主要實現了控制網絡的物理隔離, 有效屏蔽ERP和MES層面的網絡威脅向生產控制系統傳導, 同時又實現了網絡之間安全的數據交換。在管理網絡和信息網絡之間部署工業防火墻, 主要用于彌補傳統防火墻的不足, 實現對工業協議的安全檢測。
2.在生產控制網絡層內縱向分區, 每個生產區內包含離散控制系統(DCS) 、OPC服務器和不同的生產車間。在OPC服務器與DCS控制系統之間采用力控華康ISG工業防火墻進行安全防護,通過對工業協議的深度過濾確保DCS系統及控制設備的安全,并抑制安全威脅在不同生產區之間的擴散。
3.在生產控制網絡內布署工業漏洞掃描系統,定期對工業網絡設備、系統及PLC等控制設備進行安全檢測, 讓安全管理人員及時了解工業網絡安全和運行的應用服務情況, 及時發現安全漏洞, 更新漏洞補丁, 避免因此而帶來的風險威脅。目前網絡邊界防御中最普遍應用的安全技術是通用防火墻。通用防火墻是在網絡層對數據包作安全檢查, 并不切斷網絡連接, 很多案例證明無論包過濾、狀態檢測還是代理防火墻技術都很難防止木馬病毒的入侵內部網絡。Nimda 繞過很多防火墻的檢查并在全世界肆虐就是一個很好的例證。通常見到的木馬大部分是基于TCP 的, 木馬的客戶端和服務器端需要建立連接,而PSL工業隔離網關從原理實現上就切斷所有的 T CP、UDP、ICMP 等通用協議鏈接, 使得蠕蟲病毒和木馬無法通過工業安全隔離網關進行通訊, 從而可以防止已知和未知的木馬攻擊。
本方案中采用的力控華康PSL安全工業隔離網關內部特殊的2+1的雙獨立主機架構, 控制端接入工業控制網絡, 通過采集接口完成各子系統數據的采集; 信息接入到企業管理網絡, 完成數據到調度中心的傳輸。雙主機之間通過專有的PSL網絡隔離傳輸技術,截斷 TCP 連接,徹底割斷穿透性的 TCP連接。PSL的物理層采用專用隔離硬件,鏈路層和應用層采用私有通信協議,數據流采用128 位以上加密方式傳輸,更加充分保障數據安全。PSL技術實現了數據完全自我定義、自我解析、自我審查, 傳輸機制具有徹底不可攻擊性, 從根本上杜絕了非法數據的通過, 確保子系統控制系統不會受到攻擊、侵入及病毒感染。
應用效果:
到目前為止,該化肥廠采用pSafetyLink®隔離網關有7年的時間了。通過物理隔離的技術手段,再加上甲方維護人員的精心管理,再也沒有發生過那種驚心動魄的情況。他們都說:“是力控華康pSafetyLink®隔離網關解決了我們化肥廠的DCS安全問題”。