今日頭條
官方微信
官方抖音
資訊頻道1 前言
當前,工業信息安全威脅呈現不斷增長趨勢,隨著網絡信息技術的飛速發展、兩化融合的不斷深入,以及工業4.0時代的到來,各行各業全面面向信息網絡,在享受信息網絡帶來便利的同時,大規模、高強度的工業信息安全事件頻頻發生:2010年伊朗核設施遭受震網病毒攻擊;2015年12月,烏克蘭電廠遭受黑客攻擊,導致大面積居民停電;2018年4月,工業路由器摩莎EDR-810曝17個嚴重漏洞……據不完全統計,近年來每年發生的工業信息安全事件均接近300起。
工業控制系統和設備大量暴露在互聯網上,也已成為各國工業信息安全的重要威脅和軟肋。根據國家工業信息安全發展研究中心監測,截至2017年12月,全球暴露在互聯網上的工業控制設備超過10萬個。
而國內暴露在互聯網上的工業控制系統數量增幅尤其明顯,增速超過了全球平均水平,其中相當大一部分都存在高危安全漏洞。國內工業信息安全產業發展存在明顯的不足,如產業生態尚不健全,仍未形成良性發展的產業鏈;核心技術的積累不夠,仍然處于跟跑狀態;安全服務能力亟待提升,安全服務市場占有率較低等。
針對國內現有工控信息安全市場的不足,工業和信息化部于2016年10月17日發布《工業控制系統信息安全防護指南》,《指南》整體思路借鑒了等級保護的思想,具體提出了十一條三十款要求,貼近實際工業企業真實情況,務實可落地;2017年底印發《工業控制系統信息安全行動計劃(2018-2020年)》,要求建設“一網一庫三平臺”的國家工業信息安全技術保障體系。
工業控制網絡安全需要警鐘長鳴,立足自主創新,才能擺脫核心技術產品受制于人的局面,立足自主創新,才能實現發展與安全的協同推進。力控華康依托工業自動化和工業信息化的多年沉淀、積累的實踐經驗,自主創新開發出適用于工業控制現場的工業通信網關pFieldComm系列、工業安全隔離產品pSafetyLink系列、工業防火墻HC-ISG系列、安全通信網關HC-ICG系列、工控安全管理平臺、主機安全衛士、工業安全審計等產品,并在石油、石化、燃氣、鋼鐵、有色、礦山、電力、煤礦、供水等諸多行業成功應用,為國內工業網絡安全保駕護航。
2 護航工業控制系統網絡安全
工業控制系統網絡是由工業自動化生產設備,如SCADA、DCS、PLC等各種過程控制系統組成的網絡,不同于IT網絡,工業控制系統網絡具有以下特點:
(1)專用通信協議或規約(OPC、Modbus、DNP3等);
(2)系統傳輸、處理信息的實時性要求高,盡量避免停機、重啟等操作;
(3)系統故障必須及時響應處理,不可預料的中斷會造成經濟損失或其他危害;
(4)為滿足特定應用場景、任務單一性以及系統穩定性;為保障生產的連續性,減少可能的風險,因此系統或設備很少升級,甚至不升級。
工業控制系統的核心是工業軟件,工控系統的作用是其對于生產流程的自動化管控,一旦可用性出現問題,整個生產流程將會受到極大影響,造成不可挽回的損失。在工業控制領域,可用性作為信息安全建設的首要目標,工業領域的安全主要分為功能安全、物理安全、信息安全等。工業控制系統基于專用通信協議,與生產直接相關、數據傳輸、處理信息的實時性要求高,不能停機和重啟等特點,對功能安全和實時性要求較高。
傳統IT信息安全標準的三要素分別為:保密性、完整性和可用性,如工業領域中門戶網站、辦公系統、財務系統、ERP系統、MES系統等信息化系統。傳統IT信息安全以保密性為首,信息系統允許適度延遲、重啟。因此常規IT信息安全技術無法直接用來有效地解決工業控制系統網絡全部安全問題。
2.1 防護體系及策略
在工業網絡安全護航的過程中,力控華康積累經驗,提出了三大工業網絡安全體系、五層防護策略。
三大安全體系包括:
(1)風險評估
建立信息安全風險評估機制,對工業控制系統的安全風險進行系統、全面分析,找到整個體系的薄弱點根據需求進行安全規劃設計。
(2)安全規劃設計
根據評估結果制定工業控制系統的安全解決方案,可借鑒傳統IT系統安全分區和縱深防御的成熟做法;也要充分考慮工業控制系統的特殊性,堅持功能安全和信息安全相結合的原則,保障生產任務的不間斷運行。涵蓋設備安全、控制安全、網絡安全、數據安全、應用安全等多個層級的安全防護技術,最終為用戶提供可選擇適合工業控制系統的安全技術和產品。
(3)安全管理可持續性改進
完善安全制度和人員素質提升,掌握整個安全防護體系為使用安全防護技術去構建縱深防護體系,通過綜合安全管理持續改進,保證整個體系的良性運轉。
五層防護策略包括:
(1)第一層:信息網絡及系統防護,主要側重信息系統及互聯網絡的安全方面;
(2)第二層:生產控制網絡防護,主要是監控系統及帶有控制命令的安全防護;
(3)第三層:主機防御加固強化,提升主機系統如SCADA、PLC自身的防病毒/防攻擊能力;
(4)第四層:工業軟件安全加強,軟件的版本管理和備份管理,密碼定時更新、軟件補丁更新等;
(5)第五層:制定安全管理制度加強人員培訓。
2.2 安全防護產品
為實現安全防護的三大體系及五層策略,力控華康依托在工業自動化和工業信息化方面多年沉淀的實踐經驗,自主創新研發多款產品。其中如下幾款產品頗具有代表性:
(1)pSafetyLink系列工業安全隔離網關。此款產品可以對工業協議進行解析,提取其中的數據元素,可以作到針對測點一級的訪問控制。如對于OPC標準可以控制到Item(項)一級,對于Modbus協議可以控制到寄存器。pSafetyLink系列工業安全隔離網關可以對測點進行可見范圍和讀寫權限兩方面的控制。
(2)HC-ISG系列工業防火墻不但支持傳統防火墻的基礎訪問控制功能,還可提供針對工業協議的指令級深度檢測,實現了對Modbus、OPC DA、DNP3等主流工業協議和規約的細粒度檢查和過濾,幫助用戶防護來自網絡的病毒傳播、黑客攻擊等行為,避免其對控制網絡的影響和對生產流程的破壞,同時具備Bypass及全透明無間斷部署功能,保證業務的連續性;規則報警功能可以有效對異常操作進行處理,避免因未及時處理造成損失和危害;而且它采用白名單機制,可以較少甚至不用升級,符合工業現場特點。
(3)pFliedComm系列工業通訊網關定位于解決工業網絡中協議、規約復雜多樣,數據通訊接口不暢的問題。采用高性能嵌入式硬件平臺,內嵌力控華康自主研發的工業數據采集和處理系統,具有多種通信規約庫,可以實現對不同軟件系統、控制器和現場設備數據的集中采集、預處理、協議轉換和復用轉發。
(4)工控安全管理平臺ISC采用B/S結構,可全面監控力控華康自研設備的運行狀態,采集其安全事件。平臺可對各類關鍵運行指標設置監控閾值,對采集的事件進行歸一化處理和關聯分析。安全管理平臺還可以針對第三方控制設備做現場控制系統的生產報警管理(基于ISA18.2標準),當出現運行指標異常或發現攻擊行為或違規訪問時,可及時進行多種方式的告警,幫助管理員迅速定位故障點,發現高危安全事件,及時采取有效措施,保障用戶生產業務的連續性。
(5)工控安全審計系統是專門為工業控制網絡量身打造的工控網絡安全產品,它能實時監測工控網絡的狀態,檢測工控網絡中入侵行為,也能根據用戶定義的審計策略,追蹤工控網絡安全事件,對工控網絡的數據進行留存。
2.3 行業應用
力控華康護航工業安全領域這么多年來,已積累了豐富的經驗,并且在各行各業的產品應用中取得巨大成就。
(1)煉化行業信息接入MES系統安全防護系統,如圖1所示。
圖1 煉化行業信息接入MES系統安全防護系統
煉化行業主要使用DCS作為生產控制系統, DCS普遍使用OPC通信協議向上級系統傳遞數據,所以OPC通信的安全防護是重中之重,華康根據這一特點,完美接入OPC通訊,在不同安全防護層次增加部署不同的安全防護產品,全面保護工業數據與上層MES系統間的互通互聯。
(2)城市燃氣行業指揮調度系統安全防護系統,如圖2所示。
圖2 城市燃氣行業指揮調度系統安全防護系統
城市燃氣指揮調度系統可分為門站(場站)、調度中心(項目公司)、區域公司、集團公司四個等級。城市燃氣調度中心是城市燃氣 SCADA 系統的核心部分,它監控門站、中高壓站、中低壓站、大用戶站等設備的實時運行狀況,記錄燃氣管網的運行數據,為區域公司、集團公司提供相關數據等。為保證數據在不同等級區域間的安全傳輸,力控華康依據多年安全防護經驗,在不同等級區間部署相應的安全設備及管理平臺,保障數據在生產傳輸過程中的安全性。
(3)油氣生產物聯網安全防護系統,如圖3所示。
圖3 油氣生產物聯網安全防護系統
油氣生產物聯網系統一般是由油、氣井、站庫、作業區、采油廠幾個部分組成,為了保障數據在傳輸過程中的安全性,分三個等級采取防護措施:
·在各站庫與作業區之間部署安全隔離設備,保護現場數據的安全性;
·在各作業區與采油廠之間部署安全隔離設備,采用單項導入模式,保護作業區的數據安全;
·在采油廠與外網接入點部署工業防火墻,防止一些威脅通過互聯網進入油氣生產物聯網系統。
(4)化工行業安全防護系統,如圖4所示。
通過在不同區域部署華康安全設備實現對各生產裝置DCS/PLC控制網絡的高安全級別的安全防護,徹底避免辦公網絡對控制網絡可能產生的干擾。對現有生產過程不產生影響的前提下,保證現有數據采集功能的實現。解決某一個裝置的控制網絡由于內控不當出現了網絡安全問題后,橫向感染、傳播到其它裝置的控制網絡提高控制網絡的內控管理要求,防止由于內控不當,由內部人員通過U盤、筆記本電腦等途徑直接從內網造成控制網絡安全問題。
圖4 化工行業安全防護系統
3 結語
力控華康作為國內較早從事工業控制系統信息安全技術研發的廠商之一,已發展成為中國領先的工業控制系統信息安全產品及服務提供商,參與了包括GB/T 30976在內的多個信息安全國家標準的制定工作。憑借多年來在工業控制領域信息安全方面的優良表現,工業控制系統信息安全產品成功入選“2013年國家信息安全專項及下一代研發、產業化和規模商用專項”清單。
作者簡介
鮑 磊(1986-),男,安徽人,本科,現任北京力控華康科技有限公司產品經理,研究方向為工控網絡安全產品、技術應用及安全方案。
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號