今日頭條
官方微信
官方抖音
資訊頻道1 前言
當前,工業(yè)信息安全威脅呈現(xiàn)不斷增長趨勢,隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展、兩化融合的不斷深入,以及工業(yè)4.0時代的到來,各行各業(yè)全面面向信息網(wǎng)絡(luò),在享受信息網(wǎng)絡(luò)帶來便利的同時,大規(guī)模、高強度的工業(yè)信息安全事件頻頻發(fā)生:2010年伊朗核設(shè)施遭受震網(wǎng)病毒攻擊;2015年12月,烏克蘭電廠遭受黑客攻擊,導(dǎo)致大面積居民停電;2018年4月,工業(yè)路由器摩莎EDR-810曝17個嚴重漏洞……據(jù)不完全統(tǒng)計,近年來每年發(fā)生的工業(yè)信息安全事件均接近300起。
工業(yè)控制系統(tǒng)和設(shè)備大量暴露在互聯(lián)網(wǎng)上,也已成為各國工業(yè)信息安全的重要威脅和軟肋。根據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測,截至2017年12月,全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備超過10萬個。
而國內(nèi)暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)數(shù)量增幅尤其明顯,增速超過了全球平均水平,其中相當大一部分都存在高危安全漏洞。國內(nèi)工業(yè)信息安全產(chǎn)業(yè)發(fā)展存在明顯的不足,如產(chǎn)業(yè)生態(tài)尚不健全,仍未形成良性發(fā)展的產(chǎn)業(yè)鏈;核心技術(shù)的積累不夠,仍然處于跟跑狀態(tài);安全服務(wù)能力亟待提升,安全服務(wù)市場占有率較低等。
針對國內(nèi)現(xiàn)有工控信息安全市場的不足,工業(yè)和信息化部于2016年10月17日發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》,《指南》整體思路借鑒了等級保護的思想,具體提出了十一條三十款要求,貼近實際工業(yè)企業(yè)真實情況,務(wù)實可落地;2017年底印發(fā)《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》,要求建設(shè)“一網(wǎng)一庫三平臺”的國家工業(yè)信息安全技術(shù)保障體系。
工業(yè)控制網(wǎng)絡(luò)安全需要警鐘長鳴,立足自主創(chuàng)新,才能擺脫核心技術(shù)產(chǎn)品受制于人的局面,立足自主創(chuàng)新,才能實現(xiàn)發(fā)展與安全的協(xié)同推進。力控華康依托工業(yè)自動化和工業(yè)信息化的多年沉淀、積累的實踐經(jīng)驗,自主創(chuàng)新開發(fā)出適用于工業(yè)控制現(xiàn)場的工業(yè)通信網(wǎng)關(guān)pFieldComm系列、工業(yè)安全隔離產(chǎn)品pSafetyLink系列、工業(yè)防火墻HC-ISG系列、安全通信網(wǎng)關(guān)HC-ICG系列、工控安全管理平臺、主機安全衛(wèi)士、工業(yè)安全審計等產(chǎn)品,并在石油、石化、燃氣、鋼鐵、有色、礦山、電力、煤礦、供水等諸多行業(yè)成功應(yīng)用,為國內(nèi)工業(yè)網(wǎng)絡(luò)安全保駕護航。
2 護航工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)是由工業(yè)自動化生產(chǎn)設(shè)備,如SCADA、DCS、PLC等各種過程控制系統(tǒng)組成的網(wǎng)絡(luò),不同于IT網(wǎng)絡(luò),工業(yè)控制系統(tǒng)網(wǎng)絡(luò)具有以下特點:
(1)專用通信協(xié)議或規(guī)約(OPC、Modbus、DNP3等);
(2)系統(tǒng)傳輸、處理信息的實時性要求高,盡量避免停機、重啟等操作;
(3)系統(tǒng)故障必須及時響應(yīng)處理,不可預(yù)料的中斷會造成經(jīng)濟損失或其他危害;
(4)為滿足特定應(yīng)用場景、任務(wù)單一性以及系統(tǒng)穩(wěn)定性;為保障生產(chǎn)的連續(xù)性,減少可能的風(fēng)險,因此系統(tǒng)或設(shè)備很少升級,甚至不升級。
工業(yè)控制系統(tǒng)的核心是工業(yè)軟件,工控系統(tǒng)的作用是其對于生產(chǎn)流程的自動化管控,一旦可用性出現(xiàn)問題,整個生產(chǎn)流程將會受到極大影響,造成不可挽回的損失。在工業(yè)控制領(lǐng)域,可用性作為信息安全建設(shè)的首要目標,工業(yè)領(lǐng)域的安全主要分為功能安全、物理安全、信息安全等。工業(yè)控制系統(tǒng)基于專用通信協(xié)議,與生產(chǎn)直接相關(guān)、數(shù)據(jù)傳輸、處理信息的實時性要求高,不能停機和重啟等特點,對功能安全和實時性要求較高。
傳統(tǒng)IT信息安全標準的三要素分別為:保密性、完整性和可用性,如工業(yè)領(lǐng)域中門戶網(wǎng)站、辦公系統(tǒng)、財務(wù)系統(tǒng)、ERP系統(tǒng)、MES系統(tǒng)等信息化系統(tǒng)。傳統(tǒng)IT信息安全以保密性為首,信息系統(tǒng)允許適度延遲、重啟。因此常規(guī)IT信息安全技術(shù)無法直接用來有效地解決工業(yè)控制系統(tǒng)網(wǎng)絡(luò)全部安全問題。
2.1 防護體系及策略
在工業(yè)網(wǎng)絡(luò)安全護航的過程中,力控華康積累經(jīng)驗,提出了三大工業(yè)網(wǎng)絡(luò)安全體系、五層防護策略。
三大安全體系包括:
(1)風(fēng)險評估
建立信息安全風(fēng)險評估機制,對工業(yè)控制系統(tǒng)的安全風(fēng)險進行系統(tǒng)、全面分析,找到整個體系的薄弱點根據(jù)需求進行安全規(guī)劃設(shè)計。
(2)安全規(guī)劃設(shè)計
根據(jù)評估結(jié)果制定工業(yè)控制系統(tǒng)的安全解決方案,可借鑒傳統(tǒng)IT系統(tǒng)安全分區(qū)和縱深防御的成熟做法;也要充分考慮工業(yè)控制系統(tǒng)的特殊性,堅持功能安全和信息安全相結(jié)合的原則,保障生產(chǎn)任務(wù)的不間斷運行。涵蓋設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全等多個層級的安全防護技術(shù),最終為用戶提供可選擇適合工業(yè)控制系統(tǒng)的安全技術(shù)和產(chǎn)品。
(3)安全管理可持續(xù)性改進
完善安全制度和人員素質(zhì)提升,掌握整個安全防護體系為使用安全防護技術(shù)去構(gòu)建縱深防護體系,通過綜合安全管理持續(xù)改進,保證整個體系的良性運轉(zhuǎn)。
五層防護策略包括:
(1)第一層:信息網(wǎng)絡(luò)及系統(tǒng)防護,主要側(cè)重信息系統(tǒng)及互聯(lián)網(wǎng)絡(luò)的安全方面;
(2)第二層:生產(chǎn)控制網(wǎng)絡(luò)防護,主要是監(jiān)控系統(tǒng)及帶有控制命令的安全防護;
(3)第三層:主機防御加固強化,提升主機系統(tǒng)如SCADA、PLC自身的防病毒/防攻擊能力;
(4)第四層:工業(yè)軟件安全加強,軟件的版本管理和備份管理,密碼定時更新、軟件補丁更新等;
(5)第五層:制定安全管理制度加強人員培訓(xùn)。
2.2 安全防護產(chǎn)品
為實現(xiàn)安全防護的三大體系及五層策略,力控華康依托在工業(yè)自動化和工業(yè)信息化方面多年沉淀的實踐經(jīng)驗,自主創(chuàng)新研發(fā)多款產(chǎn)品。其中如下幾款產(chǎn)品頗具有代表性:
(1)pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)。此款產(chǎn)品可以對工業(yè)協(xié)議進行解析,提取其中的數(shù)據(jù)元素,可以作到針對測點一級的訪問控制。如對于OPC標準可以控制到Item(項)一級,對于Modbus協(xié)議可以控制到寄存器。pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)可以對測點進行可見范圍和讀寫權(quán)限兩方面的控制。
(2)HC-ISG系列工業(yè)防火墻不但支持傳統(tǒng)防火墻的基礎(chǔ)訪問控制功能,還可提供針對工業(yè)協(xié)議的指令級深度檢測,實現(xiàn)了對Modbus、OPC DA、DNP3等主流工業(yè)協(xié)議和規(guī)約的細粒度檢查和過濾,幫助用戶防護來自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為,避免其對控制網(wǎng)絡(luò)的影響和對生產(chǎn)流程的破壞,同時具備Bypass及全透明無間斷部署功能,保證業(yè)務(wù)的連續(xù)性;規(guī)則報警功能可以有效對異常操作進行處理,避免因未及時處理造成損失和危害;而且它采用白名單機制,可以較少甚至不用升級,符合工業(yè)現(xiàn)場特點。
(3)pFliedComm系列工業(yè)通訊網(wǎng)關(guān)定位于解決工業(yè)網(wǎng)絡(luò)中協(xié)議、規(guī)約復(fù)雜多樣,數(shù)據(jù)通訊接口不暢的問題。采用高性能嵌入式硬件平臺,內(nèi)嵌力控華康自主研發(fā)的工業(yè)數(shù)據(jù)采集和處理系統(tǒng),具有多種通信規(guī)約庫,可以實現(xiàn)對不同軟件系統(tǒng)、控制器和現(xiàn)場設(shè)備數(shù)據(jù)的集中采集、預(yù)處理、協(xié)議轉(zhuǎn)換和復(fù)用轉(zhuǎn)發(fā)。
(4)工控安全管理平臺ISC采用B/S結(jié)構(gòu),可全面監(jiān)控力控華康自研設(shè)備的運行狀態(tài),采集其安全事件。平臺可對各類關(guān)鍵運行指標設(shè)置監(jiān)控閾值,對采集的事件進行歸一化處理和關(guān)聯(lián)分析。安全管理平臺還可以針對第三方控制設(shè)備做現(xiàn)場控制系統(tǒng)的生產(chǎn)報警管理(基于ISA18.2標準),當出現(xiàn)運行指標異常或發(fā)現(xiàn)攻擊行為或違規(guī)訪問時,可及時進行多種方式的告警,幫助管理員迅速定位故障點,發(fā)現(xiàn)高危安全事件,及時采取有效措施,保障用戶生產(chǎn)業(yè)務(wù)的連續(xù)性。
(5)工控安全審計系統(tǒng)是專門為工業(yè)控制網(wǎng)絡(luò)量身打造的工控網(wǎng)絡(luò)安全產(chǎn)品,它能實時監(jiān)測工控網(wǎng)絡(luò)的狀態(tài),檢測工控網(wǎng)絡(luò)中入侵行為,也能根據(jù)用戶定義的審計策略,追蹤工控網(wǎng)絡(luò)安全事件,對工控網(wǎng)絡(luò)的數(shù)據(jù)進行留存。
2.3 行業(yè)應(yīng)用
力控華康護航工業(yè)安全領(lǐng)域這么多年來,已積累了豐富的經(jīng)驗,并且在各行各業(yè)的產(chǎn)品應(yīng)用中取得巨大成就。
(1)煉化行業(yè)信息接入MES系統(tǒng)安全防護系統(tǒng),如圖1所示。
圖1 煉化行業(yè)信息接入MES系統(tǒng)安全防護系統(tǒng)
煉化行業(yè)主要使用DCS作為生產(chǎn)控制系統(tǒng), DCS普遍使用OPC通信協(xié)議向上級系統(tǒng)傳遞數(shù)據(jù),所以O(shè)PC通信的安全防護是重中之重,華康根據(jù)這一特點,完美接入OPC通訊,在不同安全防護層次增加部署不同的安全防護產(chǎn)品,全面保護工業(yè)數(shù)據(jù)與上層MES系統(tǒng)間的互通互聯(lián)。
(2)城市燃氣行業(yè)指揮調(diào)度系統(tǒng)安全防護系統(tǒng),如圖2所示。
圖2 城市燃氣行業(yè)指揮調(diào)度系統(tǒng)安全防護系統(tǒng)
城市燃氣指揮調(diào)度系統(tǒng)可分為門站(場站)、調(diào)度中心(項目公司)、區(qū)域公司、集團公司四個等級。城市燃氣調(diào)度中心是城市燃氣 SCADA 系統(tǒng)的核心部分,它監(jiān)控門站、中高壓站、中低壓站、大用戶站等設(shè)備的實時運行狀況,記錄燃氣管網(wǎng)的運行數(shù)據(jù),為區(qū)域公司、集團公司提供相關(guān)數(shù)據(jù)等。為保證數(shù)據(jù)在不同等級區(qū)域間的安全傳輸,力控華康依據(jù)多年安全防護經(jīng)驗,在不同等級區(qū)間部署相應(yīng)的安全設(shè)備及管理平臺,保障數(shù)據(jù)在生產(chǎn)傳輸過程中的安全性。
(3)油氣生產(chǎn)物聯(lián)網(wǎng)安全防護系統(tǒng),如圖3所示。
圖3 油氣生產(chǎn)物聯(lián)網(wǎng)安全防護系統(tǒng)
油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)一般是由油、氣井、站庫、作業(yè)區(qū)、采油廠幾個部分組成,為了保障數(shù)據(jù)在傳輸過程中的安全性,分三個等級采取防護措施:
·在各站庫與作業(yè)區(qū)之間部署安全隔離設(shè)備,保護現(xiàn)場數(shù)據(jù)的安全性;
·在各作業(yè)區(qū)與采油廠之間部署安全隔離設(shè)備,采用單項導(dǎo)入模式,保護作業(yè)區(qū)的數(shù)據(jù)安全;
·在采油廠與外網(wǎng)接入點部署工業(yè)防火墻,防止一些威脅通過互聯(lián)網(wǎng)進入油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)。
(4)化工行業(yè)安全防護系統(tǒng),如圖4所示。
通過在不同區(qū)域部署華康安全設(shè)備實現(xiàn)對各生產(chǎn)裝置DCS/PLC控制網(wǎng)絡(luò)的高安全級別的安全防護,徹底避免辦公網(wǎng)絡(luò)對控制網(wǎng)絡(luò)可能產(chǎn)生的干擾。對現(xiàn)有生產(chǎn)過程不產(chǎn)生影響的前提下,保證現(xiàn)有數(shù)據(jù)采集功能的實現(xiàn)。解決某一個裝置的控制網(wǎng)絡(luò)由于內(nèi)控不當出現(xiàn)了網(wǎng)絡(luò)安全問題后,橫向感染、傳播到其它裝置的控制網(wǎng)絡(luò)提高控制網(wǎng)絡(luò)的內(nèi)控管理要求,防止由于內(nèi)控不當,由內(nèi)部人員通過U盤、筆記本電腦等途徑直接從內(nèi)網(wǎng)造成控制網(wǎng)絡(luò)安全問題。
圖4 化工行業(yè)安全防護系統(tǒng)
3 結(jié)語
力控華康作為國內(nèi)較早從事工業(yè)控制系統(tǒng)信息安全技術(shù)研發(fā)的廠商之一,已發(fā)展成為中國領(lǐng)先的工業(yè)控制系統(tǒng)信息安全產(chǎn)品及服務(wù)提供商,參與了包括GB/T 30976在內(nèi)的多個信息安全國家標準的制定工作。憑借多年來在工業(yè)控制領(lǐng)域信息安全方面的優(yōu)良表現(xiàn),工業(yè)控制系統(tǒng)信息安全產(chǎn)品成功入選“2013年國家信息安全專項及下一代研發(fā)、產(chǎn)業(yè)化和規(guī)模商用專項”清單。
作者簡介
鮑 磊(1986-),男,安徽人,本科,現(xiàn)任北京力控華康科技有限公司產(chǎn)品經(jīng)理,研究方向為工控網(wǎng)絡(luò)安全產(chǎn)品、技術(shù)應(yīng)用及安全方案。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號