今日頭條
官方微信
官方抖音
資訊頻道1 引言
“互聯(lián)網(wǎng)+”時代背景下,“工業(yè)4.0”系統(tǒng)高度集成了物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等眾多新形態(tài)的信息技術(shù),這些都是實現(xiàn)“工業(yè)4.0”智能化的基礎(chǔ),是一項復(fù)雜的大型系統(tǒng)工程。從傳感感知層、通信傳輸層、應(yīng)用層到智能分析系統(tǒng),“工業(yè)4.0”控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接。工業(yè)基礎(chǔ)設(shè)施在享受開放、互聯(lián)技術(shù)帶來的進(jìn)步與益處的同時,也面臨越來越嚴(yán)重的安全威脅,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,工業(yè)控制系統(tǒng)信息安全問題日益突出。近年來,隨著越來越多的工業(yè)信息安全事件的出現(xiàn),我國的工業(yè)基礎(chǔ)設(shè)施正面臨著前所未有的挑戰(zhàn)。工業(yè)基礎(chǔ)設(shè)施中關(guān)鍵應(yīng)用或系統(tǒng)的故障將可能會導(dǎo)致人員傷亡、帶來嚴(yán)重的經(jīng)濟(jì)損失、基礎(chǔ)設(shè)施被破壞、危及公眾生活及國家安全、環(huán)境災(zāi)難等嚴(yán)重后果。
近十幾年來,我國卷煙生產(chǎn)歷經(jīng)多次大規(guī)模的技術(shù)改造,其各個工藝環(huán)節(jié)的自動化技術(shù)水平已經(jīng)走在國內(nèi)制造業(yè),甚至國際煙草企業(yè)的前列。很多國際領(lǐng)先的自動化技術(shù)和工業(yè)網(wǎng)絡(luò)技術(shù),像Profinet、EtherNet/IP等進(jìn)入中國都是率先在煙草制造業(yè)中應(yīng)用。因此,中國煙草企業(yè)的工業(yè)自動化和網(wǎng)絡(luò)化程度都非常高。但是,這些先進(jìn)技術(shù)的應(yīng)用在迅速提升煙草企業(yè)生產(chǎn)力的同時也為它們埋下了極大的安全隱患。本文結(jié)合煙草行業(yè)分析了當(dāng)前“工業(yè)4.0”控制系統(tǒng)的安全漏洞,并結(jié)合“工業(yè)4.0”控制系統(tǒng)的網(wǎng)絡(luò)架構(gòu)和多芬諾工業(yè)防火墻的“測試”模式功能,詳細(xì)介紹了“工業(yè)4.0”控制系統(tǒng)信息安全的縱深防御策略,致力于建立一個“本質(zhì)安全”的工業(yè)控制網(wǎng),從而解決了困擾各公司的控制系統(tǒng)信息安全隱患,保證了企業(yè)各裝置控制系統(tǒng)的安全平穩(wěn)運(yùn)行。
2 “工業(yè)4.0”控制系統(tǒng)信息安全現(xiàn)狀分析
近十年來,隨著信息技術(shù)的迅猛發(fā)展,信息化在我們企業(yè)中的應(yīng)用取得了飛速發(fā)展。一方面,互聯(lián)網(wǎng)技術(shù)的出現(xiàn),使得工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù),ICS網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的聯(lián)系越來越緊密。另一方面,傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議,設(shè)計上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱或者甚至幾乎沒有隔離功能。因此在工控系統(tǒng)開放的同時,也減弱了控制系統(tǒng)與外界的隔離,工控系統(tǒng)的安全隱患問題日益嚴(yán)峻。系統(tǒng)中任何一點受到攻擊都有可能導(dǎo)致整個系統(tǒng)的癱瘓。
2.1 “工業(yè) 4.0”控制系統(tǒng)的安全漏洞
(1)通信協(xié)議漏洞
兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,隨之而來的通信協(xié)議漏洞問題也日益突出。例如,OPC Classic協(xié)議(OPC UA,OPC HAD和OPCA&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識之前設(shè)計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。因此確保使用OPC通訊協(xié)議的“工業(yè)4.0”控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)。
(2)操作系統(tǒng)漏洞
目前大多數(shù)“工業(yè)4.0”控制系統(tǒng)的工程師站/操作站/HMI都是基于Windows平臺的,為保證過程控制系統(tǒng)的相對獨(dú)立性,同時考慮到系統(tǒng)的穩(wěn)定運(yùn)行,通常現(xiàn)場工程師在系統(tǒng)開車后不會對Windows平臺安裝任何補(bǔ)丁,但不安裝補(bǔ)丁,系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。
(3)安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多“工業(yè)4.0”控制系統(tǒng)存在的普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程也給“工業(yè)4.0”控制系統(tǒng)信息安全帶來了一定的威脅。例如“工業(yè)4.0”控制系統(tǒng)中移動存儲介質(zhì),包括筆記本電腦、U盤等設(shè)備的使用和不嚴(yán)格的訪問控制策略。
(4)殺毒軟件漏洞
為了保證工控應(yīng)用軟件的可用性,許多工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性。原因在于使用殺毒軟件很關(guān)鍵的一點是,其病毒庫需要不定期的經(jīng)常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的,導(dǎo)致每年都會爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒的攻擊。
(5)應(yīng)用軟件漏洞
由于應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對安全問題;另外,當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時,就必須開放其應(yīng)用端口。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性。互聯(lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設(shè)備的控制權(quán),一旦這些控制權(quán)被不良意圖黑客所掌握,那么后果不堪設(shè)想。
2.2 “工業(yè) 4.0”控制系統(tǒng)的安全防御措施要求
一般來說,公司的IT部門人員了解信息安全相關(guān)知識,但并不了解過程控制系統(tǒng)。而且傳統(tǒng)IT環(huán)境和工控系統(tǒng)環(huán)境之間存在著一些關(guān)鍵不同,例如,控制系統(tǒng)通常需要每周7天,每天24小時的長期運(yùn)行。因此控制系統(tǒng)的特殊功能要求可能使原本合格的安全技術(shù)變得沒有效果。所以,簡單地將IT安全技術(shù)配置到工控系統(tǒng)中并不是高效可行的解決方案。
國際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99明確指出目前工業(yè)控制領(lǐng)域普遍認(rèn)可的安全防御措施要求如表1所示。即將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域,區(qū)域之間執(zhí)行管道通信,通過控制區(qū)域間管道中的通信內(nèi)容來確保“工業(yè)4.0”控制系統(tǒng)信息安全。
表1 工業(yè)控制領(lǐng)域普遍認(rèn)可的安全防御措施要求
2.3 “縱深防御”策略
“縱深防御”策略嚴(yán)格遵循ANSI/ISA-99標(biāo)準(zhǔn),是提高“工業(yè)4.0”控制系統(tǒng)信息安全的最佳選擇。建立“縱深防御”的最有效方法是采用ANSI/ISA-99.02.01和IEC-63443標(biāo)準(zhǔn)的區(qū)級防護(hù),將網(wǎng)絡(luò)劃分為不同的安全區(qū),在安全區(qū)之間按照一定規(guī)則安裝防火墻。
建立“縱深防御”策略的兩個主要目標(biāo)。
(1)即使在某一點發(fā)生網(wǎng)絡(luò)安全事故,也能保證裝置或工廠的正常安全穩(wěn)定運(yùn)行。對于現(xiàn)代計算機(jī)網(wǎng)絡(luò),我們認(rèn)為最可怕的是病毒的急速擴(kuò)散,它會瞬間令整個網(wǎng)絡(luò)癱瘓。該防護(hù)目標(biāo)在于當(dāng)工業(yè)網(wǎng)絡(luò)的某個局部存在病毒感染或者其它不安全因素時,不會向其它設(shè)備或網(wǎng)絡(luò)擴(kuò)散,從而保證裝置或工廠的安全穩(wěn)定運(yùn)行。
(2)工廠操作人員能夠及時準(zhǔn)確地確認(rèn)故障點,并排除問題。怎樣能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其他問題,準(zhǔn)確找到故障的發(fā)生點,是維護(hù)控制系統(tǒng)信息安全的前提。
3 “工業(yè)4.0”控制系統(tǒng)信息安全的縱深防御
3.1 工業(yè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)及安全區(qū)域的劃分
從總體結(jié)構(gòu)上來講,工業(yè)系統(tǒng)網(wǎng)絡(luò)可分為三個層次:企業(yè)管理層、數(shù)采信息層和控制層。企業(yè)管理層主要是辦公自動化系統(tǒng),一般使用通用以太網(wǎng),可以從數(shù)采信息層提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策。數(shù)采信息層主要是從控制層獲取數(shù)據(jù),完成各種控制、運(yùn)行參數(shù)的監(jiān)測、報警和趨勢分析等功能。控制層負(fù)責(zé)通過組態(tài)設(shè)計,完成數(shù)據(jù)采集、A/D轉(zhuǎn)換、數(shù)字濾波、溫度壓力補(bǔ)償、PID控制等各種功能。
系統(tǒng)的每一個安全漏洞都會導(dǎo)致不同的后果,所以將它們單獨(dú)隔離防護(hù)十分必要。對于額外的安全性和可靠性要求,在主要的安全區(qū)還可以根據(jù)操作功能進(jìn)一步劃分成子區(qū)。這樣一旦發(fā)生信息安全事故,就能大大提高工廠生產(chǎn)安全運(yùn)行的可靠性,同時降低由此帶來的其他風(fēng)險及清除費(fèi)用。
將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略,參照ANSI/ISA-99標(biāo)準(zhǔn),同時結(jié)合工業(yè)系統(tǒng)的安全需要,可以將工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為下列不同的安全區(qū)域,如圖1所示。企業(yè)IT網(wǎng)絡(luò)區(qū)域、過程信息與歷史數(shù)據(jù)區(qū)域、管理與HMI區(qū)域、DCS與PLC控制區(qū)域、第三方控制系統(tǒng)區(qū)域。
圖1 工業(yè)系統(tǒng)網(wǎng)絡(luò)安全區(qū)域的劃分
3.2 基于縱深防御策略的工業(yè)控制系統(tǒng)信息安全
針對企業(yè)流程工業(yè)的特點,同時結(jié)合工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),基于縱深防御策略,創(chuàng)建“本質(zhì)安全”的工業(yè)控制網(wǎng)絡(luò)需要以下五個層面的安全防護(hù),如圖2所示。
圖2 工業(yè)控制系統(tǒng)信息安全的縱深防御結(jié)構(gòu)圖
(1)企業(yè)管理層和數(shù)采監(jiān)控層之間的安全防護(hù)
在企業(yè)管理層和數(shù)采監(jiān)控層之間加入防火墻,一方面提升了網(wǎng)絡(luò)的區(qū)域劃分,另一方面更重要的是只允許兩個網(wǎng)絡(luò)之間合法的數(shù)據(jù)交換,阻擋企業(yè)管理層對數(shù)采監(jiān)控層的未經(jīng)授權(quán)的非法訪問,同時也防止管理層網(wǎng)絡(luò)的病毒感染擴(kuò)散到數(shù)采網(wǎng)絡(luò)。考慮到企業(yè)管理層一般采用通用以太網(wǎng),要求較高的通訊速率和帶寬等因素,對此部位的安全防護(hù)建議使用常規(guī)的IT防火墻。
(2)數(shù)采監(jiān)控層和控制層之間的安全防護(hù)
該部位通常使用OPC通訊協(xié)議,由于OPC通訊采用不固定的端口號,使用傳統(tǒng)的IT防火墻進(jìn)行防護(hù)時,不得不開放大規(guī)模范圍內(nèi)的端口號。在這種情況下,防火墻提供的安全保障被降至最低。
因此,在數(shù)采監(jiān)控層和控制層之間應(yīng)安裝專業(yè)的工業(yè)防火墻,解決OPC通訊采用動態(tài)端口帶來的安全防護(hù)瓶頸問題,阻止病毒和任何其它的非法訪問,這樣來自防護(hù)區(qū)域內(nèi)的病毒感染就不會擴(kuò)散到其他網(wǎng)絡(luò),提升網(wǎng)絡(luò)區(qū)域劃分能力的同時從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。
(3)保護(hù)關(guān)鍵控制器
考慮到和控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議,或者其它工業(yè)通信標(biāo)準(zhǔn),如Modbus等,由于常規(guī)的IT防火墻和網(wǎng)閘等安全防護(hù)產(chǎn)品都不支持工業(yè)通訊協(xié)議,因此,對關(guān)鍵控制器的保護(hù)應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對防火墻進(jìn)行規(guī)則組態(tài)時只允許制造商專有協(xié)議通過,阻擋來自操作站的任何非法訪問; 另一方面可以對網(wǎng)絡(luò)通訊流量進(jìn)行管控,可以指定只有某個專有操作站才能訪問指定的控制器;第三方面也可以管控局部網(wǎng)絡(luò)的通訊速率,防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響,從而避免控制器死機(jī)。
(4)隔離工程師站,保護(hù)APC先控站
對于網(wǎng)絡(luò)中存在的工程師站和APC先控站,考慮到工程師站和APC節(jié)點在項目實施階段通常需要接入第三方設(shè)備(U盤、筆記本電腦等),而且是在整個控制系統(tǒng)開車的情況下實施,受到病毒攻擊和入侵的概率很大,存在較高的安全隱患。
在工程師站和APC先控站前端增加工業(yè)防火墻,可以將工程師站和APC節(jié)點單獨(dú)隔離,防止病毒擴(kuò)散,保證了網(wǎng)絡(luò)的通訊安全。
(5)和第三方控制系統(tǒng)之間的安全防護(hù)
使用工業(yè)防火墻將SIS安全儀表系統(tǒng)等第三方控制系統(tǒng)和網(wǎng)絡(luò)進(jìn)行隔離,主要是為了確保兩個區(qū)域之間數(shù)據(jù)交換的安全,管控通訊數(shù)據(jù),保證只有合法可信的、經(jīng)過授權(quán)的訪問和通訊才能通過網(wǎng)絡(luò)通信管道。同時也提升了網(wǎng)絡(luò)安全區(qū)域劃分能力,有效地阻止了病毒感染的擴(kuò)散。
3.3 報警管理平臺
報警管理平臺的功能包括集成系統(tǒng)中所有的事件和報警信息,并對報警信息進(jìn)行等級劃分。提供實時畫面顯示、歷史數(shù)據(jù)存儲、報警確認(rèn)、報警細(xì)目查詢、歷史數(shù)據(jù)查詢等功能。
報警管理平臺還負(fù)責(zé)捕獲現(xiàn)場所有安裝有工業(yè)防火墻的通訊信道中的攻擊,并詳細(xì)顯示攻擊來自哪里、使用何種通信協(xié)議、攻擊目標(biāo)是誰,以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時排查、分析提供了可靠依據(jù)。
3.4 “測試”模式
系統(tǒng)工程師可以利用多芬諾工業(yè)防火墻提供的“測試”模式功能,在真正部署防火墻之前,在真實工廠操作環(huán)境中對防火墻規(guī)則進(jìn)行測試。通過分析確認(rèn)每一條報警信息,實現(xiàn)全面的控制功能,從而確保工控需求的完整性和可靠性。
4 結(jié)語
工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫,本文針對企業(yè)流程工業(yè)的特點,同時結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和安全需求以及多芬諾工業(yè)防火墻提供的“測試”模式功能,提出工業(yè)控制系統(tǒng)信息安全的縱深防御策略,即參照國際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99,將工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為不同的安全區(qū)域,在區(qū)域之間執(zhí)行管道通信,從而通過管控區(qū)域間管道中的通信內(nèi)容,實現(xiàn)保證工廠控制網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的三個目標(biāo):通訊可控、區(qū)域隔離和報警追蹤,進(jìn)而全方位地保障工業(yè)控制系統(tǒng)信息安全。
作者簡介
王德吉(1975-),男,博士后、博士生導(dǎo)師、首席培訓(xùn)師。主要從事“互聯(lián)網(wǎng)+”、網(wǎng)絡(luò)安全、“工業(yè)4.0”研究。全國煙草行業(yè)勞動模范,全國煙草行業(yè)優(yōu)秀教師,兼中科院、清華大學(xué)、西安交大、湖南農(nóng)大研究生導(dǎo)師,國家工程實驗室、國家標(biāo)委會、中科協(xié)、IFAC、IAENG、Siemens等專家。先后在微軟、微陽研究院、中科院從事客座研究,掛職肥東縣副縣長,從事科研應(yīng)用普及,主持省部級“數(shù)字工廠”等重大專項1項和企業(yè)項目6項,參與國家重大項目“機(jī)器人”、“先進(jìn)制造”、“制造業(yè)信息化”3項。獲省部級科技獎5項,省部級教學(xué)獎50項。發(fā)表論文64篇,其中SCI、EI檢索21篇。申報發(fā)明專利15項,獲發(fā)明專利3項,實用新型15項,獲軟件著作權(quán)12項,著作7本。編寫國家標(biāo)準(zhǔn)11項,行業(yè)標(biāo)準(zhǔn)2項。
參考文獻(xiàn):
[1]石淑華,池瑞楠,計算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版)[M].北京人民郵電出版社, 2008.
[2]老聃.安全網(wǎng)關(guān)——網(wǎng)絡(luò)邊界防護(hù)的利器[J].信息安全與通信保密, 2004, (8): 75.
[3]陳平,何慶等.電腦2003合訂本[M].西南師范大學(xué)出版社, 2004.
[4]張穎,劉軍,王磊.計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N].電腦商情報, 2007, 1.
[5]西門子中國研究院.《基于縱深防御理念的過程控制系統(tǒng)信息安全解決方案》技術(shù)研究報告[R]. 2013, 7.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號