今日頭條
官方微信
官方抖音
資訊頻道1 引言
工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS),包括SCADA系統(tǒng)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED)等,目前已廣泛應(yīng)用于石化、電力、水力、醫(yī)藥、食品、交通運輸、航天等工業(yè)領(lǐng)域,其中超過80%涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),已成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,關(guān)系到國家的戰(zhàn)略安全。
隨著信息化與工業(yè)化進程的不斷交叉融合,信息網(wǎng)絡(luò)技術(shù)在工業(yè)控制系統(tǒng)中得到了普及應(yīng)用,然而現(xiàn)有的工業(yè)控制系統(tǒng)大多是在未考慮安全因素或者未充分考慮安全因素的情況下組建的,因此針對工業(yè)控制系統(tǒng)的攻擊和威脅逐步顯現(xiàn)。2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施,震驚全球,這標(biāo)志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設(shè)施等核心關(guān)鍵系統(tǒng)的“硬摧毀”階段。
ICS-CERT安全報告指出“近三年針對工業(yè)控制系統(tǒng)的安全事件呈明顯上升趨勢,據(jù)統(tǒng)計,2013年已達到257起”,并且伴隨著工業(yè)病毒日益更新,病毒變得更加隱蔽與復(fù)雜。同時工信部已在2011年底發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》,標(biāo)志著我國對工業(yè)控制系統(tǒng)的安全管理上升為國家戰(zhàn)略。
本文分析了工業(yè)控制系統(tǒng)的信息安全防護特性,闡述了設(shè)計的工業(yè)防火墻,以及在石化、煙草行業(yè)的解決方案。
2 工業(yè)控制系統(tǒng)安全防護特性
工業(yè)控制系統(tǒng)安全威脅主要來源已從內(nèi)部惡意篡改、環(huán)境因素、誤操作、集成商后門、錯誤配置等逐漸變化為黑客攻擊、工業(yè)病毒、無線風(fēng)險,以及設(shè)備漏洞等。傳統(tǒng)的互聯(lián)網(wǎng)安全防護技術(shù)無論在理論研究還是在實踐應(yīng)用上都已經(jīng)取得了不錯的進展,市場上充斥著各種互聯(lián)網(wǎng)安全防護產(chǎn)品,如防火墻、入侵檢測系統(tǒng)、防病毒軟件等。但是,由于工業(yè)控制系統(tǒng)的高可靠性、高實時性以及專用的網(wǎng)絡(luò)通信協(xié)議等特點,傳統(tǒng)的互聯(lián)網(wǎng)防護技術(shù)難以在工業(yè)控制系統(tǒng)實施,具體實施差距主要表現(xiàn)在以下幾個方面:
(1)通訊協(xié)議的不同:工控網(wǎng)中有大量的工控系統(tǒng)專有協(xié)議。
(2)系統(tǒng)環(huán)境不同:工控網(wǎng)中需要導(dǎo)軌式安裝、無風(fēng)扇設(shè)計等。
(3)可靠性要求不同:工控網(wǎng)中誤報、數(shù)據(jù)丟失等同于攻擊。
(4)實時性要求不同:工控網(wǎng)中網(wǎng)絡(luò)延時要求較高。
(5)網(wǎng)絡(luò)拓?fù)洳煌汗た鼐W(wǎng)中的系統(tǒng)拓?fù)洳粫p易變動。
3 工業(yè)防火墻設(shè)計
中科工業(yè)防火墻針對上述問題,結(jié)合縱深防御的思想,開發(fā)了針對工業(yè)應(yīng)用層協(xié)議的安全防護技術(shù),建立不同區(qū)域之間的數(shù)據(jù)通信管道,對管道內(nèi)的數(shù)據(jù)進行安全管控。其中基于ISA的縱深防御主要指“白名單規(guī)則”的區(qū)域管控,包括:劃分控制系統(tǒng)安全區(qū)域,對安全區(qū)域的隔離保護;保護合法用戶訪問網(wǎng)絡(luò)資源。以及由于安全威脅主要來自于應(yīng)用層,傳統(tǒng)五元組(源IP、目的IP、協(xié)議、源端口、目的端口)方式的ACL將不能完全抵御高級可持續(xù)攻擊,中科工業(yè)防火墻同時針對工業(yè)專有應(yīng)用層協(xié)議進行了深度的安全防護,包括Modbus、OPC協(xié)議。
中科工業(yè)防火墻的Modbus訪問控制模塊提供了一種針對工業(yè)控制Modbus協(xié)議的訪問控制方法,Modbus協(xié)議訪問控制是工業(yè)控制系統(tǒng)安全防護中極其重要的環(huán)節(jié),它建立在身份識別基礎(chǔ)上,限制了工業(yè)控制系統(tǒng)中訪問主體對客體的訪問,防止未經(jīng)授權(quán)使用(含以未授權(quán)方式使用)某資源,從而保障數(shù)據(jù)資源在合法范圍內(nèi)得以有效使用和管理,Modbus協(xié)議檢測范圍如圖1所示。
圖1 Modbus協(xié)議檢測
中科工業(yè)防火墻的OPC協(xié)議模塊是用于保護工業(yè)控制系統(tǒng)中通過OPC協(xié)議進行數(shù)采與傳輸?shù)倪^程,防護模塊以O(shè)PC基金會、工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)中心(ICS-CERT)等組織提出的安全問題及防護建議為理論基礎(chǔ),如有效的鎖定OPC客戶端與服務(wù)端、DCOM對象訪問、約束RPC協(xié)議端口最小權(quán)限、檢測沒有異常DCOM被使用等,實時捕獲OPC通信數(shù)據(jù)包,解析OPC數(shù)據(jù)包端口內(nèi)容,為端口設(shè)置一條私密規(guī)則,對端口進行動態(tài)跟蹤與授權(quán)管理,在建立連接之后對流經(jīng)的數(shù)據(jù)包進行基于端口及協(xié)議進行監(jiān)控,防止非法訪問,OPC防護模塊檢測原理如圖2所示。
圖2 OPC防護模塊檢測原理
中科工業(yè)防火墻的設(shè)計要點如圖3所示,主要包括:基于“區(qū)域”與“管道”的安全防護模型;Modbus/TCP、Modbus/UDP、OPC等工控協(xié)議應(yīng)用數(shù)據(jù)的深度解析;基于規(guī)則策略的動態(tài)包過濾和Syslog的實時報警技術(shù);冗余電源設(shè)計;工業(yè)級的低功耗設(shè)計;兼容所有PLC、HMI、RTU等工業(yè)控制設(shè)備;支持時間同步、重啟自動加載規(guī)則的高可用性設(shè)計;包含直通、管控和自學(xué)習(xí)模式設(shè)計,使用多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
以上設(shè)計要點符合工業(yè)級應(yīng)用的設(shè)計,并通過了公安部信息安全產(chǎn)品檢測中心的認(rèn)證,認(rèn)證型號為SIA-IF1000-02TX/v1.0。
圖3 工業(yè)防火墻功能特性
4 工業(yè)防火墻在石化、煙草行業(yè)的應(yīng)用
4.1石化控制系統(tǒng)安全解決方案
以某石化行業(yè)的實際解決方案為例,現(xiàn)場網(wǎng)絡(luò)的結(jié)構(gòu)是底層溫度、壓力流速、計量數(shù)等采集表通過無線方式將數(shù)據(jù)傳遞到匯聚的RTU網(wǎng)關(guān)設(shè)備,多個RTU設(shè)備向OPC服務(wù)器以固定時間間隔傳遞采集數(shù)據(jù),OPC服務(wù)器將數(shù)據(jù)存儲在本地實時數(shù)據(jù)庫中,之后在管理網(wǎng)絡(luò)中部署了Aspen,它作為OPC客戶端向現(xiàn)場網(wǎng)絡(luò)中OPC服務(wù)器數(shù)據(jù)請求采集數(shù)據(jù)。
中科工業(yè)防火墻實際部署在OPC服務(wù)器與OPC客戶端之間,滿足用戶對OPC協(xié)議安全防護的需求,解決方案部署示意圖如圖4所示。
通過部署中科工業(yè)防火墻,目前網(wǎng)絡(luò)中的阻態(tài)軟件的警告事件明顯減少,網(wǎng)絡(luò)中的廣播流量明顯減少。
圖4 石化行業(yè)實際部署示意圖
4.2 煙草控制系統(tǒng)安全解決方案
以某煙草行業(yè)實際解決方案為例,現(xiàn)場網(wǎng)絡(luò)組成層次從下至上依次為:電控元器件、傳感器、執(zhí)行器等組成的現(xiàn)場設(shè)備層;主控制器組成的控制層;操作員站、工程師站組成的組態(tài)層。控制層與現(xiàn)場設(shè)備層之間通過現(xiàn)場總線進行控制,如485、232等,組態(tài)層與控制層主流以Modbus、Profinet協(xié)議控制。
中科工業(yè)防火墻針對以Modbus協(xié)議的控制系統(tǒng),增加中科工業(yè)防火墻,對網(wǎng)絡(luò)中的Modbus協(xié)議進行深度解析,保護控制器,阻止任何對控制器的非法訪問及控制。現(xiàn)場網(wǎng)絡(luò)與MES層之間主要通過OPC協(xié)議進行現(xiàn)場網(wǎng)絡(luò)數(shù)據(jù)的向上傳遞,增加中科工業(yè)防火墻,對OPC協(xié)議進行動態(tài)端口開放及實現(xiàn)區(qū)域隔離,避免病毒利用端口傳遞后門及病毒擴散,解決方案部署示意圖如圖5所示。
圖5 煙草行業(yè)實際部署示意圖
通過部署工業(yè)防火墻完整顯示現(xiàn)場網(wǎng)絡(luò)的實時事件,獲得部署單位的認(rèn)可,能對單位網(wǎng)絡(luò)報警及消息進行歷史存儲。網(wǎng)絡(luò)管理人員通過觀察警報事件,對某員工的偏離操作參數(shù)進行管理與培訓(xùn),避免一批部分生產(chǎn)任務(wù)的損失。
5 結(jié)語
本文分析了工業(yè)控制系統(tǒng)與傳統(tǒng)IT網(wǎng)絡(luò)信息安全防護的區(qū)別,說明了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護的特殊性。闡述了Modbus和OPC工業(yè)防火墻的設(shè)計方案,并介紹了開發(fā)的中科工業(yè)防火墻在石化、煙草行業(yè)的解決方案。
開發(fā)的中科工業(yè)防火墻產(chǎn)品SIA-IF1000-02TX/v1.0,通過了公安部信息安全產(chǎn)品檢測中心的認(rèn)證。該產(chǎn)品目前已經(jīng)在石油、石化和煙草等多個行業(yè)應(yīng)用,加固了工業(yè)控制系統(tǒng)的信息安全防護。
作者簡介
尚文利(1974-),男,黑龍江北安人,副研究員,博士,碩士生導(dǎo)師,現(xiàn)就職于中國科學(xué)院沈陽自動化研究所,中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點實驗室,主要從事計算智能與機器學(xué)習(xí)、工業(yè)信息安全方向研究。
劉長江(1972-),男,吉林九臺人,工程師,現(xiàn)就職于吉林油田勘察設(shè)計院,主要從事計算機及網(wǎng)絡(luò)設(shè)備、物聯(lián)網(wǎng)系統(tǒng)方面的研究工作。
趙劍明(1988-),男,助理研究員,現(xiàn)就職于中國科學(xué)院沈陽自動化研究所,中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點實驗室,主要從事工業(yè)信息安全方面的研究工作。
曾鵬(1976-),男,山東青島人,研究員,博士、博士生導(dǎo)師,現(xiàn)就職于中國科學(xué)院沈陽自動化研究所,中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點實驗室,主要從事工業(yè)無線傳感網(wǎng)技術(shù)研究。
參考文獻:
[1]彭杰,劉力.工業(yè)控制系統(tǒng)信息安全性分析[J].自動化儀表, 2012, (12): 36 -39.
[2]夏春明,劉濤,王華忠,吳清.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J].信息安全與技術(shù), 2013, (02): 13 -18.
[3]于立業(yè),薛向榮,張云貴等.工業(yè)控制系統(tǒng)信息安全解決方案[J].冶金自動化, 2013, 37(1): 5 -11.
[4]宋慧欣.破解“工業(yè)控制系統(tǒng)信息安全”迷局[J].自動化博覽,2012, (07): 30 -35.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號