今日頭條
官方微信
官方抖音
資訊頻道摘要:介紹了石化行業工業控制系統信息安全的現狀及面臨的信息安全問題。基于縱深綜合防御理念,結合某石化企業工控系統的現狀及特點,提出了一種工控信息安全解決方案,并對方案的實施過程進行了詳細論述。實際運行效果表明:該方案能夠保障工控系統的信息安全,同時為工控系統信息安全問題的研究提供了思路,對其他企業工控信息安全建設具有一定的參考和指導意義。
關鍵詞:工業控制系統 信息安全 縱深綜合防御
隨著工業控制系統在能源開采、石油化工、鋼鐵冶煉等關鍵領域廣泛應用,工業控制系統已成為中國關鍵基礎設置的重要組成部分。近年來,伴隨著國家工業化、信息化的“兩化”融合,現代工業控制系統廣泛采用通用網絡設備和IT設施,并且以各種方式接入互聯網,從而打破了這些系統原有的封閉性和專用性。由于工業控制系統在初期建設時更多考慮的是各自系統的可用性,并未考慮系統之間互聯互通的安全風險和防護建設,因而病毒、木馬等各種安全威脅向工控領域迅速擴散[1]。
針對工業控制系統信息安全風險日益加劇的情況,國家工信部先后發布《關于加強工業控制系統信息安全管理的通知》、《工業控制系統信息安全防護指南》等系列文件,指導企業優化工控安全管理與技術防護手段。對于如何應對工控系統信息安全問題,各企業也開始進行探索嘗試[2-4]。2017年4月,某石化企業利用檢修時機,結合自身特點,因地制宜,制訂了安全防御措施對焦化分廠區工控系統進行了信息安全防護試點應用。
1 工控系統信息安全現狀
1.1 工業控制系統定義與典型結構
工業控制系統由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件共同構成,主要用于確保工業基礎設施自動化運行、過程控制與監控。其核心組件包括數據采集及監控系統(SCADA)、分散控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED)以及確保各組件通信的接口技術。
廣義上典型的工業控制系統如圖1所示,主要由過程級、操作級、管理級三部分組成。
1) 過程級。位于工控系統最底層,主要由過程控制站、I/O單元和現場儀表組成,是系統控制功能的主要實施部分。
2) 操作級。是連接上、下兩層網絡的橋梁和紐帶,主要由操作員站、工程師站、數據站等組成,實現系統操作與組態。該操作級一方面根據上層生產指令控制和調度底層的現場控制設備,另一方面對工業現場的生產情況進行實時監測和數據統計,為上層調控提供信息反饋。
3) 管理級。主要是指工廠管理系統(MIS)具有傳統IT網絡的屬性,用以執行郵件收發、網頁瀏覽、企業資源計劃(ERP)和制造執行系統(MES)等功能。
1.2 工業控制系統信息安全概述
近年來,網絡信息技術被廣泛應用于工業控制系統,如DCS,PLC,PCS,SCADA等,它們采用現場總線技術、OPC等技術,使工業設備接口更為簡單方便,但也打破工控系統與外界的隔離,導致工業控制系統的安全性越來越弱[5]。就近幾年頻發的系統安全問題來看,主要包括信息泄露、病毒入侵等,直接影響著企業生產以及人身和設備安全[6]。讓人印象最為深刻的是2010年伊朗爆發的“超級工廠病毒(Stuxnet蠕蟲)”,該病毒利用微軟系統漏洞攻擊Siemens DCS,使伊朗損失巨大,伊朗核計劃也因此遭受重挫。如何對工控系統進行必要和可行的安全加固、防范高級持續威脅(APT)、保護國家關鍵基礎設施已成為當前工業領域亟待探究和解決的重要問題[7-8]。
2 工業控制系統的信息安全問題
2.1 石化行業工控系統普遍存在的信息安全問題
1) 網絡節點間無有效隔離。過程控制網與管理網的OPC數據采集站連接處,過程控制網與先進控制系統(APC)連接處,操作員站之間的連接處,無訪問控制措施和入侵防范措施。一旦某個節點出現問題,會迅速通過交換機互聯擴展至其他節點,蔓延至整個網絡。
2) 通信協議漏洞。OPC Server多采用Windows平臺,投產后一般不更新補丁。OPC Server和Buffer機之間的通信采用的是DCOM技術,其通信端口在1024~65535內不固定,常規IT類防火墻在這個層面難以有效隔離。另外,OPC Server 端和多個OPC Client端使用相同用戶名和口令。OPC Client端對Server端具有數據讀取、修改等全部的訪問權限,不滿足最小授權原則。
3) 工程師站無身份認證和訪問控制。工程師站對操作站、DCS控制器的組態行為一般無身份認證和訪問控制,并且擁有最高操作權限,可以任意修改控制邏輯和流程。主機中存儲的文件一般未加密,容易造成核心數據丟失。非法的工程師站成為工控安全的重大隱患。
4) Windows平臺漏洞,主機防護不足。工程師站、操作員站多基于Windows平臺,如NT4.0,2000,XP,Win7,Server2003等。由于操作系統補丁和殺毒軟件對控制系統穩定性可能造成影響,即使安裝殺毒軟件也會面臨病毒庫過期等問題,所以一般不安裝殺毒軟件和更新系統補丁。并且,多數企業無移動存儲介質管理、操作站軟件運行權限管理,這種情況下控制系統安全性極其脆弱,容易感染病毒。
5) APC自身無防護措施,具有病毒感染的高風險。APC一般運行調試周期較長,且該期間APC需要頻繁與外界進行數據交換,感染病毒的風險較大。一旦 APC受到病毒感染,會對其控制系統安全造成極大威脅。
2.2 某石化企業焦化分廠區原工控系統信息安全狀況
該企業焦化分廠區目前有焦化、加氫、制氫3套生產裝置,3套工控系統。其中,焦化加氫DCS采用浙江中控ECS700,制氫DCS采用Honeywell PKS R201,緊急停車系統(ESD)采用Siemens S7-400。所有操作員站、工程師站均采用Windows平臺,無殺毒軟件;4臺工程師站兼做現場OPC服務器。對于前述信息安全問題,除5)外,其余均存在。網絡結構如圖2所示。
3 工控信息安全解決方案
3.1 當前普遍的解決方案
目前普遍認可的工控安全防御體系是由邊界系統、防御系統、防危系統等三部分組成的縱深綜合防御體系。邊界系統,是指結合工控系統性能特點,利用工控防火墻、工控網閘、工控網關等安全隔離設備,在工控系統的邊界上構筑安全防線。防御系統,包括入侵檢測系統、入侵誘捕系統和安全態勢感知等安全部件,用以檢測和抵御入侵工控系統的攻擊行為[9-10]。防危系統是保證即使攻擊行為已經突破了前面兩道防線,侵入到工控系統的內部,工控系統仍可以維持自身的物理安全,不至于導致嚴重的人身傷亡和重大財產損失事故。
3.2 某石化企業采用的解決方案
基于縱深綜合防御理念,結合自身工控信息安全的現狀及特點,該石化企業分廠區采用了“縱深防護,實時監測,在線備份”的三重安全機制,網絡結構如圖3所示。
3.2.1網絡分區隔離
由圖3可知,交換機H3C 3100根據IP地址進行VLAN劃分配置,對連接各個端口的OPC Server進行網絡隔離,相互之間不允許通信訪問。另外,將過程控制網的普通型交換機全部更換為安全交換機SUP3000,并對SUP3000做VLAN劃分配置和訪問控制列表ACL (access control list)配置。通過訪問控制策略允許特定設備訪問、限制網絡流量、指定轉發特定端口數據包等保障網絡性能。
3.2.2入侵檢測防御
在交換機H3C 3100處部署入侵檢測系統IDS(intrusion detection systems),并連接1臺IDS管理站,IDS采用DPtechIPS2000。為不影響現有網絡狀況及運行,對H3C 3100v2核心交換機進行端口鏡像配置,通過鏡像端口接入IPS 2000,實時檢測網絡數據流量。同時,在網段上偵聽、采集網絡數據,使用原始網絡包作為數據源,及時檢測網絡中出現的異常數據、非法入侵,并根據預定義策略實時報警,同時對網絡中所有活動進行行為審計與內容審計,生成完整記錄,便于事件追溯。
3.2.3邊界隔離防護
在每臺OPC服務器與企業信息網交換機之間部署TofinoEX工控防火墻進行邊界隔離防護。Tofino EX工控防火墻支持OPC,Modbus-TCP,SCnet等應用協議的深度包檢測,防火墻上配置策略只允許OPC協議通過,其他全部禁止,阻斷來自外部的安全威脅,保護控制系統內的網絡安全以及OPC服務器與PI實時數據庫之間的通信安全。
3.2.4工業主機防護
過程控制網內所有主機包括工程師站、操作員站、OPC服務器等全部安裝“工控安全衛士”軟件VxDefender。通過白名單技術手段實現進程管理、網絡管理、USB管理、安全事件管理等,實時監控工控主機的進程狀態、網絡端口狀態、USB 端口狀態,實現對各主機的全面安全防護。根據白名單的配置,工控安全衛士自動禁止非法進程運行,禁止非法 USB設備的接入,從而切斷病毒和木馬的傳播與破壞路徑,同時也阻斷了數據泄密。另外,探測到非法進程、非法網絡端口、非法USB設備時,報警提醒,產生安全事件日志,方便問題排查,事故溯源。
3.2.5實時在線備份
為防御工業數據容災,部署1臺ABR備份服務器,并安裝Acronis Backup組件,通過對各臺工程師站分別制訂備份策略,實現其關鍵數據自動在線備份,確保即使發生故障,也可快速恢復系統,保證生產的連續性。其中,磁盤級備份可在出現嚴重數據損壞或硬件故障時恢復整個系統。當設定僅保護特定數據時(例如,當前項目),可進行文件級備份。文件級備份不足以進行操作系統恢復,要在恢復操作系統的同時恢復所有設置和應用程序,必須執行磁盤級備份。
另外,工控信息安全從來都不是孤立的,在進行技術防御的同時,還必須從管理入手建立起一套有針對性的工控安全管理體系,杜絕安全隱患。
4 結束語
方案實施半年來,工控系統運行穩定。實際運行效果表明:該方案能夠保障工控系統的信息安全,同時為工控系統信息安全問題的研究提供了思路,對其他企業工控信息安全建設具有一定的參考和指導意義。
作者:
付相松,王維濤
(中國化工集團公司 山東昌邑石化有限公司)
來源:自控中心站
北京市公安局海淀分局備案號:11010802023656號