今日頭條
官方微信
官方抖音
資訊頻道
1 引言
工業控制系統(Industrial Control Systems,ICS),包括SCADA系統、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED)等,目前已廣泛應用于石化、電力、水力、醫藥、食品、交通運輸、航天等工業領域,其中超過80%涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業,已成為國家關鍵基礎設施的重要組成部分,關系到國家的戰略安全。
隨著信息化與工業化進程的不斷交叉融合,信息網絡技術在工業控制系統中得到了普及應用,然而現有的工業控制系統大多是在未考慮安全因素或者未充分考慮安全因素的情況下組建的,因此針對工業控制系統的攻擊和威脅逐步顯現。2010年“震網”病毒事件破壞了伊朗核設施,震驚全球,這標志著網絡攻擊從傳統“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設施等核心關鍵系統的“硬摧毀”階段。
ICS-CERT安全報告指出“近三年針對工業控制系統的安全事件呈明顯上升趨勢,據統計,2013年已達到257起”,并且伴隨著工業病毒日益更新,病毒變得更加隱蔽與復雜。同時工信部已在2011年底發布《關于加強工業控制系統信息安全管理的通知》,標志著我國對工業控制系統的安全管理上升為國家戰略。
本文分析了工業控制系統的信息安全防護特性,闡述了設計的工業防火墻,以及在石化、煙草行業的解決方案。
2 工業控制系統安全防護特性
工業控制系統安全威脅主要來源已從內部惡意篡改、環境因素、誤操作、集成商后門、錯誤配置等逐漸變化為黑客攻擊、工業病毒、無線風險,以及設備漏洞等。傳統的互聯網安全防護技術無論在理論研究還是在實踐應用上都已經取得了不錯的進展,市場上充斥著各種互聯網安全防護產品,如防火墻、入侵檢測系統、防病毒軟件等。但是,由于工業控制系統的高可靠性、高實時性以及專用的網絡通信協議等特點,傳統的互聯網防護技術難以在工業控制系統實施,具體實施差距主要表現在以下幾個方面:
(1)通訊協議的不同:工控網中有大量的工控系統專有協議。
(2)系統環境不同:工控網中需要導軌式安裝、無風扇設計等。
(3)可靠性要求不同:工控網中誤報、數據丟失等同于攻擊。
(4)實時性要求不同:工控網中網絡延時要求較高。
(5)網絡拓撲不同:工控網中的系統拓撲不會輕易變動。
3 工業防火墻設計
中科工業防火墻針對上述問題,結合縱深防御的思想,開發了針對工業應用層協議的安全防護技術,建立不同區域之間的數據通信管道,對管道內的數據進行安全管控。其中基于ISA的縱深防御主要指“白名單規則”的區域管控,包括:劃分控制系統安全區域,對安全區域的隔離保護;保護合法用戶訪問網絡資源。以及由于安全威脅主要來自于應用層,傳統五元組(源IP、目的IP、協議、源端口、目的端口)方式的ACL將不能完全抵御高級可持續攻擊,中科工業防火墻同時針對工業專有應用層協議進行了深度的安全防護,包括Modbus、OPC協議。
中科工業防火墻的Modbus訪問控制模塊提供了一種針對工業控制Modbus協議的訪問控制方法,Modbus協議訪問控制是工業控制系統安全防護中極其重要的環節,它建立在身份識別基礎上,限制了工業控制系統中訪問主體對客體的訪問,防止未經授權使用(含以未授權方式使用)某資源,從而保障數據資源在合法范圍內得以有效使用和管理,Modbus協議檢測范圍如圖1所示。
圖1 Modbus協議檢測
中科工業防火墻的OPC協議模塊是用于保護工業控制系統中通過OPC協議進行數采與傳輸的過程,防護模塊以OPC基金會、工業控制系統應急響應中心(ICSCERT)等組織提出的安全問題及防護建議為理論基礎,如有效的鎖定OPC客戶端與服務端、DCOM對象訪問、約束RPC協議端口最小權限、檢測沒有異常DCOM被使用等,實時捕獲OPC通信數據包,解析OPC數據包端口內容,為端口設置一條私密規則,對端口進行動態跟蹤與授權管理,在建立連接之后對流經的數據包進行基于端口及協議進行監控,防止非法訪問,OPC防護模塊檢測原理如圖2所示。
圖2 OPC防護模塊檢測原理
中科工業防火墻的設計要點如圖3所示,主要包括:基于“區域”與“管道”的安全防護模型;Modbus/TCP、Modbus/UDP、OPC等工控協議應用數據的深度解析;基于規則策略的動態包過濾和Syslog的實時報警技術;冗余電源設計;工業級的低功耗設計;兼容所有PLC、HMI、RTU等工業控制設備;支持時間同步、重啟自動加載規則的高可用性設計;包含直通、管控和自學習模式設計,使用多種網絡拓撲結構。
圖3 工業防火墻功能特性
以上設計要點符合工業級應用的設計,并通過了公安部信息安全產品檢測中心的認證,認證型號為SIAIF1000-02TX/v1.0。
4 工業防火墻在石化、煙草行業的應用
4.1 石化控制系統安全解決方案
以某石化行業的實際解決方案為例,現場網絡的結構是底層溫度、壓力流速、計量數等采集表通過無線方式將數據傳遞到匯聚的RTU網關設備,多個RTU設備向OPC服務器以固定時間間隔傳遞采集數據,OPC服務器將數據存儲在本地實時數據庫中,之后在管理網絡中部署了Aspen,它作為OPC客戶端向現場網絡中OPC服務器數據請求采集數據。
中科工業防火墻實際部署在OPC服務器與OPC客戶端之間,滿足用戶對OPC協議安全防護的需求,解決方案部署示意圖如圖4所示。
圖4 石化行業實際部署示意圖
通過部署中科工業防火墻,目前網絡中的阻態軟件的警告事件明顯減少,網絡中的廣播流量明顯減少。
4.2 煙草控制系統安全解決方案
以某煙草行業實際解決方案為例,現場網絡組成層次從下至上依次為:電控元器件、傳感器、執行器等組成的現場設備層;主控制器組成的控制層;操作員站、工程師站組成的組態層。控制層與現場設備層之間通過現場總線進行控制,如485、232等,組態層與控制層主流以Modbus、Profinet協議控制。
中科工業防火墻針對以Modbus協議的控制系統,增加中科工業防火墻,對網絡中的Modbus協議進行深度解析,保護控制器,阻止任何對控制器的非法訪問及控制。現場網絡與MES層之間主要通過OPC協議進行現場網絡數據的向上傳遞,增加中科工業防火墻,對OPC協議進行動態端口開放及實現區域隔離,避免病毒利用端口傳遞后門及病毒擴散,解決方案部署示意圖如圖5所示。
圖5 煙草行業實際部署示意圖
通過部署工業防火墻完整顯示現場網絡的實時事件,獲得部署單位的認可,能對單位網絡報警及消息進行歷史存儲。網絡管理人員通過觀察警報事件,對某員工的偏離操作參數進行管理與培訓,避免一批部分生產任務的損失。
5 結語
本文分析了工業控制系統與傳統IT網絡信息安全防護的區別,說明了工業控制系統網絡安全防護的特殊性。闡述了Modbus和OPC工業防火墻的設計方案,并介紹了開發的中科工業防火墻在石化、煙草行業的解決方案。
開發的中科工業防火墻產品SIA-IF1000-02TX/v1.0,通過了公安部信息安全產品檢測中心的認證。該產品目前已經在石油、石化和煙草等多個行業應用,加固了工業控制系統的信息安全防護。
參考文獻:
[1] 彭杰, 劉力. 工業控制系統信息安全性分析[J]. 自動化儀表, 2012, (12): 36 - 39.
[2] 夏春明, 劉濤, 王華忠, 吳清. 工業控制系統信息安全現狀及發展趨勢[J]. 信息安全與技術, 2013, (02): 13 - 18.
[3] 于立業, 薛向榮, 張云貴等. 工業控制系統信息安全解決方案[J]. 冶金自動化, 2013, 37(1): 5 - 11.
[4] 宋慧欣. 破解“工業控制系統信息安全”迷局[J]. 自動化博覽,2012, (07): 30 - 35.
作者簡介
尚文利(1974-),男,黑龍江北安人,副研究員,博士,碩士生導師,現就職于中國科學院沈陽自動化研究所,中國科學院網絡化控制系統重點實驗室,主要從事計算智能與機器學習、工業信息安全方向研究。
劉長江(1972-),男,吉林九臺人,工程師,現就職于吉林油田勘察設計院,主要從事計算機及網絡設備、物聯網系統方面的研究工作。
趙劍明(1988-),男,助理研究員,現就職于中國科學院沈陽自動化研究所,中國科學院網絡化控制系統重點實驗室,主要從事工業信息安全方面的研究工作。
曾鵬(1976-),男,山東青島人,研究員,博士、博士生導師,現就職于中國科學院沈陽自動化研究所,中國科學院網絡化控制系統重點實驗室,主要從事工業無線傳感網技術研究。
北京市公安局海淀分局備案號:11010802023656號