今日頭條
官方微信
官方抖音
資訊頻道1 前言
當(dāng)前,工業(yè)信息安全威脅呈現(xiàn)不斷增長(zhǎng)趨勢(shì),隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展、兩化融合的不斷深入,以及工業(yè)4.0時(shí)代的到來,各行各業(yè)全面面向信息網(wǎng)絡(luò),在享受信息網(wǎng)絡(luò)帶來便利的同時(shí),大規(guī)模、高強(qiáng)度的工業(yè)信息安全事件頻頻發(fā)生:2010年伊朗核設(shè)施遭受震網(wǎng)病毒攻擊;2015年12月,烏克蘭電廠遭受黑客攻擊,導(dǎo)致大面積居民停電;2018年4月,工業(yè)路由器摩莎EDR-810曝17個(gè)嚴(yán)重漏洞……據(jù)不完全統(tǒng)計(jì),近年來每年發(fā)生的工業(yè)信息安全事件均接近300起。
工業(yè)控制系統(tǒng)和設(shè)備大量暴露在互聯(lián)網(wǎng)上,也已成為各國(guó)工業(yè)信息安全的重要威脅和軟肋。根據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè),截至2017年12月,全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備超過10萬個(gè)。
而國(guó)內(nèi)暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)數(shù)量增幅尤其明顯,增速超過了全球平均水平,其中相當(dāng)大一部分都存在高危安全漏洞。國(guó)內(nèi)工業(yè)信息安全產(chǎn)業(yè)發(fā)展存在明顯的不足,如產(chǎn)業(yè)生態(tài)尚不健全,仍未形成良性發(fā)展的產(chǎn)業(yè)鏈;核心技術(shù)的積累不夠,仍然處于跟跑狀態(tài);安全服務(wù)能力亟待提升,安全服務(wù)市場(chǎng)占有率較低等。
針對(duì)國(guó)內(nèi)現(xiàn)有工控信息安全市場(chǎng)的不足,工業(yè)和信息化部于2016年10月17日發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,《指南》整體思路借鑒了等級(jí)保護(hù)的思想,具體提出了十一條三十款要求,貼近實(shí)際工業(yè)企業(yè)真實(shí)情況,務(wù)實(shí)可落地;2017年底印發(fā)《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》,要求建設(shè)“一網(wǎng)一庫(kù)三平臺(tái)”的國(guó)家工業(yè)信息安全技術(shù)保障體系。
工業(yè)控制網(wǎng)絡(luò)安全需要警鐘長(zhǎng)鳴,立足自主創(chuàng)新,才能擺脫核心技術(shù)產(chǎn)品受制于人的局面,立足自主創(chuàng)新,才能實(shí)現(xiàn)發(fā)展與安全的協(xié)同推進(jìn)。力控華康依托工業(yè)自動(dòng)化和工業(yè)信息化的多年沉淀、積累的實(shí)踐經(jīng)驗(yàn),自主創(chuàng)新開發(fā)出適用于工業(yè)控制現(xiàn)場(chǎng)的工業(yè)通信網(wǎng)關(guān)pFieldComm系列、工業(yè)安全隔離產(chǎn)品pSafetyLink系列、工業(yè)防火墻HC-ISG系列、安全通信網(wǎng)關(guān)HC-ICG系列、工控安全管理平臺(tái)、主機(jī)安全衛(wèi)士、工業(yè)安全審計(jì)等產(chǎn)品,并在石油、石化、燃?xì)狻撹F、有色、礦山、電力、煤礦、供水等諸多行業(yè)成功應(yīng)用,為國(guó)內(nèi)工業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。
2 護(hù)航工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)是由工業(yè)自動(dòng)化生產(chǎn)設(shè)備,如SCADA、DCS、PLC等各種過程控制系統(tǒng)組成的網(wǎng)絡(luò),不同于IT網(wǎng)絡(luò),工業(yè)控制系統(tǒng)網(wǎng)絡(luò)具有以下特點(diǎn):
(1)專用通信協(xié)議或規(guī)約(OPC、Modbus、DNP3等);
(2)系統(tǒng)傳輸、處理信息的實(shí)時(shí)性要求高,盡量避免停機(jī)、重啟等操作;
(3)系統(tǒng)故障必須及時(shí)響應(yīng)處理,不可預(yù)料的中斷會(huì)造成經(jīng)濟(jì)損失或其他危害;
(4)為滿足特定應(yīng)用場(chǎng)景、任務(wù)單一性以及系統(tǒng)穩(wěn)定性;為保障生產(chǎn)的連續(xù)性,減少可能的風(fēng)險(xiǎn),因此系統(tǒng)或設(shè)備很少升級(jí),甚至不升級(jí)。
工業(yè)控制系統(tǒng)的核心是工業(yè)軟件,工控系統(tǒng)的作用是其對(duì)于生產(chǎn)流程的自動(dòng)化管控,一旦可用性出現(xiàn)問題,整個(gè)生產(chǎn)流程將會(huì)受到極大影響,造成不可挽回的損失。在工業(yè)控制領(lǐng)域,可用性作為信息安全建設(shè)的首要目標(biāo),工業(yè)領(lǐng)域的安全主要分為功能安全、物理安全、信息安全等。工業(yè)控制系統(tǒng)基于專用通信協(xié)議,與生產(chǎn)直接相關(guān)、數(shù)據(jù)傳輸、處理信息的實(shí)時(shí)性要求高,不能停機(jī)和重啟等特點(diǎn),對(duì)功能安全和實(shí)時(shí)性要求較高。
傳統(tǒng)IT信息安全標(biāo)準(zhǔn)的三要素分別為:保密性、完整性和可用性,如工業(yè)領(lǐng)域中門戶網(wǎng)站、辦公系統(tǒng)、財(cái)務(wù)系統(tǒng)、ERP系統(tǒng)、MES系統(tǒng)等信息化系統(tǒng)。傳統(tǒng)IT信息安全以保密性為首,信息系統(tǒng)允許適度延遲、重啟。因此常規(guī)IT信息安全技術(shù)無法直接用來有效地解決工業(yè)控制系統(tǒng)網(wǎng)絡(luò)全部安全問題。
2.1 防護(hù)體系及策略
在工業(yè)網(wǎng)絡(luò)安全護(hù)航的過程中,力控華康積累經(jīng)驗(yàn),提出了三大工業(yè)網(wǎng)絡(luò)安全體系、五層防護(hù)策略。
三大安全體系包括:
(1)風(fēng)險(xiǎn)評(píng)估
建立信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制,對(duì)工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行系統(tǒng)、全面分析,找到整個(gè)體系的薄弱點(diǎn)根據(jù)需求進(jìn)行安全規(guī)劃設(shè)計(jì)。
(2)安全規(guī)劃設(shè)計(jì)
根據(jù)評(píng)估結(jié)果制定工業(yè)控制系統(tǒng)的安全解決方案,可借鑒傳統(tǒng)IT系統(tǒng)安全分區(qū)和縱深防御的成熟做法;也要充分考慮工業(yè)控制系統(tǒng)的特殊性,堅(jiān)持功能安全和信息安全相結(jié)合的原則,保障生產(chǎn)任務(wù)的不間斷運(yùn)行。涵蓋設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全等多個(gè)層級(jí)的安全防護(hù)技術(shù),最終為用戶提供可選擇適合工業(yè)控制系統(tǒng)的安全技術(shù)和產(chǎn)品。
(3)安全管理可持續(xù)性改進(jìn)
完善安全制度和人員素質(zhì)提升,掌握整個(gè)安全防護(hù)體系為使用安全防護(hù)技術(shù)去構(gòu)建縱深防護(hù)體系,通過綜合安全管理持續(xù)改進(jìn),保證整個(gè)體系的良性運(yùn)轉(zhuǎn)。
五層防護(hù)策略包括:
(1)第一層:信息網(wǎng)絡(luò)及系統(tǒng)防護(hù),主要側(cè)重信息系統(tǒng)及互聯(lián)網(wǎng)絡(luò)的安全方面;
(2)第二層:生產(chǎn)控制網(wǎng)絡(luò)防護(hù),主要是監(jiān)控系統(tǒng)及帶有控制命令的安全防護(hù);
(3)第三層:主機(jī)防御加固強(qiáng)化,提升主機(jī)系統(tǒng)如SCADA、PLC自身的防病毒/防攻擊能力;
(4)第四層:工業(yè)軟件安全加強(qiáng),軟件的版本管理和備份管理,密碼定時(shí)更新、軟件補(bǔ)丁更新等;
(5)第五層:制定安全管理制度加強(qiáng)人員培訓(xùn)。
2.2 安全防護(hù)產(chǎn)品
為實(shí)現(xiàn)安全防護(hù)的三大體系及五層策略,力控華康依托在工業(yè)自動(dòng)化和工業(yè)信息化方面多年沉淀的實(shí)踐經(jīng)驗(yàn),自主創(chuàng)新研發(fā)多款產(chǎn)品。其中如下幾款產(chǎn)品頗具有代表性:
(1)pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)。此款產(chǎn)品可以對(duì)工業(yè)協(xié)議進(jìn)行解析,提取其中的數(shù)據(jù)元素,可以作到針對(duì)測(cè)點(diǎn)一級(jí)的訪問控制。如對(duì)于OPC標(biāo)準(zhǔn)可以控制到Item(項(xiàng))一級(jí),對(duì)于Modbus協(xié)議可以控制到寄存器。pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)可以對(duì)測(cè)點(diǎn)進(jìn)行可見范圍和讀寫權(quán)限兩方面的控制。
(2)HC-ISG系列工業(yè)防火墻不但支持傳統(tǒng)防火墻的基礎(chǔ)訪問控制功能,還可提供針對(duì)工業(yè)協(xié)議的指令級(jí)深度檢測(cè),實(shí)現(xiàn)了對(duì)Modbus、OPC DA、DNP3等主流工業(yè)協(xié)議和規(guī)約的細(xì)粒度檢查和過濾,幫助用戶防護(hù)來自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為,避免其對(duì)控制網(wǎng)絡(luò)的影響和對(duì)生產(chǎn)流程的破壞,同時(shí)具備Bypass及全透明無間斷部署功能,保證業(yè)務(wù)的連續(xù)性;規(guī)則報(bào)警功能可以有效對(duì)異常操作進(jìn)行處理,避免因未及時(shí)處理造成損失和危害;而且它采用白名單機(jī)制,可以較少甚至不用升級(jí),符合工業(yè)現(xiàn)場(chǎng)特點(diǎn)。
(3)pFliedComm系列工業(yè)通訊網(wǎng)關(guān)定位于解決工業(yè)網(wǎng)絡(luò)中協(xié)議、規(guī)約復(fù)雜多樣,數(shù)據(jù)通訊接口不暢的問題。采用高性能嵌入式硬件平臺(tái),內(nèi)嵌力控華康自主研發(fā)的工業(yè)數(shù)據(jù)采集和處理系統(tǒng),具有多種通信規(guī)約庫(kù),可以實(shí)現(xiàn)對(duì)不同軟件系統(tǒng)、控制器和現(xiàn)場(chǎng)設(shè)備數(shù)據(jù)的集中采集、預(yù)處理、協(xié)議轉(zhuǎn)換和復(fù)用轉(zhuǎn)發(fā)。
(4)工控安全管理平臺(tái)ISC采用B/S結(jié)構(gòu),可全面監(jiān)控力控華康自研設(shè)備的運(yùn)行狀態(tài),采集其安全事件。平臺(tái)可對(duì)各類關(guān)鍵運(yùn)行指標(biāo)設(shè)置監(jiān)控閾值,對(duì)采集的事件進(jìn)行歸一化處理和關(guān)聯(lián)分析。安全管理平臺(tái)還可以針對(duì)第三方控制設(shè)備做現(xiàn)場(chǎng)控制系統(tǒng)的生產(chǎn)報(bào)警管理(基于ISA18.2標(biāo)準(zhǔn)),當(dāng)出現(xiàn)運(yùn)行指標(biāo)異常或發(fā)現(xiàn)攻擊行為或違規(guī)訪問時(shí),可及時(shí)進(jìn)行多種方式的告警,幫助管理員迅速定位故障點(diǎn),發(fā)現(xiàn)高危安全事件,及時(shí)采取有效措施,保障用戶生產(chǎn)業(yè)務(wù)的連續(xù)性。
(5)工控安全審計(jì)系統(tǒng)是專門為工業(yè)控制網(wǎng)絡(luò)量身打造的工控網(wǎng)絡(luò)安全產(chǎn)品,它能實(shí)時(shí)監(jiān)測(cè)工控網(wǎng)絡(luò)的狀態(tài),檢測(cè)工控網(wǎng)絡(luò)中入侵行為,也能根據(jù)用戶定義的審計(jì)策略,追蹤工控網(wǎng)絡(luò)安全事件,對(duì)工控網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行留存。
2.3 行業(yè)應(yīng)用
力控華康護(hù)航工業(yè)安全領(lǐng)域這么多年來,已積累了豐富的經(jīng)驗(yàn),并且在各行各業(yè)的產(chǎn)品應(yīng)用中取得巨大成就。
(1)煉化行業(yè)信息接入MES系統(tǒng)安全防護(hù)系統(tǒng),如圖1所示。
圖1 煉化行業(yè)信息接入MES系統(tǒng)安全防護(hù)系統(tǒng)
煉化行業(yè)主要使用DCS作為生產(chǎn)控制系統(tǒng), DCS普遍使用OPC通信協(xié)議向上級(jí)系統(tǒng)傳遞數(shù)據(jù),所以O(shè)PC通信的安全防護(hù)是重中之重,華康根據(jù)這一特點(diǎn),完美接入OPC通訊,在不同安全防護(hù)層次增加部署不同的安全防護(hù)產(chǎn)品,全面保護(hù)工業(yè)數(shù)據(jù)與上層MES系統(tǒng)間的互通互聯(lián)。
(2)城市燃?xì)庑袠I(yè)指揮調(diào)度系統(tǒng)安全防護(hù)系統(tǒng),如圖2所示。
圖2 城市燃?xì)庑袠I(yè)指揮調(diào)度系統(tǒng)安全防護(hù)系統(tǒng)
城市燃?xì)庵笓]調(diào)度系統(tǒng)可分為門站(場(chǎng)站)、調(diào)度中心(項(xiàng)目公司)、區(qū)域公司、集團(tuán)公司四個(gè)等級(jí)。城市燃?xì)庹{(diào)度中心是城市燃?xì)?SCADA 系統(tǒng)的核心部分,它監(jiān)控門站、中高壓站、中低壓站、大用戶站等設(shè)備的實(shí)時(shí)運(yùn)行狀況,記錄燃?xì)夤芫W(wǎng)的運(yùn)行數(shù)據(jù),為區(qū)域公司、集團(tuán)公司提供相關(guān)數(shù)據(jù)等。為保證數(shù)據(jù)在不同等級(jí)區(qū)域間的安全傳輸,力控華康依據(jù)多年安全防護(hù)經(jīng)驗(yàn),在不同等級(jí)區(qū)間部署相應(yīng)的安全設(shè)備及管理平臺(tái),保障數(shù)據(jù)在生產(chǎn)傳輸過程中的安全性。
(3)油氣生產(chǎn)物聯(lián)網(wǎng)安全防護(hù)系統(tǒng),如圖3所示。
圖3 油氣生產(chǎn)物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)
油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)一般是由油、氣井、站庫(kù)、作業(yè)區(qū)、采油廠幾個(gè)部分組成,為了保障數(shù)據(jù)在傳輸過程中的安全性,分三個(gè)等級(jí)采取防護(hù)措施:
·在各站庫(kù)與作業(yè)區(qū)之間部署安全隔離設(shè)備,保護(hù)現(xiàn)場(chǎng)數(shù)據(jù)的安全性;
·在各作業(yè)區(qū)與采油廠之間部署安全隔離設(shè)備,采用單項(xiàng)導(dǎo)入模式,保護(hù)作業(yè)區(qū)的數(shù)據(jù)安全;
·在采油廠與外網(wǎng)接入點(diǎn)部署工業(yè)防火墻,防止一些威脅通過互聯(lián)網(wǎng)進(jìn)入油氣生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)。
(4)化工行業(yè)安全防護(hù)系統(tǒng),如圖4所示。
通過在不同區(qū)域部署華康安全設(shè)備實(shí)現(xiàn)對(duì)各生產(chǎn)裝置DCS/PLC控制網(wǎng)絡(luò)的高安全級(jí)別的安全防護(hù),徹底避免辦公網(wǎng)絡(luò)對(duì)控制網(wǎng)絡(luò)可能產(chǎn)生的干擾。對(duì)現(xiàn)有生產(chǎn)過程不產(chǎn)生影響的前提下,保證現(xiàn)有數(shù)據(jù)采集功能的實(shí)現(xiàn)。解決某一個(gè)裝置的控制網(wǎng)絡(luò)由于內(nèi)控不當(dāng)出現(xiàn)了網(wǎng)絡(luò)安全問題后,橫向感染、傳播到其它裝置的控制網(wǎng)絡(luò)提高控制網(wǎng)絡(luò)的內(nèi)控管理要求,防止由于內(nèi)控不當(dāng),由內(nèi)部人員通過U盤、筆記本電腦等途徑直接從內(nèi)網(wǎng)造成控制網(wǎng)絡(luò)安全問題。
圖4 化工行業(yè)安全防護(hù)系統(tǒng)
3 結(jié)語(yǔ)
力控華康作為國(guó)內(nèi)較早從事工業(yè)控制系統(tǒng)信息安全技術(shù)研發(fā)的廠商之一,已發(fā)展成為中國(guó)領(lǐng)先的工業(yè)控制系統(tǒng)信息安全產(chǎn)品及服務(wù)提供商,參與了包括GB/T 30976在內(nèi)的多個(gè)信息安全國(guó)家標(biāo)準(zhǔn)的制定工作。憑借多年來在工業(yè)控制領(lǐng)域信息安全方面的優(yōu)良表現(xiàn),工業(yè)控制系統(tǒng)信息安全產(chǎn)品成功入選“2013年國(guó)家信息安全專項(xiàng)及下一代研發(fā)、產(chǎn)業(yè)化和規(guī)模商用專項(xiàng)”清單。
作者簡(jiǎn)介
鮑 磊(1986-),男,安徽人,本科,現(xiàn)任北京力控華康科技有限公司產(chǎn)品經(jīng)理,研究方向?yàn)楣た鼐W(wǎng)絡(luò)安全產(chǎn)品、技術(shù)應(yīng)用及安全方案。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)