今日頭條
官方微信
官方抖音
資訊頻道1 引言
工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS),包括SCADA系統(tǒng)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED)等,目前已廣泛應(yīng)用于石化、電力、水力、醫(yī)藥、食品、交通運(yùn)輸、航天等工業(yè)領(lǐng)域,其中超過80%涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè),已成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,關(guān)系到國家的戰(zhàn)略安全。
隨著信息化與工業(yè)化進(jìn)程的不斷交叉融合,信息網(wǎng)絡(luò)技術(shù)在工業(yè)控制系統(tǒng)中得到了普及應(yīng)用,然而現(xiàn)有的工業(yè)控制系統(tǒng)大多是在未考慮安全因素或者未充分考慮安全因素的情況下組建的,因此針對(duì)工業(yè)控制系統(tǒng)的攻擊和威脅逐步顯現(xiàn)。2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施,震驚全球,這標(biāo)志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”階段升級(jí)為直接攻擊電力、金融、通信、核設(shè)施等核心關(guān)鍵系統(tǒng)的“硬摧毀”階段。
ICS-CERT安全報(bào)告指出“近三年針對(duì)工業(yè)控制系統(tǒng)的安全事件呈明顯上升趨勢(shì),據(jù)統(tǒng)計(jì),2013年已達(dá)到257起”,并且伴隨著工業(yè)病毒日益更新,病毒變得更加隱蔽與復(fù)雜。同時(shí)工信部已在2011年底發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,標(biāo)志著我國對(duì)工業(yè)控制系統(tǒng)的安全管理上升為國家戰(zhàn)略。
本文分析了工業(yè)控制系統(tǒng)的信息安全防護(hù)特性,闡述了設(shè)計(jì)的工業(yè)防火墻,以及在石化、煙草行業(yè)的解決方案。
2 工業(yè)控制系統(tǒng)安全防護(hù)特性
工業(yè)控制系統(tǒng)安全威脅主要來源已從內(nèi)部惡意篡改、環(huán)境因素、誤操作、集成商后門、錯(cuò)誤配置等逐漸變化為黑客攻擊、工業(yè)病毒、無線風(fēng)險(xiǎn),以及設(shè)備漏洞等。傳統(tǒng)的互聯(lián)網(wǎng)安全防護(hù)技術(shù)無論在理論研究還是在實(shí)踐應(yīng)用上都已經(jīng)取得了不錯(cuò)的進(jìn)展,市場(chǎng)上充斥著各種互聯(lián)網(wǎng)安全防護(hù)產(chǎn)品,如防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件等。但是,由于工業(yè)控制系統(tǒng)的高可靠性、高實(shí)時(shí)性以及專用的網(wǎng)絡(luò)通信協(xié)議等特點(diǎn),傳統(tǒng)的互聯(lián)網(wǎng)防護(hù)技術(shù)難以在工業(yè)控制系統(tǒng)實(shí)施,具體實(shí)施差距主要表現(xiàn)在以下幾個(gè)方面:
(1)通訊協(xié)議的不同:工控網(wǎng)中有大量的工控系統(tǒng)專有協(xié)議。
(2)系統(tǒng)環(huán)境不同:工控網(wǎng)中需要導(dǎo)軌式安裝、無風(fēng)扇設(shè)計(jì)等。
(3)可靠性要求不同:工控網(wǎng)中誤報(bào)、數(shù)據(jù)丟失等同于攻擊。
(4)實(shí)時(shí)性要求不同:工控網(wǎng)中網(wǎng)絡(luò)延時(shí)要求較高。
(5)網(wǎng)絡(luò)拓?fù)洳煌汗た鼐W(wǎng)中的系統(tǒng)拓?fù)洳粫?huì)輕易變動(dòng)。
3 工業(yè)防火墻設(shè)計(jì)
中科工業(yè)防火墻針對(duì)上述問題,結(jié)合縱深防御的思想,開發(fā)了針對(duì)工業(yè)應(yīng)用層協(xié)議的安全防護(hù)技術(shù),建立不同區(qū)域之間的數(shù)據(jù)通信管道,對(duì)管道內(nèi)的數(shù)據(jù)進(jìn)行安全管控。其中基于ISA的縱深防御主要指“白名單規(guī)則”的區(qū)域管控,包括:劃分控制系統(tǒng)安全區(qū)域,對(duì)安全區(qū)域的隔離保護(hù);保護(hù)合法用戶訪問網(wǎng)絡(luò)資源。以及由于安全威脅主要來自于應(yīng)用層,傳統(tǒng)五元組(源IP、目的IP、協(xié)議、源端口、目的端口)方式的ACL將不能完全抵御高級(jí)可持續(xù)攻擊,中科工業(yè)防火墻同時(shí)針對(duì)工業(yè)專有應(yīng)用層協(xié)議進(jìn)行了深度的安全防護(hù),包括Modbus、OPC協(xié)議。
中科工業(yè)防火墻的Modbus訪問控制模塊提供了一種針對(duì)工業(yè)控制Modbus協(xié)議的訪問控制方法,Modbus協(xié)議訪問控制是工業(yè)控制系統(tǒng)安全防護(hù)中極其重要的環(huán)節(jié),它建立在身份識(shí)別基礎(chǔ)上,限制了工業(yè)控制系統(tǒng)中訪問主體對(duì)客體的訪問,防止未經(jīng)授權(quán)使用(含以未授權(quán)方式使用)某資源,從而保障數(shù)據(jù)資源在合法范圍內(nèi)得以有效使用和管理,Modbus協(xié)議檢測(cè)范圍如圖1所示。
圖1 Modbus協(xié)議檢測(cè)
中科工業(yè)防火墻的OPC協(xié)議模塊是用于保護(hù)工業(yè)控制系統(tǒng)中通過OPC協(xié)議進(jìn)行數(shù)采與傳輸?shù)倪^程,防護(hù)模塊以O(shè)PC基金會(huì)、工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)中心(ICS-CERT)等組織提出的安全問題及防護(hù)建議為理論基礎(chǔ),如有效的鎖定OPC客戶端與服務(wù)端、DCOM對(duì)象訪問、約束RPC協(xié)議端口最小權(quán)限、檢測(cè)沒有異常DCOM被使用等,實(shí)時(shí)捕獲OPC通信數(shù)據(jù)包,解析OPC數(shù)據(jù)包端口內(nèi)容,為端口設(shè)置一條私密規(guī)則,對(duì)端口進(jìn)行動(dòng)態(tài)跟蹤與授權(quán)管理,在建立連接之后對(duì)流經(jīng)的數(shù)據(jù)包進(jìn)行基于端口及協(xié)議進(jìn)行監(jiān)控,防止非法訪問,OPC防護(hù)模塊檢測(cè)原理如圖2所示。
圖2 OPC防護(hù)模塊檢測(cè)原理
中科工業(yè)防火墻的設(shè)計(jì)要點(diǎn)如圖3所示,主要包括:基于“區(qū)域”與“管道”的安全防護(hù)模型;Modbus/TCP、Modbus/UDP、OPC等工控協(xié)議應(yīng)用數(shù)據(jù)的深度解析;基于規(guī)則策略的動(dòng)態(tài)包過濾和Syslog的實(shí)時(shí)報(bào)警技術(shù);冗余電源設(shè)計(jì);工業(yè)級(jí)的低功耗設(shè)計(jì);兼容所有PLC、HMI、RTU等工業(yè)控制設(shè)備;支持時(shí)間同步、重啟自動(dòng)加載規(guī)則的高可用性設(shè)計(jì);包含直通、管控和自學(xué)習(xí)模式設(shè)計(jì),使用多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
以上設(shè)計(jì)要點(diǎn)符合工業(yè)級(jí)應(yīng)用的設(shè)計(jì),并通過了公安部信息安全產(chǎn)品檢測(cè)中心的認(rèn)證,認(rèn)證型號(hào)為SIA-IF1000-02TX/v1.0。
圖3 工業(yè)防火墻功能特性
4 工業(yè)防火墻在石化、煙草行業(yè)的應(yīng)用
4.1石化控制系統(tǒng)安全解決方案
以某石化行業(yè)的實(shí)際解決方案為例,現(xiàn)場(chǎng)網(wǎng)絡(luò)的結(jié)構(gòu)是底層溫度、壓力流速、計(jì)量數(shù)等采集表通過無線方式將數(shù)據(jù)傳遞到匯聚的RTU網(wǎng)關(guān)設(shè)備,多個(gè)RTU設(shè)備向OPC服務(wù)器以固定時(shí)間間隔傳遞采集數(shù)據(jù),OPC服務(wù)器將數(shù)據(jù)存儲(chǔ)在本地實(shí)時(shí)數(shù)據(jù)庫中,之后在管理網(wǎng)絡(luò)中部署了Aspen,它作為OPC客戶端向現(xiàn)場(chǎng)網(wǎng)絡(luò)中OPC服務(wù)器數(shù)據(jù)請(qǐng)求采集數(shù)據(jù)。
中科工業(yè)防火墻實(shí)際部署在OPC服務(wù)器與OPC客戶端之間,滿足用戶對(duì)OPC協(xié)議安全防護(hù)的需求,解決方案部署示意圖如圖4所示。
通過部署中科工業(yè)防火墻,目前網(wǎng)絡(luò)中的阻態(tài)軟件的警告事件明顯減少,網(wǎng)絡(luò)中的廣播流量明顯減少。
圖4 石化行業(yè)實(shí)際部署示意圖
4.2 煙草控制系統(tǒng)安全解決方案
以某煙草行業(yè)實(shí)際解決方案為例,現(xiàn)場(chǎng)網(wǎng)絡(luò)組成層次從下至上依次為:電控元器件、傳感器、執(zhí)行器等組成的現(xiàn)場(chǎng)設(shè)備層;主控制器組成的控制層;操作員站、工程師站組成的組態(tài)層。控制層與現(xiàn)場(chǎng)設(shè)備層之間通過現(xiàn)場(chǎng)總線進(jìn)行控制,如485、232等,組態(tài)層與控制層主流以Modbus、Profinet協(xié)議控制。
中科工業(yè)防火墻針對(duì)以Modbus協(xié)議的控制系統(tǒng),增加中科工業(yè)防火墻,對(duì)網(wǎng)絡(luò)中的Modbus協(xié)議進(jìn)行深度解析,保護(hù)控制器,阻止任何對(duì)控制器的非法訪問及控制。現(xiàn)場(chǎng)網(wǎng)絡(luò)與MES層之間主要通過OPC協(xié)議進(jìn)行現(xiàn)場(chǎng)網(wǎng)絡(luò)數(shù)據(jù)的向上傳遞,增加中科工業(yè)防火墻,對(duì)OPC協(xié)議進(jìn)行動(dòng)態(tài)端口開放及實(shí)現(xiàn)區(qū)域隔離,避免病毒利用端口傳遞后門及病毒擴(kuò)散,解決方案部署示意圖如圖5所示。
圖5 煙草行業(yè)實(shí)際部署示意圖
通過部署工業(yè)防火墻完整顯示現(xiàn)場(chǎng)網(wǎng)絡(luò)的實(shí)時(shí)事件,獲得部署單位的認(rèn)可,能對(duì)單位網(wǎng)絡(luò)報(bào)警及消息進(jìn)行歷史存儲(chǔ)。網(wǎng)絡(luò)管理人員通過觀察警報(bào)事件,對(duì)某員工的偏離操作參數(shù)進(jìn)行管理與培訓(xùn),避免一批部分生產(chǎn)任務(wù)的損失。
5 結(jié)語
本文分析了工業(yè)控制系統(tǒng)與傳統(tǒng)IT網(wǎng)絡(luò)信息安全防護(hù)的區(qū)別,說明了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的特殊性。闡述了Modbus和OPC工業(yè)防火墻的設(shè)計(jì)方案,并介紹了開發(fā)的中科工業(yè)防火墻在石化、煙草行業(yè)的解決方案。
開發(fā)的中科工業(yè)防火墻產(chǎn)品SIA-IF1000-02TX/v1.0,通過了公安部信息安全產(chǎn)品檢測(cè)中心的認(rèn)證。該產(chǎn)品目前已經(jīng)在石油、石化和煙草等多個(gè)行業(yè)應(yīng)用,加固了工業(yè)控制系統(tǒng)的信息安全防護(hù)。
作者簡介
尚文利(1974-),男,黑龍江北安人,副研究員,博士,碩士生導(dǎo)師,現(xiàn)就職于中國科學(xué)院沈陽自動(dòng)化研究所,中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室,主要從事計(jì)算智能與機(jī)器學(xué)習(xí)、工業(yè)信息安全方向研究。
劉長江(1972-),男,吉林九臺(tái)人,工程師,現(xiàn)就職于吉林油田勘察設(shè)計(jì)院,主要從事計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備、物聯(lián)網(wǎng)系統(tǒng)方面的研究工作。
趙劍明(1988-),男,助理研究員,現(xiàn)就職于中國科學(xué)院沈陽自動(dòng)化研究所,中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室,主要從事工業(yè)信息安全方面的研究工作。
曾鵬(1976-),男,山東青島人,研究員,博士、博士生導(dǎo)師,現(xiàn)就職于中國科學(xué)院沈陽自動(dòng)化研究所,中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室,主要從事工業(yè)無線傳感網(wǎng)技術(shù)研究。
參考文獻(xiàn):
[1]彭杰,劉力.工業(yè)控制系統(tǒng)信息安全性分析[J].自動(dòng)化儀表, 2012, (12): 36 -39.
[2]夏春明,劉濤,王華忠,吳清.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢(shì)[J].信息安全與技術(shù), 2013, (02): 13 -18.
[3]于立業(yè),薛向榮,張?jiān)瀑F等.工業(yè)控制系統(tǒng)信息安全解決方案[J].冶金自動(dòng)化, 2013, 37(1): 5 -11.
[4]宋慧欣.破解“工業(yè)控制系統(tǒng)信息安全”迷局[J].自動(dòng)化博覽,2012, (07): 30 -35.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)