工业控制系统信息安全防护体系规划研究
2015-03-09ResearchonthePlanningofInformationSecurityProtection
Research on the Planning of Information Security Protection
for Industrial Control System
魏可承 李 斌 易伟文 焉 鹤
(广东中烟工业有限责任公司,广东 广州 510610)
工业控制系统信息安全防护体系规划研究
Research on the Planning of Information Security Protection
for Industrial Control System
魏可承李斌易伟文焉鹤
(广东中烟工业有限责任公司,广东 广州 510610)
摘要:对烟草工业企业工控系统的实际应用进行了研究。基于工业控制系统信息安全的特点和风险分析,指出开展信息安全建设的迫切性,提出适合工业控制系统信息安全防护体系的整体规划。从制度建设、边界防护安全、组网安全、主机安全、数据安全、物理安全、应急机制、安全检查和风险评估等方面,对信息安全防护体系规划的内容进行研究和探讨。
关键词:工业控制系统信息安全风险分析体系规划边界防护卷烟工业
Abstract:The practical application of industrial control systems in tobacco industrial enterprises is researched. Based on the features of information security of industrial control system and risk analysis, the urgency for carrying out the construction of information security is pointed out. The overall planning of protection system of information security suitable for industrial control system is proposed. The contents of information security protection system planning are researched and investigated from various aspects, including institutional construction, boundary protection safety, networking security, host computer security, physical security, emergency response mechanism, security inspection, and risk assessment, etc.
Keywords:Industrial control systemInformation securityRisk analysisSystem planningBoundary protectionCigarette industry
0引言
数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患[1]。截至2011年底,有记录的工控系统攻击超过13万次,造成重大影响或经济损失超过50亿美金的接近400次。
2011年11月25日,工信部召开地方信息安全工作会议,强调落实《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号),要求切实加强工业控制系统信息安全管理,保障工业生产运行安全、国家经济安全和人民生命财产安全。
1工业信息安全概念
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的基本属性表现在完整性、保密性、可用性、不可否认性、可控性[2]。
典型工控系统的四层架构如图1所示。
图1 工控系统典型网络结构
L4层是企业经营管理协同层,既负责企业内部运营与管控,又是工业企业与上下游企业业务协同、满足行业管控要求的集成平台。L3层是生产执行层,负责生产制造执行过程的管理,核心为MES生产指挥系统,进行生产计划调度和订单下发,实现物料、设备、人员等工厂生产资源的统一指挥。L2层是工业控制层,以段控PLC、现场总线以及工业以太环网等组成集散控制系统,实现对生产过程的实时控制。L1层为底层设备执行层,以基本的自动化控制系统及I/O设备、现场仪表为主,实现对设备机台功能的控制。
国际电工委员会IEC/TC65/WG1与ISA99于2007年成立联合工作组,开始共同制定IEC 62443系列标准《工业过程测量控制和自动化-网络与系统信息安全》,优化工业控制系统信息安全标准体系。该系列标准对通用、信息安全程序、系统技术要求和部件技术要求4个方面做出了规范[3]。IEC 62443标准中针对工控系统信息安全的定义是:①保护系统所采取的措施;②由建立和维护系统的措施所得到的系统状态;③能够避免对系统资源的非授权访问和意外的变更破坏或损失;④基于计算机系统的能力,能够保证授权人员和系统的合法操作权限,避免非授权人员和系统修改软件及其数据或访问系统功能;⑤防止对工控系统非法有害的入侵,或者对其正常操作的干扰[4]。
2工业控制系统信息安全特点
传统的IT领域信息安全有3个主要目标,即实现保密性、完整性和可用性。工业控制系统体系结构与传统IT全然不同,一方面高度集中的纵向多层机构使得脆弱性高度集中,另一方面信息安全事件能直接导致物理上的有形损失或伤害。因此,传统的IT网络安全概念几乎不适合工业控制系统对信息安全的特殊要求,即使是短暂的网络崩溃都足以导致产品损耗、生产中断和对人及机器产生致命的危险。工业控制系统信息安全最优先考虑的是系统可用性,其次是数据传输的实时性,然后是完整性,最后才是保密性。
下面以烟草企业为例,介绍车间级生产管控一体化的工业控制系统网络架构及其信息安全特点。车间工控系统采用双网络形式,生产执行层的9台服务器通过2台核心交换机与车间现场交换机组成光纤环网构成工控系统主网络。工业控制层主要是由生产段控PLC将生产主控工艺段的设备进行联网和数据通信,同时作为工业控制系统的操作接入接口,完成对生产线的集中控制、生产监视及过程工艺记录等操作。设备执行层主要由PLC电控柜、分布式I/O站、智能仪表以及独立单机设备等组成,通信方式有Profibus、Profinet、Modbus等。工控系统拓扑如图2所示。
图2 某卷烟厂典型工控系统拓扑图
① 工控系统的封闭性强。作为企业管理网内的一个业务子系统,工控系统涉及关键领域和企业运营的大量敏感数据,只能做适度有限的开放。
② 工控系统对可用性和实时性要求高。工业控制系统要求必须保证持续的可用性及稳定的系统访问、系统性能、专用工业控制系统安全保护技术,以及全生命周期的安全支持[3]。同时,对实时响应时间要求大多在 1 ms内完成。
③ 工业通信协议和通用TCP/IP协议的共存。工控系统存在两种不同类型的协议,即TCP/IP协议和工控通信协议。
④ 工控系统的安全与管理网的安全互为依存。工业化和信息化的深度融合,伴随企业管理需求的日益增加,管理网与工控网之间的数据互连变得越来越开放和常态化,也使得工控系统的安全与管理网的安全互为依存。
⑤ 工控系统长周期内保持结构固定。工业控制系统与设备和生产密不可分,除非影响到正常的企业生产,否则长周期内常态稳定的工控系统将不会进行轻易调整,如何有效应对不断涌现的信息安全事件也面临挑战。
3工业控制系统信息安全风险分析
基于工业控制系统与传统IT领域相比所呈现的特殊性和独特性,工业信息安全面临以下风险。
① 攻击手段及入侵途径的多变性。对工控系统的入侵越来越智能化,例如Flame病毒,伪装方法高明,智能化程度完美[5]。同时互联网的病毒和攻击、远程拨号攻击、现场维护设备及手持终端的病毒等都展现了入侵途径的多样性。
② 工控系统受攻击的后果严重。工控系统是国家重要的基础设施,其安全会影响到生命安全、重大财产损失以及产生环境问题,导致物理世界中的重大灾难。
③ 管理制度的缺漏。工控系统缺乏完整有效的安全策略与管理流程,缺乏针对性的管理制度,相关部门和岗位的职责不明确,缺少应急响应机制,安全风险评估和检查从未开展。这些都将导致管理上的安全隐患。
④ 工业通信协议的安全漏洞。所有广泛使用的工控协议都基本演化或扩展为在通用计算机和通用操作系统上实现,TCP/IP 协议自身存在的安全问题不可避免地会影响到运行于其上的应用层工控协议。例如OPC Classic 协议(OPC DA、OPC HAD 和OPC A&E)是基于微软的DCOM 协议。DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通信采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性[6]。同时,西门子、AB等工业通信协议不断暴露的安全漏洞[7],也日益引起企业的关注。
⑤ 终端安全防护薄弱。大多数终端设备、工作站及HMI都是基于Windows操作系统平台的,大量存在各种系统安全漏洞。为避免杀毒软件与功能软件在使用上产生冲突,并且需要经常更新病毒库,杀毒软件不适合工业控制环境。工控应用软件的多样性很难形成统一的防护规范和标准,从而引发大量的安全问题。传统IT领域的软件补丁方式和系统更新频率对于控制系统不再适用[8]。
⑥ 移动存储介质及外部计算机接入的安全风险。私有计算机接入和移动存储介质在公用互联网与工控系统间的交叉接入,通常没有开展相关安全认证及安全防护措施,极易带来病毒、木马、蠕虫感染与扩散的风险。
⑦ 关键服务器及核心网络设备容错性差。工业控制系统关键服务器、路由及交换机等核心网络设备一般只做单机配置,一旦发生故障,整个工控系统的业务和通信将会停止运转,导致生产中断。
⑧ 无隔离的网络子系统架构。在工业生产现场,大多数工业网络子系统之间没有进行有效的安全隔离,从而极易造成安全故障通过网络迅速蔓延,形成网络风暴。
4工业控制系统信息安全防护体系的规划
在《关于加强工业控制系统信息安全管理的通知》的指引下,结合《信息系统安全等级保护基本要求》(GB/T 22239-2008),对现有的工控系统信息安全做有效规划和进一步加固,不仅需要关注传统领域的网络安全和连接安全,还应着重考虑数据安全的问题。同时,在管理、应急处置以及相关的安全检查和风险评估上也应完善相关的制度和流程,建立全面有效的立体防护体系。
① 安全管理制度和培训。建立相应的管理流程,明确工作职责,落实安全责任。针对企业设备技术人员和信息人员开展工控信息安全培训,培养多技能复合型人才,从而强化企业技术人员的安全防范意识,达到提高技术水平和管理水平的目的。
② 边界防护安全。网络边界分为以下三种,一是工控网与管理网的边界,二是工控网内部不同安全分区之间的边界,三是外部设备接入边界。对管理网和工控网的边界采用不同强度的安全连接产品实施有效地安全隔离。例如防病毒网关和防火墙,进行数据交换时,应对数据交换源的身份进行鉴别,只开启必要的数据交换通路,采用信息摆渡技术对工控网与管理网进行安全互联。对工控网内部不同层级的网域,在具有以太网接口的I/O设备和控制器上部署工业防火墙或安全路由器,同时可应用白名单过滤机制,在工控网内部不同层域之间进行动态通信行为判断,避免因设备联网而形成的干扰、病毒攻击和广播风暴。对外部设备接入的边界,要采取必要的有效防范措施,保证接入设备的安全可靠,对接入操作进行审计,以保障作业过程的安全。
③ 组网管理安全。遵守区域(层级)管理的原则,以功能或能承受的风险等级为基线,采用虚拟局域网VLAN技术,划分不同的网络区域(层级),保证连接的可靠性及安全性。组网时要同步规划、同步建设、同步运行安全防护措施,切断工控网与公共网络之间的所有不必要连接,在物理层面上实现与外网的安全隔离。核心网络设备采用冗余配置,在发生网络故障时自动切换设备运行,保障生产和业务的连续性。
④ 设备主机系统安全。设备主机系统应严格账户和口令管理。关注设备终端的操作系统补丁及杀毒软件病毒库更新,关键工业控制系统软件升级、补丁安装前应进行安全评估和验证。针对工控系统的操作开启日志审计功能,对日常操作维护进行记录和检查。
⑤ 数据安全。针对生产重要敏感数据采取访问权限控制等措施加以保护。加强数据恢复与备份,保证在工业控制网络发生灾难或故障时能及时对数据进行正确、完整的恢复。
⑥ 物理环境安全。生产网络中央控制室的机房环境应按照信息系统安全等级保护的要求,在电力供应、温湿度控制、消防、监控、震动、噪声、防雷等方面进行完备和满足。
⑦ 应急管理。建立规范的工控系统安全应急响应机制,制定应急预案,明确临机处置权限。建设工控网应急技术支撑队伍,定期进行应急演练及应急预案培训。
⑧ 安全检查与风险评估。组织开展信息安全检查,定期对工业控制系统关键设备进行安全测评,检测系统存在的安全漏洞,排查安全隐患,并依此对工控系统做进一步的补强与加固。
5结束语
本文以烟草企业工业控制系统架构为例,重点分析工业控制系统信息安全的定义、特点和存在的风险,并提出工控系统信息安全防护体系的整体规划。随着网络技术的发展和通信的开放,企业信息网络的深入应用与日渐增多的交互使用,信息安全的问题愈发突出。通过重点针对工业企业的信息安全弱点,对工控系统信息安全架构进行整体规划和部署。从制度、设备、技术、应急、风险评估等环节入手,并结合企业实际,做出准确的判断,持续加固完善,才能切实保障企业生产的正常运转。
参考文献
[1] 工信部信息安全协调司.工信部协[2011]451号 关于加强工业控制系统信息安全管理的通知[EB/OL].[2011-10-27].http://www.miit.gov.cn/n11293472/n11293832/n12843926/n13917012/14294613.html.
[2] 牛少彰,崔宝江,李剑.信息安全概论[M].2版.北京:邮电大学出版社,2007.
[3] 欧阳劲松,丁露.IEC 62443工控网络与系统信息安全标准综述[J].信息技术与标准化,2012(3) :24-27.
[4] TC/SC65.IEC/TS 62443-1-1 Edition1.0 Industrial communication networks-Network and system security-Part 1-1:Terminology,concepts and models[S].Geneva:IEC,2009.
[5] 于立业,薛向荣,张云贵,等.工业控制系统信息安全解决方案[J].冶金自动化,2013(1):5-11.
[6] 李青.浅谈莱钢能源管控中心工业网络安全问题及解决方案[J].信息技术与信息化,2013(2):43-44.
[7] 高国辉.西门子被曝工业系统漏洞 或影响多数工业化国家[N].南方日报,2011-6-8.
[8] 杨建军,唐一鸿.工业控制系统信息安全标准化[J].信息技术与标准化,2012(3):20-23.------------------------------------------------------------------------------------------------
中图分类号:TP273
文献标志码:A
DOI:10.16086/j.cnki.issn1000-0380.201502013
修改稿收到日期:2014-07-24。
第一作者魏可承(1978-),男,2008年毕业于华南理工大学模式识别与智能系统专业,获硕士学位,工程师;主要从事烟草设备管理、工业控制、自动化系统、图像处理方面的研究。