城市污水处理厂控制系统可信安全防护设计
2018-04-19吴云峰
吴云峰
(中国电子信息产业集团有限公司第六研究所工业控制系统信息安全技术国家工程实验室,北京 102209)
0 引言
随着社会和经济的高速发展,环境问题日益突出,尤其是城市水环境的恶化,加剧了水资源的短缺,城市污水处理对解决水资源缺乏,促进社会可持续发展有着十分重要的意义。
城市污水处理一般分为三级:一级为物理处理,二级为生物处理,三级为深度处理。整个污水处理过程工艺复杂、设备多、操作步骤繁琐,实现污水处理过程自动化运行是很有必要的,也是保证水质安全、提高污水处理效率不可缺少的环节。
基于PLC的城市污水处理的自动化控制系统采用计算机技术、控制技术、通信技术,跟踪经常变化的水处理情况,检测不同时间的水质指标数据,在计算机上动态展示,对这些数据进行分析处理并记录下来,以备在需要的时候查阅。通过分析数据趋势走向,随时调整个设备及工艺过程参数,使其达到优化控制状态,经济运行,节省能耗。采用计算机代替人工操作,减少事故,保证安全,降低劳动强度,节约人力,甚至可以完成许多人工难以完成的任务,提高运行的可靠性。控制系统作为保障城市污水处理厂连续正常生产运行以及保证水资源水质安全的核心,其安全问题越来越受到关注。
1 城市污水处理厂控制系统的安全现状
一直以来,工业控制系统都被认为相对安全,不易遭受病毒攻击。然而近些年来,水行业控制系统典型安全事件频发。2000年,一个工程师在应聘澳大利亚的一家污水处理厂被多次拒绝后,远程侵入该厂的污水处理控制系统,恶意造成污水处理泵站的故障,导致超过1 000 m3的污水被直接排入河流,导致了严重的环境灾难。2001年,澳大利亚的一家污水处理厂由于内部工程师的多次网络入侵,该厂发生了46次控制设备功能异常事件。2005年,美国发生水电溢坝事件。2006年,黑客从Internet攻破了美国哈里斯堡的一家污水处理厂的安全措施,在其系统内植入了能够影响污水操作的恶意程序。2007年,攻击者侵入加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于控制从Sacrmento河调水的控制计算机。2011年,黑客通过互联网操纵美国伊利诺伊州城市供水系统SCADA,使得其控制的供水泵遭到破坏。上述安全事件表明,恶意网络攻击逐渐向城市水处理领域渗透,把控制系统作为攻击的目标,为城市污水处理厂控制系统的安全性敲响了警钟。
目前城市污水处理厂控制系统存在以下安全风险:
(1)控制系统联网后安全问题愈加突出
在计算机和网络技术高速发展,特别是信息化与工业化深度融合以及物联网的快速发展的背景下,基于物联网、云计算的城市污水处理综合运营管理平台为水务运营企业提供统一业务信息管理平台(安全管理、生产运行、水质化验、设备管理、日常办公等关键业务),为企业规范管理、节能降耗、减员增效和精细化管理提供强大的技术支持,从而形成完善的城市污水处理信息化综合管理解决方案。因此,传统封闭控制系统网络与基于互联网技术的企业管理网打通,控制系统面对的是开放、复杂、不确定的工业互联网环境,大多数城市污水处理厂控制系统信息安全防护设计考虑不足,病毒及黑客威胁随之而来。
(2)工控安全漏洞逐年递增
国家信息安全漏洞共享平台CNVD数据显示,近几年工控安全漏洞数量增加,半数以上为高危漏洞,分布在水处理行业的工控安全漏洞数量排在前列,由于污水处理工艺生产过程要求连续运行不能随时停机,因此导致工控安全漏洞的修复进度非常迟缓,这些漏洞极易被攻击者利用。
(3)国外设备后门带入威胁
城市污水处理厂控制系统中超过90%的PLC、操作员站、工程师站、工业软件等为国外产品,因考虑现场服务成本因素,有时需要工控厂商远程维护,因此,大多工控设备留有远程访问端口,存在很多未知的设备“后门”,“后门”带入的威胁包括旁路控制、拒绝服务(DoS)、信息泄露等。
(4)以PLC为核心的工控系统口令保护弱
在污水处理厂中PLC系统编程和调试中,工程师为防止忘记密码,往往对PLC程序的密码口令设置都比较简单,如生日日期、电话号码、0~9数字等,或者直接采用出厂默认密码,对于这种弱口令设置非常容易被破解。即使工程师设置了非常复杂的密码,但由于目前各厂家PLC加解密大多使用国外公开的密码算法,或网络上公开的简易源码,对算法复杂度、密钥的安全度没有统一的顶层设计,安全性无法得到有效保障。而且大多主流PLC品牌都已有解密的方法,并在网络上公开,黑客可结合工具扫描所有连接在互联网上的设备IP,实现对这些设备的攻击,例如直接篡改系统软件。
上位机监控组态软件一般采用固定用户名与口令密码,在中央控制站每天负责值班的操作人员往往各自设置用户名和密码,但这种依赖于固定用户名与密码的身份鉴别机制,无法保证用户标识符的唯一性,无法识别病毒的伪装,一旦密码破解,即可从操作员站随意控制现场设备,获取或修改参数,严重的会造成重大事故。另一方面,仅依赖于上位机软件端的身份鉴别机制,使PLC成为被动响应的一方,从而攻击者可以绕过上位机,直接在网络中通过重放、伪装的方式达到攻击目的。
(5)工控系统中数据通信采用明文传输
图2 控制系统可信安全防护设计方案
城市污水处理厂控制系统通信缺乏完整性校验,由于PLC控制系统需要保证实时性和可用性,目前PLC与上位监控系统之间、PLC与PLC之间、PLC与现场设备之间均未采用任何密码方式保护,而是采用明文传输,而且往往采用CRC等通用算法,很容易受到黑客攻击,对数据进行篡改和伪造。
综上,目前城市污水处理厂控制系统面临非常严峻的安全挑战,因此,在城市污水处理厂设计时,控制系统的信息安全防护设计必须作为一个主要的指标考虑。
2 控制系统可信安全防护设计
2.1 系统总体设计
城市污水处理厂控制系统的信息安全防护设计不能是信息安全产品的简单堆砌,应参照《IEC 62443 工业过程测量、控制和自动化网络与系统信息安全》、《工业控制系统信息安全防护指南》、《工业自动化和控制系统网络安全 可编程控制器(PLC)》、《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》等工控安全相关标准规范,根据城市污水处理厂控制系统结构、功能及工艺流程要求,构建覆盖控制系统基础设备安全、实时控制行为安全、业务流程作业安全的一体化深度安全防护体系,详见图1。
图1 城市污水处理厂控制系统深度安全防护体系
其中,业务安全主要是IT系统信息安全防护技术在工控系统中的应用,控制安全、边界安全、通信安全采用以密码为基础,以自主可控、可信计算为核心安全防护设计,可提高控制系统的主动免疫防御能力,防止非授权或意外的访问、篡改、破坏和损失,确保控制系统能长期安全稳定地运行,保障城市污水处理厂出水水质安全。以下重点介绍控制系统的可信安全防护设计方案,如图2所示。
可信计算是一种运算和防护并存的主动免疫防御体系,通过为计算平台增加一个具有安全保护的密码芯片,并通过软硬件结合的方式构建出一个可信计算环境。利用可信计算环境进行逐级认证,建立可信链,确保运行程序和依赖数据的真实性、机密性和可控性等[6-9]。
城市污水处理厂控制系统基于现代先进控制思想,采用分散控制、集中管理的控制模式。系统由厂级管理系统、中央监控系统、PLC控制站、通信网络以及现场工艺设备组成,厂级管理系统实现全厂资源配置、质量监督等,中央监控系统对全厂实行集中监控、管理,PLC控制站实现对各工段工艺设备的分散控制,二者通过高速工业以太网进行数据通信。
(1)管理层:构建管理可信计算平台,确保应用软件运行环境安全可信。
(2)监控层:对数据服务器、操作员站、工程师站进行安全加固,增加可信加密芯片,构建上位机可信计算平台,确保监控组态软件、逻辑编程软件运行环境安全可信;基于国产麒麟操作系统,完成逻辑组态软件的安全加固,功能包括软件的完整性度量、权限管理、关键操作时的权限鉴别、组态工程文件的加密存储与传输防篡改、与Ukey的集成。
(3)控制层:通过对PLC系统进行可信安全加固,增加可信加密芯片,实现嵌入式操作系统与应用软件的完整性度量。
(4)通信:通过实现监控层上位机与PLC系统的身份认证,完成关键指令的解密和验签,确保上位机接入及操作指令下发的完整性和保密性。
2.2 中央监控系统设计
中央控制站设于中控室(CCR),配置具有非对称密码校验身份识别和对称密码加密通信相结合的安全可信服务器、工程师站和操作员站,均基于国产飞腾CPU和麒麟操作系统。数据服务器、操作员站、工程师站以及各PLC控制的控制器等关键设备采用国密算法进行认证接入、建立可信安全环境。工程师站、操作员站、控制终端设备的业务逻辑更新、控制逻辑更新采用国密算法进行认证授权、校验和操作控制,并借助物理介质(如Ukey)将工程师和操作员的属性数字化,以此为依据验证操作者是否具有相应的权限。
(1)安全分区:中央控制站监控系统建立和外部网络隔离的安全分区,安全分区的门禁等物理隔离设备、网关/网闸等网络隔离设备、人员访问控制设备全部采用国密算法。
(2)数据服务器:采用国密算法对关键数据进行加密保护,保证数据的安全性。
(3)工程师站:采用国密算法SM2建立的安全访问控制机制,可穿越开放网络实现对PLC的远程监测和维护。配置具有自身完整性度量防护能力,基于国产密码摘要算法SM3的PLC逻辑组态软件。工程师启动PLC逻辑组态开发软件时,软件要求对登录用户进行认证,对用户Key和口令进行验证,通过身份认证后才允许登录。
(4)操作员站:配置具有自身完整性度量防护能力,基于国产密码摘要算法SM3的监控组态软件。两台操作员站在功能上完全相同:与所有现场I/O通信(无限点),趋势、报警、报表、数据库连接等,且两台操作站之间互为热备冗余:当主站由于故障不能通信时,备站立即接管所有功能,当主站恢复正常时,首先要将故障期间系统需存储的历史趋势数据、报警记录等从备站补回,然后再将所有控制功能自动切换到主站,由主站继续控制整个系统,备站重新回到热备状态,并连续地以主站为数据源同步更新所有数据。
(5)其他业务子系统:其他业务相关子系统,如水务集团企业网,和PLC子系统彼此隔离。数据访问需经过相应的权限认证和密码保护。
2.3 PLC控制站系统设计
系统共设4个PLC控制站, 1#站设于提升泵房,负责物理处理工段;2#站设于变配电间,负责生物处理工段;3#站设于鼓风机房,负责深度处理工段;4#站设于污泥浓缩脱水机房,负责污泥处理工段。
PLC控制站由控制器、电源模块、通信模块、I/O模块、功能模块、控制机柜以及其他电气元件等组成,是实现整个工艺流程自动化控制的关键,实现对现场压力、流量、温度、PH等工艺数据以及现场工艺设备运行状态的采集,并通过预先编制下装至PLC的逻辑控制程序控制污水处理厂工艺流程自动运行。PLC采集到的工艺数据实时上传至中央控制站监控系统,并执行来自中央控制站监控系统的指令。
控制器:PLC控制站的核心,设计基于国产密码安全芯片,采用国产化自主CPU、实时操作系统以及组态运行支撑环境。
冗余配置:PLC采用双机热备的冗余配置,即支持电源冗余、CPU冗余、以太网冗余、总线冗余以及I/O冗余,热备无扰切换时间≤50 ms,CPU与远程I/O之间采用冗余的现场总线。整个系统任何部件的故障或者异常关断都能够自动切换到备用系统。
控制逻辑:PLC中的用户控制逻辑是实现控制功能的关键部分。控制逻辑在工程师站逻辑组态软件中完成编辑、编译后生成可执行文件,然后下装至控制器中循环执行。PLC控制逻辑设计采用可信分发技术,整个过程包括:组态—编译—签名—权限—下装—认证—接收—验签—运行。与传统PLC相比,逻辑分发过程要更加安全、可信。
另外,PLC系统及安全防护设计应遵循以下准则:
(1)单一故障不会引起PLC系统的整体故障。
(2)单一故障不会引起其他保护系统的误动作或拒动作。
(3)控制功能的分组划分原则:某个区域的故障只是部分降低整个控制系统的控制功能,此类控制功能的降低可通过运行人员干预进行处理。
(4)控制系统具有自诊断功能,内部故障在对过程造成影响之前可被检测出来。
(5)每个I/O机架有安装好的备用I/O点,为实际使用量的20%。
(6)每个I/O机架应有实际使用量30%的备用插卡空间。
(7)支持目前主流通信协议,如MODBUS TCP、MODBUS RTU、CAN、自由口协议等。
(8)PLC逻辑编程软件符合IEC61131-3国际标准,支持够提供包括梯形图(LD)、功能图块(FDB)、结构化文本(ST)编程语言,用户可在同一项目中选择不同的编程语言编辑子程序、功能模块等。
2.4 通信网络
整个系统采用三级网络结构,即生产管理网、生产监控网和生产控制网,将过程实时数据、运行操作监视数据信息同非实时信息及共享资源信息分开,分别使用不同的网络,有效地提高了通信效率,降低了通信负荷。配置边界防护设备,通过对进入和流出计算环境的信息流进行可信度量和安全检查,确保不会有违背系统安全策略的信息流经过边界。
(1)生产管理网,即厂级信息管理系统网络,配置安全工业以太网交换机,并通过工业防火墙连接互联网。
(2)生产监控网,即中央控制站与各PLC控制站之间的数据通信采用高速、实时的工业以太网,网络结构为环形,通信速率为100 Mb/s,传输介质为光纤。配置安全工业以太网交换机,并通过工业防火墙连接生产管理网。
(3)生产控制网,即PLC控制与I/O之间采用现场总线,传输介质为屏蔽双绞线或光纤。
3 控制系统功能
(1)安全可信授权系统:工程师、操作员进入系统需使用物理介质(如Ukey)进行认证授权、校验和操作控制,安全密码验证基于国密算法,以此为依据验证操作者是否具有相应的权限,避免控制系统遭到非授权或意外的访问、篡改、破坏和损失。系统提供分级的用户进入密码系统,所以低级操作员只能进入基本操作功能界面,同时较高级别的操作人员,按照不同的密码,可进入不同的系统组态功能界面。操作者对非自己管理区域的设备不能进行误操作,无权限人员无法通过该计算机控制PLC系统,同时也可防止病毒伪装成操作员发送控制指令。
(2)流程显示功能:显示工程设备的运行状态、工艺流程的动态参数、相关参数的趋势、历史数据及历史记录、各类报表。
(3)编程组态功能:工程师可在中央控制站实现编程、组态和修改等,监控计算机装有功能强大的监控组态软件,以便能方便、直观地组态和编程。
(4)诊断调试:系统有在线和离线修改功能,并带有自诊断功能,系统的任何一个部件的故障可以在运行中自动诊断出,并且在监控软件中及时、准确地反映出故障状态、故障时间、故障地点及相关信息。在系统或工艺设备发生故障后,I/O状态将返回到工艺要求预设置的安全状态上。
(5)系统稳定性:不因误操作和通信问题死机,重要技术参数修改有软锁。
(6)趋势功能:能根据实时数据,观看在扩展期内的发展趋势,同时能显示出8个趋势且每10 s扫描一次,图形显示和历史数据显示是一样的,哪一个模拟量要显示趋势,由操作员根据标志或键盘输入确定。
(7)报警功能:完成报警记录及显示报警总汇,可根据收到的次序显示,所有报警都标有日期、时间,有8个报警优先级,并且可以总体报警或一个接一个报警。
(8)打印功能:打印过程回路控制的参数给定值、报警记录、报表、趋势图等。
4 结论
目前互联网技术得到了的快速发展,以高级持续性威胁(APT)为代表的攻击使得工业控制系统面临前所未有的安全挑战,传统的被动防御安全策略(如防火墙、杀毒软件、网闸)已无法抵挡日益复杂多变的黑客攻击。可信计算技术在城市污水处理厂控制系统设计中的应用,使得控制系统中逻辑控制不被篡改和破坏,实现主动免疫防御,具备对未知病毒木马以及系统漏洞的防御能力,从而从根本上保证了城市污水处理厂生产的安全运行,确保水质安全。
[1] 王昱镔,陈思,程楠.工业控制系统信息安全防护研究[J].信息网络安全,2016(9):35-39.
[2] 彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版),2012(10):1396-1408.
[3] 曾瑜,郭金全.工业控制系统信息安全现状分析[J].信息网络安全,2016(9):169-172.
[4] 李鸿培.2014 工业控制系统的安全研究与实践[J].计算机安全,2014(5):36-59.
[5] 宋国江,肖荣华,晏培.工业控制系统中PLC面临的网络空间安全威胁[J].信息网络安全,2016(9):228-233.
[6] 沈昌祥,张焕国,王怀民,等.可信计算的研究与发展[J]. 中国科学:信息科学,2010,40(2):139-166.
[7] 沈昌祥,陈兴蜀.基于可信计算构建纵深防御的信息安全保障体系[J].四川大学学报(工程科学版),2014,46(1):1-7.
[8] 冯登国.可信计算理论与实践[M].北京:清华大学出版 社,2013.
[9] 吴欢.工业控制环境计算节点安全防护技术研究[D].北京:北京工业大学,2016.
[10] 张向宏,耿贵宁.基于可信计算的工业控制安全体系架构研究[J].保密科学技术,2014(8):4-13.
[11] 钟梁高.基于可信计算的工业控制系统信息安全解决方案研究[D].大连:大连理工大学,2015.
[12] 魏可承,李斌,易伟文,等.工业控制系统信息安全防护体系规划研究[J].自动化仪表,2015,36(2):49-50.
[13] 施光源,张建标.可信计算领域中可信证明的研究与进展[J].计算机应用与研究,2012,28(12): 4414-4419.
