工业过程控制网络安全防护系统设计与应用
2020-04-08杜鲁滨
杜鲁滨
(新能凤凰(滕州)能源有限公司,山东滕州 277527)
1 工业控制系统网络安全现状分析
工厂控制系统如图1用于生产操作、监控,同时系统通过交换机、OPC 服务器与MES、MIS 系统进行连接,现场生产数据和报警信息可实时上传,管理层可以通过外网或手持移动设备直接查看生产的实时数据,为生产决策的执行提供了便利,然而在便捷的同时,现有系统网络安全存在的一些隐患,操作站和服务器之间没有病毒防护措施,但操作站经常出现U盘插入带来病毒、员工值班期间看视频、玩游戏、进行与工作无关事情等行为,这些危险行为一旦影响生产将给企业带来巨额损失。目前大多数企业控制系统种类品牌不唯一、各自厂家的控制系统安全防护措施不通,基于工控系统可靠性、稳定性、连续性的严格要求,对工业控制系统整体网络防护建立一套整体的网络防护措施是十分必要的。大部分工控系统都采用杀毒防护软件,缺陷有两点:第一,病毒库更新困难,更新带来不确定性,容易导致工控系统部分功能失效;第二,商用杀毒软件误杀、查毒消耗CPU 资源导致工控系统异常都是影响生产安全的重大隐患。另外,很多控制系统都缺少网络安全防护措施。
图1 工业生产过程控制网络
2 工业控制网络完全系统设计要求
2.1规范性
依据工信部【2016】338号文《工业控制系统信息安全防护指南》,并参照GB/T 26333《工业控制网络安全风险评估规范》、GB/T 33007《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》及GB/T 33009《工业自动化和控制系统网络安全集散控制系统(DCS)》等相关规范设计。
2.2可持续性
工控网络安全不只是一个具有开始和结束日期的项目,也没有一套防御系统可以防止网络安全事件导致的所有后果。安全级别经常随着时间的推移而下降,网络安全随着新的威胁和脆弱性的不断变化,风险会不断变化,技术实施需要采取不同的方法来维持安全收益并将风险保持在可接受的水平。所以方案设计不仅要满足现在的需求兼顾未来的变化又要具备控制系统的故障恢复能力以保证业务的可持续性。
2.3可靠性
项目实施后部署的产品能够可靠稳定地为现场工控系统的正常运行保驾护航,决不能出现因为安全防护产品的原因导致影响现场正常生产运行的情况。确保故障或入侵时不影响运行、不停车;保证完整性,确保接收到错误的设备或错误的数据不跳变、不影响工艺;保证机密性,确保数据不被窃听。工业控制系统鉴于高可用性的需求,往往网络、控制节点、采集单元进行冗余设计,要求高实时性、高确定性,而且运行在嵌入式环境,对信息安全的技术措施有很大的限制,因此需要设计针对性的安全策略、方法和技术。
3 工业控制系统网络完全系统多层防护系统设计与应用
3.1终端层
通过对工控机与服务器安装配置主机白名单软件,以实现对工业主机的全面安全防护,根据白名单列表对可执行文件的执行进行监控,对白名单内的可执行文件允许执行,对白名单外的可执行文件阻止执行,有效阻止病毒、木马及0-day漏洞的感染和被利用,保障工控主机安全。主机安全卫士软件满足规范性、可持续性、可靠性的设计原则,不影响控制系统的正常运行,内存占用和CPU 使用率低,具备强大的自身安全性和易管理性,其功能分为四部分:
白名单管理:对白名单的相关操作,如增加白名单中可信任的运行程序等,需管理员权限。
日志管理:任何用户均可查阅、导出主机安全卫士中的防护日志;查阅操作日志需要管理员权限。
设置:可修改登录密码,设置告警方式、工作模式,启/停自身防护功能等,需管理员权限。
针对USB 等移动存储介质的滥用,导致病毒扩散至控制网络的情况,对所有主机的USB 端口进行禁用。
3.2边界防火墙
使用工控防火墙对域内和域间分区做访问控制,基于无IP 设计、无通用协议栈、UC/OS 进行开发设计,不影响工控系统间的正常通信,能有效识别与跟踪OPC 通信动态端口,能根据OPC 指令白名单实时监控OPC 指令行为,过滤非法指令。
3.3堡垒机
保障网络和数据不受来自外部和内部用户的入侵和破坏,运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动的服务器,以便集中报警、及时处理及审计定责。集中管理资产权限,全程记录操作数据,实时还原运维场景,构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作可审计、合规可遵从。实现维护接入的集中化管理并对运行维护进行统一管理,包括设备账号管理、运维人员身份管理、第三方客户端操作工具的统一管理。其具备以下功能:
认证功能:能够整合运维管理手段及第三方认证系统,制定灵活的运维策略和权限管理,实现运维人员统一权限管理,解决操作者合法访问操作资源的问题,避免可能存在的越权访问,建立有效的访问控制;
监控功能:实现运维日志记录,记录运维操作的日志信息,包括对被管理资源的详细操作行为实时监控,能够对于高危及敏感的操作进行实时告警;
审计功能:实现运维操作审计,对运维人员的操作进行全程监控和记录,实现运维操作的安全审计,满足信息安全审计要求;能够有效地检索运维操作细节;能够提供灵活的报表及统计分析。
3.4数据备份与恢复
数据备份既可以按照预先设定的时间,或由特定事件触发后,自动将目标备份到服务器中,也可以根据自己的需要启动备份操作。手工备份可以选择一个或全部备份集合进行备份,以及其他一些临时性的文件或数据。
数据恢复通过客户端手工恢复功能快速地将备份系统上的数据恢复到本地系统中。既可以使用定制的备份策略,也可以使用服务器上设置的缺省配置,从服务器上下载或更新备份配置,并选取需要的设置。
基于工业过程控制系统建立如图2的多层网络防护体系。
图2 多层防护的工业生产过程控制网络
