《工业控制网络纵深防御解决方案23页》由会员分享,可在线阅读,更多相关《工业控制网络纵深防御解决方案23页(23页珍藏版)》请在金锄头文库上搜索。
1、工业控制网络纵深防御解决方案工业控制网络纵深防御解决方案 编制 青岛海天炜业自动化控制系统有限公司 经理 刘安正 Byres Security inc. Tofino 亚太区经理 Thomas Ou 更多技术了解访问 http:/ MES/SCADA/DCS/PLC 工业控制网络安全专家 目目 录录 1工业控制网络安全概述工业控制网络安全概述 .3 1.1 本报告编制原则.3 1.2 工业控制网络安全概述.3 2西门子西门子 STUXNET 控制系统病毒的新警示控制系统病毒的新警示.4 3目前工厂控制系统网络防护分析目前工厂控制系统网络防护分析 .5 3.1 工厂网络情况概述.5 3.2 目前
2、工业控制网络安全存在的问题.5 3.2.1操作系统安全漏洞.5 3.2.2病毒与恶意代码.6 3.2.3拒绝服务攻击-网络风暴.6 3.2.4黑客入侵与应用软件安全漏洞.6 3.3 目前的防护措施.7 3.4 保证控制网络安全必须达到的两个目标.9 3.5 ANSI/ISA-99 区域防护概念解析.9 4TOFINO 工业网络安全解决方案工业网络安全解决方案.11 4.1 TOFINO安全解决方案构成.12 4.2 TOFINO安全解决方案达到的目标.13 4.3 过程控制系统 DCS 区域安全分析.14 4.4 针对石化企业的 TOFINO解决方案.15 4.4.1 工业OPC通信防护.15
3、 4.4.1.1方案架构图.17 4.4.1.2 OPC Classic Enforcer防护原理.18 4.4.1.3 Tofino OPC通讯防护配置清单(单个OPC连接).20 4.4.2 操作站层面防护.21 4.4.2.1方案架构图.22 4.4.2.2 操作站层防护部署及原理.22 4.4.2.3 操作站层通讯防护配置清单(单个防护区域).23 5项目费用概算项目费用概算 .25 更多技术了解访问 http:/ MES/SCADA/DCS/PLC 工业控制网络安全专家 1工业控制网络安全概述工业控制网络安全概述 1.1 本报告编制原则 本报告编制依据中华人民共和国计算机信息系统安全
4、保护条例、信 息安全技术指南以及国际ANSI/ISA-99 控制系统网络安全指引面向石化 企业信息化的特点,结合 MES 以及现场控制系统的实际应用,针对控制网络 安全问题进行分析与阐述,并提供适合企业特点的安全方案。 1.2 工业控制网络安全概述 过去十年间,世界范围内的过程控制系统(DCS/PLC/PCS 等)及 SCADA 系统广泛采用信息技术,Windows, Ethernet 及 TCP/IP,现场总线 技术,OPC 等技术的应用使工业设备接口越来越开放,减弱了控制系统及 SCADA 系统等与外界的隔离。但是,越来越多的案例表明,来自商业网络、 因特网以及其它因素导致的网络安全问题正
5、逐渐在控制系统及 SCADA 系统中 扩散,直接影响了工业稳定生产及人身安全。 2003 年 1 月,Slammer 蠕虫病毒入侵大量工厂网络,直到防火墙将其截 获,人们依然认为系统是安全的。 2005 年 8 月 13 日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本 电脑感染病毒,虽然已安装了 IT 防火墙,病毒就在几秒钟之内从一个車间感染 到另一个車间,从而最终导致停工。 2006 年 10 月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美 国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。 2010 年 10 月,肆虐伊朗国内的“超级工厂病毒”Stuxnet 病毒已经造成 伊朗
6、布什尔核电站推迟发电,并对伊朗国内工业造成大面积影响。 通过专家对大量工业网络安全案例的分析证明,网络攻击频发的原因正在 于此不完善的网络安全设计,配置不当的防火墙以及 VPN tunnels、双网 卡服务器及网络共享等。 更多技术了解访问 http:/ MES/SCADA/DCS/PLC 工业控制网络安全专家 2西门子西门子 Stuxnet 控制系统病毒的新警示控制系统病毒的新警示 Stuxnet 是一种计算机蠕虫病毒,通过 Windows 操作系统此前不为人知的 的漏洞感染计算机,同时该病毒针对具有西门子 WINCC 平台的控制系统以及 Step7 文件进行攻击,由于该病毒能够修改 WIN
7、CC 平台数据库变量,在 Step7 程序中插入代码以及功能块,即能够对控制系统发动攻击,故部分专家 定义 Stuxnet 为“超级工厂病毒”。这是目前第一个针对工控系统展开攻击的 计算机病毒,目前已经对伊朗国内工业控制系统产生极大影响,Stuxnet 可以 说是计算机病毒界革命性创新,给我们控制系统网络安全带来新警示。 控制系统网络是可以被攻击的 越来越多的控制系统操作站平台是基于 Windows 平台,U 盘,维修人员的 笔记本接入,信息网络的病毒感染等都可以实现对控制网络的攻击; 控制系统网络需要有病毒及黑客入侵防护; 需要实施一个纵深防御策略来保证控制系统的稳定运行; 更多技术了解访问
8、 http:/ MES/SCADA/DCS/PLC 工业控制网络安全专家 3目前工厂控制系统网络防护分析目前工厂控制系统网络防护分析 3.1 工厂网络情况概述 伴随国家工业化、信息化的两化融合,石化企业提出管控一体化规划,基 于实时数据库应用的 MES 系统在各大企业得到大力推广。实时数据库的建立 是以采集过程控制系统的数据为前提,这就需要 MES 的信息网络必须要实现 与控制网络之间的数据交换,控制网络不再以一个独立的网络运行,而要与信 息网络互通、互联,基于 TCP/IP 以太网通讯的 OPC 技术在该领域得到广泛应 用。 过程控制系统在近十年的发展中呈现出整体开放的趋势,计算机技术在工
9、控领域的应用使得现代 DCS 操作站完全是一种 PC+Windows 的模式,控制系 统网络也基本都向工业以太网结构发展,开放性越来越强。 3.2 目前工业控制网络安全存在的问题 开放性为用户带来的好处毋庸置疑,但由此引发的各种安全漏洞与传统的 封闭系统相比却大大增加。对于一个控制网络系统,产生安全漏洞的因素是多 方面的。 3.2.1 操作系统安全漏洞 PC+Windows 的技术架构现已成为控制系统操作站(HMI)的主流,任何一 个版本的 Windows 自发布以来都在不停的发布漏洞补丁,为保证过程控制系统 相对的独立性,现场工程师通常在系统开车后不会对 Windows 平台打任何补丁, 更
10、为重要的是打过补丁的操作系统没有经过制造商测试,存在安全运行风险。 但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见 病毒也会遭受感染,可能造成 Windows 平台乃至控制网络的瘫痪。 更多技术了解访问 http:/ MES/SCADA/DCS/PLC 工业控制网络安全专家 3.2.2 病毒与恶意代码 基于 Windows 平台的 PC 广泛应用,病毒也随之而泛滥。全球范围内,每 年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒,并且还在以 每天数十余种的速度增长。这些恶意代码具有更强的传播能力和破坏性。例如 蠕虫,从广义定义来说也是一种病毒,但和传统病毒相比最大
11、不同在于自我复 制过程。它能够通过端口扫描等操作过程自动和被攻击对象建立连接,如 Telnet 连接等,自动将自身通过已经建立的连接复制到被攻击的远程系统,并 运行它。 基于工控软件与杀毒软件的兼容性,在操作站(HMI)上通常不安装杀毒 软件(美国有因为安装杀毒软件导致安全系统运行故障的案例),即使是有防 病毒产品,其基于病毒库查杀的机制在工控领域使用也有局限性,主要是对新 病毒的处理总是滞后的,这导致每年都会大规模地爆发病毒,特别是新病毒。 3.2.3 拒绝服务攻击-网络风暴 拒绝服务攻击是一种危害极大的安全隐患,它可以认为操纵也可以由病毒 自动执行,常见的流量型攻击如 Ping Flood
12、ing、UDP Flooding 等,以及常见的 连接型攻击如 SYN Flooding、ACK Flooding 等,通过消耗系统的资源,如网络 带宽、连接数、CPU 处理能力、缓冲内存等使得正常的服务功能无法进行。拒 绝服务攻击非常难以防范,原因是它的攻击对象非常普遍,从服务器到各种网 络设备如路由器、交换机、IT 防火墙等都可以被拒绝服务攻击。控制网络一旦 遭受严重的拒绝服务攻击就会导致严重后果,轻则控制系统的通信完全中断, 重则可导致控制器死机等。目前这种现象已经在多家工业控制系统中已经出现, 并且造成严重后果。可以想像,一套失控的控制系统可能导致的后果是非常严 重的。而传统的安全技术
13、对拒绝服务攻击几乎不可避免,缺乏有效的手段来解 决。 更多技术了解访问 http:/ MES/SCADA/DCS/PLC 工业控制网络安全专家 3.2.4 黑客入侵与应用软件安全漏洞 最后要提到的两点目前发生概率较小,分别是黑客入侵和工控应用软件的 自身漏洞,这些事情通常发生在远程 SCADA 控制系统的应用上,在此不做详 述。 3.3 目前的防护措施 石化企业随着信息化的不断深入,大量 IT 技术被引入,同时也包括各种 IT 网络安全技术,主要有 IT 商业防火墙、IDS、VPN、防病毒等,这些技术目前 也基本集中在工厂 MES 系统企业信息层面。针对控制网络的防护,也进行了 一些积极有效地
14、措施,基本如下(参考下面工厂 MES 网络示意图): (1) 信息层网络与控制层网络之间采用双网卡接口机(Buffer 机); (2) 安装病毒监控软件,保证病毒库随时升级(病毒库服务器); (3) 就操作系统发现的漏洞及时打补丁(补丁服务器); (4) OPC 数据采集客户端采取只读数据的单向策略; (5) OPC 数据采集服务器与客户端之间增加普通 IT 防火墙; (6) 参与过程控制高级应用的先控站(APC Node)单独放置; (7) 面向项目编程组态的工程师站(ENG Node)单独放置; (8) 操作员站主机机柜上锁,或 USB 口屏蔽,防止操作工任意使用 U 盘; (9) 加强管
15、理,对不按照规程操作的工程师进行处罚; 更多技术了解访问 http:/ MES/SCADA/DCS/PLC 工业控制网络安全专家 工厂工厂 MES 网络示意图网络示意图 由于石化生产过程的重要性和特殊性,严格要求每一生产环节都不允许产 生纰漏。数采系统的采集站直接与现场装置 DCS 相连,对于(1),虽然考 虑了双网卡配置,管理信息网与控制网通过采集站进行了隔离,病毒等破坏性 程序不能直接攻击到控制网络,但对于能够利用 Windows 系统本身缺陷的网 络蠕虫病毒,这种配置几乎没有作用,除非能够把采集站的 Windows 系统的 系统漏洞消除在利用该漏洞的蠕虫病毒攻击之前,使得蠕虫病毒无法攻入
16、采集 站系统,从而无法利用采集站作为进一步攻击的基地;对于(2)和(3),病 毒库及系统补丁的升级总是存在滞后效应,对于新型入侵及攻击无法抵御,因 此还不能完全阻止攻击;对于(4)(5)项是用户一直非常头痛的部分,缺乏 有效的解决方案来实施;对于(6)(7)(8)(9)项,基本都是管理方面的 内容,其作用在于防止非计算机的人为破坏因素。 常规的 IT 网络安全技术没有专门针对控制网络需求进行规划设计,以上所 列安全措施只是对控制网络入侵的一种限制手段,但无法达到网络安全的要求, 需要通过专业网络安全设备,去限定并且管控有限的连接,来满足化工装置对 网络安全的要求。 更多技术了解访问 http:/ MES/SCADA/DCS/PLC 工业控制网络安全专家 3.4 保证控制网络安全必须达到的两个目标 虽然各个工厂在针对控制网络安全都采取了在本文档 3.2 章中描述的防护 措施(或者其它更高级的措施),但我们相信,要保证控制网络中基于 PC+Windows 方式的操作站(HMI)100%免受病毒感染或者其它攻击是根本不 可能的。这些感染或攻击的途径可能来自: 来自上层信息网对控制网的攻击或病
