《信息安全新焦点_工业控制系统安全》由会员分享,可在线阅读,更多相关《信息安全新焦点_工业控制系统安全(3页珍藏版)》请在金锄头文库上搜索。
1、46 信息安全与通信保密根据工业控制系统 (Industrial Control Systems,ICS)安全防护的特点,文中提出了对工控系统进行分层、分域、分等级,构建“三层架构,二层防护”的工控系统安全体系架构思想;通过分析工控系统面临的风险,对作为工控系统安全防护的核心产品工控系统安全管理平台功能进行了说明。工控系统安全管理平台,不仅是实现工控系统终端安全的产品,也是监控工控系统 IT 基础实施和操作行为的平台。工控系统安全分析工控系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成的。其组件包括数据采集与监控系统 (SCADA)、分布式控制系统 (DCS)、可编程逻辑控
2、制器 (PLC)、远程终端 (RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。典型的 ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保 ICS 能够稳定持续地运行。(1) 工控系统潜在的风险工控系统存在以下潜在的风险:1) 操作系统的安全漏洞问题。由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows 平台打补丁,导致系统带着风险运行。2) 杀毒软件安装及升级更新问题。用于生产控制系统的 Windows 操作系统基于工控软件与杀毒软件的兼容性的考虑,通常
3、不安装杀毒软件,给病毒和恶意代码的传染与扩散留下了空间。3) 使用 U 盘、光盘导致的病毒传播问题。由于在工控系统中的管理终端一般没有技术措施对 U 盘和光盘的使用进行有效的管理,导致外设的无序使用引发的安全事件时有发生。4) 设备维修时笔记本电脑的随便接入问题。没有达到一定安全基线的笔记本电脑接入工控系统,会对工控系统的安全造成很大的威胁。5) 存在工控系统被有意或无意控制的风险。如果对工控系统的操作行为没有监控和响应措施,工控系统中的异常行为或人为行为会给工控系统带来很大的风险。6) 工控系统的控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题。对工控系统中 IT 基础设施的运行状
4、态进行监控,是工控系统稳定运行的基础。(2) “两化融合”给工控系统带来的风险工控系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工控系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接互联网,在这种情况下,工控系统接入的范围不仅扩展到了企业网,而且面临着来自互联网的威胁。同时,企业为了实现管理与控制的一体化,提高企业信息化和综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统 MES ,对工控系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。这导致生产控制系统
5、不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。(3) 工控系统采用通用软硬件带来的风险工控系统向工业以太网结构发展,开放性越来越强。基于 TCP/IP 以太网通信的 OPC 技术在该领域得到广泛应用。在工控系统中,由于工业系统集成和使用的便利性,大量使用了工业以太环网和 OPC 通信协议进行工控系统的集成。同时,也大量使用了 PC 服务器和终端产品,操作系统和数据库也大量使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。工控系统安全防护设计通过以上对工控系统安全状况的分析,可以看到,工控系统采用通用平台,加大了工控系统面临的安全风险,而“两化融合”
6、和工控系统自身的缺陷造成的安全风险,主要从以下两个方面进行安全防护:1) 通过“三层架构,二层防护”的体系架构,对工业企业信息系统进行分层、分域、分等级,从而对工控系统的操作行为进行严格的、排他性控制,确保对工控系统操作的唯一性。2) 通过工控系统安全管理平台,确保 HMI、管理机、控制服务工控通信设施的安全可信。1. 构建“三层架构,二层防护”的安全体系工控系统需要进行横向分层、纵向分域、区域分等级进行安全防护,否则管理信息系统、生产执行系统、工控系统处于同一网络平面,层次不清,你中有我、我中有你,来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害,网络风暴和拒绝式服务攻击很容易消耗
7、系统的资源,使得正常的服务功能无法进行。信息安全新焦点工业控制系统安全方案应用 Solutions & Applications2012.4信息安全与通信保密 47方案应用 Solutions & Applications(1) 工控系统的三层架构一般工业企业的信息系统可划分为管理层、制造执行层、工业控制层。在管理层与制造执行层之间,主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行层和工业控制层之间,主要避免管理层直接对工业控制层的访问,保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如图 1 所示。UTMIDS安全审计系统生产线 1生产线 2能源中心物流
8、中心监视 终端监视 终端监视 终端监视 终端工业 防火墙工业 防火墙工业 防火墙工业 防火墙管理服务器计 划 管 理 层制 造 执 行 层工 业 控 制 层MES 服务器 / 数据库MES 服务器 / 数据库MES 服务器 / 数据库MES 服务器 / 数据库OPC 服务 器 / 数据库OPC 服务 器 / 数据库OPC 服务 器 / 数据库OPC 服务 器 / 数据库管理 终端管理 终端管理 终端管理 终端图 1 工控系统安全防护体系架构管理系统是指以ERP为代表的管理信息系统(MIS),其中包含了许多子系统,如生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、
9、设备管理、技术管理、综合管理等,管理信息系统融信息服务、决策支持于一体。制造执行系统 (MES) 处于工控系统与管理系统之间,主要负责生产管理和调度执行。通过 MES,管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。工控系统由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成,主要完成加工作业、检测和操控作业、作业管理等功能。(2) 工控系统的二层防护1) 管理层与 MES 层之间的安全防护。管理层与MES 层之间的安全防护主要是为了避免管理信息系统域和 MES( 制造执行 ) 域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥
10、用 ( 如业务操作人员越权操作其他业务系统 );对操作失误、篡改数据,抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码 ( 病毒蠕虫 )。也就是说,管理层与 MES 层之间的安全防护,保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控、审计。管理层与 MES 层之间的安全防护如图 2 所示。图 2 管理层与 MES 层之间的安全防护MIS 终端MIS 终端MIS 终端MIS 终端MIS 服务器MES 终端生产控制系统MES 终端MES 终端MES 终端MES 服务器入侵 检测准入控制 / 访问控制 / 身份认证准
11、入控制 / 访问控制 / 身份认证终端监控中心 终端安全策略分发中心 恶意代码过滤网络 审计管理系统第一防护层数据流终端监控制造执行系统2) MES 层与工业控制层之间的安全防护。通过在MES 层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控 OPC 客户端与服务器的通信,实现以下目标:a) 区域隔离及通信管控。通过工业防火墙过滤 MES层与生产控制层两个区域间的通信,网络故障会被控制在最初发生的区域内,不会影响到其他部分。b) 实时报警。任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速地发现和解决。MES 层
12、与工业控制层之间的安全防护如图 3 所示。图 3 MES 层与工业控制层之间的安全防护MES 终端MES 终端MES 终端MES 终端MES 服务器ICS 终端生产控制系统ICS 终端ICS 终端ICS 网络设备ICS 服务器工控 系统 行为 检测工业控制系统安全管理平台工业控制系统安全管理平台工业防火墙工控 系统 行为 审计制造执行系统第二防护层数据流终端监控工业控制系统(3) 工控系统安全防护分域安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。在管理层、制造执行层、工业控制层中进行安全子域的划分。
13、安全域的合理划分,使每一个安全域都有明确的边界,便于对安全域进行安全防护。48 信息安全与通信保密方案应用 Solutions & Applications对 MES、ICS 的安全域划分如图 4 所示。UTMIDS安全审计系统生产线 1生产线 2能源中心物流中心监视 终端监视 终端监视 终端监视 终端工业 防火墙工业 防火墙工业 防火墙工业 防火墙管理服务器计 划 管 理 层制 造 执 行 层工 业 控 制 层MES 服务器 / 数据库MES 服务器 / 数据库MES 服务器 / 数据库MES 服务器 / 数据库OPC 服务 器 / 数据库OPC 服务 器 / 数据库OPC 服务 器 / 数
14、据库OPC 服务 器 / 数据库管理 终端管理 终端管理 终端管理 终端图 4 MES、ICS 的安全域划分(4) 工控系统安全防护分等级根据安全域在信息系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施,以保障信息的安全。安全域的等级划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高,面临的威胁越大,因而安全保护等级也就越高。2. 构建工控系统安全管理平台工控系统和传统信息系统具有大多数相同的安全问题,但同时也存在独特的安全需求。工控系统最大的安全需求是
15、唯一性和排它性,在某一特定的工控系统中,工控系统只需用唯一的工业应用程序和工业通信协议运行,其他一概不需要。启明星辰工业系统安全管理平台为工控系统建立了一个相对可信的计算环境,对工控系统管理终端和网络通信具有非常强的安全控制功能。工控系统安全管理平台由两部分组成,一部分是工控系统安全管理平台,具有终端管理、网络管理、行为监控功能,另一部分是终端安全管理客户端。(1) 管理平台部分工控系统的安全运行,主要需要保障工控系统相关信息系统基础设施的安全,包括工业以太网网络、操作终端、关系数据库服务器、实时数据库服务器、操作和应用系统等各类 IT 资源的安全,从工控系统安全的角度对工控系统的各类 IT
16、资源进行监控 ( 包括设备监控、运行监控与安全监控 ),实现对安全事件的预警与响应,保障工控系统的安全稳定运行。具体而言,工控系统安全管理平台的功能如下:1) 能够对应用服务器、关系数据库服务器、实时数据库服务器、工业以太网设备运行状态进行监控,例如CPU、内存、端口流量等。2) 能够对操作终端外设、进程、桌面进行合规性在线和离线管理。3) 能够对各层边界数据交换情况进行监控。4) 能够对工控系统中的网络操作行为进行审计。5) 能够对工控系统日志进行关联分析和审计。6) 能够对工控系统中的异常事件进行预警响应。7) 能够对工业企业信息系统进行虚拟安全域的划分。(2) 工控系统终端安全管理部分工控系统终端最大的特点是应用相对固定,终端主要安装工控系统程序,所以,要防范传统方式的病毒或木马等恶意软件,最直接的方式就是利用工控系统对终端应用程序的进程进行管理。具体而言,工控系统安全管理平台终端安全管理的部分功能如下:1) 客户端软件轻巧精炼,占用资源极少,能够最大程度保证工控系统管理终
