《工业控制网络纵深防御解决方案》由会员分享,可在线阅读,更多相关《工业控制网络纵深防御解决方案(23页珍藏版)》请在金锄头文库上搜索。
1、 工业控制网络纵深防御解决方案编制青岛海天炜业自动化控制系统有限公司 经理 刘安正Byres Security inc. Tofino亚太区经理 Thomas Ou目 录1工业控制网络安全概述31.1本报告编制原则31.2工业控制网络安全概述32西门子STUXNET控制系统病毒的新警示43目前工厂控制系统网络防护分析53.1工厂网络情况概述53.2目前工业控制网络安全存在的问题53.2.1操作系统安全漏洞53.2.2病毒与恶意代码63.2.3拒绝服务攻击-网络风暴63.2.4黑客入侵与应用软件安全漏洞63.3目前的防护措施73.4保证控制网络安全必须达到的两个目标93.5 ANSI/ISA-9
2、9区域防护概念解析94TOFINO工业网络安全解决方案114.1 Tofino安全解决方案构成124.2 Tofino安全解决方案达到的目标134.3过程控制系统DCS区域安全分析144.4针对石化企业的Tofino解决方案154.4.1 工业OPC通信防护154.4.1.1方案架构图174.4.1.2 OPC Classic Enforcer防护原理184.4.1.3 Tofino OPC通讯防护配置清单(单个OPC连接)204.4.2 操作站层面防护214.4.2.1方案架构图224.4.2.2 操作站层防护部署及原理224.4.2.3 操作站层通讯防护配置清单(单个防护区域)235项目费
3、用概算251工业控制网络安全概述1.1本报告编制原则本报告编制依据中华人民共和国计算机信息系统安全保护条例、信息安全技术指南以及国际ANSI/ISA-99控制系统网络安全指引面向石化企业信息化的特点,结合MES以及现场控制系统的实际应用,针对控制网络安全问题进行分析与阐述,并提供适合企业特点的安全方案。1.2工业控制网络安全概述过去十年间,世界范围内的过程控制系统(DCS/PLC/PCS等)及SCADA系统广泛采用信息技术,Windows, Ethernet 及 TCP/IP,现场总线技术,OPC等技术的应用使工业设备接口越来越开放,减弱了控制系统及SCADA系统等与外界的隔离。但是,越来越多
4、的案例表明,来自商业网络、因特网以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散,直接影响了工业稳定生产及人身安全。2003年1月,Slammer蠕虫病毒入侵大量工厂网络,直到防火墙将其截获,人们依然认为系统是安全的。2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感染病毒,虽然已安装了IT防火墙,病毒就在几秒钟之内从一个車间感染到另一个車间,从而最终导致停工。2006年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。2010年10月,肆虐伊朗国内的“超级工厂病毒”Stuxnet病毒已经造成
5、伊朗布什尔核电站推迟发电,并对伊朗国内工业造成大面积影响。通过专家对大量工业网络安全案例的分析证明,网络攻击频发的原因正在于此不完善的网络安全设计,配置不当的防火墙以及VPN tunnels、双网卡服务器及网络共享等。2西门子Stuxnet控制系统病毒的新警示Stuxnet是一种计算机蠕虫病毒,通过Windows操作系统此前不为人知的的漏洞感染计算机,同时该病毒针对具有西门子WINCC平台的控制系统以及Step7文件进行攻击,由于该病毒能够修改WINCC平台数据库变量,在Step7程序中插入代码以及功能块,即能够对控制系统发动攻击,故部分专家定义Stuxnet为“超级工厂病毒”。这是目前第一个
6、针对工控系统展开攻击的计算机病毒,目前已经对伊朗国内工业控制系统产生极大影响,Stuxnet可以说是计算机病毒界革命性创新,给我们控制系统网络安全带来新警示。控制系统网络是可以被攻击的越来越多的控制系统操作站平台是基于Windows平台,U盘,维修人员的笔记本接入,信息网络的病毒感染等都可以实现对控制网络的攻击;控制系统网络需要有病毒及黑客入侵防护;需要实施一个纵深防御策略来保证控制系统的稳定运行;3目前工厂控制系统网络防护分析3.1工厂网络情况概述伴随国家工业化、信息化的两化融合,石化企业提出管控一体化规划,基于实时数据库应用的MES系统在各大企业得到大力推广。实时数据库的建立是以采集过程控
7、制系统的数据为前提,这就需要MES 的信息网络必须要实现与控制网络之间的数据交换,控制网络不再以一个独立的网络运行,而要与信息网络互通、互联,基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。过程控制系统在近十年的发展中呈现出整体开放的趋势,计算机技术在工控领域的应用使得现代DCS操作站完全是一种PC+Windows的模式,控制系统网络也基本都向工业以太网结构发展,开放性越来越强。3.2目前工业控制网络安全存在的问题开放性为用户带来的好处毋庸置疑,但由此引发的各种安全漏洞与传统的封闭系统相比却大大增加。对于一个控制网络系统,产生安全漏洞的因素是多方面的。3.2.1操作系统安全漏洞PC
8、+Windows的技术架构现已成为控制系统操作站(HMI)的主流,任何一个版本的Windows自发布以来都在不停的发布漏洞补丁,为保证过程控制系统相对的独立性,现场工程师通常在系统开车后不会对Windows平台打任何补丁,更为重要的是打过补丁的操作系统没有经过制造商测试,存在安全运行风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成Windows平台乃至控制网络的瘫痪。3.2.2病毒与恶意代码基于Windows平台的PC广泛应用,病毒也随之而泛滥。全球范围内,每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒,并且还在以每天数十余种的速
9、度增长。这些恶意代码具有更强的传播能力和破坏性。例如蠕虫,从广义定义来说也是一种病毒,但和传统病毒相比最大不同在于自我复制过程。它能够通过端口扫描等操作过程自动和被攻击对象建立连接,如Telnet连接等,自动将自身通过已经建立的连接复制到被攻击的远程系统,并运行它。基于工控软件与杀毒软件的兼容性,在操作站(HMI)上通常不安装杀毒软件(美国有因为安装杀毒软件导致安全系统运行故障的案例),即使是有防病毒产品,其基于病毒库查杀的机制在工控领域使用也有局限性,主要是对新病毒的处理总是滞后的,这导致每年都会大规模地爆发病毒,特别是新病毒。3.2.3拒绝服务攻击-网络风暴拒绝服务攻击是一种危害极大的安全
10、隐患,它可以认为操纵也可以由病毒自动执行,常见的流量型攻击如Ping Flooding、UDP Flooding等,以及常见的连接型攻击如SYN Flooding、ACK Flooding等,通过消耗系统的资源,如网络带宽、连接数、CPU 处理能力、缓冲内存等使得正常的服务功能无法进行。拒绝服务攻击非常难以防范,原因是它的攻击对象非常普遍,从服务器到各种网络设备如路由器、交换机、IT防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重的拒绝服务攻击就会导致严重后果,轻则控制系统的通信完全中断,重则可导致控制器死机等。目前这种现象已经在多家工业控制系统中已经出现,并且造成严重后果。可以想像,一套失
11、控的控制系统可能导致的后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免,缺乏有效的手段来解决。3.2.4黑客入侵与应用软件安全漏洞最后要提到的两点目前发生概率较小,分别是黑客入侵和工控应用软件的自身漏洞,这些事情通常发生在远程SCADA控制系统的应用上,在此不做详述。3.3目前的防护措施石化企业随着信息化的不断深入,大量IT技术被引入,同时也包括各种IT网络安全技术,主要有IT商业防火墙、IDS、VPN、防病毒等,这些技术目前也基本集中在工厂MES系统企业信息层面。针对控制网络的防护,也进行了一些积极有效地措施,基本如下(参考下面工厂MES网络示意图):(1) 信息层网络与控制层网
12、络之间采用双网卡接口机(Buffer机);(2) 安装病毒监控软件,保证病毒库随时升级(病毒库服务器);(3) 就操作系统发现的漏洞及时打补丁(补丁服务器);(4) OPC数据采集客户端采取只读数据的单向策略;(5) OPC数据采集服务器与客户端之间增加普通IT防火墙;(6) 参与过程控制高级应用的先控站(APC Node)单独放置;(7) 面向项目编程组态的工程师站(ENG Node)单独放置;(8) 操作员站主机机柜上锁,或USB口屏蔽,防止操作工任意使用U盘;(9) 加强管理,对不按照规程操作的工程师进行处罚;工厂MES网络示意图由于石化生产过程的重要性和特殊性,严格要求每一生产环节都不
13、允许产生纰漏。数采系统的采集站直接与现场装置 DCS 相连,对于(1),虽然考虑了双网卡配置,管理信息网与控制网通过采集站进行了隔离,病毒等破坏性程序不能直接攻击到控制网络,但对于能够利用 Windows 系统本身缺陷的网络蠕虫病毒,这种配置几乎没有作用,除非能够把采集站的 Windows 系统的系统漏洞消除在利用该漏洞的蠕虫病毒攻击之前,使得蠕虫病毒无法攻入采集站系统,从而无法利用采集站作为进一步攻击的基地;对于(2)和(3),病毒库及系统补丁的升级总是存在滞后效应,对于新型入侵及攻击无法抵御,因此还不能完全阻止攻击;对于(4)(5)项是用户一直非常头痛的部分,缺乏有效的解决方案来实施;对于
14、(6)(7)(8)(9)项,基本都是管理方面的内容,其作用在于防止非计算机的人为破坏因素。常规的IT网络安全技术没有专门针对控制网络需求进行规划设计,以上所列安全措施只是对控制网络入侵的一种限制手段,但无法达到网络安全的要求,需要通过专业网络安全设备,去限定并且管控有限的连接,来满足化工装置对网络安全的要求。3.4保证控制网络安全必须达到的两个目标虽然各个工厂在针对控制网络安全都采取了在本文档3.2章中描述的防护措施(或者其它更高级的措施),但我们相信,要保证控制网络中基于PC+Windows方式的操作站(HMI)100%免受病毒感染或者其它攻击是根本不可能的。这些感染或攻击的途径可能来自:来
15、自上层信息网对控制网的攻击或病毒感染;工程师使用U盘、光盘导致的病毒传播;设备维修时笔记本电脑接入而来;总结以上列举的种种问题,我们认为要保证控制网络的安全运行必须达到两个目标:(1)即使在控制网单点出现问题,也能保证装置或工厂的安全稳定运行对于现代计算机网络,我们认为最可怕的是病毒的急速扩散,它会瞬间令整个网络瘫痪,该防护目标在于当控制网络的某个局部存在病毒感染或者其它不安全因素时,不会向其它设备或网络扩散,从而保证装置或工厂的安全稳定运行。(2)能够及时准确的确认故障点,并排解决问题怎样能够及时发现网络中存在的感染及其它问题,准确找到故障的发生点,是维护控制网络安全的前提。3.5 ANSI/ISA-99区域防护概念解析目前国内针对工业控制网络的防护标准尚不成形,公安部会同有关部门也在制定计算机信息系统安全等级的划分标准和安全等级保护的具体办法,在国际上,美国在2007年颁布的Chemical Facility Anti-Terrorism Standards (CFATS)标准(该标准由美国国土安全部颁布)以及2008年
