本文在對(duì)工業(yè)控制系統(tǒng)特點(diǎn)和面臨的安全風(fēng)險(xiǎn)進(jìn)行分析的基礎(chǔ)上，提出了工業(yè)控制系統(tǒng)安全體系架構(gòu)，在深入了解企業(yè)工控系統(tǒng)安全現(xiàn)狀的情況下，結(jié)合業(yè)界專(zhuān)家的觀點(diǎn)提出了適用于工控系統(tǒng)的信息安全研究思路及解決辦法，對(duì)廣大制造企業(yè)具有一定的借鑒意義。

一、概述

當(dāng)前，隨著工業(yè)控制信息化、三網(wǎng)融合、物聯(lián)網(wǎng)、云計(jì)算等在內(nèi)的多種新型信息技術(shù)的發(fā)展與應(yīng)用，越來(lái)越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域，給工業(yè)控制系統(tǒng)信息安全保障工作提出了新的挑戰(zhàn)： 工業(yè)控制系統(tǒng)需要利用最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平;工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，從而導(dǎo)致將傳統(tǒng)IT風(fēng)險(xiǎn)延伸到了工控系統(tǒng)，工業(yè)控制系統(tǒng)的安全問(wèn)題越來(lái)越嚴(yán)峻。

本文在對(duì)工業(yè)控制系統(tǒng)特點(diǎn)和面臨的安全風(fēng)險(xiǎn)進(jìn)行分析的基礎(chǔ)上，提出了工業(yè)控制系統(tǒng)安全體系架構(gòu)，在深入了解企業(yè)工控系統(tǒng)安全現(xiàn)狀的情況下，結(jié)合業(yè)界專(zhuān)家的觀點(diǎn)提出了適用于工控系統(tǒng)的信息安全研究思路及解決辦法，對(duì)廣大制造企業(yè)具有一定的借鑒意義。

二、工控系統(tǒng)安全體系架構(gòu)

工業(yè)控制系統(tǒng)(簡(jiǎn)稱(chēng)工控系統(tǒng))是現(xiàn)代工業(yè)基礎(chǔ)設(shè)施的核心，包括過(guò)程控制、數(shù)據(jù)采集系統(tǒng)，分布式控制系統(tǒng)，程序邏輯控制以及其他控制系統(tǒng)等，廣泛應(yīng)用于電力、石油化工、先進(jìn)制造、軌道交通等與國(guó)計(jì)民生緊密相關(guān)領(lǐng)域，是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。

工業(yè)控制系統(tǒng)通常由一系列網(wǎng)絡(luò)設(shè)備構(gòu)成，包括：傳感器、執(zhí)行器、過(guò)程控制單元和通信設(shè)備?？刂葡到y(tǒng)通常采用分層結(jié)構(gòu)，典型的控制系統(tǒng)體系架構(gòu)如圖1所示。第一層為安裝有傳感器和執(zhí)行器等現(xiàn)場(chǎng)設(shè)備的物理設(shè)施，現(xiàn)場(chǎng)設(shè)備通過(guò)現(xiàn)場(chǎng)總線網(wǎng)絡(luò)與可編程邏輯控制器(PLC)或遠(yuǎn)程終端設(shè)備(RTU)連接，PLC或RTU設(shè)備負(fù)責(zé)實(shí)現(xiàn)局域控制功能。第二層為控制網(wǎng)絡(luò)，主要負(fù)責(zé)過(guò)程控制器和操作員站之間的實(shí)時(shí)數(shù)據(jù)傳輸。操作員站用于區(qū)域監(jiān)控和設(shè)置物理設(shè)施的設(shè)定值。第三層為企業(yè)網(wǎng)，企業(yè)工作站負(fù)責(zé)生產(chǎn)控制，過(guò)程優(yōu)化和過(guò)程日志記錄。

圖1 工控系統(tǒng)架構(gòu)圖

工控系統(tǒng)的信息安全問(wèn)題，在各層上都面臨著來(lái)自不同方面的威脅，詳細(xì)如下圖所示。企業(yè)網(wǎng)的管理信息層面臨來(lái)自互聯(lián)網(wǎng)的攻擊，也有企業(yè)內(nèi)部惡意的攻擊通過(guò)企業(yè)網(wǎng)進(jìn)入工控網(wǎng)，一直到現(xiàn)場(chǎng)網(wǎng)絡(luò);在控制層有系統(tǒng)管理人員非法操作，最嚴(yán)重的要屬第三方運(yùn)維人員的對(duì)現(xiàn)場(chǎng)設(shè)備的操作;還有遠(yuǎn)程撥號(hào)的攻擊，有部分現(xiàn)場(chǎng)還有野外搭線的威脅。

圖2 ICS攻擊路徑分析

本文在對(duì)工業(yè)控制系統(tǒng)特點(diǎn)和面臨的安全風(fēng)險(xiǎn)進(jìn)行分析的基礎(chǔ)上，提出了工業(yè)控制系統(tǒng)安全體系架構(gòu)，在深入了解企業(yè)工控系統(tǒng)安全現(xiàn)狀的情況下，結(jié)合業(yè)界專(zhuān)家的觀點(diǎn)提出了適用于工控系統(tǒng)的信息安全研究思路及解決辦法，對(duì)廣大制造企業(yè)具有一定的借鑒意義。

三、工控系統(tǒng)安全分析

近年來(lái)，工控系統(tǒng)安全問(wèn)題頻發(fā)，隨著2010年伊朗核電站的“震網(wǎng)”(Stuxnet)病毒事件，為工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘?，F(xiàn)在，國(guó)內(nèi)外生產(chǎn)企業(yè)都把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了日程。工控系統(tǒng)安全頻發(fā)的原因主要有以下幾個(gè)方面：

1)基于物理設(shè)施的風(fēng)險(xiǎn)

◆ 操作系統(tǒng)的安全漏洞問(wèn)題

由于考慮到工控軟件與操作系統(tǒng)補(bǔ)丁兼容性的問(wèn)題，系統(tǒng)開(kāi)車(chē)后一般不會(huì)對(duì)Windows平臺(tái)打補(bǔ)丁，導(dǎo)致系統(tǒng)帶著風(fēng)險(xiǎn)運(yùn)行。

◆ 殺毒軟件安裝及升級(jí)更新問(wèn)題

用于生產(chǎn)控制系統(tǒng)的Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴(kuò)散留下了空間。

◆ 使用U盤(pán)、光盤(pán)導(dǎo)致的病毒傳播問(wèn)題

由于在工控系統(tǒng)中的管理終端一般沒(méi)有技術(shù)措施對(duì)U盤(pán)和光盤(pán)使用進(jìn)行有效的管理，導(dǎo)致外設(shè)的無(wú)序使用而引發(fā)的安全事件時(shí)有發(fā)生。

◆ 設(shè)備維修時(shí)筆記本電腦的隨便接入問(wèn)題

工業(yè)控制系統(tǒng)的管理維護(hù)，沒(méi)有到達(dá)一定安全基線的筆記本電腦接入工業(yè)控制系統(tǒng)，會(huì)對(duì)工業(yè)控制系統(tǒng)的安全造成很大的威脅。

2)基于“兩化融合”的風(fēng)險(xiǎn)

工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的，但近年來(lái)為了實(shí)現(xiàn)實(shí)時(shí)的數(shù)據(jù)采集與生產(chǎn)控制，滿足“兩化融合”的需求和管理的方便，通過(guò)邏輯隔離的方式，使工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)可以直接進(jìn)行通信，而企業(yè)管理系統(tǒng)一般直接連接Internet，在這種情況下，工業(yè)控制系統(tǒng)接入的范圍不僅擴(kuò)展到了企業(yè)網(wǎng)，而且面臨著來(lái)自Internet的威脅。

同時(shí)，企業(yè)為了實(shí)現(xiàn)管理與控制的一體化，提高企業(yè)信息化合綜合自動(dòng)化水平，實(shí)現(xiàn)生產(chǎn)和管理的高效率、高效益，引入了生產(chǎn)執(zhí)行系統(tǒng)MES ，對(duì)工業(yè)控制系統(tǒng)和管理信息系統(tǒng)進(jìn)行了集成，管理信息網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)之間實(shí)現(xiàn)了數(shù)據(jù)交換。導(dǎo)致生產(chǎn)控制系統(tǒng)不再是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)，而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進(jìn)行互通、互聯(lián)。

3)采用通用軟硬件帶來(lái)的風(fēng)險(xiǎn)

工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展，開(kāi)放性越來(lái)越強(qiáng)?；赥CP/IP以太網(wǎng)通訊的OPC技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。在工業(yè)控制系統(tǒng)中，由于工業(yè)系統(tǒng)集成和使用的便利性，大量使用了工業(yè)以太環(huán)網(wǎng)和OPC通信協(xié)議進(jìn)行了工業(yè)控制系統(tǒng)的集成;同時(shí)，也大量的使用了PC服務(wù)器和終端產(chǎn)品，操作系統(tǒng)和數(shù)據(jù)庫(kù)也大量的使用了通用的系統(tǒng)，很容易遭到來(lái)自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。

本文在對(duì)工業(yè)控制系統(tǒng)特點(diǎn)和面臨的安全風(fēng)險(xiǎn)進(jìn)行分析的基礎(chǔ)上，提出了工業(yè)控制系統(tǒng)安全體系架構(gòu)，在深入了解企業(yè)工控系統(tǒng)安全現(xiàn)狀的情況下，結(jié)合業(yè)界專(zhuān)家的觀點(diǎn)提出了適用于工控系統(tǒng)的信息安全研究思路及解決辦法，對(duì)廣大制造企業(yè)具有一定的借鑒意義。

四、工控系統(tǒng)信息安全保障策略

通過(guò)以上對(duì)工業(yè)控制系統(tǒng)安全狀況分析，我們可以看到，工控系統(tǒng)采用通用平臺(tái)，加大了工控系統(tǒng)面臨的安全風(fēng)險(xiǎn)，而“兩化融合”和工控系統(tǒng)自身的缺陷造成的安全風(fēng)險(xiǎn)，主要從兩個(gè)方面進(jìn)行安全防護(hù)。

1)構(gòu)建“三層架構(gòu)，二層防護(hù)”的安全體系

一般工業(yè)企業(yè)的信息系統(tǒng)，可以劃分為管理層、制造執(zhí)行層、工業(yè)控制層。在管理信層與制造執(zhí)行系統(tǒng)層之間，主要進(jìn)行身份鑒別、訪問(wèn)控制、檢測(cè)審計(jì)、鏈路冗余、內(nèi)容檢測(cè)等安全防護(hù);在制造執(zhí)行系統(tǒng)層和工業(yè)控制系統(tǒng)層之間，主要避免管理層直接對(duì)工業(yè)控制層的訪問(wèn)，保證制造執(zhí)行層對(duì)工業(yè)控制層的操作唯一性。工控系統(tǒng)安全防護(hù)架構(gòu)如下圖所示：

圖3 工控系統(tǒng)安全防護(hù)架構(gòu)

通過(guò)上圖可以看到，我們把工業(yè)企業(yè)信息系統(tǒng)劃分為三個(gè)層次，分別是計(jì)劃管理層、制造執(zhí)行層、工業(yè)控制層。

管理系統(tǒng)是指以ERP為代表的管理信息系統(tǒng)(MIS)，其中包含了許多子系統(tǒng)，如：生產(chǎn)管理、財(cái)務(wù)管理、質(zhì)量管理、車(chē)間管理、人事管理、綜合管理等，管理信息系統(tǒng)融信息服務(wù)、決策支持于一體。

制造執(zhí)行系統(tǒng)(MES)處于工業(yè)控制系統(tǒng)與管理系統(tǒng)之間，主要負(fù)責(zé)生產(chǎn)管理和調(diào)度執(zhí)行。通過(guò)MES，管理者可以及時(shí)掌握和了解生產(chǎn)工藝各流程的運(yùn)行狀況和工藝參數(shù)的變化，實(shí)現(xiàn)對(duì)工藝的過(guò)程監(jiān)視與控制。

工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成。主要完成加工作業(yè)、檢測(cè)和操控作業(yè)、作業(yè)管理等功能。

2)工控系統(tǒng)的二層防護(hù)

1、管理層與MES層之間的安全防護(hù) 管理層與MES層之間的安全防護(hù)主要是為了避免管理信息系統(tǒng)域和MES(制造執(zhí)行)域之間數(shù)據(jù)交換面臨的各種威脅，具體表現(xiàn)為：避免非授權(quán)訪問(wèn)和濫用(如業(yè)務(wù)操作人員越權(quán)操作其他業(yè)務(wù)系統(tǒng));對(duì)操作失誤、篡改數(shù)據(jù)，抵賴(lài)行為的可控制、可追溯;避免終端違規(guī)操作;及時(shí)發(fā)現(xiàn)非法入侵行為;過(guò)濾惡意代碼(病毒蠕蟲(chóng))。 也就是說(shuō)，管理層與MES層之間的安全防護(hù)，保證只有可信、合規(guī)的終端和服務(wù)器才可以在兩個(gè)區(qū)域之間進(jìn)行安全的數(shù)據(jù)交換，同時(shí)，數(shù)據(jù)交換整個(gè)過(guò)程接受監(jiān)控、審計(jì)。管理層與MES層之間的安全防護(hù)如下圖所示：

圖4 管理層與MES層之間的安全防護(hù)

2、MES層與工業(yè)控制層之間的安全防護(hù)

通過(guò)在MES層和生產(chǎn)控制層部署工業(yè)防火墻，可以阻止來(lái)自企業(yè)信息層的病毒傳播; 阻擋來(lái)自企業(yè)信息層的非法入侵;管控OPC客戶端與服務(wù)器的通訊，實(shí)現(xiàn)以下目標(biāo)：

區(qū)域隔離及通信管控：通過(guò)工業(yè)防火墻過(guò)濾MES層與生產(chǎn)控制層兩個(gè)區(qū)域網(wǎng)絡(luò)間的通信，那么網(wǎng)絡(luò)故障會(huì)被控制在最初發(fā)生的區(qū)域內(nèi)，而不會(huì)影響到其它部分。

實(shí)時(shí)報(bào)警：任何非法的訪問(wèn)，通過(guò)管理平臺(tái)產(chǎn)生實(shí)時(shí)報(bào)警信息，從而使故障問(wèn)題會(huì)在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。

MES層與工業(yè)控制層之間的安全防護(hù)如下圖所示：

圖5 MES層與工業(yè)控制層之間的安全防護(hù)

3、工控系統(tǒng)安全防護(hù)分域

安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。

在管理層、制造執(zhí)行層、工業(yè)控制層中，進(jìn)行管理系統(tǒng)安全子域的劃分，制造執(zhí)行安全子域的劃分、工業(yè)控制安全子域的劃分。 安全域的合理劃分，使用每一個(gè)安全域都要明確的邊界，便于對(duì)安全域進(jìn)行安全防護(hù)。對(duì)MES、ICS的安全域劃分如下圖所示：

圖6 MES、ICS的安全域劃分

如上圖所示，為了保證各個(gè)生產(chǎn)線的安全，對(duì)各個(gè)生產(chǎn)線進(jìn)行了安全域劃分，同時(shí)在安全域之間進(jìn)行了安全隔離防護(hù)。

新聞名稱(chēng)：企業(yè)到底需要什么樣的工控安全
瀏覽地址：http://uogjgqi.cn/article/cccpdsh.html