在智能工厂的建设过程中会遇到很多难题,例如:在采集工业数据时,如何确保安全性、有效性、稳定性?如何构建智能工厂工业控制系统安全体系,保证控制系统运行质量,实现该系统安全防护的高效性、智能性、及时性和可追溯性。这些都是当代智能工厂建设中需要解决的重要课题。
一、工业控制系统安全背景
工业控制系统的范畴一般包括:分散控制系统(DIcS)、现场总线控制系统(FCS)、安全仪表系统(SIS)、数据采集和监控系统(SCADA)、可编程逻辑控制器(PLC)、工业控制计算机系统(IPC)(含嵌入式计算机系统)、机组控制系统(CCS)等。2000年以前的DCS等控制系统一般都有自己独立的操作系统,其开放性及通用性较弱。但当今时代的控制系统一般使用通用的开放的Windows操作系统,使用OPC采集数据,网络采用冗余工业以太网模式,尤其是服务器结构的DCS,一旦服务器出现异常,受侵害的不仅仅是一个操作站,而是整个系统的瘫痪。
越来越多的工控安全事件表明,来自工厂信息网络、移动存储介质、互联网以及其他因素导致的网络安全问题正逐渐在控制系统中扩散。
二、工业控制系统安全管理
外来安全
1.边界防护
边界防护是指过程控制层、操作监控层应通过OPC服务器、网络隔离设备向数据服务层传输数据。OPC服务器与数据服务层相连的网卡应独立设置。不同应用的OPC服务器应独立设置,禁止OPC服务器与工程师站共用。网络隔离设备应独立配置,禁止采用带有防火墙功能的网络交换机替代,禁止采用软件隔离代替硬件隔离。网络隔离设备应具备工业协议内容识别和网络访问控制能力,并启用网络访问策略保障双向通信安全。网络访问为双向访问时,宜使用工业防火墙;网络访问为单向访问时,可使用网闸或者数据采集隔离网关。
2.主机防护
主机防护是指在DCS服务器和操作站上部署DCS探针软件,用于采集监视DCS操作站核心控制及应用系统运行状态、安全隐患、异常及威胁等。采集方式为定期采集,采集数据采用加密的HTTPS通信通道保证数据安全不被篡改。DCS探针采集的数据包括系统故障、系统漏洞及补丁、系统配置、系统资源占用、用户操作行为、网络连接、网络服务、DCS核心业务进程、服务启停、防护能力状态、防护系统、外部存储接入等。同时部署硬件主机探针用于汇聚抑制DCS探针采集数据并转发给监控中心服务器,用于分析DCS网络服务启停状态、异常重启、在线状态、健康状态和防护系统启停状态等。
3.网络防护
1)部署防病毒软件 为了防止来自使用U盘、光盘等移动存储介质导致的病毒传播,可以在控制网的DCS操作站和服务器上安装经过DCS厂家认证的网络版杀毒软件。防病毒软件优先选用主动式病毒防护软件,以防止防病毒软件攻击正常操作软件导致事故发生,同时采用具有进程和服务配置功能的应用程序白名单和黑名单策略,并在网络上连接1台病毒库升级服务器,为每个操作站安装经过DCS厂家认证的最新的Windows补丁。建议工业控制系统在工厂安装、组态开发、测试期间应同步安装防病毒软件。发现该系统疑似被病毒感染时,应按照应急预案及时采取紧急防护措施,防止事件扩大。
2)安装网络探针 一般是在DCS控制网交换机上配置全流量镜像网络探针。网络探针具备对镜像流量,资产发现、异常互联分析、分布式拒绝服务攻击(DDOS)攻击监测、互联监控、异常及危险指令监测和异常流量监测等功能。
自身安全
1.预知维护
工业控制系统预知维护,就是通过维护数据,结合该系统故障的历史、现状和运行环境等进行综合判断分析,预测工业控制系统隐患的发展趋势,抢在系统出现故障前提出防范措施和治理对策,将故障消灭在萌芽状态。
如某石化公司要求各控制系统的维护人员每月至少做一次预知维护,根据对操作站的故障分析,预知维护首先从每月主动重启1次操作站,定期清理操作站软件垃圾和病毒开始,督促企业变被动维护为预知维护、主动维护,降低工业控制系统的故障次数。
2.资产管控
资产管控是指采集和整合DCS等控制系统运维所需的多种动态、静态信息,建立工业控制系统资产管控实时平台,实现基础资料信息化,提高维护效率,方便运维人员维护。资产管控的信息包括:DCS配置逻辑结构图、机柜布置图、DCS复杂控制回路组态信息、DCS卡件类型、数量、安装时间、维修记录、IO通道空余数量等信息统计及资源管理。
三、工业控制系统安全监控平台
智能制造业工业控制系统安全监控平台主要包括:DCS探针软件、主机探针(硬件)、网络探针(硬件)、生产网与办公网间工业防火墙(硬件)、办公网监控中心服务器等,在保证不影响现有DCS正常监控业务、不改变现有DCS网络拓扑结构和保证DCS自身安全的同时,监控整个DCS的安全隐患、异常和威胁状态等,实现工业控制系统的安全可视化监控。
充分利用网络态势感知先进、成熟、高效的解决方案,结合企业工业控制网络的运营环境、业务与威胁的特殊性,实现网络防护与安全运维的有机结合,重点提升工业控制生产安全监测、网络安全态势感知、安全防护和应急处置能力,为全面落实《网络安全法》对工业控制网络安全的防护要求打下坚实基础。
充分利用大数据分析、物联网、可视化交互等技术手段,对工业控制网络内重要资产的生产环境、运行状态、安全风险、网络威胁进行多级别、多粒度、多维度的信息安全监管与保障,为目标用户提供海量资产管理、系统自动运维、异常行为监控、网络威胁预警与工业生产安全早期预警等核心能力。
参考:
《石油化工自动化》 2021年5月刊