纵观近年国际局势,工业控制系统安全事件频发,国内外工业控制系统网络信息安全问题日益严峻。国家工信部陆续下发了《关于加强工业控制系统信息安全管理的通知》《工业控制系统信息安全防护指南》《工业自动化和控制系统网络安全》等一系列的工业信息安全防护文件,强调了加强工业控制系统信息安全管理的重要性和紧迫性,并明确了核设施、钢铁、有色、化工、石油石化、电力等与国计民生紧密相关领域的工业控制系统信息安全管理要求。
钢铁企业是典型的生产、资金、技术密集型企业,具有生产连续性强,生产系统耦合性高等特点,如何有效地防范来自内部或外部攻击,做好工控系统网络安全的防护工作,确保生产系统稳定可靠,是钢铁行业工控系统信息安全所亟待解决的问题。
一、问题分析
近年来,随着计算机网络技术发展的突飞猛进,为提高生产管理运行效率、减少人力投入及能源消耗,国内众多钢铁企业不断推进智能化建设,尤其是在工业控制系统方面,更是大量投入资金人力,以实现企业的智能化升级转型。
工业控制系统在初始建设时,多是基于自身可用性角度设计开发,较少考虑到后续出现的多系统级联、开放性越来越强的生产控制系统网络的安全保障及安全防护建设。钢铁行业的工业控制系统主要是由PCS、DCS、PLC、SCADA、智能仪表、机器人等组成。如今在信息技术发展的影响下,工控系统厂商越来越关注系统的开放性设计,采用第三方集成,操作端PC化等方式降低了用户的投资与维护成本。
对于钢铁行业工业控制系统来说,产生安全威胁的因素是多方面的。例如:缺少安全管理机制、安全防护手段落后、安全意识薄弱、工业网络病毒、工控系统自身及外方设备漏洞或后门、持续性威胁APT、无线技术应用隐患等等。当面对如此之多的安全威胁时,如果企业没有专业而清晰的认识就容易陷入以下防护误区:
防火墙、网关绝对安全
万物互联的工业互联网时代背景下,与外界完全隔离几乎是不可能的。而且,在未经授权及检查的情况下,使用笔记本电脑对系统进行调试维护或接入外部U盘等移动存储设备时,也会从内部打破系统与外界的隔离。
常规商用型安全防护产品就可以达到防护目标
商业使用的安全防护产品与工业专用产品是有大不相同之处的,工业控制系统强调可用性,而商用系统强调保密性;同时,工业设备不能进行频繁的系统升级和安装补丁,工业协议和工业病毒类型与商业应用场景下有着明显的差异。
网络安全软硬件防护可以解决一切问题
有效管理且进行了正确配置的防御软硬件可以抵御大部分已知的安全威胁,但对于新型、变异型以及更为隐蔽的病毒或漏洞的防御还远远不够。任何防御系统的本身都并不是完全安全的,多存在漏洞和缺陷,再好的防御技术也要操作员正确管理和合理使用才会发挥真正功效。
工控系统供应商会保障系统安全
用户通常认为供应商对其系统的缺陷和安全性了如指掌,实际上大部分供应商对他们系统的认识仅限于其所能够提供的功能,当系统真正出现安全问题时,所能提供的解决办法和响应速度就有待商榷。另外,供应商所关注的工控系统安全,大部分是其核心组件部分,而对其外围终端设备能做的防护十分有限。
采用工业协议攻击者不了解
从各钢铁企业工控系统项目中可以发现,工业环境中已广泛使用商业IT技术,大部分通讯方式都是采用以太网TCP/IP协议,其操作系统也以Microsoft产品居多。即使在某些特殊环境下采用的内部协议在网上也均可以获取到,例如Modbus工业协议可以很容易的找到其详细说明,更何况大部分工控设备功能简单、设计规范而工业协议又不具备安全防护特征,所以工业协议对攻击者根本不是问题。
从以上的防护分析中可以看出,工控系统网络信息安全建设不是仅靠几台防护设备、几项先进技术就能一劳永逸地解决的。信息安全防护是一个持久战,要统筹全局,结合各企业实际情况,分别从人、技术、组织管理三个方面来具体开展防护工作。
二、解决方案
根据钢铁行业工业控制系统信息安全现状,结合《工业控制系统信息安全防护指南》的具体要求,按照预防监测与安全防护相结合的方针,整体提高企业工业控制网络的安全保障能力。制定具体工控系统网络安全解决方案如下:
1.人防
人是工业控制系统信息安全中最关键的因素。不管是技术的实施和维护,标准的制定与修订、流程的遵从、改善和管理,都离不开经过培训、有专业素质的人的参与。
(1)企业对员工实行从业全周期的信息安全培训,使从业人员接受信息安全系统、机制化的教育培训,增强员工信息安全意识,减少误操作,并使之具备预防和发现隐患的能力。
(2)培养一批了解生产实际情况,熟悉国内外信息安全标准和信息安全管理的专业人才,将工业控制系统信息安全工作专人化、专业化。
2.机防
预防监测
(1)搭建工业控制系统在线监测平台,对包括MES、PCS、DCS、HMI、PLC、SCADA等工控系统,以及服务器、数据库、工程师站、操作站、智能仪器仪表、嵌入式设备、视频监控设备、路由器、工业防火墙、工业网关等进行监控预警。
(2)在工控系统网络交换机上部署流量审计设备,重点监测工控网络内部异常的流量、访问、操作以及非法入侵等行为。
(3)在进行停机检修或系统上线、维护时进行漏洞扫描,并对漏洞修复及补丁进行评审后再修补。
(4)对钢铁企业工控系统信息安全现状进行周期性风险评估。通过风险评估,确定风险管理计划、需要采取的控制措施,了解企业信息安全管理的现状。检查内容包括系统配置检查、病毒检查、系统日志检查等,尤其是对一些服务协议、账号密码策略、加密方式等问题重点关注,并对其风险进行持续性改进。
安全防护
(1)边界防护,区域隔离,单向传输。在工控系统网络与企业网络的边界部署安全设备,阻止从工控系统外部发起的网络攻击行为。在各一二级区域间部署工业网关、网闸类安全设备,禁止未经授权通讯传入或传出工控系统,从而实现对IP、端口、访问、流量等内容的实时控制。
(2)对服务器实行主机加固,对操作站、工程师站以及其他工控类计算机部署集杀毒、系统管理、应用程序管理、进程管控及接口管理于一身的工控机安全管理系统,实现移动存储介质使用的管理、软件黑白名单管理,起到防病毒和恶意代码的作用。
(3)对关键主机设备、网络设备、控制组件等进行冗余配置,冷、热备机,异地灾备。
(4)工业控制系统网络准入机制。防火墙遵循安全最大化的原则,所有与工业控制网络有接入的网络必须进行配置后方可接入,必须是其所隔离的网络之间的唯一信息通道,在进行远程访问时,需指定访问对象,对通讯流量进行审计,记录并保存访问日志,并定期进行备份、审计、追踪非授权访问行为。
(5)纵深防御。严格遵循ANSI/ISA-99标准,采用ANSI/ISA-99.02.01和IEC-63443标准的区级防护,将网络划分为不同的安全区,在安全区之间按照一定规则安装防火墙或可信网关。这样即使在某一点发生网络安全事故,也能保证其他区域的正常安全稳定运行。
参考来源:冶金规划院工业智能中心