1.工控网络安全现状
工业基础设施在享受开放、互联技术带来的进步与益处的同时,也面临越来越严重的安全威胁。近年来,随着越来越多的工业信息安全事件的出现,我国的工业基础设施正面临着前所未有的挑战。工业基础设施中关键应用或系统的故障将可能导致人员伤亡、严重的经济损失、基础设施被破坏、危及公众生活及国家安全、环境灾难等严重后果。
近十几年来,我国卷烟生产历经多次大规模的技术改造,其各个工艺环节的自动化技术水平已经走在国内制造业,甚至是国际烟草企业的前列。很多国际领先的自动化技术和工控网络技术,像PROFINET、EthernetIP等进入中国都是率先在烟草制造业中应用。因此,中国烟草企业的工业自动化和网络化程度都非常高。这些先进技术的应用在巨大提升烟草企业生产力的同时也为它们埋下了极大的安全隐患,就像一颗随时会爆的炸弹。随着以PROFINET和EthernetIP等为代表的工业以太网技术在我国烟草企业中全面推广应用,工控领域网络安全的风险与日俱增。
2.国内外工控网络安全研究动态
2.1国外研究动态
西方发达国家,尤其是美国在很早以前就开展了工控网络安全方面的研究。从2007年起,美国国土安全局就经常组织代号为“曙光女神”的工控网络安全攻防演习。在演习中模拟交通、电力等各重要工业部门控制系统网络遭到攻击的场景,制定应对和防范措施,不断提高工控网络安全技术水平。
2010年专门针对伊朗布什尔核燃料提炼厂的Stuxnet“震网”被发现,该厂被震网病毒攻击后,伊朗核电站被迫推迟启用,震网病毒是一种蠕虫病毒,利用Windows系统漏洞和移动存储介质传播,专门攻击西门子工业控制系统。这是第一次从虚拟信息世界对现实物理世界的网络攻击,引起了世界媒体的广泛关注,被称为“超级网络武器”、“潘多拉魔盒”。该病毒标志着电脑恶意代码已经可以攻击现实世界中的基础设施,这必将带来网络战争的军备竞赛。
以此为分界线,各国把对信息安全的关注从商业网络系统逐步聚焦到工业控制网络,并且各工业发达国家纷纷都将工业控制网络安全提升到国家安全战略的高度。
各家国际知名的自动化厂商,如:西门子、罗克韦尔自动化、施耐德电气等,也纷纷加大对工业控制网络安全的研究,不断推出针对自家产品攻击所对应的防范措施和相应的工控网安全产品。西门子中国研究院从2010年开始就设立了专门的工业信息安全研究部门,数年来协助西门子德国总部研发机构开发了一系列工控网络安全产品。2014年3月,西门子在北京设立首家“西门子工业信息安全实验室”。
到目前为止,德国和美国凭借其雄厚的技术优势,在工业信息安全领域远走在世界其它国家的前列。尤其是针对PLC控制系统的底层、控制层和现场层的网络安全解决方案。
2.2国内研究动态
我国在信息安全领域,尤其是工业信息安全领域的研究起步较晚。由于我国在工业控制领域的技术水平与国外相比还有比较大的差距。这就必然会制约我国在工业控制网络信息安全方面的发展。现阶段,外国著名自动化厂商的控制系统几乎占据我国工控领域90%以上的市场份额。在我国工业自动化程度比较高的行业如:
烟草、汽车、电力、石油石化和钢铁等领域,几乎都是西门子、罗克韦尔自动化和施耐德电气等国外厂商的天下。这必然导致这些领域的工业信息安全离不开这些国外厂商的技术支持。加之我国很多工控用户对工业信息安全的重视程度不够。因此,工业信息安全在很多行业的研究和应用在我国都处于刚刚起步的阶段。
但中国政府对此比较重视。2011年,工业与信息化部发布《关于加强工业控制系统信息安全管理通知》,明确了重点领域工业控制系统信息安全管理要求,并强调了“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。2014年2月,习近平总书记亲自担任中国网络安全和信息化小组组长,标志着网络安全正式成为中国国家战略的一部分,同时,《工业控制系统信息安全评估规范与验收规范》国家标准发布。2014年4月,国家发展和改革委员会新组建的国家能源局召集主要在华工业自动化厂商会议,商讨中国能源企业的工控网络安全问题和解决方案,并责成各能源企业尽快完成整改。
3.烟草行业工控网络面临的风险
根据2015年烟草行业对全行业单位,尤其是生产企业工业控制系统网络安全的调研统计,几乎90%的企业对工控网络安全没有完整的认识和防控意识。目前烟草行业主要存在以下工控安全问题。
3.1通信协议漏洞
自动化和信息化的高度融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中,比如:在之前的调查统计中就有一部分烟草企业生产网和办公网络直接连通。随之而来的通信协议漏洞问题也日益突出。例如,OPCClassic协议(OPCDA、OPCHAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
3.2操作系统漏洞
目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统开车后不会对Windows平台安装任何补丁,但是存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。
3.3安全策略和管理流程漏洞
追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。
3.4杀毒软件漏洞
为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
3.5应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂、天然气管道以及其它大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
4.相应的应对措施
针对上述安全风险,如何应对防范呢?
4.1工业控制系统的安全防御措施要求
一般来说,厂里的IT部门人员了解信息安全相关知识,但并不了解过程控制系统。而且传统IT环境和工控系统环境之间存在着一些关键不同,例如,控制系统通常需要每周7天,每天24小时的长期运行。因此控制系统的特殊功能要求可能使原本合格的安全技术变得没有效果。所以,简单地将IT安全技术配置到工控系统中并不是高效可行的解决方案。国际行业标准ANSI/ISA-99明确指出目前工业控制领域普遍认可的安全防御措施要求,如表1所示。
即将具有相同功能和安全要求的控制设备划分到同一区域,区域之间执行管道通信,通过控制区域间管道中的通信内容来确保工业控制系统信息安全。
4.2“纵深防御”策略
“纵深防御”策略严格遵循ANSI/ISA-99标准,是提高工业控制系统信息安全的最佳选择。建立“纵深防御”的最有效方法是采用ANSI/ISA-99.02.01和IEC-63443标准的区级防护,将网络划分为不同的安全区,在安全区之间按照一定规则安装防火墙。建立“纵深防御”策略的两个主要目标:
(1)即使在某一点发生网络安全事故,也能保证装置或工厂的正常安全稳定运行。对于现代计算机网络,我们认为最可怕的是病毒的急速扩散,它会瞬间令整个网络瘫痪,该防护目标在于当工控网络的某个局部存在病毒感染或者其它不安全因素时,不会向其它设备或网络扩散,从而保证装置或工厂的安全稳定运行。
(2)工厂操作人员能够及时准确地确认故障点,并排除问题。怎样能够及时发现网络中存在的感染及其他问题,准确找到故障的发生点,是维护控制系统信息安全的前提。
5.工业控制系统信息安全的纵深防御
5.1工业控制系统网络结构及安全区域的划分
从总体结构上来讲,工业系统网络可分为三个层次:企业管理层、数采信息层和控制层。
企业管理层主要是办公自动化系统,一般使用通用以太网,可以从数采信息层提取有关生产数据用于制定综合管理决策。
数采信息层主要是从控制层获取数据,完成各种控制、运行参数的监测、报警和趋势分析等功能。
控制层负责通过组态设计,完成数据采集、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能。
系统的每一个安全漏洞都会导致不同的后果,所以将它们单独隔离防护十分必要。对于额外的安全性和可靠性要求,在主要的安全区还可以根据操作功能进一步划分成子区。这样一旦发生信息安全事故,就能大大提高工厂生产安全运行的可靠性,同时降低由此带来的其他风险及清除费用。将企业系统结构划分成不同的区域可以帮助企业有效建立“纵深防御”策略,参照ANSI/ISA-99标准,同时结合工业控制系统的安全需要,可以将工业控制系统网络划分为下列不同的安全区域,如图1所示。
(1)企业IT网络区域;(2)过程信息/历史数据区域;(3)管理/HMI区域;(4)PLC控制区域;(5)第三方控制系统区域,如安全仪表系统SIS。
5.2基于纵深防御策略的工业控制系统信息安全
针对企业流程工业的特点,同时结合工业控制系统的网络结构,基于纵深防御策略,创建“本质安全”的工业控制网络需要以下五个层面的安全防护,如图2所示。
(1)企业管理层和数采监控层之间的安全防护
在企业管理层和数采监控层之间加入防火墙,一方面提升了网络的区域划分,另一方面更重要的是只允许两个网络之间合法的数据交换,阻挡企业管理层对数采监控层的未经授权的非法访问,同时也防止管理层网络的病毒感染扩散到数采网络。考虑到企业管理层一般采用通用以太网,要求较高的通讯速率和带宽等因素,对此部位的安全防护建议使用常规的IT防火墙。
(2)数采监控层和控制层之间的安全防护
该部位通常使用OPC通讯协议,由于OPC通讯采用不固定的端口号,使用传统的IT防火墙进行防护时,不得不开放大规模范围内的端口号。在这种情况下,防火墙提供的安全保障被降至最低。因此,在数采监控层和控制层之间应安装专业的工业防火墙,解决OPC通讯采用动态端口带来的安全防护瓶颈问题,阻止病毒和任何其它的非法访问,这样来自防护区域内的病毒感染就不会扩散到其他网络,提升网络区域划分能力的同时从本质上保证了网络通讯安全。
(3)保护关键控制器
考虑到和控制器之间的通讯一般都采用制造商专有工业通讯协议,或者其它工业通信标准如Modbus等。由于常规的IT防火墙和网闸等安全防护产品都不支持工业通讯协议,因此,对关键控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许制造商专有协议通过,阻挡来自操作站的任何非法访问;另一方面可以对网络通讯流量进行管控,可以指定只有某个专有操作站才能访问指定的控制器;第三方面也可以管控局部网络的通讯速率,防止控制器遭受网络风暴及其它攻击的影响,从而避免控制器死机。
(4)隔离工程师站,保护APC先控站
对于网络中存在的工程师站和APC先控站,考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备(U盘、笔记本电脑等),而且是在整个控制系统开车的情况下实施,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。在工程师站和APC先控站前端增加工业防火墙,可以将工程师站和APC节点单独隔离,防止病毒扩散,保证了网络的通讯安全。
(5)和第三方控制系统之间的安全防护
使用工业防火墙将SIS安全仪表系统等第三方控制系统和网络进行隔离后,主要是为了确保两个区域之间数据交换的安全,管控通讯数据,保证只有合法可信的、经过授权的访问和通讯才能通过网络通信管道。同时也提升了网络安全区域划分能力,有效阻止了病毒感染的扩散。
5.3报警管理平台
报警管理平台的功能包括集成系统中所有的事件和报警信息,并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。报警管理平台还负责捕获现场所有安装有工业防火墙的通讯信道中的攻击,并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁,以总揽大局的方式为工厂网络故障的及时排查、分析提供了可靠依据。
5.4“测试”模式
系统工程师可以利用工业防火墙提供的“测试”模式功能,在真正部署防火墙之前,在真实工厂操作环境中对防火墙规则进行测试。通过分析确认每一条报警信息,实现全面的控制功能,从而确保工控需求的完整性和可靠性。
6.结语
工业控制系统信息安全问题已迫在眉睫,本文针对企业流程工业的特点,同时结合工业控制系统网络结构和安全需求以及工业防火墙提供的“测试”模式功能,提出工业控制系统信息安全的纵深防御策略,即参照国际行业标准ANSI/ISA-99,将工业系统网络划分为不同的安全区域,在区域之间执行管道通信,从而通过管控区域间管道中的通信内容,实现保证工厂控制网络安全稳定运行的三个目标:通讯可控、区域隔离和报警追踪,进而全方位地保障工业控制系统信息安全。