一、前语
工信部协【2011】451号告诉明确指出:“SCADA、DCS、PCS、PLC等工业操控体系广泛运用于工业、动力、交通、水利以及市政等范畴,用于操控出产设备的运转。跟着计算机和网络技能的开展,特别是信息化与工业化深度交融以及物联网的快速开展,工业操控体系产品越来越多地选用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等要挟正在向工业操控体系分散,工业操控体系信息安全问题日益突出。2010年产生的“震网”病毒事情,充沛反映出工业操控体系信息安全面临着严峻的局势。对此,各地区、各部分、各单位有必要高度重视,增强危险意识、责任意识和紧迫感,切实加强工业操控体系信息安全办理。”
本文剖析了当时工业操控体系的安全缝隙,并结合工业操控体系的网络架构和多芬诺工业防火墙的“测验”形式功用,具体介绍了工业操控体系信息安全的纵深防护战略,致力于树立一个“实质安全”的工业操控网,然后处理了困扰各公司的操控体系信息安全隐患,确保了企业各设备操控体系的安全平稳运转。
二、工业操控体系信息安全现状剖析
近十年来,跟着信息技能的迅猛开展,信息化在咱们企业中的运用取得了飞速开展,互联网技能的呈现,使得工业操控网络中许多选用通用 TCP/IP 技能,ICS 网络和企业办理网的联络越来越严密。另一方面,传统工业操控体系选用专用的硬件、软件和通讯协议,规划上根本没有考虑互联互通所有必要考虑的通讯安全问题。企业办理网与工业操控网的防护功用都很弱或许乃至简直没有阻隔功用,因而在工控体系敞开的一起,也削弱了操控体系与外界的阻隔,工控体系的安全隐患问题日益严峻。体系中任何一点遭到进犯都有或许导致整个体系的瘫痪。
2.1 工业操控体系的安全缝隙
(1)通讯协议缝隙
两化交融和物联网的开展使得TCP/IP协议和OPC协议等通用协议越来越广泛地运用在工业操控网络中,随之而来的通讯协议缝隙问题也日益突出。
例如,OPC Classic协议(OPC DA, OPC HAD和OPC A&E) 依据微软的DCOM协议,DCOM协议是在网络安全问题被广泛知道之前规划的,极易遭到进犯,并且OPC通讯选用不固定的端口号,导致现在简直无法运用传统的IT防火墙来确保其安全性。因而确保运用OPC通讯协议的工业操控体系的安全性和牢靠性给工程师带来了极大的应战。
(2)操作体系缝隙
现在大多数工业操控体系的工程师站/操作站/HMI都是Windows渠道的,为确保进程操控体系的相对独立性,一起考虑到体系的安稳运转,一般现场工程师在体系开车后不会对Windows渠道设备任何补丁,可是存在的问题是,不设备补丁体系就存在被进犯的或许,然后埋下安全隐患。
(3)安全战略和办理流程缝隙
寻求可用性而献身安全,是许多工业操控体系存在的遍及现象,缺少完好有用的安全战略与办理流程也给工业操控体系信息安全带来了必定的要挟。例如工业操控体系中移动存储介质包含笔记本电脑、U盘等设备的运用和不严厉的拜访操控战略。
(4)杀毒软件缝隙
为了确保工控运用软件的可用性,许多工控体系操作站一般不会设备杀毒软件。即便设备了杀毒软件,在运用进程中也有很大的局限性,原因在于运用杀毒软件很要害的一点是,其病毒库需求不定期的常常更新,这一要求特别不适合于工业操控环境。并且杀毒软件对新病毒的处理总是滞后的,导致每年都会迸发大规模的病毒进犯,特别是新病毒。
(5)运用软件缝隙
因为运用软件多种多样,很难构成一致的防护规范以应对安全问题;别的当运用软件面向网络运用时,就有必要敞开其运用端口。因而惯例的IT防火墙等安全设备很难确保其安全性。互联网进犯者很有或许会运用一些大型工程自动化软件的安全缝隙获取比如污水处理厂、天然气管道以及其他大型设备的操控权,一旦这些操控权被不良目的黑客所把握,那么结果不堪设想。
2.2工业操控体系的安全防护办法要求
一般来说,公司的IT部分人员了解信息安全相关常识,但并不了解进程操控体系。并且传统IT环境和工控体系环境之间存在着一些要害不同,例如,操控体系一般需求每周7天,每天24小时的长时间运转。因而操控体系的特别功用要求或许使本来合格的安全技能变得没有用果。所以,简略地将IT安全技能装备到工控体系中并不是高效可行的处理方案。
世界行业规范ANSI/ISA-99明确指出现在工业操控范畴遍及认可的安全防护办法要求如下:
看大图
行将具有相同功用和安全要求的操控设备区分到同一区域,区域之间履行管道通讯,经过操控区域间管道中的通讯内容来确保工业操控体系信息安全。
2.3 “纵深防护”战略
“纵深防护”战略严厉遵从ANSI/ISA-99规范,是进步工业操控体系信息安全的最佳挑选。树立“纵深防护”的最有用办法是选用ANSI/ISA-99.02.01和IEC-63443规范的区级防护,将网络区分为不同的安全区,在安全区之间依照必定规矩设备防火墙。
树立“纵深防护”战略的两个首要方针:
(1)即便在某一点产生网络安全事故,也能确保设备或工厂的正常安全安稳运转
关于现代计算机网络,咱们以为最可怕的是病毒的急速分散,它会瞬间令整个网络瘫痪,该防护方针在于当工业网络 的某个部分存在病毒感染或许其它不安全要素时,不会向其它 设备或网络分散,然后确保设备或工厂的安全安稳运转。
(2)工厂操作人员能够及时精确的承认毛病点,并扫除问题
怎样能够及时发现网络中存在的感染及其他问题,精确找到毛病的产生点,是保护操控体系信息安全的条件。
三、工业操控体系信息安全的纵深防护
3.1 工业体系网络结构及安全区域的区分
从整体结构上来讲,工业体系网络可分为三个层次:企业办理层、数采信息层和操控层。企业办理层首要是办公自动化体系,一般运用通用以太网,能够从数采信息层提取有关出产数据用于拟定归纳办理决策。数采信息层首要是从操控层获取数据,完结各种操控、运转参数的监测、报警和趋势剖析等功用。操控层担任经过组态设汁,完结数据收集、A/D转化、数字滤波、温度压力补偿、PID操控等各种功用。
体系的每一个安全缝隙都会导致不同的结果,所以将它们独自阻隔防护十分必要。关于额定的安全性和牢靠性要求,在首要的安全区还能够依据操作功用进一步区分红子区。这样一旦产生信息安全事故,就能大大进步工厂出产安全运转的牢靠性,一起下降由此带来的其他危险及铲除费用。
