“互联网+”时代的“工业4.0”信息安全探索与实践
2020-12-09
来源:关键基础设施安全应急响应中心
一、引言
“互联网+”时代背景下,“工业4.0”系统高度集成了物联网、云计算、大数据等众多新形态的信息技术,这些都是实现“工业4.0”智能化的基础,是一项复杂的大型系统工程。从传感感知层、通信传输层、应用层到智能分析系统,“工业4.0”控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接。工业基础设施在享受开放、互联技术带来的进步与益处的同时,也面临越来越严重的安全威胁,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。近年来,随着越来越多的工业信息安全事件的出现,我国的工业基础设施正面临着前所未有的挑战。工业基础设施中关键应用或系统的故障将可能会导致人员伤亡、带来严重的经济损失、基础设施被破坏、危及公众生活及国家安全、环境灾难等严重后果。
近十几年来,我国卷烟生产历经多次大规模的技术改造,其各个工艺环节的自动化技术水平已经走在国内制造业,甚至国际烟草企业的前列。很多国际领先的自动化技术和工业网络技术,像Profinet、EtherNet/IP等进入中国都是率先在烟草制造业中应用。因此,中国烟草企业的工业自动化和网络化程度都非常高。但是,这些先进技术的应用在迅速提升烟草企业生产力的同时也为它们埋下了极大的安全隐患。本文结合烟草行业分析了当前“工业4.0”控制系统的安全漏洞,并结合“工业4.0”控制系统的网络架构和多芬诺工业防火墙的“测试”模式功能,详细介绍了“工业4.0”控制系统信息安全的纵深防御策略,致力于建立一个“本质安全”的工业控制网,从而解决了困扰各公司的控制系统信息安全隐患,保证了企业各装置控制系统的安全平稳运行。
二、“工业4.0”控制系统信息安全现状分析
近十年来,随着信息技术的迅猛发展,信息化在我们企业中的应用取得了飞速发展。一方面,互联网技术的出现,使得工业控制网络中大量采用通用TCP/IP技术,ICS网络和企业管理网的联系越来越紧密。另一方面,传统工业控制系统采用专用的硬件、软件和通信协议,设计上基本没有考虑互联互通所必须考虑的通信安全问题。企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能。因此在工控系统开放的同时,也减弱了控制系统与外界的隔离,工控系统的安全隐患问题日益严峻。系统中任何一点受到攻击都有可能导致整个系统的瘫痪。
2.1 “工业4.0”控制系统的安全漏洞
( 1 ) 通信协议漏洞
两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPC Classic协议(OPC UA,OPC HAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的“工业4.0”控制系统的安全性和可靠性给工程师带来了极大的挑战。
( 2 ) 操作系统漏洞
目前大多数“工业4.0”控制系统的工程师站/操作站/HMI都是基于Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统开车后不会对Windows平台安装任何补丁,但不安装补丁,系统就存在被攻击的可能,从而埋下安全隐患。
( 3 ) 安全策略和管理流程漏洞
追求可用性而牺牲安全,是很多“工业4.0”控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给“工业4.0”控制系统信息安全带来了一定的威胁。例如“工业4.0”控制系统中移动存储介质,包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。
( 4 ) 杀毒软件漏洞
为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性。原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒的攻击。
( 5 ) 应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外,当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂、天然气管道以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
2.2 “工业4.0”控制系统的安全防御措施要求
一般来说,公司的IT部门人员了解信息安全相关知识,但并不了解过程控制系统。而且传统IT环境和工控系统环境之间存在着一些关键不同,例如,控制系统通常需要每周7天,每天24小时的长期运行。因此控制系统的特殊功能要求可能使原本合格的安全技术变得没有效果。所以,简单地将IT安全技术配置到工控系统中并不是高效可行的解决方案。
国际行业标准ANSI/ISA-99明确指出目前工业控制领域普遍认可的安全防御措施要求如表1所示。即将具有相同功能和安全要求的控制设备划分到同一区域,区域之间执行管道通信,通过控制区域间管道中的通信内容来确保“工业4.0”控制系统信息安全。
2.3 “纵深防御”策略
“纵深防御”策略严格遵循ANSI/ISA-99标准,是提高“工业4.0”控制系统信息安全的最佳选择。建立“纵深防御”的最有效方法是采用ANSI/ISA-99.02.01和IEC-63443标准的区级防护,将网络划分为不同的安全区,在安全区之间按照一定规则安装防火墙。
建立“纵深防御”策略的两个主要目标。
( 1 ) 即使在某一点发生网络安全事故,也能保证装置或工厂的正常安全稳定运行。对于现代计算机网络,我们认为最可怕的是病毒的急速扩散,它会瞬间令整个网络瘫痪。该防护目标在于当工业网络的某个局部存在病毒感染或者其它不安全因素时,不会向其它设备或网络扩散,从而保证装置或工厂的安全稳定运行。
( 2 ) 工厂操作人员能够及时准确地确认故障点,并排除问题。怎样能够及时发现网络中存在的感染及其他问题,准确找到故障的发生点,是维护控制系统信息安全的前提。
三、“工业4.0”控制系统信息安全的纵深防御
3.1 工业系统网络结构及安全区域的划分
从总体结构上来讲,工业系统网络可分为三个层次:企业管理层、数采信息层和控制层。企业管理层主要是办公自动化系统,一般使用通用以太网,可以从数采信息层提取有关生产数据用于制定综合管理决策。数采信息层主要是从控制层获取数据,完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责通过组态设计,完成数据采集、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能。
系统的每一个安全漏洞都会导致不同的后果,所以将它们单独隔离防护十分必要。对于额外的安全性和可靠性要求,在主要的安全区还可以根据操作功能进一步划分成子区。这样一旦发生信息安全事故,就能大大提高工厂生产安全运行的可靠性,同时降低由此带来的其他风险及清除费用。
将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”策略,参照ANSI/ISA-99标准,同时结合工业系统的安全需要,可以将工业系统网络划分为下列不同的安全区域,如图1所示。企业IT网络区域、过程信息与历史数据区域、管理与HMI区域、DCS与PLC控制区域、第三方控制系统区域。
图1 工业系统网络安全区域的划分
3.2 基于纵深防御策略的工业控制系统信息安全
针对企业流程工业的特点,同时结合工业控制系统的网络结构,基于纵深防御策略,创建“本质安全”的工业控制网络需要以下五个层面的安全防护,如图2所示。
图2 工业控制系统信息安全的纵深防御结构
( 1 ) 企业管理层和数采监控层之间的安全防护
在企业管理层和数采监控层之间加入防火墙,一方面提升了网络的区域划分,另一方面更重要的是只允许两个网络之间合法的数据交换,阻挡企业管理层对数采监控层的未经授权的非法访问,同时也防止管理层网络的病毒感染扩散到数采网络。考虑到企业管理层一般采用通用以太网,要求较高的通讯速率和带宽等因素,对此部位的安全防护建议使用常规的IT防火墙。
( 2 ) 数采监控层和控制层之间的安全防护
该部位通常使用OPC通讯协议,由于OPC通讯采用不固定的端口号,使用传统的IT防火墙进行防护时,不得不开放大规模范围内的端口号。在这种情况下,防火墙提供的安全保障被降至最低。因此,在数采监控层和控制层之间应安装专业的工业防火墙,解决OPC通讯采用动态端口带来的安全防护瓶颈问题,阻止病毒和任何其它的非法访问,这样来自防护区域内的病毒感染就不会扩散到其他网络,提升网络区域划分能力的同时从本质上保证了网络通讯安全。
( 3 ) 保护关键控制器
考虑到和控制器之间的通讯一般都采用制造商专有工业通讯协议,或者其它工业通信标准,如Modbus等,由于常规的IT防火墙和网闸等安全防护产品都不支持工业通讯协议,因此,对关键控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许制造商专有协议通过,阻挡来自操作站的任何非法访问;另一方面可以对网络通讯流量进行管控,可以指定只有某个专有操作站才能访问指定的控制器;第三方面也可以管控局部网络的通讯速率,防止控制器遭受网络风暴及其它攻击的影响,从而避免控制器死机。
( 4 ) 隔离工程师站,保护APC先控站
对于网络中存在的工程师站和APC先控站,考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备(U盘、笔记本电脑等),而且是在整个控制系统开车的情况下实施,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。
在工程师站和APC先控站前端增加工业防火墙,可以将工程师站和APC节点单独隔离,防止病毒扩散,保证了网络的通讯安全。
( 5 ) 和第三方控制系统之间的安全防护
使用工业防火墙将SIS安全仪表系统等第三方控制系统和网络进行隔离,主要是为了确保两个区域之间数据交换的安全,管控通讯数据,保证只有合法可信的、经过授权的访问和通讯才能通过网络通信管道。同时也提升了网络安全区域划分能力,有效地阻止了病毒感染的扩散。
3.3 报警管理平台
报警管理平台的功能包括集成系统中所有的事件和报警信息,并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。
报警管理平台还负责捕获现场所有安装有工业防火墙的通讯信道中的攻击,并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁,以总揽大局的方式为工厂网络故障的及时排查、分析提供了可靠依据。
3.4 “测试”模式
系统工程师可以利用多芬诺工业防火墙提供的“测试”模式功能,在真正部署防火墙之前,在真实工厂操作环境中对防火墙规则进行测试。通过分析确认每一条报警信息,实现全面的控制功能,从而确保工控需求的完整性和可靠性。
四、结语
工业控制系统信息安全问题已迫在眉睫,本文针对企业流程工业的特点,同时结合工业控制系统网络结构和安全需求以及多芬诺工业防火墙提供的“测试”模式功能,提出工业控制系统信息安全的纵深防御策略,即参照国际行业标准ANSI/ISA-99,将工业系统网络划分为不同的安全区域,在区域之间执行管道通信,从而通过管控区域间管道中的通信内容,实现保证工厂控制网络安全稳定运行的三个目标:通讯可控、区域隔离和报警追踪,进而全方位地保障工业控制系统信息安全。