资讯频道

智能制造中的工控信息安全框架设计

  面向全产业链环节,综合应用现代传感技术、网络技术、自动化技术、智能化技术和管理技术等先进技术,与现有生产过程的工艺和设备运行技术高度集成的新型工厂,以实现复杂环境下生产运营的高效、节能和可持续为目标。

  进入21 世纪以来,信息与通信技术取得了突破性进展,智能的网络世界与物理世界融合产生了物联网与信息物理融合系统。为了确保制造业世界领先地位,德国首先将信息技术应用于制造工业的全周期中,开启了Industry 4. 0 第四次工业革命。并全面论述了Industry 4.0 的愿景与目标、主要内容和采用的战略,深入分析了智能工厂的体系架构,同时阐述了智能工厂创新联盟正在开展的研发项目。我们应该借鉴Industry 4.0 智能工厂的理念、方案与路线图,勇于创新,加快我国装备制造业转型升级。

  1.工业控制网络安全现状:

  工业控制系统(ICS)广泛应用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。尤其是“工业互联网”、“工业4.0”、“两化深度融合”、“互联网+”等相关概念的提出,在国家政策、技术创新和工业参与者需求转变等多个维度的共同驱动和协同下,工业正朝着数字化、网络化、开放化、集成化的工业互联方向发展,将面临更加复杂的信息安全威胁。

  近年来,工业控制系统信息安全事件不断发生,“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行,充分反映了工业控制系统信息安全面临着严峻的形势。工业控制系统信息安全风险和事件数量依然呈上升趋势。

  根据美国工业控制系统网络应急响应小组(ICS-CERT)发布的2013年年报统计,近几年ICS-CERT接到的工控系统漏洞上报数量在不断增加,其中在2013年接到的181个漏洞报告中,有177个被确认是真实的工控系统漏洞,共涉及52个厂商。

  在这177个被确认的漏洞中,87%可以被通过网络远程利用。在网络化浪潮下的工业互联时代,这些漏洞的潜在威胁正在不断加大。在漏洞类型中,身份验证漏洞的数量最多。这些漏洞可能使具有初级水平的攻击者就可以通过Internet获得访问工业控制设备的管理员权限。

  国内,根据绿盟科技公司的统计,2013年公开新增工业控制系统相关的漏洞共计78个,相对于前两年有所放缓,软件漏洞数量有所回落,但硬件漏洞数量继续保持持续增长趋势。

  根据美国ICS-CERT往年统计的工控信息安全事件数量可知,近几年工业控制系统相关的信息安全事件正在呈快速增长的趋势。在2013年的工控信息安全事件中,能源、制造业、市政等国家关键基础设施受到的攻击最为严重。这些信息安全事件涉及的主要攻击方式包括水坑式攻击、SQL注入攻击和钓鱼攻击等。

  我国也在积极探索漏洞挖掘与风险通报工作,2012年国务院的23号文与2011年工信部的451号文都提出要建立漏洞通报与发布制度。2012年,工业和信息化部启动了工业控制系统信息安全风险发布工作。8月,工业和信息化部下发了《工业和信息化部办公厅关于开展工业控制系统信息安全风险信息发布工作的通知》(工信厅协函〔2012〕629号),对工业控制系统信息安全风险信息发布工作做出了安排,指出工业和信息化部将不定期的向各地工业和信息化主管部门、有关国有大型企业及相关工业控制系统厂商发布《工业控制系统信息安全风险提示》。

  为支撑工业控制系统信息安全风险发布工作,工业和信息化部也组织相关机构建立工业控制系统信息安全模拟环境和测试实验室,形成工业控制系统信息安全攻防演练及漏洞验证和挖掘能力。同时,我国也鼓励研究机构、工控产品厂商、信息安全厂商和研究人员积极参与工控风险“可发现”的研究工作,积极向主管部门上报风险。

  2.安全防护体系需求

  根据国家工业和信息化部【2011】451号文件要求,需要加强工业信息安全防护工作,结合实际制造过程,网络总体需求如下?

  (1)在保证自动化及相关网络通讯信息传输可靠、可用的基础上,来完善智能制造网络安全解决方案。

  (2)结合工控网络安全相关标准规范,对现有智能制造生产网络架构进行优化并说明;

  (3)对生产网络核心资产的防攻击、防窃密;

  (4)对生产网络资产及安全状况的监控;

  3.基于工业4.0的智能工厂安全防护体系

  3.1 网络边界防护与逻辑隔离

  网络安全隔离防护的首要内容就是实现网络中一些重要的子系统之间网络流量的访问控制,这是网络安全防护的基础。目前工控网络所面临的安全威胁不仅仅是常规IT攻击手段或病毒感染,而针对工控通讯协议和控制设备自身安全缺陷和漏洞的攻击则会为工控系统带来更成严重的危害,因此访问控制粒度的把握成为工控网络安全建设成败的根本因素,以往的端口级访问控制策略无法做到工业协议恶意代码攻击的防护,这就需要在网络边界处设置具有工业协议深度包检查(DPI)功能的工业防火墙系统来提供更加有效的工业协议应用层防护。

  部署位置:

  企业信息网和生产网的隔离;

  关键控制节点的保护;

  生产网区域之间隔离;

  生产网和第三方系统边界隔离防护(例如远程维护)。

  工业防火墙使用工业通讯协议白名单的技术,内置PC/Modbus/DNP3/Profinet/104等多种专有工业通信协议。与常规防火墙不同,工业协议防火墙不仅是在端口上的防护,更对基于应用层的数据包深度检查,属于新一代工业通讯协议防火墙,为工业通讯提供独特的、工业级的专业隔离防护解决方案。

  具备在线修改防火墙组态的功能,可以实时对组态的防火墙策略进行修改,而且不影响工厂实时通讯。无需电厂停机就可在线直接插入使用,不需要对原有网络进行任何改动,不存在因安全规则配置错误导致有效工业通讯被阻断的隐患,大大降低了项目实施风险。为满足工业环境的特点,设计为双电源供电,断电报警输出功能,无风扇宽温设计,并提供可配置Bypass功能。

  3.2在线审计与异常监测

  生产控制区的监控系统应当具备安全审计功能,能够对生产网络通讯做行为分析,实时监测网络中的通讯链路状态,溯源网络中病毒木马的传播路径;同时,用户可自定义异常状态判定阈值,将发生的异常通讯以告警的形式汇总展示;此产品还同时具备工控协议及操作系统漏洞库,可以检测工控系统是否存在安全漏洞和隐患。

  除了具备实时工业通讯协议行为解析外,审计设备也可像飞机的黑匣子一样,能够回溯及追查网络安全问题,完成追根溯源。

  包括功能如下:

  网络数据流量监测;

  网络异常数据报警及追溯;

  操作记录及协议深度分析;(需要双方配合)

  信息窃取报警(通过网络的文件或数据非法访问及传输);

  未知设备接入;

  3.3计算机防病毒及主动安全防御功能

  生产控制区具备控制功能的系统应当逐步推广应用以密码硬件为核心的可信计算技术,用于实现计算环境和网络环境安全可信,免疫未知恶意代码破坏,应对高级别的恶意攻击。

  由于工业控制环境的特殊性,恶意代码库难以获得及时的升级,因此在工控系统中实施基于恶意代码库的恶意代码防范,将存在严重滞后性。攻击者可以轻易利用恶意代码库还未收集的恶意代码侵入主机系统,进而破坏整个工控系统安全性。

  可信计算终端防护由授权服务器和安全客户端两部分组成。客户端全面度量系统所有进程,并将度量信息提交至授权服务器端,服务器对这些信息进行编辑后生成白名单,供客户端下载,客户端依据所下载的白名单对系统和应用进行防护,并将系统及应用中的异常信息和拦截日志进行上传。

  移动存储介质是主机之间传输信息的重要途径,因此对移动存储介质的管控和审计也是整个工业控制系统安全建设的重要组成部分。基于可信计算技术构建的移动存储介质管控系统,其主要功能包括:主机对移动存储介质的身份认证;主机对移动存储介质的准入控制;主机对准入信息的下载更新。首先可信服务器为主机及移动存储设备颁发准入证书,然后可信服务器将统一产生并发布主机对移动存储设备的准入策略,形式为主机能插入的U盘列表,最后主机的准入控制将基于两个方面的策略来实施,即必须同时满足这两方面策略才能读取或写入移动存储介质的内容,一方面移动存储介质的身份位于主机的准入策略的列表中,另一方面主机的身份必须位于移动存储介质的准入策略的列表中。

  此外,移动设备的接入和使用行为将被严格地审计,包括接入时间、接入的操作站、访问主体、被访问客体、访问方式、访问结果、日期及时间、用户信息等等。

  3.4工控安全监控需要综合监控功能

  网络安全管理平台,接收来自工业网络防火墙和可信终端的报警及日志。具有工控网络行为审计记录的智能分析的功能,具备强大的审计日志存储查询功能,可以对海量的审计数据进行实时监控和网络行为态势分?,使系统安全运维人员能够通过实时日志展示画面随时监控正在发生的不同级别审计日志和报警信息,也可以通过安全管理平台的条件查询、统计、筛选、图表展示和态势分析算法模型等强大的功能迅速得出网络健康状况,最终自动获得详细的统计分析报告和事件处置方式建议,实现系统运维管理的实时性、完整性、安全性、自动化、智能化。

  平台针对工控网络行为进行监控和与智能安全分析,监控平台以底层工业防火墙、工控可信计算安全平台以及其他网络设备为探针,针对内置的“工业控制网络通讯行为模型库”核心模块,能及时检测工业网络中出现的工业攻击、蠕虫病毒及非法入侵、设备异常等情况,并对危及系统网络安全的因素做出智能预警分析,为管理者提供决策支持,为工业网络信息安全故障的及时排查、分析提供可靠地依据。

  3.5 控制系统网络安全管理

  生产控制网络安全管理是整个安全方案中的必要手段,针对生产控制区内,无法采用软硬件技术实现安全的,需采用管理手段进行防护。

  3.7 远程访问安全技术

  由产业链上不同控制车间/工厂通过互联网共享数据信息。工业防火墙对生产数据防护,提供通信安全的保障。

  3.8 安全防火体系架构图:

blob.png

  4、结语

  本文以纵深防御的防护理念为核心,结合智能制造中的工控信息安全的需求,推出一套基于可信计算、工业防火墙、工控审计与异常监测、SMP安全管理平台的纵深防御的解决方案,实现了智能制造工厂控制系统信息安全的纵深防御,能切实有效地保护工控系统远离木马、蠕虫、黑客等各种威胁和攻击,保障企业生产安全稳定运行。


文章版权归西部工控xbgk所有,未经许可不得转载。