今日頭條
官方微信
官方抖音
資訊頻道 冶金企業(yè)作為對國計民生具有重要影響的行業(yè),其工控系統(tǒng)的信息安全日益得到了各單位的重視。最近,筆者對國內(nèi)冶金企業(yè)某鋼廠重要工控系統(tǒng)信息安全管理情況進行了解,發(fā)現(xiàn)形勢不容樂觀,暴露出不少突出的安全問題,而這些問題又不單是技術(shù)問題,需要冶金企業(yè)、工業(yè)控制系統(tǒng)廠商、信息安全廠商的通力合作,共同面對冶金工業(yè)自動化控制系統(tǒng)信息安全方面的各種威脅。
1 冶金工業(yè)自動化控制系統(tǒng)信息安全管理現(xiàn)狀
冶金自動化控制系統(tǒng)包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、過程控制系統(tǒng)(PCS)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設(shè)備(IED),以及確保各組件通信的接口技術(shù),它們是冶金工業(yè)控制系統(tǒng)的核心組件,可以說沒有自動化控制系統(tǒng),就無法煉鋼、軋鋼。自動化控制系統(tǒng)信息安全不僅會造成信息的丟失,還可能造成工業(yè)過程生產(chǎn)故障的發(fā)生,從而造成人員損害及設(shè)備損壞,其直接財產(chǎn)的損失是巨大的,甚至?xí)<碍h(huán)境及國家安全。但是企業(yè)又不可能無限度地投入資源、資金、人力來保障安全,因為安全防護畢竟會給生產(chǎn)帶來一些不便利性,同時也會增加投資。因此需要在對自動化控制系統(tǒng)所面臨的主要安全威脅進行分析的基礎(chǔ)上,采取相應(yīng)的措施,以期用最小的投入達到最大的保護。
目前冶金企業(yè)自動化控制系統(tǒng)所面臨的安全威脅主要包括系統(tǒng)平臺安全、策略流程安全及網(wǎng)絡(luò)安全三個方面。
1.1 系統(tǒng)平臺安全
在冶金工業(yè)控制系統(tǒng)中,各類服務(wù)器是非常關(guān)鍵的設(shè)備,服務(wù)器上運行的操作系統(tǒng)平臺承載著核心業(yè)務(wù)系統(tǒng),對前端實時操作系統(tǒng)正常運行具有重要影響,在工控安全的整個架構(gòu)里面,服務(wù)器操作系統(tǒng)平臺的安全是不可或缺的一部分。以國內(nèi)某鋼廠為例,主要對其工控機、服務(wù)器系統(tǒng)及病毒軟件的安裝情況進行了統(tǒng)計,如表1所示。
該鋼廠共安裝工控機及服務(wù)器3 4 9 3 臺, 其中Window XP系統(tǒng)工控機及服務(wù)器2874臺,占82.28%;其中1706臺安裝了殺毒軟件,占48.84%;僅有322臺能及時對系統(tǒng)漏洞及殺毒軟件進行更新。此外,通過對服務(wù)器有關(guān)數(shù)據(jù)運行情況的統(tǒng)計和分析,發(fā)現(xiàn)該公司還存在以下平臺信息安全隱患:缺乏對系統(tǒng)補丁或者更新的有效管理,部分系統(tǒng)應(yīng)用補丁未經(jīng)過徹底測試,存在不穩(wěn)定的現(xiàn)象;缺乏病毒及惡意代碼的防護機制,大部分工控設(shè)備病毒防護軟件及惡意代碼防護程序(51.16%);病毒防護軟件種類繁多(如趨勢、瑞星、卡巴斯基、360殺毒軟件并存),病毒庫及惡意代碼庫不能及時進行更新,部分病毒及惡意代碼防護系統(tǒng)沒有得到充分測試(如部分安裝了360殺毒軟件的設(shè)備存在與控制系統(tǒng)不兼容的問題);部分關(guān)鍵配置未備份,重要數(shù)據(jù)未受保護存儲在移動設(shè)備中等。
由于Windows XP系統(tǒng)仍占據(jù)主導(dǎo)地位,而微軟公司從2014年4月8日之后已不再提供 Windows XP技術(shù)幫助,包括幫助保護電腦的自動更新、MicrosoftSecurity Essentials(注:微軟開發(fā)的免費防病毒軟件)下載服務(wù),系統(tǒng)補丁、病毒防護系統(tǒng)及軟件漏洞不能得到及時維護,會使得工控機及服務(wù)器更容易受到安全風(fēng)險與病毒的攻擊,一旦受到攻擊,將會給企業(yè)的生產(chǎn)造成非常嚴(yán)重的影響。
1.2 策略及流程安全
作為信息安全的重要組成部分,制定滿足企業(yè)需求的安全策略,并依據(jù)策略制定管理流程,是確保冶金自動化控制系統(tǒng)穩(wěn)定運行的根本保障。由于冶金工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的相對封閉性,不少企業(yè)更看重自動化控制系統(tǒng)的實時性和可用性,而往往犧牲或者忽視了系統(tǒng)信息的安全性,所以無論公司高層還是基層管理、操作人員都要提高信息安全意識。特別是公司高層要對公司內(nèi)部自動化控制系統(tǒng)的信息安全進行研究和部署,制定長期、持久的信息安全策略;強化對職工信息安全培訓(xùn),設(shè)置專職固定的信息安全管理人員;根據(jù)安全策略制定正規(guī)的安全制度流程及安全審計機制,加強對現(xiàn)場操作人員的管理、檢查和考核。
仍然存在中夜班職工在終端控制設(shè)備上看視頻、玩游戲,甚至非正規(guī)上互聯(lián)網(wǎng)的情況;在對現(xiàn)場工控機、PLC進行調(diào)試時,不規(guī)范接入移動電腦而造成系統(tǒng)因感染病毒而造成停機的事故時有發(fā)生;檢修時不規(guī)范的外聯(lián)設(shè)備,為外商不規(guī)范的開通公網(wǎng)測試。安全策略缺失、管理不到位,很容易造成信息泄露、黑客攻擊、病毒入侵等安全問題,嚴(yán)重時會導(dǎo)致自動化控制系統(tǒng)整個網(wǎng)絡(luò)癱瘓。對這些問題要做到防患于未然,真正做到“零容忍”。
1.3 網(wǎng)絡(luò)安全
冶金企業(yè)生產(chǎn)環(huán)境的控制網(wǎng)絡(luò)通常采用同一網(wǎng)段的以太網(wǎng)通訊連接,任何連接到網(wǎng)絡(luò)內(nèi)的PC或操作站都能訪問網(wǎng)絡(luò)中的PLC(或RTU),對PLC(或RTU)進行操作甚至破壞PLC(或RTU)的組態(tài)程序,造成PLC(或RTU)的控制單元失靈或是現(xiàn)場設(shè)備停機乃至損毀。目前控制網(wǎng)絡(luò)中無任何隔離防護設(shè)備,如果操作站感染病毒,病毒將會輕易蔓延至整個網(wǎng)絡(luò),可能會導(dǎo)致整個網(wǎng)絡(luò)數(shù)據(jù)堵塞或使操作站喪失操作能力,某些針對工業(yè)協(xié)議(如Modbus TCP)的病毒還可能會導(dǎo)致PLC控制單元死機,完全喪失控制能力。此外,部分控制系統(tǒng)網(wǎng)絡(luò)采用各種接入技術(shù)作為現(xiàn)有網(wǎng)絡(luò)的延伸,如無線和微波,這將引入一定的安全風(fēng)險,同時PLC等現(xiàn)場設(shè)備在維護時,也可能因不安全的串口連接(如筆記本、移動U盤等不安全的移動維護設(shè)備未授權(quán)接入)或缺乏有效的配置進行有效性核查,而造成PLC(或RTU)設(shè)備運行參數(shù)被篡改,從而對整個冶金控制系統(tǒng)的運行造成危害。
2 冶金自動化控制系統(tǒng)信息安全風(fēng)險防范
冶金企業(yè)的工控信息安全風(fēng)險防范,需要遵循冶金生產(chǎn)的行業(yè)特點,切實結(jié)合生產(chǎn)現(xiàn)狀和管理現(xiàn)狀,依據(jù)控制系統(tǒng)風(fēng)險分析及排序的結(jié)果,充分考慮風(fēng)險防范的成本投入,有效利用技術(shù)措施與管理措施,針對風(fēng)險防范的難易程度,采用分步實施的原則完成整體的風(fēng)險防范。
2.1 平臺的升級、系統(tǒng)的加固與補丁管理
針對現(xiàn)有Windows 7系統(tǒng)占絕大多數(shù)的現(xiàn)狀,在積極制定系統(tǒng)平臺升級計劃的同時,更重要的是采取必要的控制措施,確保現(xiàn)有的系統(tǒng)平臺能夠安全穩(wěn)定運行。
(1)聯(lián)合工控系統(tǒng)設(shè)備商及信息服務(wù)商對工控設(shè)備的運行平臺進行開發(fā),確保工控系統(tǒng)能夠在更高一級的系統(tǒng)平臺上(Windows 7及Server 2008系統(tǒng))安全運行,有計劃分批次對現(xiàn)有的Windows XP及Server2003系統(tǒng)進行升級,確保運行平臺的安全。對微軟公司不提供WinXP技術(shù)支持的具體情況,要及早采取措施,主動應(yīng)對強化管理。
(2)加強連接管理,所有工控機及服務(wù)器采用物理隔離策略,斷絕同外網(wǎng)的連接;嚴(yán)格控制USB口,禁止使用U盤、移動硬盤、無線上網(wǎng)設(shè)備等手段,確保工控系統(tǒng)安全。
(3)同工控設(shè)備的供應(yīng)商溝通,在保證工控系統(tǒng)可用性的前提下,必須安裝殺毒軟件,定期對殺毒軟件進行升級,對病毒庫進行更新,殺毒軟件的升級要通過下載病毒庫升級包,并刻錄成光盤,進行離線升級;所有拷貝數(shù)據(jù)通過光盤刻錄方式來防止計算機病毒的感染。
(4)對工控機及服務(wù)器按照重要程度進行分解管理,重要工控系統(tǒng)計算機的程序定期通過專用移動存儲設(shè)備或?qū)S脗浞萦脖P進行備份;部分關(guān)鍵工控設(shè)備(如重要崗位一級、二級服務(wù)器)需配置備用服務(wù)器,并安裝相同的軟件,同時落實應(yīng)急支撐隊伍,確保一旦出現(xiàn)事故能夠盡快恢復(fù)生產(chǎn)。
2.2 按照縱深防御的理念,逐步建立基于工控信息全生命周期的安全管控體系
縱深防御就是通過設(shè)置多層重疊的安全防護系統(tǒng)而構(gòu)成多道防線,使得即使某一防線失效也能被其它防線彌補或糾正。它包括將工控設(shè)備在網(wǎng)絡(luò)上與其它不必要相聯(lián)的系統(tǒng)斷開,維護防火墻的完整性,建立安全策略與流程,進行網(wǎng)絡(luò)分區(qū)與(控制單元間的)邊界防護,建立安全的單元間通信,惡意軟件的檢測與防護,訪問控制與賬號管理,記錄設(shè)備訪問日志,并進行必要的審計等內(nèi)容。縱深防御策略的目標(biāo)有兩個:一是即使在某一點發(fā)生網(wǎng)絡(luò)安全事故,也能保證裝置或工廠的正常安全穩(wěn)定運行;工廠操作人員能夠及時準(zhǔn)確地確認故障點,并排除問題。
為實現(xiàn)這一目標(biāo),應(yīng)從自動化控制系統(tǒng)安全體系架構(gòu)設(shè)計、自動化控制系統(tǒng)的供應(yīng)鏈安全、自動化控制系統(tǒng)上線前的安全檢查、自動化控制系統(tǒng)的安全運維與管理等方面進行綜合、全面考慮,逐步建立基于工控信息全生命周期的安全管控體系。
(1)自動化控制系統(tǒng)安全體系架構(gòu)設(shè)計
應(yīng)把信息安全融入到自動化控制系統(tǒng)的整體設(shè)計之中,在對冶金自動化控制系統(tǒng)安全需求進行系統(tǒng)分析,制定相應(yīng)的安全規(guī)劃;對工控系統(tǒng)進行風(fēng)險評估,切合實際地識別出該系統(tǒng)的安全脆弱性,面臨的安全威脅,以及風(fēng)險的來源的基礎(chǔ)上,借助于產(chǎn)品安全、安全操作指南以及專業(yè)的工業(yè)安全服務(wù),建立、部署層次化的多重安全措施,如通過防火墻、隔離網(wǎng)閘等網(wǎng)關(guān)類安全設(shè)備實現(xiàn)自動控制系統(tǒng)與其它信息系統(tǒng)間的有效隔離,并通過系統(tǒng)準(zhǔn)入機制,確保系統(tǒng)訪問者的可信身份及使用設(shè)備的安全性等。
(2)自動化控制系統(tǒng)的供應(yīng)鏈安全
應(yīng)將自動化控制系統(tǒng)的供應(yīng)鏈安全作為工業(yè)控制系統(tǒng)信息安全防護體系的組成部分,以防工業(yè)控制系統(tǒng)及其組件遭受因供應(yīng)鏈安全所造成的威脅。目前國內(nèi)主要的冶金企業(yè)鋼廠都無一例外地安裝使用了西門子、羅克韋爾自動化、ABB、TEMIC(東芝三菱)、yaskawa(日本安川)等公司生產(chǎn)的自動化控制系統(tǒng)及組件,一旦環(huán)境發(fā)生變化,自動化備件的采購及現(xiàn)場工控系統(tǒng)的維護就有可能受到嚴(yán)重威脅。此外,部分規(guī)模較小的供應(yīng)商對產(chǎn)品存在的缺陷和安全認識不足,對出現(xiàn)的安全問題不能做到快速響應(yīng)。因此在對工控系統(tǒng)及組件進行采購時,要充分考慮政治因素,并在采購合同中對系統(tǒng)的預(yù)期運行環(huán)境、系統(tǒng)的安全性能、安全保障等提出明確的要求。
(3)自動化控制系統(tǒng)上線前的安全檢查
自動化控制系統(tǒng)、系統(tǒng)組件或設(shè)備在上線運行前,應(yīng)使用專門的工具(或通過第三方測評機構(gòu))對其中可能存在的安全隱患進行相應(yīng)的安全檢測(包括但不限于漏洞掃描、配置核查、無線網(wǎng)絡(luò)的安全評估以及后門探測等),期望通過上線前安全檢測能夠及時發(fā)現(xiàn)潛在的安全隱患,進而通過系統(tǒng)加固、優(yōu)化安全配置及安全防護策略等手段盡可能避免因自動化控制系統(tǒng)自身的缺陷所帶來的安全威脅。從工業(yè)控制系統(tǒng)上線前的安全檢查開始,把信息安全融入到正常的驗收體系中,除了功能性安全驗收外,信息安全驗收也要作為工業(yè)控制系統(tǒng)(系統(tǒng)組件或設(shè)備)能否正常上線的一個重要評估依據(jù)。
(4)自動化控制系統(tǒng)日常運行及維護管理
在冶金自動化控制系統(tǒng)的日常運行階段,應(yīng)建立相應(yīng)的人員安全管理制度及安全意識培訓(xùn)機制,明確系統(tǒng)操作、管理人員的職責(zé)及授權(quán),建立相關(guān)人員的操作行為監(jiān)管及審計機制,通過制度、管理和技術(shù)手段來規(guī)范系統(tǒng)相關(guān)人員的系統(tǒng)操作行為。
對在線運行的自動化控制系統(tǒng),要制定明確的邊界控制及系統(tǒng)防護策略,嚴(yán)格管理所有可能的自動化系統(tǒng)訪問入口(如工控系統(tǒng)網(wǎng)絡(luò)禁止與公共網(wǎng)絡(luò)連接,如若必須連接時,要逐一進行登記,采取設(shè)置防火墻、單向隔離等措施加以防護;禁止在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動存儲介質(zhì)以及便攜式計算機;封閉或拆除終端設(shè)備外接端口等);要求終端設(shè)備(含服務(wù)器、計算機、打印機、掃描儀等)必須安裝正版操作系統(tǒng)及系統(tǒng)軟件,安裝必要的防病毒軟件;建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置管理,對重點崗位的計算機系統(tǒng)必須設(shè)置使用權(quán)限及專人使用的保護機制,禁止非專業(yè)人員操作系統(tǒng)和不明軟件進入系統(tǒng);崗位重點計算機系統(tǒng)用戶必須定期與不定期地進行文件備份工作,重要的數(shù)據(jù)要及時進行備份,對于存放重要數(shù)據(jù)和程序的存儲介質(zhì),要求將數(shù)據(jù)和程序分別存放,要貼有寫保護簽,以防數(shù)據(jù)和程序被破壞或感染病毒;建立工業(yè)控制系統(tǒng)信息安全檢查、安全測評檢查和漏洞發(fā)布制度,盡早發(fā)現(xiàn)系統(tǒng)存在的潛在安全風(fēng)險,通過調(diào)整安全防護策略及安全整改實現(xiàn)對自動化控制系統(tǒng)防護能力的提升。
2.3 加強檢查,持續(xù)改進
要確保冶金自動化控制系統(tǒng)的信息安全關(guān)鍵在于提高每名職工的信息安全防范意識,并確保各項制度流程的落實。因此在建立完善的信息安全防控體系的同時,還要加強對職工信息安全及防范技術(shù)的培訓(xùn),并建立對操作崗位人員合理的評價及考核機制,自動化控制系統(tǒng)運行單位要從實際出發(fā),定期組織開展信息安全檢查,排查安全隱患,堵塞安全漏洞。
3 兩點認識
冶金自動化控制系統(tǒng)信息安全不是一個單純的技術(shù)問題,而是一個從意識培養(yǎng)開始,涉及到管理、流程、架構(gòu)、技術(shù)、產(chǎn)品等各方面的系統(tǒng)工程,需要自動化控制系統(tǒng)的管理方、運營方、集成商與組件供應(yīng)商的共同參與,協(xié)同工作,并在整個工業(yè)基礎(chǔ)設(shè)施生命周期的各個階段持續(xù)實施,不斷改進才能保障冶金設(shè)備產(chǎn)線的安全運營。
此外冶金自動化控制系統(tǒng)是一個動態(tài)的過程,設(shè)備變更、系統(tǒng)升級等都會導(dǎo)致冶金自動化控制系統(tǒng)自身處于動態(tài)演化之中,而各種安全威脅、安全攻擊技術(shù)的復(fù)雜性和技巧性也在不斷演變,防范難度也會與日俱增,因此在冶金自動化控制系統(tǒng)信息安全也無法達到100%,信息安全需要冶金自動化控制系統(tǒng)生命周期的各個階段中持續(xù)實施、不斷改進。
作者簡介
繆明軍,男,畢業(yè)于哈爾濱工業(yè)大學(xué),碩士,高級工程師,現(xiàn)任首鋼總公司設(shè)備部設(shè)備技術(shù)處處長,主要負責(zé)首鋼自動化設(shè)備技術(shù)管理。
摘自 工業(yè)控制系統(tǒng)信息安全專刊
北京市公安局海淀分局備案號:11010802023656號