今日頭條
官方微信
官方抖音
資訊頻道1 安全挑戰(zhàn)
工業(yè)控制系統(tǒng)如SCADA系統(tǒng)、DCS系統(tǒng)和PLC等目前已廣泛應(yīng)用于工業(yè)基礎(chǔ)設(shè)施的各個(gè)領(lǐng)域,是工業(yè)自動(dòng)化的核心組成部分,工業(yè)自動(dòng)化的中樞神經(jīng)。然而,工業(yè)控制系統(tǒng)自身也存在較多的安全漏洞與隱患,并可能被利用,一旦發(fā)生安全事件,直接造成的影響是生產(chǎn)停滯或設(shè)備損壞,給企業(yè)及國家?guī)磔^大的經(jīng)濟(jì)損失,更嚴(yán)重的還可能對(duì)生產(chǎn)人員的生命、健康產(chǎn)生危害。Stuxnet“震網(wǎng)病毒”事件已對(duì)工業(yè)控制系統(tǒng)的信息安全提出了警示,工業(yè)基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)的信息安全尤其顯得重要。為保障工業(yè)控制系統(tǒng)的信息安全,2011年9月工業(yè)和信息化部專門發(fā)文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào)),強(qiáng)調(diào)工業(yè)信息安全的重要性、緊迫性,并明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理要求。如何對(duì)工業(yè)控制系統(tǒng)進(jìn)行有效的安全防護(hù),并滿足行業(yè)監(jiān)管機(jī)構(gòu)的要求,成為大多數(shù)行業(yè)用戶迫切需要解決的問題。
2 解決思路
SCADA、DCS、PLC等工業(yè)控制系統(tǒng)早期都運(yùn)行在相對(duì)獨(dú)立、封閉的網(wǎng)絡(luò)中,運(yùn)行獨(dú)特的工業(yè)控制協(xié)議,這些協(xié)議包括:OPC、Profinet、Ethernet/IP、Modbus、CAN等。這些通訊協(xié)議在設(shè)計(jì)之初,對(duì)安全方面考慮較少,隨著工業(yè)以太網(wǎng)的逐步推廣與應(yīng)用,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,傳統(tǒng)IT信息網(wǎng)中的安全威脅已逐步滲透到生產(chǎn)控制網(wǎng)絡(luò)中,工業(yè)控制系統(tǒng)信息安全問題日益突出。目前單純從自動(dòng)控制設(shè)備及工控協(xié)議優(yōu)化的角度來提高工業(yè)控制系統(tǒng)安全性并不現(xiàn)實(shí),需要針對(duì)目前工控協(xié)議的脆弱性以及安全防護(hù)關(guān)鍵點(diǎn)進(jìn)行風(fēng)險(xiǎn)分析,并部署相應(yīng)的安全防護(hù)技術(shù)措施和安全產(chǎn)品,輔之以工控網(wǎng)安全管理和運(yùn)維手段的提升,從而進(jìn)一步提高工業(yè)控制系統(tǒng)整體安全水平。
3 方案部署
通過對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、各應(yīng)用系統(tǒng)間數(shù)據(jù)訪問關(guān)系等進(jìn)行梳理,明確工業(yè)控制網(wǎng)絡(luò)關(guān)鍵安全控制點(diǎn)及控制要素,并根據(jù)需求部署相應(yīng)的安全產(chǎn)品同時(shí)借鑒工業(yè)控制領(lǐng)域國際最佳實(shí)踐或權(quán)威標(biāo)準(zhǔn)、指南等,包括NIST最新發(fā)布的Guide to Industrial Control Systems (ICS) Security(工業(yè)控制系統(tǒng)安全指南)和ANSI/ISA最新發(fā)布的ANSI/ISA-99 Standards等標(biāo)準(zhǔn)或指南,遵照工信部協(xié)451號(hào)文要求等,工業(yè)控制網(wǎng)絡(luò)安全防護(hù)產(chǎn)品部署拓?fù)淙鐖D1所示。
圖1 工業(yè)控制網(wǎng)絡(luò)安全防護(hù)產(chǎn)品部署拓?fù)鋱D
通過在工業(yè)控制網(wǎng)絡(luò)中部署多功能安全網(wǎng)關(guān)、可信工業(yè)控制安全網(wǎng)關(guān)、可信主機(jī)安全防護(hù)平臺(tái)、網(wǎng)絡(luò)與數(shù)據(jù)庫操作行為審計(jì)等安全設(shè)備,綜合防御來自企業(yè)信息網(wǎng)以及監(jiān)控管理層的安全威脅,保障監(jiān)控中心關(guān)鍵設(shè)施及數(shù)據(jù)信息的安全,其中,可信工業(yè)控制安全網(wǎng)關(guān)能夠?qū)I(yè)以太網(wǎng)環(huán)境下工業(yè)控制協(xié)議的深度協(xié)議進(jìn)行解析與攻擊防護(hù),能夠保障監(jiān)控管理層和過程控制層之間數(shù)據(jù)訪問與控制指令的安全性。
4 應(yīng)用案例
通過本方案的建設(shè)與實(shí)施,希望幫助行業(yè)用戶建立起工業(yè)基礎(chǔ)設(shè)施信息安全保障體系,增強(qiáng)安全風(fēng)險(xiǎn)防范能力,促進(jìn)工業(yè)控制系統(tǒng)安全、穩(wěn)定運(yùn)行,并滿足行業(yè)監(jiān)管機(jī)構(gòu)的合規(guī)要求。該方案目前已在河南中煙、中國化工、華北油田等行業(yè)用戶中得到很好應(yīng)用,并將廣泛應(yīng)用于核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱等涉及國計(jì)民生的工業(yè)基礎(chǔ)設(shè)施安全建設(shè)中。
作者簡介
藍(lán)旭華(1983-),杭州桐廬人,工程師,工學(xué)學(xué)士,現(xiàn)就職于杭州之山科技有限公司。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)