工控網(wǎng)首頁(yè)
>

新聞中心

>

業(yè)界動(dòng)態(tài)

>

力控華康護(hù)航工業(yè)控制系統(tǒng)安全

力控華康護(hù)航工業(yè)控制系統(tǒng)安全


工業(yè)控制系統(tǒng),由一系列自動(dòng)化控制組件以及實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成,在電力設(shè)施、水力油氣、交通運(yùn)輸?shù)戎匾袠I(yè)和領(lǐng)域有著廣泛的應(yīng)用,主要利用信息化手段,實(shí)現(xiàn)物理過(guò)程的監(jiān)測(cè)和控制。


早期的工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)是封閉、隔離的,隨著時(shí)代發(fā)展,為了實(shí)時(shí)數(shù)據(jù)采集與生產(chǎn)控制,需要將工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)直接通信交互。


電力、石化、交通、市政及關(guān)鍵基礎(chǔ)行業(yè)對(duì)信息網(wǎng)絡(luò)的依賴(lài)越來(lái)越強(qiáng),相關(guān)行業(yè)的工業(yè)控制系統(tǒng)間也日益通過(guò)信息網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)信息互聯(lián)互通及遠(yuǎn)程控制。因此工業(yè)控制系統(tǒng)將不能僅關(guān)注系統(tǒng)功能安全問(wèn)題,更要注意防范來(lái)自網(wǎng)絡(luò)空間的安全問(wèn)題。


《2016工業(yè)控制系統(tǒng)漏洞趨勢(shì)報(bào)告》顯示,工業(yè)控制系統(tǒng)漏洞正在增多,在2014到2015年之間存在著49%高速增長(zhǎng)。如何把控工控安全、提升防護(hù)能力已成為業(yè)界關(guān)注的焦點(diǎn),業(yè)內(nèi)分析,工控安全將成為政策部署的重點(diǎn)之一。


一、近兩年主要工業(yè)控制系統(tǒng)(ICS)安全事件


BLACKENERGY(黑暗力量)攻擊導(dǎo)致的斷電事故




2015年12月23日,烏克蘭電力供應(yīng)商Prykarpattyaoblenergo通報(bào)了持續(xù)三個(gè)小時(shí)的大面積停電事故,受影響地區(qū)涉及伊萬(wàn)諾-弗蘭科夫斯克、卡盧什、多利納等多個(gè)烏克蘭城市。后經(jīng)調(diào)查發(fā)現(xiàn),停電事故為網(wǎng)絡(luò)攻擊導(dǎo)致。攻擊者使用附帶有惡意代碼的Excel郵件附件滲透了某電網(wǎng)工作站人員系統(tǒng),向電網(wǎng)網(wǎng)絡(luò)植入了BlackEnergy惡意軟件,獲得對(duì)發(fā)電系統(tǒng)的遠(yuǎn)程接入和控制能力。


2016年12月17日晚,該公司再次遭到攻擊,影響到基輔附近諾威佩特里夫茨村的北部變電站自動(dòng)化控制系統(tǒng),再次造成大規(guī)模停電事故,該停電事故主要影響的范圍是基輔(烏克蘭首都)北部及其周邊地區(qū)。


Operation GHOUL(食尸鬼)行動(dòng)


2016年8月,卡巴斯基安全實(shí)驗(yàn)室揭露了針對(duì)工控行業(yè)的“食尸鬼”網(wǎng)絡(luò)攻擊活動(dòng),攻擊通過(guò)偽裝阿聯(lián)酋國(guó)家銀行電郵,使用魚(yú)叉式釣魚(yú)郵件,對(duì)中東和其它國(guó)家的工控組織發(fā)起了定向網(wǎng)絡(luò)入侵。攻擊中使用鍵盤(pán)記錄程序HawkEye收集受害系統(tǒng)相關(guān)信息。




伊朗黑客攻擊美國(guó)大壩事件


2016年3月24日,美國(guó)司法部公開(kāi)指責(zé)7名伊朗黑客入侵了紐約鮑曼水壩(Bowman Avenue Dam)的一個(gè)小型防洪控制系統(tǒng)。幸運(yùn)的是,經(jīng)執(zhí)法部門(mén)后期調(diào)查確認(rèn),黑客還沒(méi)有完全獲得整個(gè)大壩計(jì)算機(jī)系統(tǒng)的控制權(quán),僅只是進(jìn)行了一些信息獲取和攻擊嘗試。


二、工控安全面臨的根源問(wèn)題


工業(yè)控制系統(tǒng)(ICS)安全事關(guān)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全和民生安全,智能樓宇系統(tǒng)、自來(lái)水廠(chǎng)控制系統(tǒng)、核電站管理系統(tǒng),每一個(gè)工業(yè)控制系統(tǒng)都影響著人們的生產(chǎn)生活,網(wǎng)絡(luò)安全已不僅存在于電腦中,對(duì)生活同樣有重要影響。


目前來(lái)說(shuō),工控安全問(wèn)題的最大根源在于信息安全從來(lái)不是工業(yè)控制系統(tǒng)的設(shè)計(jì)目標(biāo)。從產(chǎn)品設(shè)計(jì)上看,大量工控設(shè)備都缺少安全機(jī)制,包括最基本的安全功能,如身份鑒別、訪(fǎng)問(wèn)控制、通信保護(hù)、安全審計(jì)等。




工業(yè)控制系統(tǒng)面臨著安全挑戰(zhàn)。從管理角度看,工業(yè)控制系統(tǒng)存在職責(zé)不清晰、安全意識(shí)薄弱、“重safety輕security”的問(wèn)題,工控信息安全長(zhǎng)期處于“三不管”地帶,所有設(shè)備在上線(xiàn)前未經(jīng)安全測(cè)評(píng),上線(xiàn)后也很少進(jìn)行安全評(píng)估。這些原因最終造成了當(dāng)前工業(yè)控制系統(tǒng)惡意代碼無(wú)防護(hù),網(wǎng)絡(luò)連接無(wú)隔離、系統(tǒng)漏洞難修補(bǔ)、網(wǎng)絡(luò)狀況無(wú)監(jiān)測(cè)、遠(yuǎn)程通信無(wú)保護(hù)的狀況。


在人員管理方面,隨著工業(yè)與IT的融合,企業(yè)內(nèi)部人員,如:工程師、管理人員、現(xiàn)場(chǎng)操作員、企業(yè)高層管理人員等,其“有意識(shí)”或“無(wú)意識(shí)”的行為,可能破壞工業(yè)控制系統(tǒng)、傳播惡意軟件、忽略工作異常等,而針對(duì)人的社會(huì)工程學(xué)、釣魚(yú)攻擊、郵件掃描攻擊等大量攻擊都利用了員工無(wú)意泄露的敏感信息。


三、IT系統(tǒng)安全技術(shù)在工控領(lǐng)域的挑戰(zhàn)


長(zhǎng)期以來(lái),在我國(guó)信息安全不是工業(yè)控制系統(tǒng)的首要設(shè)計(jì)目標(biāo),以“保密性-完整性-可用性”為設(shè)計(jì)要求的信息安全解決方案和標(biāo)準(zhǔn)很難滿(mǎn)足工控行業(yè)對(duì)信息安全的需求,因此存在著適用程度低等問(wèn)題。




工業(yè)控制系統(tǒng)與IT系統(tǒng)差別很大。工業(yè)控制系統(tǒng)強(qiáng)調(diào)實(shí)時(shí)性、可靠性,有些系統(tǒng)甚至要求毫秒級(jí),系統(tǒng)不會(huì)輕易重啟,且更新很慢。工業(yè)控制系統(tǒng)安全首先強(qiáng)調(diào)可用性,其次是完整性,最后是保密性。IT系統(tǒng)則更強(qiáng)調(diào)保密性、完整性,最后才是可用性。這兩種安全目標(biāo)的反差直接使得現(xiàn)有信息安全技術(shù)在工控領(lǐng)域面臨很大的挑戰(zhàn)。


比如漏洞掃描、滲透測(cè)試、補(bǔ)丁更新、主機(jī)監(jiān)控等技術(shù)都由于可能會(huì)影響工業(yè)控制系統(tǒng)可用性而不被行業(yè)用戶(hù)所接受。再加上工控網(wǎng)絡(luò)大量采用私有通信協(xié)議,而且設(shè)備本身的處理能力低、對(duì)實(shí)時(shí)要求高,這些導(dǎo)致了防護(hù)隔離、入侵檢測(cè)、通信加密、網(wǎng)絡(luò)監(jiān)控等傳統(tǒng)信息安全技術(shù)都需要改變。


四、工業(yè)控制系統(tǒng)安全解決方向


隨著工業(yè)化和信息化的深度融合,信息安全將成為工控網(wǎng)絡(luò)安全的重要問(wèn)題,而工控網(wǎng)絡(luò)安全防護(hù),應(yīng)從管理和技術(shù)兩方面進(jìn)行:


從管理上,理順“工控信息安全到底歸誰(shuí)管”的問(wèn)題,也就是明確工控信息安全組織機(jī)構(gòu)。在具體措施上可借鑒已有成熟的信息安全管理標(biāo)準(zhǔn)規(guī)范,并與現(xiàn)行的生產(chǎn)安全管理制度進(jìn)行對(duì)照,查漏補(bǔ)缺,確保管理制度具備可行性。此外,還需加強(qiáng)人員的安全意識(shí)培訓(xùn),覆蓋信息安全領(lǐng)域和自動(dòng)控制領(lǐng)域。


從技術(shù)上,加強(qiáng)工控網(wǎng)絡(luò)防護(hù)及邊界防護(hù)。在工控網(wǎng)絡(luò)中部署工業(yè)防火墻及工業(yè)隔離產(chǎn)品,對(duì)工控網(wǎng)絡(luò)進(jìn)行安全防護(hù),配置相應(yīng)安全策略,做到對(duì)工控設(shè)備的訪(fǎng)問(wèn)控制,對(duì)工控協(xié)議數(shù)據(jù)的深度過(guò)濾。


企業(yè)整體工控網(wǎng)絡(luò)可分為三層次:信息網(wǎng)、管理網(wǎng)和控制網(wǎng)。企業(yè)管理者通過(guò)從信息網(wǎng)ERP系統(tǒng)中提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策;從管理網(wǎng)MES系統(tǒng)中獲取數(shù)據(jù),完成各種控制、運(yùn)行參數(shù)的監(jiān)測(cè)、報(bào)警和趨勢(shì)分析等功能;控制網(wǎng)負(fù)責(zé)通過(guò)組態(tài)設(shè)計(jì),完成過(guò)程控制及數(shù)據(jù)采集等各種功能。


在工控網(wǎng)絡(luò)不同區(qū)域分別部署力控華康ISG工業(yè)防火墻、PSL工業(yè)隔離網(wǎng)關(guān)、PFC工業(yè)通訊網(wǎng)關(guān)、工控安全管理平臺(tái)進(jìn)行整體網(wǎng)絡(luò)防護(hù),如下圖:




可實(shí)現(xiàn)以下功能:


1) 管理網(wǎng)和控制網(wǎng)之間的安全防護(hù)


本案中大量使用OPC 通訊協(xié)議,由于OPC 通訊采用不固定的端口號(hào),使用傳統(tǒng)的IT 防火墻進(jìn)行防護(hù)時(shí),不得不開(kāi)放大規(guī)模范圍內(nèi)的端口號(hào)。在這種情況下,防火墻提供的安全保障被降至最低。因此,在管理網(wǎng)和控制網(wǎng)之間部署力控華康PSL隔離網(wǎng)關(guān),解決OPC 通訊采用動(dòng)態(tài)端口帶來(lái)的安全防護(hù)瓶頸問(wèn)題,阻止病毒和任何其它的非法訪(fǎng)問(wèn),這樣來(lái)自防護(hù)區(qū)域內(nèi)的病毒感染就不會(huì)擴(kuò)散到相鄰的工控網(wǎng)絡(luò)及其他網(wǎng)絡(luò),提升網(wǎng)絡(luò)區(qū)域劃分能力的同時(shí)從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。


力控華康PSL隔離網(wǎng)關(guān)內(nèi)部采用2+1的雙獨(dú)立主機(jī)架構(gòu),控制端接入工業(yè)控制網(wǎng)絡(luò),通過(guò)采集接口完成各子系統(tǒng)數(shù)據(jù)的采集;信息接入到管理網(wǎng)絡(luò),完成數(shù)據(jù)到MES的傳輸。雙主機(jī)之間通過(guò)專(zhuān)有的PSL網(wǎng)絡(luò)隔離傳輸技術(shù),截?cái)?TCP 連接,徹底割斷穿透性的 TCP 連接。PSL的物理層采用專(zhuān)用隔離硬件,鏈路層和應(yīng)用層采用私有通信協(xié)議,數(shù)據(jù)流采用128 位以上加密方式傳輸,更加充分保障數(shù)據(jù)安全。PSL技術(shù)實(shí)現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查,傳輸機(jī)制具有徹底不可攻擊性,從根本上杜絕了非法數(shù)據(jù)的通過(guò),確保子系統(tǒng)控制系統(tǒng)不會(huì)受到攻擊、侵入及病毒感染。


2) 管理網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間的安全防護(hù)


由于信息網(wǎng)絡(luò)使用人員、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用服務(wù)及系統(tǒng)的復(fù)雜性且與互聯(lián)網(wǎng)相聯(lián),受病毒攻擊和入侵的概率很大,存在較高的安全隱患。所以在和MES系統(tǒng)前端部署力控華康ISG工業(yè)防火墻,只允許相關(guān)工業(yè)協(xié)議的授權(quán)訪(fǎng)問(wèn),防止病毒擴(kuò)散,保證了控制網(wǎng)絡(luò)的通訊安全。


3) PLC、DCS控制系統(tǒng)及控制設(shè)備之間安全防護(hù)


考慮到PLC、DCS控制系統(tǒng)及控制器之間的通訊一般都采用制造商專(zhuān)有工業(yè)通訊協(xié)議,或者其它工業(yè)通信標(biāo)準(zhǔn)如Modbus 等。由于常規(guī)的IT 防火墻等安全防護(hù)產(chǎn)品不支持工業(yè)通訊協(xié)議,因此,對(duì)關(guān)鍵的控制器和控制系統(tǒng)的保護(hù)應(yīng)使用專(zhuān)業(yè)的工業(yè)防火墻。一方面對(duì)工業(yè)防火墻進(jìn)行規(guī)則組態(tài)時(shí)只允許制造商專(zhuān)有工業(yè)協(xié)議通過(guò),阻擋來(lái)自操作站的任何非法訪(fǎng)問(wèn);另一方面可以對(duì)網(wǎng)絡(luò)通訊流量進(jìn)行管控,可以指定只有某個(gè)專(zhuān)有操作站才能訪(fǎng)問(wèn)指定的控制器;第三方面也可以管控局部網(wǎng)絡(luò)的訊速率,防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響,從而避免控制器死機(jī)。


4) 現(xiàn)場(chǎng)工業(yè)儀器設(shè)備統(tǒng)一數(shù)采及轉(zhuǎn)發(fā)


在控制網(wǎng)中,現(xiàn)場(chǎng)存在儀器、儀表等接口類(lèi)型及通訊協(xié)議復(fù)雜多樣的情況,數(shù)據(jù)集中管理、維護(hù)存在很大的難度,因此,對(duì)現(xiàn)場(chǎng)工業(yè)儀器使用力控華康PFC工業(yè)通訊網(wǎng)關(guān),可采集現(xiàn)場(chǎng)多種不同子系統(tǒng)、設(shè)備、智能儀表等的數(shù)據(jù),進(jìn)行數(shù)據(jù)集中匯總、分類(lèi)和預(yù)處理,并向多個(gè)不同應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。


5) 安全設(shè)備統(tǒng)一管理


在整個(gè)網(wǎng)絡(luò)中部署了多臺(tái)安全設(shè)備,各安全設(shè)備還是以孤立的單點(diǎn)防御為主,彼此間缺乏有效的協(xié)作,不同的設(shè)備之間的信息也無(wú)法共享,通過(guò)力控華康工控安全管理平臺(tái),對(duì)網(wǎng)絡(luò)中的安全設(shè)備進(jìn)行統(tǒng)一管理,收集相關(guān)信息,進(jìn)行關(guān)聯(lián)分析,形成安全事件報(bào)表輸出,有效的幫助管理員了解網(wǎng)絡(luò)中的安全現(xiàn)狀與風(fēng)險(xiǎn),提供相關(guān)解決辦法和建議。


投訴建議

提交

查看更多評(píng)論
其他資訊

查看更多

新鄭卷煙廠(chǎng)工業(yè)控制網(wǎng)網(wǎng)絡(luò)安全解決方案

魯西化工信息安全解決方案

WannaCry“永恒之藍(lán)“—力控華康護(hù)航工控安全之隔離篇

WannaCry勒索蠕蟲(chóng)-力控華康護(hù)航工控安全

力控華康中海油透平數(shù)據(jù)遠(yuǎn)傳項(xiàng)目