摘要:阐述了ICS系统区别于传统IT信息系统的特点,分析了ICS系统所面临的信息安全风险,针对这些风险从技术和管理2个层面提出了相应的安全防护体系。在技术层面上,设置防火墙防护、隔离工程师站、开展系统安全测试、部署网络监控;在管理层面上,实时维护并更新现有管理制度与安全技术标准等。上述安全防护体系已在某省电力公司工控机安全防护试点得到验证,证明其可行性,对电网工控机的安全防护具有一定借鉴意义。
关键词:工业控制系统(ICS;信息系统;信息安全;网络攻击;电网防护体系
0.引言
广泛应用于工业生产中的工业控制系统(ICS)是保障工业基础设施自动化运行、过程控制与监测的管控系统,涵盖各种对实时数据进行采集、监测的过程控制组件和自动化组件等。主要包括分 布 式 控 制 系 统 (DCS) 、数 据 采 集 与 监 控 系 统(SCADA)、可编程逻辑控制器(PLC)等。目前在中国 ICS 系统已广泛应用于电力、水利、化工、交通运输等行业。超过 80%关系国计民生的基础设施的自动化作业,均依赖 ICS 来实现过程控制生产。 ICS 的安全直接影响国家安全战略 [1]。早期的 ICS 是独立封闭的系统,采用专用的控制协议,使用特定的软件和硬件, 呈现孤岛状态,因此较为安全。随着互联网技术的普及和无线通信技术的快速发展,以太网、无线设备广泛应用于生产、管理的各个方面,整个控制系统都可以和远程终端互连,导致工控系统容易存在病毒、木马、蠕虫等网络安全风险。
1.ICS 信息安全的特点
随着信息技术的发展,ICS与IT系统已经密不可分,现代ICS自身正逐渐使用通用的 TCP/IP标准协议、通用的操作系统,同业务系统等其他信息系统的连接也越来越多。因此,ICS也面临越来越严峻的信息安全问题,与 IT 系统相比,ICS信息安全主要有以下几方面的特点:
(1) 攻击途径多元化。ICS 结构固定、形式多样。如有相对简单且固定的网络拓扑、通信模式及用户群体等,但 ICS 接入的现场设备多、网络通信方式多样(如有线、 无线网等)。
(2) 攻击行为专业化。攻击者利用的都是ICS中很高级的漏洞(如 0Day 漏洞)来入侵工控系统。这些漏洞难以侦测,令管理者无从防范。另外,总结病毒的攻击规律可发现,Night Dragon、Nitro 和 Duqu 病毒主要收集各行业领域知识产权和生产数据;Stuxnet(震网)病毒则主要针对于核设施的破坏;Flame则是以上病毒的升级版,其智能化程度更高。
(3) 攻击后果严重化。ICS 与IT系统的一大区别是,前者与实际受控物理设备有良好的互动性。一旦工控系统遭受破坏,可能导致物理世界中不可逆转的重大灾难。
(4) 通信协议的特殊化。与诸多IT系统中通用的协议不同,ICS 中很多用于工业控制的特殊协议,对于信息流程的先后顺序、数据包的先动后动等都有着严格的实时性和时序性等方面的要求。
(5) 安全管理复杂化。一些大型工业控制网络中,新系统与旧系统并存, 而旧系统在设计之初又一般侧重于实用性要求,未考虑信息安全防护问题; 各生产厂商不同品牌系统并存,其信息安全防护能力也各不相同;严格的生产要求使得信息安全实践无法随意尝试,信息安全“短板”效应,使得整个 ICS 的安全防护等级受限于防护水平最低的设备。
2.ICS 信息安全风险
典型的工控系统网络结构如图1所示,从总体架构上而言,可将ICS网络分为 4 层:企业管理层、数据采集监控层、过程控制层和现场设备层。企业管理层大都采用通用以太网通信,从下一级的数采监控层提取相关生产数据, 用以制定综合管理方案,分析工控系统的网络图,在4层结构中存在以下信息安全风险。
2.1 各层通信协议的风险
信息化和工业化融合的深入开展及物联网技术的推广,使得TCP/IP和OPC(OLE for ProcessControl, 用于过程控制标准的对象连接与嵌入)等通用协议广泛应用于工控系统中。而工业控制协议的识别能力未必尽如人意,可能面临被窃听或伪造篡改的风险,故各自动控制单元间缺乏稳定可靠的安全通信机制,由此引发的通信协议漏洞问题不容忽视。
2.2 操作系统的风险
目前,大多数工业控制系统各层中的工程师站、操作员站、人机界面(Human Machine Interface,HMI)采用的操作系统大都是 Windows 平台, 限于系统的稳定性及独立性要求,在系统开车后,现场工程师不会再轻易更新平台补丁。如果确实需要更新,也必须先在测试环境下进行一系列严格的测试,保证部署在现场环境中不影响工控软件与操作系统的兼容性。
2.3 物理终端安全管理缺失
与传统的IT系统不同,ICS的安全防护主要侧重于终端生产设备。
期刊文章分类查询,尽在期刊图书馆作为现场的控制单元,DCS 控制器、PLC、操作员站等终端设备直接参与生产控制运行, 并监控实时工况数据信息和业务时序,保障其安全性极为重要。
2.4 安全管理制度缺失
在工控系统的安全管理制度上,缺乏相关的标准规范 管理制度不够科学健全,个别员工信息安全意识淡薄,对工控系统的安全问题不够重视,导致认为工控机不像个人电脑和服务器、网络设备那样需要强化安全防护、及时更新补丁、实时监控、定期巡检和维护等。
3.ICS 信息安全防护体系
针对 ICS 各层中出现的信息安全风险,建立纵深防御体系,从技术和管理 2个层面对ICS 进行防护,最大限度地保障系统安全。
3.1 技术层面
技术层面可从以下5点来防护:
(1) 常规的 IT 防火墙。在企业管理层和数据采集监控层之间安装防火墙, 设置相关策略。因为企业管理层采用的是通用以太网,对于通信速率和带宽有较高要求,所以在此部位的安全防护使用常规的IT 防火墙即可。
(2) 专业的工业防火墙。由于数据采集监控层和过程控制层之间通常采用 OPC 协议通信, 若用传统的 IT 防火墙进行防护,必须开放一系列的端口号, 此时防火墙的安全保障性能极低。故应部署专业的工业防火墙,有效拦截病毒以及其他非法访问。
(3) 隔离工程师站、APC 先控站。网络中的工程师站和 APC 先控站通常需要接入第三方设备(U 盘、笔记本电脑等),遭受病毒攻击和入侵的安全隐患极高 故在 APC 先控站和工程师站的前端,可设立 DMZ(Demilitarized Zone, 隔离区)生产区域和办公区域的所有的通信应截止于 DMZ 区域。 隔离后可防止病毒扩散,保证网络通信安全。
(4) 开展系统安全测试,建立风险评估体系。针对ICS 软硬件系统进行各类测试,如 ICS 应用认证漏洞测试、ICS 授权漏洞测试、网络接入漏洞测试、 通信信道漏洞测试、通信终端漏洞测试等。
(5) 部署严密的网络监控。部署安全审计设备、IDS(intrusion detection systems入侵检测系统)等网络监控设备,监控工控系统的网络入侵、通信控制协议、通信数据自身内容等的安全,及时发现入侵风险, 最短时间内进行响应和处置。
3.2 管理层面
对于工业控制信息安全管理控制,应实时维护并更新现有管理制度与安全技术标准。如在电力行业中,电网的集中性和开放性对 ICS 系统的安全有更严格的要求,建议参考国际上比较成熟的标准和规范,如IEC 62443、NISTIR 7628、IEC62210、NIST SP800-82、ISA99 等及时更新和调整信息安全防护策略,对既有的信息安全技术标准和管理制度进行更新和完善;同时,针对内部人员强化信息安全培训 提升工业控制系统信息安全意识,加强对工业控制系统的灾备管理。电网工业控制系统信息安全应 “抓源头、控研发、严实施、强运维、重协防”。“抓源头”主要是进一步深化电网工控系统及设备国产化,并从采购、供应商、供货产品一致性等方面加强电网工控供应链安全管理。
“控研发”主要是建立健全电网工控系统开发的全生命周期安全管理,在系统研发过程融入安全设计、安全编码以及安全测试等安全控制手段。“严实施”主要是严格安全技术手段的实施,监理系统安全控制措施实施过程,严格执行上线前安全风险识别、评估、处置和控制。“强运维”主要是强化运维安全管理,加强安全防护、配置管理、 漏洞补丁管理、安全事件管理, 定期开展风险评估。“重协防” 主要是重视协同防御,防止出现安全短板,通过体系联动,协同防范抵御 APT 等新型攻击技术。
4.结语
本文全面分析了工控系统安全防护的特点和难点,针对工业控制系统信息安全风险, 分别从技术层面和管理层面提出防护措施,形成较为完整的工业控制系统信息安全管理防护体系,并在一些电力公司信息安全防护中进行了验证,取得的良好效果,对相关工业控制领域的工控机安全防护具有借鉴意义。
参考文献
[1] 刘士荣. 工业控制计算机系统及其应用. 北京:机械工业出版社,2008.
[2] 许立梓,程良伦. 工业控制机及其网络控制系统. 北京:机械工业出版社,2010.
[3] 贾东耀,汪仁煌. 工业控制网络结构的发展趋势. 工业仪表与自动化装置,2002,15(12):46-48.
[4] 刘威,李冬,孙波. 工业控制系统安全分析. 信息网络安全,2012,18(5):13-16.
[5] 王孝良,崔保红,李思其,等. 关于工控系统信息安全的思考与建议. 信息网络安全,2012,18.
论文作者:宋建华
论文发表刊物:《电力设备》2017年第19期
论文发表时间:2017/11/22
标签:信息安全论文; 系统论文; 工控论文; 防护论文; 控制系统论文; 安全防护论文; 风险论文; 《电力设备》2017年第19期论文;