工业控制系统内建安全设计与防护

浙江中控技术股份有限公司 陆卫军

1 工控安全特殊性

1 工控安全特殊性

1.1 工业控制系统的组成

（1）输入/输出单元：传感器，阀门，现场设备。

（2）控制单元：PLC，智能电子设备，远程终端单元，控制器。

（3）通信网络：以太网，无线，工业协议。

（4）操作单元：SCADA软件，服务器，人机接口，应急管理系统，控制中心。

1.2 工控系统安全的特殊性

（1）可用性要求特别高。要求10年×365天×24小时不能停车，可用性>99.99%；

（2）危害更大。例如核电站、西气东输等工程，爆炸会导致重大安全事故，以人员安全、过程保护为核心；

（3）平台特殊。嵌入式系统+私有协议+15年维护周期+环境严重受限。

1.3 工业控制系统安全问题危害等级

（1）LV1，局部失效或间隙中断：单一操作站、网络、硬件故障或损坏。

（2）LV2，全线停车：网络全面瘫痪，控制站故障，设备报废，基础设备损坏。

（3）LV3，人身伤亡：对人员（雇员、社区群众）的伤害，财产的损失（数据的丢失）等等。

（4）LV4，安全事故及环境破坏：爆炸等安全事故，人民生活资源（水、电、气）的污染，有毒、危险物质的无序排放，非法转移使用。

1.4 工业控制系统安全威胁来源

• 硬件物理失效；

• 软失效SER；

• 软件缺陷；

• 系统漏洞；

• 误操作；

• 工艺环境威胁；

• 病毒攻击；

• 黑客或敌对势力攻击；

• 内部人员恶意破坏。

1.5 工业控制系统安全设计

针对生产管理和企业管理的IT信息安全问题可以通过纵深防御来解决。但是针对基础控制和生产操作仅做防御并不能很好地解决问题，需要做内在机理的研究和防御，内建安全设计才能够较好地解决问题。

2 内建安全设计

2.1 内建安全工业控制系统典型模型

工业控制系统模型如图1所示。此模型代表的被控对象可以是工厂，也可以是个核电站。通过变送器进行数据输入，控制程序进行控制输出，最后通过阀门对最终的对象进行控制。工程师站进行组态、下装和发布。操作站进行HMI监控。接口站对通信接口进行转换。

图1 工业控制系统模型

2.2 内建安全设计

2.2.1 控制与通信安全隔离技术

控制站通信隔离层设计，控制与通信安全隔离，保证控制可信运行。

2.2.2 内核自主可控技术

病毒运行依赖黑客对于嵌入式操作系统的了解，对控制器也是如此。无运行环境、无进入机会是解决问题的关键。不基于通用系统，病毒就无运行环境，协议、接口私有、受限，黑客就无进入机会。因此，中控自主研发协议栈、控制算法、硬件平台、BIOS以及确定性微内核。

2.2.3 全冗余与备份技术

全系统冗余和关键数据备份设计，保证控制系统实时诊断与恢复。

（1）全系统冗余设计

• 工程师站、服务器、控制网、控制器、IO总线、IO模块；

• 单一故障不影响工业控制系统正常运行。

（2）关键数据备份设计

• 工程师站/操作站：组态文件、历史数据；

• 控制站：硬件组态、位号组态、控制算法。

2.2.4 数据安全技术

通过多层次数据加密和防护技术，保证数据的完整性和机密性；非明码传输，防止窃听和篡改。

• 操作层；

• 网络层；

• 控制层；

• 现场总线/无线层。

2.2.5 全面报警与审计技术

完善的报警功能和审计功能，让行为不可抵赖，故障不被隐藏。

• 过程报警（工艺报警）；

• 系统报警；

• 详细诊断；

• 全网诊断；

• 设备管理与智能诊断；

• 操作记录与安全事件记录；

• 工艺建模/行为建模/预测管理。

2.2.6 安全V&V验证技术

通过安全开发程序和安全V&V验证措施，保证工控系统整体安全。

• 安全开发程序；

• 开发环境与过程安全；

• 安全功能验证技术与测试平台。

3 安全应用实践

3.1 中控安全整体部署

中控安全整体部署如图2所示。

（1）内建安全，保证系统安全

（2）纵深防御，保证项目安全

• 工控安全策略与管理；• 厂区物理安全；

• 边界防护；

• 恶意软件监测与防护；

• 可信操作站。

（3）全生命周期管理，进行运维

图2 中控安全整体部署

3.2 中控工业信息安全资质

中控工业信息安全资质如图3所示。

图3 中控工业信息安全资质

3.3 典型案例

某化工园安全实施示意图如图4所示。

图4 某化工园安全改造实施示意图

3.3.1 风险评估

（1）网络特征

• 规模大（17000硬点）；

• 扁平直连网络结构；

• 缺少安全防护措施。

（2）存在问题

• 网络规模大，风险集中；

• 易发生网络风暴；

• 装置不隔离，易故障扩散；

• 网络不分层；

• 存在网络乱接情况；

• 存在随意使用U盘情况；

• 存在随意连接手机情况；

• 操作站未防毒处理。

3.3.2 安全设计

• 部分有限度的升级控制系统，提升安全能力；

• 改进网络结构，实现网络隔离，提高网络安全；

• 部署基于白名单的防病毒解决方案和工业防火墙，防 范病毒蔓延及外部攻击；

• 实现全网诊断功能，实时监控网络状态；

• 实现基于硬件GPS的时间同步，提高时间同步精度。

3.3.3 安全实施与验收

（1）病毒防护

• 工业防火墙；

• 防病毒软件；

• 访问控制。

（2）安全分区

• 星型连接；

• 网络分区；

• 网段隔离。

（3）在线诊断

• 网络管理；

• 网络诊断；

• 网络审计。