甄涛
摘要:随着两化深度融合,加上互联网技术和产品的广泛应用,工控系统的信息安全面临严峻考验。以某石化企业的柴油加氢工艺系统为例,从安全区域的识别和分隔、区域边界建立、区域边界防护和区域内部防护等方面,提出深度防御关注的安全区域建立方法,并对安全区域识别和防护过程进行了探讨。
关键词:石化行业;工业控制系统;安全区域;深度防御;信息安全
DOIDOI:10.11907/rjdk.161739
中图分类号:TP309
文献标识码:A文章编号文章编号:16727800(2016)009015103
基金项目基金项目:
作者简介作者简介:甄涛(1992-),男,河北石家庄人,上海理工大学光电信息与计算机工程学院硕士研究生,研究方向为工控信息安全。
0引言
信息时代,对石油化工等制造业而言,以震网蠕虫为代表的木马、病毒等对工业自动化生产安全带来了极大威胁,工业控制系统安全成为信息化时代企业安全生产的重中之重。最初的工控系统被设计为独立封闭的系统,其安全风险主要来自设备运行不稳定、操作不合理等方面。但是,随着信息化的推进和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。
1石化行业工控系统面临的信息安全问题
随着石化行业信息化的不断深入,管理的精细化和智能工厂的实施,都离不开实时的现场信息,因此管与控的结合就成为了必然趋势。DCS控制系统与外界不再隔离,控制网络和信息网络之间广泛采用OPC通信技术;此外,先进过程控制(APC)也需要OPC技术建立通讯。目前,常用的OPC通讯随机使用1024~65535中的任意端口,采用传统IT防火墙进行防护配置时,被迫需要开放大量端口,形成严重的安全漏洞;同时,OPC的访问权限过于宽松,任意网络中的任意计算机都可以运行OPC中的服务;且OPC使用的Windows的DCOM和RPC服务极易受到攻击。普通IT方后勤无法实现工业通讯协议过滤,网络中某个操作站/工程师站感染病毒,会马上传播到其它计算机,造成所有操作站同时故障,严重时可导致操作站失控甚至停车[1]。目前,存在的工控信息安全问题主要有[2]:
(1)操作系统漏洞。目前,工业计算机操作系统大多采用Windows操作系统,甚至还有XP系统,这些一般不允许安装操作系统的安全补丁和防病毒软件。针对性的网络攻击、病毒感染都会给系统造成严重后果,而且由于漏洞和病毒公布的滞后性,杀毒软件并不能有效地进行防护。此外,不正当的操作,比如,在项目实施和后期维护中使用U盘、笔记本等外设,也会存在一定的安全隐患。
(2)隔离失效。大多数石化企业通过OPC的双网卡结构对数据采集网络与控制网之间进行了隔离,使得恶意程序无法直接攻击控制网络。但对于针对Windows系统漏洞的病毒,这种设置就失去了效果,造成病毒在数采网和控制网之间传播。
(3)信息安全延迟性。若工业网络遭受黑客攻击,维护人员无法采取相应措施,并查询故障点和分析原因。通常情况下,小的信息安全问题直至发展成大的安全事故才会被发现和解决。
2柴油加氢控制系统安全防护简介
目前,我国炼油、石化等行业工业控制系统一般分为3部分:控制层、数据采集层和管理信息层,普遍采用DCS(分散控制系统)和PLC(可编程逻辑控制器)等数字化手段,自动化程度高,多以DCS系统为核心、PLC为辅机控制,形成对设备组命令的下达与控制,并对DCS和PLC反馈的数据进行分析以掌握设备组的整体运行状况。
某石化公司的柴油加氢系统采取安全防护后的拓扑结构如图1所示。
实时服务器和组态服务器组成管理信息层;监控层包括操作员站、工程师站、OPC应用站和异构系统工作站,控制层包括以DCS为主控制温度显示仪表、液位计、继电器和阀门等仪表,PLC为辅控制报警器。其中,设备层与控制层通过模拟数字通信模块通信。
其中:①信息层与数据采集层之间添加纵向隔离平台,避免信息层向下采集数据时造成信息泄露;②异构系统应用站采用横向隔离平台,防止其它系统对加氢操作工艺产生不必要的影响;③引入智能防火墙,对工业协议和应用程序进行审计、监控。
3工业网络中的安全区域
按照IEC 62443定义,“区域”由逻辑的或物理的资产组成,并且共享通用的信息安全要求。区域是代表需考虑系统分区的实体集合,基于功能、逻辑和物理关系[3]。
3.1使用操作域识别区域
安全区域的建立,第一步就是识别所有操作域,以确定每个区域的组成及边界所在。一般在工业网络中建立区域时,要考虑的操作域包括有网络连接控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问以及用户群体和工业协议组之类。其目的是通过隔离使各操作域受到攻击的风险最低,从而进一步使用各类安全产品和技术对每个操作域进行保护,成为安全区域。然而现实情况下,有必要使用操作域间功能共享来简化操作域,从而有效地将重叠的操作域结合成一个独立的更大的区域。
3.2区域边界建立
理想情况下,每个操作域与其它区域都有明确的边界,并且确保每个分区都采用独特的安全防护设备,这样边界防御才能部署在正确的位置上。
识别区域后,将其映射到网络,从而定义清晰的边界,CIP-005-3[4]的NERC规则中提到该过程的要求。只有存在已被定义和管理的接入点,区域才会被保护。
3.3网络架构调整
所有设备都应该直接连接到该区域或者该区域的任何设备上,然而,比如一台打印机不属于该区域,但是可能连接到本地交换机或路由器的接口或无线接入上。这种差错可能是不当的网络设计或网络寻址的结果。当定义了安全区域的划分并对网络架构作出了必要的调整,这样就具备了履行NERC CIP、ISA99、CFATS等符合规范性要求的必要信息。
3.4区域及其安全设备配置
防火墙、IDS(入侵检测系统)和IPS(入侵防护系统)、安全信息和事件管理系统(SIEM)以及许多其它安全系统支持变量的使用,使得边界安全控制与合规性要求相互关联。
对于每一个区域,如下几项都应保持在最低限度[5]:①通过IP地址,将设备划分到特定区域;②通过用户名或其它标志,获得修改区域权限的用户;③在区域中使用的协议、端口及服务。
创建这些变量将有助于制定用于增强区域边界的防火墙和IDS规则,同时也会帮助安全监管工具检测策略异常并发出警报。
4对安全区域边界和内部的安全防护
CIP-005-4 R1要求在“任何关键网络资产”边界,以及该边界上的所有访问点都要建立通过对已建立、标识并记录归档电子安全边界(ESP)[6]。区域周围建立电子安全边界可以提供直接的保护,并且防止对封闭系统未经授权的访问,同时防止从内部访问外部系统,这是很容易忽略的一点。
要使建立的电子安全边界能有效保护入站和出站流量,必须达到两点要求[4]:①所有的入站和出站流量必须通过一个和多个已知的、能够被监控和控制的网络连接;②每个连接中应该部署一个或多个安全设备。
4.1区域边界安全防护
对于临界点,NERC CIP和NRC CFR 73.54[7]给出了安全评价标准以及建议的改进措施,如表1所示。
其中防火墙和IPS都被建议的原因是,防火墙和IPS设备具有不同的功能:防火墙限制了允许通过边界的流量类型,而IPS则检查已被允许通过的流量,目的是为了检测恶意代码或恶意软件等带有破坏目的的流量。这两种设备的优势在于:①IPS可以对所有经过防火墙的流量进行深度包检测(DPI);②防火墙基于定义的安全区域变量限制了通过的流量,使IPS可以专注于这部分流量,并因此可以执行更为全面和强大的IPS规则集。
4.2区域内部安全防护
区域内部由特定的设备以及这些设备之间各种各样的网络通信组成。区域内部安全主要是通过基于主机安全来实现,通过控制终端用户对设备的身份认证、设备如何在网络上通信、设备能访问哪些文件以及可以通过设备执行什么应用程序。
主要的3种安全领域[5]:①访问控制,包括用户身份认证和服务的可用性;②基于主机的网络安全,包括主机防火墙和主机入侵检测系统(HIDS);③反恶意软件系统,如反病毒(AV)和应用程序白名单(AWL)。
5结语
石油化工等关键基础设施和能源行业关系国计民生,在我国两化融合深入发展的同时,如何确保工控系统信息安全是石化行业信息化建设的重要研究课题。本文以某石化行业柴油加氢系统架构为例,重点介绍了如何识别和分隔操作域,确定每个区域的边界和组成,最终建立安全区域,并从外部使用防火墙、IDS、IPS以及应用程序监控器等安全设备,从内部使用主机防火墙、主机IDS和应用程序白名单等对工业控制系统进行保护。
参考文献参考文献:
[1]李东周.工控蠕虫病毒威胁,化企如何应对?[N].中国化工报,20140527.
[2]温克强.石化行业工控系统信息安全的纵深防御[J].中国仪器仪表,2014(9):3738.
[3]肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015.
[4]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0053.cyber security—electronic security perimeter[S].2009.
[5]纳普.工业网络安全:智能电网,SCADA和其他工业控制系统等关键基础设备的网络安全[M].周秦,译.北京:国防工业出版社,2014.
[6]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0054.cyber security—electronic security perimeter[S].2011.
[7]U.S. NUCLEAR REGULATORY COMMISSION.73.54 Protection of digital computer and communication systems and networks[S].2009.
责任编辑(责任编辑:孙娟)