杨 军,刘亚宾,常 涛,刘 洋,马 涛
(共享智能铸造产业创新中心有限公司,宁夏银川750021)
随着中国制造2025全面推进,工业数字化、网络化、智能化加快发展,新形势下工控安全工作的重要性和紧迫性更加凸显。2016年10月17日,工信部颁布《工业控制系统信息安全防护指南》,指出工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任十一个方面做好工控安全防护工作;2017年12月29日,工信部发布《工业控制系统信息安全行动计划(2018-2020年)》的通知,明确安全与发展并重,把工控安全作为工业生产安全的重要组成部分,并以落实企业主体责任为关键,确保信息安全与信息化建设同步规划、同步建设、同步运行,切实提升工业控制系统信息安全防护水平,保障工业控制系统安全[1]。
另一方面,铸造行业作为传统行业,其数字化、网络化、智能化过程是逐步发展的。由于历史原因,在前期往往缺乏整体规划,为了网络化而网络化,其网络电气接口与光纤接口转接随意,生产网、管理网、办公网、视频网等没有进行合理划分而混杂在一起,在不改变当前网络拓朴的前提下,对关键设备进行相关安全部署时,需要相当数量的防护与审计产品。为充分提高工控防护与审计产品的覆盖利用率,倒逼一线工程师在不影响生产、管理、办公等要求下先进行网络优化,组织协调牵涉面广、难度大。整个网络基础的不利现状,导致在后续工控安全部署时,或因拓朴调整过繁投入过高,或因技术路线不明而无从着手,工控安全近时期仅局限于纸面或口号而无从落实。
本文试图从铸造行业工控安全隐患分析着手,通过给出网络典型拓朴及工控安全产品典型部署方式,为铸造行业工控安全的实施提供借鉴。
现场仍有相当部分工控主机安装Windows XP等微软官方技术不再支持的系统,且系统的安全漏洞常因封闭的生产网络限制,而不能进行可控的升级与更新。
因工控软件与杀毒软件兼容性问题,以及远程访问的需要,技术人员为图方便,在工控软件的安装、配置、运行过程中,往往关闭杀毒软件、防火墙、系统更新,相当于裸机运行。
移动介质如U盘、移动硬盘、共享文件夹等方式的不规范使用,即使在局域网内也会带来交叉传染等安全风险。
工控软件的登录口令、访问权限、通信协议端口、工业协议常采用默认配置,仅依靠常规的IT防护手段难以有效防护复杂的工控应用环境。
边界防护往往仅在局域网与公网之间部署传统的IT防火墙与审计软件,对基于工业协议的识别与攻击无能为力;生产网、管理网、办公网、视频网等常为同一局域网段内混用,绝大部分接入层的数据传输与交互使用不带网管功能的傻瓜式交换机,形成局域网内安全防护的真空地带;服务器等设施安全隐患与工控主机类似,不再赘述。
由IT运维人员兼职,将IT安全等同于工控安全;企业内历史上没出过工控安全事件,防范意识薄弱;缺乏针对性的工控安全防护措施、应急演练、应急预案等管理制度;工控安全防护与审计类产品均价格不菲,在没有政策引导与激励措施存在的环境下,企业负责人、技术负责人、一线工程师等往往对工控安全需求选择性漠视或弱化处理。
具体策划及实施时,采用冗余高速工业以太光纤环网,沿厂区或单元边界成环,工厂建立主环网,单元内部建立小环网,小环网均分布在主环网上。采用单模光纤、双线双设备方式,兼顾后期网络接入需求。
设备接入方面,千兆电气链路的始端接入光纤环网的交换设备,千兆电气链路的终端采用带网管功能的工业级交换机,用于工业设备、传感、网关、客户端的就近接入,并避免形成电气环网。
将生产网、管理网、办公网、视频网等物理分开,或通过划分VLAN区进行逻辑隔离。
图1 铸造行业典型光纤环网拓朴示意
工控安全防护常见技术策略中,有效性排名靠前的为白名单、配置及补丁管理、隔离区等。白名单机制下,只有可信任的设备,才能接入工控网络;只有可信任的消息,才能在工控网络上传输;只有可信任的软件,才允许被执行。以威努特工控安全产品为例,铸造行业工控环境典型的组合式部署如图2所示。
其中,可信网关(带旁路机制的工业防火墙,进行网络边界实时防护)、工控主机卫士+安全U盘(进行主机安全防护,及安全的数据交换)、安全运维管理系统(实现对用户从登录到退出的全程操作行为进行审计)、主机安全加固系统(对操作系统进行安全加固)、入侵检测系统(对异常攻击实时监测)、安全隔离与信息交换系统(实现内外网间隔离及数据安全交换)、统一安全管理平台(进行工控安全软硬件产品集中管理)属于防护型产品,监测与审计平台(进行基于网络通信的审计与溯源)属于监测型产品。
该组合式部署涵盖铸造工厂设备层、单元层与车间层,实现隔离、检测、防护、响应、审计、管理等全过程全方位的纵深防御。
图2 铸造行业典型工控安全产品组合式部署示意
铸造行业工控安全的具体实施,应依据自身信息基础设施的实际现状,以及工控安全需求、重点防护对象或区域,参照典型光纤环网拓朴及工控安全产品组合式部署,遵循统筹规划、分步实施的原则,逐步满足工控安全的各项重点评价指标。