陈 华,高 杨
(中交第一航务工程勘察设计院有限公司,天津 300222)
由于工控系统信息安全的投入并不增加企业的经济效益,同时还会增加工控系统运行维护的成本,因此用户很少开展工控系统安全方面的工作。
目前工业控制系统信息安全的问题主要体现在产品部署不到位、安全管理制度不完善,工控系统面临的漏洞剧增、攻击趋易、目标重要等风险。工控软硬件产品在设计之初极少考虑安全问题,因此安全漏洞不断涌现。开源社区、黑客大会的出现导致获取工控系统的攻击方法越发容易。工控系统作为政府基础设施的重要组成部分,已经成为黑客、极端势力攻击的重要目标[1]。
某港油库的生产作业过程中涉及到有毒有害气体、易燃易爆、腐蚀、易挥发等化学品,同时工艺复杂、生产过程环环相扣、每道工序间相互关联、相互影响、不安全因素较多,一旦发生安全事故,极易造成严重后果。过去,油库生产控制系统与外界是完全隔离的,外部的威胁无法通过企业内部网进入到生产控制系统,都是随着油库企业应用系统的增加以及信息化建设的推进、管控一体化技术发展、生产执行系统的实施,生产控制网络与管理网以及办公网之间有着大量数据的读取、控制指令、生产计划的下发,感染病毒及恶意程序的几率增大。生产网的开放对油库工业控制系统构成严重的安全威胁,系统受到攻击或感染病毒后,控制网络通讯缓慢、数据丢失、管理层数据无法读取、压力、温度、流量、液位、计量等指示失效,检测系统连锁报警失效。
1)工业控制系统从可行性方案到后期具体实施的全过程中,需要在工业控制系统信息安全规章要求下着眼于生产作业设备的实时运行状态,将设备自身的安全可靠度作为建设工控系统信息安全的根本出发点。
2)目前多数企业对单位内部职工的工控系统信息安全方面的培训十分匮乏,生产管理、调度以及现场一线作业人员的工控系统信息安全的意识较弱。企业内部工控系统信息安全方面的技术交流和探讨也相当缺乏,有点企业虽有相关技术培训还都流于形式。
3)缺乏工业控制系统灾难性恢复计划。
4)企业现场作业技术人员所掌握的现场作业情况在发送给中控室管理调度人员之后,管理调度人员无法在第一时间制定出信息安全指导意见。
1)工控系统网络设计不完善,且其深度防护不足;通过工控系统的信息数据出现较大程度的延迟或阻止。
2)当前工业以太网系统是控制系统的主流网络模式,但是目前采用的多数信息安全防护措施很难在工控网和传统信息网络之间建立起安全、可靠、有效的屏障,工控系统面临巨大的安全威胁,而工控系统出现的任何问题又对企业生产作业造成较大的损失[2]。
3)工业控制系统在实际运行中涉及到大量的设备或软件生产厂商的接口协议,而这些接口协议大都缺乏国家权威机构的信息及网络安全认证,大量病毒则通过这些接口侵入工控系统以及企业内部管理网等。
4)由于工业控制系统的受控端设备与中央控制室上位端控制主机之间缺少相关的信息安全认证程序,一旦出现冒充控制室控制主机端的恶意指令程序,受控端设备又无法准确判断控制信息发送端的真实身份,因此中央控制室管理调度人员在错误现场信息的引导下给出与实际作业情况偏差更大的操作,而这些与现场不匹配的操作将直接造成整个库区生产作业的混乱甚至引发极大的安全事故。
5)油库中控室的HMI/server多为windows平台,而windows系统存在安全漏洞易受病毒攻击。另外由于工业控制系统的特殊性,为保证相对独立的运行环境,油库工控系统极少与外界联网因此几乎不对windows平台安装任何补丁程序,这种情况极容易导致控制室工控系统管理层遭到病毒的侵袭。
6)TCP/IP以太网协议、OPC协议及通用的交换路由设备广泛地应用在工业控制网络中,给系统带来了安全漏洞威胁。
7)工控系统缺少对程序行为的审核能力,恶意程序行为是对工控系统产生安全威胁主要因素之一。工控系统相对封闭的环境使系统内部人员在应用系统层面的误操作、违规操作或破坏性操作也成为工业控制系统所面临的主要安全风险。
本项目根据某港油库工控系统及信息化生产管理系统流程的特点,建立控制系统计算环境、区域边界、通信网络的三重防御体系,通过强化分区、隔离防护、数据的镜像采集、协议管控、入侵防御及建立审计制度等技术手段来构建纵深安全防御体系,确保库区生产作业全流程工控系统的安全。该油库工控系统信息安全方案建设思路如图1所示。
1)从某港油库工控系统总体结构来看,油库企业管理层主要从控制层提取相关生产数据用于制定综合管理决策,完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层汇总现场设备的实时生产数据信息。系统的每一个安全漏洞都将产生不同的严重后果,所以将它们单独隔离防护显得尤为必要。工业控制系统信息安全的防护主要通过部署、配置信息安全系统产品(防火墙、入侵检测、漏洞扫描、杀毒软件、系统管理平台等)来实现系统安全。
2)工业安全隔离网关是一种为工业网络应用设置的安全隔离设备,用于解决工业控制网络如何安全地接入工业控制信息网络的问题以及工业控制网络内部不同的安全区域之间信息网络安全防护的问题。工业安全隔离网关的控制端接到工业控制网络,依靠信息采集接口实现控制系统各个子系统数据信息的采集工作;信息端接入上位管理层网络,实现数据到中控室的传输。工业安全隔离网关可以保证网络之间正常的通信,且能彻底阻断网络间的直接连接,切断外界攻击的载体。同时该网关可保证信息数据的完整性、连续性、可靠性,在通信链路断开时自动记录存储数据。网关本身的故障不会影响现场的正常业务信息数据,可以提高工艺系统稳定性,保障生产业务的连续性。工业安全隔离网关能彻底阻断不同安全区域之间的直接信息通讯,同时根据其自身配置的高性能工业通信软件实现对多种主流工业控制通讯协议进行信息数据的过滤,为工业控制系统网络内传输的实时数据信息提供“可靠的传输通道”。
3)工业控制系统采用访问控制、用户身份认证、审计制度等措施来保证系统信息网络安全,其中访问控制可以用于限制油库企业用户的权限,使用户能以最小的权限完成工作任务。工控系统管理员的任何通讯都需要加以认证,通信过程中通信双方使用密钥加密信息数据,并对其保密性和完整性实施保护;身份认证是通过密码验证申请访问的设备或人员在网络上传输密码时需要对密码进行加密,通过选择合适的密码函数可以阻断病毒的攻击。工业控制系统通常都需要进行工业控制系统关键设备的安全配置和审计制度,严格指令的管理,及时更换产品安装时的预设指令、杜绝使用弱等级的指令。授权审计员能够对系统日志进行读取、存档、导出、删除等操作;定期对控制系统的账户、指令、端口进行检查,停止无用的后台程序和进程。
4)工业控制系统信息安全在实际设置中是依据信息安全区域划分、信息安全重要程度(工业控制系统信息的价值越高,它所面临的安全威胁就越大)、信息安全耗损成本等因素设置成不同的信息安全防护等级,并依据不同的防护等级采用不同模式的信息安全防护技术及措施,以求实现工业控制系统及相关受控作业设备的稳定可靠运行。
图1 油库工控系统信息安全架构
工控系统网络与办公网络禁止连接,所有系统之间的通信终点应是隔离区。工控系统网络与办公网之间的连接须通过服务和端口的严格控制。办公网与互联网的连接,存在被病毒感染或被恶意控制的高风险,因此在办公网和管理网之间部署网络病毒网关,入侵防御系统。可以处理SMTP、HTTP、POP3、FTP等多种协议,全面保护WEB访问、邮件以及文件传输过程中的安全。从而有效抵御来自办公网及互联网的网络病毒和风险,确保内网的安全[3]。
控制系统的上位机通过工业以太网连接,操作站实现监控、操作功能;控制站则完成具体的控制运算、输入/输出及数据处理功能。而工业以太网的开放性在带来通讯快速便捷的同时也增加了安全隐患。在控制器入口端设置控制室防护设备,可识别出针对控制器的操控服务指令(包括组态服务、数据上传服务、数据下载服务、控制程序下载服务、操控指令服务等),并且能根据安全策略要求对非法的服务请求进行报警和自动隔断。使用工业防火墙对控制器进行安全防护,一方面通过对源、目的地址的控制,且对关键控制点的读写权限加以严格限制,保障了资源的可信与可控;另一方面,通过对端口服务的控制,杜绝了一切有意或无意的攻击。
工控系统的信息漏洞一旦被攻击者发现并利用,系统将遭受多种类型的病毒攻击,如在控制系统实时通讯过程中袭击者将伪装成合法的仪表设备或伪造成一个合法的网络源;或是袭击者从通讯过程的中间拦截信息并把相关信息修改后再转发到接收端主控制机;或是不断发送认证信息或其他指令使得中控室主机设备忙于应答大量的恶意数据而无法处理和响应其他作业信息。当系统被攻击时,入侵检测系统通过在工控系统网络的各个关键点收集数据信息并同时分析这些数据信息是否包含病毒,当发现异常时立即发出警报、废弃无效数据信息并联动其他层级的安全响应。
随着大量工控系统软硬件的应用其信息安全的重要性越发重要,根据工控系统的信息安全需求找到切合其特点的信息安全解决方案更是重中之重。
某港油库工程根据其工控系统信息安全防护的特点设计出对工控系统进行分层、分区域、分等级的“三层防护”的工控系统信息安全防护体系架构思路。为该油库设置一个安全性、可靠性、适应性兼得的工控信息采集、传输、处理、存储空间。
工业控制系统信息安全是信息化建设过程中出现的新问题,工业控制系统的信息安全到了非加强不可的时期,单纯认为“不上网”、“不互联”、“建设专网”等均解决不了信息安全的核心问题,只有切实完善系统安全配置和补丁管理、物理和环境安全防护制度、持续进行工业控制系统安全投入、升级安全防护技术、加强系统安全隐患的治理,才能健全工业控制系统信息安全的保障体系,保障库区生产工艺系统设施的安全。