為保證能源和基礎(chǔ)設(shè)施行業(yè)控制系統(tǒng)的安全穩(wěn)定運行��,需要建立有針對性的安全防護體系����。5月份�����,第11屆工業(yè)自動化與標準化的研討會在北京舉行����,會議探討了測控系統(tǒng)Security&Safety。
2012.5.22~23在北京舉行了第11屆工業(yè)自動化與標準化的研討會��,主題是測控系統(tǒng)Security&Safety�,其中功能安全在往屆研討會中已經(jīng)深入研討過。第10屆研討會上�,伯鈉法就指出中國在TC65中的貢獻就有IECB1010-2的新項目�����,包含了控制系統(tǒng)的安全要求和相關(guān)測試等��。正如儀綜所歐陽勁松所長所說���,工業(yè)領(lǐng)域的安全可分為三類,即功能安全(FunctionSafety)�����,物理安全(PhysicalSafety)和信息安全(Information Security)�����。作為信息安全���,包含范圍很大�,工業(yè)控制系統(tǒng)的信息安全只是其中的一部分�����。我們要在全面了解通用信息安全的同時����,了解工業(yè)控制系統(tǒng)信息安全的個性要求���。相關(guān)標準前者是ISO/IEC27000(27000為定義),后者是IECB2443�����。通用信息安全的三個目標依次為保密性�、完整性和可用性,而工業(yè)控制系統(tǒng)信息安全的三個目標優(yōu)先級服務(wù)則為可用性����、完整性、保密性��。IECB2443定名為“工業(yè)過程測量��、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全”���,分4部分,即通用����、信息安全程序��、系統(tǒng)技術(shù)和部件技術(shù)��,即涵蓄了對資產(chǎn)所有者(用戶業(yè)主)�����、系統(tǒng)集成商��、部件制造商的要求���。歐陽勁松所長還指出信息安全的評估和測試,事關(guān)國家安全���,所以要把它放在國人的手中���。類似于功能安全中SIL安全完整性等級,在IEC62443中引入信息安全保證等級(Security Assurance Level,SAL)的概念�。考慮全生命周期的安全性��,及出目標(target)SAL�、設(shè)計(design)SAL、達到(achieved)SAL和能力(capability)SAL���,進行評估和測試��。
會上機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所副總工程師梅恪后由王玉敏代發(fā)言����,詳細講解了“工業(yè)控制系統(tǒng)信息安全中國標準化發(fā)展思路,”指出2011年11月�,在拉斯維加斯舉行的黑客大會上,演示了如何進攻中國主要基礎(chǔ)行業(yè)正在使用的工控系統(tǒng)�����,并對信息安全領(lǐng)域情況��、工業(yè)對信息安全的要求�、標準化實施計劃、評估和驗收進行講解�����。最后舉實例進行識別危險源�、給出數(shù)據(jù)統(tǒng)國��、劃分區(qū)域�����、劃分管道、提出要求����、采取措施、工程進行實施���、考慮組織管理措施��、人員能力指施����、最后進行安全態(tài)勢分析等項的說明�。
會上IEC/TC65新任秘書長如迪?比利亞迪對信息安全的標準化工作進行了全方面深入的講演,為我們標準化工作志到了促進作用��。歐洲電氣電子行業(yè)機構(gòu)�、TÜV南德意志大中華集團對會議的有力支持也使用會議增色。會上還傳達了工信部協(xié)[2011]45號關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的文件精神�����,使大家對信息安全更加重視。
二���、具體講演和展示:
會上除中國石化工程建設(shè)公司付總工程師林融屬于最終用戶講演的外����,國內(nèi)外廠商十余家在兩天內(nèi)進行了講解和演示����,具體有菲尼克斯、ABB���、CC-Link���、霍尼韋爾、東土科技���、多芬諾�����、施耐爾�、西門子����、貝加萊、E H����、羅克韋爾、和利時等公司�,他們提供了相關(guān)硬件、軟件和解決方案����、工程經(jīng)驗,都證明信息安全����、功能安全、物理安全有著豐富的實踐經(jīng)驗有待總結(jié)�,市場廣闊、需求旺盛有待我們?nèi)ヒ龑?dǎo)�,標準化工作更是適逢其時,順應(yīng)潮流���。
會上羅克韋爾華镕以遠程訪問工業(yè)自動化和控制系統(tǒng)為例解釋了縱渾防御策略��,指出信息安全實施步驟有8步;1�,使用標準企業(yè)遠程訪問方案,基于客戶機的形式���,使用IP安保(IPsec)加密的虛擬個人網(wǎng)絡(luò)(VPN)技術(shù)�����,通過因特網(wǎng)安全地連接企業(yè)的邊界����。VPN的建立需要對遠程個人進行遠程難證撥入用戶服務(wù)(RADIUS)����,這通常是由IT部門組織實施和管理。2���,使用隔離區(qū)(DMZ)/防火墻中的訪問控制列表(ACL)���,限制遠程伙伴通過Epsec到工廠現(xiàn)場的訪問。通過隔離區(qū)連接到工廠現(xiàn)場�,只能使用一種安全瀏覽器(HTTPS)。3����,訪問一個安全瀏覽器(HTTPS)門戶應(yīng)用����,它運行于隔離區(qū)/防火墻上����。這要求再次登錄/驗證����。4,在遠程客戶機和工廠的隔離區(qū)HTTPS使用遠程終端會話(如遠程單方協(xié)議)�����。5��,利用在防火墻上的侵入保護和檢測系統(tǒng)(IPS/IDS)�����,檢查進出遠程訪問服務(wù)器的數(shù)據(jù)流��,防止攻擊和威脅����,并適當?shù)亟o予阻截�����。這對防止來自遠程訪問設(shè)備穿越防火墻和影響遠程訪問服務(wù)器的病毒和其他威脅是非常重要的�����。6���,允許遠程用戶執(zhí)行招待終端會話,訪問駐留在遠程訪問服務(wù)器中的自動化和控制應(yīng)用����。需要應(yīng)用級的登錄/驗證。7��,執(zhí)行應(yīng)用安保功能�,對訪問遠程訪問服務(wù)器的用戶,限制其應(yīng)用功能(諸如只讀����,非在線功能)。8���,把遠程訪問服務(wù)器分配到不同的虛擬局域網(wǎng)(VLAN)�,并且讓所有在遠程訪問服務(wù)器到制造區(qū)域之間的數(shù)據(jù)流通過防火墻,對這個數(shù)據(jù)流使用侵入檢測和保護服務(wù)���,保護制造區(qū)域免受攻擊����、免受蠕蟲和病毒的破壞�����。
并指出1~5步驟與IT部門關(guān)系密切����,4~8步驟與生產(chǎn)部門關(guān)系密切���。會上���,其它家也提出信息安全縱深防御的技術(shù),如施耐德提出濃度防御方法為與關(guān)鍵步驟:安全計劃��、網(wǎng)絡(luò)分隔�、邊界保護、網(wǎng)段分離�、設(shè)備“淬火”�����、監(jiān)視更新����,并且介紹了ConneXium工業(yè)以太網(wǎng)防火墻�����。支持VPN等���,還介紹了受保護的自動化系統(tǒng)如何防御威脅��,做到“CyberSecurity”(網(wǎng)絡(luò)安全)��。
北京東土科技股份有限公司薛百華就“測控網(wǎng)絡(luò)安全與工業(yè)以太網(wǎng)”為題�����,詳細介紹了該公司在工程實踐中如何實現(xiàn)網(wǎng)絡(luò)安全的經(jīng)驗和體會��,指出測控網(wǎng)絡(luò)的發(fā)展趨勢:1���、從局域網(wǎng)����、城域網(wǎng)到廣域網(wǎng);2�、各種測控網(wǎng)絡(luò)互連成為趨勢。指出物理層面臨威脅��,來自嵌入式智能裝置的功能缺陷�,沒有設(shè)備認證防范能力,來自應(yīng)用層軟件及操作系統(tǒng)的漏洞�、惡意代碼等、POE面臨的安全威脅�����,鏈路層的安全威脅(MAC泛洪變異)等等�����。介紹了工業(yè)以太網(wǎng)面對威脅解決策略���,如ACL-MAC地址白名單認證;ACL-IP地址白名單認證;基于白名單的組插數(shù)據(jù)傳輸做到自學(xué)習(xí)和凍結(jié)組播地址表;查地認證的方式,做到加密認證確認報文;系統(tǒng)服務(wù)器認證模式(IEEE802.1x RADIUS);被IEEE802.1AE阻止的ShadowHosts模式;Linksec模型;受IEEE802.1AE保護的幀格式等���。還對工業(yè)網(wǎng)絡(luò)設(shè)備選擇提出了建議:選擇具有管理功能的工業(yè)以太網(wǎng)交換機;選擇具有ACL訪問控制列表的功能;選擇具有組播控制的功能的交換機;選擇具有本地認證功能;選擇具有遠程服務(wù)認證功能等���。
三���、一個切實可行的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品
在會上,青島多芬諾(TOFINO)是針對工業(yè)控制系統(tǒng)安全設(shè)計的防火墻��,它是為了建立縱深防御的目標應(yīng)運而生動安全產(chǎn)品�����。他解釋縱深防御策略時說����,發(fā)現(xiàn)病毒,為時已晚即系統(tǒng)已遭受破壞了��,只有防止病毒��,蠕蟲等非法入侵�,才是解決方法,也就是:即使在某一點發(fā)生網(wǎng)絡(luò)安全事故��,也能保證工廠正常運行;讓工廠操作人員能夠很迅速的找到問題��,并進行處理。TOFINO基于ANSI/ISA-99區(qū)域與管道防護����,模型基礎(chǔ)上,做到每一個服務(wù)管道�,防火墻只允許正確設(shè)備操作所必需的通信,即只允許特定的通信協(xié)議流通過��,其它數(shù)據(jù)全部被過濾掉�。
它采用區(qū)域隔離、通信管控���、實時報警三個措施�,TOF/NO解決方案包含的組件為多芬諾安全設(shè)備模塊TSA�����、組態(tài)軟件一中央管理平臺CMP����、可裝載安全軟播件LSM��。TSA為硬件模塊��、設(shè)計使用壽命27年���,外形類似I/0模塊和隔離器����,環(huán)境溫度可0~60℃(TSA-220)或-40~70℃(TSA-100)���,雙電源供電可為2-48V或9-32VDC�����。繼電器開關(guān)輸出�����,有銅和/或光纖網(wǎng)絡(luò)接口�����,有MUSIC2008-1或2009-1安全認證���。
CMP功能如下:組態(tài)TSA硬件,管理網(wǎng)絡(luò)配置��,實時監(jiān)控報警,網(wǎng)絡(luò)通訊分析�����,LSM提供如下安全服務(wù):防火墻�����,OPC通訊安全插件���,Modbus通證安全播件�����,安全資產(chǎn)管理���,事件報警記錄,VPN(虛擬個人網(wǎng)絡(luò))��。LSM團體操播件是下載到TSA里�,它提供可定制的安全功能����,滿足控制系統(tǒng)的要求,可滿足多種系統(tǒng)和現(xiàn)場總線通訊協(xié)議與模型(50多種)和安全防護要求,還可完成ESD/SIS安全系統(tǒng)的防護�。
TOF/NO工業(yè)網(wǎng)絡(luò)安全解決方案實施步驟為:第一步,確定在何處放置TOF1NO安全設(shè)備來制造區(qū)級安全�����,相關(guān)模塊是“即播一即保護”����,無需停機安全;第二步;確定需要那些可加載安全功能軟播件(LSMS),以確定每個區(qū)域安全不同的要求;第三步���,選擇一個服務(wù)器或工作站安全TOF/NO中央管理平臺���。
具體應(yīng)用事例很多,如中石化齊魯石化公司��,事先分析出原系統(tǒng)存在5個漏洞和物質(zhì)缺陷����,如網(wǎng)絡(luò)連接采用控制系統(tǒng)經(jīng)過接口機直接連至辦公網(wǎng)的方式,中間無任何有效的隔離措施;又如控制系統(tǒng)現(xiàn)大部分都采用Windows平臺���,不能安裝殺素養(yǎng)軟件及進行系統(tǒng)補與更新;又如網(wǎng)絡(luò)中一旦出現(xiàn)問題���,無法進行原因事故和分析;越來越多的先進控制應(yīng)用于現(xiàn)場控制�,由于發(fā)進控制一般由廠家提供現(xiàn)場服務(wù)���,并且往常使用U盤等移動介質(zhì),APC服務(wù)器感染言不由衷素養(yǎng)的概率較大���,APC服務(wù)器和控制系統(tǒng)之間無有效的隔離措施;也控制系統(tǒng)與辦公網(wǎng)絡(luò)間接口機采用雙網(wǎng)卡,此結(jié)構(gòu)無法保證控制系統(tǒng)的真正安全�。
經(jīng)過改選后,網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點如下:(1)將傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)(VLAN劃分)與TOFINO工業(yè)網(wǎng)絡(luò)防火墻相結(jié)合��,達到橫向(不同裝置系統(tǒng)之間和縱向信息網(wǎng)與控制網(wǎng)之間)全方位網(wǎng)絡(luò)安全隔離的效果�����。(2)利用TOFINO的實時報警和歷史記錄功能對網(wǎng)絡(luò)進行實時監(jiān)控和歷史查詢���。(3)OPC服務(wù)器或工程師站直接通過防火墻后連至數(shù)采網(wǎng)與接口機劃為同一個VLAN,提高網(wǎng)絡(luò)安全防護等級�����。(4)將APC先控站進行隔離��。(5)CMP能用簡單操作完成防火墻的配置����,減少了網(wǎng)管人員的學(xué)習(xí)時間及配置時間和后期����,網(wǎng)絡(luò)維護的工作量。其它還有國內(nèi)20多個工程實例����,國外20多個工程實例��。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://www.dstuf.com/
