张一楠 陈慧冰 刚轶金 李涛
机械工业第六设计研究院有限公司 河南 郑州 450007
摘要:目前,以云计算、大数据、互联网、物联网、人工智能等为代表的新一代信息技术快速发展,开始与传统产业加速融合,已经成为国际社会争夺未来产业发展制高点的重要领域。传统工业控制系统正朝着数字化、网络化、开放化、集成化的工业互联方向发展,各个生产环节的互联互通成为常态,这些新常态需要生产网络与外部网络互相通信,这就可能引发导致严重后果的信息安全事件。本文以某生产企业的工业控制网络安全策略设计与部署为例,论述了工业控制网络安全防护对企业可靠生产的重要性。
关键词:控制网络;人工智能;网络安全;信息技术
1 概述
随着“中国制造2025”“工业互联网”战略的不断推进,工业控制系统的信息化程度会迅速逐步提高,针对工业控制网络的攻击将成为一种常态,工业控制系统的信息安全将会得到前所未有的高度关注。
针对工业控制网络,特别是对关键基础设施的直接攻击、信息窃取和勒索事件等工控网络安全事件层出不穷。传统的网络安全防护设计与部署无法适用于工业控制网络,主要是因为工控网络首先要保证可用性,牺牲可用性的安全手段是不提倡的;在要求控制精度比较高的生产领域,工控网络无法接受“漏报”和“误报”,传统安全产品无法识别工控协议,特别是众多的私有协议。
基于上述原因,解决工业控制网络安全问题最重要的是部署工控安全审计系统,该系统能实时监测工控网络的状态,检测工控网络中入侵行为,也能根据用户定义的审计策略,追踪工控网络安全事件,还能对工控网络的数据进行留存。
工控安全审计系统适用于SCADA、DCS、PCS、PLC等工业控制系统,可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统。
2 安全方案设计与研究
早期的工业控制网络完全隔离于互联网,只能用于小范围内的工业控制,很少受到信息安全方面的威胁。目前,对生产效率要求的提高和随着计算机技术和网络技术的发展,工业控制系统产品越来越多的采用通用信息技术,实现控制信息和管理信息的广域传输,这样造成工业控制网络面临着和信息系统相同的安全威胁。相对比于信息系统,工业控制网络遭受攻击将造成更加严重的后果。
工业控制网络安全问题主要包括安全漏洞问题、杀毒软件安装及升级更新问题、工业系统的硬件威胁、工业系统的软件问题、工业网络漏洞、工业设备维护维修时移动设备接入带来的安全隐患等等。
以某生产企业为例,企业园区网络包括主办公科研楼、园区汇聚和相应的接入层网络部分,共有十个汇聚节点,每个节点对应一个生产园区和办公楼以及数据中心,各部署两台汇聚交换机,交换机之间采用双千兆链路互联,其与核心交换机之间以万兆链路为主、千兆链路备份的方式进行全互联,生产网络与办公网物理隔离。
2.1 网络监控和管理设计
在工业控制网络里面部署工业集中安全管理系统和工控安全审计系统,监控所有安全设备的健康状态,检查网络中的异常行为;坚持预防为主的方针,具备风险分析,可以加强网络及信息系统安全监测,可以建立网络及信息系统安全突发事件风险分析机制,能做到早发现,早防御,早响应,早处置。工业集中安全管理系统可以对工控网络设备进行统一管理、配置、授权和响应的安全管理平台。它能把分散的安全设备、安全策略、安全事件和安全风险集中统一管理和运营,使安全对象可量化、可管理,打破安全“孤岛”,使他们成为一个“活的有机体”来抵御网络中的各种威胁。
安全审计系统可以审计生产流量。利用黑名单、白名单、自定义规则等多种安全策略,通过内置的工控协议深度解析引擎,实时监测工控网络中违规行为、异常流量和不明设备接入,让企业实时全面掌握工控网络安全运行状况,通过完整的记录并留存工控网络流量。对可能发生的网络及信息系统安全突发事件及时发布预警,根据问题性质和危害程度分成不同级别的警报,可以让运维人员提前做好网络及信息系统安全应急处置准备工作。
2.2 边界出口防护设计
在工业控制网络出口处防火墙和出口安全设备部署工业网闸。所有交互数据通过协议隔离,数据落地的形式,以信息 “摆渡”的方式实现数据交换,外部无任何物理通道传输任何数据到内部网络,保障内部网络和数据安全。
2.3区域隔离设计
在安全管理区与核心网络之间,生产车间网络与核心网络之间分别部署工业防火墙,实现站点之间的逻辑隔离;某一个站点受到攻击,可以拒绝攻击蔓延到下一个站点,减少来自内部攻击受到的损失。
通过工控行为和协议规则自学习能力,深度解析工控协议、分析工业控制行为过程,自动建立基于工控协议的操作行为和规则的工控安全检测模型;
通过白名单规则控制网络传输行为,保障业务正常运行的同时阻止不必要的网络流量、异常攻击行为;
对工控协议的深度检测,过滤非法协议和合法协议非法数据,例如报文格式检查、功能码控制、寄存器控制,连接状态控制等的检测。
防火墙可以及时更新病毒库,出现已知病毒攻击可以做出相应的拦截动作,断开此攻击行为。
2.4服务器安全设计
在服务器群每台服务器安装部署工业安全卫士软件,只允许系统操作或运行受信任的对象,工业安全卫士可以很好地适应工控环境相对固定的运行环境,并将非法程序隔离在可信运行环境外。通过签名证书的白名单,能确保经过签名的可信应用程序正常升级、加载和扩展,避免因软件升级导致应用无法运行的情况发生,工业安全卫士还能对特定的对象(关键文件目录及应用程序、动态链接库、驱动文件等)提供保护,有效阻止恶意程序通过不同途径对关键对象的恶意改变。
2.5工业控制网络安全部署
针对上述分析,典型的工业控制网络安全部署如图2所示:
.png)
图2 典型工业控制网络安全防护部署图
由图2,在信息管理层,网络边界部署工业防火墙,在生产管理层部署工业安全隔离单向导入系统、工控安全集中管理平台和工业防火墙,在过程控制层,部署工业隔离网关、工业防火墙和主机卫士等,通过以上工控网络软硬件设备的部署,确保了企业生产的可靠进行。
3 结论
工业控制网络安全防护既包括软硬件设备的部署,也包括安全管理制度的创新,是一个系统工程,需要作为一个整体考虑。工业控制网络安全作为一个整体的安全架构,可以从局部安全、全局安全、智能安全三个层面,为企业提供一个多层次、全方位的立体防护体系,使工业控制网络成为智能化的安全实体,从而保证企业生产可持续运行。
参考文献
[1] 《信息安全技术-工业控制系统信息安全分级规范》GB/T36324-2018
[2] 《工业控制系统信息安全》[M] 肖建荣 .电子工业出版社,2015.11;