0引言
2013年以来,重钢集团作为重庆市的大型重工业企业工控信息安全试点,进行了积极的探索和实践。研究工控系统信息安全问题,制定工控系统信息安全实施指南,建立重钢ICS工控信息安全的模拟试验中心,进行控制系统信息安全的模拟试验,采取措施提高重钢控制系统的安全防御能力,以保证重钢集团控制系统的信息安全和安全生产,尽到自己的社会责任。 1工控系统信息安全问题的由来
工业控制系统(industrycontrolsystem,以下简称ICS)信息安全问题的核心是通信协议缺陷问题。工控协议安全问题可分为两类:
1.1ICS设计时固有的安全缺失
传统的ICS采用专用的硬件、软件和通信协议,设计上注重效率、实时性、可靠性,为此放弃了诸如认证、授权和加密等需要附加开销的安全特征和功能,一般采用封闭式的网络架构 来保证系统安全。工业控制网的防护功能都很弱,几乎没有隔离功能。由于ICS的相对封闭性,一直不是网络攻防研究关注的重点。
自动点火器1.2ICS开放发展而继承的安全缺失
目前,几乎所有的ICS厂商都提出了企业全自动化的解决方案,ICS通信协议已经演化为在通用计算机\操作系统上实现,并运行在工业以太网上,TCP/IP协议自身存在的安全问题不可避免地会影响到相应的应用层工控协议。潜在地将这些有漏洞的协议暴露给攻击者。随着工业信息化及物联网技术的高速发展,企业自动化、信息化联网融合,以往相对封闭的ICS逐渐采用通用的通信协议、硬软件系统,甚至可以通过实时数据采集网、MES、ERP网络连接到企业OA及互联网等公共网络。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向ICS扩散。因此在ICS对企业信息化系统开放,使企业生产经营获取巨大好处的同时,也减弱了ICS与外界的隔离,“两化融合”使ICS信息安全隐患问题日益严峻。
2重钢ICS信息安全问题的探索
2.1重钢企业系统架构
重钢新区的建设是以大幅提升工艺技术和控制、管理水平,以科技创新和装备大型化推进流程再造为依据,降本增效、节能减排为目的来完成的。各主要工艺环节、生产线都实现了全流程智能化管控。依据“产销一体化”的思想,重钢在各产线上集成,实现“两化”深度融合,形成了一个庞大而复杂的网络拓扑结构。
2.2生产管控系统分级
管控系统按控制功能和逻辑分为4级网络:L4(企业资源计划ERP)、L3(生产管理级MES)、L2(过程控制级PCS)、L1(基础自动化级BAS)。重钢新区L1控制系统有:浙大中控、新华DCS、西门子PLC、GEPLC、MOX、施耐德和罗克威尔控制系统等。各主要生产环节L1独立,L2互联,L3和ERP是全流程整体构建。
2.3重钢企业网络架
重钢新区网络系统共分为4个层次:Internet和专线区,主干网区域,服务器区域,L2/L3通信专网区。
(1)主干网区域包括全厂无线覆盖(用于各网络点的补充接入备用)和办公终端接入,主
干网区域与Internet和专线区之间通过防火墙隔离,并部署行为管理系统;
(2)主干网区域与服务器区域之间通过防火墙隔离;
(3)L2与L3之间由布置在L2网络的防火墙和L3侧的数据交换平台隔离;
(4)L2和L1之间通过L2级主机双网卡方式进行逻辑隔离,各生产线L2和L1遍布整个新区,有多种控制系统。
(5)OA与ERP和MES服务器之间没有隔离。在L2以下没有防火墙,现有的安全措施不能保证ICS的安全。
2.4ICS安全漏洞
经过分析讨论,我们认为重钢管控系统ICS可能存在以下安全问题:
(1)通信协议漏洞基于TCP/IP的工业以太网、PROIBUS,MODBUS等总线通信协议,L1级与L2级之间通信采用的OPC协议,都有明显的安全漏洞。
(2)操作系统漏洞:ICS的HMI上Windows操作系统补丁问题。
准入控制系统(3)安全策略和管理流程问题:安全策略与管理流程、人员信息安全意识缺乏,移动设备的使用及不严格的访问控制策略。
(4)杀毒软件问题:由于杀毒软件可能查杀ICS的部分软件,且其病毒库需要不定期的更新,故此,ICS操作站\工程师站基本未安装杀毒软件。
3重钢工控系统信息安全措施
对重钢来说,ICS信息安全性研究是一个新领域,对此,需要重点研究ICS自身的脆弱性(漏洞)情况及系统间通信规约的安全性问题,对ICS系统进行安全测试,同时制定ICS的设备安全管理措施。
3.1制定ICS信息安全实施指南
根据国际行业标准ANSI/ISA-99及IT安防等级,重钢与重庆邮电大学合作,制定出适合国内实际的《工业控制系统信息安全实施指南》(草案)。指南就ICS和IT系统的差异,ICS系统潜在的脆弱性,风险因素,ICS网络隔离技术,安全事故缘由,ICS系统安全程序开发与部署,管理控制,运维控制,技术控制等多方面进行具体的规范,并提出ICS的纵深防御战
略的主要规则。并提出ICS的纵深防御战略的主要规则。ICS的纵深防御战略:
(1)在ICS从应用设计开始的整个生命周期内解决安全问题;
(2)实施多层的网络拓扑结构;
(3)提供企业网和ICS的网络逻辑隔离;
(4)ICS设备测试后封锁未使用过的端口和服务,确保其不会影响ICS的运行;
(5)限制物理访问ICS网络和设备;
语音播放模块(6)限制ICS用户使用特权,(权、责、人对应);
(7)在ICS网络和企业网络分别使用单独的身份验证机制;
(8)使用入侵检测软件、防病毒软件等,实现防御工控系统中的入侵及破坏;
www.hgnc(9)在工控系统的数据存储和通信中使用安全技术,例如加密技术;
(10)在安装ICS之前,利用测试系统测试完所有补丁并尽快部署安全补丁;
(11)在工控系统的关键区域跟踪和监测审计踪迹。
钢骨柱3.2建立重钢ICS信息安全模拟试验中心
由于重钢新区企业网络架构异常复杂,要解决信息安全问题,必须对企业网络及ICS进行信息安全测试,在此基础上对系统进行加固。为避免攻击等测试手段对正在生产运行的系统产生不可控制的恶劣影响,必须建立一个ICS信息安全的模拟试验中心。为此,采用模拟在线运行的重钢企业网络的方式,构建重钢ICS信息安全的模拟试验中心。这个中心也是重钢电子的软件开发模拟平台和信息安全攻防演练平台。
利路防水接头3.3模拟系统信息安全的测试诊断
重钢模拟系统安全测试,主要进行漏洞检测和渗透测试,形成ICS安全评估报告。重钢ICS安全问题主要集中在安全管理、ICS与网络系统三个方面,高危漏洞占很大比重。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议