工控网络信息安全系统在集中控制系统中的应用与实践
2020-08-04
来源:工业安全产业联盟
1 工业系统网络安全现状
工业控制系统的原始设计是以高可靠性, 高实时性,高控制性为目标进行设计安装和运行的。其中影响系统安全性最大隐患莫过于内部和外部干扰。随着计算网络技术在工业控制系统普及和发展,工业控制系统包括(DCS、PLC、TCS、SCADA)系统网络已经普及到工业产业的所有领域,其工控系统网络及其所承载的数据流、人机交互UI等空间载体所构成工控系统所造成的安全威胁呈现隐蔽性高、危害性大乃至会影响到国家安全的特点。
目前,国内外的工控制系统制造企业,对其工控系统安全性设计、制造、运行和维护,缺乏统一的设计标准和相关管理规定;同时,由于其工程实施和系统使用偏重于控制系统功能的实现,对工控安全意识的淡薄和轻视,给国内已经部署的工控系统造成了很大的安全隐患。
主要表现在:
1、缺乏网络技术常识、设计、施工和使用中只注重系统功能的实现,未考虑其安全的需要和整体规划。
2、缺乏工控安全意识,研发、设计、施工、运行和维护中,严重缺乏对安全的控制和执行基本的安全管理规定。
3、工控安全的体系建设处于摸索和成长阶段,其相关标准和管理规定未尽完善。
这就要求我们不断的探索工控安全领域的未知,汲取经验和教训,在探索中求得共识,在发展中取得进步。
2 工控安全研究的内容和背景
2.1 背景及意义
工控安全,从世界范围看, 作为信息产业发展的领导者,美国很早就十分重视工控安全。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的安全。而美国国家标准与技术研究院、能源局则分别发布了《工业控制系统安全指南》(SP800-82 2013年推出最新修订版本)[NIST]、《改进SCADA网络安全的21项措施》等相关的工控安全建设标准指南或最佳实践文档。同时其国内的传统信息安全厂商赛门铁克、MCAFEE、思科以及传统工控厂商罗克韦尔、通用电气以及一些新兴的专业安全厂商在工控的安全防护及产品服务提供方面也都展开了深入研究、实践及产业化工作,并总体上处于领先的地位。
在欧洲则以德国西门子、法国施耐德电气为代表的工业控制系统提供商为主;而工控系统的信息化、智能化以及所带来安全问题的解决离不开工控厂商的支持,自然西门子等企业的市场和技术优势也将奠定未来很长一段时间内在工控安全领域的领先地位。
在专业的工控安全厂商方面,加拿大Tofino(多芬诺)公司曾以其业内著名的工控系统防火墙成为业内领先的工控系统信息安全的专业厂商,其产品在石化等多个行业应用广泛。科诺康公司(Codenomicon)则以其用于漏洞发现的fuzzing 测试工具而在工控系统安全领域拥有重要的地位。
在国内:自从工信部451号文发布之后,国内各行各业都对工控安全的认识提高到一个新的高度。电力、石化、交通、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。国家标准相关的组织TC260、TC124等标准组也已经启动了相应标准的研究制定工作,最新的网络安全等级保护2.0对工控安全定级部分增加了明文规定。
在工控安全领域,一批致力于工控网络安全系统设备国内提供商,在设备研发上做出了巨大的努力。国内的相关组织和行业机构也正在为工控安全制定相应的指导性文件。
在国内相关行业中,供电及发电行业由于其行业的特点和重要性,在工控安全领域起步早,且已经形成初步体系,但具体应用案例尚未形成群体优势。在石油、化工、钢铁、煤矿、公共事业中的铁路、地铁、供水、供气、供热等涉及工控系统的行业,虽然起步晚,但其应用规模和应用范围相比电力行业具有明显的优势。
上述这些行业中,工控安全的重要性是不言而喻的。其行业的重要性、网络互联的规模、信息共享的需要又造成了行业间工控系统信息安全应用的不平衡。
北京能源集团有限责任公司,为了稳妥的推进工控的安全和建设,选取必要的现实场景,对国内的工控安全设备进行必要的实地验证。依据集团京能集团办字[2106]311号文件《关于合作建设工控系统信息安全实验基地的批复》和中国信息协会信息安全专业委员会《关于开展CIES工控系统信息安全实验基地方案测试工作的通知》;2016年4月9日中国信息协会信息安全专业委员会和北京华源热力管网有限公司共同成立的“CIES工控系统信息安全实验基地”在京举行了揭牌仪式。
2017年夏季,共有四个国内厂家的工控安全产品,在该实验基地分别进行了测试和验证,使大家对工控安全设备及其软件系统功能等方面,有了一个比较深入的认识。无论是设备制造商和参加测试单位,对工控安全系统的认识得到了显著的提高。在当前的背景下,具有现实的意义
2.2 集中控制系统安全所面临的问题
不言而喻,工控集中控制系统相比于非集中控制系统的优势是非常明显的,随着国内的DCS、SCADA等系统的大规模工业化应用,人们发现,在一些特定的领域和条件下,将分散的DCS、SCADA等系统通过网络互联,并将其控制权集中到一个控制中心,是一个非常有意义的选择;其最大的特点是可以集中运行人员的技术优势,多数据源的集合和统计分析实现对工控系统优化控制和调度;提高系统运行安全性和经济性。特别是在国家电网大力推广‘泛在物联网建设’的大背景下,不可避免的向工控安全提出了挑战;从目前的实际情况分析,有如下几个方面问题:
1、工控的安全具有失控风险
我们大家知道,工控安全在现今条件下,其安全维护人员面临严重的缺位;人们只是关心系统正常运行和维护,对于其隐蔽性很强的安全威胁,对人员的技术素质要求高。企业很难为其提供必要的岗位和合理的薪资。
2、工控安全设备和系统尚在探索和不断完善阶段
由于,工控系统的特殊性,一般认为,现今互联网普及的安全设备无法完全复制到工控;其安全分区理念所形成的那堵墙,如同一个高悬的大坝将整个工控与互联进行了‘物理隔离’。使得一大批安全产品研发企业前仆后继去参加这“最后的盛宴”。走了很多的弯路,至今也无法形成一群体共识。
3、工控相关管理规定、制度和标准的缺失
工控安全最缺乏的是没有一个具有针对性的管理制度或规定,尽管行业管理部门相继推出一些指导性文件,但其可执行度差,是不争的事实;其相关指导性意见,涵盖面大,有些具体措施又难于执行,企业因此付出的成本又很高,造成工控安全工作,至今没有形成规模性的部署,没有为大家普遍接受。
3 工业集中控制系统安全的实践
工业集中控制系统不同于一般的相对独立的DCS、SCADA系统,其最大的特点是网络节点多,网络层级多;冗余性要求高。
一般的DCS系统,其网络架构相对简单,一个网络IP段就可完全满足其实际的需要。其网络核心不外乎两个冗余核心交换机组成的上位监控管理层和下位数据传输控制层;也有一些系统采用了环网或双环网技术组成了DCS控制系统网络架构;如图:
Scada系统的网络架构,一般遵循比较普遍的星形网络架构体系;通过双网冗余满足对上位监控管理层安全需求;其它下位数据采集和控制层(PLC或RTU)自成网络体系和控制体系,通过网络专线或数据加密认证传输实现组网。如图:
从图中我们可以看到,DCS系统网络与SCADA系统比较相对简单,但冗余性高;DCS系统网络节点少,SCADA系统网路节点多;DCS系统一般无需路由器或防火墙配置;SCADA系统一般需要路由器和防火墙配置;严格意义讲SCADA系统就是一种集中控制与数据采集系统;
如何将多个DCS系统或是多个SCADA系统构架成一个集中控制系统,其安全如何保障,是在我们面前的课题:
3.1 构建DCS系统集控网络所必备的条件
多个DCS系统构建一个集中控制网络架构体系,必须具备如下几个条件;
1、各个DCS系统必须进行网络IP地址的统一规划,要求在DCS系统设计时,设计单位或设备提供商和业主单位就必须有一个统一的要求;否则,事后调整时,是一件耗时、耗人、耗资源得不偿失的事。
2、在DCS系统与集中控制系统间网络通讯线路,为了保证其有效冗余,要求其采用专有线路,并采用不同的路径。集中控制中心网络的冗余等级与dcs系统保持一致。
3、必须在集中控制系统网络与各DCS系统间增加网络路由设备,以实现其网络间相互访问,不产地址冲突,便于集控系统的统一部署。
3.2 工业集中控制系统所必须的安全设备
工业集中控制系统网络的特点,要求我们必须在集中控制网络与各DCS系统间增加防火墙(工业防火墙),其主要目的是为了在保证集中控制网络与各DCS系统间正常通讯的前提下,通过其路由和策略的配置,实现各DCS网络系统间,不因各自的网络故障和安全风险波及到集控或其它DCS系统网络。对于各独立的DCS系统网络和集控网络,目前的做法是,通过各网络交换机的镜像功能,部署探针设备,将其网络数据进行采集和分析;实现对其各个DCS系统网络的监视。某些情况下,当控制数据需要上传到管理的时候,按照国家现有的要求,一般设置隔离网闸,实现对工控与管理的单向隔离。
3.3 工业集中控制系统所必须的安全策略
3.3.1 工控防火墙的安全策略:
作为工控网络边界安全设备,其安全策略规划和配置合理是确保边界安全的关键,一般工业级防火墙应具有如下功能:
1、防火墙兼具路由功能,客观上可以实现了对ip地址访问进行路由限制;一般的规则是只允许集中控制网络设备与各DCS系统可控的设备实现路由访问,但各DCS系统间,不能通过集中控制网络进行相互访问。
2、工业防火墙在集中控制网络与Dcs系统网络通讯时,具有典型的病毒传输拦截功能和网络攻击行为过滤功能;
3、防火墙在集中控制网络与Dcs系统网络通讯时进行通讯协议和端口限制;一般情况下,可采用白名单或黑名单进行控制。
4、防火墙在集中控制网络与Dcs系统网络通讯时对IP源、目地址进行限制;可采用白名单或黑名单进行控制。
3.3.2 网络探针的安全策略:
与防火墙的主动防御不同,网络探针完成的被动防御;通过网络镜像数据的解析分析,在病毒层,通讯协议和端口,以及源、目的IP地址,通过白名单或黑名单实现对过网数据的实时分析;当发现问题时,以报警或报告的方式通知维护人员。
3.3.3 单向隔离网闸的安全策略:
单向隔离网闸的安全策略比较简单,只是包括其网闸源侧IP源、目的及端口号;网闸目的侧ip源、目地及端口号;
3.3.4 工控安全集中管理平台:
考虑到工业集中控制系统安全设备多,部署地域不集中。部署安全集中管控设备用于实现对整个集中控制网络安全空间的安全设备和管理是十分必要的。目前,工业态势感知安全产品和横空出世,也契合工控领域安全管理的实际需要;包括工控集控系统安全设备的管理功能;工业安全集中管理平台应可以远程管理部署其网络中的探针设备和防火墙,统一登陆管理各设备的参设配置和系统日志查询功能;发现资产和可利用率分析功能;
1、各探针和防火墙的非正常数据处理和展示功能;态势分析和统计报表功能;
2、集控安全设备自身的管理功能,网络拓扑和设备运行状态分析功能;
3.3.5 单向隔离网闸
单向隔离网闸是工控与管理的边界防护设备,其具有数据单向传输1bit回位的特征;一般情况下,采用其标准配置即可。
3.4 实例分析
下图:为某企业集中监控系统拓扑图。
从图中我们可以看出,该集中监控系统分为两部分:一是基于三套DCS系统的集中控制部分;二是基于98套PLC系统的SCADA系统集中监控部分;现分别说明;
3.4.1 DCS集中控制系统架构:
该集中控制网络系统由两台核心交换机组成冗余双网,配备6台操作员站和一台工程师站实现对下属一套本地、两套异地的DCS系统的集中控制;每套DCS系统由两台上位核心交换机和下位数台数据采集控制设备组成冗余双网;每套DCS系统配备了操作员站和工程师站;
SCADA系统作为单网系统,为了保证实现与DCS系统实现数据交互通过防火墙与集中控制系统网络实现互联;三套DCS系统分通过本地双绞线、联通和移动SDH光纤、自建远程双环网分别通过两台工业防火墙实现与集中控制网路的冗余连接。
每套DCS系统的两台核心交换机上部署了一套网络镜像探针设备;其数据传输回路借用了B网进行传输。集中控制系统探针由一套网络镜像探针设备与SCADA核心网络设备共用。
3.4.2 SCADA集中控制系统架构
SCADA集中控制系统由上位核心交换机组成单网,其下位由不同区域98套PLC系统组成,每套PLC配备一台IPsecVPN防火墙,通过联通4M汇聚网络与SCADA IPsecVPN防火墙实现隧道连接;另外五套DCS系统通过单条网络光纤专线与SCADA IPsecVPN防火墙实现连接实现DCS数据向SCADA系统传送;将另外一套数据干线数据采集系统(SCADA)的数据通过单环网实现与SCADA IPsecVPN防火墙实现连接,实现SCADA系统间的数据传送。;
在SCADA网络上,通过接口服务器与一台单向隔离网闸实现向上级单位MES进行单向数据传送。
3.4.3 工控安全集中管理平台架构
实现将两台工控防火墙和4台网络探针设备的数据,通过借用DCS系统B网和专用网络,将安全设备和数据汇聚到一个虚拟专网,在专网上部署一套工业安全集中管理平台;用于对安全设备的管理和数据趋势分析。
4 结论
工控安全是关系国计民生的重大战略问题,在当今形势下,如何对工控行防护,防止来自内部、外部的安全威胁和恶意攻击,是工控安全领域面临的重大挑战。本文在CIES工控实验基地所取得成果的基础上,以三套DCS系统进行集中控制位核心,将SCADA系统与其它系统混合构建一套数据监控系统。应用计算机及网络技术手段实现工控安全系统的部署。
工控的安全保障,任重而道远;工控安全的实践使我们对其整体建设思路和后续发展方向有了一个清晰的认识;为今后类似系统的建设提供了依据。对于进一步增强工控安全,建立健全的安全防护体系,具有重大的推动作用。