為保證能源和基礎設施行業控制系統的安全穩定運行,需要建立有針對性的安全防護體系。5月份,第11屆工業自動化與標準化的研討會在北京舉行,會議探討了測控系統Security&Safety。
2012.5.22~23在北京舉行了第11屆工業自動化與標準化的研討會,主題是測控系統Security&Safety,其中功能安全在往屆研討會中已經深入研討過。第10屆研討會上,伯鈉法就指出中國在TC65中的貢獻就有IECB1010-2的新項目,包含了控制系統的安全要求和相關測試等。正如儀綜所歐陽勁松所長所說,工業領域的安全可分為三類,即功能安全(FunctionSafety),物理安全(PhysicalSafety)和信息安全(Information Security)。作為信息安全,包含范圍很大,工業控制系統的信息安全只是其中的一部分。我們要在全面了解通用信息安全的同時,了解工業控制系統信息安全的個性要求。相關標準前者是ISO/IEC27000(27000為定義),后者是IECB2443。通用信息安全的三個目標依次為保密性、完整性和可用性,而工業控制系統信息安全的三個目標優先級服務則為可用性、完整性、保密性。IECB2443定名為“工業過程測量、控制和自動化網絡與系統信息安全”,分4部分,即通用、信息安全程序、系統技術和部件技術,即涵蓄了對資產所有者(用戶業主)、系統集成商、部件制造商的要求。歐陽勁松所長還指出信息安全的評估和測試,事關國家安全,所以要把它放在國人的手中。類似于功能安全中SIL安全完整性等級,在IEC62443中引入信息安全保證等級(Security Assurance Level,SAL)的概念。考慮全生命周期的安全性,及出目標(target)SAL、設計(design)SAL、達到(achieved)SAL和能力(capability)SAL,進行評估和測試。
會上機械工業儀器儀表綜合技術經濟研究所副總工程師梅恪后由王玉敏代發言,詳細講解了“工業控制系統信息安全中國標準化發展思路,”指出2011年11月,在拉斯維加斯舉行的黑客大會上,演示了如何進攻中國主要基礎行業正在使用的工控系統,并對信息安全領域情況、工業對信息安全的要求、標準化實施計劃、評估和驗收進行講解。最后舉實例進行識別危險源、給出數據統國、劃分區域、劃分管道、提出要求、采取措施、工程進行實施、考慮組織管理措施、人員能力指施、最后進行安全態勢分析等項的說明。
會上IEC/TC65新任秘書長如迪?比利亞迪對信息安全的標準化工作進行了全方面深入的講演,為我們標準化工作志到了促進作用。歐洲電氣電子行業機構、TÜV南德意志大中華集團對會議的有力支持也使用會議增色。會上還傳達了工信部協[2011]45號關于加強工業控制系統信息安全管理的文件精神,使大家對信息安全更加重視。
二、具體講演和展示:
會上除中國石化工程建設公司付總工程師林融屬于最終用戶講演的外,國內外廠商十余家在兩天內進行了講解和演示,具體有菲尼克斯、ABB、CC-Link、霍尼韋爾、東土科技、多芬諾、施耐爾、西門子、貝加萊、E H、羅克韋爾、和利時等公司,他們提供了相關硬件、軟件和解決方案、工程經驗,都證明信息安全、功能安全、物理安全有著豐富的實踐經驗有待總結,市場廣闊、需求旺盛有待我們去引導,標準化工作更是適逢其時,順應潮流。
會上羅克韋爾華镕以遠程訪問工業自動化和控制系統為例解釋了縱渾防御策略,指出信息安全實施步驟有8步;1,使用標準企業遠程訪問方案,基于客戶機的形式,使用IP安保(IPsec)加密的虛擬個人網絡(VPN)技術,通過因特網安全地連接企業的邊界。VPN的建立需要對遠程個人進行遠程難證撥入用戶服務(RADIUS),這通常是由IT部門組織實施和管理。2,使用隔離區(DMZ)/防火墻中的訪問控制列表(ACL),限制遠程伙伴通過Epsec到工廠現場的訪問。通過隔離區連接到工廠現場,只能使用一種安全瀏覽器(HTTPS)。3,訪問一個安全瀏覽器(HTTPS)門戶應用,它運行于隔離區/防火墻上。這要求再次登錄/驗證。4,在遠程客戶機和工廠的隔離區HTTPS使用遠程終端會話(如遠程單方協議)。5,利用在防火墻上的侵入保護和檢測系統(IPS/IDS),檢查進出遠程訪問服務器的數據流,防止攻擊和威脅,并適當地給予阻截。這對防止來自遠程訪問設備穿越防火墻和影響遠程訪問服務器的病毒和其他威脅是非常重要的。6,允許遠程用戶執行招待終端會話,訪問駐留在遠程訪問服務器中的自動化和控制應用。需要應用級的登錄/驗證。7,執行應用安保功能,對訪問遠程訪問服務器的用戶,限制其應用功能(諸如只讀,非在線功能)。8,把遠程訪問服務器分配到不同的虛擬局域網(VLAN),并且讓所有在遠程訪問服務器到制造區域之間的數據流通過防火墻,對這個數據流使用侵入檢測和保護服務,保護制造區域免受攻擊、免受蠕蟲和病毒的破壞。
并指出1~5步驟與IT部門關系密切,4~8步驟與生產部門關系密切。會上,其它家也提出信息安全縱深防御的技術,如施耐德提出濃度防御方法為與關鍵步驟:安全計劃、網絡分隔、邊界保護、網段分離、設備“淬火”、監視更新,并且介紹了ConneXium工業以太網防火墻。支持VPN等,還介紹了受保護的自動化系統如何防御威脅,做到“CyberSecurity”(網絡安全)。
北京東土科技股份有限公司薛百華就“測控網絡安全與工業以太網”為題,詳細介紹了該公司在工程實踐中如何實現網絡安全的經驗和體會,指出測控網絡的發展趨勢:1、從局域網、城域網到廣域網;2、各種測控網絡互連成為趨勢。指出物理層面臨威脅,來自嵌入式智能裝置的功能缺陷,沒有設備認證防范能力,來自應用層軟件及操作系統的漏洞、惡意代碼等、POE面臨的安全威脅,鏈路層的安全威脅(MAC泛洪變異)等等。介紹了工業以太網面對威脅解決策略,如ACL-MAC地址白名單認證;ACL-IP地址白名單認證;基于白名單的組插數據傳輸做到自學習和凍結組播地址表;查地認證的方式,做到加密認證確認報文;系統服務器認證模式(IEEE802.1x RADIUS);被IEEE802.1AE阻止的ShadowHosts模式;Linksec模型;受IEEE802.1AE保護的幀格式等。還對工業網絡設備選擇提出了建議:選擇具有管理功能的工業以太網交換機;選擇具有ACL訪問控制列表的功能;選擇具有組播控制的功能的交換機;選擇具有本地認證功能;選擇具有遠程服務認證功能等。
三、一個切實可行的工業網絡安全產品
在會上,青島多芬諾(TOFINO)是針對工業控制系統安全設計的防火墻,它是為了建立縱深防御的目標應運而生動安全產品。他解釋縱深防御策略時說,發現病毒,為時已晚即系統已遭受破壞了,只有防止病毒,蠕蟲等非法入侵,才是解決方法,也就是:即使在某一點發生網絡安全事故,也能保證工廠正常運行;讓工廠操作人員能夠很迅速的找到問題,并進行處理。TOFINO基于ANSI/ISA-99區域與管道防護,模型基礎上,做到每一個服務管道,防火墻只允許正確設備操作所必需的通信,即只允許特定的通信協議流通過,其它數據全部被過濾掉。
它采用區域隔離、通信管控、實時報警三個措施,TOF/NO解決方案包含的組件為多芬諾安全設備模塊TSA、組態軟件一中央管理平臺CMP、可裝載安全軟播件LSM。TSA為硬件模塊、設計使用壽命27年,外形類似I/0模塊和隔離器,環境溫度可0~60℃(TSA-220)或-40~70℃(TSA-100),雙電源供電可為2-48V或9-32VDC。繼電器開關輸出,有銅和/或光纖網絡接口,有MUSIC2008-1或2009-1安全認證。
CMP功能如下:組態TSA硬件,管理網絡配置,實時監控報警,網絡通訊分析,LSM提供如下安全服務:防火墻,OPC通訊安全插件,Modbus通證安全播件,安全資產管理,事件報警記錄,VPN(虛擬個人網絡)。LSM團體操播件是下載到TSA里,它提供可定制的安全功能,滿足控制系統的要求,可滿足多種系統和現場總線通訊協議與模型(50多種)和安全防護要求,還可完成ESD/SIS安全系統的防護。
TOF/NO工業網絡安全解決方案實施步驟為:第一步,確定在何處放置TOF1NO安全設備來制造區級安全,相關模塊是“即播一即保護”,無需停機安全;第二步;確定需要那些可加載安全功能軟播件(LSMS),以確定每個區域安全不同的要求;第三步,選擇一個服務器或工作站安全TOF/NO中央管理平臺。
具體應用事例很多,如中石化齊魯石化公司,事先分析出原系統存在5個漏洞和物質缺陷,如網絡連接采用控制系統經過接口機直接連至辦公網的方式,中間無任何有效的隔離措施;又如控制系統現大部分都采用Windows平臺,不能安裝殺素養軟件及進行系統補與更新;又如網絡中一旦出現問題,無法進行原因事故和分析;越來越多的先進控制應用于現場控制,由于發進控制一般由廠家提供現場服務,并且往常使用U盤等移動介質,APC服務器感染言不由衷素養的概率較大,APC服務器和控制系統之間無有效的隔離措施;也控制系統與辦公網絡間接口機采用雙網卡,此結構無法保證控制系統的真正安全。
經過改選后,網絡結構的優點如下:(1)將傳統網絡安全技術(VLAN劃分)與TOFINO工業網絡防火墻相結合,達到橫向(不同裝置系統之間和縱向信息網與控制網之間)全方位網絡安全隔離的效果。(2)利用TOFINO的實時報警和歷史記錄功能對網絡進行實時監控和歷史查詢。(3)OPC服務器或工程師站直接通過防火墻后連至數采網與接口機劃為同一個VLAN,提高網絡安全防護等級。(4)將APC先控站進行隔離。(5)CMP能用簡單操作完成防火墻的配置,減少了網管人員的學習時間及配置時間和后期,網絡維護的工作量。其它還有國內20多個工程實例,國外20多個工程實例。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://www.bb0031.cn/
