|
截至到2010年10月,全球已有約45000個網絡感染Stuxnet“超級工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。工廠車間信息安全面臨越來越多的挑戰,加強工廠網絡信息安全的防護已經刻不容緩。 信息安全對于保障企業關鍵業務的運行非常重要,因此也越來越得到企業的重視。目前大部分的企業內部都建立了信息安全的防護機制,尤其是在病毒防護上,眾多企業都異常的重視。但是,目前的病毒防護大部分企業都只注重辦公網的防護,幾乎很少企業涉及到對于工業網絡的病毒防護。因為通常我們認為,計算機病毒無法影響到工控機的運行,因為大部分病毒是基于windows平臺運行的。但是,在2010年震網(Stuxnet)病毒誕生改變了這一現實。這種復雜的電腦病毒將惡意軟件作為一種網絡武器來使用,通過USB和其他機制傳播,可以影響特定工業控制系統的運行。 隨著工業自動化程度的提高,在享受IT技術帶來的益處的同時,針對工業控制網絡的安全威脅也在與日俱增,工控機所受威脅也越來越大。據國家信息安全漏洞庫公開數據表明,2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。面對成倍增長針對工業控制系統的病毒,未來,工業網絡信息安全會面臨越來越多的挑戰,工業網絡信息安全防護已經到了刻不容緩的地步了。 一、Stuxnet病毒的新警示 導語:截至到2010年10月,全球已有約45000個網絡感染Stuxnet“超級工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。工廠車間信息安全面臨越來越多的挑戰,加強工廠網絡信息安全的防護已經刻不容緩。 Stuxnet是一種計算機蠕蟲病毒,通過Windows操作系統此前不為人知的的漏洞感染計算機,同時該病毒針對具有西門子WINCC平臺的控制系統以及Step7文件進行攻擊,由于該病毒能夠修改WINCC平臺數據庫變量,在Step7程序中插入代碼以及功能塊,即能夠對控制系統發動攻擊,故部分專家定義Stuxnet為“超級工廠病毒”。這個病毒,目前已經對伊朗國內工業控制系統產生極大影響,截至到2010年10月,全球已有約45000個網絡被該蠕蟲感染。西門子WINCC平臺在我國的多個重要行業應用廣泛,被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控,一旦攻擊成功,則可能造成使用這些企業運行異常,甚至造成商業資料失竊、停工停產等嚴重事故。 Stuxnet病毒主要通過U盤和局域網進行傳播,由于安裝SIMATIC WinCC系統的電腦一般會與互聯網物理隔絕,因此黑客特意強化了病毒的U盤傳播能力。如果企業沒有針對U盤等可移動設備進行嚴格管理,導致有人在局域網內使用了帶毒U盤,則整個網絡都會被感染。因此,為了保證工廠信息安全,避免類似Stuxnet病毒的傳播,必須加強工廠信息安全體系及架構的建設。 二、工廠信息安全的定義 導語:工廠信息安全防護包括:保護在工廠車間中廣泛使用的如,工業以太網、數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等網絡設備及工業控制系統的運行安全,確保工業以太網及工業系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為企業正常生產提供信息服務。 對于工廠信息安全,目前還沒有一個公認、統一的定義,但是目前對于信息安全,已經有較為統一的認識。信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。其根本目的就是使內部信息不受外部威脅,因此信息通常要加密。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟件駐留,不能有非法操作。 工廠的信息安全就是應該對工廠車間內部的系統及終端設備進行安全防護。根據工廠內部所涉及的終端設備及系統,工廠信息安全包括:保護在工廠車間中廣泛使用的如,工業以太網、數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等網絡設備及工業控制系統的運行安全,確保工業以太網及工業系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為企業正常生產提供信息服務。工廠信息安全涉及邊界如圖1所示。 MES系統的防護相對特殊,既要直接采集來源于生產現場的數據,同工廠生產車間中的各項終端設備都會進行直接的數據交互,而且也要同上層的ERP系統進行通訊,因此MES系統在大多數企業中,為了方便與ERP系統之間的數據交互與員工訪問,通常會劃分在辦公網的安全防護體系中。但是,實際上由于MES系統能夠直接對工業控制系統進行訪問,因此,對于MES系統的防護應該提升其系統防護級別,將MES系統與辦公網進行隔離。 
圖1工廠信息安全邊界 工廠信息安全中最為基礎的部分就是工業以太網,所以工業以太網網絡首先得必須保證7*24*365天的可用性,必須能夠不間斷的可操作,能夠確保系統的可訪問性,數據能夠實時進行傳輸,需要有完備的保護方案。工業以太網與普通辦公網具體區別如下表所示:
表1 工業以太網與普通辦公網對比 工廠信息安全的所帶來的風險十分廣泛,大致的威脅級別可以分為:未授權訪問、數據竊取、數據篡改、病毒破壞工廠導致停產、破壞工廠導致事故。 1. 未授權訪問 未授權訪問是指,未經授權使用網絡或未授權訪問網絡資源、文件的一種行為。主要包括非法進入系統或網絡后進行操作的行為。 2.數據竊取 通過未授權的訪問、網絡監聽等非法手段獲取到有價值的信息或數據。 3. 數據篡改 據篡改即是對計算機網絡數據進行修改、增加或刪除,造成數據破壞。 4.破壞工廠導致停產 通過病毒或其他攻擊手段對包括PLC、DCS在內的工業控制系統進行攻擊,導致其無法正常工作從而影響企業的正常生產。 5. 破壞工廠導致事故 通過破壞工業控制系統的正常運作,導致控制無法正常讀取諸如溫度、轉速等及時信息導致控制系統發出錯誤指令而導致的工廠事故。 下表為工業網絡與辦公網在風險源上的區別。
三、工廠信息安全五層四區域的防護體系 導語:對于工廠信息安全,僅靠傳統的殺毒軟件進行防護是遠遠不夠的。只有一套完善的網絡體系架構,才能真正的對于工廠信息安全進行防御。工廠信息安全的建設應該采用五層的防御體系進行構建,嚴格的對區域進行劃分。工廠信息安全五層主要是指:商業(IT)防火墻層次、安全網關層次、防病毒軟件層次、控制系統防火墻與IDS(IPS)系統層次、現場設備五層次的防護。 對于工廠信息安全,僅靠傳統的殺毒軟件進行防護是遠遠不夠的。只有一套完善的網絡體系架構,才能真正的對于工廠信息安全進行防御。工廠信息安全的建設應該采用五層防御體系進行構建,嚴格的對區域進行劃分。 第一道防線:商業(IT)防火墻 目前幾乎所有的企業都有這一層的防護。此層的目的是將內部網和Internet網分開,從而保護內部網免受非法用戶的侵入。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。通過此層的防御,可以過濾掉絕大多數的網絡攻擊。入侵者如果穿越防火墻,首先到達的就是辦公網絡的DMZ區域。但是辦公網絡的DMZ區域是不會涉及到工廠車間網絡的任何服務器,所以,對于工廠信息的安全起到了最初級的防護作用。 第二道防線:抵御多種威脅的安全網關 安全網關的防護嚴格程度較第一道防線的防火墻的規則更加嚴格,并且夠提供從協議級過濾到應用級過濾。入侵者如果成功穿越防火墻后,想進入更加核心的區域,那么就必須花費更多的時間及精力來進行攻擊。 第三層防線:防病毒軟件 普通辦公用電腦的攻擊價值非常低,一般的入侵者不會對其進行攻擊,但是普通辦公電腦確實一個攻擊的平臺,通過木馬程序進行控制,非法訪問一些服務器,將普通辦公電腦當做一個跳板的作用。對于辦公電腦來說,經常的使用U盤等移動設備會造成無法通過網絡傳播的病毒進行擴散。防毒軟件能夠監察計算機內的惡意程式,包括流行的各種病毒、木馬、蠕蟲和特洛伊木馬,保護企業和用戶計算機。 第四層:控制系統防火墻與IDS(IPS)系統 控制系統防火墻是專門針對工廠生產車間系統及網絡部署的一道防火墻。此道防火墻會制定更加嚴格的規則,開放更加少的端口,避免入侵者從外部對工廠生產車間的網絡及系統進行攻擊。 同時,在此層級上由于工廠生產車間的敏感性,為了有效的對網絡環境進行監控,在靠近終端設備處同時部署IDS或IPS系統的探測器。IDS是Intrusion Detection System的縮寫,即入侵檢測系統,主要用于檢測病毒和網絡異常通信,以便網絡管理員采取相應措施。IDS入侵檢測系統能夠察覺黑客的入侵行為并且進行記錄和處理。由于當病毒爆發時,會占用大量的工業以太網絡帶寬,使任務實時性執行出現闖題,IDS入侵檢測系統能夠及時檢測出這種非法的占用,記錄下病毒發出的連接,向上層管理計算機發出警告,同時它不影響整體網絡的運行性能,非常適合工業以太網的網絡特點。
圖2IDS部署示意圖 IPS(入侵防御系統)設備串接于路由器與防火墻,利用IPS能夠快速終結DDOS、未知的蠕蟲、異常應用程序流量攻擊所造成的網絡阻塞,實現對工業以太網的防護,同時它能保護防火墻和核心交換機等網絡設備免遭入侵和攻擊。IPS會在此類網絡攻擊擴散到網絡的其它地方之前阻止這個惡意的通信,在網絡中起到防御的作用。IPS將檢查入網的數據包,確定這種數據包的真正用途,然后決定是否允許這種數據包進入你的網絡。這種技術從源頭控制了對工業以太網的惡意攻擊。具體部署參考圖4。
圖3 IPS入侵防御系統 通過部署入侵檢測系統及入侵防御系統后,工廠信息安全的防護體系基本趨于完善。能夠對絕大多數病毒及攻擊進行有效的防護。 第五層:安全可靠的現場設備 上面的四層都是從外部因素進行防御,做為工廠信息安全的基礎部件,現場設備應該進行內部的防御。現場設備在選型時需要進行慎重的選擇,避免選擇一些功能系統不成熟的產品進行使用。如果已經選擇了一些比較老款的產品,企業需注意嚴格軟件升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證。只有這樣,現場設備才能保障自身系統安全。
圖4 工廠信息安全網絡架構 四區域的劃分是按照業務職能和安全需求的不同,對網絡進行劃分,起到隔離、避免病毒任意擴散的作用。制造業企業的工業網絡可以按照以下幾個區域進行劃分: 區域一:辦公網DMZ區域 DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡,因為這種網絡部署,比起一般的防火墻方案,對攻擊者來說就多了一道關卡。 區域二:辦公網絡區域 在此區域中主要是為普通的辦公PC以及不對外開放的企業信息系統,如ERP、PDM等系統服務器的區域。對于攻擊者來說,從Internet網是無法直接訪問到此區域的電腦及服務器的。 區域三:工業網絡的DMZ區域 在此區域中主要存放包括MES系統、工業以太網IDS系統服務器。此區域主要是滿足ICS管理與監控需要的需要,還能將實時采集到的終端數據提供給辦公網絡區域的人員進行訪問。 區域四:滿足自動化作業需要的控制區域 此區域中主要滿足自動化設備,如可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED)在內的各種采集器與上層系統(如MES系統)之間的數據傳遞。 通過五層四區域的防護體系的搭建,基本能夠保證工廠信息安全,也能夠滿足各區域人員對于信息的需求。 四、工廠信息安全防護體系的實施 導語:工廠信息安全雖然重要,但是不同行業的企業對于工廠信息安全的防護程度還是有所區別的。對于包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域應該重點防護。對于非重點行業的企業來說,也盡量將辦公網與工業以太網分開進行部署。 每種類型的企業對于工廠信息安全的防護要求也有所不同,根據不同類型企業, 采用的防護級別也有所不同。對于包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域應該重點防護。 重點防護領域的企業在防護時應該主動進行防護措施,包括完善網絡架構,采取工業網絡獨立運行,并且有備份網絡鏈路的措施。另外,慎重選擇工業控制系統設備;嚴格軟件升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證;采用雙網絡架構,有備份鏈路;有專業人員進行維護;有針對工業以太網安全防護的系統及安全措施。 對于非重點行業的企業來說,也盡量將辦公網與工業以太網分開進行部署。因為目前在工廠內使用自動化程度較高的數控機床的企業越來越多,而DNC系統的普及也對網絡要求也越來越高,一旦網絡出現故障就會導致程序無法傳輸而影響生產,而且由于數控機床也會采用基于WINDOWS平臺的數控系統,因此會受到網絡病毒的攻擊。因此獨立開辦公網與工業以太網是非常有必要的。如果能在網絡中部署IDS入侵檢測系統,是有利于避免因為網絡病毒而導致的工廠停工的事件發生。
表3 不同行業防御部署重點 小結 工廠信息安全問題是項系統工程,不能單純依靠和過分依賴某一種防護技術,任何安全措施都會有不足,各種安全措施能夠提高系統安全性,不可能保證系統絕對安全。信息安全問題是伴隨人類社會信息化的進程產生和發展的,必將會長期存在下去。這就要求我們時刻不能放松思想,爭取在第一時間發現問題,并能夠完善地解決問題,盡可能將損失降到最小。 來源:e-works |
