動感惠民生

信息時代工廠信息安全的防護措施

時間：2012-05-06 13:55:42 第一對焦：信息時代

時間：2012年5月6日來源：互聯(lián)網(wǎng) 關(guān)鍵詞：信息時代信息安全工業(yè)自動化

　　截至到2010年10月，全球已有約45000個網(wǎng)絡(luò)感染Stuxnet“超級工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。工廠車間信息安全面臨越來越多的挑戰(zhàn)，加強工廠網(wǎng)絡(luò)信息安全的防護已經(jīng)刻不容緩。　　信息安全對于保障企業(yè)關(guān)鍵業(yè)務(wù)的運行非常重要，因此也越來越得到企業(yè)的重視。目前大部分的企業(yè)內(nèi)部都建立了信息安全的防護機制，尤其是在病毒防護上，眾多企業(yè)都異常的重視。但是，目前的病毒防護大部分企業(yè)都只注重辦公網(wǎng)的防護，幾乎很少企業(yè)涉及到對于工業(yè)網(wǎng)絡(luò)的病毒防護。因為通常我們認為，計算機病毒無法影響到工控機的運行，因為大部分病毒是基于windows平臺運行的。但是，在2010年震網(wǎng)(Stuxnet)病毒誕生改變了這一現(xiàn)實。這種復(fù)雜的電腦病毒將惡意軟件作為一種網(wǎng)絡(luò)武器來使用，通過USB和其他機制傳播，可以影響特定工業(yè)控制系統(tǒng)的運行?！　‰S著工業(yè)自動化程度的提高，在享受IT技術(shù)帶來的益處的同時，針對工業(yè)控制網(wǎng)絡(luò)的安全威脅也在與日俱增，工控機所受威脅也越來越大。據(jù)國家信息安全漏洞庫公開數(shù)據(jù)表明，2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。面對成倍增長針對工業(yè)控制系統(tǒng)的病毒，未來，工業(yè)網(wǎng)絡(luò)信息安全會面臨越來越多的挑戰(zhàn)，工業(yè)網(wǎng)絡(luò)信息安全防護已經(jīng)到了刻不容緩的地步了?！　∫?、Stuxnet病毒的新警示　　導(dǎo)語：截至到2010年10月，全球已有約45000個網(wǎng)絡(luò)感染Stuxnet“超級工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。工廠車間信息安全面臨越來越多的挑戰(zhàn)，加強工廠網(wǎng)絡(luò)信息安全的防護已經(jīng)刻不容緩。Stuxnet是一種計算機蠕蟲病毒，通過Windows操作系統(tǒng)此前不為人知的的漏洞感染計算機，同時該病毒針對具有西門子WINCC平臺的控制系統(tǒng)以及Step7文件進行攻擊，由于該病毒能夠修改WINCC平臺數(shù)據(jù)庫變量，在Step7程序中插入代碼以及功能塊，即能夠?qū)刂葡到y(tǒng)發(fā)動攻擊，故部分專家定義Stuxnet為“超級工廠病毒”。這個病毒，目前已經(jīng)對伊朗國內(nèi)工業(yè)控制系統(tǒng)產(chǎn)生極大影響，截至到2010年10月，全球已有約45000個網(wǎng)絡(luò)被該蠕蟲感染。西門子WINCC平臺在我國的多個重要行業(yè)應(yīng)用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業(yè)的人機交互與監(jiān)控，一旦攻擊成功，則可能造成使用這些企業(yè)運行異常，甚至造成商業(yè)資料失竊、停工停產(chǎn)等嚴重事故。　　Stuxnet病毒主要通過U盤和局域網(wǎng)進行傳播，由于安裝SIMATIC WinCC系統(tǒng)的電腦一般會與互聯(lián)網(wǎng)物理隔絕，因此黑客特意強化了病毒的U盤傳播能力。如果企業(yè)沒有針對U盤等可移動設(shè)備進行嚴格管理，導(dǎo)致有人在局域網(wǎng)內(nèi)使用了帶毒U盤，則整個網(wǎng)絡(luò)都會被感染。因此，為了保證工廠信息安全，避免類似Stuxnet病毒的傳播，必須加強工廠信息安全體系及架構(gòu)的建設(shè)?！　《⒐S信息安全的定義　　導(dǎo)語：工廠信息安全防護包括：保護在工廠車間中廣泛使用的如，工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務(wù)?！　τ诠S信息安全，目前還沒有一個公認、統(tǒng)一的定義，但是目前對于信息安全，已經(jīng)有較為統(tǒng)一的認識。信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認證、訪問控制，不能有非法軟件駐留，不能有非法操作。工廠的信息安全就是應(yīng)該對工廠車間內(nèi)部的系統(tǒng)及終端設(shè)備進行安全防護。根據(jù)工廠內(nèi)部所涉及的終端設(shè)備及系統(tǒng)，工廠信息安全包括：保護在工廠車間中廣泛使用的如，工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務(wù)。工廠信息安全涉及邊界如圖1所示。　　MES系統(tǒng)的防護相對特殊，既要直接采集來源于生產(chǎn)現(xiàn)場的數(shù)據(jù)，同工廠生產(chǎn)車間中的各項終端設(shè)備都會進行直接的數(shù)據(jù)交互，而且也要同上層的ERP系統(tǒng)進行通訊，因此MES系統(tǒng)在大多數(shù)企業(yè)中，為了方便與ERP系統(tǒng)之間的數(shù)據(jù)交互與員工訪問，通常會劃分在辦公網(wǎng)的安全防護體系中。但是，實際上由于MES系統(tǒng)能夠直接對工業(yè)控制系統(tǒng)進行訪問，因此，對于MES系統(tǒng)的防護應(yīng)該提升其系統(tǒng)防護級別，將MES系統(tǒng)與辦公網(wǎng)進行隔離。工廠信息安全中最為基礎(chǔ)的部分就是工業(yè)以太網(wǎng)，所以工業(yè)以太網(wǎng)網(wǎng)絡(luò)首先得必須保證7*24*365天的可用性，必須能夠不間斷的可操作，能夠確保系統(tǒng)的可訪問性，數(shù)據(jù)能夠?qū)崟r進行傳輸，需要有完備的保護方案。工業(yè)以太網(wǎng)與普通辦公網(wǎng)具體區(qū)別如下表所示：　　

　　表1 工業(yè)以太網(wǎng)與普通辦公網(wǎng)對比　　工廠信息安全的所帶來的風(fēng)險十分廣泛，大致的威脅級別可以分為：未授權(quán)訪問、數(shù)據(jù)竊取、數(shù)據(jù)篡改、病毒破壞工廠導(dǎo)致停產(chǎn)、破壞工廠導(dǎo)致事故?！　?. 未授權(quán)訪問　　未授權(quán)訪問是指，未經(jīng)授權(quán)使用網(wǎng)絡(luò)或未授權(quán)訪問網(wǎng)絡(luò)資源、文件的一種行為。主要包括非法進入系統(tǒng)或網(wǎng)絡(luò)后進行操作的行為?！　?.數(shù)據(jù)竊取　　通過未授權(quán)的訪問、網(wǎng)絡(luò)監(jiān)聽等非法手段獲取到有價值的信息或數(shù)據(jù)?！　?. 數(shù)據(jù)篡改　　據(jù)篡改即是對計算機網(wǎng)絡(luò)數(shù)據(jù)進行修改、增加或刪除，造成數(shù)據(jù)破壞?！　?.破壞工廠導(dǎo)致停產(chǎn)　　通過病毒或其他攻擊手段對包括PLC、DCS在內(nèi)的工業(yè)控制系統(tǒng)進行攻擊，導(dǎo)致其無法正常工作從而影響企業(yè)的正常生產(chǎn)?！　?. 破壞工廠導(dǎo)致事故　　通過破壞工業(yè)控制系統(tǒng)的正常運作，導(dǎo)致控制無法正常讀取諸如溫度、轉(zhuǎn)速等及時信息導(dǎo)致控制系統(tǒng)發(fā)出錯誤指令而導(dǎo)致的工廠事故?！　∪⒐S信息安全五層四區(qū)域的防護體系　　對于工廠信息安全，僅靠傳統(tǒng)的殺毒軟件進行防護是遠遠不夠的。只有一套完善的網(wǎng)絡(luò)體系架構(gòu)，才能真正的對于工廠信息安全進行防御。工廠信息安全的建設(shè)應(yīng)該采用五層防御體系進行構(gòu)建，嚴格的對區(qū)域進行劃分?！　〉谝坏婪谰€：商業(yè)(IT)防火墻，目前幾乎所有的企業(yè)都有這一層的防護。此層的目的是將內(nèi)部網(wǎng)和Internet網(wǎng)分開，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。通過此層的防御，可以過濾掉絕大多數(shù)的網(wǎng)絡(luò)攻擊。入侵者如果穿越防火墻，首先到達的就是辦公網(wǎng)絡(luò)的DMZ區(qū)域。但是辦公網(wǎng)絡(luò)的DMZ區(qū)域是不會涉及到工廠車間網(wǎng)絡(luò)的任何服務(wù)器，所以，對于工廠信息的安全起到了最初級的防護作用。　　第二道防線：抵御多種威脅的安全網(wǎng)關(guān)，安全網(wǎng)關(guān)的防護嚴格程度較第一道防線的防火墻的規(guī)則更加嚴格，并且夠提供從協(xié)議級過濾到應(yīng)用級過濾。入侵者如果成功穿越防火墻后，想進入更加核心的區(qū)域，那么就必須花費更多的時間及精力來進行攻擊?！　〉谌龑臃谰€：防病毒軟件，普通辦公用電腦的攻擊價值非常低，一般的入侵者不會對其進行攻擊，但是普通辦公電腦確實一個攻擊的平臺，通過木馬程序進行控制，非法訪問一些服務(wù)器，將普通辦公電腦當做一個跳板的作用。對于辦公電腦來說，經(jīng)常的使用U盤等移動設(shè)備會造成無法通過網(wǎng)絡(luò)傳播的病毒進行擴散。防毒軟件能夠監(jiān)察計算機內(nèi)的惡意程式，包括流行的各種病毒、木馬、蠕蟲和特洛伊木馬，保護企業(yè)和用戶計算機。　　第四層：控制系統(tǒng)防火墻與IDS(IPS)系統(tǒng)，控制系統(tǒng)防火墻是專門針對工廠生產(chǎn)車間系統(tǒng)及網(wǎng)絡(luò)部署的一道防火墻。此道防火墻會制定更加嚴格的規(guī)則，開放更加少的端口，避免入侵者從外部對工廠生產(chǎn)車間的網(wǎng)絡(luò)及系統(tǒng)進行攻擊?！　⊥瑫r，在此層級上由于工廠生產(chǎn)車間的敏感性，為了有效的對網(wǎng)絡(luò)環(huán)境進行監(jiān)控，在靠近終端設(shè)備處同時部署IDS或IPS系統(tǒng)的探測器。IDS是Intrusion Detection System的縮寫，即入侵檢測系統(tǒng)，主要用于檢測病毒和網(wǎng)絡(luò)異常通信，以便網(wǎng)絡(luò)管理員采取相應(yīng)措施。IDS入侵檢測系統(tǒng)能夠察覺黑客的入侵行為并且進行記錄和處理。由于當病毒爆發(fā)時，會占用大量的工業(yè)以太網(wǎng)絡(luò)帶寬，使任務(wù)實時性執(zhí)行出現(xiàn)闖題，IDS入侵檢測系統(tǒng)能夠及時檢測出這種非法的占用，記錄下病毒發(fā)出的連接，向上層管理計算機發(fā)出警告，同時它不影響整體網(wǎng)絡(luò)的運行性能，非常適合工業(yè)以太網(wǎng)的網(wǎng)絡(luò)特點。　　

　　圖2IDS部署示意圖　　IPS(入侵防御系統(tǒng))設(shè)備串接于路由器與防火墻，利用IPS能夠快速終結(jié)DDOS、未知的蠕蟲、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)阻塞，實現(xiàn)對工業(yè)以太網(wǎng)的防護，同時它能保護防火墻和核心交換機等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊。IPS會在此類網(wǎng)絡(luò)攻擊擴散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信，在網(wǎng)絡(luò)中起到防御的作用。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進入你的網(wǎng)絡(luò)。這種技術(shù)從源頭控制了對工業(yè)以太網(wǎng)的惡意攻擊。具體部署參考圖4?！　?center>

　　圖3 IPS入侵防御系統(tǒng)　　通過部署入侵檢測系統(tǒng)及入侵防御系統(tǒng)后，工廠信息安全的防護體系基本趨于完善。能夠?qū)^大多數(shù)病毒及攻擊進行有效的防護?！　〉谖鍖樱喊踩煽康默F(xiàn)場設(shè)備　　上面的四層都是從外部因素進行防御，做為工廠信息安全的基礎(chǔ)部件，現(xiàn)場設(shè)備應(yīng)該進行內(nèi)部的防御?，F(xiàn)場設(shè)備在選型時需要進行慎重的選擇，避免選擇一些功能系統(tǒng)不成熟的產(chǎn)品進行使用。如果已經(jīng)選擇了一些比較老款的產(chǎn)品，企業(yè)需注意嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前要請專業(yè)技術(shù)機構(gòu)進行安全評估和驗證。只有這樣，現(xiàn)場設(shè)備才能保障自身系統(tǒng)安全?！　?center>

　　圖4 工廠信息安全網(wǎng)絡(luò)架構(gòu)　　四區(qū)域的劃分是按照業(yè)務(wù)職能和安全需求的不同，對網(wǎng)絡(luò)進行劃分，起到隔離、避免病毒任意擴散的作用。制造業(yè)企業(yè)的工業(yè)網(wǎng)絡(luò)可以按照以下幾個區(qū)域進行劃分：　　區(qū)域一：辦公網(wǎng)DMZ區(qū)域　　DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說就多了一道關(guān)卡。　　區(qū)域二：辦公網(wǎng)絡(luò)區(qū)域　　在此區(qū)域中主要是為普通的辦公PC以及不對外開放的企業(yè)信息系統(tǒng)，如ERP、PDM等系統(tǒng)服務(wù)器的區(qū)域。對于攻擊者來說，從Internet網(wǎng)是無法直接訪問到此區(qū)域的電腦及服務(wù)器的。　　區(qū)域三：工業(yè)網(wǎng)絡(luò)的DMZ區(qū)域　　在此區(qū)域中主要存放包括MES系統(tǒng)、工業(yè)以太網(wǎng)IDS系統(tǒng)服務(wù)器。此區(qū)域主要是滿足ICS管理與監(jiān)控需要的需要，還能將實時采集到的終端數(shù)據(jù)提供給辦公網(wǎng)絡(luò)區(qū)域的人員進行訪問。　　區(qū)域四：滿足自動化作業(yè)需要的控制區(qū)域　　此區(qū)域中主要滿足自動化設(shè)備，如可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設(shè)備(IED)在內(nèi)的各種采集器與上層系統(tǒng)(如MES系統(tǒng))之間的數(shù)據(jù)傳遞?！　⊥ㄟ^五層四區(qū)域的防護體系的搭建，基本能夠保證工廠信息安全，也能夠滿足各區(qū)域人員對于信息的需求?！　∷?、工廠信息安全防護體系的實施　　每種類型的企業(yè)對于工廠信息安全的防護要求也有所不同，根據(jù)不同類型企業(yè)，采用的防護級別也有所不同。對于包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域應(yīng)該重點防護。重點防護領(lǐng)域的企業(yè)在防護時應(yīng)該主動進行防護措施，包括完善網(wǎng)絡(luò)架構(gòu)，采取工業(yè)網(wǎng)絡(luò)獨立運行，并且有備份網(wǎng)絡(luò)鏈路的措施。另外，慎重選擇工業(yè)控制系統(tǒng)設(shè)備;嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前要請專業(yè)技術(shù)機構(gòu)進行安全評估和驗證;采用雙網(wǎng)絡(luò)架構(gòu)，有備份鏈路;有專業(yè)人員進行維護;有針對工業(yè)以太網(wǎng)安全防護的系統(tǒng)及安全措施?！　τ诜侵攸c行業(yè)的企業(yè)來說，也盡量將辦公網(wǎng)與工業(yè)以太網(wǎng)分開進行部署。因為目前在工廠內(nèi)使用自動化程度較高的數(shù)控機床的企業(yè)越來越多，而DNC系統(tǒng)的普及也對網(wǎng)絡(luò)要求也越來越高，一旦網(wǎng)絡(luò)出現(xiàn)故障就會導(dǎo)致程序無法傳輸而影響生產(chǎn)，而且由于數(shù)控機床也會采用基于WINDOWS平臺的數(shù)控系統(tǒng)，因此會受到網(wǎng)絡(luò)病毒的攻擊。因此獨立開辦公網(wǎng)與工業(yè)以太網(wǎng)是非常有必要的。如果能在網(wǎng)絡(luò)中部署IDS入侵檢測系統(tǒng)，是有利于避免因為網(wǎng)絡(luò)病毒而導(dǎo)致的工廠停工的事件發(fā)生?！　?center>

　　表3 不同行業(yè)防御部署重點　　小結(jié)　　工廠信息安全問題是項系統(tǒng)工程，不能單純依靠和過分依賴某一種防護技術(shù)，任何安全措施都會有不足，各種安全措施能夠提高系統(tǒng)安全性，不可能保證系統(tǒng)絕對安全。信息安全問題是伴隨人類社會信息化的進程產(chǎn)生和發(fā)展的，必將會長期存在下去。這就要求我們時刻不能放松思想，爭取在第一時間發(fā)現(xiàn)問題，并能夠完善地解決問題，盡可能將損失降到最小。

自動對焦：