在智能工厂的建设过程中,需要从控制系统采集海量的实时数据,如何确保数据的安全性、有效性、稳定性,如何构建智能工厂工业控制系统安全体系,如何确保智能工厂建设中工业控制系统的安全稳定运行,保证控制系统运行质量,实现该系统安全防护的高效性、智能性、及时性和可追溯性,是需要解决的一个重要课题。本文主要是探讨工业控制系统安全的网络架构、全生命周期管理和一体化监控平台等。
1 工业控制系统安全背景
工业控制系统的范畴一般包括:分散控制系统(DIcS)、现场总线控制系统(FCS)、安全仪表系统(SIS)、数据采集和监控系统(SCADA)、可编程逻辑控制器(PLC)、工业控制计算机系统(IPC)(含嵌入式计算机系统)、机组控制系统(CCS)等。2000年以前的DCS等控制系统一般都有自己独立的操作系统,其开放性及通用性比较弱,因此几乎不存在网络安全风险。但目前的控制系统一般使用通用的开放的Windows操作系统,使用OPC采集数据,网络采用冗余工业以太网模式,尤其是服务器结构的DCS,一旦服务器出现异常,受侵害的不仅仅是一个操作站,而是整个系统的瘫痪。越来越多的控制系统安全案例表明,来自工厂信息网络、移动存储介质、互联网以及其他因素导致的网络安全问题正逐渐在控制系统中扩散,直接影响了装置的“安、稳、优”生产,尤其2010年,肆虐伊朗并使伊朗蒙受巨大损失的“震网病毒(STUXNET)”的爆发,更说明了问题的严重性和解决该问题的重要性。
近年来,随着以DCS为代表的工业控制系统在企业的普及应用,以及物联网的普及和“两化融合”的推进,工业控制系统正朝着网络化和智能化的方向发展。中国工业控制安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新情况、新形势和新挑战,给工业生产、经营、管理各个环节带来严重安全隐患。尤其是智能工厂的建设对装置数据采集的范围和频率要求越来越高,对控制系统的安全防护提出了更高的要求。
2 工业控制系统安全网络架构
典型工厂网络结构如图1所示。
图1 典型工厂网络结构示意
2.1 网络配置
从图1看出工厂网络结构层次可分为过程控制层、操作监控层、数据服务层和生产运行管理层四个层面。工业控制系统网络层次是指工厂网络的过程控制层和操作监控层。工业控制系统网络配置应符合“横向分区”和“纵向分层”的原则。该系统“横向分区”是指应根据工艺操作需要和数据交换最小原则进行网络分区。分区之间禁止互相操作和控制变量传输,确需传输少量过程变量的,应采用硬接线或者串行通信卡件方式实现。各分区网络和设备应能独立运行、独立启动,数据也需独立存储。过程控制层、操作监控层网络应按照物理子网或者设备虚拟局域网方式设置独立分区,优先采用物理子网的分区方式。
该系统“纵向分层”是指设置网络各层级,在操作监控层和生产运行管理层之间应设置数据服务层,各层级之间应采用网络交换机连接。与工业控制系统无关的网络和设备不得接人该系统网络。SIS数据应通过通信传输到DCS再与数据服务层相连。第三方应用系统、计算机或者控制设备,不得直接接人过程控制层交换机,应通过串行通信卡件的方式接人。第三方应用系统采用Modbus TCP/IP通信协议直接接入过程控制层交换机的设备和系统,应加装工业防火墙。
站数据服务层应配置网络流量分析设备,操作监控层应配置具有安全审计、异常监测和入侵检测功能等网络安全监控设备或者系统,及时发现外来的异常访问和可疑数据,记录并报警。工业控制系统应采用带网管功能的交换机,在操作监控层设置网管监控站,安装相应管理软件,监测管理交换机的端口、网络拓扑、工作状态、运行负荷。
2.2网络设备
不同物理网络分区之间以及不同网络分层之间的网络交换机均不得共用。禁止网络交换机采用级联或者堆叠方式扩展端口数量。过程控制层网络交换机和操作监控层网络交换机应按1:1冗余配置,并采用冗余供电方式。网络隔离设备应通过工业控制系统兼容性测试。OPC服务器与数据服务层之间、数据服务层与生产运行管理层之间应分别设置网络隔离设备。应关闭或者限制使用网络交换机、路由器不必要的物理端口,关闭或者限制使用服务器不必要的协议和服务。采用的网络隔离设备应具有检测和报警功能。
2.3访问控制
禁止工业控制系统面向其他网络开通HTTP,FTP,Telnet等网络服务。禁止从企业外部远程访问和维护DCS,FCS,SCADA,PLC,SIS,CCS等关键工业控制系统。要保留并定期备份远程访问日志,安全审计登录账户、访问时间、操作内容等日志信息。禁止第三方未经国家授权对运行中的工业控制系统进行渗透测试和攻击测试。工业控制系统供应商现场服务需要访问该系统时,应提交工作内容、工作计划和安全措施,经企业审核批准后方可进行。
2.4身份认证
登录、访问工业控制系统计算机应采用口令密码、USB密钥、指纹、IC卡等手段进行身份认证管理,采用口令密码时应设置强口令密码,并定期更新。对于关键设备、系统和平台的访问宜采用多因素认证。合理分类设置账户权限,按最小特权原则分配账户权限。定期审计账户和权限,并做审计记录。应加强身份认证信息保护,禁止在不同系统和网络环境下共享。
2.5数据备份
应对操作监控层的工程组态文件、控制回路设定参数、报警及联锁设定值等重要数据进行备份和保护,双份异地存储,每年至少备份一次,每次备份至少保留一个大修周期。未经授权人员不得使用备份数据。重要数据备份应使用光盘刻录方式或者使用专用的移动硬盘等存储设备备份数据。工业控制系统报废或者退出使用后,除保留必要的资料外,其余的资料和备份数据应清除或者销毁。
2.6时钟同步
工业控制系统应采用内置原子钟的时钟同步服务器,外部时钟源只参与装置检修和改造后的首次校准系统时间,宜选用国产北斗系统。
3 工业控制系统全生命周期安全管理
工业控制系统全生命周期安全管理构成如图2所示。
图2 工业控制系统全生命周期安全管理构成示意
3.1外来安全
3.1.1边界防护
边界防护是指过程控制层、操作监控层应通过OPC服务器、网络隔离设备向数据服务层传输数据。OPC服务器与数据服务层相连的网卡应独立设置。不同应用的OPC服务器应独立设置,禁止OPC服务器与工程师站共用。网络隔离设备应独立配置,禁止采用带有防火墙功能的网络交换机替代,禁止采用软件隔离代替硬件隔离。网络隔离设备应具备工业协议内容识别和网络访问控制能力,并启用网络访问策略保障双向通信安全。网络访问为双向访问时,宜使用工业防火墙,网络访问为单向访问时,可使用网闸或者数据采集隔离网关。边界防护结构如图3所示。
图3 边界防护结构示意
3.1.2主机防护
主机防护是指在DCS服务器和操作站上部署DCS探针软件用于采集监视DCS操作站核心控制及应用系统运行状态、安全隐患、异常及威胁等,采集方式为定期采集,采集数据采用加密的HTTPS通信通道保证数据安全不被篡改。DCS探针采集的数据包括系统故障、系统漏洞及补丁、系统配置、系统资源占用、用户操作行为、网络连接、网络服务、DCS核心业务进程及服务启停、防护能力状态、防护系统、外部存储接入等。同时部署硬件主机探针用于汇聚抑制DCS探针采集数据并转发给监控中心服务器,用于分析DCS网络服务启停状态、异常重启、在线状态、健康状态和防护系统启停状态等。
3.1.3网络防护
网络防护主要内容包括:
1)网络中部署防病毒软件。为了防止来自使用U盘、光盘等移动存储介质导致的病毒传播,可以在控制网的DCS操作站和服务器上安装经过DCS厂家认证的网络版杀毒软件,防病毒软件优先选用主动式病毒防护软件,以防止防病毒软件攻击正常操作软件导致事故发生,同时采用具有进程和服务配置功能的应用程序白名单和黑名单策略,并在网络上连接1台病毒库升级服务器,为每个操作站安装经过DCS厂家认证的最新的Windows补丁。建议工业控制系统在工厂安装、组态开发、测试期间应同步安装防病毒软件。发现该系统疑似被病毒感染时,应按照应急预案及时采取紧急防护措施,防止事件扩大。
2)安装网络探针。一般是在DCS控制网交换机上配置全流量镜像至网络探针。网络探针分析对镜像流量,具备资产发现、异常互联分析、分布式拒绝服务攻击(DDOS)攻击监测、互联监控、异常及危险指令监测和异常流量监测等功能。
3.1.4管理防护
在管理防护上主要做到六个方面:
1)工业控制系统安全防护设施建设应坚持同步设计、同步施工和同步投用的原则。
2)企业应明确工业控制系统安全防护工作的管理部门,制定安全方针和管理制度,明确职责,采用管理手段和技术措施,落实该系统安全升级等技术方案,部署安全防护措施,完善整体安全防护,制定该系统网络安全的应急预案,定期进行演练,不断提升安全应急处置水平。
3)企业应与各工业控制系统厂商建立信息沟通渠道,定期沟通,及时获取有关系统补丁、版本更新、病毒防护等最新信息。
4)企业应加强工业控制系统安全防护重要性的宣传、培训,提高安全防护意识,落实该系统安全防护措施,保障系统的安全稳定运行。
5)操作监控层的设备应采用最小化系统安装原则,禁止安装与工业控制系统功能和安全防护无关的软件和硬件,应采用封闭、加锁或者专用U盘管理接口工具等措施限制操作监控层设备的USB端口和光驱的使用,严格限制外来存储介质和文档的使用,应设置文件隔离终端,对外来存储介质必须经过专用的防病毒查杀工具进行查杀,确认安全后才能安装、使用。
6)企业应重视机柜间管理,采取视频监控、门禁、访问控制等手段进一步强化管理。
3.2 自身安全
3.2.1 预知维护
工业控制系统预知维护就是通过维护数据,结合该系统故障的历史、现状和运行环境等进行综合判断分析,预测工业控制系统隐患的发展趋势,抢在系统出现故障前提出防范措施和治理对策,将故障消灭在萌芽状态。
某石化公司要求各控制系统的维护人员每月至少做一次预知维护,根据对操作站的故障分析,预知维护首先从每月主动重启1次操作站,定期清理操作站软件垃圾和病毒开始,督促职工变被动维护为预知维护、主动维护,降低工业控制系统的故障次数,尤其是操作站的死机次数。该公司实行控制系统预知维护5 a的效果对比如图4所示。
图4 工业控制系统预知维护5 a的效果对比示意
从图4中可以看出,随着预知维护的实施,工业控制系统故障频率明显下降,由第1年的41.25次/月下降到第5年的14次/月,下降了66%,尤其是第2年下降最明显,达到了50%,可见实行预知维护是非常必要的。
3.2.2 日常维护
工业控制系统的日常维护主要是建立电子维护记录,每月分析13常维护记录,并找出规律和应对措施,对该系统运维中的典型案例,按故障现象、原因分析、处理步骤、预防措施等写出故障处理报告并上传维护系统。在该系统日常点检时要做到“两要两不要”:要点点检到,不要蜻蜒点水;要眼见为实,不要虚假记录。
3.2.3智能监控
工业控制系统的智能监控是指实时采集IX2S等控制系统的软硬件状态信息,包括各类卡件故障报警、温度超限报警、冗余设备故障报警、电源故障报警等,形成信息监控界面集中统一管理,并以Web形式发布,同时通过移动终端以短信形式接收控制系统软硬件报警信息,实现该系统“网上巡检”。
3.2.4资产管控
资产管控是指采集和整合DCS等控制系统运维所需的多种动态、静态信息,建立工业控制系统资产管控实时平台,实现基础资料信息化,提高维护效率,方便运维人员维护。资产管控的信息包括:DCS配置逻辑结构图、机柜布置图、DCS复杂控制回路组态信息、DCS卡件类型、数量、安装时间、维修记录、IO通道空余数量、I()通道使用情况等信息统计及资源管理。
4 工业控制系统安全监控平台
某石化公司工业控制系统安全监控平台主要包括:DCS探针软件、主机探针(硬件)、网络探针(硬件)、生产网与办公网间工业防火墙(硬件)、办公网监控中心服务器等,在保证不影响现有DCS正常监控业务、不改变现有DCS网络拓扑结构和保证DCS自身安全的同时,监控整个DCS的安全隐患、异常和威胁状态等,实现工业控制系统的安全可视化监控。工业控制系统安全监控平台功能如图5所示,该平台通过对采集数据进行归一化、异常分析、统计比对、数据挖掘等,构建资产画像和互联监控,实现资产发现、状态监控、安全隐患告警监控和数据视图展示等功能。同时对异常可溯源,对历史日志可管控。
图5 控制系统安全监控平台功能示意
5 结束语
充分利用网络态势感知先进、成熟、高效的解决方案,结合企业工业控制网络的运营环境、业务与威胁的特殊性,实现网络防护与安全运维的有机结合,重点提升工业控制生产安全监测、网络安全态势感知、安全防护和应急处置能力,为全面落实《网络安全法》对工业控制网络安全的防护要求打下坚实基础。充分利用大数据分析、物联网、可视化交互等技术手段,对工业控制网络内重要资产的生产环境、运行状态、安全风险、网络威胁进行多级别、多粒度、多维度的信息安全监管与保障,为目标用户提供海量资产管理、系统自动运维、异常行为监控、网络威胁预警与工业生产安全早期预警等核心能力。
原文刊载于《石油化工自动化》 2021年5月刊 作者:中国石化股份有限公司齐鲁分公司 王伟 苏耀东
了解更多精彩内容,请关注我们公众号【ID:xingongyecn】,或百度搜“新工业网”。
,
