今日頭條
官方微信
官方抖音
資訊頻道
摘要:工業(yè)控制系統(tǒng)已經(jīng)應用到各個行業(yè)各個領域,本文主要介紹工控系統(tǒng)中的信息安全解決方案,希望能為行業(yè)用戶建立起工業(yè)基礎設施安全保障體系,增強安全風險防范能力,促進工業(yè)控制系統(tǒng)安全、穩(wěn)定運行,并滿足行業(yè)監(jiān)管機構的合規(guī)要求。
關鍵詞:安全技術;工控系統(tǒng);解決方案
Abstract: Industrial control system has been applied to all fields and domains. This paper mainly introduced security scheme of industrial control system. The paper wishes to establish industrial infrastructure security system, promote industrial control system security, and meet compliance requirements of industry regulators.
Key words: Security technology; Industrial control systems; Solutions
1 安全挑戰(zhàn)
工業(yè)控制系統(tǒng)如SCADA系統(tǒng)、DCS系統(tǒng)和PLC等目前已廣泛應用于工業(yè)基礎設施的各個領域,是工業(yè)自動化的核心組成部分,工業(yè)自動化的中樞神經(jīng)。然而,工業(yè)控制系統(tǒng)自身也存在較多的安全漏洞與隱患,并可能被利用,一旦發(fā)生安全事件,直接造成的影響是生產(chǎn)停滯或設備損壞,給企業(yè)及國家?guī)磔^大的經(jīng)濟損失,更嚴重的還可能對生產(chǎn)人員的生命、健康產(chǎn)生危害。Stuxnet“震網(wǎng)病毒”事件已對工業(yè)控制系統(tǒng)的信息安全提出了警示,工業(yè)基礎設施工業(yè)控制系統(tǒng)的信息安全尤其顯得重要。為保障工業(yè)控制系統(tǒng)的信息安全,2011年9月工業(yè)和信息化部專門發(fā)文《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號),強調(diào)工業(yè)信息安全的重要性、緊迫性,并明確了重點領域工業(yè)控制系統(tǒng)信息安全的管理要求。如何對工業(yè)控制系統(tǒng)進行有效的安全防護,并滿足行業(yè)監(jiān)管機構的要求,成為大多數(shù)行業(yè)用戶迫切需要解決的問題。
2 解決思路
SCADA、DCS、PLC等工業(yè)控制系統(tǒng)早期都運行在相對獨立、封閉的網(wǎng)絡中,運行獨特的工業(yè)控制協(xié)議,這些協(xié)議包括:OPC、Profinet、Ethernet/IP、Modbus、CAN等。這些通訊協(xié)議在設計之初,對安全方面考慮較少,隨著工業(yè)以太網(wǎng)的逐步推廣與應用,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接,傳統(tǒng)IT信息網(wǎng)中的安全威脅已逐步滲透到生產(chǎn)控制網(wǎng)絡中,工業(yè)控制系統(tǒng)信息安全問題日益突出。目前單純從自動控制設備及工控協(xié)議優(yōu)化的角度來提高工業(yè)控制系統(tǒng)安全性并不現(xiàn)實,需要針對目前工控協(xié)議的脆弱性以及安全防護關鍵點進行風險分析,并部署相應的安全防護技術措施和安全產(chǎn)品,輔之以工控網(wǎng)安全管理和運維手段的提升,從而進一步提高工業(yè)控制系統(tǒng)整體安全水平。
3 方案部署
通過對工業(yè)控制系統(tǒng)網(wǎng)絡結構、各應用系統(tǒng)間數(shù)據(jù)訪問關系等進行梳理,明確工業(yè)控制網(wǎng)絡關鍵安全控制點及控制要素,并根據(jù)需求部署相應的安全產(chǎn)品同時借鑒工業(yè)控制領域國際最佳實踐或權威標準、指南等,包括NIST最新發(fā)布的Guide to Industrial Control Systems (ICS) Security(工業(yè)控制系統(tǒng)安全指南)和ANSI/ISA最新發(fā)布的ANSI/ISA-99 Standards等標準或指南,遵照工信部協(xié)451號文要求等,工業(yè)控制網(wǎng)絡安全防護產(chǎn)品部署拓撲如圖1所示。
通過在工業(yè)控制網(wǎng)絡中部署多功能安全網(wǎng)關、可信工業(yè)控制安全網(wǎng)關、可信主機安全防護平臺、網(wǎng)絡與數(shù)據(jù)庫操作行為審計等安全設備,綜合防御來自企業(yè)信息網(wǎng)以及監(jiān)控管理層的安全威脅,保障監(jiān)控中心關鍵設施及數(shù)據(jù)信息的安全,其中,可信工業(yè)控制安全網(wǎng)關能夠對工業(yè)以太網(wǎng)環(huán)境下工業(yè)控制協(xié)議的深度協(xié)議進行解析與攻擊防護,能夠保障監(jiān)控管理層和過程控制層之間數(shù)據(jù)訪問與控制指令的安全性。
4 應用案例
通過本方案的建設與實施,希望幫助行業(yè)用戶建立起工業(yè)基礎設施信息安全保障體系,增強安全風險防范能力,促進工業(yè)控制系統(tǒng)安全、穩(wěn)定運行,并滿足行業(yè)監(jiān)管機構的合規(guī)要求。該方案目前已在河南中煙、中國化工、華北油田等行業(yè)用戶中得到很好應用,并將廣泛應用于核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱等涉及國計民生的工業(yè)基礎設施安全建設中。
作者簡介
藍旭華(1983-),杭州桐廬人,工程師,工學學士,現(xiàn)就職于杭州之山科技有限公司。
北京市公安局海淀分局備案號:11010802023656號