通過上圖可以看到�,我們把工業(yè)企業(yè)信息系統劃分為三個層次,分別是計劃管理層��、制造執(zhí)行層��、工業(yè)控制層����。
管理系統是指以ERP為代表的管理信息系統(MIS),其中包含了許多子系統����,如:生產管理、物質管理���、財務管理���、質量管理、車間管理�、能源管理、銷售管理�����、人事管理����、設備管理、技術管理�、綜合管理等等���,管理信息系統融信息服務、決策支持于一體����。
制造執(zhí)行系統(MES)處于工業(yè)控制系統與管理系統之間,主要負責生產管理和調度執(zhí)行����。通過MES,管理者可以及時掌握和了解生產工藝各流程的運行狀況和工藝參數的變化�����,實現對工藝的過程監(jiān)視與控制��。
工業(yè)控制系統是由各種自動化控制組件和實時數據采集�����、監(jiān)測的過程控制組件共同構成��。主要完成加工作業(yè)�、檢測和操控作業(yè)、作業(yè)管理等功能。
2.1.2 工控系統的二層防護
1�����、管理層與MES層之間的安全防護
管理層與MES層之間的安全防護主要是為了避免管理信息系統域和MES(制造執(zhí)行)域之間數據交換面臨的各種威脅��,具體表現為:避免非授權訪問和濫用(如業(yè)務操作人員越權操作其他業(yè)務系統);對操作失誤��、篡改數據��,抵賴行為的可控制�、可追溯;避免終端違規(guī)操作;及時發(fā)現非法入侵行為;過濾惡意代碼(病毒蠕蟲)��。
也就是說����,管理層與MES層之間的安全防護,保證只有可信��、合規(guī)的終端和服務器才可以在兩個區(qū)域之間進行安全的數據交換���,同時��,數據交換整個過程接受監(jiān)控���、審計�����。管理層與MES層之間的安全防護如下圖所示:
2�����、MES層與工業(yè)控制層之間的安全防護
通過在MES層和生產控制層部署工業(yè)防火墻�,可以阻止來自企業(yè)信息層的病毒傳播; 阻擋來自企業(yè)信息層的非法入侵;管控OPC客戶端與服務器的通訊����,實現以下目標:
Ø 區(qū)域隔離及通信管控:通過工業(yè)防火墻過濾MES層與生產控制層兩個區(qū)域網絡間的通信,那么網絡故障會被控制在最初發(fā)生的區(qū)域內�,而不會影響到其它部分。
Ø 實時報警:任何非法的訪問����,通過管理平臺產生實時報警信息,從而使故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現和解決�����。
MES層與工業(yè)控制層之間的安全防護如下圖所示:
2.1.3 工控系統安全防護分域
安全域是指同一系統內有相同的安全保護需求�����,相互信任,并具有相同的安全訪問控制和邊界控制策略的子網或網絡�����,且相同的網絡安全域共享一樣的安全策略���。
在管理層、制造執(zhí)行層�����、工業(yè)控制層中�����,進行管理系統安全子域的劃分��,制造執(zhí)行安全子域的劃分��、工業(yè)控制安全子域的劃分���。 安全域的合理劃分�����,使用每一個安全域都要明確的邊界�����,便于對安全域進行安全防護�����。對MES�、ICS的安全域劃分如下圖所示:
如上圖所示,為了保證各個生產線的安全�����,對各個生產線進行了安全域劃分�,同時在安全域之間進行了安全隔離防護。
2.1.4 工控系統安全防護分等級
根據安全域在信息系統中的重要程度以及考慮風險威脅��、安全需求����、安全成本等因素,將其劃為不同的安全保護等級并采取相應的安全保護技術����、管理措施�,以保障信息的安全����。
安全域的等級劃分要做到每個安全域的信息資產價值相近,具有相同或相近的安全等級��、安全環(huán)境����、安全策略等��。安全域所涉及應用和資產的價值越高�,面臨的威脅越大,那么它的安全保護等級也就越高���。
2.2 構建工業(yè)控制系統安全管理平臺
工業(yè)控制系統和傳統信息系統具有大多數相同的安全問題���,但同時也存在獨特的安全需求。工業(yè)控制系統最大的安全需求是唯一性和排它性�,在某一特定的工業(yè)控制系統中,工業(yè)控制系統只需用唯一的工業(yè)應用程序和工業(yè)通信協議運行����,其他一概不需要�。
啟明星辰工業(yè)系統安全管理平臺為工業(yè)控制系統建立了一個相對可信的計算環(huán)境��,對工控系統管理終端和網絡通信具有非常強的安全控制功能�。工業(yè)控制系統安全管理平臺有兩部分組成,一部分是工業(yè)控制系統安全管理平臺�,具有終端管理、網絡管理��、行為監(jiān)控功能����,另一部分是終端安全管理客戶端。
2.2.1 管理平臺部分
工業(yè)控制系統的安全運行���,主要需要保障工業(yè)控制系統相關信息系統基礎設施的安全�����,包括工業(yè)以太網網絡�、操作終端��、關系數據庫服務器����、實時數據庫服務器����、操作和應用系統等各類IT資源的安全����,從工業(yè)控制系統安全的角度對工控系統的各類IT資源進行監(jiān)控(包括設備監(jiān)控、運行監(jiān)控與安全監(jiān)控)����,實現對安全事件的預警與響應,保障工業(yè)控制系統的安全穩(wěn)定運行�。
具體而言�����,工業(yè)控制系統安全管理平臺功能如下:
1. 能夠對應用服務器����、關系數據庫服務器、實時數據庫服務器����、工業(yè)以太網設備運行狀態(tài)進行監(jiān)控���,例如CPU、內存��、端口流量等等��。
2. 能夠對操作終端外設��、進程�、桌面進行合規(guī)性在線和離線管理。
3. 能夠對各層邊界數據交換情況進行監(jiān)控��。
4. 能夠對工業(yè)控制系統中的網絡操作行為進行審計���。
5. 能夠對工業(yè)控制系統日志進行關聯分析和審計��。
6. 能夠對工業(yè)控制系統中的異常事件進行預警響應���。
7. 能夠對工業(yè)企業(yè)信息系統進行虛擬安全域的劃分。
2.2.2 工業(yè)控制系統終端安全管理部分
由于工業(yè)控制系統管理終端的安全防護技術措施十分薄弱��,所以病毒���、木馬����、黑客等攻擊行為都利用這些安全弱點,在終端上發(fā)生��、發(fā)起���,并通過網絡感染或破壞其他系統�����。
工業(yè)控制系統終端最大特點是應用相對固定����,終端主要安裝工業(yè)控制系統程序�����,所以����,要防范傳統方式的病毒或木馬等惡意軟件�,最直接的方式就是利用工業(yè)控制系統對終端應用程序的進程進行管理。
具體而言,工業(yè)控制系統安全管理平臺終端安全管理部分功能如下:
1. 工業(yè)控制系統安全管理平臺客戶端軟件輕巧精煉�����,占用資源極少���,能夠最大程度保證工業(yè)控制系統管理終端的穩(wěn)定性�。
2. 工業(yè)控制系統安全管理平臺客戶端具有終端準入控制功能��,可以防止沒有達到安全基線的筆記本對終端進行管理����。
3. 工業(yè)控制系統安全管理平臺客戶端具有終端安全優(yōu)化與加固功能,能夠對工業(yè)控制系統終端進行安全優(yōu)化和加固�����,使終端安全水平達到一定的安全基線����。
4. 工業(yè)控制系統安全管理平臺客戶端具有外設管理功能,對工業(yè)控制系統的外設進行管理�,比如USB接口、光驅���、網卡�����、串口等���。
5. 工業(yè)控制系統安全管理平臺客戶端具有工業(yè)控制系統應用程序監(jiān)控功能�����,對終端中的工業(yè)控制系統軟件進行監(jiān)控和管理�。
6. 工業(yè)控制系統安全管理平臺客戶端具有工業(yè)通信協議監(jiān)控功能��。工業(yè)控制系統終端通信協議相對固定���,客戶端能夠對終端通信協議具有唯一性管理功能�����。
7. 工業(yè)控制系統安全管理平臺客戶端具有離線管理功能�,工業(yè)控制系統終端有一部分無法進行在線管理��,客戶端具有比較強大的離線自管理功能��,可以完成對離線終端的管理��。
8. 工業(yè)控制系統安全管理平臺客戶端具有強身份認證功能��,客戶端具有使用工業(yè)控制系統在線終端和離線終端都具有強身份認證功能����,從而防止工業(yè)控制系統被有意或無意被控制的風險。
三����、總結
國內外發(fā)生了多起由于工控系統安全問題而造成的生產安全事故。最鮮活的例子就是2010年10月發(fā)生在伊朗布什爾核電站的“震網”(Stuxnet)病毒�,為整改工業(yè)生產控制系統安全敲響了警鐘。
為此����,工信部在2011年10月下發(fā)了“關于加強工業(yè)控制系統信息安全管理的通知”,要求各級政府和國有大型企業(yè)切實加強工業(yè)控制系統安全管理��。工信部趙澤良司長也強調�����,工業(yè)控制系統安全工作也到了非加強不可的時候���,否則將影響到我國重要的生產設施的安全����。
本文根據工業(yè)控制系統安全防護的特點,提出了對工業(yè)控制系統進行分層����、分域、分等級�����,構建“三層架構���,二層防護”的工業(yè)控制系統安全體系架構思想;通過分析工業(yè)控制系統面臨的風險��,對作為工業(yè)控制系統安全防護的核心產品——工業(yè)控制系統安全管理平臺功能進行了說明����。工控系統安全管理平臺��,不僅是實現工業(yè)控制系統終端安全的產品�����,也是監(jiān)控工業(yè)控制系統IT基礎實施和操作行為的平臺。
