1、 安全挑戰
工業控制系統如SCADA系統、DCS系統和PLC等目前已廣泛應用于工業基礎設施的各個領域,是工業自動化的核心組成部分,工業自動化的中樞神經。然而,工業控制系統自身也存在較多的安全漏洞與隱患,并可能被利用,一旦發生安全事件,直接造成的影響是生產停滯或設備損壞,給企業或市政機關帶來較大的經濟損失,更嚴重的還可能對生產人員的生命、健康產生危害。Stuxnet “震網病毒”事件已對工業控制系統的安全提出了警示,工業基礎設施工業控制系統的安全尤其顯得重要。為保障工業控制系統的信息安全,2011年9月工業和信息化部專門發文《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號),強調加強工業信息安全的重要性、緊迫性,并明確了重點領域工業控制系統信息安全的管理要求。如何對工業控制系統進行有效的安全防護,并滿足行業監管機構的要求,成為大多數行業用戶迫切需要解決的問題。
2、解決思路
SCADA、DCS、PLC等工業控制系統早期都運行在相對獨立、封閉的網絡中,運行獨特的工業控制協議,這些協議包括:OPC、Profinet、Ethernet/IP、Modbus、CAN等。這些通訊協議在設計之初,對安全方面考慮較少,隨著工業以太網的逐步推廣與應用,工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與互聯網等公共網絡連接,傳統IT信息網中的安全威脅已逐步滲透到生產控制網絡中,工業控制系統信息安全問題日益突出。目前單純從自動控制設備及工控協議優化的角度來提高工業控制系統安全性并不現實,需要針對目前工業控協議的脆弱性以及安全防護關鍵點進行風險分析,并部署相應的安全防護技術措施和安全產品,輔之以工控網安全管理和運維手段的提升,來進一步提高工業控制系統整體安全水平。
3 、方案部署
通過對工業控制系統網絡結構、各應用系統間數據訪問關系等進行梳理,明確工業控制網絡關鍵安全控制點及控制要素,并根據需求部署相應的安全產品同時借鑒工業控制領域國際最佳實踐或權威標準、指南等,包括NIST最新發布的Guide to Industrial Control Systems (ICS) Security(工業控制系統安全指南)和ANSI/ISA最新發布的ANSI/ISA-99 Standards等標準或指南,遵照工信部協451號文要求等,工業控制網絡安全防護產品部署拓撲如下圖所示:
通過在工業控制網絡中部署多功能安全網關、可信工業控制安全網關、可信主機安全防護平臺、網絡與數據庫操作行為審計等安全設備,綜合防御來自企業信息網以及監控管理層的安全威脅,保障監控中心關鍵設施及數據信息的安全,其中,可信工業控制安全網關能夠對工業以太網環境下工業控制協議的深度協議解析與攻擊防護,能夠保障監控管理層和過程控制層之間數據訪問與控制指令的安全性。4 、應用案例
通過本方案的建設與實施,幫組行業用戶建立起工業基礎設施安全保障體系,增強安全風險防范能力,促進工業控制系統安全、穩定運行,并滿足行業監管機構的合規要求。該方案目前已在河南中煙新鄭卷煙廠、漯河卷煙廠、新鄭州卷煙廠、中國化工、華北油田等行業用戶中得到很好應用,并將廣泛應用于核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱等涉及國計民生的工業基礎設施安全建設中。