中国仪器仪表行业协会现场总线专委会 卞正岗

       一、概述
        2012.5.22~23在北京举行了第11届工业自动化与标准化的研讨会，主题是测控系统Security & Safety，其中功能安全在往届研讨会中已经深入研讨过。第10届研讨会上，伯钠法就指出中国在TC65中的贡献就有IECB1010-2的新项目，包含了控制系统的安全要求和相关测试等。正如仪综所欧阳劲松所长所说，工业领域的安全可分为三类，即功能安全（Function Safety），物理安全（Physical Safety）和信息安全（Information Security）。作为信息安全，包含范围很大，工业控制系统的信息安全只是其中的一部分。我们要在全面了解通用信息安全的同时，了解工业控制系统信息安全的个性要求。相关标准前者是ISO/IEC 27000（27000为定义），后者是IECB2443。通用信息安全的三个目标依次为保密性、完整性和可用性www.cechina.cn，而工业控制系统信息安全的三个目标优先级服务则为可用性、完整性、保密性。IECB2443定名为“工业过程测量、控制和自动化网络与系统信息安全”，分4部分，即通用、信息安全程序、系统技术和部件技术，即涵蓄了对资产所有者（用户业主）、系统集成商、部件制造商的要求。欧阳劲松所长还指出信息安全的评估和测试，事关国家安全，所以要把它放在国人的手中。类似于功能安全中 SIL安全完整性等级，在IEC62443中引入信息安全保证等级（Security Assurance Level, SAL）的概念。考虑全生命周期的安全性，及出目标（target） SAL、设计（design）SAL、达到(achieved) SAL和能力（capability）SAL，进行评估和测试。
        会上机械工业仪器仪表综合技术经济研究所副总工程师梅恪后由王玉敏代发言，详细讲解了“工业控制系统信息安全中国标准化发展思路，”指出2011年11月，在拉斯维加斯举行的黑客大会上，演示了如何进攻中国主要基础行业正在使用的工控系统，并对信息安全领域情况、工业对信息安全的要求、标准化实施计划、评估和验收进行讲解。最后举实例进行识别危险源、给出数据统国、划分区域、划分管道、提出要求、采取措施、工程进行实施、考虑组织管理措施、人员能力指施、最后进行安全态势分析等项的说明。
        会上IEC/TC65新任秘书长如迪·比利亚迪对信息安全的标准化工作进行了全方面深入的讲演，为我们标准化工作志到了促进作用。欧洲电气电子行业机构、TÜV南德意志大中华集团对会议的有力支持也使用会议增色。会上还传达了工信部协[2011]45号关于加强工业控制系统信息安全管理的文件精神，使大家对信息安全更加重视。
        二、具体讲演和展示：
        会上除中国石化工程建设公司付总工程师林融属于最终用户讲演的外，国内外厂商十余家在两天内进行了讲解和演示，具体有菲尼克斯、ABB、CC-Link、霍尼韦尔、东土科技、多芬诺、施耐尔、西门子、贝加莱、E+H、罗克韦尔、和利时等公司，他们提供了相关硬件、软件和解决方案、工程经验，都证明信息安全、功能安全、物理安全有着丰富的实践经验有待总结，市场广阔、需求旺盛有待我们去引导，标准化工作更是适逢其时www.cechina.cn，顺应潮流。
        会上罗克韦尔华镕以远程访问工业自动化和控制系统为例解释了纵浑防御策略，指出信息安全实施步骤有8步；1，使用标准企业远程访问方案，基于客户机的形式，使用IP安保（IPsec）加密的虚拟个人网络（VPN）技术，通过因特网安全地连接企业的边界。VPN的建立需要对远程个人进行远程难证拨入用户服务（RADIUS），这通常是由IT部门组织实施和管理。2，使用隔离区（DMZ）/防火墙中的访问控制列表（ACL），限制远程伙伴通过Epsec到工厂现场的访问。通过隔离区连接到工厂现场，只能使用一种安全浏览器（HTTPS）。3，访问一个安全浏览器（HTTPS）门户应用，它运行于隔离区/防火墙上。这要求再次登录/验证。4，在远程客户机和工厂的隔离区HTTPS使用远程终端会话（如远程单方协议）。5，利用在防火墙上的侵入保护和检测系统（IPS/IDS），检查进出远程访问服务器的数据流，防止攻击和威胁，并适当地给予阻截。这对防止来自远程访问设备穿越防火墙和影响远程访问服务器的病毒和其他威胁是非常重要的。6，允许远程用户执行招待终端会话，访问驻留在远程访问服务器中的自动化和控制应用。需要应用级的登录/验证。7，执行应用安保功能，对访问远程访问服务器的用户，限制其应用功能（诸如只读，非在线功能）。8，把远程访问服务器分配到不同的虚拟局域网（VLAN），并且让所有在远程访问服务器到制造区域之间的数据流通过防火墙，对这个数据流使用侵入检测和保护服务，保护制造区域免受攻击、免受蠕虫   和病毒的破坏。
        并指出1~5步骤与IT部门关系密切，4~8步骤与生产部门关系密切。会上，其它家也提出信息安全纵深防御的技术，如施耐德提出浓度防御方法为与关键步骤：安全计划、网络分隔、边界保护、网段分离、设备“淬火”、监视更新，并且介绍了Conne Xium工业以太网防火墙。支持VPN等，还介绍了受保护的自动化系统如何防御威胁，做到“Cyber Security”(网络安全)。
        北京东土科技股份有限公司薛百华就“测控网络安全与工业以太网” 为题，详细介绍了该公司在工程实践中如何实现网络安全的经验和体会，指出测控网络的发展趋势：1、从局域网、城域网到广域网；2、各种测控网络互连成为趋势。指出物理层面临威胁，来自嵌入式智能装置的功能缺陷，没有设备认证防范能力，来自应用层软件及操作系统的漏洞、恶意代码等、POE面临的安全威胁，链路层的安全威胁（MAC泛洪变异）等等。介绍了工业以太网面对威胁解决策略，如ACL-MAC地址白名单认证；ACL-IP地址白名单认证；基于白名单的组插数据传输做到自学习和冻结组播地址表；查地认证的方式，做到加密认证确认报文；系统服务器认证模式（IEEE802.1x+RADIUS）；被IEEE 802.1AE阻止的Shadow Hosts模式；Linksec模型；受IEEE 802.1AE保护的帧格式等。还对工业网络设备选择提出了建议：选择具有管理功能的工业以太网交换机；选择具有ACL访问控制列表的功能；选择具有组播控制的功能的交换机；选择具有本地认证功能；选择具有远程服务认证功能等。
        三、一个切实可行的工业网络安全产品
        在会上，青岛多芬诺（TOFINO）是针对工业控制系统安全设计的防火墙，它是为了建立纵深防御的目标应运而生动安全产品。他解释纵深防御策略时说，发现病毒控制工程网版权所有，为时已晚即系统已遭受破坏了，只有防止病毒控制工程网版权所有，蠕虫等非法入侵，才是解决方法，也就是：即使在某一点发生网络安全事故，也能保证工厂正常运行；让工厂操作人员能够很迅速的找到问题，并进行处理。TOFINO基于ANSI/ISA-99区域与管道防护，模型基础上，做到每一个服务管道，防火墙只允许正确设备操作所必需的通信，即只允许特定的通信协议流通过，其它数据全部被过滤掉。它采用区域隔离、通信管控、实时报警三个措施，TOF/NO解决方案包含的组件为多芬诺安全设备模块TSA、组态软件一中央管理平台CMP、可装载安全软播件LSM。TSA为硬件模块、设计使用寿命27年，外形类似I/0模块和隔离器，环境温度可0~60℃（TSA-220）或-40~70℃（TSA-100），双电源供电可为2-48V或9-32VDC。继电器开关输出，有铜和/或光纤网络接口，有MUSIC 2008-1或2009-1安全认证。CMP功能如下：组态TSA硬件，管理网络配置，实时监控报警，网络通讯分析，LSM提供如下安全服务：防火墙，OPC通讯安全插件，Modbus通证安全播件，安全资产管理，事件报警记录，VPN（虚拟个人网络）。LSM团体操播件是下载到TSA里，它提供可定制的安全功能，满足控制系统的要求，可满足多种系统和现场总线通讯协议与模型（50多种）和安全防护要求，还可完成ESD/SIS安全系统的防护。
        TOF/NO工业网络安全解决方案实施步骤为：第一步，确定在何处放置TOF1NO安全设备来制造区级安全，相关模块是“即播一即保护”，无需停机安全；第二步；确定需要那些可加载安全功能软播件（LSMS），以确定每个区域安全不同的要求；第三步，选择一个服务器或工作站安全TOF/NO中央管理平台。具体应用事例很多，如中石化齐鲁石化公司，事先分析出原系统存在5个漏洞和物质缺陷，如网络连接采用控制系统经过接口机直接连至办公网的方式，中间无任何有效的隔离措施；又如控制系统现大部分都采用Windows平台，不能安装杀素养软件及进行系统补与更新；又如网络中一旦出现问题，无法进行原因事故和分析；越来越多的先进控制应用于现场控制，由于发进控制一般由厂家提供现场服务，并且往常使用U盘等移动介质，APC服务器感染言不由衷素养的概率较大，APC服务器和控制系统之间无有效的隔离措施；也控制系统与办公网络间接口机采用双网卡，此结构无法保证控制系统的真正安全。经过改选后，网络结构的优点如下：（1）将传统网络安全技术（VLAN划分）与TOFINO工业网络防火墙相结合，达到横向（不同装置系统之间和纵向信息网与控制网之间）全方位网络安全隔离的效果。（2）利用TOFINO的实时报警和历史记录功能对网络进行实时监控和历史查询。（3）OPC服务器或工程师站直接通过防火墙后连至数采网与接口机划为同一个VLAN，提高网络安全防护等级。（4）将APC先控站进行隔离。（5）CMP能用简单操作完成防火墙的配置，减少了网管人员的学习时间及配置时间和后期CONTROL ENGINEERING China版权所有，网络维护的工作量。其它还有国内20多个工程实例，国外20多个工程实例。