截至到2010年10月,全球已有约45000个网络感染Stuxnet“超级工厂病毒”。2011年CNVD(China National Vulnerability Database)收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。工厂车间信息安全面临越来越多的挑战,加强工厂网络信息安全的防护已经刻不容缓。
信息安全对于保障企业关键业务的运行非常重要,因此也越来越得到企业的重视。目前大部分的企业内部都建立了信息安全的防护机制,尤其是在病毒防护上,众多企业都异常的重视。但是,目前的病毒防护大部分企业都只注重办公网的防护,几乎很少企业涉及到对于工业网络的病毒防护。因为通常我们认为,计算机病毒无法影响到工控机的运行,因为大部分病毒是基于windows平台运行的。但是,在2010年震网(Stuxnet)病毒诞生改变了这一现实。这种复杂的电脑病毒将恶意软件作为一种网络武器来使用,通过USB和其他机制传播,可以影响特定工业控制系统的运行。
随着工业自动化程度的提高,在享受IT技术带来的益处的同时,针对工业控制网络的安全威胁也在与日俱增,工控机所受威胁也越来越大。据国家信息安全漏洞库公开数据表明,2011年CNVD(China National Vulnerability Database)收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。面对成倍增长针对工业控制系统的病毒,未来,工业网络信息安全会面临越来越多的挑战,工业网络信息安全防护已经到了刻不容缓的地步了。
一、Stuxnet病毒的新警示
导语:截至到2010年10月,全球已有约45000个网络感染Stuxnet“超级工厂病毒”。2011年CNVD(China National Vulnerability Database)收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。工厂车间信息安全面临越来越多的挑战,加强工厂网络信息安全的防护已经刻不容缓。Stuxnet是一种计算机蠕虫病毒,通过Windows操作系统此前不为人知的的漏洞感染计算机,同时该病毒针对具有西门子WINCC平台的控制系统以及Step7文件进行攻击,由于该病毒能够修改WINCC平台数据库变量,在Step7程序中插入代码以及功能块,即能够对控制系统发动攻击,故部分专家定义Stuxnet为“超级工厂病毒”。这个病毒,目前已经对伊朗国内工业控制系统产生极大影响,截至到2010年10月,全球已有约45000个网络被该蠕虫感染。西门子WINCC平台在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控,一旦攻击成功,则可能造成使用这些企业运行异常,甚至造成商业资料失窃、停工停产等严重事故。
Stuxnet病毒主要通过U盘和局域网进行传播,由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝,因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理,导致有人在局域网内使用了带毒U盘,则整个网络都会被感染。因此控制工程网版权所有,为了保证工厂信息安全,避免类似Stuxnet病毒的传播,必须加强工厂信息安全体系及架构的建设。
二、工厂信息安全的定义
导语:工厂信息安全防护包括:保护在工厂车间中广泛使用的如,工业以太网、数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等网络设备及工业控制系统的运行安全,确保工业以太网及工业系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。
对于工厂信息安全,目前还没有一个公认、统一的定义,但是目前对于信息安全,已经有较为统一的认识。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行CONTROL ENGINEERING China版权所有,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。工厂的信息安全就是应该对工厂车间内部的系统及终端设备进行安全防护。根据工厂内部所涉及的终端设备及系统,工厂信息安全包括:保护在工厂车间中广泛使用的如,工业以太网、数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等网络设备及工业控制系统的运行安全,确保工业以太网及工业系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。工厂信息安全涉及边界如图1所示。
MES系统的防护相对特殊,既要直接采集来源于生产现场的数据,同工厂生产车间中的各项终端设备都会进行直接的数据交互,而且也要同上层的ERP系统进行通讯,因此MES系统在大多数企业中,为了方便与ERP系统之间的数据交互与员工访问,通常会划分在办公网的安全防护体系中。但是,实际上由于MES系统能够直接对工业控制系统进行访问,因此控制工程网版权所有,对于MES系统的防护应该提升其系统防护级别,将MES系统与办公网进行隔离。工厂信息安全中最为基础的部分就是工业以太网,所以工业以太网网络首先得必须保证7*24*365天的可用性,必须能够不间断的可操作,能够确保系统的可访问性,数据能够实时进行传输,需要有完备的保护方案。工业以太网与普通办公网具体区别如下表所示:
表1 工业以太网与普通办公网对比
工厂信息安全的所带来的风险十分广泛,大致的威胁级别可以分为:未授权访问、数据窃取、数据篡改、病毒破坏工厂导致停产、破坏工厂导致事故。
1. 未授权访问 未授权访问是指,未经授权使用网络或未授权访问网络资源、文件的一种行为。主要包括非法进入系统或网络后进行操作的行为。
2.数据窃取 通过未授权的访问、网络监听等非法手段获取到有价值的信息或数据。
3. 数据篡改 据篡改即是对计算机网络数据进行修改、增加或删除,造成数据破坏。
4.破坏工厂导致停产 通过病毒或其他攻击手段对包括PLC、DCS在内的工业控制系统进行攻击,导致其无法正常工作从而影响企业的正常生产。
5. 破坏工厂导致事故 通过破坏工业控制系统的正常运作,导致控制无法正常读取诸如温度、转速等及时信息导致控制系统发出错误指令而导致的工厂事故。
三、工厂信息安全五层四区域的防护体系
对于工厂信息安全,仅靠传统的杀毒软件进行防护是远远不够的。只有一套完善的网络体系架构,才能真正的对于工厂信息安全进行防御。工厂信息安全的建设应该采用五层防御体系进行构建,严格的对区域进行划分。
第一道防线:商业(IT)防火墙,目前几乎所有的企业都有这一层的防护。此层的目的是将内部网和Internet网分开,从而保护内部网免受非法用户的侵入。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。通过此层的防御,可以过滤掉绝大多数的网络攻击。入侵者如果穿越防火墙,首先到达的就是办公网络的DMZ区域。但是办公网络的DMZ区域是不会涉及到工厂车间网络的任何服务器,所以,对于工厂信息的安全起到了最初级的防护作用。
第二道防线:抵御多种威胁的安全网关,安全网关的防护严格程度较第一道防线的防火墙的规则更加严格,并且够提供从协议级过滤到应用级过滤。入侵者如果成功穿越防火墙后,想进入更加核心的区域,那么就必须花费更多的时间及精力来进行攻击。
第三层防线:防病毒软件,普通办公用电脑的攻击价值非常低,一般的入侵者不会对其进行攻击,但是普通办公电脑确实一个攻击的平台,通过木马程序进行控制,非法访问一些服务器,将普通办公电脑当做一个跳板的作用。对于办公电脑来说,经常的使用U盘等移动设备会造成无法通过网络传播的病毒进行扩散。防毒软件能够监察计算机内的恶意程式,包括流行的各种病毒、木马、蠕虫和特洛伊木马,保护企业和用户计算机。
第四层:控制系统防火墙与IDS(IPS)系统,控制系统防火墙是专门针对工厂生产车间系统及网络部署的一道防火墙。此道防火墙会制定更加严格的规则,开放更加少的端口,避免入侵者从外部对工厂生产车间的网络及系统进行攻击。
同时,在此层级上由于工厂生产车间的敏感性,为了有效的对网络环境进行监控,在靠近终端设备处同时部署IDS或IPS系统的探测器。IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测病毒和网络异常通信,以便网络管理员采取相应措施。IDS入侵检测系统能够察觉黑客的入侵行为并且进行记录和处理。由于当病毒爆发时,会占用大量的工业以太网络带宽,使任务实时性执行出现闯题,IDS入侵检测系统能够及时检测出这种非法的占用,记录下病毒发出的连接,向上层管理计算机发出警告,同时它不影响整体网络的运行性能,非常适合工业以太网的网络特点。
图2IDS部署示意图
IPS(入侵防御系统)设备串接于路由器与防火墙,利用IPS能够快速终结DDOS、未知的蠕虫、异常应用程序流量攻击所造成的网络阻塞,实现对工业以太网的防护,同时它能保护防火墙和核心交换机等网络设备免遭入侵和攻击。IPS会在此类网络攻击扩散到网络的其它地方之前阻止这个恶意的通信,在网络中起到防御的作用。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。这种技术从源头控制了对工业以太网的恶意攻击。具体部署参考图4。
图3 IPS入侵防御系统
通过部署入侵检测系统及入侵防御系统后,工厂信息安全的防护体系基本趋于完善。能够对绝大多数病毒及攻击进行有效的防护。
第五层:安全可靠的现场设备
上面的四层都是从外部因素进行防御,做为工厂信息安全的基础部件,现场设备应该进行内部的防御。现场设备在选型时需要进行慎重的选择,避免选择一些功能系统不成熟的产品进行使用。如果已经选择了一些比较老款的产品,企业需注意严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。只有这样,现场设备才能保障自身系统安全。
图4 工厂信息安全网络架构
四区域的划分是按照业务职能和安全需求的不同,对网络进行划分,起到隔离、避免病毒任意扩散的作用。制造业企业的工业网络可以按照以下几个区域进行划分:
区域一:办公网DMZ区域
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施控制工程网版权所有,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说就多了一道关卡。
区域二:办公网络区域 在此区域中主要是为普通的办公PC以及不对外开放的企业信息系统,如ERP、PDM等系统服务器的区域。对于攻击者来说,从Internet网是无法直接访问到此区域的电脑及服务器的。
区域三:工业网络的DMZ区域 在此区域中主要存放包括MES系统、工业以太网IDS系统服务器。此区域主要是满足ICS管理与监控需要的需要,还能将实时采集到的终端数据提供给办公网络区域的人员进行访问。
区域四:满足自动化作业需要的控制区域 此区域中主要满足自动化设备,如可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)在内的各种采集器与上层系统(如MES系统)之间的数据传递。
四、工厂信息安全防护体系的实施
每种类型的企业对于工厂信息安全的防护要求也有所不同,根据不同类型企业, 采用的防护级别也有所不同。对于包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域应该重点防护。重点防护领域的企业在防护时应该主动进行防护措施www.cechina.cn,包括完善网络架构,采取工业网络独立运行,并且有备份网络链路的措施。另外,慎重选择工业控制系统设备;严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证;采用双网络架构,有备份链路;有专业人员进行维护;有针对工业以太网安全防护的系统及安全措施。
对于非重点行业的企业来说,也尽量将办公网与工业以太网分开进行部署。因为目前在工厂内使用自动化程度较高的数控机床的企业越来越多,而DNC系统的普及也对网络要求也越来越高CONTROL ENGINEERING China版权所有,一旦网络出现故障就会导致程序无法传输而影响生产,而且由于数控机床也会采用基于WINDOWS平台的数控系统,因此会受到网络病毒的攻击。因此独立开办公网与工业以太网是非常有必要的。如果能在网络中部署IDS入侵检测系统,是有利于避免因为网络病毒而导致的工厂停工的事件发生。
表3 不同行业防御部署重点
小结
工厂信息安全问题是项系统工程,不能单纯依靠和过分依赖某一种防护技术,任何安全措施都会有不足,各种安全措施能够提高系统安全性,不可能保证系统绝对安全。信息安全问题是伴随人类社会信息化的进程产生和发展的,必将会长期存在下去。这就要求我们时刻不能放松思想,争取在第一时间发现问题,并能够完善地解决问题,尽可能将损失降到最小。