工業(yè)控制系統安全體系架構與管理平臺

一、工業(yè)控制系統安全分析
　　
　　工業(yè)控制系統(IndustrialControlSystems,ICS)，是由各種自動化控制組件和實時數據采集、監(jiān)測的過程控制組件共同構成。其組件包括數據采集與監(jiān)控系統(SCADA)、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED)，以及確保各組件通信的接口技術。
　　
　　典型的ICS控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI執(zhí)行信息交互，遠程診斷與維護工具確保ICS能夠穩(wěn)定持續(xù)運行。
　　
　　1.1工業(yè)控制系統潛在的風險
　　
　　1.操作系統的安全漏洞問題
　　
　　由于考慮到工控軟件與操作系統補丁兼容性的問題，系統開車后一般不會對Windows平臺打補丁，導致系統帶著風險運行。
　　
　　2.殺毒軟件安裝及升級更新問題
　　
　　用于生產控制系統的Windows操作系統基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間。
　　
　　3.使用U盤、光盤導致的病毒傳播問題。
　　
　　由于在工控系統中的管理終端一般沒有技術措施對U盤和光盤使用進行有效的管理，導致外設的無序使用而引發(fā)的安全事件時有發(fā)生。
　　
　　4.設備維修時筆記本電腦的隨便接入問題
　　
　　工業(yè)控制系統的管理維護，沒有到達一定安全基線的筆記本電腦接入工業(yè)控制系統，會對工業(yè)控制系統的安全造成很大的威脅。
　　
　　5.存在工業(yè)控制系統被有意或無意控制的風險問題
　　
　　如果對工業(yè)控制系統的操作行為沒有監(jiān)控和響應措施，工業(yè)控制系統中的異常行為或人為行為會給工業(yè)控制系統帶來很大的風險。
　　
　　6.工業(yè)控制系統控制終端、服務器、網絡設備故障沒有及時發(fā)現而響應延遲的問題
　　
　　對工業(yè)控制系統中IT基礎設施的運行狀態(tài)進行監(jiān)控，是工業(yè)工控系統穩(wěn)定運行的基礎。
　　
　　1.2“兩化融合”給工控系統帶來的風險
　　
　　工業(yè)控制系統最早和企業(yè)管理系統是隔離的，但近年來為了實現實時的數據采集與生產控制，滿足“兩化融合”的需求和管理的方便，通過邏輯隔離的方式，使工業(yè)控制系統和企業(yè)管理系統可以直接進行通信，而企業(yè)管理系統一般直接連接Internet，在這種情況下，工業(yè)控制系統接入的范圍不僅擴展到了企業(yè)網，而且面臨著來自Internet的威脅。
　　
　　同時，企業(yè)為了實現管理與控制的一體化，提高企業(yè)信息化合綜合自動化水平，實現生產和管理的高效率、高效益，引入了生產執(zhí)行系統MES，對工業(yè)控制系統和管理信息系統進行了集成，管理信息網絡與生產控制網絡之間實現了數據交換。導致生產控制系統不再是一個獨立運行的系統，而要與管理系統甚至互聯網進行互通、互聯。
　　
　　1.3工控系統采用通用軟硬件帶來的風險
　　
　　工業(yè)控制系統向工業(yè)以太網結構發(fā)展，開放性越來越強?；赥CP/IP以太網通訊的OPC技術在該領域得到廣泛應用。在工業(yè)控制系統中，由于工業(yè)系統集成和使用的便利性，大量使用了工業(yè)以太環(huán)網和OPC通信協議進行了工業(yè)控制系統的集成;同時，也大量的使用了PC服務器和終端產品，操作系統和數據庫也大量的使用了通用的系統，很容易遭到來自企業(yè)管理網或互聯網的病毒、木馬、黑客的攻擊。
　　
　　二、工業(yè)控制系統安全防護設計
　　
　　通過以上對工業(yè)控制系統安全狀況分析，我們可以看到，工控系統采用通用平臺，加大了工控系統面臨的安全風險，而“兩化融合”和工控系統自身的缺陷造成的安全風險，主要從兩個方面進行安全防護。
　　
　　通過“三層架構，二層防護”的體系架構，對工業(yè)企業(yè)信息系統進行分層、分域、分等級，從而對工控系統的操作行為進行嚴格的、排他性控制，確保對工控系統操作的唯一性。
　　
　　通過工控系統安全管理平臺，確保HMI、管理機、控制服務工控通信設施安全可信。
　　
　　2.1構建“三層架構，二層防護”的安全體系
　　
　　工業(yè)控制系統需要進行橫向分層、縱向分域、區(qū)域分等級進行安全防護，否則管理信息系統、生產執(zhí)行系統、工業(yè)控制系統處于同一網絡平面，層次不清，你中有我、我中有你。來自于管理信息系統的入侵或病毒行為很容易對工控系統造成損害，網絡風暴和拒絕式服務攻擊很容易消耗系統的資源，使得正常的服務功能無法進行。
　　
　　2.1.1工控系統的三層架構
　　
　　一般工業(yè)企業(yè)的信息系統，可以劃分為管理層、制造執(zhí)行層、工業(yè)控制層。在管理信層與制造執(zhí)行系統層之間，主要進行身份鑒別、訪問控制、檢測審計、鏈路冗余、內容檢測等安全防護;在制造執(zhí)行系統層和工業(yè)控制系統層之間，主要避免管理層直接對工業(yè)控制層的訪問，保證制造執(zhí)行層對工業(yè)控制層的操作唯一性。工控系統三層架構如下圖所示：

　　
　　通過上圖可以看到，我們把工業(yè)企業(yè)信息系統劃分為三個層次，分別是計劃管理層、制造執(zhí)行層、工業(yè)控制層。
　　
　　管理系統是指以ERP為代表的管理信息系統(MIS)，其中包含了許多子系統，如：生產管理、物質管理、財務管理、質量管理、車間管理、能源管理、銷售管理、人事管理、設備管理、技術管理、綜合管理等等，管理信息系統融信息服務、決策支持于一體。
　　
　　制造執(zhí)行系統(MES)處于工業(yè)控制系統與管理系統之間，主要負責生產管理和調度執(zhí)行。通過MES，管理者可以及時掌握和了解生產工藝各流程的運行狀況和工藝參數的變化，實現對工藝的過程監(jiān)視與控制。
　　
　　工業(yè)控制系統是由各種自動化控制組件和實時數據采集、監(jiān)測的過程控制組件共同構成。主要完成加工作業(yè)、檢測和操控作業(yè)、作業(yè)管理等功能。
　　
　　2.1.2工控系統的二層防護
　　
　　1、管理層與MES層之間的安全防護
　　
　　管理層與MES層之間的安全防護主要是為了避免管理信息系統域和MES(制造執(zhí)行)域之間數據交換面臨的各種威脅，具體表現為：避免非授權訪問和濫用(如業(yè)務操作人員越權操作其他業(yè)務系統);對操作失誤、篡改數據，抵賴行為的可控制、可追溯;避免終端違規(guī)操作;及時發(fā)現非法入侵行為;過濾惡意代碼(病毒蠕蟲)。
　　
　　也就是說，管理層與MES層之間的安全防護，保證只有可信、合規(guī)的終端和服務器才可以在兩個區(qū)域之間進行安全的數據交換，同時，數據交換整個過程接受監(jiān)控、審計。管理層與MES層之間的安全防護如下圖所示：

　　
　　2、MES層與工業(yè)控制層之間的安全防護
　　
　　通過在MES層和生產控制層部署工業(yè)防火墻，可以阻止來自企業(yè)信息層的病毒傳播;阻擋來自企業(yè)信息層的非法入侵;管控OPC客戶端與服務器的通訊，實現以下目標：
　　
　　區(qū)域隔離及通信管控：通過工業(yè)防火墻過濾MES層與生產控制層兩個區(qū)域網絡間的通信，那么網絡故障會被控制在最初發(fā)生的區(qū)域內，而不會影響到其它部分。
　　
　　實時報警：任何非法的訪問，通過管理平臺產生實時報警信息，從而使故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現和解決。
　　
　　MES層與工業(yè)控制層之間的安全防護如下圖所示：