《信息安全新焦点》.doc

2010年10月发生在伊朗核电站的“震网”（Stuxnet）病毒，为工业生产控制系统安全敲响了警钟。现在，国内外生产企业都把工业控制系统安全防护建设提上了日程。本文在对工业控制系统特点和面临的安全风险进行分析的基础上，提出了工业控制系统安全体系架构，并对实现工业控制系统安全的核心产品——启明星辰工控系统安全管理平台进行了说明。 一、?工业控制系统安全分析工业控制系统（Industrial Control Systems, ICS），是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED），以及确保各组件通信的接口技术。 典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成，控制回路用以控制逻辑运算，HMI 执行信息交互，远程诊断与维护工具确保ICS能够稳定持续运行。 1.1??工业控制系统潜在的风险 1.?操作系统的安全漏洞问题 由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对Windows平台打补丁，导致系统带着风险运行。 2.?杀毒软件安装及升级更新问题 用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件，给病毒与恶意代码传染与扩散留下了空间。 3.?使用U盘、光盘导致的病毒传播问题。 由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理，导致外设的无序使用而引发的安全事件时有发生。 4.?设备维修时笔记本电脑的随便接入问题 工业控制系统的管理维护，没有到达一定安全基线的笔记本电脑接入工业控制系统，会对工业控制系统的安全造成很大的威胁。 5.?存在工业控制系统被有意或无意控制的风险问题 如果对工业控制系统的操作行为没有监控和响应措施，工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。 6.?工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题 对工业控制系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。 1.2??“两化融合”给工控系统带来的风险 工业控制系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产控制，满足“两化融合”的需求和管理的方便，通过逻辑隔离的方式，使工业控制系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet，在这种情况下，工业控制系统接入的范围不仅扩展到了企业网，而且面临着来自Internet的威胁。 同时，企业为了实现管理与控制的一体化，提高企业信息化合综合自动化水平，实现生产和管理的高效率、高效益，引入了生产执行系统MES ，对工业控制系统和管理信息系统进行了集成，管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统，而要与管理系统甚至互联网进行互通、互联。 1.3?工控系统采用通用软硬件带来的风险 (工业控制系统向工业以太网结构发展，开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中，由于工业系统集成和使用的便利性，大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成；同时，也大量的使用了PC服务器和终端产品，操作系统和数据库也大量的使用了通用的系统，很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。 二、工业控制系统安全防护设计通过以上对工业控制系统安全状况分析，我们可以看到，工控系统采用通用平台，加大了工控系统面临的安全风险，而“两化融合”和工控系统自身的缺陷造成的安全风险，主要从两个方面进行安全防护。 通过“三层架构，二层防护”的体系架构，对工业企业信息系统进行分层、分域、分等级，从而对工控系统的操作行为进行严格的、排他性控制，确保对工控系统操作的唯一性。 ?通过工控系统安全管理平台，确保HMI、管理机、控制服务工控通信设施安全可信。 ???????? ? 2.1??构建“三层架构，二层防护”的安全体系 工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护，否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面，层次不清，你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害，网络风暴和拒绝式服务攻击很容易消耗系统的资源，使得正常的服务功能无法进行。 2.1.1??工控系统的三层架构 一般工业企业的信息系统，可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间，主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护；在制造执行系统层和工业控制系统层之间，主要避免管理层直接