基干工业控制系统安全体系建设探讨.docVIP

基于工业控制系统的安全体系建设研究 　　[摘 要] 当前，我国工业化和信息化的深度融合给工业控制系统（简称工控系统）带来了巨大的发展机遇，也带来了前所未有的挑战。我国工控系统安全建设仍处在起步阶段，如何建立全面的安全保障体系，减少面临的内外部的威胁，为推动两化深度融合、工业转型升级提供支持，是当前我国工控信息安全领域面临的重大挑战。本文提出了一种针对工控系统的安全体系建设框架，为企业开展工控安全建设提供借鉴指导 [关键词] 工控系统；安全体系；建设框架 doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 13. 062 [中图分类号] F273 [文献标识码] A [文章编号] 1673 - 0194（2016）13- 0117- 03 1 前 言 工业控制系统（ICS）是由各种自动化控制、实时数据采集、监测的过程控制等功能组件及子系统共同构成的，其功能组件主要包括数据采集与监控（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程监控单元（RTU）、智能电子设备（IED）等，子系统主要包括人机界面（HMI）、制造执行系统（MES）、历史/实时数据库以及工程师站/子系统监控站信息管理系统等。随着TCP/IP通用协议与开发标准的引入，以及物联网、云计算、移动互联网等新兴技术的不断广泛应用，使得工控系统理论上绝对的物理隔绝网络因为业务模式的改变变得不断开放，使得工控系统自身的安全漏洞日益凸显。近年来全球一系列工控安全事件的发生，工控系统的安全问题已经开始被政府、组织及企业所重视。我国工控系统网络安全建设仍处在起步阶段，针对工控网络的防护标准尚未成型、安全评估能力评测体系不健全，如何建立全面的信息安全保障体系，为推动两化深度融合、工业转型升级提供支持，是当前工控系统安全领域面临的重大挑战。本文介绍了一种基于工控系统的安全体系建设框架，为企业开展工控安全建设提供借鉴指导 工控安全体系框架应涵盖架构安全、连接安全、组网安全、配置安全、运维安全、数据安全等六部分 2 架构安全 工控系统网络架构设计应以保证工控系统的高可用性、业务连续性为目的，即使网络故障发生也在本层范围内，不会影响到其他层级。应采用纵深防御思想进行概念设计，实现横向分层、纵向分域、区域分等级，横向分层，即定义明确的安全边界，将全网划分为不同的安全网络层级，比如较为通用的“三层两防”结构（如图1所示） “三层”即管理层、执行层、控制层。管理层主要部署以ERP系统为代表的管理信息系统、执行层主要部署以MES为代表的生产管理和调度执行系统、控制层主要部署以SCADA为代表的各种工业自动化控制组件、实时数据采集及过程控制组件等。“两防”即三个层级之间部署两层防护。管理层与执行层之间，主要防护非法入侵、避免非授权访问和滥用、过滤恶意代码、篡改数据及抵赖等风险，部署入侵检测、终端准入、防病毒、访问控制、身份认证、网络审计等；执行层与控制层之间，主要防护系统漏洞、病毒传播、非法入侵等风险，部署工业级防火墙、入侵检测、防病毒、漏洞扫描、行为审计等；纵向分域，在三层结构中对有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络进行划分，设置安全域，比如按各生产车间划分，车间A的执行层和控制层可在同一安全域中，不同安全域之间通过工业防火墙等安全设备进行隔离。区域分等级，根据同一域中按不同系统的重要程度划分不同安全等级，采取不同等级的安全策略、安全环境、安全技术进行保障。此外，系统的核心网及骨干网应建设冗余链路，确认冗余链路应采用不同的网络方式构建；SCADA服务器、历史/实时数据库服务器、HMI服务器、核心交换机应进行硬件冗余；系统的网络带宽设计指标应大于网络带宽需求指标，网络带宽的充足性应满足异常生产工况、突发业务需求、最大业务处理对工业控制系统网络带宽的实际要求；当网络故障发生，链路自动切换。系统业务不中断、不丢失数据 3 连接安全 工控系统连接安全设计要明确边界控制，严格管理访问入口，既要防止外部攻击，也要防止内部人员越权访问、违规操作。①对于网络连接，控制层应尽量保持与管理层、执行层的物理隔离；对确实需要的连接，采取设置防火墙、网闸等措施加以防护，形成逻辑隔离。②对于会话连接，应部署访问控制设备阻断非授权访问、部署监控软件对各层边界数据交换情况进行异常行为检测、部署安全审计设备进行安全审计。③对于设备连接，严格控制系统专用网和公共网络之间移动存储介质、便携式计算机的交叉使用，如需使用移动设备，须使用专用设备，使用前经过特殊处理统一标识，同时部署敏感信息扫描软件等，限制关键工控数据传出 4 组网安全 工控系统组网时要充分考虑实用