工业控制系统信息安全的探讨及实现.pdfVIP

工业控制系统信息安全的探讨与实现 工业控制系统信息安全的探讨与实现 工工业业控控制制系系统统信信息息安安全全的的探探讨讨与与实实现现 --创建“本质安全”的控制网 --创建“本质安全”的控制网 创创建建““本本质质安安全全””的的控控制制网网 摘要：随着我国工业化和信息化的深度融合以及物联网的快速发展，SCADA、DCS、PLC 等工业控制系统面临的信息安全问题日益严重。为保证能源和基础设施行业控制系统的安全 稳定运行，需要建立有针对性的安全防护体系，创建“本质安全”的工业控制网。 关键词：工业控制系统 信息安全 SCADA网络 工业防火墙 Stuxnet 一、 前言 工信部协【2011】451号通知明确指出：“SCADA、DCS、PCS、PLC 等工业控制系统 广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。随着计算 机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系 统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连 接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010 年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。对此，各 地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控 制系统信息安全管理。” 本文分析了当前工业控制系统的安全漏洞，并结合工业控制系统的网络架构和多芬诺工 业防火墙的“测试”模式功能，详细介绍了工业控制系统信息安全的纵深防御策略，致力于 建立一个“本质安全”的工业控制网，从而解决了困扰各公司的控制系统信息安全隐患，保 证了企业各装置控制系统的安全平稳运行。 二、 工业控制系统信息安全现状分析 近十年来，随着信息技术的迅猛发展，信息化在我们企业中的应用取得了飞速发展，互 联网技术的出现，使得工业控制网络中大量采用通用 TCP/IP 技术，ICS 网络和企业管理网 的联系越来越紧密。另一方面，传统工业控制系统采用专用的硬件、软件和通信协议，设计 上基本没有考虑互联互通所必须考虑的通信安全问题。企业管理网与工业控制网的防护功能 都很弱或者甚至几乎没有隔离功能，因此在工控系统开放的同时，也减弱了控制系统与外界 的隔离，工控系统的安全隐患问题日益严峻。系统中任何一点受到攻击都有可能导致整个系 统的瘫痪。 2.1 工业控制系统的安全漏洞 1、通信协议漏洞 两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在 工业控制网络中，随之而来的通信协议漏洞问题也日益突出。 例如，OPC Classic协议(OPC DA, OPC HAD和OPC AE) 基于微软的DCOM协议，DCOM 协议是在网络安全问题被广泛认识之前设计的，极易受到攻击，并且OPC通讯采用不固定的 端口号，导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯 协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。 2、操作系统漏洞 目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，为保证过程控 制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师在系统开车后不会对 Windows平台安装任何补丁，但是存在的问题是，不安装补丁系统就存在被攻击的可能，从 而埋下安全隐患。 3、安全策略和管理流程漏洞 追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策 略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储 介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。 4、杀毒软件漏洞 为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件。即使安 装了杀毒软件，在使用过程中也有很大的局限性，原因在于使用杀毒软件很关键的一点是， 其病毒库需要不定期的经常更新，这一要求尤其不适合于工业控制环境。而且杀毒软件对新 病毒的处理总是滞后的，导致每年都会爆发大规模的病毒攻击，特别是新病毒。 5、应用软件漏洞 由于应用软件多