面向全產(chǎn)業(yè)鏈環(huán)節(jié),綜合應(yīng)用現(xiàn)代傳感技術(shù)、網(wǎng)絡(luò)技術(shù)、自動(dòng)化技術(shù)、智能化技術(shù)和管理技術(shù)等先進(jìn)技術(shù),與現(xiàn)有生產(chǎn)過程的工藝和設(shè)備運(yùn)行技術(shù)高度集成的新型工廠,以實(shí)現(xiàn)復(fù)雜環(huán)境下生產(chǎn)運(yùn)營的高效、節(jié)能和可持續(xù)為目標(biāo)。
進(jìn)入21 世紀(jì)以來,信息與通信技術(shù)取得了突破性進(jìn)展,智能的網(wǎng)絡(luò)世界與物理世界融合產(chǎn)生了物聯(lián)網(wǎng)與信息物理融合系統(tǒng)。為了確保制造業(yè)世界領(lǐng)先地位,德國首先將信息技術(shù)應(yīng)用于制造工業(yè)的全周期中,開啟了Industry 4. 0 第四次工業(yè)革命。并全面論述了Industry 4.0 的愿景與目標(biāo)、主要內(nèi)容和采用的戰(zhàn)略,深入分析了智能工廠的體系架構(gòu),同時(shí)闡述了智能工廠創(chuàng)新聯(lián)盟正在開展的研發(fā)項(xiàng)目。我們應(yīng)該借鑒Industry 4.0 智能工廠的理念、方案與路線圖,勇于創(chuàng)新,加快我國裝備制造業(yè)轉(zhuǎn)型升級。
1.工業(yè)控制網(wǎng)絡(luò)安全現(xiàn)狀:
工業(yè)控制系統(tǒng)(ICS)廣泛應(yīng)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域,用于控制生產(chǎn)設(shè)備的運(yùn)行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞,將對工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,工業(yè)控制系統(tǒng)信息安全問題日益突出。尤其是“工業(yè)互聯(lián)網(wǎng)”、“工業(yè)4.0”、“兩化深度融合”、“互聯(lián)網(wǎng)+”等相關(guān)概念的提出,在國家政策、技術(shù)創(chuàng)新和工業(yè)參與者需求轉(zhuǎn)變等多個(gè)維度的共同驅(qū)動(dòng)和協(xié)同下,工業(yè)正朝著數(shù)字化、網(wǎng)絡(luò)化、開放化、集成化的工業(yè)互聯(lián)方向發(fā)展,將面臨更加復(fù)雜的信息安全威脅。
近年來,工業(yè)控制系統(tǒng)信息安全事件不斷發(fā)生,“震網(wǎng)”、“火焰”、“毒區(qū)”、“Havex”等惡意軟件嚴(yán)重影響了關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行,充分反映了工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢。工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)和事件數(shù)量依然呈上升趨勢。
根據(jù)美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)發(fā)布的2013年年報(bào)統(tǒng)計(jì),近幾年ICS-CERT接到的工控系統(tǒng)漏洞上報(bào)數(shù)量在不斷增加,其中在2013年接到的181個(gè)漏洞報(bào)告中,有177個(gè)被確認(rèn)是真實(shí)的工控系統(tǒng)漏洞,共涉及52個(gè)廠商。
在這177個(gè)被確認(rèn)的漏洞中,87%可以被通過網(wǎng)絡(luò)遠(yuǎn)程利用。在網(wǎng)絡(luò)化浪潮下的工業(yè)互聯(lián)時(shí)代,這些漏洞的潛在威脅正在不斷加大。在漏洞類型中,身份驗(yàn)證漏洞的數(shù)量最多。這些漏洞可能使具有初級水平的攻擊者就可以通過Internet獲得訪問工業(yè)控制設(shè)備的管理員權(quán)限。
國內(nèi),根據(jù)綠盟科技公司的統(tǒng)計(jì),2013年公開新增工業(yè)控制系統(tǒng)相關(guān)的漏洞共計(jì)78個(gè),相對于前兩年有所放緩,軟件漏洞數(shù)量有所回落,但硬件漏洞數(shù)量繼續(xù)保持持續(xù)增長趨勢。
根據(jù)美國ICS-CERT往年統(tǒng)計(jì)的工控信息安全事件數(shù)量可知,近幾年工業(yè)控制系統(tǒng)相關(guān)的信息安全事件正在呈快速增長的趨勢。在2013年的工控信息安全事件中,能源、制造業(yè)、市政等國家關(guān)鍵基礎(chǔ)設(shè)施受到的攻擊最為嚴(yán)重。這些信息安全事件涉及的主要攻擊方式包括水坑式攻擊、SQL注入攻擊和釣魚攻擊等。
我國也在積極探索漏洞挖掘與風(fēng)險(xiǎn)通報(bào)工作,2012年國務(wù)院的23號文與2011年工信部的451號文都提出要建立漏洞通報(bào)與發(fā)布制度。2012年,工業(yè)和信息化部啟動(dòng)了工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)發(fā)布工作。8月,工業(yè)和信息化部下發(fā)了《工業(yè)和信息化部辦公廳關(guān)于開展工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)信息發(fā)布工作的通知》(工信廳協(xié)函〔2012〕629號),對工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)信息發(fā)布工作做出了安排,指出工業(yè)和信息化部將不定期的向各地工業(yè)和信息化主管部門、有關(guān)國有大型企業(yè)及相關(guān)工業(yè)控制系統(tǒng)廠商發(fā)布《工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)提示》。
為支撐工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)發(fā)布工作,工業(yè)和信息化部也組織相關(guān)機(jī)構(gòu)建立工業(yè)控制系統(tǒng)信息安全模擬環(huán)境和測試實(shí)驗(yàn)室,形成工業(yè)控制系統(tǒng)信息安全攻防演練及漏洞驗(yàn)證和挖掘能力。同時(shí),我國也鼓勵(lì)研究機(jī)構(gòu)、工控產(chǎn)品廠商、信息安全廠商和研究人員積極參與工控風(fēng)險(xiǎn)“可發(fā)現(xiàn)”的研究工作,積極向主管部門上報(bào)風(fēng)險(xiǎn)。
2.安全防護(hù)體系需求
根據(jù)國家工業(yè)和信息化部【2011】451號文件要求,需要加強(qiáng)工業(yè)信息安全防護(hù)工作,結(jié)合實(shí)際制造過程,網(wǎng)絡(luò)總體需求如下:
(1)在保證自動(dòng)化及相關(guān)網(wǎng)絡(luò)通訊信息傳輸可靠、可用的基礎(chǔ)上,來完善智能制造網(wǎng)絡(luò)安全解決方案。
(2)結(jié)合工控網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)規(guī)范,對現(xiàn)有智能制造生產(chǎn)網(wǎng)絡(luò)架構(gòu)進(jìn)行優(yōu)化并說明;
(3)對生產(chǎn)網(wǎng)絡(luò)核心資產(chǎn)的防攻擊、防竊密;
(4)對生產(chǎn)網(wǎng)絡(luò)資產(chǎn)及安全狀況的監(jiān)控;
3.基于工業(yè)4.0的智能工廠安全防護(hù)體系
3.1 網(wǎng)絡(luò)邊界防護(hù)與邏輯隔離
網(wǎng)絡(luò)安全隔離防護(hù)的首要內(nèi)容就是實(shí)現(xiàn)網(wǎng)絡(luò)中一些重要的子系統(tǒng)之間網(wǎng)絡(luò)流量的訪問控制,這是網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)。目前工控網(wǎng)絡(luò)所面臨的安全威脅不僅僅是常規(guī)IT攻擊手段或病毒感染,而針對工控通訊協(xié)議和控制設(shè)備自身安全缺陷和漏洞的攻擊則會(huì)為工控系統(tǒng)帶來更成嚴(yán)重的危害,因此訪問控制粒度的把握成為工控網(wǎng)絡(luò)安全建設(shè)成敗的根本因素,以往的端口級訪問控制策略無法做到工業(yè)協(xié)議惡意代碼攻擊的防護(hù),這就需要在網(wǎng)絡(luò)邊界處設(shè)置具有工業(yè)協(xié)議深度包檢查(DPI)功能的工業(yè)防火墻系統(tǒng)來提供更加有效的工業(yè)協(xié)議應(yīng)用層防護(hù)。
部署位置:
企業(yè)信息網(wǎng)和生產(chǎn)網(wǎng)的隔離;
關(guān)鍵控制節(jié)點(diǎn)的保護(hù);
生產(chǎn)網(wǎng)區(qū)域之間隔離;
生產(chǎn)網(wǎng)和第三方系統(tǒng)邊界隔離防護(hù)(例如遠(yuǎn)程維護(hù))。
工業(yè)防火墻使用工業(yè)通訊協(xié)議白名單的技術(shù),內(nèi)置PC/Modbus/DNP3/Profinet/104等多種專有工業(yè)通信協(xié)議。與常規(guī)防火墻不同,工業(yè)協(xié)議防火墻不僅是在端口上的防護(hù),更對基于應(yīng)用層的數(shù)據(jù)包深度檢查,屬于新一代工業(yè)通訊協(xié)議防火墻,為工業(yè)通訊提供獨(dú)特的、工業(yè)級的專業(yè)隔離防護(hù)解決方案。
具備在線修改防火墻組態(tài)的功能,可以實(shí)時(shí)對組態(tài)的防火墻策略進(jìn)行修改,而且不影響工廠實(shí)時(shí)通訊。無需電廠停機(jī)就可在線直接插入使用,不需要對原有網(wǎng)絡(luò)進(jìn)行任何改動(dòng),不存在因安全規(guī)則配置錯(cuò)誤導(dǎo)致有效工業(yè)通訊被阻斷的隱患,大大降低了項(xiàng)目實(shí)施風(fēng)險(xiǎn)。為滿足工業(yè)環(huán)境的特點(diǎn),設(shè)計(jì)為雙電源供電,斷電報(bào)警輸出功能,無風(fēng)扇寬溫設(shè)計(jì),并提供可配置Bypass功能。
3.2在線審計(jì)與異常監(jiān)測
生產(chǎn)控制區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能,能夠?qū)ιa(chǎn)網(wǎng)絡(luò)通訊做行為分析,實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)中的通訊鏈路狀態(tài),溯源網(wǎng)絡(luò)中病毒木馬的傳播路徑;同時(shí),用戶可自定義異常狀態(tài)判定閾值,將發(fā)生的異常通訊以告警的形式匯總展示;此產(chǎn)品還同時(shí)具備工控協(xié)議及操作系統(tǒng)漏洞庫,可以檢測工控系統(tǒng)是否存在安全漏洞和隱患。
除了具備實(shí)時(shí)工業(yè)通訊協(xié)議行為解析外,審計(jì)設(shè)備也可像飛機(jī)的黑匣子一樣,能夠回溯及追查網(wǎng)絡(luò)安全問題,完成追根溯源。
包括功能如下:
網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)測;
網(wǎng)絡(luò)異常數(shù)據(jù)報(bào)警及追溯;
操作記錄及協(xié)議深度分析;(需要雙方配合)
信息竊取報(bào)警(通過網(wǎng)絡(luò)的文件或數(shù)據(jù)非法訪問及傳輸);
未知設(shè)備接入;
3.3計(jì)算機(jī)防病毒及主動(dòng)安全防御功能
生產(chǎn)控制區(qū)具備控制功能的系統(tǒng)應(yīng)當(dāng)逐步推廣應(yīng)用以密碼硬件為核心的可信計(jì)算技術(shù),用于實(shí)現(xiàn)計(jì)算環(huán)境和網(wǎng)絡(luò)環(huán)境安全可信,免疫未知惡意代碼破壞,應(yīng)對高級別的惡意攻擊。
由于工業(yè)控制環(huán)境的特殊性,惡意代碼庫難以獲得及時(shí)的升級,因此在工控系統(tǒng)中實(shí)施基于惡意代碼庫的惡意代碼防范,將存在嚴(yán)重滯后性。攻擊者可以輕易利用惡意代碼庫還未收集的惡意代碼侵入主機(jī)系統(tǒng),進(jìn)而破壞整個(gè)工控系統(tǒng)安全性。
可信計(jì)算終端防護(hù)由授權(quán)服務(wù)器和安全客戶端兩部分組成??蛻舳巳娑攘肯到y(tǒng)所有進(jìn)程,并將度量信息提交至授權(quán)服務(wù)器端,服務(wù)器對這些信息進(jìn)行編輯后生成白名單,供客戶端下載,客戶端依據(jù)所下載的白名單對系統(tǒng)和應(yīng)用進(jìn)行防護(hù),并將系統(tǒng)及應(yīng)用中的異常信息和攔截日志進(jìn)行上傳。
移動(dòng)存儲(chǔ)介質(zhì)是主機(jī)之間傳輸信息的重要途徑,因此對移動(dòng)存儲(chǔ)介質(zhì)的管控和審計(jì)也是整個(gè)工業(yè)控制系統(tǒng)安全建設(shè)的重要組成部分?;诳尚庞?jì)算技術(shù)構(gòu)建的移動(dòng)存儲(chǔ)介質(zhì)管控系統(tǒng),其主要功能包括:主機(jī)對移動(dòng)存儲(chǔ)介質(zhì)的身份認(rèn)證;主機(jī)對移動(dòng)存儲(chǔ)介質(zhì)的準(zhǔn)入控制;主機(jī)對準(zhǔn)入信息的下載更新。首先可信服務(wù)器為主機(jī)及移動(dòng)存儲(chǔ)設(shè)備頒發(fā)準(zhǔn)入證書,然后可信服務(wù)器將統(tǒng)一產(chǎn)生并發(fā)布主機(jī)對移動(dòng)存儲(chǔ)設(shè)備的準(zhǔn)入策略,形式為主機(jī)能插入的U盤列表,最后主機(jī)的準(zhǔn)入控制將基于兩個(gè)方面的策略來實(shí)施,即必須同時(shí)滿足這兩方面策略才能讀取或?qū)懭胍苿?dòng)存儲(chǔ)介質(zhì)的內(nèi)容,一方面移動(dòng)存儲(chǔ)介質(zhì)的身份位于主機(jī)的準(zhǔn)入策略的列表中,另一方面主機(jī)的身份必須位于移動(dòng)存儲(chǔ)介質(zhì)的準(zhǔn)入策略的列表中。
此外,移動(dòng)設(shè)備的接入和使用行為將被嚴(yán)格地審計(jì),包括接入時(shí)間、接入的操作站、訪問主體、被訪問客體、訪問方式、訪問結(jié)果、日期及時(shí)間、用戶信息等等。
3.4工控安全監(jiān)控需要綜合監(jiān)控功能
網(wǎng)絡(luò)安全管理平臺(tái),接收來自工業(yè)網(wǎng)絡(luò)防火墻和可信終端的報(bào)警及日志。具有工控網(wǎng)絡(luò)行為審計(jì)記錄的智能分析的功能,具備強(qiáng)大的審計(jì)日志存儲(chǔ)查詢功能,可以對海量的審計(jì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和網(wǎng)絡(luò)行為態(tài)勢分析,使系統(tǒng)安全運(yùn)維人員能夠通過實(shí)時(shí)日志展示畫面隨時(shí)監(jiān)控正在發(fā)生的不同級別審計(jì)日志和報(bào)警信息,也可以通過安全管理平臺(tái)的條件查詢、統(tǒng)計(jì)、篩選、圖表展示和態(tài)勢分析算法模型等強(qiáng)大的功能迅速得出網(wǎng)絡(luò)健康狀況,最終自動(dòng)獲得詳細(xì)的統(tǒng)計(jì)分析報(bào)告和事件處置方式建議,實(shí)現(xiàn)系統(tǒng)運(yùn)維管理的實(shí)時(shí)性、完整性、安全性、自動(dòng)化、智能化。
平臺(tái)針對工控網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和與智能安全分析,監(jiān)控平臺(tái)以底層工業(yè)防火墻、工控可信計(jì)算安全平臺(tái)以及其他網(wǎng)絡(luò)設(shè)備為探針,針對內(nèi)置的“工業(yè)控制網(wǎng)絡(luò)通訊行為模型庫”核心模塊,能及時(shí)檢測工業(yè)網(wǎng)絡(luò)中出現(xiàn)的工業(yè)攻擊、蠕蟲病毒及非法入侵、設(shè)備異常等情況,并對危及系統(tǒng)網(wǎng)絡(luò)安全的因素做出智能預(yù)警分析,為管理者提供決策支持,為工業(yè)網(wǎng)絡(luò)信息安全故障的及時(shí)排查、分析提供可靠地依據(jù)。
3.5控制系統(tǒng)網(wǎng)絡(luò)安全管理
生產(chǎn)控制網(wǎng)絡(luò)安全管理是整個(gè)安全方案中的必要手段,針對生產(chǎn)控制區(qū)內(nèi),無法采用軟硬件技術(shù)實(shí)現(xiàn)安全的,需采用管理手段進(jìn)行防護(hù)。
3.7 遠(yuǎn)程訪問安全技術(shù)
由產(chǎn)業(yè)鏈上不同控制車間/工廠通過互聯(lián)網(wǎng)共享數(shù)據(jù)信息。工業(yè)防火墻對生產(chǎn)數(shù)據(jù)防護(hù),提供通信安全的保障。
3.8 安全防火體系架構(gòu)圖:
4、結(jié)語
本文以縱深防御的防護(hù)理念為核心,結(jié)合智能制造中的工控信息安全的需求,推出一套基于可信計(jì)算、工業(yè)防火墻、工控審計(jì)與異常監(jiān)測、SMP安全管理平臺(tái)的縱深防御的解決方案,實(shí)現(xiàn)了智能制造工廠控制系統(tǒng)信息安全的縱深防御,能切實(shí)有效地保護(hù)工控系統(tǒng)遠(yuǎn)離木馬、蠕蟲、黑客等各種威脅和攻擊,保障企業(yè)生產(chǎn)安全穩(wěn)定運(yùn)行。
分享到微信 ×
打開微信,點(diǎn)擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。