新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設計應用 > 工業(yè)控制系統(tǒng)信息安全的探討與實現(xiàn)

工業(yè)控制系統(tǒng)信息安全的探討與實現(xiàn)

作者: 時間:2016-12-20 來源:網(wǎng)絡 收藏

  將企業(yè)系統(tǒng)結構劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略,參照ANSI/ISA-99標準,同時結合工業(yè)系統(tǒng)的安全需要,可以將工業(yè)系統(tǒng)網(wǎng)絡劃分為下列不同的安全區(qū)域,如圖1所示:

  ·企業(yè)IT網(wǎng)絡區(qū)域
  ·過程信息/歷史數(shù)據(jù)區(qū)域
  ·管理/HMI區(qū)域
  ·DCS/PLC控制區(qū)域
  ·第三方控制系統(tǒng)區(qū)域,如安全儀表系統(tǒng)SIS

點擊放大圖片

圖1-工業(yè)系統(tǒng)網(wǎng)絡安全區(qū)域的劃分

  3.2 基于縱深防御策略的工業(yè)控制系統(tǒng)信息安全

  針對企業(yè)流程工業(yè)的特點,同時結合工業(yè)控制系統(tǒng)的網(wǎng)絡結構,基于縱深防御策略,創(chuàng)建“本質(zhì)安全”的工業(yè)控制網(wǎng)絡需要以下五個層面的安全防護,如圖2所示:

點擊放大圖片

圖2-工業(yè)控制系統(tǒng)信息安全的縱深防御

  (1)企業(yè)管理層和數(shù)采監(jiān)控層之間的安全防護

  在企業(yè)管理層和數(shù)采監(jiān)控層之間加入防火墻,一方面提升了網(wǎng)絡的區(qū)域劃分,另一方面更重要的是只允許兩個網(wǎng)絡之間合法的數(shù)據(jù)交換,阻擋企業(yè)管理層對數(shù)采監(jiān)控層的未經(jīng)授權的非法訪問,同時也防止管理層網(wǎng)絡的病毒感染擴散到數(shù)采網(wǎng)絡。

  考慮到企業(yè)管理層一般采用通用以太網(wǎng),要求較高的通訊速率和帶寬等因素,對此部位的安全防護建議使用常規(guī)的IT防火墻。

  (2)數(shù)采監(jiān)控層和控制層之間的安全防護

  該部位通常使用OPC通訊協(xié)議,由于OPC通訊采用不固定的端口號,使用傳統(tǒng)的IT防火墻進行防護時,不得不開放大規(guī)模范圍內(nèi)的端口號。在這種情況下,防火墻提供的安全保障被降至最低。

  因此,在數(shù)采監(jiān)控層和控制層之間應安裝專業(yè)的工業(yè)防火墻,解決OPC通訊采用動態(tài)端口帶來的安全防護瓶頸問題,阻止病毒和任何其它的非法訪問,這樣來自防護區(qū)域內(nèi)的病毒感染就不會擴散到其他網(wǎng)絡,提升網(wǎng)絡區(qū)域劃分能力的同時從本質(zhì)上保證了網(wǎng)絡通訊安全。

  (3)保護關鍵控制器

  考慮到和控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議,或者其它工業(yè)通信標準如Modbus等。由于常規(guī)的IT防火墻和網(wǎng)閘等安全防護產(chǎn)品都不支持工業(yè)通訊協(xié)議,因此,對關鍵的控制器的保護應使用專業(yè)的工業(yè)防火墻。一方面對防火墻進行規(guī)則組態(tài)時只允許制造商專有協(xié)議通過,阻擋來自操作站的任何非法訪問;另一方面可以對網(wǎng)絡通訊流量進行管控,可以指定只有某個專有操作站才能訪問指定的控制器;第三方面也可以管控局部網(wǎng)絡的通訊速率,防止控制器遭受網(wǎng)絡風暴及其它攻擊的影響,從而避免控制器死機。

  (4)隔離工程師站,保護APC先控站

  對于網(wǎng)絡中存在的工程師站和APC先控站,考慮到工程師站和APC節(jié)點在項目實施階段通常需要接入第三方設備(U盤、筆記本電腦等),而且是在整個控制系統(tǒng)開車的情況下實施,受到病毒攻擊和入侵的概率很大,存在較高的安全隱患。

  在工程師站和APC先控站前端增加工業(yè)防火墻,可以將工程師站和APC節(jié)點單獨隔離,防止病毒擴散,保證了網(wǎng)絡的通訊安全。

  (5)和第三方控制系統(tǒng)之間的安全防護

  使用工業(yè)防火墻將SIS安全儀表系統(tǒng)等第三方控制系統(tǒng)和網(wǎng)絡進行隔離后,主要是為了確保兩個區(qū)域之間數(shù)據(jù)交換的安全,管控通訊數(shù)據(jù),保證只有合法可信的、經(jīng)過授權的訪問和通訊才能通過網(wǎng)絡通信管道。同時也提升了網(wǎng)絡安全區(qū)域劃分能力,有效地阻止了病毒感染的擴散。

  3.3 報警管理平臺

  報警管理平臺的功能包括集成系統(tǒng)中所有的事件和報警信息,并對報警信息進行等級劃分。提供實時畫面顯示、歷史數(shù)據(jù)存儲、報警確認、報警細目查詢、歷史數(shù)據(jù)查詢等功能。報警管理平臺還負責捕獲現(xiàn)場所有安裝有工業(yè)防火墻的通訊信道中的攻擊,并詳細顯示攻擊來自哪里、使用何種通信協(xié)議、攻擊目標是誰,以總攬大局的方式為工廠網(wǎng)絡故障的及時排查、分析提供了可靠依據(jù)。

  3.4 “測試”模式

  系統(tǒng)工程師可以利用多芬諾工業(yè)防火墻提供的“測試”模式功能,在真正部署防火墻之前,在真實工廠操作環(huán)境中對防火墻規(guī)則進行測試。通過分析確認每一條報警信息,實現(xiàn)全面的控制功能,從而確保工控需求的完整性和可靠性。

  四、總結

  工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫,本文針對企業(yè)流程工業(yè)的特點,同時結合工業(yè)控制系統(tǒng)網(wǎng)絡結構和安全需求以及多芬諾工業(yè)防火墻提供的“測試”模式功能,提出工業(yè)控制系統(tǒng)信息安全的縱深防御策略,即參照國際行業(yè)標準ANSI/ISA-99,將工業(yè)系統(tǒng)網(wǎng)絡劃分為不同的安全區(qū)域,在區(qū)域之間執(zhí)行管道通信,從而通過管控區(qū)域間管道中的通信內(nèi)容,實現(xiàn)保證工廠控制網(wǎng)絡安全穩(wěn)定運行的三個目標:通訊可控、區(qū)域隔離和報警追蹤,進而全方位地保障工業(yè)控制系統(tǒng)信息安全。


上一頁 1 2 下一頁

評論


技術專區(qū)

關閉