通過上圖可以看到�,我們把工業(yè)企業(yè)信息系統(tǒng)劃分為三個層次��,分別是計劃管理層、制造執(zhí)行層����、工業(yè)控制層。
管理系統(tǒng)是指以ERP為代表的管理信息系統(tǒng)(MIS)�,其中包含了許多子系統(tǒng),如:生產(chǎn)管理��、物質(zhì)管理���、財務(wù)管理����、質(zhì)量管理����、車間管理、能源管理����、銷售管理���、人事管理、設(shè)備管理�、技術(shù)管理、綜合管理等等�����,管理信息系統(tǒng)融信息服務(wù)�����、決策支持于一體�����。
制造執(zhí)行系統(tǒng)(MES)處于工業(yè)控制系統(tǒng)與管理系統(tǒng)之間����,主要負責(zé)生產(chǎn)管理和調(diào)度執(zhí)行。通過MES��,管理者可以及時掌握和了解生產(chǎn)工藝各流程的運行狀況和工藝參數(shù)的變化��,實現(xiàn)對工藝的過程監(jiān)視與控制。
工業(yè)控制系統(tǒng)是由各種自動化控制組件和實時數(shù)據(jù)采集��、監(jiān)測的過程控制組件共同構(gòu)成�。主要完成加工作業(yè)、檢測和操控作業(yè)�����、作業(yè)管理等功能�。
2.1.2 工控系統(tǒng)的二層防護
1、管理層與MES層之間的安全防護
管理層與MES層之間的安全防護主要是為了避免管理信息系統(tǒng)域和MES(制造執(zhí)行)域之間數(shù)據(jù)交換面臨的各種威脅��,具體表現(xiàn)為:避免非授權(quán)訪問和濫用(如業(yè)務(wù)操作人員越權(quán)操作其他業(yè)務(wù)系統(tǒng));對操作失誤�、篡改數(shù)據(jù),抵賴行為的可控制����、可追溯;避免終端違規(guī)操作;及時發(fā)現(xiàn)非法入侵行為;過濾惡意代碼(病毒蠕蟲)。
也就是說���,管理層與MES層之間的安全防護�����,保證只有可信��、合規(guī)的終端和服務(wù)器才可以在兩個區(qū)域之間進行安全的數(shù)據(jù)交換���,同時,數(shù)據(jù)交換整個過程接受監(jiān)控�����、審計�。管理層與MES層之間的安全防護如下圖所示:
2��、MES層與工業(yè)控制層之間的安全防護
通過在MES層和生產(chǎn)控制層部署工業(yè)防火墻���,可以阻止來自企業(yè)信息層的病毒傳播; 阻擋來自企業(yè)信息層的非法入侵;管控OPC客戶端與服務(wù)器的通訊,實現(xiàn)以下目標:
Ø 區(qū)域隔離及通信管控:通過工業(yè)防火墻過濾MES層與生產(chǎn)控制層兩個區(qū)域網(wǎng)絡(luò)間的通信���,那么網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi),而不會影響到其它部分��。
Ø 實時報警:任何非法的訪問���,通過管理平臺產(chǎn)生實時報警信息���,從而使故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
MES層與工業(yè)控制層之間的安全防護如下圖所示:
2.1.3 工控系統(tǒng)安全防護分域
安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求����,相互信任��,并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)�����,且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略�。
在管理層��、制造執(zhí)行層���、工業(yè)控制層中�����,進行管理系統(tǒng)安全子域的劃分��,制造執(zhí)行安全子域的劃分�����、工業(yè)控制安全子域的劃分����。 安全域的合理劃分,使用每一個安全域都要明確的邊界��,便于對安全域進行安全防護���。對MES�、ICS的安全域劃分如下圖所示:
如上圖所示��,為了保證各個生產(chǎn)線的安全�,對各個生產(chǎn)線進行了安全域劃分,同時在安全域之間進行了安全隔離防護�。
2.1.4 工控系統(tǒng)安全防護分等級
根據(jù)安全域在信息系統(tǒng)中的重要程度以及考慮風(fēng)險威脅、安全需求���、安全成本等因素��,將其劃為不同的安全保護等級并采取相應(yīng)的安全保護技術(shù)��、管理措施,以保障信息的安全��。
安全域的等級劃分要做到每個安全域的信息資產(chǎn)價值相近��,具有相同或相近的安全等級����、安全環(huán)境�����、安全策略等�。安全域所涉及應(yīng)用和資產(chǎn)的價值越高�,面臨的威脅越大,那么它的安全保護等級也就越高��。
2.2 構(gòu)建工業(yè)控制系統(tǒng)安全管理平臺
工業(yè)控制系統(tǒng)和傳統(tǒng)信息系統(tǒng)具有大多數(shù)相同的安全問題�����,但同時也存在獨特的安全需求�����。工業(yè)控制系統(tǒng)最大的安全需求是唯一性和排它性���,在某一特定的工業(yè)控制系統(tǒng)中��,工業(yè)控制系統(tǒng)只需用唯一的工業(yè)應(yīng)用程序和工業(yè)通信協(xié)議運行�����,其他一概不需要����。
啟明星辰工業(yè)系統(tǒng)安全管理平臺為工業(yè)控制系統(tǒng)建立了一個相對可信的計算環(huán)境,對工控系統(tǒng)管理終端和網(wǎng)絡(luò)通信具有非常強的安全控制功能����。工業(yè)控制系統(tǒng)安全管理平臺有兩部分組成,一部分是工業(yè)控制系統(tǒng)安全管理平臺�����,具有終端管理�、網(wǎng)絡(luò)管理、行為監(jiān)控功能�����,另一部分是終端安全管理客戶端�����。
2.2.1 管理平臺部分
工業(yè)控制系統(tǒng)的安全運行�,主要需要保障工業(yè)控制系統(tǒng)相關(guān)信息系統(tǒng)基礎(chǔ)設(shè)施的安全�����,包括工業(yè)以太網(wǎng)網(wǎng)絡(luò)、操作終端�����、關(guān)系數(shù)據(jù)庫服務(wù)器��、實時數(shù)據(jù)庫服務(wù)器���、操作和應(yīng)用系統(tǒng)等各類IT資源的安全��,從工業(yè)控制系統(tǒng)安全的角度對工控系統(tǒng)的各類IT資源進行監(jiān)控(包括設(shè)備監(jiān)控�、運行監(jiān)控與安全監(jiān)控)�����,實現(xiàn)對安全事件的預(yù)警與響應(yīng)��,保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運行�。
具體而言,工業(yè)控制系統(tǒng)安全管理平臺功能如下:
1. 能夠?qū)?yīng)用服務(wù)器����、關(guān)系數(shù)據(jù)庫服務(wù)器�、實時數(shù)據(jù)庫服務(wù)器����、工業(yè)以太網(wǎng)設(shè)備運行狀態(tài)進行監(jiān)控,例如CPU�����、內(nèi)存���、端口流量等等����。
2. 能夠?qū)Σ僮鹘K端外設(shè)�����、進程��、桌面進行合規(guī)性在線和離線管理�。
3. 能夠?qū)Ω鲗舆吔鐢?shù)據(jù)交換情況進行監(jiān)控。
4. 能夠?qū)I(yè)控制系統(tǒng)中的網(wǎng)絡(luò)操作行為進行審計�����。
5. 能夠?qū)I(yè)控制系統(tǒng)日志進行關(guān)聯(lián)分析和審計�。
6. 能夠?qū)I(yè)控制系統(tǒng)中的異常事件進行預(yù)警響應(yīng)。
7. 能夠?qū)I(yè)企業(yè)信息系統(tǒng)進行虛擬安全域的劃分���。
2.2.2 工業(yè)控制系統(tǒng)終端安全管理部分
由于工業(yè)控制系統(tǒng)管理終端的安全防護技術(shù)措施十分薄弱�����,所以病毒���、木馬、黑客等攻擊行為都利用這些安全弱點��,在終端上發(fā)生���、發(fā)起���,并通過網(wǎng)絡(luò)感染或破壞其他系統(tǒng)。
工業(yè)控制系統(tǒng)終端最大特點是應(yīng)用相對固定����,終端主要安裝工業(yè)控制系統(tǒng)程序,所以�����,要防范傳統(tǒng)方式的病毒或木馬等惡意軟件,最直接的方式就是利用工業(yè)控制系統(tǒng)對終端應(yīng)用程序的進程進行管理�。
具體而言,工業(yè)控制系統(tǒng)安全管理平臺終端安全管理部分功能如下:
1. 工業(yè)控制系統(tǒng)安全管理平臺客戶端軟件輕巧精煉�����,占用資源極少�,能夠最大程度保證工業(yè)控制系統(tǒng)管理終端的穩(wěn)定性。
2. 工業(yè)控制系統(tǒng)安全管理平臺客戶端具有終端準入控制功能���,可以防止沒有達到安全基線的筆記本對終端進行管理���。
3. 工業(yè)控制系統(tǒng)安全管理平臺客戶端具有終端安全優(yōu)化與加固功能,能夠?qū)I(yè)控制系統(tǒng)終端進行安全優(yōu)化和加固����,使終端安全水平達到一定的安全基線。
4. 工業(yè)控制系統(tǒng)安全管理平臺客戶端具有外設(shè)管理功能���,對工業(yè)控制系統(tǒng)的外設(shè)進行管理�,比如USB接口、光驅(qū)����、網(wǎng)卡、串口等�����。
5. 工業(yè)控制系統(tǒng)安全管理平臺客戶端具有工業(yè)控制系統(tǒng)應(yīng)用程序監(jiān)控功能����,對終端中的工業(yè)控制系統(tǒng)軟件進行監(jiān)控和管理�。
6. 工業(yè)控制系統(tǒng)安全管理平臺客戶端具有工業(yè)通信協(xié)議監(jiān)控功能。工業(yè)控制系統(tǒng)終端通信協(xié)議相對固定���,客戶端能夠?qū)K端通信協(xié)議具有唯一性管理功能�。
7. 工業(yè)控制系統(tǒng)安全管理平臺客戶端具有離線管理功能�,工業(yè)控制系統(tǒng)終端有一部分無法進行在線管理,客戶端具有比較強大的離線自管理功能��,可以完成對離線終端的管理����。
8. 工業(yè)控制系統(tǒng)安全管理平臺客戶端具有強身份認證功能,客戶端具有使用工業(yè)控制系統(tǒng)在線終端和離線終端都具有強身份認證功能����,從而防止工業(yè)控制系統(tǒng)被有意或無意被控制的風(fēng)險����。
三��、總結(jié)
國內(nèi)外發(fā)生了多起由于工控系統(tǒng)安全問題而造成的生產(chǎn)安全事故�����。最鮮活的例子就是2010年10月發(fā)生在伊朗布什爾核電站的“震網(wǎng)”(Stuxnet)病毒����,為整改工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘。
為此�����,工信部在2011年10月下發(fā)了“關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知”���,要求各級政府和國有大型企業(yè)切實加強工業(yè)控制系統(tǒng)安全管理��。工信部趙澤良司長也強調(diào)����,工業(yè)控制系統(tǒng)安全工作也到了非加強不可的時候,否則將影響到我國重要的生產(chǎn)設(shè)施的安全��。
本文根據(jù)工業(yè)控制系統(tǒng)安全防護的特點����,提出了對工業(yè)控制系統(tǒng)進行分層、分域�、分等級���,構(gòu)建“三層架構(gòu)����,二層防護”的工業(yè)控制系統(tǒng)安全體系架構(gòu)思想;通過分析工業(yè)控制系統(tǒng)面臨的風(fēng)險�,對作為工業(yè)控制系統(tǒng)安全防護的核心產(chǎn)品——工業(yè)控制系統(tǒng)安全管理平臺功能進行了說明。工控系統(tǒng)安全管理平臺�,不僅是實現(xiàn)工業(yè)控制系統(tǒng)終端安全的產(chǎn)品,也是監(jiān)控工業(yè)控制系統(tǒng)IT基礎(chǔ)實施和操作行為的平臺�����。
