今日頭條
官方微信
官方抖音
資訊頻道1 工業控制系統的特點
工業控制系統的特點應該說可以歸納為以下三個方面,多、雜、高、難。如圖1所示。
圖1 工業控制系統特點
為什么說第一個特點是“多”呢?實際上“多”包含了很多方面。第一,設備數量多。眾所周知,我們現在任何一個企業中所應用到的工業控制系統的設備數量都很多。比如一個中型冶金企業的工業控制系統數量可以達到上千個,又比如一個汽車企業中應用的工業控制系統數量也可以達到數百個。所以,可想而知,數量達到成百上千的工業控制系統對于整個企業的運營產生著重要的作用,如果這些工業控制系統的安全受到威脅,那將會對企業的正常生產運營產生非常嚴重的后果。第二,產品供應商多。目前國內很多企業的工控系統都會涉及多家產品供應商的產品,每一個品牌又有很多個產品系列,每個產品系列帶來的風險和信息安全隱患完全不同,這就導致應用的信息安全防護方案完全不同,為工業控制系統信息安全整改帶來很大的難度。除此之外,我們還看到工業控制系統的通訊協議有很多,雖然每種協議都是通用的標準協議,但實際上每家廠商支持的以太網協議都不一樣,而所有通用協議都沒有任何信息安全防護功能。因此,如果一個企業內部采用多個廠家的通訊協議,對于為所有產品做防護是很難的。另外為了將來維護方便,每一個工業控制系統里都開放了很多以太網服務,而這些以太網服務也會為企業帶來信息安全的風險。最后,不同的工業行業,目前對于工控系統選型、應用等要求都不同,導致不同行業的信息安全防護方案可能有很大差異。
工業控制系統的第二個特點就是“雜”。第一是指以太網服務“雜”,這一點在前文已經提過,由于供應商多導致產品多,所以企業內工控系統的協議類型非常雜。第二是指區域分布廣。舉一個簡單的例子,眾所周知石化行業有很多的管線,如天然氣、原油、成品油等管線。目前最長的西氣東輸的管線,全長4000多公里,大概應用了約200余套PLC及RTU產品。第三,就是通訊類型雜。比如分布很廣的石油管線、市政管網,大量采用通用的通訊方式實現數據交換,將來一旦引發信息安全問題,可能會導致整條管線的運營產生嚴重影響。
工業控制系統的第三個特點就是“高”。對工業控制系統的要求有“三高”——實時性高、可靠性高、可用性高。對于信息系統而言,要求的最高級別是機密性,而對于工業控制系統而言,最高級則是可用性。由此可知,信息系統的信息安全和工業控制系統的信息安全其實完全不同,簡單的將信息系統的信息安全要求和解決方案直接套用在工業控制系統信息安全要求上顯然是不合適的。
正是由于工控系統具備上述“多、雜、高”三個特點,同時又不能在線對工控系統進行信息安全評測,因此,設計一套適合于工控系統的信息安全整體防護方案非常難。
這里有一點需要強調,很多人認為工業控制系統之所以面臨著信息安全的問題,主要就是因為它采用了大量的通用以太網協議。甚至有人認為,如果沒有兩化融合,沒有物聯網、工業4.0,工業控制系統就不會存在信息安全的風險。其實不然,工業控制系統中除了存在通用以太網協議外,還大量存在著控制設備、通訊組件、應用軟件、操作系統等四類設備或資產,而這些設備或資產本身也會存在信息安全風險和隱患,從而導致整個工控系統存在信息安全風險或隱患,震網病毒事件就是一個很好的例子,雖然核電廠里的控制系統與其辦公自動化系統和信息系統是隔離的,但是事實證明,還是依然存在信息安全的隱患。
2 信息安全現狀
在與一些企業接觸的過程中,發現他們對于工業控制系統信息安全整改和提升有著很多疑問,比如“我的控制系統已經與外網進行隔離,是否還需要防御?”、“整個企業運行的系統沒有受到任何影響,那我是不是不需要防護了?”、“信息安全防御方案太多,如何選擇?”、“企業投入是否太大?”、 “沒有專業技術人員,如何維護?”等等。
由此可見,很多人在提到工業控制系統信息安全的問題時,首先想到的只是“去防”,或者有了問題,就針對這個問題來解決諸如此類的思路。但其實我們更應該提升主動防御和全面防御的理念,而不只是被動地防御,被動地發現問題、解決問題。
3 信息安全的風險
事實上,信息安全的風險可能會隱藏在你的系統里,有可能潛伏很多年也不會被發現。那么什么是信息安全的風險呢?主要由兩部分組成。第一是信息安全發生入侵以后對企業產生的危害有多大,第二個就是企業存在這種被入侵的可能性有多大。
風險= 危害程度 × 發生頻率 (1)
所以對于企業來說,雖然信息安全問題還沒有發生,并不代表就不存在這方面的風險,一旦發生入侵或攻擊,對企業的造成的后果將是重大的。這也就是說為什么現在沒發生,也要開始做信息安全的整改。
從(1)中可看出,風險不僅與危害程度有關,與發生的頻率也是密切相關的。所以從信息安全的防護解決方案來講,實際上有兩種方案。第一種是減少工控系統本身可能存在著的風險和隱患引發的失效概率,第二種就是降低控制系統受到攻擊以后可能對企業產生的危害程度。
4 常見的信息安全解決方案
目前,多數安全服務供應商的解決方案是“自上而下”的,側重于管理級、系統級安全功能的強化。但這種模式有四點缺陷。
首先,優先實現管理級、系統級的安全功能,對于絕大多數此前沒有相應的軟硬件設備準備的工業企業來說,意味著需要投入大量的成本來進行從無到有的建設,其間投入的人力物力也會比較多。
其次,對于本身存在信息安全缺陷的工控設備來說,“自上而下”的防護只是一些外圍措施,并沒有從根源上消除信息安全的隱患,相關工控設備實際上還是處在“帶病上崗”的狀態下。
其三,工業企業內部涉及的工控設備類型很多、數量很大,完全依靠管理級、系統級的防護很難保證照顧到每一臺單體設備,而如果顧此失彼,也稱不上真正實現了安全保障。最后,每個工業企業使用的現場設備的類型和數量都不一樣,這決定了管理級、系統級的信息安全解決方案,其定制化、私有化程度將是非常高的,一套方案即使在集團企業旗下的各個分公司中間也無法推廣,更不要說在某個行業,甚至整個工業領域中推廣了。這種可復制性差的缺陷同樣意味著成本將居高不下,尤其是對于大型的集團性企業來說,每個下屬單位的方案都要獨立定制,投入壓力之大顯然是難以接受的。
5 施耐德電氣的信息安全解決方案
而施耐德電氣的工業信息安全解決方案之所以不同,就在于施耐德電氣主張采取“自下而上”的防護策略,更加側重設備級防御、輔以系統級和管理級的三級防御體系,也就是說從設備級的防護入手來構建工業信息安全系統。
工控設備的停運、損壞導致生產活動中斷無疑是工業企業最為憂心的信息安全事故,那么如何防止這種情況的發生呢?施耐德電氣給出的答案是,讓關注的焦點回歸到工業信息安全威脅的“靶心”,即工控設備本身上來,設法提升工控產品自身的信息安全防護能力,從根源上消除工控產品的信息安全漏洞。具體的做法是,在不影響工控設備功能與性能的前提下,將信息安全的功能集成到每一個單體設備上。對于工業企業來說,實現了這種設備級的信息安全防護,意味著已經獲得了完整的多層次工業信息安全防護中最核心的部分功能;此后根據自身情況,在具備了相應的條件和能力時,逐步完善系統級、管理級的輔助策略即可。這種“自下而上”的模式,初期因為不需要額外采購軟硬件設備,因此需要的投入少,工業企業只需要針對自身使用的工控設備進行建設,實施的難度也不高,對工業企業內部的技術人員的能力要求也不高。
(1)設備級防御方案
對于工業控制系統而言,主要涉及四類設備——控制設備、通訊組件、應用軟件和操作系統。這四類設備都各自存在著信息安全的風險和漏洞,最終會導致整個工業控制系統存在信息安全的風險。那么我們如何對設備級進行防護呢?施耐德電氣提倡增加每一個單體設備的信息安全防護能力,當這些小設備放到一起組成一個大系統的時候,這個大系統就具備了信息安全防護的最基本的能力。
從2013年初起,施耐德電氣提供給客戶的所有工控產品都已經具備了信息安全的功能,工業企業使用這樣的工控產品,不必依賴其它的保護措施就已經獲得了符合國際國內相關法規要求的、過硬的信息安全保障。最近,施耐德電氣全球首款ePAC產品——莫迪康M580(Modicon M580)通過了中國電力科學研究院的信息技術產品安全性檢測,這是繼2012年施耐德電氣莫迪康昆騰PLC產品成功獲得國家權威信息安全測評機構的安全性認證之后,旗下的最新PLC產品再次獲得權威檢測機構的認可。另一方面,對于此前已經在應用的工控設備,施耐德電氣也可提供相應的服務,幫助工業企業獲得同等的保障。
對于降低信息安全危害發生的概率,施耐德電氣也有很多的解決方案。比如對于控制類產品,在控制系統發生失效后,產品內置的故障狀態預置功能,可以讓所有受控的設備全部處于安全狀態,不會對系統產生更大規模的次生災害。如果事故發生了,產品完善的故障診斷、帶電插拔等維護特性又可以大大縮短系統恢復的時間。
(2)系統級防御方案
所有的工業控制系統都不是獨立的信息孤島,它們之間會組成一個大的系統,通過網絡連接在一起。所以我們還需要增強整個控制系統的系統架構的信息安全防護功能。如施耐德電氣可以提供通訊組件設備中所需完善的以太網交換機、防火墻等專門產品,來增強整個信息安全的系統級信息安全功能。為了減少信息安全發生的概率,施耐德電氣也有很多解決方案,從前期的全網絡評估,發現潛在的弱點,到網絡分隔、邊界保護、網段分離等。通過修改網絡架構,來減少網絡風險。
(3)管理級防御方案
市場上有很多安全型的管理軟件,其實可以將它們分成等級。最基本的就是監控解決方案,它可以完善管理制度,建立完善的IDS/IPS體系和資產管理系統以及監控、日志體系,安全策略管理和執行功能。更高一級的就是集成更多防護功能的防護解決方案。防護解決方案中除了有前面提到的所有功能外,還可以做到軟件補丁的自動更新。當然軟件補丁的自動化更新并不是沒有任何驗證的自動下載,而是完成驗證后,再下載。另一個更為重要的手段就是幫助企業建立完善的數據備份和災難恢復機制。同時,這種防護解決方案可以同時對整個工控系統中的計算機部署應用安全策略,這就可以完全避免外部人員利用非法設備接入到工業控制系統,從而導致系統崩潰。
施耐德電氣除了可以提供設備級、系統級和管理級的防御方案外,還可以提供完善的信息安全服務。目前,在施耐德電氣的官方網站上,公開了施耐德所有的信息安全解決方案,上面有一些詳細的信息安全部署方案和完善的手冊,可以免費下載。施耐德電氣對于信息安全防護,從前期的評估,解決方案的設計、集成到培訓等各個方面,都可以提供完善的解決方案。
作者簡介
王斌(1974-),男,漢,畢業于北京航空航天大學自動控制專業,現任施耐德電氣工業事業部工業信息安全首席專家,曾編寫《Quantum PLC設備信息安全解決方案操作手冊》和《Quantum PLC設備信息安全解決方案簡明手冊》,被國家電力監管委員會和國家能源局推廣到所有電力企業。
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號