摘要:在卷烟工业控制网络中能够及时发现网络中存在的病毒感染及其它问题,准确找到故障的发生点,是维护工业控制网络安 全的前提。本研究将在企业信息网和制丝车间工业网络之间部署 IT 防火墙;在工业控制网络信息层和控制层之间部署安全隔离网 关;在每个子系统与工业环网之间部署工业网络通信网关;在每台可控的计算机上安装防病毒软件并及时更新病毒库。
关键词:工业控制网络;网络安全;病毒防御
1 研究背景和意义
近十年来,随着信息技术的迅猛发展,信息化在我们 企业中的应用取得了飞速发展。互联网技术的出现,使得 工业控制网络中大量采用通用 TCP/IP 技术,ICS 网络和 企业管理网的联系越来越紧密。另一方面,传统工业控制 系统采用专用的硬件、软件和通信协议,设计上基本没有 考虑互联互通所必须考虑的通信安全问题。企业管理网与 工业控制网的防护功能都很弱,或者甚至几乎没有隔离功 能。工控系统的开放使得其安全隐患问题日益严峻。系统 中任何一点受到攻击都有可能导致整个系统瘫痪。
Stuxnet 病毒作为一个标志性的事件,敲响了工业控制 网络安全的警钟。在国际上工业控制网络被入侵和被破坏的 一些典型案例,其造成的经济损失数额十分巨大,可以说工 业控制网络的安全问题已经是网络安全领域的焦点问题。
我厂制丝车间工业控制网络运行四年期间共发生通 讯中断、网络阻塞、实时数据库数据采集丢失、控制失灵等 网络安全事件二十余起,曾造成整条制丝生产线无法启动 和中断等严重影响生产事件。
研究工业控制网络安全不仅体现了企业对高效生产、 安全运行的重视,更体现了企业对国家经济安全和人民生 命财产安全的责任。
2 项目研究目的
研究目的主要有三部分:①初步建立卷烟工业控制网 络系统安全分区标准;②确立卷烟工业网络控制系统安全 模块化选型思路;③建立卷烟工业控制网络系统安全中央 管理平台。
提出有效的工业控制网络安全总体保障框架。逐步建 立起我厂工业控制系统可信、可控的安全保障体系,包括: 在工业控制系统中建立安全可信的计算环境,具备病毒防御能力;对现场操作人员实现可信身份鉴别、访问控制和 行为审计,以确保关键主机设备能够长期连续、稳定运行; 建立可信的工业控制网络边界,对接入控制网络的各种计 算设备进行准入认证,确保非可信计算设备不能接入工业 控制网;建立可信的工业控制网络环境,对网络中可信主 体的各种行为进行深度检查与审计,避免不合规的异常网 络行为对网络中的生产设备造成不良影响。
建立“纵深防御”安全防御体制。将网络划分为不同的 安全区,在安全区之间按照一定规则安装网关安全设备。 以此来保证监控各个区域间的通信,在没有安全事故发生 的时候也能自动查找安全隐患,当发现安全隐患时能够自 动排除,或者发出安全警报。
3 项目研究内容
为解决我厂工业控制网络所面临的安全隐患,计划在 工业控制网进行如下安全加固:①在企业信息网和制丝车 间工业网络之间部署 IT 防火墙;通过设备部署对企业生 产网与工业网间进行边界安全防护,对两个网之间的数据 交互进行严格审查、过滤,确保病毒、木马及黑客攻击行为 不会由生产网侵入工控网,从而对生产造成威胁。②在工 业控制网络信息层和控制层之间部署工业网络安全隔离 网关;通过设备部署对信息层与控制层流量进行过滤,防 止控制终端因为病毒等原因对控制层造成影响,保证生产 指令下达、前段数据采集的可靠性。③在工业控制网络不 同的每个子系统与工业环网之间部署工业网络通信网关; 通过部署设备对各子系统间进行安全隔离。④在每台可控 的计算机上安装终端防护软件;通过在控制终端上安装防 护软件,对终端的 USB 口进行控制,对终端上的文档进行 安全审计,既可以防止因 U 盘引起的交叉感染又可以防 止数据泄密。
4 项目研究思路
由于业内针对烟草工业控制研究没有相关可参考案 例,为完成此次项目研究,我们组织专家深入车间生产线,对我厂现状进行调研,通过对调研结果分析确定我厂工 业控制系统目前存在的网络安全隐患,有针对性进行安 全开发。
4.1 调研
通过对我厂工业控制系统、网络与应用环境以及目前 安全管理现状、安全管理与建设需要等的现场调研,了解 了我厂工业控制系统目前存在的网络安全隐患,为安全保 障体系建设规划提供依据,为可行工业控制网关等设备实 施方案的制定提供依据。
4.1.1 调研范围
主机:主要是工控网内监控中心相关服务器主机设 备,以及所运行的操作系统、数据库等;
应用:主要是工控网内监控中心所运行的应用系统;
网络:主要是工控网内相关重要网络设备;
机房环境:主要是了解工业控制系统部署环境;
生产设施:主要是了解工业控制系统生产线部署环境;
安全管理:主要是了解卷烟厂及制丝车间安全管理现 状及需求。
4.1.2 调研内容
制丝车间目前采取的安全控制措施主要有:
病毒、攻击防护措施:中控丝计算机主机上安装防病 毒软件,如发现病毒操作人员需要及时处理,如处理不了 的,应及时告知计算机管理员进行维护处理,以防止病毒 蔓延殃。不得使计算机被传染病毒和主动性输入病毒。每 次使用无线网络进行杀毒软件的病毒库升级时,需更新无 线路由器安全设定的密码,并严禁将密码泄露出去。
密码管理要求:目前主要基于账户/密码的访问控制 策略。车间已明确要求计算机操作人员必须给自己的计算 机操作系统帐号设置密码,并且严格要求密码长度 6 位以 上,最好使用数字、字母和各种符号和大小写搭配,严禁将 密码泄露给第三者,并且严禁安装破解密码的任何软件。
访问控制与网络准入要求:①安全制度中已明确规定 任何人不得将私人的计算机、笔记本电脑、带智能功能的 手机、MP3、等设备未经计算机管理员许可私自接入计算 机网络。②未经中控室计算机管理员的许可,严禁任何人 将私人的光盘、VCD、软盘,移动存储器等在计算机设备上 使用。③外来的计算机设备禁止接入车间工业以太网,如 因工作需要接入网络的必需报车间设备室批准,由车间设 备室发给临时 IP 地址;不经允许接入网络的,一经发现要 求其立即断开网络连接,并对责任人处以经济罚款。④不 得使用外来磁盘、U 盘等,确实需要的,要经过扫毒处理, 确认无病毒后方可使用。
资产管理方面:①安全制度中已明确规定任何人不准 将车间的计算机设备的零件挪做他用,不准将车间内的计 算机备件与他人、厂外、家庭交换使用。②对于非专业人 员,不得善自打开机箱,拆卸、加装计算机零件和附加设 备,不得擅自格式化硬盘,或更改计算机配置参数,不得擅 自删除、更改、安装程序和文件,不得带电插拔辅连设备。
数据安全管理方面:①制丝车间已明确规定专业人员 和数据录入人员不允许对已录入并提交系统的基础数据 进行修改、删除,确因录入错误,需要修改、删除的,通知车 间设备室,并进行备案。②专业人员和数据录入人员要做 好保密工作,不得把自己的口令和密码告诉他人。③车间各级领导不得随意干涉专业人员和数据录入人员的正常 工作,专业人员和数据录入人员有权拒绝不准确的数据进 入应用系统。④车间、部门的微机使用人员应做到按时正 确的开机、关机,各项信息、指令、数据及时准确的输入、传 递和接收,各车间部门负责的相关数据要及时进行维护。 ⑤中控室计算机中的各种数据及报表应严格控制在车间 内部,任何人不得泄露生产数据。
机房安全管理方面:制丝车间机房安装门锁,具有物 理访问控制措施,配备了消防器材、UPS 电源等;机房、中 控室温度基本控制在 28 度,以确保计算机正常运行。
4.2 分析
本课题在进行研究设计时充分考虑与分析了企业实际 网络架构及安全需求,整体分析方法借鉴 EA(Enterprise Architecture,即“企业架构”或“业务体系架构”)分析方法。 EA 当前是分析企业、工业控制网络中最有效的办法。
基于 EA 的分析规划方法,以企业使命为驱动,从业 务架构、信息架构、应用架构和技术架构四个方面,从上往 下,深入分析企业的业务战略、组织结构、角色定义和重要 的业务流程等,深入分析支撑企业业务的数据和信息以及 对应的应用系统,深入分析支撑业务、数据、应用服务部署 的基础设施(包括中间件、网络、通信等软硬件),全面透彻 地分析企业 IT 架构在不同层面的脆弱性和所面临的各种 威胁与风险,在此基础上,根据不同层面的安全防护需求 和特点,为企业进行切合其实际要求的信息安全建设方案 设计和规划。
基于 EA 的分析方法的关键是根据企业实际业务过 程,分析支撑业务过程的关键数据、应用和基础设施,并明 确相应的安全防护需求。
基于 EA 的分析方法,具体到工业控制系统网络,将 工业控制系统业务、数据、应用、基础设施映射到工业控制 应用、保护对象两个维度,并增加安全要素,从三个维度对 工业控制系统不同业务应用进行安全风险分析。
5 实施效果
该系统运行以来,减少了由于病毒而造成的中控服务 器瘫痪现象,杜绝了由于中控服务器瘫痪而造成的生产采 集数据丢失、生产指令无法下达,生产无法顺利进行,有效 地拦截了病毒得攻击,中控系统的设备运行有效作业率得 到较大的提高。中控系统病毒攻击造成的服务器故障由原 来的每月 2 次,降到目前每月零次。
构建了卷烟工业控制系统安全保障体系。运用可信计 算领域研究成果及 NIST、ANSI/ISA99 标准,对我厂工业控制 系统的整体安全保障思路、框架等进行研究分析,形成我厂 工业控制系统安全可信保障体系框架。
搭建了烟草工业控制专用的可信主机防护系统。在工 业控制系统中建立安全可信的计算环境,具备病毒自防御能 力,能够抵御已知和未知的病毒攻击,对生产线操作人员实 现可信身份鉴别、访问控制和行为审计,以确保关键主机设 备能够长期连续、稳定运行。
研究了一套可信工业控制安全网关设备。安全网关设 备功能增加了支持全面的工业控制协议,实现信息管理层 和过程控制层之间的隔离防护,防止蠕虫病毒等恶意代码 向过程控制层扩散,支持主流工业协议的深度过滤,如 OPC、Modbus、DNP3 等。
立即询价
