工控网络信息安全系统在集中控制
系统中的应用与实践
一、工业系统网络安全现状
工业控制系统的原始设计是以高可靠性,高实时性,高控制性为目标进行设计安装和运行的。其中影响系统安全性最大隐患莫过于内部和外部干扰。随着计算网络技术在工业控制系统普及和发展,工业控制系统包括(DCS、PLC、TCS、SCADA)系统网络已经普及到工业产业的所有领域,其工控系统网络及其所承载的数据流、人机交互UI等空间载体所构成工控系统所造成的安全威胁呈现隐蔽性高、危害性大乃至会影响到国家安全的特点。
目前,国内外的工控制系统制造企业,对其工控系统安全性设计、制造、运行和维护,缺乏统一的设计标准和相关管理规定;同时,由于其工程实施和系统使用偏重于控制系统功能的实现,对工控安全意识的淡薄和轻视,给国内已经部署的工控系统造成了很大的安全隐患。
主要表现在:
缺乏网络技术常识、设计、施工和使用中只注重系统功能的实现,未考虑其安全的需要和整体规划。
缺乏工控安全意识,研发、设计、施工、运行和维护中,严重缺乏对安全的控制和执行基本的安全管理规定。
3、工控安全的体系建设处于摸索和成长阶段,其相关标准和管理规定未尽完善。这就要求我们不断的探索工控安全领域的未知,汲取经验和教训,在探索中求得共识,在发展中取得进步。
二、工控安全研究的内容和背景
2.1背景及意义
工控安全,从世界范围看,作为信息产业发展的领导者,美国很早就十分重视工控安全。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的安全。而美国国家标准与技术研究院、能源局则分别发
布了《工业控制系统安全指南》(SP800-822013年推出最新修订版本)[NIST]、《改进SCADA网络安全的21项措施》等相关的工控安全建设标准指南或最佳实践文档。同时其国内的传统信息安全厂商赛门铁克、MCAFEE、思科以及传统工控厂商罗克韦尔、通用电气以及一些新兴的专业安全厂商在工控的安全防护及产品服务提供方面也都展开了深入研究、实践及产业化工作,并总体上处于领先的地位。
在欧洲则以德国西门子、法国施耐德电气为代表的工业控制系统提供商为主;而工控系统的信息化、智能化以及所带来安全问题的解决离不开工控厂商的支持,自然西门子等企业的市场和技术优势也将奠定未来很长一段时间内在工控安全领域的领先地位。
在专业的工控安全厂商方面,加拿大Tofino(多芬诺)公司曾以其业内著名的工控系统防火墙成为业内领先的工控系统信息安全的专业厂商,其产品在石化等多个行业应用广泛。科诺康公司(Codenomicon)则以其用于漏洞发现的fuzzing测试工具而在工控系统安全领域拥有重要的地位。
在国内:自从工信部451号文发布之后,国内各行各业都对工控安全的认识提高到一个新的高度。电力、石化、交通、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。国家标准相关的组织TC260、TC124等标准组也已经启动了相应标准的研究制定工作,最新的网络安全等级保护2.0对工控安全定级部分增加了明文规定。
在工控安全领域,一批致力于工控网络安全系统设备国内提供商,在设备研发上做出了巨大的努力。国内的相关组织和行业机构也正在为工控安全制定相应的指导性文件。
在国内相关行业中,供电及发电行业由于其行业的特点和重要性,在工控安全领域起步早,且已经形成初步体系,但具体应用案例尚未形成群体优势。在石油、化工、钢铁、煤矿、公共事业中的铁路、地铁、供水、供气、供热等涉及工控系统的行业,虽然起步晚,但其应用规模和应用范围相比电力行业具有明显的优势。
上述这些行业中,工控安全的重要性是不言而喻的。其行业的重要性、网络互联的规模、信息共享的需要又造成了行业间工控系统信息安全应用的不平衡。
北京能源集团有限责任公司,为了稳妥的推进工控的安全和建设,选取必要的现实场景,对国内的工控安全设备进行必要的实地验证。依据集团京能集团办字[2106]311号文件《关于合作建设工控系统信息安全实验基地的批复》和中国信息协会信息安全专业委员会《关于开展CIES工控系统信息安全实验基地方案测试工作的通知》;2016年4月9日中国信息协会信息安全专业委员会和北京华源热力管网有限公司共同成立的“CIES工控系统信息安全实验基地”在京举行了揭牌仪式。
2017年夏季,共有四个国内厂家的工控安全产品,在该实验基地分别进行了测试和验证,使大家对工控安全设备及其软件系统功能等方面,有了一个比较深入的认识。无论是设备制造商和参加测试单位,对工控安全系统的认识得到了显著的提高。在当前的背景下,具有现实的意义
2.2集中控制系统安全所面临的问题
不言而喻,工控集中控制系统相比于非集中控制系统的优势是非常明显的,随着国内的DCS、SCADA等系统的大规模工业化应用,人们发现,在一些特定的领域和条件下,将分散的DCS、SCADA等系统通过网络互联,并将其控制权集中到一个控制中心,是一个非常有意义的选择;其最大的特点是可以集中运行人员的技术优势,多数据源的集合和统计分析实现对工控系统优化控制和调度;提高系统运行安全性和经济性。特别是在国家电网大力推广‘泛在物联网建设‘的大背景下,不可避免的向工控安全提出了挑战;从目前的实际情况分析,有如下几个方面问题:
1、工控的安全具有失控风险
我们大家知道,工控安全在现今条件下,其安全维护人员面临严重的缺位;人们只是关心系统正常运行和维护,对于其隐蔽性很强的安全威胁,对人员的技术素质要求高。企业很难为其提供必要的岗位和合理的薪资。
2、工控安全设备和系统尚在探索和不断完善阶段
由于,工控系统的特殊性,一般认为,现今互联网普及的安全设备无法完全复制到工控;其安全分区理念所形成的那堵墙,如同一个高悬的大坝将整个工控与互联进行了‘物理隔离‘。使得一大批安全产品研发企业前仆后继去参加这“最后的盛宴“。走了很多的弯路,至今也无法形成一群体共识。
3、工控相关管理规定、制度和标准的缺失
工控安全最缺乏的是没有一个具有针对性的管理制度或规定,尽管行业管理部门相继推出一些指导性文件,但其可执行度差,是不争的事实;其相关指导性意见,涵盖面大,有些具体措施又难于执行,企业因此付出的成本又很高,造成工控安全工作,至今没有形成规模性的部署,没有为大家普遍接受。
三、工业集中控制系统安全的实践
工业集中控制系统不同于一般的相对独立的DCS、SCADA系统,其最大的特点是网络节点多,网络层级多;冗余性要求高。
一般的DCS系统,其网络架构相对简单,一个网络IP段就可完全满足其实际的需要。其网络核心不外乎两个冗余核心交换机组成的上位监控管理层和下位数据传输控制层;也有一些系统采用了环网或双环网技术组成了DCS控制系统网络架构;如图:
Scada系统的网络架构,一般遵循比较普遍的星形网络架构体系;通过双网冗余满足对上位监控管理层安全需求;其它下位数据采集和控制层(PLC或
RTU)自成网络体系和控制体系,通过网络专线或数据加密认证传输实现组网。如图:
从图中我们可以看到,DCS系统网络与SCADA系统比较相对简单,但冗余性高;DCS系统网络节点少,SCADA系统网路节点多;DCS系统一般无需路由器或防火墙配置;SCADA系统一般需要路由器和防火墙配置;严格意义讲SCADA系统就是一种集中控制与数据采集系统;如何将多个DCS系统或是多个SCADA系统构架成一个集中控制系统,其安全如何保障,是在我们面前的课题:
3.1构建DCS系统集控网络所必备的条件
多个DCS系统构建一个集中控制网络架构体系,必须具备如下几个条件;
1、各个DCS系统必须进行网络IP地址的统一规划,要求在DCS系统设计时,设计单位或设备提供商和业主单位就必须有一个统一的要求;否则,事后调整时,是一件耗时、耗人、耗资源得不偿失的事。
2、在DCS系统与集中控制系统间网络通讯线路,为了保证其有效
工控网络信息安全系统在集中控制 系统中的应用与实践
