王者荣耀外围,王者荣耀kpl外围押注

联系方式:010-65256519

专题解读

钢铁行业工控系统网络信息安全的分析与防护

  摘 要:本文主要分析了钢铁行业工业控制系统网络信息安全所面临的问题,详细介绍了工业控制系统网络信息安全的防御策略,并结合钢铁行业工业控制系统的自身特点,提出了一些适用于钢铁行业工业控制系统网络安全建设工作的参考意见,期望能够有效地降低工业控制系统所面临的安全威胁,为企业生产提供有力保障。

  关键词:工控系统;信息安全;边界防护;互联网

  Analysis and protection of network information security of industrial control system in iron and steel industry

  SHI Can-tao, GAO Qiang

  Abstract: This paper mainly analyzes the problems of network information security of industrial control system in iron and steel industry, the defense strategy of network information security in industrial control system is introduced in detail, combined with the characteristics of industrial control system in iron and steel industry, put forward some suggestions on network security construction of industrial control system applicable to steel industry, expected to effectively reduce the security threat faced by industrial control systems, and provide strong guarantee for enterprise production.

  Key words: industrial control system; information safety; border protection; Internet

  0 前言

  随着工业控制系统安全事件的逐年攀升,工业网络信息安全问题变得日益严峻。目前,国内外工业控制系统网络信息安全面临严峻形势,国家工信部陆续下发了《关于加强工业控制系统信息安全管理的通知》《工业控制系统信息安全防护指南》《工业自动化和控制系统网络安全》等一系列的工业信息安全防护文件,强调了加强工业控制系统信息安全管理的重要性和紧迫性,并明确了核设施、钢铁、有色、化工、石油石化、电力等与国计民生紧密相关领域的工业控制系统信息安全管理要求。钢铁企业是典型的生产、资金、技术密集型企业,其生产连续性强,生产系统耦合性高,如何有效的防范来自内部或外部攻击,做好工控系统网络安全的防护工作,确保生产系统的稳定可靠,是钢铁行业工控系统信息安全所亟待解决的问题。

  1 问题分析

  近年来,随着计算机网络技术发展的突飞猛进,在“两化融合”的行业发展背景下,为提高生产管理运行效率、减少人力投入及能源消耗,国内众多钢铁企业不断推进智能化建设,尤其是在工业控制系统方面,更是大量投入资金人力,以实现企业的智能化升级转型。由于工业控制系统建设初始时多是基于自身可用性角度来进行设计开发,对于后续多系统级联、开放性越来越强的生产控制系统网络的安全性如何保障以及如何开展防护建设考虑甚少。钢铁行业的工业控制系统主要是由PCS、DCS、PLC、SCADA、智能仪表、机器人以及基于控制系统的高级应用等组成,在如今信息技术发展的影响下,工控系统厂商越来越注重于系统的开放性设计,多采用第三方集成,操作端PC化的方式,这一改进大大降低了用户的投资与维护成本。

  对于钢铁行业工业控制系统来说,产生安全威胁的因素是多方面的,例如:管理缺失、缺少安全管理机制、防护手段落后、安全意识薄弱、公开通用的通信协议与操作系统、工业网络病毒、工控系统自身、外方设备漏洞或后门、持续性威胁APT、无线技术等等。当面对如此之多的安全威胁时,如果企业没有专业而清晰的认识就容易陷入以下防护误区:

  (1) 采用防火墙、网关将网络隔离就是安全的

  工控系统与管理系统的互联,与外界完全隔离几乎是不可能的。而且,在使用U盘等移动设备、笔记本电脑对系统进行调试维护时,也会从内部打破系统与外界的隔离。

  (2) 常规商用型安全防护产品就可以达到防护目标

  商业使用的安全防护产品与工业专用产品是有着显著不同的,工业控制系统强调可用性,而商用系统强调保密性,同时,工业用设备不能进行频繁的系统升级和补丁,工业协议和工业病毒类型与商用产品有着明显的差异,工作环境也天差地别。

  (3) 仅靠网络安全软、硬件防护技术就可以解决问题

  有效管理且进行了正确配置的防御软、硬件可以抵御大部分已知的安全威胁,但对于新型、变异型以及更为隐蔽的病毒或漏洞的防御还远远不够,并且任何防御系统的本身也存在漏洞和缺陷,再好的防御技术也要人的正确管理和合理使用才会发挥其真正的功效。

  (4) 工控系统供应商会保障系统安全

  用户通常认为供应商对其系统的缺陷和安全性了如指掌,实际上大部分供应商对他们系统的认识仅限于其所能够提供的功能,当系统真正出现安全问题时,其所能提供的解决办法和响应速度也有待商榷。另外,供应商所关注的工控系统安全,大部分是其核心组件部分,而对其外围终端设备所做的防护十分有限。

  (5) 采用工业协议攻击者不了解

  从各钢铁企业工控系统项目中可以发现,工业环境中已广泛使用商业IT技术,大部分通讯方式都是采用以太网TCP/IP协议,其操作系统也以Microsoft居多。即使在某些特殊环境下采用的内部协议在网上也均可以获取到,例如Modbus工业协议可以很容易的找到其详细说明,更何况大部分工控设备功能简单、设计规范而工业协议又不具备安全防护特征,所以工业协议对攻击者根本不是问题。

  从以上的防护分析中可以看出,工控系统网络信息安全建设不是仅靠几台防护设备、几个先进技术就能一劳永逸地解决的。信息安全防护是一个持久战,要统筹全局,结合各企业实际情况,分别从人、技术、组织管理三个方面来具体开展防护工作。

  2 解决方案

  根据钢铁行业工业控制系统信息安全现状与特点,结合《工业控制系统信息安全防护指南》的具体要求,按照预防监测与安全防护相结合的方针,整体提高企业工业控制网络的安全保障能力。制定具体工控系统网络安全解决方案如下:

  2.1 人防

  人是工业控制系统信息安全中最关键的因素。不管是技术的实施和维护,标准的制定与修订、流程的遵从、改善和管理,都离不开经过培训、有专业素质的人的参与。

  (1)企业对员工实行从业全周期的信息安全培训,使从业人员接受信息安全系统、机制化的教育培训,增强员工信息安全意识,减少误操作,并使之具备预防和发现隐患的能力。

  (2)培养一批了解生产实际情况,熟悉国内外信息安全标准和信息安全管理的专业人才,将工业控制系统信息安全工作专人化、专业化。

  2.2 机防

  2.2.1 预防监测

  (1)搭建工业控制系统在线监测平台,对包括MES、PCS、DCS、HMI、PLC、SCADA等工控系统,以及服务器、数据库、工程师站、操作站、智能仪器仪表、嵌入式设备、视频监控设备、路由器、工业防火墙、工业网关等进行监控预警。

  (2)在工控系统网络交换机上部署流量审计设备,重点监测工控网络内部异常的流量、访问、操作以及非法入侵等行为。

  (3)在进行停机检修或系统上线、维护时进行漏洞扫描,并对漏洞修复及补丁进行评审后再进行修补。

  (4)对钢铁企业工控系统信息安全现状进行周期性风险评估,通过风险评估,确定风险管理计划、需要采取的控制措施以及企业信息安全管理的现状。检查内容包括系统配置检查、病毒检查、系统日志检查等,尤其是对一些开发放行服务协议、账号密码策略、加密方式等问题进行重点关注,并对存在的风险进行持续性改进。

  2.2.2 安全防护

  (1)边界防护,区域隔离,单项传输。在工控系统网络与企业网络边界部署工控防火墙类安全设备,阻止从工控系统外部发起的网络攻击行为。在各一二级区域间部署工业网关、网闸类安全设备,禁止未经授权通讯传入或传出工控系统从而实现对IP、端口、访问、流量等内容的实时控制。

  (2)对服务器实行主机加固,对操作站、工程师站以及其他工控类计算机部署集杀毒、系统管理、应用程序管理、进程管控以及接口管理于一身的工控机安全管理系统,实现移动存储介质使用的管理、软件黑白名单管理,起到防病毒和恶意代码的作用。

  (3)对关键主机设备、网络设备、控制组件等进行冗余配置,冷、热备机,异地灾备。

  (4)工业控制系统网络准入机制。防火墙遵循安全最大化的原则,所有与工业控制网络有接入的网络必须进行配置后方可接入,必须是其所隔离的网络之间的唯一信息通道,在进行远程访问时,需指定访问对象,对通讯流量进行审计,记录并保存访问日志,并定期进行备份、审计、追踪非授权访问行为。

  (5)纵深防御。严格遵循ANSI/ISA-99标准,采用ANSI/ISA-99.02.01和IEC-63443标准的区级防护,将网络划分为不同的安全区,在安全区之间按照一定规则安装防火墙或可信网关。这样即使在某一点发生网络安全事故,也能保证其他区域的正常安全稳定运行。

  2.3 组织管理

  (1)明确领导责任,制定明确的、可操作的工控系统信息安全管理方针,完善流程、标准及各项制度,建立信息安全管理风险评估机制。

  (2)以硬件设备为核心建立工控信息安全台账,梳理设备接口,使得整个物理网络稳定、可控、可查。

  (3)工业控制系统服务商需签订安全服务保密协议,防范企业信息外泄。

  (4)督导员工之信息作业安全,防范不法及不当行为,并定期对工控系统进行巡检。

  (5)根据审计系统中收集的各类安全事件的相关数据材料,综合分析,制定工控安全事件的应急响应预案,并定期进行应急演练。

  3 结论

  钢铁行业信息化、智能化水平的突飞猛进,不仅带来了效率、效益的提高,也给工业控制系统网络信息安全带来了严峻考验,如何建立一个行之有效的信息安全管理体系,为企业提供一个稳定、高效、安全的网络环境,是今后要不断深入研究的课题。虽然现在我们面临的信息安全威胁有很多,但是只要能够充分考虑工业控制系统的运行特点,多方面综合安全防御技术,利用有效的管理方法,扎实系统地部署纵深防御,不断进行研究与实践,就能够打赢这场工控安全的持久战,为企业提供一个安全有利的生产环境。

  参考文献:

  [1] IEC 62443工控网络与系统信息安全标准综述[J]. 欧阳劲松,丁露.信息技术与标准化. 2012(03)

  [2] 顺势而行 切实加强工业控制系统信息安全管理[J]. 欧阳武.信息技术与标准化. 2012(03)

  [3] 控制系统安全性的10大威胁[J]. Peter Welander,陈廷炯.软件. 2007(08)

  [4] 工业控制系统信息安全风险及防护研究[J]. 浦乐.海峡科技与产业. 2016(06)

  [5] 工业控制系统中的安全隐患分析[J]. 丁革媛,李振江,宋扬,孙彬.微型机与应用. 2015(01)

  [6] 我国工业控制系统面临的信息安全挑战及措施建议[J]. 冯伟.信息安全与技术. 2013(02)

  [7] 工业控制系统安全现状及安全策略分析[J]. 魏钦志.信息安全与技术. 2013(02)