冶金自动化控制安全形势不容乐观
- 2014/11/6 15:44:35 9138
- 来源:工业控制系统信息安全产业联盟
冶金工业自动化控制系统信息安全管理现状
冶金自动化控制系统包括数据采集与监控系统(SCADA)、过程控制系统(PCS)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术,它们是冶金工业控制系统的核心组件,可以说没有自动化控制系统,就无法炼钢、轧钢。自动化控制系统信息安全不仅会造成信息的丢失,还可能造成工业过程生产故障的发生,从而造成人员损害及设备损坏,其直接财产的损失是巨大的,甚至会危及环境及国家安全。但是企业又不可能无限度地投入资源、资金、人力来保障安全,因为安全防护毕竟会给生产带来一些不便利性,同时也会增加投资。因此需要在对自动化控制系统所面临的主要安全威胁进行分析的基础上,
采取相应的措施,以期用小的投入达到大的保护。目前冶金企业自动化控制系统所面临的安全威胁主要包括系统平台安全、策略流程安全及网络安全三个方面。
系统平台安全
在冶金工业控制系统中,各类服务器是非常关键的设备,服务器上运行的操作系统平台承载着核心业务系统,对前端实时操作系统正常运行具有重要影响,在工控安全的整个架构里面,服务器操作系统平台的安全是不可或缺的一部分。以国内某钢厂为例:
该钢厂共安装工控机及服务器3493台,其中WindowXP系统工控机及服务器2874台,占82.28%;其中1706台安装了杀毒软件,占48.84%;仅有322台能及时对系统漏洞及杀毒软件进行更新。此外,通过对服务器有关数据运行情况的统计和分析,发现该公司还存在以下平台信息安全隐患:缺乏对系统补丁或者更新的有效管理,部分系统应用补丁未经过彻底测试,存在不稳定的现象;缺乏病毒及恶意代码的防护机制,大部分工控设备病毒防护软件及恶意代码防护程序(51.16%);病毒防护软件种类繁多(如趋势、瑞星、卡巴斯基、360杀毒软件并存),病毒库及恶意代码库不能及时进行更新,部分病毒及恶意代码防护系统没有得到充分测试(如部分安装了360杀毒软件的设备存在与控制系统不兼容的问题);部分关键配置未备份,重要数据未受保护存储在移动设备中等。
由于WindowsXP系统仍占据主导地位,而微软公司从2014年4月8日之后已不再提供WindowsXP技术帮助,包括帮助保护电脑的自动更新、MicrosoftSecurityEssentials(注:微软开发的免费防病毒软件)下载服务,系统补丁、病毒防护系统及软件漏洞不能得到及时维护,会使得工控机及服务器更容易受到安全风险与病毒的攻击,一旦受到攻击,将会给企业的生产造成非常严重的影响。
策略及流程安全
作为信息安全的重要组成部分,制定满足企业需求的安全策略,并依据策略制定管理流程,是确保冶金自动化控制系统稳定运行的根本保障。由于冶金工业控制系统网络的相对封闭性,不少企业更看重自动化控制系统的实时性和可用性,而往往牺牲或者忽视了系统信息的安全性,所以无论公司高层还是基层管理、操作人员都要提高信息安全意识。特别是公司高层要对公司内部自动化控制系统的信息安全进行研究和部署,制定长期、持久的信息安全策略;强化对职工信息安全培训,设置专职固定的信息安全管理人员;根据安全策略制定正规的安全制度流程及安全审计机制,加强对现场操作人员的管理、检查和考核。
仍然存在中夜班职工在终端控制设备上看视频、玩游戏,甚至非正规上互联网的情况;在对现场工控机、PLC进行调试时,不规范接入移动电脑而造成系统因感染病毒而造成停机的事故时有发生;检修时不规范的外联设备,为外商不规范的开通公网测试。安全策略缺失、管理不到位,很容易造成信息泄露、黑客攻击、病毒入侵等安全问题,严重时会导致自动化控制系统整个网络瘫痪。对这些问题要做到防患于未然,真正做到“零容忍”。
网络安全
冶金企业生产环境的控制网络通常采用同一网段的以太网通讯连接,任何连接到网络内的PC或操作站都能访问网络中的PLC(或RTU),对PLC(或RTU)进行操作甚至破坏PLC(或RTU)的组态程序,造成PLC(或RTU)的控制单元失灵或是现场设备停机乃至损毁。目前控制网络中无任何隔离防护设备,如果操作站感染病毒,病毒将会轻易蔓延至整个网络,可能会导致整个网络数据堵塞或使操作站丧失操作能力,某些针对工业协议(如ModbusTCP)的病毒还可能会导致PLC控制单元死机,完全丧失控制能力。此外,部分控制系统网络采用各种接入技术作为现有网络的延伸,如无线和微波,这将引入一定的安全风险,同时PLC等现场设备在维护时,也可能因不安全的串口连接(如笔记本、移动U盘等不安全的移动维护设备未授权接入)或缺乏有效的配置进行有效性核查,而造成PLC(或RTU)设备运行参数被篡改,从而对整个冶金控制系统的运行造成危害。
冶金自动化控制系统信息安全风险防范
冶金企业的工控信息安全风险防范,需要遵循冶金生产的行业特点,切实结合生产现状和管理现状,依据控制系统风险分析及排序的结果,充分考虑风险防范的成本投入,有效利用技术措施与管理措施,针对风险防范的难易程度,采用分步实施的原则完成整体的风险防范。
平台的升级、系统的加固与补丁管理
针对现有Windows7系统占绝大多数的现状,在积极制定系统平台升级计划的同时,更重要的是采取必要的控制措施,确保现有的系统平台能够安全稳定运行。
联合工控系统设备商及信息服务商对工控设备的运行平台进行开发,确保工控系统能够在更高一级的系统平台上(Windows7及Server2008系统)安全运行,有计划分批次对现有的WindowsXP及Server2003系统进行升级,确保运行平台的安全。对微软公司不提供WinXP技术支持的具体情况,要及早采取措施,主动应对强化管理。
加强连接管理,所有工控机及服务器采用物理隔离策略,断绝同外网的连接;严格控制USB口,禁止使用U盘、移动硬盘、无线上网设备等手段,确保工控系统安全。
同工控设备的供应商沟通,在保证工控系统可用性的前提下,必须安装杀毒软件,定期对杀毒软件进行升级,对病毒库进行更新,杀毒软件的升级要通过下载病毒库升级包,并刻录成光盘,进行离线升级;所有拷贝数据通过光盘刻录方式来防止计算机病毒的感染。
对工控机及服务器按照重要程度进行分解管理,重要工控系统计算机的程序定期通过专用移动存储设备或专用备份硬盘进行备份;部分关键工控设备(如重要岗位一级、二级服务器)需配置备用服务器,并安装相同的软件,同时落实应急支撑队伍,确保一旦出现事故能够尽快恢复生产。
按照纵深防御的理念,逐步建立基于工控信息全生命周期的安全管控体系
纵深防御就是通过设置多层重叠的安全防护系统而构成多道防线,使得即使某一防线失效也能被其它防线弥补或纠正。它包括将工控设备在网络上与其它不必要相联的系统断开,维护防火墙的完整性,建立安全策略与流程,进行网络分区与(控制单元间的)边界防护,建立安全的单元间通信,恶意软件的检测与防护,访问控制与账号管理,记录设备访问日志,并进行必要的审计等内容。纵深防御策略的目标有两个:一是即使在某一点发生网络安全事故,也能保证装置或工厂的正常安全稳定运行;工厂操作人员能够及时准确地确认故障点,并排除问题。
为实现这一目标,应从自动化控制系统安全体系架构设计、自动化控制系统的供应链安全、自动化控制系统上线前的安全检查、自动化控制系统的安全运维与管理等方面进行综合、全面考虑,逐步建立基于工控信息全生命周期的安全管控体系。
自动化控制系统安全体系架构设计
应把信息安全融入到自动化控制系统的整体设计之中,在对冶金自动化控制系统安全需求进行系统分析,制定相应的安全规划;对工控系统进行风险评估,切合实际地识别出该系统的安全脆弱性,面临的安全威胁,以及风险的来源的基础上,借助于产品安全、安全操作指南以及专业的工业安全服务,建立、部署层次化的多重安全措施,如通过防火墙、隔离网闸等网关类安全设备实现自动控制系统与其它信息系统间的有效隔离,并通过系统准入机制,确保系统访问者的可信身份及使用设备的安全性等。
自动化控制系统的供应链安全
应将自动化控制系统的供应链安全作为工业控制系统信息安全防护体系的组成部分,以防工业控制系统及其组件遭受因供应链安全所造成的威胁。目前国内主要的冶金企业钢厂都无一例外地安装使用了西门子、罗克韦尔自动化、ABB、TEMIC(东芝三菱)、yaskawa(日本安川)等公司生产的自动化控制系统及组件,一旦环境发生变化,自动化备件的采购及现场工控系统的维护就有可能受到严重威胁。此外,部分规模较小的供应商对产品存在的缺陷和安全认识不足,对出现的安全问题不能做到快速响应。因此在对工控系统及组件进行采购时,要充分考虑政治因素,并在采购合同中对系统的预期运行环境、系统的安全性能、安全保障等提出明确的要求。
自动化控制系统上线前的安全检查
自动化控制系统、系统组件或设备在上线运行前,应使用专门的工具(或通过第三方测评机构)对其中可能存在的安全隐患进行相应的安全检测(包括但不限于漏洞扫描、配置核查、无线网络的安全评估以及后门探测等),期望通过上线前安全检测能够及时发现潜在的安全隐患,进而通过系统加固、优化安全配置及安全防护策略等手段尽可能避免因自动化控制系统自身的缺陷所带来的安全威胁。从工业控制系统上线前的安全检查开始,把信息安全融入到正常的验收体系中,除了功能性安全验收外,信息安全验收也要作为工业控制系统(系统组件或设备)能否正常上线的一个重要评估依据。
自动化控制系统日常运行及维护管理
在冶金自动化控制系统的日常运行阶段,应建立相应的人员安全管理制度及安全意识培训机制,明确系统操作、管理人员的职责及授权,建立相关人员的操作行为监管及审计机制,通过制度、管理和技术手段来规范系统相关人员的系统操作行为。
对在线运行的自动化控制系统,要制定明确的边界控制及系统防护策略,严格管理所有可能的自动化系统访问入口(如工控系统网络禁止与公共网络连接,如若必须连接时,要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护;禁止在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机;封闭或拆除终端设备外接端口等);要求终端设备(含服务器、计算机、打印机、扫描仪等)必须安装正版操作系统及系统软件,安装必要的防病毒软件;建立控制服务器等工业控制系统关键设备安全配置管理,对重点岗位的计算机系统必须设置使用权限及专人使用的保护机制,禁止非专业人员操作系统和不明软件进入系统;岗位重点计算机系统用户必须定期与不定期地进行文件备份工作,重要的数据要及时进行备份,对于存放重要数据和程序的存储介质,要求将数据和程序分别存放,要贴有写保护签,以防数据和程序被破坏或感染病毒;建立工业控制系统信息安全检查、安全测评检查和漏洞发布制度,尽早发现系统存在的潜在安全风险,通过调整安全防护策略及安全整改实现对自动化控制系统防护能力的提升。
加强检查,持续改进
要确保冶金自动化控制系统的信息安全关键在于提高每名职工的信息安全防范意识,并确保各项制度流程的落实。因此在建立完善的信息安全防控体系的同时,还要加强对职工信息安全及防范技术的培训,并建立对操作岗位人员合理的评价及考核机制,自动化控制系统运行单位要从实际出发,定期组织开展信息安全检查,排查安全隐患,堵塞安全漏洞。
两点认识
冶金自动化控制系统信息安全不是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术、产品等各方面的系统工程,需要自动化控制系统的管理方、运营方、集成商与组件供应商的共同参与,协同工作,并在整个工业基础设施生命周期的各个阶段持续实施,不断改进才能保障冶金设备产线的安全运营。
此外冶金自动化控制系统是一个动态的过程,设备变更、系统升级等都会导致冶金自动化控制系统自身处于动态演化之中,而各种安全威胁、安全攻击技术的复杂性和技巧性也在不断演变,防范难度也会与日俱增,因此在冶金自动化控制系统信息安全也无法达到100%,信息安全需要冶金自动化控制系统生命周期的各个阶段中持续实施、不断改进。
全部评论