石化行业工控系统信息安全的纵深防御
油田工业控制系统信息安全纵深防御初探
44Golurrm专栏•工业信息安全回关注工业安全产业联盟请扫二维码油田工业控制系统信息安全纵深防御初探On the Defense of Information Security in Depth of Oilfield Industrial Control System★中国石油化工股份有限公司胜利油田分公司鲁玉庆摘要:本文通过对数字油田专用的油气工业控制系统(OICS)进行风险 分析,提出了分层分域、确定性行为预测的纵深防御方法,可有效解 决油田OICS面临的网络安全问题。
关键词:工业控制系统;工业控制系统安全;数据采集与监视控制系 统;纵深防御Abstract:In this paper, based on the risk analysis of the OICS (Oilfield Industrial Control System) dedicated to digital oilfields, a defense- in-depth method of layered and domain-specific and deterministic behavior prediction is proposed, which can effectively solve the network security problems faced by OICS.Key words:Industrial control system; Security of industrial control system;SCADA;Defense in depth1引言随着中国经济的快速发展,石油、天然气等能源产业在国家经济中的地位愈加显著。
近年来国家大力倡导国家能源安全与能源储备,客观上向中国的能源产业提出了更高的要求,同时也提供了更多的发展空间。
因此通过数字化远程管理,有效控制生产过程中的关键技术环节,实现远程调度指挥、监管、控制的大规模生产是目前众多大型企业所企盼的。
工业控制系统信息安全防御及解决方案
工业控制系统信息安全防御及解决方案工业控制系统是由工业自动化生产设备,如PLC、RTU、DCS系统等组成,不同于IT网络,工业控制系统有着专有的通信协议和通信机制。
由于相对独立的使用环境,工业控制系统多重视系统的功能实现,对安全的关注相对缺乏。
因此工业控制系统存在大量的安全缺陷,这些缺陷使工业控制系统极其脆弱。
随着工业信息化的快速发展以及工业4.0时代的到来,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。
未来为了提高生产效率和效益,工控网络会越来越开放,不可能完全的隔离,给工控系统网络安全防护带来了挑战。
一、工业控制系统信息安全威胁近年来,各个工业行业频发的信息安全事故表明,一直以来被认为相对安全、相对封闭的工业控制系统已经成为不法组织和黑客的攻击目标,黑客攻击正在从开放的互联网向封闭的工控网蔓延。
多个重要且关乎国计民生的行业,如电力、石油、石化、天然气、军工等均遭受到了严峻的工业控制网络安全威胁,急需加大在工业控制网络安全方面的投入,防止工业企业受到针对工控网络的攻击。
如何解决工控安全问题已成为企业面临的严峻挑战,受到越来越多的工业企业的关注,并且得到了国家的高度重视。
针对关乎国家经济命脉的电力、石油、石化、军工等行业,国家在鼓励要求提高工业信息化的同时,将网络安全问题提升到了国家战略层面,并要求各级政府部门和相关企业加大对于工控安全技术的研发力度,加速推进相关技术和解决方案的完善以及相关政策标准的推出。
二、工业控制系统信息安全防御建议工业控制系统安全的重要性及其普遍安全防护措施不足的现实,使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。
结合工业控制系统自身的安全问题,本文提出一些安全建议,具体有:1、加强对工业控制系统的脆弱性研究,提供针对性的解决方案和安全保护措施;2、尽可能采用安全的通信协议及规范,并提供协议异常性检测能力;3、建立针对工业控制系统的违规操作、越权访问等行为的监管;4、建立完善的工业控制系统安全保障体系,加强安全运维与管理;5、加强针对工业控制系统的新型攻击技术(例如APT)的防范研究。
工业控制系统信息安全防护措施
工业控制系统信息安全防护措施【摘要】工业控制系统在现代生产中起着至关重要的作用,但其信息安全也备受关注。
本文从物理安全防护措施、网络安全防护措施、数据加密技术、访问控制策略和安全审计机制等方面进行了深入探讨。
通过物理安全措施可以有效保护控制系统设备和数据免受物理攻击;网络安全防护措施则用于防范网络攻击和数据泄露。
在数据传输和存储过程中,数据加密技术起到了重要作用,保障数据的机密性和完整性。
访问控制策略和安全审计机制能够有效限制系统操作权限和监控系统安全情况。
总结了工业控制系统信息安全防护措施的重要性,并展望了未来的发展趋势,强调了不断更新技术和加强管理才能更好地保护工业控制系统的信息安全。
【关键词】工业控制系统、信息安全、防护措施、物理安全、网络安全、数据加密、访问控制、安全审计、总结、未来发展。
1. 引言1.1 工业控制系统信息安全防护措施概述工业控制系统信息安全防护措施旨在保护工业控制系统免受恶意攻击和数据泄露的威胁,确保系统运行平稳和数据安全性。
随着工业控制系统的智能化和互联化程度不断提高,信息安全问题已成为工业领域面临的重要挑战之一。
为了有效防范各类安全威胁,工业控制系统需要采取综合的信息安全防护措施。
其中包括物理安全防护措施,包括设备放置位置的合理设置、门禁系统的使用等;网络安全防护措施,如防火墙、入侵检测系统、安全路由器的配置等;数据加密技术,对重要数据进行加密存储和传输;访问控制策略,限制不同用户对系统的访问权限;以及安全审计机制,对系统的操作记录进行监控和分析,及时发现异常行为。
工业控制系统信息安全防护措施涉及多方面的技术和策略,需要全面考虑系统的安全需求,确保系统能够稳定运行并防范潜在的安全威胁。
在未来发展中,工业控制系统信息安全防护将继续提升,适应新形势下的安全需求,保障工业生产的正常运行和数据的安全性。
2. 正文2.1 物理安全防护措施物理安全是工业控制系统信息安全的重要方面,通过有效的物理安全措施可以保护系统免受未经授权的访问和破坏。
石化行业工控安全解决方案
石化行业工控安全解决方案龙国东威努特—工控安全专家石油石化中工业信息化网络的应用石油和化工企业的信息化分为三层结构:第一层以PCS(Process ControlSystem,过程控制系统)为代表的生产过程基础自动化层。
;第二层以MES(ManufacturingExecution System,制造执行系统)为代表的生产过程运行优化层;第三层以ERP(EnterpriseResource Planning,企业资源计划)为代表的生产过程经营优化层。
威努特—工控安全专家工业信息化网络面临的挑战威努特—工控安全专家石油石化行业工控网络的安全问题与风险A生产控制网络缺乏自身全面的安全性设计我国石油石化行业生产控制系统安全防护滞后于系统的建设速度,生产控制系统缺乏自身的安全性设计。
在信息安全意识、策略、机制、法规标准等方面都存在不少问题。
B工控网络存在一定的脆弱性(1)已建项目主要软硬件多为进口,可能存有后门(2)油气开采、管道储运广泛使用无线通信,易被野外搭线监听、窃密和干扰(3)部分网络借用公共电信网络和互联网组网,增加了网络接入风险C工控网络面临着现实和潜在的威胁现实威胁:U盘滥用、病毒肆虐、软件乱装、违规操作、缺少有效的访问控制手段潜在威胁:攻击石油石化行业工控系统技术门槛越来越低,易被信息战攻击D工控网络安全防护体系尚未形成(1)关键资产底数不清楚(2)严重漏洞难以及时处理,系统软件补丁管理困难,难以应对APT攻击威努特—工控安全专家石油石化行业生产控制系统信息安全主要目标可用性完整性保密性123保护工控系统免受病毒等恶意代码的侵袭。
避免工控系统遭受人为恶意或者无意的违规操作。
防范外部、内部的网络攻击。
在不利条件下维护生产系统功能。
安全事件发生后能迅速定位找出问题根源。
威努特—工控安全专家构筑工控网络安全“白环境”监控防护体系只有可信任的设备,才允许接入控制网络;只有可信任的命令,才能在网络上传输;只有可信任的软件,才能在主机上执行;1.2.3.核心理念运用白名单的思想,通过对工控网络流量、工作站软件运行状态等进行监控,运用大数据技术收集并分析流量数据及工作站状态,建立工控系统及网络正常工作的安全模型,进而构筑工业控制系统的网络“安全白环境”。
工业控制网络的信息安全及纵深防御体系结构探究
of industrial control network 3.1.1 安全域划分 工业控制网络纵深防御体系结构中安全域划分是对 业务进行抽象处理,并非简单划分物理服务器,在整体 的分布式架构内,相同安全域的设备,可能不会存储在 同一物理机房,但是安全等级相同,访问控制的策略相 同,只为其他安全域或是网络暴露相应的协议接口,就 算是攻击者对其他领域服务器进行渗透,也只能进行安 全域中端口的扫描,不能自由渗透,能够避免工业控制 网络系统的信息安全受到破坏,提升整体信息的安全。 3.1.2 数据链路隔离 提升整体信息的安全性,数据链路隔离的设置,主 要是通过专门的数据链路隔离方式,将安全域作为基础, 在服务器中设置相应的防线,进行单点沦陷后受害源蔓 延的抑制。 3.1.3 端口状态协议的过滤 端口状态协议过滤,主要是采用防火墙进行协议安 全的管理,有效应对工业控制网络系统的黑客入侵问题, 即使工业控制网络系统没有合理进行加固、没有全面清 理不必要的服务、所开放的端口存在问题、端口服务有 漏洞,但是只要利用防火墙进行过滤,攻击者就不能到 达陆游,只能对外或是对信任与暴露的端口进行攻击。 从本质层面而言,端口状态协议的过滤,就是为黑客和 病毒入侵等提供窄带,设置具有限制的访问通道 [3]。 3.1.4 应用层的安全管理 在应用层安全管理的过程中,为避免工业控制网络系
工业控制网络系统和常规的 IT 系统存在一定差异,从
系统的特点层面而言,工业控制网络是由信息物理融合系
统组合而成,IT 系统则是常规的信息系统。如表 1 所示,
工业控制网络系统可以分成企业层次、管理层次、监控层
石化行业工业控制系统信息安全问题研究
工业控制网络纵深防御解决方案word版本
工业控制网络纵深防御解决方案编制青岛海天炜业自动化控制系统有限公司经理刘安正Byres Security inc. Tofino 亚太区经理Thomas Ou目录1.工业控制网络安全概述 (3)1.1 本报告编制原则 (3)1.2 工业控制网络安全概述 (3)2.西门子STUXNET 控制系统病毒的新警示 (4)3.目前工厂控制系统网络防护分析 (5)3.1 工厂网络情况概述 (5)3.2 目前工业控制网络安全存在的问题 (5)3.2.1 操作系统安全漏洞 (5)3.2.2 病毒与恶意代码 (6)3.2.3 拒绝服务攻击-网络风暴 (6)3.2.4 黑客入侵与应用软件安全漏洞 (6)3.3 目前的防护措施 (7)3.4 保证控制网络安全必须达到的两个目标 (8)3.5 ANSI/ISA-99 区域防护概念解析 (9)4.TOFINO 工业网络安全解决方案 (10)4.1 T OFINO 安全解决方案构成 (11)4.2 T OFINO安全解决方案达到的目标 (12)4.3 过程控制系统DCS 区域安全分析 (13)4.4 针对石化企业的T OFINO解决方案 (13)4.4.1 工业OPC 通信防护 (14)4.4.1.1 方案架构图 (16)4.4.1.2 OPC Classic Enforcer 防护原理 (16)4.4.1.3 Tofino OPC 通讯防护配置清单(单个OPC 连接) (18)4.4.2 操作站层面防护 (19)4.4.2.1 方案架构图 (20)4.4.2.2 操作站层防护部署及原理 (21)4.4.2.3 操作站层通讯防护配置清单(单个防护区域) (21)5.项目费用概算............................................................. 错误!未定义书签。
1.工业控制网络安全概述1.1 本报告编制原则本报告编制依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术指南》以及国际《ANSI/ISA-99 控制系统网络安全指引》面向石化企业信息化的特点,结合MES 以及现场控制系统的实际应用,针对控制网络安全问题进行分析与阐述,并提供适合企业特点的安全方案。
多芬诺:“纵深防御”保障工业控制系统信息安全
( 4 ) 集防火墙与虚拟路 由于一身, 能够像网络 警察一样管控 网络数据通讯, 同时具有实时网络通 讯透视镜功能, 能实现对非法通讯实时报警、 来源 确认和历史记录, 保证对控制网络通讯实时诊断。 ( 5 ) 特有的 “ 测试 ” 模式允许用户在真实工控 业 网络安全 的同时也保证了工控需求的完整性。 ( 6 ) 采用深度数据包检测D P I 技术。 传统 的I T 防火墙存在对系统通讯协议无细粒度控制的问题 , 从而埋 下了安全隐患。 深度数据包检测DP I 技术能 深入检查通过防火墙 的每个数 据包及其应用负荷, 从而有效地识别检测出隐藏在正常协议内部的恶意 通讯和病毒攻击, 像缓 冲区溢出攻击、 拒绝服务攻 击、 各种欺骗性技术以及S t u x n e t 这样的病毒 。 ( 7 ) 多芬诺工业控制系统信息安全解决方案
利安全连接 技术 , 同时能隐藏后端所有设备的I P 地
址, 让 入 侵 者 无 法 发 现 目标 , 更 无 从 谈 起 发 动 任 何
攻击 。
多芬诺工 业控制 网络 信息安全解 决方案
由于I T 环境 和工控环境之 间存 在着一些关键 不 同, 企业在没有全面考虑工控环境特 殊性的情况下, 简 单地将I T 安全技术配置到工控系统中并不是高效可 行 的解决方案 , 同时也在另一层面增加了 企业工业
网络信息安全隐患。 多芬诺更 适于工业控制系统信
中闭 候嚣 豫表 C H I N A I N S T R U M E N T A T I O N
2 0 1 3 年 第7 期
第十二届工业 自动化 与标 准化研讨会 ・ 专栏
多芬诺 :“ 纵深 防御 ’ ’ 保 障工业控制系统信息安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
石化行业工控系统信息安全的纵深防御
纵观我国工业、能源、交通、水利以及市政等国家关键基础设施建设,DCS、PLC等工业控制系统得以广泛应用,随着我国两化融合的深入发展,信息化的快速发展大大提高了公司的运营效率,但TCP/IP、Ethernet等通用技术和通用产品被大量引入工业领域,也将越来越多的信息安全问题摆在了我们面前。
另一方面,长久以来,企业更多关注的是物理安全,信息化发展所需的信息安全防护技术却相对滞后,近几年来因控制系统感染病毒而引起装置停车和其他风险事故的案例屡有发生,给企业造成了巨大的经济损失。
Stuxnet病毒的爆发更是给企业和组织敲响了警钟,工信部协[2011]451号通知明确指出要切实加强工业控制系统信息安全管理的要求。
本文以石化行业为例,就工业控制系统信息安全存在的隐患,及其纵深防御架构体系进行简要探讨。
1.工业控制系统面临的信息安全漏洞
1、通信协议漏洞
两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。
例如,OPC Classic协议(OPC DA, OPC HAD和OPC A&E) 基于微软的DCOM协议,DCOM 协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的动态端口号,在通讯过程中可能会用到1024-65535中的任一端口,这就导致使用传统基于端口或IP地址的IT防火墙无法确保其安全性。
因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性成为工程师的一个安全技术难题。
2、操作系统漏洞
目前大多数工业控制系统的工程师站/操作站/HMI都是基于Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统开车后不会对Windows平台安装任何补丁,这样导致了操作系统系统存在被攻击的可能,从而埋下了安全隐患。
3、杀毒软件漏洞
为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件。
即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。
而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
4、应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当软件面向网络应用时,就必须开放其网络端口。
因此常规的IT防火墙等安全设备很难保障其安全性。
互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂、天
然气管道以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
5、安全策略和管理流程漏洞
追求可用性而牺牲安全,是工业控制系统存在的普遍现象,工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁,
2.石化行业控制系统信息安全现状分析
目前,实时数据库系统在石化企业生产经营管理中得到越来越广泛的应用,通用通讯协议和操作系统也几乎覆盖了所有的工业控制系统。
根据业务功能的不同,石化行业工控系统网络一般分为三部分:控制层、数采层和管理信息层,如图1所示。
图1:石化行业工控系统网络结构
在信息安全方面,石化企业工控系统目前存在的安全问题主要有:
1、系统终端自身免疫力不足。
目前工业计算机操作系统大多采用Windows操作系统,一般不允许安装操作系统的安全补丁和防病毒软件,这些先天限制,使得工业计算机的操作系统存在很多已知或未知的漏洞无法解决,一旦发生针对性的网络攻击或病毒感染则会造成无法想象的后果;即便安装杀毒软件也仅能对部分病毒或攻击有所抑制,但病毒库存在滞后,也不能从根本上进行防护。
另一方面,项目实施和后期维护中频繁使用U盘、笔记本电脑等外置设备,并且是在整个系统开车情况下实施,也存在较高的安全隐患。
2、工业网络扁平化现象突出。
虽然大多数石化企业通过Buffer数采机或OPC Server
的双网卡结构对数采网与控制网进行了隔离,部分恶意程序不能直接攻击到控制网络,但对于能够利用 Windows系统漏洞的网络蠕虫及病毒等,这种配置并没有作用,病毒仍会在数采网和控制网之间互相传播。
3、系统缺乏信息安全监控措施,网络攻击事件无法追踪。
现有网络如果遭受病毒和黑客攻击,维护人员无法进行故障点查询和原因分析,并采取应急响应措施,一些小的安全问题直至发展成大的安全事故才会被发现和解决。
3.基于纵深防御的工业控制系统信息安全解决方案
3.1.系统终端安全
鉴于工业应用的特殊性,工业控制系统的操作站、应用站等终端难以采用传统的打补丁、杀毒软件的方式应用层出不穷的操作系统漏洞、计算机后门程序、病毒、数据扫描、密钥数据块攻击等多元化的风险及威胁。
有别于传统的安全技术,可信计算首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,从而把这种信任扩展到整个计算机系统,以提高系统整体的安全性。
InTrust工控可信计算安全平台首创可信计算在工控领域的创新应用,拥有“白名单”模式的智能可信度量系统,并可以通过度量信息实现对程序进程的全面管控,从根本上解决工控系统终端病毒感染、恶意代码进程启动、操作系统内核漏洞隐患。
图2:采用海天炜业InTrust工控可信计算安全平台
提高工控系统终端安全的部署示意图
3.2.网络安全
国际行业标准ANSI/ISA-99、IEC62443指出工业控制系统网络安全要点如表1所示:要点名称要点描述达到目标
区域划分具备相同功能和安全要求的设备在同一区域内安全等级分区
管道建立实现区域间执行管道通信易于控制
通信管控通过控制区域间管道中通信管理控制来实现设备保护数据通信可控
表1 ANSI/ISA-99指出的控制网络安全要点
参照国际行业标准,同时结合石化行业网络结构特点以及信息安全需要,可以将其工控网络划分为控制网、数采网、工程师站、APC先控站、关键控制器等5个区域。
下一步就是实现区域之间网络通讯的访问控制。
工业防火墙是目前业界比较认可,市场应用最广的一种网络安全防护产品。
以Guard工业防火墙为例,其采用工业协议深度包检查(DPI)技术,支持OPC、Modbus TCP等常见工业协议,远远超过了端口级别的访问控制,能提供更加有效的工业协议应用层防护。
另外Guard工业防火墙采用无IP连接技术,同时能隐藏后端保护设备的IP地址,令攻击者无从发现攻击目标,更不用谈发起攻击。
如图3所示,在数采网和控制网之间、工程师站前端、APC先控站前端以及关键控制器前端部署Guard工业防火墙,可有效防止蠕虫、木马等非法病毒在网络上传播扩散;隔离工程师站,避免因工程师站感染而导致的病毒扩散;保护APC先控站和关键控制器;从网络层面构建工控系统运行的安全环境。
图3:Guard工业防火墙在石化行业工业网络安全防护中的应用
3.3.智能审计记录分析
海天炜业工控安全管理平台SMP是专门针对工控网络行为审计记录的智能分析管理软件,具备强大的审计日志存储查询功能,可以对海量的审计数据进行实时监控和网络行为态势分析,使系统安全运维人员能够通过实时日志展示画面随时监控正在发生的不同级别审计日志和报警信息,也可以通过安全管理平台的条件查询、统计、筛选、图表展示和态势分析算法模型等强大的功能迅速得出网络健康状况,最终自动获得详细的统计分析报告和事件处置方式建议,实现系统安全运维管理的实时性、完整性、自动化、智能化。
整体“纵深防御”工业控制系统信息安全部署结构如图4所示。
图4 :终端加固、网络安全、智能监控
海天炜业石化行业纵深防御工业控制系统信息安全防护架构
4.总结
石油化工等关键基础设施和能源行业关系国计民生,在我国两化融合深入发展的同时,如何确保工控系统信息安全是石化行业信息化建设重要的一部分。
本文以纵深防御的工业信息安全防护理念为核心,在充分了解石化行业网络结构和安全现状的基础上,对石化行业工控系统信息安全需求进行了认真分析,从终端安全、网络安全和智能监控三方面出发,通过部署InTrust工控可信计算安全平台、Guard工业防火墙以及工控安全管理平台SMP,介绍了海天炜业工业控制系统信息安全的纵深防御在石化行业的应用,实现高效保护工控系统远离木马、蠕虫、黑客等各种威胁和攻击,保障企业生产安全稳定运行。