Tofino(多芬诺)工业网络安全解决方案教学教材 下载本文

Tofino(多芬诺)工业网络安全解决方案

工业网络安全解决方案

一、概述

数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,高度信息化的同时也减弱了控制系统及SCADA系统等与外界的隔离,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。工信部协[2011]451号通知明确指出,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。

二、行业现状与分析

大多数企业模型化后的系统网络结构如上图所示,由信息层(Information zone)、操作站层(Station zone)和控制器层(Controller zone)三大部分组成。目前的现状是大多数控制网络中在

运行的电脑,很少或没有机会安装全天候病毒防护或更新版本。控制器的设计都以优化实时的I / O功用为主,而並不提供加强的网络连接安全防护功能。在整个网络中存在多个网络端口切入点需要防护,并且许多控制网络都是“敞开的”,不同的子系统之间都没有有效的隔离,尤其是基于OPC、MODBUS等通讯的工业控制网络,其中某一部分出现问题被攻击后,病毒就通过网络迅速蔓延。 目前国内针对工业控制网络的防护标准尚未成型,公安部会同有关部门也在制定计算机信息系统安全等级的划分标准和安全等级保护的具体办法。在国际上,美国在2007年颁布的Chemical Facility Anti-Terrorism Standards (CFATS)标准(该标准由美国国土安全部颁布)以及2008年颁布的US Chemical Anti-Terrorism Act(美国化学反恐怖主义法)针对化工设备安全做了强制要求,目前,石油,水处理以及制造业都还没有必须按照以上立法规定作业,但是为了避免重大的风险,基本都遵守行业标准ANSI/ISA-99 Standards的要求进行规划。ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP-005,均指出过程控制系统或SCADA控制网络应与其他系统隔离,包括企业IT网络。ANSI/ISA-99指出过程控制系统或SCADA控制网络的控制网络安全要点如下: 要点名称 区域划分 管道建立 通信管控 实现区域间执行管道通信 通过控制区域间管道中通信管理控制来实现设备保护 要点描述 具备相同功能和安全要求的设备在同一区域内 达到目标 安全等级分区 易于控制 数据通信可控 业内专家建议,控制系统应放置在商业/过程控制网络(PCN)防火墙之后(援引自ISA-dTR99.00.02 Integrating Electronic Security into the Manufacturing and Control Systems Environment and the CPNI Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks)。此外,专家还推荐隔离区(Demilitarized Zone ,DMZ)采用共享IT / PCN资产(如历史数据)的部署方式。如下图所示正是这种架构: 需要重点解释的是,商业网络的安全需求与控制网络的安全需求在某些地方完全不同。举个例子,商业防火墙通常允许该网络内的用户使用HTTP浏览因特网,而控制网络则恰恰相反,它的安全性要求明确禁止这一行为;再比如,OPC是工业通讯中最常用的一种标准,但由于OPC基于DCOM技术,在应用过程中端口在1024-65535间不固定使用,这就使得基于端口防护的普通商用防火墙根本无法进行设置。因此不要试图将控制系统放入IT解决方案中,选用专有的控制系统防火墙加上良好的控制系统安全策略才能为工业控制系统安全提供高效的网络攻击防御能力。想要满足这一安全要求,