深圳电子展
2024年11月6-8日
深圳国际会展中心(宝安)

“工业4.0”控制系统信息安全的纵深防御

1 工业系统网络结构及安全区域的划分

从总体结构上来讲,工业系统网络可分为三个层次:企业管理层、数采信息层和控制层。企业管理层主要是办公自动化系统,一般使用通用以太网,可以从数采信息层提取有关生产数据用于制定综合管理决策。数采信息层主要是从控制层获取数据,完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责通过组态设计,完成数据采集、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能。

系统的每一个安全漏洞都会导致不同的后果,所以将它们单独隔离防护十分必要。对于额外的安全性和可靠性要求,在主要的安全区还可以根据操作功能进一步划分成子区。这样一旦发生信息安全事故,就能大大提高工厂生产安全运行的可靠性,同时降低由此带来的其他风险及清除费用。

将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”策略,参照ANSI/ISA-99标准,同时结合工业系统的安全需要,可以将工业系统网络划分为下列不同的安全区域,如图1所示。企业IT网络区域、过程信息与历史数据区域、管理与HMI区域、DCS与PLC控制区域、第三方控制系统区域。

2 基于纵深防御策略的工业控制系统信息安全

针对企业流程工业的特点,同时结合工业控制系统的网络结构,基于纵深防御策略,创建“本质安全”的工业控制网络需要以下五个层面的安全防护,如图2所示。

(1)企业管理层和数采监控层之间的安全防护

在企业管理层和数采监控层之间加入防火墙,一方面提升了网络的区域划分,另一方面更重要的是只允许两个网络之间合法的数据交换,阻挡企业管理层对数采监控层的未经授权的非法访问,同时也防止管理层网络的病毒感染扩散到数采网络。考虑到企业管理层一般采用通用以太网,要求较高的通讯速率和带宽等因素,对此部位的安全防护建议使用常规的IT防火墙。

(2)数采监控层和控制层之间的安全防护

该部位通常使用OPC通讯协议,由于OPC通讯采用不固定的端口号,使用传统的IT防火墙进行防护时,不得不开放大规模范围内的端口号。在这种情况下,防火墙提供的安全保障被降至较低。因此,在数采监控层和控制层之间应安装专业的工业防火墙,解决OPC通讯采用动态端口带来的安全防护瓶颈问题,阻止病毒和任何其它的非法访问,这样来自防护区域内的病毒感染就不会扩散到其他网络,提升网络区域划分能力的同时从本质上保证了网络通讯安全。

(3)保护关键控制器

考虑到和控制器之间的通讯一般都采用制造商专有工业通讯协议,或者其它工业通信标准,如Modbus等,由于常规的IT防火墙和网闸等安全防护产品都不支持工业通讯协议,因此,对关键控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许制造商专有协议通过,阻挡来自操作站的任何非法访问;另一方面可以对网络通讯流量进行管控,可以指定只有某个专有操作站才能访问指定的控制器;第三方面也可以管控局部网络的通讯速率,防止控制器遭受网络风暴及其它攻击的影响,从而避免控制器死机。

(4)隔离工程师站,保护APC先控站

对于网络中存在的工程师站和APC先控站,考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备(U盘、笔记本电脑等),而且是在整个控制系统开车的情况下实施,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。

在工程师站和APC先控站前端增加工业防火墙,可以将工程师站和APC节点单独隔离,防止病毒扩散,保证了网络的通讯安全。

(5)和第三方控制系统之间的安全防护

使用工业防火墙将SIS安全仪表系统等第三方控制系统和网络进行隔离,主要是为了确保两个区域之间数据交换的安全,管控通讯数据,保证只有合法可信的、经过授权的访问和通讯才能通过网络通信管道。同时也提升了网络安全区域划分能力,有效地阻止了病毒感染的扩散。

来源:网络