信息安全对于保障企业关键业务的运行非常重要,因此也越来越得到企业的重视。目前大部分的企业内部都建立了信息安全的防护机制,尤其是在病毒防护上,众多企业都异常的重视。但是,目前的病毒防护大部分企业都只注重办公网的防护,几乎很少企业涉及到对于工业网络的病毒防护。因为通常我们认为,计算机病毒无法影响到工控机的运行,因为大部分病毒是基于windows平台运行的。但是,在2010年震网(Stuxnet)病毒诞生改变了这一现实。这种复杂的电脑病毒将恶意软件作为一种网络武器来使用,通过USB和其他机制传播,可以影响特定工业控制系统的运行。
随着工业自动化程度的提高,在享受IT技术带来的益处的同时,针对工业控制网络的安全威胁也在与日俱增控制工程网版权所有,工控机所受威胁也越来越大。据国家信息安全漏洞库公开数据表明,2011年CNVD(China National Vulnerability Database)收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。面对成倍增长针对工业控制系统的病毒,未来,工业网络信息安全会面临越来越多的挑战,工业网络信息安全防护已经到了刻不容缓的地步了。
一、Stuxnet病毒的新警示
导语:截至到2010年10月,全球已有约45000个网络感染Stuxnet“超级工厂病毒”。2011年CNVD(China National Vulnerability Database)收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。工厂车间信息安全面临越来越多的挑战,加强工厂网络信息安全的防护已经刻不容缓。Stuxnet是一种计算机蠕虫病毒,通过Windows操作系统此前不为人知的的漏洞感染计算机,同时该病毒针对具有西门子WINCC平台的控制系统以及Step7文件进行攻击,由于该病毒能够修改WINCC平台数据库变量,在Step7程序中插入代码以及功能块,即能够对控制系统发动攻击控制工程网版权所有,故部分专家定义Stuxnet为“超级工厂病毒”。这个病毒,目前已经对伊朗国内工业控制系统产生极大影响,截至到2010年10月,全球已有约45000个网络被该蠕虫感染。西门子WINCC平台在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控,一旦攻击成功,则可能造成使用这些企业运行异常,甚至造成商业资料失窃、停工停产等严重事故。
Stuxnet病毒主要通过U盘和局域网进行传播,由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝,因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理,导致有人在局域网内使用了带毒U盘,则整个网络都会被感染。因此,为了保证工厂信息安全,避免类似Stuxnet病毒的传播,必须加强工厂信息安全体系及架构的建设。
二、工厂信息安全的定义
导语:工厂信息安全防护包括:保护在工厂车间中广泛使用的如,工业以太网、数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等网络设备及工业控制系统的运行安全,确保工业以太网及工业系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。
对于工厂信息安全,目前还没有一个公认、统一的定义,但是目前对于信息安全,已经有较为统一的认识。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。工厂的信息安全就是应该对工厂车间内部的系统及终端设备进行安全防护。根据工厂内部所涉及的终端设备及系统,工厂信息安全包括:保护在工厂车间中广泛使用的如,工业以太网、数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等网络设备及工业控制系统的运行安全,确保工业以太网及工业系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。工厂信息安全涉及边界如图1所示。
MES系统的防护相对特殊,既要直接采集来源于生产现场的数据,同工厂生产车间中的各项终端设备都会进行直接的数据交互,而且也要同上层的ERP系统进行通讯,因此MES系统在大多数企业中,为了方便与ERP系统之间的数据交互与员工访问,通常会划分在办公网的安全防护体系中。但是,实际上由于MES系统能够直接对工业控制系统进行访问,因此,对于MES系统的防护应该提升其系统防护级别,将MES系统与办公网进行隔离。工厂信息安全中最为基础的部分就是工业以太网,所以工业以太网网络首先得必须保证7*24*365天的可用性,必须能够不间断的可操作,能够确保系统的可访问性,数据能够实时进行传输,需要有完备的保护方案。工业以太网与普通办公网具体区别如下表所示:
表1 工业以太网与普通办公网对比
工厂信息安全的所带来的风险十分广泛,大致的威胁级别可以分为:未授权访问、数据窃取、数据篡改、病毒破坏工厂导致停产、破坏工厂导致事故。
1. 未授权访问未授权访问是指,未经授权使用网络或未授权访问网络资源、文件的一种行为。主要包括非法进入系统或网络后进行操作的行为。
2.数据窃取通过未授权的访问、网络监听等非法手段获取到有价值的信息或数据。
3. 数据篡改据篡改即是对计算机网络数据进行修改、增加或删除,造成数据破坏。
4.破坏工厂导致停产通过病毒或其他攻击手段对包括PLC、DCS在内的工业控制系统进行攻击,导致其无法正常工作从而影响企业的正常生产。
5. 破坏工厂导致事故通过破坏工业控制系统的正常运作,导致控制无法正常读取诸如温度、转速等及时信息导致控制系统发出错误指令而导致的工厂事故。
三、工厂信息安全五层四区域的防护体系
对于工厂信息安全,仅靠传统的杀毒软件进行防护是远远不够的。只有一套完善的网络体系架构,才能真正的对于工厂信息安全进行防御。工厂信息安全的建设应该采用五层防御体系进行构建,严格的对区域进行划分。
第一道防线:商业(IT)防火墙,目前几乎所有的企业都有这一层的防护。此层的目的是将内部网和Internet网分开,从而保护内部网免受非法用户的侵入。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。通过此层的防御,可以过滤掉绝大多数的网络攻击。入侵者如果穿越防火墙,首先到达的就是办公网络的DMZ区域。但是办公网络的DMZ区域是不会涉及到工厂车间网络的任何服务器,所以,对于工厂信息的安全起到了最初级的防护作用。
第二道防线:抵御多种威胁的安全网关CONTR