电气安全系统标准:DNC系统安全防护 二
电气安全系统标准:DNC系统安全防护 二3.2 DNC系统控制网络风险分析及防护手段识别随着工业信息化的不断深入,大量针对工控网络的信息安全技术和产品被不断开发和引入,其中网络安全防护方面主要包括:工业防火墙、工业网关、网闸、入侵检测系统(IDS)、VPN技术等;主机加固方面主要包括:工业可信计算安全防护产品、外部存储设备管控产品、主机应用访问控制产品等;安全管理方面主要包括:网络设备监控运维产品、安全审计数据展示分析产品等。ANSI/ISA-99中过程控制系统或SCADA控制网络的安全要点:通过安全区域划分和管道确定,可以在每个管道上安装防火墙,且配置为只允许工厂正常运行所需的最小通信,确保装置长周期安全稳定运行。Ø防护产品介绍
3.DNC系统网络防护解决方案
3.1工控信息安全防护手段分析
Ø安全防护理念介绍
目前国内针对工业控制网络的防护标准尚不成形,公安部会同有关部门也在制定计算机信息系统安全等级的划分标准和安全等级保护的具体办法,在国际上,美国在2007年颁布的Chemical Facility Anti-Terrorism Standards (CFATS)标准(该标准由美国国土安全部颁布)以及2008年颁布的US Chemical Anti-Terrorism Act(美国化学反恐怖主义法)针对化工设备安全做了强制要求,目前,石油、水处理以及制造业都还没有必须按照以上立法规定作业,但是为了避免重大的风险,基本都遵守ANSI/ISA-99 Standards的要求进行规划。
ANSI/ISA-99中过程控制系统或SCADA控制网络的安全要点:
要点名称 | 要点描述 | 达到目标 |
区域划分 | 具备相同功能和安全要求的设备在同一区域内 | 安全等级分区 |
管道建立 | 实现区域间执行管道通信 | 易于控制 |
通信管控 | 通过控制区域间管道中通信管理控制来实现设备保护 | 数据通信可控 |
通过安全区域划分和管道确定,可以在每个管道上安装防火墙,且配置为只允许工厂正常运行所需的最小通信,确保装置长周期安全稳定运行。
Ø防护产品介绍
随着工业信息化的不断深入,大量针对工控网络的信息安全技术和产品被不断开发和引入,其中网络安全防护方面主要包括:工业防火墙、工业网关、网闸、入侵检测系统(IDS)、VPN技术等;主机加固方面主要包括:工业可信计算安全防护产品、外部存储设备管控产品、主机应用访问控制产品等;安全管理方面主要包括:网络设备监控运维产品、安全审计数据展示分析产品等。
3.2 DNC系统控制网络风险分析及防护手段识别
根据DNC系统网络架构,目前我们工厂网络划分为2个大区,示意图如下:
l公司办公管理网络区:上层企业办公网,包括DNC客户端,应用服务器及其他操作终端主机等,用于给DNC服务器下达生产指令;
l数控设备网:包含DNC服务器、数控机床、触摸屏、其他输入设备等设备;
风险分析:
1.从纵向上来看,控制网络可能会遭受来自办公管理网络的蠕虫、病毒扩散及其它攻击:
2.从横向上来看,一旦一个控制室单元中感染蠕虫、病毒,就可能向其它的控制区进行扩散,造成全面风险威胁;
3.攻击者可轻易的将攻击机接入到网络的某一端口,获得与工控设备进行通讯的权限,实施攻击行为;
4.主机设备对于合法进程无识别,对于病毒无防护,主机较容易感染病毒或启动非法进程,比较容易遭受恶意代码的攻击;
5.整个系统网络没有形成统一有效的安全审计及监控体系,网络中如果发生异常通讯或故障无法及时识别并定位安全问题的源头。
根据安全防护需求分析,在DNC系统网络中从多个方面综合采取安全防护措施,力求实现全面的安全保障体系。防护需求分解情况如下图所示:
3.3工控网络安全防护解决方案
网络安全防护:
1.在办公网到DNC服务器之间的网络边界部位部署网络安全隔离设备,分别管控上传与下载的两个方向的数据流,安全策略配置数据单向通讯和端口级网络防护策略,保证通讯的可靠性和传输方向的一致性;
2.每个机床和数控设备网之间部署工业防火墙,实现网络区域划分、区域隔离和通讯管控,工业防火墙具备工业环境适用性和OPC、Modbus等工业通讯协议的应用层安全防护功能,可以针对协议本身进行数据合法性检查,保证数据通讯的可控性与可信度。同时工业防火墙还具备链路层数据帧检查功能和ARP攻击防护能力,可有效识别通讯设备IP和MAC是否合法,防止广播风暴和洪泛攻击等对工控网络的威胁 ;
3.在网络交换机等设备配置最小化的应用安全策略,根据业务应用需求划分Vlan、关闭空闲端口,绑定端口接入主机信息(MAC、IP等),保障内网设备接入的安全性;
4.在网络中部署入侵检测系统,采取旁路监听模式,这样既可以侦测网络中是否存在入侵行为或异常通讯行为,如有异常情况则及时发送安全审计报警日志,又同时保证了工控网络生产数据的正常传递不受影响;
安全应用加固:
1.在DNC系统中的计算机上采用基于可信计算技术的安全防护产品为工控系统主机提供白名单方式的软件系统进程管控,进而实现对恶意代码的防范,这一防护措施,将解决传统恶意代码防范措施在工控系统中保护滞后的问题,及时阻止或发现可疑进程的启动,进而为工控系统的主机构建可信的进程运行环境。
2.计算机上部署基于可信计算技术的移动存储介质的管控及审计系统。其主要功能包括:主机对移动存储介质的身份认证;主机对移动存储介质的准入控制;主机对准入信息的下载更新;移动介质应用审计记录等。
3.为实现主机程序与文件的访问控制,同时必须保证工控计算机的可用性和兼容性,可以在计算机上安装访问控制终端软件,利用Windows操作系统自身的访问控制功能,实现不同用户对于软件系统中的程序和文件的使用权限的管控及记录;
4.在办公网中实现接入管控可使用基于802.1X接入方式的准入管理设备,但实现时应充分考虑准入管理客户端的安装和管理设备服务器作为故障点的冗余设计。
安全审计及安全管理:
1.在数控设备网部署统一的安全管理平台服务器,它可以统一收集并实时监控来自网络中所有网络安全设备和网络通讯设备的审计日志,还可以收集来自安全应用加固产品的审计日志,将这些日志存储在数据库服务器上,达到日志的完整、安全、长时间存储的目的;通过可视化流程图界面,安全管理平台可以为用户提供防火墙状态监控、日志存储、检索、查询及智能报警分析等功能
2.在网络中部署设备运维管理平台,用于实现对IT环境的运行监控以及维护的规范化,同时对IT信息化的使用效果进行综合管理和分析,平台收集包括网络设备信息、全网流量信息、服务器内存、I/O的使用情况,甚至应用系统对资源的占用情况等业务信息,同时对收集到的信息进行综合关联分析;实现资产资源管理、网络故障分析和流量分析与监控等功能。
DNC网络信息安全防护措施示意图如下所示: