保护好制造业计算与控制的资产.doc

保护好制造业计算与控制的资产很多制造商都会问及下列问题：制造企业如何构建自身的工业网络？如何实现制造与企业信息平台的融合？最佳实践的方法是什么？如何保护制造业中的设备资产？如何建立制造企业的安全模型？使用什么样的安全策略规避风险？如何使用专用的软件对网络监控？如何对生产、数据、安全进行控制、管理、分析并做出合理的商业决定？概述 在工厂中把 EtherNet/IP用于控制和信息的解决方案，引领了企业内部广泛使用标准以太网的热潮。随着这个过程的推进，企业逐步认识到融合制造网络和管理网络的重要性，制造业已经通过提高生产的关键性能指标（KPI）而从中获益。在正确的水平和正确的时间上接受KPI，可以帮助制造商做出明智的商业决策。融合还唤起了改进工业网络安全策略的动议，这不再只是维持制造区域间的隔离问题了。制造业的计算和控制资产已经成为与企业其他部门相同的、易受攻击的要害部分。一个安全策略需要保护制造资产，而且要很好地平衡诸如：24x7小时连续运行、短的平均维护时间（MTTR）和整体设备效能（OEE）等因素。 保护制造资产需要一个全面的安全模型，基于一系列明确的安全策略。为了应对这些风险，策略应该确定有哪些安全风险和采用什么样的化解技术。就这些问题，本文将给出通行的整体策略和实施大纲，帮助用户保护制造资产。1 整体安全 保护制造资产需要一个“按深度保护”的保护方法，按照图1中的描述，防止来自内部和外部的安全威胁。这个方法使用多层次的防卫（物理的和电子的），在不同的层次应用不同的策略和程序应对不同类型的威胁。比如，多层的网络安全保护网络上的资产、数据和终端的安全，多层的物理安全保护高价值资产的安全。到目前为止，还没有一种单一的技术或方法能够保护整个工业控制系统的安全。 在“按深度保护”的方法中，需要有种工作流程来建立和维护安全能力。这种安全操作流程应该包括： 1) 确定优先等级（比如按可用性、完整性、保密性）； 2) 设定要求（比如：远程访问不能影响控制通信流量）； 3) 确定投资； 4) 确定潜在内部和外部的威胁和风险； 5) 确定所需功能； 6) 设计体系结构； 7) 编制和执行策略。 设计和实现一个完整的制造安全模型，有助于用户从概念理论向制造实践的顺利过渡。用户不必教条地去实施制造过程的安全。 为了实现本文的目标，用于保护制造资产的“按深度保护”层包括： 物理安全：这个层限制区域、控制屏、设备、电缆、控制室和其他位置的授权人的访问，以及跟踪访问者。 网络安全：这个层包括网络构架，诸如用于侵入检测和侵入禁止系统（IDS/IPS）的防火墙和诸如具有集成保护的网络设备：如交换机和路由器等。 计算机加固：这个层包括补丁程序管理和防病毒软件，以及能够删除不使用的程序、协议和服务等。 应用安全：这个层包含鉴定、授权和审核软件。 设备加固：这个层处理变更管理和限制访问。 图1 “按深度保护”的多层结构2 用于制造业网络安全的框架 罗克韦尔自动化公司和思科公司协同开发的制造企业参考架构支持和加速了制造与企业网络的融合。为了帮助用户建立坚固和安全的网络架构，制造企业参考架构提供了设计指南、推荐方案和最佳实践。 制造企业会按照现有的公共技术与标准来建立IT与制造间的参考构架。这其中包括了技术标准如：IEEE 802.3，未经修改的以太网，因特网任务工作组 （IETF）的因特网协议（IP）和ODVA公共工业协议（CIPTM）。进一步信息可访问ODVA网站： 另外，制造企业参考架构按制造业的标准建立一个制造网络安全框架，如图2所示。这个框架建立了进行流量管理和执行网络分段的基础，诸如：安全实施、远程访问和服务质量（QoS）。这个框架遵从工业标准和应用指南，诸如ISA-95 企业控制系统集成、ISA-99制造业和控制系统的安全和用于控制层次的珀杜（Purdue）参考模型。 ISA-95和用于控制层次的珀杜模型把制造工厂中的工业控制设备按流程分割成不同的层次。使用“层”作为公共术语来划分和决定工厂中的信息流。为了加强安全和流量管理，ISA-99把分割的层称为“区”。 区建立了可信赖的域，形成更小的局域网，易于安全访问和流量管理。这个框架利用了校园网络的参考模型。与企业网络共通，这种多层模型自然地把流量划分到3个主要层：核心层、分布层和远程层。这三个层次的设计为网络安全提供了一个清晰的分割方法，并且建立了一种高可用性和宽伸缩性的网络基础。点击图片查看大图 图2 制造网络安全框架 制造框架把不同的层合并成下面的区实现不同的功能： 企业区：层4和5包括传统的企业IT网络、商业应用，诸如电子邮件和企业资源计划（ERP）和广域网（WAN）。 隔离区（DMZ）：这个隔离区为制造区和企业区之间提供了一个屏障，但允许数据和服务安全地共享。所有来自DMZ两边网络流量中止在DMZ区内。没有通信流穿过DMZ。也就是，没有流量直接在企业区和制造区之间传送。 制造区：层3 为制造运行和控制场所，从事工厂范围内的应用，诸如：历史数据、资产管理和制造执行系统（MES），由多个工位/工区组成。 工位/工区：层0，1和2包括工业控制设备，诸如：控制器、驱动器、I/O和HMI，以及多种专门控制应用，诸如：伺服马达控制、批处理、连续流程和离散量输入/输出。 推荐的制造网络安全框架采用了“按深度保护”方法，包括了： 制造安全策略：这个策略路线图确定了攻击化解方案。一个包括操作员、工程师、IT人员和安全人员组成的多学科团队，一起制定这个制造安全策略。 安全隔离区（DMZ）：这个隔离区在制造区和企业区之间建立了一个屏障，而允许用户安全地共享数据和服务。所有来自 DMZ两边的通信都中止于DMZ区内。没有流量直接穿过DMZ，也就是意味着流量不能直接在企业区和制造区之间流动。 制造边缘的防护：用户应该采用有状态包检测（SPI）的防火墙（屏障），并在工业网络的周围和内部具有侵入发现/禁止系统（IDS/IPS）。 保护内部：用户应该在网络基础结构设备诸如交换机和路由器中，实施访问控制列表（ACL）和端口安全。 端点加固：限制访问，防止“过来，插入”访问，并使用变化管理跟踪访问和变化。 信任域：用户应该基于功能或访问需求，把网络划分成若干个小网络。 物理安全：限制对制造资产和网络基础结构设备的物理访问。 安全、管理、分析和响应系统：监视、识别、隔离和记录对网络安全的威胁。 远程访问策略：对于雇员和伙伴和远程访问，实施相关的策略、程序和基础结构。3 制造安全策略 一个安全战略是否能够成功的关键就是要理解需要解决的潜在问题，诸如：要保护什么、怎么样进行保护。针对制造建立一个安全策略，需要提供一个应用安全技术的路线图，应用最佳实践来保护制造的资产，同时避免不必要的开支和过渡的访问限制。安全服务不应该约束制造的运行。 正像ISA-99中定义的，一个安全策略应该是“使一个组织遵循一个一致的程序，维持一个可接受的安全水平”。安全策略由物理层和电子层组成，定义和限制在制造系统中，人员和设备的行为。一支包括IT人员、操作员和工程师组成的团队，一起讨论来定义制造安全的要求。安全策略制定应从评估潜在危险开始。可以由内部或者外部团队指导，危险评估过程确定潜在的薄弱点和决定采用的相关程序和技术来化解危机。比如，限制程序可以使只有授权人员，才可以访问物理制造系统。相关的技术可以包括授权和鉴别用户信用的变化管理软件。 因为安全策略传统上由IT人员实施，IT已经制定了最佳实践来帮助指定和消除安全隐患。只要用户能够说明制造应用和企业应用的不同，IT人员就可以对制造商使用很多的策略和最佳实践。 建立一个坚固和安全的网络基础结构需要保证控制和信息数据的完整性、可用性和保密性。用户在开发一个网络时，要重视下面的要点： 这个网络是否有足够的弹性来保证数据的可用性？ 数据是否具有一致性？数据是否可靠？ 怎样使用数据？数据的操作是否安全？ IT人员的职责包括保护公司的资产和知识产权（IP）。IT人员为了实现这个目标，要执行企业安全策略，来确保数据的保密性、完整性和可用性（CIA） 通常也按照这个优先次序进行。虽然存在类似性，制造安全策略必须把连续的制造运行（可用性）做为头等重要的事情。 企业和制造在如何进行升级换代方面的安全策略是不同的。用户对企业应用升级的要求是越快越好，就像操作系统和应用软件的补丁、以及反病毒软件一样，要在指定的时间内更新。然而，对一个制造服务器进行升级，可能会中断制造的运行，结果会使生产受到影响。制造安全策略应该定义在制造间歇进行升级的操作。4 计算机的加固 应用于企业IT计算机的最佳实践也同样可以用于制造计算机。下面推荐一些最通用和最常见的最佳实践： 保持计算机服务包和补丁的不断更新，但不要用自动更新。另外，用户在执行它们之前应该测试这些程序，并在制造间歇定期对软件和网络进行维护。 部署和维护反病毒软件，但禁止自动更新和自动扫描。其他的建议包括：执行它们前进行测试，并且在制造间歇用手动初始化扫描，因为反病毒扫描会中断制造的实时运行。 部署和维护反间谍软件，但禁止自动更新和自动扫描。用户应该在安装运行之前，预先测试更新程序，并在制造间歇，用手动初始化扫描，因为反间谍软件的扫描也会中断制造的实时运行。自动反病毒和反间谍软件扫描会引起数据的丢失和某些制造设备的宕机。 禁止直接的因特网访问。安全隔离区（DMZ）建立了制造区域与企业区域之间的屏障，但要允许用户安全地共享数据和服务。所有来自DMZ两边的通信流都要中止于DMZ之中。没有数据流穿过DMZ，这意味着通信流不能直接在企业区和制造区之间穿行。 在制造区执行一个分开的活动目录域。这样，如果到企业区的连接被中断的话，可以帮助用户确保制造资产的有效性。 执行下面口令设置策略： - 执行口令历史； - 最大口令年龄； - 最小口令长度； - 复杂口令要求。 在客户机和服务器上禁止客户帐号。 要求内置的管理员帐号被重新命名，删除缺省的帐号，使用一个复杂的口令。 建立、然后实施一个备份和灾难恢复策略和程序。用户应该定时进行备份操作。 实施对一个网络、控制器和计算机（比如客户机、服务器和应用）资产存档的变化管理系统。 使用Control+Alt+Delete组合键，连同一个唯一的用户名和口令登录。 防止不必要或很少用的USB端口、并联接口和串联接口把非授权的硬件加入（如：调制解调器、打印机、USB设备等）。 制定和执行一个在企业区域内客户访问的策略。 制定和执行一个在制造区域内合作伙伴访问的策略。 卸载不使用的Windows组件、协议和服务，减少可能对制造系统不必要的操作。5 控制器的加固 用户使用物理程序、电子设计、软件鉴定和授权、以及带有灾难恢复的变化管理软件来保护罗克韦尔自动化的Logix可编程自动化控制器（PAC）。推荐的最佳实践有： 物理程序：用授权的办法限制访问控制面板的人员。用户可以通过执行访问程序或者锁定面板的方法达到这个目的。把PAC钥匙拨到“运行（RUN）”位置可以防止远程编程，包括远程固件闪存可能对PAC的影响。为了允许程序和配置的更改，需要对PAC上物理钥匙的位置进行改变。非授权的的访问（有意或者无意）不能改变PAC，直到钥匙位置离开“运行”位置。 电子设计：执行PAC CPU锁住特性，拒绝从前面端口访问PAC，这样可以保护配置不被改变。 执行FactoryTalk中的鉴定、授权和审计安全功能：鉴定检验用户的身份和服务请求是否来自原用户。鉴定检验用户访问的请求或者PAC拒绝一系列定义的访问。 带灾难恢复的变化管理：FactoryTalk AssetCentre软件有连续监视PAC 资产，自动版本控制，灾难恢复和备份、设备配置确认和实时用户行为审计等功能。6 软件补丁管理 研究指出很多制造资产的生产损耗，是由于不良的或疏忽的补丁管理造成的，甚至高过了没有补丁所带来的问题。用户应该建立一个严格而良好的补丁文件管理流程。 Microsoft的服务补丁包、安全更新、热修补和补丁程序，做为弥补操作系统的漏洞是非常必要的。用户应该禁止来自微软网站的自动更新，为了保护制造资产，在按装所有这些补丁之前，都要事先对它们进行测试。 自动化软件的供应商，诸如罗克韦尔自动化，可以支持更新和补丁的测试。制造业和IT专业人员也应该把它们应用于制造资产前，用他们的操作系统模板，对更新和补丁进行测试。测试之后，用户应该用变化管理系统记录所有由补丁和升级带来的相应变化。关键的补丁和升级应该在制造间歇对制造资产进行操作。 罗克韦尔自动化，能够检测和验证他的软件产品与特定的操作系统服务包一起运行情况，具有定期的软件发布时间。 罗克韦尔自动化仅支持已经测试并运行于特定版本的服务包。用户不应该直接用来自微软的服务包，然后运行罗克韦尔自动化的软件用于制造资产。而应该等罗克韦尔自动化验证服务包能够兼容和稳定时再使用。 只要微软的版本一升级，罗克韦尔自动化就对自己的产品进行资格认定。罗克韦尔自动化的知识库会列出罗克韦尔每种软件产品针对操作系统、服务包、补丁和安全更新的验证信息。 罗克韦尔自动化会公布自己软件产品的更新，通常在解决发布软件问题到预期的产品发布之间的时间。一月一次，发布过的补丁会集合到单一的合集中。补丁可以单独使用或者做为每月合集中的一部分。用户可以从罗克韦尔自动化知识库中搜索文章“Rockwell Automation Software Product Compatibility Matrix, ID 42682.” 查找补丁与合集。7 总结 制造和企业网络的融合增加了对制造数据的访问，这使得制造商能