工业控制系统信息安全

工业控制系统信息安全

一、工业控制系统安全分析

工业控制系统(IndustrialControlSystems,ICS),是由多种自动化控制组件和实时数据

采集、监测的过程捽制组件共同构成.其组件包括数据采集与监捽系统(SCADA)、分布式

控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及保

证各组件通信的接口技术。

经典区IICS控制过程一般由控制回路、HMk远程诊断与维护工具三部分组件共司完

毕，控制回路用以控制逻辑运算，HMI执行信息交互，远程诊断与维护工具保证ICS可以

稳定持续运行。

1.1工业控制系统潜在的风险

1.操作系统的安全漏洞问题

由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对Wincows

平台打补丁，导致系统带着风险运行。

2.杀毒软件安装及升级更新问题

用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，一

般不安装杀毒软件，给病毒与恶意代码传染与扩散留下了空间。

3.使用U盘、光盘导致的病毒传播问题。

由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的J管理，

导致外设的无序使用而引起的安全事件时有发生。

4.设备维修时笔记本电脑的随便接入问题

工业控制系统的管理维护，没有抵达一定安全基线的笔记本电脑接入工业控制系统，会

对工业控制系统口勺安全导致很大的威胁。

5.存在工业控制系统被故意或无意控制口勺风险问题

假如对工业控制系统的操作行为没有监控和响应措施，工业控制系统中的异常行为或人

为行为会给工业控制系统带来很大口勺风降。

6.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟H勺问题

对工业控制系统中n■基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。

1.2“两化融合”给工控系统带来的风险

工'也控制系统最早和企、业管理系统是隔离的，但近年来为了实现实时的数据采集与生产

控制，满足“两化融合用勺需求和管理R勺以便，通过逻辑隔离的方式，使工业控制系统和企业

管理系统可以直接进行通信，而企业管理系统一般直接连接Internet,在这种状况下，工业

控制系统接入的范围不仅扩展到了企业网，并且面临着来自Internet的威胁。

同步，企业为了实现管理与控制的一体化，提高企业信息化合综合自动化水平，实现生

产和管理的高效率、高效益，引入了生产执行系统MES,对工业控制系统和管理信息系统

进行了集成，管理信息网络与生产控制网络之间实现了数据互换。导致生产控制系统不再是

一种独立运行H勺系统，而要与管理系统甚至互联网进行互通、互联。

1.3工控系统采用通用软硬件带来的风险

工业控制系统向工业以太网构造发展，开放性越来越强。基于TCP/IP以太网通讯的

OPC技术在该领域得到广泛应用。在工业控制系统中，由于工业系统集成和使用的便利性，

大量使用了工业以太环网和OPC通信协议进行了工业控制系统日勺集成;同步，也大量的使用

了PC服务器和终端产品，操作系统和数据库也大量口勺使用了通用口勺系统，很轻易遭到来自

企业管理网或互联网的病毒、木马、黑客的J袭击。「

2、MES层与工业控制层之间的安全防护

通过在MES层和生产控制层布署工业防火墙，可以制止来自企业信息层的病毒传播；

阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯，实现如下目的：

>M域隔离及通信管控：通过工业防火墙过漉MES层与生产控制层两个区域网络间H勺

通信，那么网络故障会被控制在最初发生I向区域内，而不会影响到其他部分。

>实时报警：任何非法的访问，通过管理平台产生实时报警信息，从而使故障问题会

在原始发生区域被迅速的发现和处理。

MES层与工业控制层之间日勺安全防护如下图所示：

制

造

MESMESMES执

空■坳终跳服务歌打

系

统

第

控

业控制系统全管四—

防

统

系

为

打

业防火堵护

印

计

房

业控制家统安全常四

ICS

ICSICS1CSKS

卜4给

终游*咕弊端“技务需

设备I

I*控制系统环M

2.1.3工控系统安全防护分域

安全域是指同一系统内有相似的安全保护需求，互相信任，并具有相似的安全访问控制

和边界控制方略的门网或网络，旦相似的网络安全域共享同样的安全方略。

在管理层、制造执行层、工业控制层中，进行管理系统安全子域H勺划分，制造执行安全

子域的划分、工业控制安全子域的划分。安全域日勺合理划分，使用每一种安全域都要明确

日勺边界，便于对安全域进行安全防护。对MES、ICSK'J安全域划分如下图所示：

工业控制系统安全防护体系架构

理

//•

制

造

执

行

乂

：

—

业

控

制

层

如上图所示，为了保证各个生产线的安全，对各个生产线进行了安全域划分，同步在安

全域之间进行了安全隔离坊护。

2.1.4工控系统安全防护分等级

根据安全域在信息系统中口勺重要程度以及考虑风险威胁、安全需求、安全成本等原因，

将其划为不同样H勺安全保护等级并采用对应的安全保护技术、管理措施，以保障信息的I安全。

安全域的等级划分要做到每个安全域的信息资产价值相近，具有相似或相近的安全等级、

安全环境、安全方略等。安全域所波及应用和资产口勺价值越高，面临H勺威胁越大，那么它H勺

安全保护等级也就越高。

二、工业控制系统安全防护设计

通过以上对工业控制系统安全状况分析，我们可以看到，工控系统采用通用平台，加大

了工控系统面临的安全风险，而“两化融合”和工控系统自身的缺陷导致日勺安全风险，重要从

两个方面进行安全防护。

＞通过“三层架构，二层防护”的体系架构，对工业企业信息系统进行分层、分域、分等

级，从而对工控系统的操作行为进行严格的、排他性控制，保证对工控系统操作欧）唯一性。

＞通过工控系统安全管理平台，保证HMI、管理机、控制服务工控通信设施安全可信。

2.1构建“三层架构，二层防护”的安全体系

工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护，否则管理信息

系统、生产执行系统、工业控制系统处在同一网络平面，层次不清，你中有我、我中有你。

来自于管理信息系统的入侵或病毒行为很轻易对工控系统导致损害，网络风暴和拒绝式服务

袭击很轻易消耗系统的I资源，使得正常的服务功能无法进行。

2.1.1工控系统的J三层架构

一般工业企业的J信息系统，可以划分为管理层、制造执行层、工业控制层。在管理信层

与制造执行系统层之间，里要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等

安全防护;在制造执行系统层和工业控制系统层之间，重要防止管理层直接对工业控制层的

访问，保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如下图所示:

通过上图可以看到，我们把工业企业信息系统划分为三个层次，分别是计划管理层、制

造执行层、工业控制层。

管理系统是指以ERP为代表的管理信息系统(MIS),其中包括了许多子系统，如：生产

管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备

管理、技术管理、综合管理等等，管理信息系统融信息服务、决策支持于一体。

制造执行系统(MES)处在工业控制系统与管理系统之间，重要负责生产管理和调度执行。

通过MES,管理者可以及时掌握和理解生产工艺各流程口勺运行状况和工艺参数的变化，实

现对工艺的过程监视与控制。

工业控制系统是由多种自动化控制组件和实时数据采集、监测H勺过程控制组件共同构成。

重要完毕加工作业、检测和操控作业、作业管理等功能。

2.1.2工控系统的二层防护

1、管理层与MES层之间的安全防护

管理层与MES层之间日勺安全防护重要是为了防止管理信息系统域和MES（制造执行）

域之间数据互换面临的多种威胁，详细体现为：防止非授权访问和滥用（如业务操作人员越

权操作其他业务系统）;对操作失误、篡改数据，抵赖行为的可控制、可追溯;防止终端违规操

作;及时发现非法入侵行为;过滤恶意代码（病毒蠕虫）。

也就是说，管理层与MES层之间H勺安全防护，保证只有可信、合规的终端和服务器才

可以在两个区域之间进行安全的数据互换，同步，数据互换整个过程接受监控、审计。管理

层与MES层之间的安全防护如下图所示：

钟

MISMISMIS灯

终端）级跳服务器系

统

y---r

川丽\制兀於靛血后份5X,

甲

终

监控:

㈣心3

:

策

夕但

文

终

略

心络

入侵23M

、

代

逑

检测.”N•«Kil

H、,

，

，

・

MESMESMESMESMES

终端终战终端终端服务器

生产控制系统

2.2构建工业控制系统安全管理平台

工业控制系统和老式信息系统具有大多数相似的安全问题,但同步也存在独特的安全需

求。工业控制系统最大II勺安全需求是唯一性和排它性，在某一特定的工'也控制系统中，工业

控制系统只需用唯一的工业应用程序和工业通信协议运行，其他一概不需要。

启明星辰工业系统安全管理平台为工业控制系统建立了一种相对可信日勺计算环境，对工

控系统管理终端和网络通信具有非常强日勺安全控制功能.工业控制系统安全管理平台有两部

分构成，一部分是工业控制系统安全管理平台，具有终端管理、网络管理、行为监控功能,

另一部分是终端安全管理客户端。

2.2.1管理平台部分

工业控制系统的安全运行，重要需要保障工业控制系统有关信息系统基础设施H勺安全,

包括工业以太网网络、操作终端、关系数据库服务器、实时数据库服务器、操作和应用系统

等各类IT资源的安全，从工业控制系统安全的角度对工控系统"勺各类IT资源进行监控（包

括设备监控、运行监控与安全监控），实现对安全事件的预警与响应，保障工业控制系统的

安全稳定运行。

详细而言，工业控制系统安全管理平台功能如下：

1.可以对应用服务器、关系数据库服务器、实时数据库服务器、工业以太网设备运行

状态进行监控，例如CPU、内存、端口流量等等。

2.可以对操作终端外设、进程、桌面进行合规性在线和离线管理。

3.可以对各层边界数据互换状况进行监控。

4.可以对工业控制系统中的网络操作行为进行审计。

5.可以对工业控制系统日志进行关联分析和审计。

6.可以对工业控制系统中的异常事件进行预警响应。

7.可以对工业企业信息系统进行虚拟安全域的划分。

2.2.2工业控制系统终端安全管理部分

由于工业控制系统管理终端日勺安全防护技术措施十分微弱，因此病毒、木马、黑客等袭

击行为都运用这些安全弱点，在终端上发生、发起，并通过网络感染或破坏其他系统。

工业控制系统终端最大特点是应用相对固定，终端重要安装工业控制系统程序，因此,

要防备老式方式的病毒或木马等恶意软件，最直接口勺方式就是运用工业控制系统对终端应用

程序的进程进行管理。

详细而言，工业控制系统安全管理平台终端安全管理部分功能如下：

1.工业控制系统安全管理平台客户端软件轻巧精炼，占用资源很少，可以