《工业40进程中的工控系统信息安全》由会员分享,可在线阅读,更多相关《工业40进程中的工控系统信息安全(7页珍藏版)》请在装配图网上搜索。
1、工业 4.0 进程中的工控系统信息安全摘要:中国应该尽快地构建自己的第四次工业革命纲领中国 工业4.0,尽快地在工业领域特别是制造业中构建起自己的CPS在系统各层面实现信息与物理实体的融合 。辨清功能安全与信息安全一提到工业控制系统 (IndustryControlSystem ,以下简称为 ICS) 的信息安全,人们首先想到的就是 2010年伊朗布什尔核电站遭到的 “震网病毒”攻击。工业生产系统中相关安全事件层出不穷,不仅影响到企业生产, 而且直接影响到企业财产、人身安全等国计民生问题。如:2012年4月10日,深圳遭遇十年来最大范围停电事故,福田、 罗湖、龙岗三个区停电两个小时,经济损失达
2、 8 个亿;2013年11月 22日,中石化输油储运公司潍坊分公司输油管线 破裂,直接经济损失 7.5 亿元。而这些事件在自动化人的眼中不属于信息安全问题, 而是功能安 全问题。在国际标准IEC62443中描述,一个完整的安全工控系统是 由功能安全、 物理安全和信息安全三部分组成, 上述事故以及企业生 产环节中 90%的事故都属于功能安全问题。在传统的信息安全定义中,主要强调保密性、完整性和可用性,在IEC62443中对工控信息安全主要强调了五点,最重要的思想是强 调保护一个系统所采用的额外措施, 以防止对系统的非授权访问及恶 意攻击。功能安全与信息安全两者边界清晰,但互相关联、相互影响、互
3、相促进。功能安全的不完善会很容易被利用, 进而导致信息安全问题。 信息安全问题的暴露会促进功能安全的完善。IEC62443中非常清楚 的阐述了传统的信息安全与 ICS 信息安全的区别,只有把这个本质看 清楚了,才知道如何建设工控系统的信息安全工作, 否则就容易偏离 方向、班门弄斧。工业 4.0 悄然启动说起工控系统的信息安全, 必须看到工控系统的发展, 以德国的 Industrie4.0 为代表的第四次工业革命已经悄然而起。德国人认为第四次工业革命是指:机械化 +电气化+IT技术 +Internet 技术。第四次工业革命就是第三次工业革命的成果上再加 上互联网技术。必须说明这里所要求的互联网是
4、 “ThingsandServices ”的互联网, Things 可理解为物和事情; Services 泛指一切服务。所以,第四次工业革命首先要建设“物事 互联网”与“服务互联网”。 这意味着有史以来第一次将资源、 信息、 物事、人和对这一切的服务进行互联。在 theInternetofThingsandServices的支持下革新、改造整个工业及制造业。制造业中的智能机器、存储系统和生产设施将融入 theInternetofThingsandServices中,成为信息 -物理系统( Cyber-PhysicalSystem , CPS)。中国应该尽快地构建自己的第四次工业革命纲领中国工业
5、4.0,尽快地在工业领域特别是制造业中构建起自己的 CPS在系统 各层面实现信息与物理实体的融合, 应该用中国的智能产品、智能生 产流程主导中国的市场。找准风险落实防护定位由工业4.0可以看出,工控系统必将与信息化融合。普度大学很早就提出了自动化的经典五层普度模型(如下图所示),这个模型其实把自动化与信息化已经关联在了一起。L5层战珞决锻层L4层经营管理层L3层主产执行层L2层过程控制层LI层现场i殳备层普度模型*工控系统的信息安全问题,在各层上都面临着来自不同方面的威 胁,详细如下图所示。企业网的管理信息层面临来自互联网的攻击, 也有企业内部恶意的攻击通过企业网进入工控网,一直到现场网络;
6、在控制层有系统管理人员非法操作,最严重的要属第三方运维人员的 对现场设备的操作;还有远程拨号的攻击,有部分现场还有野外搭线 的威胁。现埼蚪包人员国际NISTSP800-82工业控制系统安全指南中已经详细描述 了各种威胁来源,也从策略程序、平台及网络等方面讲述了可能的风 险和脆弱性。当然不同行业面临的威胁和风险重点不同, 比如军工行业主要强 调工控网和涉密网连接时的信息保密; 石化强调DCS系统生产的连续 和非异常;电力强调SCADA调度系统的不中断等等。总体上,明晰面临的风险才能进行有针对性的防护。信息安全防护的整体架构性必须要跟工业自动化体系保持一致,方可成为同一体系,因此在GT/T2633
7、5-2010工业企业信息化集成系统规范中提到了 工业企业信息化集成总体架构。无论是从普度模型还是工业企业信息化集成架构图中都可以看 出,防护必须全方位考虑。例如,早在 2005年,电力系统的二次防 护方案中就提出了 “纵向隔离、横向分区”的概念。虽然工业4.0已经非常明确工业系统将会互联网、 物联网化,但距离现在各行业的实际情况还有一段时间, 但由于事关生产就无小事,不能轻举妄动。作为信息安全建设方,要深入研究工业网络中使用的协议,以实现对工业网络的异常监测和防护, 下表中列出部分通讯协议:主卑厂酋我塑织1Wjdbus盖三必赴匚如空司:丞昼貳隹电气.公匀韵一*矣坦2tFC很基金令3诗吾疋打于巧
8、insig ft-cfibus户尬织(F?Ficfitus官陌辜夺 (FI)F匸tuziIh/1: z un Fi e _ dt ll:芙三FiihtrRc-*=o-un七余司l为rasn 司購?A场总匿垂会 E Fm韭g Ft-miatiori5二F風VA组妖贬n. Devi贞企t VaidoF AsaociatioiC CoDtrolX&l lnternatiGUBlLflj釜三匕圧帀“丄匕勻ControlKt斧三 Rot ifre 11 它 rICdiitiro 1 Net nt sarat in 罢SR (CI Ji美AlierrEra-dl哥总司珑为Roclwe 11岂釣化吹购)CW
9、AfiUl(gtg Aeadc-x Assocsst01:E弟 hEchwI i 上司 L at; Park w 耳邑 1 =ll-9至WF阳电!=3iH瓦直忌AF:二L:墓全直HCF;10(T-LirJ.日玄三童电相 CHit wbishi Electric 3 2JCC-LijiML1誉三号g 一EnMi士一二壬Eth旺QNTr?兰12AW日麦Fxms吕呂 Pals芒司产-:正:巨占追S; 2at-=matiia.l P2E7 rs &r an is at z-m. AP5.-13丘日匚F注三北*dFTF至场兰養迄诅14IntsrhisFhcEnii C;ntactiT-t:ttU3 C:
10、ubf辰乐飯li垃訝丈打氐-壬亘百衣呻亏=七已迂专巧含iA:自动化系统建设方,则要深入借鉴信息安全的攻防知识、 产品体异肖沅空无线圭全UTM入雇栓测VPN网络行芳分彬上囲迂堂管理_一| |(曹赢貢樹安全广1bt F-A-!主机和应用安全PK 与(A堡垒貳澗扫隔入侵厉制-裁需库审计数据安全DLP遶明加密區豊完全管浬妥全舌秩评佔朝妥全运輻苛A抚全凤陵评仙乜底刚为亀”|迈维宙计宿总安全严品棒帝安全评怙 加固类匪务:&牡/litft是胆务信息安全闇黃体系图工业控制系统信息安全关系国计民生,尤其是在当前国际形势严竣的情况下,小至一名从事自动化安全、信息安全工作的个人,大到一个企业,都应本着“本主创新、自主掌控”的原则,响应我们国家网络安全领导小组提出的“向着网络基础设施基本普及、自主创新能力增强、信息经济全面发展、网络安全保障有力的”目标不断前进。
工业40进程中的工控系统信息安全
