工业40进程中的工控系统信息安全

工业 4.0 进程中的工控系统信息安全摘要：中国应该尽快地构建自己的第四次工业革命纲领中国 工业4.0，尽快地在工业领域特别是制造业中构建起自己的CPS在系统各层面实现信息与物理实体的融合 。辨清功能安全与信息安全一提到工业控制系统 （IndustryControlSystem ，以下简称为 ICS） 的信息安全，人们首先想到的就是 2010年伊朗布什尔核电站遭到的 “震网病毒”攻击。工业生产系统中相关安全事件层出不穷，不仅影响到企业生产， 而且直接影响到企业财产、人身安全等国计民生问题。如：2012年4月10日，深圳遭遇十年来最大范围停电事故，福田、 罗湖、龙岗三个区停电两个小时，经济损失达 8 个亿；2013年11月 22日，中石化输油储运公司潍坊分公司输油管线 破裂，直接经济损失 7.5 亿元。而这些事件在自动化人的眼中不属于信息安全问题， 而是功能安 全问题。在国际标准IEC62443中描述，一个完整的安全工控系统是 由功能安全、 物理安全和信息安全三部分组成， 上述事故以及企业生 产环节中 90%的事故都属于功能安全问题。在传统的信息安全定义中，主要强调保密性、完整性和可用性，在IEC62443中对工控信息安全主要强调了五点，最重要的思想是强 调保护一个系统所采用的额外措施， 以防止对系统的非授权访问及恶 意攻击。功能安全与信息安全两者边界清晰，但互相关联、相互影响、互 相促进。功能安全的不完善会很容易被利用， 进而导致信息安全问题。 信息安全问题的暴露会促进功能安全的完善。IEC62443中非常清楚 的阐述了传统的信息安全与 ICS 信息安全的区别，只有把这个本质看 清楚了，才知道如何建设工控系统的信息安全工作， 否则就容易偏离 方向、班门弄斧。工业 4.0 悄然启动说起工控系统的信息安全， 必须看到工控系统的发展， 以德国的 Industrie4.0 为代表的第四次工业革命已经悄然而起。德国人认为第四次工业革命是指：机械化 +电气化+IT技术 +Internet 技术。第四次工业革命就是第三次工业革命的成果上再加 上互联网技术。必须说明这里所要求的互联网是 “ThingsandServices ”的互联网， Things 可理解为物和事情； Services 泛指一切服务。所以，第四次工业革命首先要建设“物事 互联网”与“服务互联网”。 这意味着有史以来第一次将资源、 信息、 物事、人和对这一切的服务进行互联。在 theInternetofThingsandServices的支持下革新、改造整个工业及制造业。制造业中的智能机器、存储系统和生产设施将融入 theInternetofThingsandServices中，成为信息 -物理系统( Cyber-PhysicalSystem ， CPS)。中国应该尽快地构建自己的第四次工业革命纲领中国工业4.0，尽快地在工业领域特别是制造业中构建起自己的 CPS在系统 各层面实现信息与物理实体的融合， 应该用中国的智能产品、智能生 产流程主导中国的市场。找准风险落实防护定位由工业4.0可以看出，工控系统必将与信息化融合。普度大学很早就提出了自动化的经典五层普度模型（如下图所示），这个模型其实把自动化与信息化已经关联在了一起。L5层战珞决锻层L4层经营管理层L3层主产执行层L2层过程控制层LI层现场i殳备层普度模型*'工控系统的信息安全问题，在各层上都面临着来自不同方面的威 胁，详细如下图所示。企业网的管理信息层面临来自互联网的攻击， 也有企业内部恶意的攻击通过企业网进入工控网，一直到现场网络； 在控制层有系统管理人员非法操作，最严重的要属第三方运维人员的 对现场设备的操作；还有远程拨号的攻击，有部分现场还有野外搭线 的威胁。现埼蚪包人员国际NISTSP800-82工业控制系统安全指南中已经详细描述 了各种威胁来源，也从策略程序、平台及网络等方面讲述了可能的风 险和脆弱性。当然不同行业面临的威胁和风险重点不同， 比如军工行业主要强 调工控网和涉密网连接时的信息保密； 石化强调DCS系统生产的连续 和非异常；电力强调SCADA调度系统的不中断等等。总体上，明晰面临的风险才能进行有针对性的防护。信息安全防护的整体架构性必须要跟工业自动化体系保持一致，方可成为同一体系，因此在GT/T26335-2010工业企业信息化集成系统规范中提到了 工业企业信息化集成总体架构。无论是从普度模型还是工业企业信息化集成架构图中都可以看 出，防护必须全方位考虑。例如，早在 2005年，电力系统的二次防 护方案中就提出了 “纵向隔离、横向分区”的概念。虽然工业4.0已经非常明确工业系统将会互联网、 物联网化，但距离现在各行业的实际情况还有一段时间， 但由于事关生产就无小事，不能轻举妄动。作为信息安全建设方，要深入研究工业网络中使用的协议，以实现对工业网络的异常监测和防护， 下表中列出部分通讯协议:主卑厂酋我塑织1Wjdbus盖三必赴匚如空司：丞£昼貳隹电气.公匀韵一*矣坦2tFC很基金令3诗吾疋打于巧i«nsig ft-cfibus户尬织(F?©Ficfitus官陌辜夺 (FI)F匸tuziIh/1: z un Fi e _ dt ll：芙三Fiihtr'Rc-*«=o-un七余司'l为rasn 司購？A场总匿垂会 E Fm韭g Ft-miatiori5二F風VA组妖贬n. Devi贞企t VaidoF AsaociatioiC CoDtrolX&l lnternatiGUBlLflj釜三匕圧帀“丄匕勻ControlKt斧三 Rot ifre 11 它 rICdiitiro 1 Net nt sar>at in 罢SR (CI Ji美§AlierrEra-dl哥总司珑为Roclwe 11岂釣化吹购)CWAfiUl(gtg A'eadc-x Assocsst£01:E弟 hEchwI i 上司 L at; Park w 耳邑 1 =ll-9至WF阳电!=3i±H瓦直忌AF：二L：墓全直HCF；10(T-LirJ.日玄三童电相 CHit wbishi Electric 3 2JCC-LijiML1誉三号g 一EnMi士一二壬Eth旺QNTr?兰12AW日"麦Fxms吕呂 Pals芒司产-:正：巨占追S； 2at-=matiia.l P2'E7 rs« &r an is at z-m. AP5.-13丘日匚F注三北*dFTF至场兰養迄诅14IntsrhisFhcEnii C;ntacti'T-t：t«"tU3 C：ubf辰乐飯li垃訝丈打氐-壬亘百衣呻亏=七已迂专巧含£iA：自动化系统建设方，则要深入借鉴信息安全的攻防知识、 产品体异肖沅空无线圭全UTM入雇栓测VPN网络行芳分彬上囲迂堂管理_一| |（曹赢貢樹安全广1<«bt F-A-!主机和应用安全PK 与（A堡垒貳澗扫隔入侵厉制-裁需库审计数据安全DLP遶明加密區豊完全管浬妥全舌秩评佔朝妥全运輻苛A抚全凤陵评仙乜底刚为亀”|迈维宙计宿总安全严品棒帝安全评怙 加固类匪务:&£牡/litft是胆务信息安全闇黃体系图'工业控制系统信息安全关系国计民生，尤其是在当前国际形势严竣的情况下，小至一名从事自动化安全、信息安全工作的个人，大到一个企业，都应本着“本主创新、自主掌控”的原则，响应我们国家网络安全领导小组提出的“向着网络基础设施基本普及、自主创新能力增强、信息经济全面发展、网络安全保障有力的”目标不断前进。