摘要:随着两化融合的进程不断深入,以及工业互联网的快速发展,军工装备制造企业工控系统信息安全问题日益突出。本文首先对军工装备制造企业工控安全的特殊性进行了讨论,分析了军工装备制造企业的工控系统的脆弱性和面临的威胁,进一步提出了一套军工装备制造企业的工控安全防护体系,为军工装备制造企业工控网络安全防护提供了参考。
关键字:军工装备制造企业; 工控系统; 安全防护
1.引言
工业控制系统(IndustrialControl Systems,以下简称工控系统),是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成,确保工业基础设施自动化运行、运动控制与监控的业务流程管控系统。其核心组件包括数控机床(CNC)、分布式数控系统(DNC)、数据采集与监视控制系统(SCADA)、生产信息化管理系统(MES)、可编程逻辑控制器(PLC)、工业机器人、远程终端(RTU)、以及确保各组件通信的接口技术等[1]。
伴随着两化融合的深入、“互联网+”、“中国制造2025”战略的推进,制造业逐步转向了数字化、智能化的发展趋势,提高了生产效率和灵活性,更好的满足了市场需求,激发了制造企业的创新活力。随之而来的各种信息化系统的实施,全面覆盖了生产制造企业运行的各个单元,例如CNC,DNC,ERP和MES等系统,都深入到了产品制造、资源管理、生产调度等核心环节。技术的发展和应用为企业带来了更高的效率和更强的市场竞争力,同时也带来了更多网络安全方面的脆弱性和风险点。
2.军工装备制造企业的工控安全防护现状
在制造型企业工控系统集成方案中,制造信息化系统逻辑上采用三层网络结构,由上而下依次是:企业经营管理层,是企业管理决策的ERP 系统和面向生产执行过程的MES 系统;生产执行层,是面向生产过程和控制的PCS(过程控制)系统;现场设备层,是生产设备控制系统。采用冗余环形工业以太网作为数据通信系统,根据生产流程环节要求部署不同的工控系统,诸如PLC、机械手、RFID无线系统、传感系统、数控机床等。
军工装备制造企业的工控系统也在向智能化转变,军工装备制造企业一般会存在涉及国家秘密的信息,这部分信息通常是在企业内部网络中存储、处理和流转,无法直接进入工控网络中,当前对于工控网络接入企业内部网管控比较严格,均需特事特办,一事一批,通常需要在企业管理网络与工控网络边界部署单向隔离网闸进行数据的安全传输。所以军工装备制造企业的工控安全要求与一般工控网络安全要求存在较大差异,两者的安全防护目标、标准要求和管理方式等方面均有很大区别。最突出的差异就是,从信息安全CIA(保密性、完整性、可用性)三元组的角度来看,军工装备制造企业工控网络对于保密性要求最高,重要程度最高,其次是完整性、可用性;而一般工控网络对CIA三元组的重要程度排序是可用性、完整性、保密性。
目前工控网络安全主要从边界防护、入侵检测、病毒防护等方面进行建设,但是因为工控网与互联网物理隔离,且工控设备协议的特殊性,安全防护产品的特征库、病毒库等无法及时更新,操作系统漏洞不能及时修复,使得工控网络面临着极大风险[2]。
3.脆弱性及威胁分析
工业控制系统能够完成加工指令下发、收集生产加工及物料相关数据,同时还需要与企业生产制造管理系统进行通信,接收生产制造任务计划安排,从而使整个生产制造系统与企业管理系统集成,以达到管理层灵活调度生产制造,生产制造基础数据为管理层提供决策支撑的目的[3]。在对工控系统有开发性要求的同时,又必须考虑工控系统自身的封闭性和复杂性,对其实施有效的技术管控有一定的难度,军工装备制造企业工控系统在实施技术管控时考虑的风险点主要包括网络架构风险、操作系统安全风险、运维管理安全风险等。
3.1网络架构风险
军工装备企业工控系统的数据流向主要包括从企业管理网络到生产制造网络的纵向流量,以及生产制造网络内部各类数控系统、PLC、HMI之间的横向流量。纵向通信过程中,来自企业管理网络的病毒、恶意代码等可能通过网络数据传播到生产制造网络,从而对生产制造网络造成网络风暴、ARP攻击、拒绝服务攻击,使生产制造网络中系统和设备的资源迅速耗尽,无法正常工作;横向通信过程中,MES系统、生产设备管理系统、SCADA、PLC等系统处于同一个网络层面,这类系统和设备通常都无法做到加固和完善的安全防护,并且系统之间通讯端口常开,使得病毒和恶意代码一旦进入,就可以肆无忌惮的横向传播,最终造成大面积感染。
3.2操作系统安全风险
军工装备企业工控系统中使用最广泛的控制系统操作站,其技术架构主流仍然是Intel+Windows,并且因工控软件厂商一般很少考虑软件安全问题,所以几乎没有安全类的软件更新发布。在系统部署实施时,现场人员通常不会对Windows平台打任何补丁,因为补丁的增加可能造成设备软件运行不正常,厂商并不会对所有的Windows系统补丁做兼容性测试,这种做法保证了工控系统、设备的正常运行,但是也给整个系统带来了极大安全隐患,面对未安装任何系统补丁的操作系统,任何常见的病毒或老旧的漏洞都能够感染和利用,可能会使整个工控系统瘫痪。
3.3运维管理风险
工控系统和设备的运维与IT系统运维有很大差异,通常负责企业工控系统运维的人员就是IT运维人员或者工控系统的使用人员,对于这项工作,这两类人员均存在不足,IT运维人员拥有计算机相关的基础知识,但是对于工控设备和通信协议可能并不了解;而工控系统的使用人员专注于功能的使用,计算机专业知识的不足,可能造成网络安全意识不够高。所以在运维过程中,运维人员的操作行为可能破坏工控系统的正常运行,另外针对网络安全意识不高的人员,恶意攻击者可能利用社会工程学的手段渗透进入企业工控网络,破坏系统或使敏感信息泄露[4]。
4.安全防护体系建设
根据脆弱性及威胁分析,军工装备制造企业工控网络需要从边界访问控制、入侵检测、主机安全与漏洞扫描、运维管理与审计等方面进行防护。
4.1边界访问控制
企业管理网络与工控网络之间通过工控网闸、工控防火墙进行隔离和访问控制,工控网络内部,划分为生产管理区、生产执行区、生产隔离区,在不同区域边界部署数据流监控审计平台实现区域间的控制防护。
4.2入侵态势感知
区别于传统的入侵检测系统,军工装备制造企业工控网络应实现全面的入侵态势感知,能够对全部资产的风险动态感知、分析、和预警处理。
1.资产全面感知:采用网络探测技术对工控网络中的全部资产进行感知,收集设备相关的硬件属性、操作系统、软件版本等信息。
2.准入控制:设置安全策略实现对工业控制系统接入设备的安全准入管控,具体包括外来设备接入准入、U盘准入、非法外联监测等类型。
3.监测预警处置:从网络层、主机层、应用层各个维度进行监控,使安全风险的发现、分析、处置实现闭环管理,做到安全风险全过程的可监测、可溯源、可控制。
4.全面态势感知:按照风险、威胁、事件等构建态势要素及态势模型,从计算环境、网络边界、业务流程等维度实现对全网网络安全态势感知的可视化。
4.3主机安全防护
军工装备制造企业工控网络中大多数的主机仍然使用windows操作系统,且系统版本较低,官方已经停止安全支持,并且因主机与工控软件绑定,无法升级操作系统,使工控主机面临大量漏洞未修复或不可修复,这将加速病毒感染主机后通过漏洞进行传播,且传统的防病毒软件是通过样本的特征值作为黑名单来识别恶意代码或病毒文件的,操作系统病毒库无法及时更新,也就无法获取最新的恶意代码特征值,使得病毒防护措施无效,所以传统的防病毒软件不再适用于军工装备制造企业工控主机的病毒、恶意代码防护。
基于以上原因,军工装备制造系统宜采用白名单方式对主机进行防护,即:防护软件要对准备启动的软件进行认证,与预先存储的进程白名单进行对比,存在白名单中可以启动,不存在白名单中禁止启动[5]。
4.4运维管理与审计
对主机设备、网络设备、安全设备、业务行为以及人员操作进行审计,实现工业控制网络全周期的安全审计,达到网络安全事故事件可溯源的目标。
5.结束语
军工装备制造企业工控系统属于关键基础设施,随着两化融合的不断深入以及国家网络安全战略体系的完善,军工装备制造企业工控网络的安全防护的重要性日益凸显。本文在总结军工装备制造企业工控系统安全防护现状,分析所面临的风险基础上,提出了针对性的防护体系建设意见,对军工装备制造企业工控系统安全性、合规性的提升具有指导意义。
参考文献
[1]金忠峰,李楠,刘超,李梅梅,吕彬.工业控制系统入侵检测技术研究综述[J].保密科学技术,2018,(03):18-25.
[2]徐新锋.工业控制系统网络安全等级保护的建设[J].中小企业管理与科技, 2020,(07):112-113.
[3]魏钦志. 工业网络控制系统的安全与管理[J].测控技术,2013,32(2):87-92.
[4]刘勇. 制造型企业工控网络安全风险与防护探讨[J].网络安全技术与应用,2019,(06):105-106.
[5]雷远东.工控安全防护技术[J].网络安全和信息化,2018,(06):42-43.
郭运丰,哈尔滨工业大学硕士研究生,信息管理与信息系统专业,现任航天科工火箭技术有限公司网络安全与基础设施高级主管设计师