工業(yè)控制系統(tǒng)內(nèi)建安全設(shè)計與防護

浙江中控技術(shù)股份有限公司 陸衛(wèi)軍

1 工控安全特殊性

1 工控安全特殊性

1.1 工業(yè)控制系統(tǒng)的組成

（1）輸入/輸出單元：傳感器，閥門，現(xiàn)場設(shè)備。

（2）控制單元：PLC，智能電子設(shè)備，遠(yuǎn)程終端單元，控制器。

（3）通信網(wǎng)絡(luò)：以太網(wǎng)，無線，工業(yè)協(xié)議。

（4）操作單元：SCADA軟件，服務(wù)器，人機接口，應(yīng)急管理系統(tǒng)，控制中心。

1.2 工控系統(tǒng)安全的特殊性

（1）可用性要求特別高。要求10年×365天×24小時不能停車，可用性>99.99%；

（2）危害更大。例如核電站、西氣東輸?shù)裙こ蹋〞?dǎo)致重大安全事故，以人員安全、過程保護為核心；

（3）平臺特殊。嵌入式系統(tǒng)+私有協(xié)議+15年維護周期+環(huán)境嚴(yán)重受限。

1.3 工業(yè)控制系統(tǒng)安全問題危害等級

（1）LV1，局部失效或間隙中斷：單一操作站、網(wǎng)絡(luò)、硬件故障或損壞。

（2）LV2，全線停車：網(wǎng)絡(luò)全面癱瘓，控制站故障，設(shè)備報廢，基礎(chǔ)設(shè)備損壞。

（3）LV3，人身傷亡：對人員（雇員、社區(qū)群眾）的傷害，財產(chǎn)的損失（數(shù)據(jù)的丟失）等等。

（4）LV4，安全事故及環(huán)境破壞：爆炸等安全事故，人民生活資源（水、電、氣）的污染，有毒、危險物質(zhì)的無序排放，非法轉(zhuǎn)移使用。

1.4 工業(yè)控制系統(tǒng)安全威脅來源

? 硬件物理失效；

? 軟失效SER；

? 軟件缺陷；

? 系統(tǒng)漏洞；

? 誤操作；

? 工藝環(huán)境威脅；

? 病毒攻擊；

? 黑客或敵對勢力攻擊；

? 內(nèi)部人員惡意破壞。

1.5 工業(yè)控制系統(tǒng)安全設(shè)計

針對生產(chǎn)管理和企業(yè)管理的IT信息安全問題可以通過縱深防御來解決。但是針對基礎(chǔ)控制和生產(chǎn)操作僅做防御并不能很好地解決問題，需要做內(nèi)在機理的研究和防御，內(nèi)建安全設(shè)計才能夠較好地解決問題。

2 內(nèi)建安全設(shè)計

2.1 內(nèi)建安全工業(yè)控制系統(tǒng)典型模型

工業(yè)控制系統(tǒng)模型如圖1所示。此模型代表的被控對象可以是工廠，也可以是個核電站。通過變送器進行數(shù)據(jù)輸入，控制程序進行控制輸出，最后通過閥門對最終的對象進行控制。工程師站進行組態(tài)、下裝和發(fā)布。操作站進行HMI監(jiān)控。接口站對通信接口進行轉(zhuǎn)換。

圖1 工業(yè)控制系統(tǒng)模型

2.2 內(nèi)建安全設(shè)計

2.2.1 控制與通信安全隔離技術(shù)

控制站通信隔離層設(shè)計，控制與通信安全隔離，保證控制可信運行。

2.2.2 內(nèi)核自主可控技術(shù)

病毒運行依賴黑客對于嵌入式操作系統(tǒng)的了解，對控制器也是如此。無運行環(huán)境、無進入機會是解決問題的關(guān)鍵。不基于通用系統(tǒng)，病毒就無運行環(huán)境，協(xié)議、接口私有、受限，黑客就無進入機會。因此，中控自主研發(fā)協(xié)議棧、控制算法、硬件平臺、BIOS以及確定性微內(nèi)核。

2.2.3 全冗余與備份技術(shù)

全系統(tǒng)冗余和關(guān)鍵數(shù)據(jù)備份設(shè)計，保證控制系統(tǒng)實時診斷與恢復(fù)。

（1）全系統(tǒng)冗余設(shè)計

? 工程師站、服務(wù)器、控制網(wǎng)、控制器、IO總線、IO模塊；

? 單一故障不影響工業(yè)控制系統(tǒng)正常運行。

（2）關(guān)鍵數(shù)據(jù)備份設(shè)計

? 工程師站/操作站：組態(tài)文件、歷史數(shù)據(jù)；

? 控制站：硬件組態(tài)、位號組態(tài)、控制算法。

2.2.4 數(shù)據(jù)安全技術(shù)

通過多層次數(shù)據(jù)加密和防護技術(shù)，保證數(shù)據(jù)的完整性和機密性；非明碼傳輸，防止竊聽和篡改。

? 操作層；

? 網(wǎng)絡(luò)層；

? 控制層；

? 現(xiàn)場總線/無線層。

2.2.5 全面報警與審計技術(shù)

完善的報警功能和審計功能，讓行為不可抵賴，故障不被隱藏。

? 過程報警（工藝報警）；

? 系統(tǒng)報警；

? 詳細(xì)診斷；

? 全網(wǎng)診斷；

? 設(shè)備管理與智能診斷；

? 操作記錄與安全事件記錄；

? 工藝建模/行為建模/預(yù)測管理。

2.2.6 安全V&V驗證技術(shù)

通過安全開發(fā)程序和安全V&V驗證措施，保證工控系統(tǒng)整體安全。

? 安全開發(fā)程序；

? 開發(fā)環(huán)境與過程安全；

? 安全功能驗證技術(shù)與測試平臺。

3 安全應(yīng)用實踐

3.1 中控安全整體部署

中控安全整體部署如圖2所示。

（1）內(nèi)建安全，保證系統(tǒng)安全

（2）縱深防御，保證項目安全

? 工控安全策略與管理；? 廠區(qū)物理安全；

? 邊界防護；

? 惡意軟件監(jiān)測與防護；

? 可信操作站。

（3）全生命周期管理，進行運維

圖2 中控安全整體部署

3.2 中控工業(yè)信息安全資質(zhì)

中控工業(yè)信息安全資質(zhì)如圖3所示。

圖3 中控工業(yè)信息安全資質(zhì)

3.3 典型案例

某化工園安全實施示意圖如圖4所示。

圖4 某化工園安全改造實施示意圖

3.3.1 風(fēng)險評估

（1）網(wǎng)絡(luò)特征

? 規(guī)模大（17000硬點）；

? 扁平直連網(wǎng)絡(luò)結(jié)構(gòu)；

? 缺少安全防護措施。

（2）存在問題

? 網(wǎng)絡(luò)規(guī)模大，風(fēng)險集中；

? 易發(fā)生網(wǎng)絡(luò)風(fēng)暴；

? 裝置不隔離，易故障擴散；

? 網(wǎng)絡(luò)不分層；

? 存在網(wǎng)絡(luò)亂接情況；

? 存在隨意使用U盤情況；

? 存在隨意連接手機情況；

? 操作站未防毒處理。

3.3.2 安全設(shè)計

? 部分有限度的升級控制系統(tǒng)，提升安全能力；

? 改進網(wǎng)絡(luò)結(jié)構(gòu)，實現(xiàn)網(wǎng)絡(luò)隔離，提高網(wǎng)絡(luò)安全；

? 部署基于白名單的防病毒解決方案和工業(yè)防火墻，防 范病毒蔓延及外部攻擊；

? 實現(xiàn)全網(wǎng)診斷功能，實時監(jiān)控網(wǎng)絡(luò)狀態(tài)；

? 實現(xiàn)基于硬件GPS的時間同步，提高時間同步精度。

3.3.3 安全實施與驗收

（1）病毒防護

? 工業(yè)防火墻；

? 防病毒軟件；

? 訪問控制。

（2）安全分區(qū)

? 星型連接；

? 網(wǎng)絡(luò)分區(qū)；

? 網(wǎng)段隔離。

（3）在線診斷

? 網(wǎng)絡(luò)管理；

? 網(wǎng)絡(luò)診斷；

? 網(wǎng)絡(luò)審計。