http://m.henanjusheng.com 2010-04-21 09:34 來(lái)源:上海工業(yè)自動(dòng)化儀表研究院 繆學(xué)勤
在過(guò)去的一兩年中,工業(yè)網(wǎng)絡(luò)的信息安全經(jīng)歷了迅猛的發(fā)展。2008年1月,黑客攻擊了美國(guó)的電力設(shè)施,造成多個(gè)城市大面積停電,損失很大。近幾年,美國(guó)公開(kāi)報(bào)道的由于黑客攻擊造成巨大損失的事件多達(dá)30起。據(jù)說(shuō),由于各種原因還有很多起事件受害的公司不準(zhǔn)報(bào)道,保守秘密。而且,黑客攻擊在逐年增加。在這種情況下,2009年,NERC(北美電力保障組織)制定了對(duì)大型電力系統(tǒng)組織有著深遠(yuǎn)影響的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)CIP(關(guān)鍵基礎(chǔ)設(shè)施保護(hù))條例,CIP標(biāo)準(zhǔn)條例監(jiān)管機(jī)構(gòu)對(duì)這些企業(yè)下達(dá)強(qiáng)制命令:每個(gè)發(fā)電、傳輸和配送部門,不論是否屬于關(guān)鍵資產(chǎn)部門,都必須履行這些條例。電力供應(yīng)和輸配電部門必須采取明確的安全防范措施,以確保持續(xù)供電。不符合該標(biāo)準(zhǔn)的情況一經(jīng)發(fā)現(xiàn),可能被處以高達(dá)每天100萬(wàn)美元的罰款。許多行業(yè)外人士(包括化工、煉油、冶金和輕工等)也正在密切關(guān)注電力行業(yè)的動(dòng)態(tài)。他們期望自己的行業(yè)中也能夠出現(xiàn)類似的法規(guī),而且是越早越好。由于該標(biāo)準(zhǔn)被界定為一套大型關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn),其他用到SCADA和DCS的領(lǐng)域也正在對(duì)它進(jìn)行審核。由此可見(jiàn),工業(yè)網(wǎng)絡(luò)的信息安全已成為工業(yè)自動(dòng)化領(lǐng)域新的關(guān)注熱點(diǎn)。
工業(yè)網(wǎng)絡(luò)信息安全要求不斷升級(jí)
工業(yè)網(wǎng)絡(luò)信息安全的潛在威脅主要來(lái)自黑客攻擊、數(shù)據(jù)操縱、間諜、病毒、蠕蟲(chóng)和特洛伊木馬等。黑客攻擊是通過(guò)攻擊自動(dòng)化系統(tǒng)的要害或弱點(diǎn),使得工業(yè)網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性、可用性等受到傷害,造成不可估量的損失。黑客攻擊又分為來(lái)自外部的攻擊和來(lái)自內(nèi)部的攻擊:來(lái)自外部的攻擊包括非授權(quán)訪問(wèn),也就是非授權(quán)用戶的入侵,還包括拒絕服務(wù)(DOS)攻擊,即黑客想辦法讓目標(biāo)設(shè)備停止提供服務(wù)或資源訪問(wèn);來(lái)自內(nèi)部的安全威脅,主要是由于自動(dòng)化系統(tǒng)技術(shù)人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足,可能會(huì)出現(xiàn)各種意想不到的操作失誤,勢(shì)必對(duì)系統(tǒng)或信息安全產(chǎn)生較大的影響。黑客攻擊的性質(zhì)已經(jīng)從單純的娛樂(lè),擴(kuò)展到了犯罪、恐怖主義,甚至國(guó)家贊助的間諜活動(dòng)。在這種情況下,工業(yè)自動(dòng)化系統(tǒng)必須采取適當(dāng)而有力的防御措施來(lái)應(yīng)對(duì)黑客攻擊行為的不斷升級(jí)。
眾所周知,用于工業(yè)自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)通信技術(shù)來(lái)源于IT信息技術(shù)的辦公自動(dòng)化網(wǎng)絡(luò)技術(shù),但是又不同于辦公環(huán)境使用的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。辦公網(wǎng)絡(luò)的信息安全通常采用殺毒軟件和防火墻等軟件方案解決安全問(wèn)題。在工業(yè)應(yīng)用環(huán)境,惡意軟件的入侵將會(huì)造成生產(chǎn)線停頓,導(dǎo)致嚴(yán)重后果。因此,工業(yè)網(wǎng)絡(luò)安全有更高要求。
什么樣的安全防御對(duì)策更適合工業(yè)網(wǎng)絡(luò)?
早期,工業(yè)自動(dòng)化系統(tǒng)曾采用辦公環(huán)境使用的網(wǎng)絡(luò)安全軟件解決方案。軟件主要包括殺毒程序,通常將它們安裝在基于Windows的控制器、機(jī)器人或工業(yè)PC上。但是,由于在工廠大多是各種各樣設(shè)備混合使用,有可能它們之間會(huì)產(chǎn)生相反作用,從而影響被保護(hù)的系統(tǒng)。例如,美國(guó)的一家過(guò)程自動(dòng)化工廠在一臺(tái)工業(yè)PC上安裝了殺毒程序,該殺毒軟件妨礙了一個(gè)重要鍋爐系統(tǒng)的緊急停機(jī),導(dǎo)致了嚴(yán)重后果。
近來(lái),為了確保工業(yè)自動(dòng)化系統(tǒng)的信息安全,工業(yè)網(wǎng)絡(luò)目前都轉(zhuǎn)向采用基于硬件的防火墻和VPN技術(shù)。硬件防火墻主要是在優(yōu)化過(guò)的Intel架構(gòu)的專業(yè)工業(yè)控制計(jì)算機(jī)硬件平臺(tái)上,集成防火墻軟件形成的產(chǎn)品。硬件防火墻具有高速、高安全性、高穩(wěn)定性等優(yōu)點(diǎn)。VPN是一種在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。VPN的主要功能是通過(guò)隧道或虛電路實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)加密以及信息認(rèn)證、身份認(rèn)證,能夠進(jìn)行訪問(wèn)控制、網(wǎng)絡(luò)監(jiān)控和故障診斷。VPN可以幫助遠(yuǎn)程用戶、工廠企業(yè)分支機(jī)構(gòu)、以及供應(yīng)商等和工廠企業(yè)內(nèi)部網(wǎng)絡(luò)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。
對(duì)于工廠企業(yè)自動(dòng)化系統(tǒng)而言,只有把VPN網(wǎng)關(guān)與防火墻兩種安全產(chǎn)品配合起來(lái)使用才能實(shí)現(xiàn)一個(gè)較完整的安全解決方案。為了提高基于工業(yè)以太網(wǎng)的工業(yè)通信網(wǎng)絡(luò)的信息安全性,信息安全防御措施采用帶有小型分布式安全系統(tǒng)的縱深防御體系架構(gòu)。工廠企業(yè)防火墻用于保護(hù)整個(gè)企業(yè)防御Internet的安全威脅;管理層到控制系統(tǒng)的具有DMZ隔離區(qū)的防火墻用于保護(hù)整個(gè)控制系統(tǒng);分布式安全組件則用于保護(hù)諸如PLC或DCS等關(guān)鍵設(shè)備。
為了滿足工業(yè)自動(dòng)化系統(tǒng)的各種安全需要,同時(shí)考慮各行各業(yè)今后逐漸增加的工業(yè)網(wǎng)絡(luò)安全要求。德國(guó)Innominate公司和菲尼克斯電氣公司研發(fā)了mGuard系列具有防火墻和路由器功能的硬件安全組件。這些組件的保護(hù)方式靈活、安裝簡(jiǎn)便,且易于升級(jí)現(xiàn)有的設(shè)備。它可以保護(hù)所有的現(xiàn)有網(wǎng)絡(luò),整個(gè)生產(chǎn)單元或單獨(dú)的自動(dòng)化組件,無(wú)需重新組態(tài)現(xiàn)有的站點(diǎn)或改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。它們可以使用在工業(yè)自動(dòng)化分布式架構(gòu)中,從而實(shí)現(xiàn)工業(yè)控制系統(tǒng)的縱深防御策略。由此可見(jiàn),使用這些網(wǎng)絡(luò)安全產(chǎn)品系列能夠全面提供路由器、防火墻、VPN、QoS和入侵檢測(cè)等支持功能,并能通過(guò)Internet實(shí)現(xiàn)工廠安全的遠(yuǎn)程診斷和遠(yuǎn)程維護(hù),從而有效地防御黑客攻擊和病毒的入侵,完成工業(yè)自動(dòng)化系統(tǒng)的信息安全保護(hù)。