工业控制系统的范畴一般包括:分散控制系统 ( DIcS ) 、现场总线控制系统 ( FCS ) 、安全仪表系统 ( SIS ) 、数据采集和监控系统 ( SCADA ) 、可编程逻辑控制器 ( PLC ) 、工业控制计算机系统 ( IPC ) ( 含嵌入式计算机系统 ) 、机组控制系统 ( CCS ) 等。2000 年以前的 DCS 等控制系统一般都有自己独立的操作系统,其开放性及通用性较弱。但当今时代的控制系统一般使用通用的开放的 Windows 操作系统,使用 OPC 采集数据,网络采用冗余工业以太网模式,尤其是服务器结构的 DCS,一旦服务器出现异常,受侵害的不仅仅是一个操作站,而是整个系统的瘫痪。
越来越多的工控安全事件表明,来自工厂信息网络、移动存储介质、互联网以及其他因素导致的网络安全问题正逐渐在控制系统中扩散。二、工业控制系统安全管理外来安全1. 边界防护边界防护是指过程控制层、操作监控层应通过 OPC 服务器、网络隔离设备向数据服务层传输数据。OPC 服务器与数据服务层相连的网卡应独立设置。不同应用的 OPC 服务器应独立设置,禁止 OPC 服务器与工程师站共用。网络隔离设备应独立配置,禁止采用带有防火墙功能的网络交换机替代,禁止采用软件隔离代替硬件隔离。网络隔离设备应具备工业协议内容识别和网络访问控制能力,并启用网络访问策略保障双向通信安全。网络访问为双向访问时,宜使用工业防火墙;网络访问为单向访问时,可使用网闸或者数据采集隔离网关。
2. 主机防护
主机防护是指在 DCS 服务器和操作站上部署 DCS 探针软件,用于采集监视 DCS 操作站核心控制及应用系统运行状态、安全隐患、异常及威胁等。采集方式为定期采集,采集数据采用加密的 HTTPS 通信通道保证数据安全不被篡改。DCS 探针采集的数据包括系统故障、系统漏洞及补丁、系统配置、系统资源占用、用户操作行为、网络连接、网络服务、DCS 核心业务进程、服务启停、防护能力状态、防护系统、外部存储接入等。同时部署硬件主机探针用于汇聚抑制 DCS 探针采集数据并转发给监控中心服务器,用于分析 DCS 网络服务启停状态、异常重启、在线状态、健康状态和防护系统启停状态等。
3. 网络防护1 ) 部署防病毒软件 为了防止来自使用 U 盘、光盘等移动存储介质导致的病毒传播,可以在控制网的 DCS 操作站和服务器上安装经过 DCS 厂家认证的网络版杀毒软件。防病毒软件优先选用主动式病毒防护软件,以防止防病毒软件攻击正常操作软件导致事故发生,同时采用具有进程和服务配置功能的应用程序白名单和黑名单策略,并在网络上连接 1 台病毒库升级服务器,为每个操作站安装经过 DCS 厂家认证的最新的 Windows 补丁。建议工业控制系统在工厂安装、组态开发、测试期间应同步安装防病毒软件。发现该系统疑似被病毒感染时,应按照应急预案及时采取紧急防护措施,防止事件扩大。2 ) 安装网络探针 一般是在 DCS 控制网交换机上配置全流量镜像网络探针。网络探针具备对镜像流量,资产发现、异常互联分析、分布式拒绝服务攻击 ( DDOS ) 攻击监测、互联监控、异常及危险指令监测和异常流量监测等功能。自身安全1. 预知维护工业控制系统预知维护,就是通过维护数据,结合该系统故障的历史、现状和运行环境等进行综合判断分析,预测工业控制系统隐患的发展趋势,抢在系统出现故障前提出防范措施和治理对策,将故障消灭在萌芽状态。如某石化公司要求各控制系统的维护人员每月至少做一次预知维护,根据对操作站的故障分析,预知维护首先从每月主动重启 1 次操作站,定期清理操作站软件垃圾和病毒开始,督促企业变被动维护为预知维护、主动维护,降低工业控制系统的故障次数。2. 资产管控资产管控是指采集和整合 DCS 等控制系统运维所需的多种动态、静态信息,建立工业控制系统资产管控实时平台,实现基础资料信息化,提高维护效率,方便运维人员维护。资产管控的信息包括:DCS 配置逻辑结构图、机柜布置图、DCS 复杂控制回路组态信息、DCS 卡件类型、数量、安装时间、维修记录、IO 通道空余数量等信息统计及资源管理。
三、工业控制系统安全监控平台智能制造业工业控制系统安全监控平台主要包括:DCS 探针软件、主机探针 ( 硬件 ) 、网络探针 ( 硬件 ) 、生产网与办公网间工业防火墙 ( 硬件 ) 、办公网监控中心服务器等,在保证不影响现有 DCS 正常监控业务、不改变现有 DCS 网络拓扑结构和保证 DCS 自身安全的同时,监控整个 DCS 的安全隐患、异常和威胁状态等,实现工业控制系统的安全可视化监控。充分利用网络态势感知先进、成熟、高效的解决方案,结合企业工业控制网络的运营环境、业务与威胁的特殊性,实现网络防护与安全运维的有机结合,重点提升工业控制生产安全监测、网络安全态势感知、安全防护和应急处置能力,为全面落实《网络安全法》对工业控制网络安全的防护要求打下坚实基础。充分利用大数据分析、物联网、可视化交互等技术手段,对工业控制网络内重要资产的生产环境、运行状态、安全风险、网络威胁进行多级别、多粒度、多维度的信息安全监管与保障,为目标用户提供海量资产管理、系统自动运维、异常行为监控、网络威胁预警与工业生产安全早期预警等核心能力。