1、-工業控制系統平安的分析與詳細說明來源：互聯網 佚名時間：06-11 11:46:35【大中小】本文從伊朗核電站的受美國的病毒說去.詳談工業控制系統中的平安問題2021年10月發生在伊朗核電站的震網Stu*net病毒，為工業生產控制系統平安敲響了警鐘。現在，國外生產企業都把工業控制系統平安防護建立提上了日程。本文在對工業控制系統特點和面臨的平安風險進展分析的根底上，提出了工業控制系統平安體系架構，并對實現工業控制系統平安的核心產品-啟明星辰工控系統平安管理平臺進展了說明。一、工業控制系統平安分析工業控制系統Industrial Control Systems,ICS，是由各種自動化控制組件和實

2、時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統SCADA、分布式控制系統DCS、可編程邏輯控制器PLC、遠程終端RTU、智能電子設備IED，以及確保各組件通信的接口技術。典型的ICS控制過程通常由控制回路、HMI、遠程診斷與維護工具三局部組件共同完成，控制回路用以控制邏輯運算，HMI執行信息交互，遠程診斷與維護工具確保ICS能夠穩定持續運行。1.1工業控制系統潛在的風險1.操作系統的平安漏洞問題由于考慮到工控軟件與操作系統補丁兼容性的問題，系統開車后一般不會對Windows平臺打補丁，導致系統帶著風險運行。2.殺毒軟件安裝及升級更新問題用于生產控制系統的Windows操作

3、系統基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間。3.使用U盤、光盤導致的病毒傳播問題由于在工控系統中的管理終端一般沒有技術措施對U盤和光盤使用進展有效的管理，導致外設的無序使用而引發的平安事件時有發生。4.設備維修時筆記本電腦的隨便接入問題工業控制系統的管理維護，沒有到達一定平安基線的筆記本電腦接入工業控制系統，會對工業控制系統的平安造成很大的威脅。5.存在工業控制系統被有意或無意控制的風險問題如果對工業控制系統的操作行為沒有監控和響應措施，工業控制系統中的異常行為或人為行為會給工業控制系統帶來很大的風險。6.工業控制系統控制終端、效勞器、網

4、絡設備故障沒有及時發現而響應延遲的問題對工業控制系統中IT根底設施的運行狀態進展監控，是工業工控系統穩定運行的根底。1.2兩化融合給工控系統帶來的風險工業控制系統最早和企業管理系統是隔離的，但近年來為了實現實時的數據采集與生產控制，滿足兩化融合的需求和管理的方便，通過邏輯隔離的方式，使工業控制系統和企業管理系統可以直接進展通信，而企業管理系統一般直接連接Internet，在這種情況下，工業控制系統接入的圍不僅擴展到了企業網，而且面臨著來自Internet的威脅。同時，企業為了實現管理與控制的一體化，提高企業信息化合綜合自動化水平，實現生產和管理的高效率、高效益，引入了生產執行系統MES，對工業

5、控制系統和管理信息系統進展了集成，管理信息網絡與生產控制網絡之間實現了數據交換。導致生產控制系統不再是一個獨立運行的系統，而要與管理系統甚至互聯網進展互通、互聯。1.3工控系統采用通用軟硬件帶來的風險工業控制系統向工業以太網構造開展，開放性越來越強。基于TCP/IP以太網通訊的OPC技術在該領域得到廣泛應用。在工業控制系統中，由于工業系統集成和使用的便利性，大量使用了工業以太環網和OPC通信協議進展了工業控制系統的集成；同時，也大量的使用了PC效勞器和終端產品，操作系統和數據庫也大量的使用了通用的系統，很容易遭到來自企業管理網或互聯網的病毒、木馬、黑客的攻擊?二、工業控制系統平安防護設計通過以

6、上對工業控制系統平安狀況分析，我們可以看到，工控系統采用通用平臺，加大了工控系統面臨的平安風險，而兩化融合和工控系統自身的缺陷造成的平安風險，主要從兩個方面進展平安防護。通過三層架構，二層防護的體系架構，對工業企業信息系統進展分層、分域、分等級，從而對工控系統的操作行為進展嚴格的、排他性控制，確保對工控系統操作的唯一性。通過工控系統平安管理平臺，確保HMI、管理機、控制效勞工控通信設施平安可信。2.1構建三層架構，二層防護的平安體系工業控制系統需要進展橫向分層、縱向分域、區域分等級進展平安防護，否則管理信息系統、生產執行系統、工業控制系統處于同一網絡平面，層次不清，你中有我、我中有你。來自于管

7、理信息系統的入侵或病毒行為很容易對工控系統造成損害，網絡風暴和拒絕式效勞攻擊很容易消耗系統的資源，使得正常的效勞功能無法進展。2.1.1工控系統的三層架構一般工業企業的信息系統，可以劃分為管理層、制造執行層、工業控制層。在管理信層與制造執行系統層之間，主要進展身份鑒別、控制、檢測審計、鏈路冗余、容檢測等平安防護；在制造執行系統層和工業控制系統層之間，主要防止管理層直接對工業控制層的，保證制造執行層對工業控制層的操作唯一性。工控系統三層架構如以下圖所示：通過上圖可以看到，我們把工業企業信息系統劃分為三個層次，分別是方案管理層、制造執行層、工業控制層。管理系統是指以ERP為代表的管理信息系統MIS

8、，其中包含了許多子系統，如：生產管理、物質管理、財務管理、質量管理、車間管理、能源管理、銷售管理、人事管理、設備管理、技術管理、綜合管理等等，管理信息系統融信息效勞、決策支持于一體。制造執行系統MES處于工業控制系統與管理系統之間，主要負責生產管理和調度執行。通過MES，管理者可以及時掌握和了解生產工藝各流程的運行狀況和工藝參數的變化，實現對工藝的過程監視與控制。工業控制系統是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。主要完成加工作業、檢測和操控作業、作業管理等功能。2.1.2工控系統的二層防護1、管理層與MES層之間的平安防護管理層與MES層之間的平安防護主要是為了防止

9、管理信息系統域和MES制造執行域之間數據交換面臨的各種威脅，具體表現為：防止非授權和濫用如業務操作人員越權操作其他業務系統；對操作失誤、篡改數據，抵賴行為的可控制、可追溯；防止終端違規操作；及時發現非法入侵行為；過濾惡意代碼病毒蠕蟲。也就是說，管理層與MES層之間的平安防護，保證只有可信、合規的終端和效勞器才可以在兩個區域之間進展平安的數據交換，同時，數據交換整個過程承受監控、審計。管理層與MES層之間的平安防護如以下圖所示：2、MES層與工業控制層之間的平安防護通過在MES層和生產控制層部署工業防火墻，可以阻止來自企業信息層的病毒傳播；阻擋來自企業信息層的非法入侵；管控OPC客戶端與效勞器的

10、通訊，實現以下目標：區域隔離及通信管控：通過工業防火墻過濾MES層與生產控制層兩個區域網絡間的通信，則網絡故障會被控制在最初發生的區域，而不會影響到其它局部。實時報警：任何非法的，通過管理平臺產生實時報警信息，從而使故障問題會在原始發生區域被迅速的發現和解決。MES層與工業控制層之間的平安防護如以下圖所示：2.1.3工控系統平安防護分域平安域是指同一系統有一樣的平安保護需求，相互信任，并具有一樣的平安控制和邊界控制策略的子網或網絡，且一樣的網絡平安域共享一樣的平安策略。在管理層、制造執行層、工業控制層中，進展管理系統平安子域的劃分，制造執行平安子域的劃分、工業控制平安子域的劃分。平安域的合理劃

11、分，使用每一個平安域都要明確的邊界，便于對平安域進展平安防護。對MES、ICS的平安域劃分如以下圖所示：如上圖所示，為了保證各個生產線的平安，對各個生產線進展了平安域劃分，同時在平安域之間進展了平安隔離防護。2.1.4工控系統平安防護分等級根據平安域在信息系統中的重要程度以及考慮風險威脅、平安需求、平安本錢等因素，將其劃為不同的平安保護等級并采取相應的平安保護技術、管理措施，以保障信息的平安。平安域的等級劃分要做到每個平安域的信息資產價值相近，具有一樣或相近的平安等級、平安環境、平安策略等。平安域所涉及應用和資產的價值越高，面臨的威脅越大，則它的平安保護等級也就越高。2.2構建工業控制系統平安

12、管理平臺工業控制系統和傳統信息系統具有大多數一樣的平安問題，但同時也存在獨特的平安需求。工業控制系統最大的平安需唯一性和排它性，在*一特定的工業控制系統中，工業控制系統只需用唯一的工業應用程序和工業通信協議運行，其他一概不需要。啟明星辰工業系統平安管理平臺為工業控制系統建立了一個相對可信的計算環境，對工控系統管理終端和網絡通信具有非常強的平安控制功能。工業控制系統平安管理平臺有兩局部組成，一局部是工業控制系統平安管理平臺，具有終端管理、網絡管理、行為監控功能，另一局部是終端平安管理客戶端。2.2.1管理平臺局部工業控制系統的平安運行，主要需要保障工業控制系統相關信息系統根底設施的平安，包括工業

13、以太網網絡、操作終端、關系數據庫效勞器、實時數據庫效勞器、操作和應用系統等各類IT資源的平安，從工業控制系統平安的角度對工控系統的各類IT資源進展監控包括設備監控、運行監控與平安監控，實現對平安事件的預警與響應，保障工業控制系統的平安穩定運行。具體而言，工業控制系統平安管理平臺功能如下：1.能夠對應用效勞器、關系數據庫效勞器、實時數據庫效勞器、工業以太網設備運行狀態進展監控，例如CPU、存、端口流量等等。2.能夠對操作終端外設、進程、桌面進展合規性在線和離線管理。3.能夠對各層邊界數據交換情況進展監控。4.能夠對工業控制系統中的網絡操作行為進展審計。5.能夠對工業控制系統日志進展關聯分析和審計

14、。6.能夠對工業控制系統中的異常事件進展預警響應。7.能夠對工業企業信息系統進展虛擬平安域的劃分。2.2.2工業控制系統終端平安管理局部由于工業控制系統管理終端的平安防護技術措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都利用這些平安弱點，在終端上發生、發起，并通過網絡感染或破壞其他系統。工業控制系統終端最大特點是應用相對固定，終端主要安裝工業控制系統程序，所以，要防傳統方式的病毒或木馬等惡意軟件，最直接的方式就是利用工業控制系統對終端應用程序的進程進展管理。具體而言，工業控制系統平安管理平臺終端平安管理局部功能如下：1.工業控制系統平安管理平臺客戶端軟件輕巧精煉，占用資源極少，能夠最大程度保證

15、工業控制系統管理終端的穩定性。2.工業控制系統平安管理平臺客戶端具有終端準入控制功能，可以防止沒有到達平安基線的筆記本對終端進展管理。3.工業控制系統平安管理平臺客戶端具有終端平安優化與加固功能，能夠對工業控制系統終端進展平安優化和加固，使終端平安水平到達一定的平安基線。4.工業控制系統平安管理平臺客戶端具有外設管理功能，對工業控制系統的外設進展管理，比方USB接口、光驅、網卡、串口等。5.工業控制系統平安管理平臺客戶端具有工業控制系統應用程序監控功能，對終端中的工業控制系統軟件進展監控和管理。6.工業控制系統平安管理平臺客戶端具有工業通信協議監控功能。工業控制系統終端通信協議相對固定，客戶端

16、能夠對終端通信協議具有唯一性管理功能。7.工業控制系統平安管理平臺客戶端具有離線管理功能，工業控制系統終端有一局部無法進展在線管理，客戶端具有比較強大的離線自管理功能，可以完成對離線終端的管理。8.工業控制系統平安管理平臺客戶端具有強身份認證功能，客戶端具有使用工業控制系統在線終端和離線終端都具有強身份認證功能，從而防止工業控制系統被有意或無意被控制的風險。三、總結國外發生了多起由于工控系統平安問題而造成的生產平安事故。最鮮活的例子就是2021年10月發生在伊朗布什爾核電站的震網Stu*net病毒，為整改工業生產控制系統平安敲響了警鐘。為此，工信部在2021年10月下發了關于加強工業控制系統信息平安管理的通知，要求各級政府和