摘要:隨著IT技術(shù)快速進(jìn)入工業(yè)自動(dòng)化系統(tǒng)的各個(gè)層面,工業(yè)網(wǎng)絡(luò)信息安全日益顯得十分重要。本文論述辦公網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)信息安全的主要區(qū)別,較深入分析工業(yè)網(wǎng)絡(luò)安全的主要威脅,較全面論述工業(yè)網(wǎng)絡(luò)信息安全中涉及的主要技術(shù)和解決方案。由于工業(yè)網(wǎng)絡(luò)安全有更高要求,所以工業(yè)網(wǎng)絡(luò)開始采用分層、分布式縱深防御體系結(jié)構(gòu),并轉(zhuǎn)向基于工業(yè)防火墻/VPN技術(shù)相結(jié)合的硬件解決方案。本文對(duì)硬件解決方案進(jìn)行了較詳細(xì)闡述,同時(shí)全面論述了工業(yè)網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)企業(yè)菲尼克斯電氣公司提出的工業(yè)網(wǎng)絡(luò)三重解決方案及其FL MGUARD工業(yè)網(wǎng)絡(luò)安全系統(tǒng)。
關(guān)鍵詞: 工業(yè)網(wǎng)絡(luò) 信息安全 黑客攻擊 縱深防御 體系結(jié)構(gòu) 硬件解決方案
Abstract: With the spread of industrial Ethernet infrastructures,
network Security is a hot topic for automation technology. This article has analysed the main threats of industrial network Security. The key differences between office and factory Systems and networks is expounded. More detailed explanation of the Specific reguirements for the automation network are given. The hardware Security Solutions based on firewalls and encryption(VPN) for industrial application is introduced Comprehensively. The Phoenix Contact Company is a leading Supplier of Components and Solutions for Secured Communication in industrial network. It has developed a three-stage Security Concept and Security appliance FL MGUARD System for industrial automation.
Keywords: Industrial Network Security Hacking Defence-in-depth Architecture Hardware Solution
1. 概述:
在上世紀(jì)90年代中期之前,由于Internet 技術(shù)尚未成熟,當(dāng)時(shí)的IT技術(shù)不能完全滿足工業(yè)自動(dòng)化的實(shí)時(shí)性和環(huán)境適應(yīng)性等要求,于是各家公司都利用自己掌握的計(jì)算機(jī)技術(shù)開發(fā)具有專有權(quán)操作系統(tǒng)的工業(yè)自動(dòng)化裝置、專有權(quán)協(xié)議的網(wǎng)絡(luò)及其自動(dòng)化系統(tǒng)。由于具有較強(qiáng)的專用權(quán),這些系統(tǒng)受外來影響較小。工業(yè)自動(dòng)化系統(tǒng)較為封閉,其信息安全問題未受到重視。
最近幾年,這種情況發(fā)生了急劇變化,傳統(tǒng)自動(dòng)化技術(shù)與IT技術(shù)加速了融合的進(jìn)程,工業(yè)自動(dòng)化系統(tǒng)已廣泛采用微軟Windows操作系統(tǒng)和TCP/IP標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議,工業(yè)實(shí)時(shí)以太網(wǎng)已經(jīng)被工業(yè)自動(dòng)化領(lǐng)域廣泛接受,IT技術(shù)快速進(jìn)入工業(yè)自動(dòng)化系統(tǒng)的各個(gè)層面,改變了自動(dòng)化系統(tǒng)長(zhǎng)期以來不能與IT技術(shù)同步增長(zhǎng)的局面。工廠企業(yè)的信息化,可以實(shí)現(xiàn)智能工廠中從管理層、控制層直至現(xiàn)場(chǎng)層的信息無縫集成,使得過程控制系統(tǒng)(PCS)與制造執(zhí)行系統(tǒng)(MES),以及企業(yè)管理信息系統(tǒng)(ERP)有機(jī)地融為一體,并能通過Internet網(wǎng)完成遠(yuǎn)程維護(hù)與監(jiān)控。這種不可阻擋的發(fā)展趨勢(shì)隨之也帶來了工業(yè)網(wǎng)絡(luò)的安全問題,如何保證工業(yè)網(wǎng)絡(luò)的機(jī)密性、完整性和可用性成為工業(yè)自動(dòng)化系統(tǒng)必須考慮的一個(gè)重要問題。
在過去的一、兩年中,工業(yè)網(wǎng)絡(luò)的信息安全經(jīng)歷了迅猛的發(fā)展。2008年1月,黑客攻擊了美國的電力設(shè)施,造成多個(gè)城市大面積停電,損失很大。近幾年,美國公開報(bào)道的由于黑客攻擊造成巨大損失的事件多達(dá)30起。據(jù)說,由于各種原因還有很多起事件受害的公司不準(zhǔn)報(bào)道,保守秘密。而且,黑客攻擊在逐年增加。在這種情況下,進(jìn)入2009年,美國發(fā)電廠和大型電力企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度也邁上了一個(gè)新的臺(tái)階。NERC (北美電力保障組織)制定了對(duì)大型電力系統(tǒng)組織有著深遠(yuǎn)影響的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)CIP(關(guān)鍵基礎(chǔ)設(shè)施保護(hù))條例, CIP標(biāo)準(zhǔn)條例監(jiān)管機(jī)構(gòu)對(duì)這些企業(yè)下達(dá)強(qiáng)制命令:每個(gè)發(fā)電、傳輸和配送部門,不論是否屬于關(guān)鍵資產(chǎn)部門,都必須履行這些條例。電力供應(yīng)和輸配電部門必須采取明確的安全防范措施,以確保持續(xù)供電。不符合該標(biāo)準(zhǔn)的情況一經(jīng)發(fā)現(xiàn),可能被處以高達(dá)每天100萬美元的罰款。許多行業(yè)外人士(包括化工、煉油、冶金等)也正在密切關(guān)注電力行業(yè)的動(dòng)態(tài)。他們期望自己的行業(yè)中也能夠出現(xiàn)類似的法規(guī),而且是越早越好。由于該標(biāo)準(zhǔn)被界定為一套大型關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn),其他用到SCADA和DCS的領(lǐng)域也正在對(duì)它進(jìn)行審核。由此可見,工業(yè)網(wǎng)絡(luò)的信息安全已成為工業(yè)自動(dòng)化領(lǐng)域新的關(guān)注熱點(diǎn)。
2. 工業(yè)網(wǎng)絡(luò)信息安全威脅分析:
工業(yè)網(wǎng)絡(luò)信息安全的潛在威脅主要來自黑客攻擊、數(shù)據(jù)操縱(Data manipulation)、間諜(Espionage)、病毒、蠕蟲和特洛伊木馬等。
黑客攻擊是通過攻擊自動(dòng)化系統(tǒng)的要害或弱點(diǎn),使得工業(yè)網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性、可用性等受到傷害,造成不可估量的損失。黑客攻擊又分為來自外部的攻擊和來自內(nèi)部的攻擊。
?來自外部的攻擊包括非授權(quán)訪問是指一個(gè)非授權(quán)用戶的入侵;拒絕服務(wù)(DOS)攻擊,即黑客想辦法讓目標(biāo)設(shè)備停止提供服務(wù)或資源訪問。這樣一來,一個(gè)設(shè)備不能執(zhí)行它的正常功能,或它的動(dòng)作妨礙了別的設(shè)備執(zhí)行它們的正常功能,從而導(dǎo)致系統(tǒng)癱瘓,停止運(yùn)行。
?來自內(nèi)部的安全威脅,主要是由于自動(dòng)化系統(tǒng)技術(shù)人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足,可能會(huì)出現(xiàn)各種意想不到的操作失誤,勢(shì)必對(duì)系統(tǒng)或信息安全產(chǎn)生較大的影響。
圖1 黑客攻擊工業(yè)網(wǎng)絡(luò)
嚴(yán)重黑客攻擊(如圖1 所示)的性質(zhì),已經(jīng)從單純的娛樂,擴(kuò)展到了犯罪、恐怖主義、甚至國家贊助的間諜活動(dòng)。在這種情況下,工業(yè)自動(dòng)化系統(tǒng)必須采取適當(dāng)而有力的防御措施來應(yīng)對(duì)黑客攻擊行為的不斷升級(jí)。
