工業控制系統的范疇一般包括:分散控制系統 ( DIcS ) 、現場總線控制系統 ( FCS ) 、安全儀表系統 ( SIS ) 、數據采集和監控系統 ( SCADA ) 、可編程邏輯控制器 ( PLC ) 、工業控制計算機系統 ( IPC ) ( 含嵌入式計算機系統 ) 、機組控制系統 ( CCS ) 等。2000 年以前的 DCS 等控制系統一般都有自己獨立的操作系統,其開放性及通用性較弱。但當今時代的控制系統一般使用通用的開放的 Windows 操作系統,使用 OPC 采集數據,網絡采用冗余工業以太網模式,尤其是服務器結構的 DCS,一旦服務器出現異常,受侵害的不僅僅是一個操作站,而是整個系統的癱瘓。
越來越多的工控安全事件表明,來自工廠信息網絡、移動存儲介質、互聯網以及其他因素導致的網絡安全問題正逐漸在控制系統中擴散。二、工業控制系統安全管理外來安全1. 邊界防護邊界防護是指過程控制層、操作監控層應通過 OPC 服務器、網絡隔離設備向數據服務層傳輸數據。OPC 服務器與數據服務層相連的網卡應獨立設置。不同應用的 OPC 服務器應獨立設置,禁止 OPC 服務器與工程師站共用。網絡隔離設備應獨立配置,禁止采用帶有防火墻功能的網絡交換機替代,禁止采用軟件隔離代替硬件隔離。網絡隔離設備應具備工業協議內容識別和網絡訪問控制能力,并啟用網絡訪問策略保障雙向通信安全。網絡訪問為雙向訪問時,宜使用工業防火墻;網絡訪問為單向訪問時,可使用網閘或者數據采集隔離網關。
2. 主機防護
主機防護是指在 DCS 服務器和操作站上部署 DCS 探針軟件,用于采集監視 DCS 操作站核心控制及應用系統運行狀態、安全隱患、異常及威脅等。采集方式為定期采集,采集數據采用加密的 HTTPS 通信通道保證數據安全不被篡改。DCS 探針采集的數據包括系統故障、系統漏洞及補丁、系統配置、系統資源占用、用戶操作行為、網絡連接、網絡服務、DCS 核心業務進程、服務啟停、防護能力狀態、防護系統、外部存儲接入等。同時部署硬件主機探針用于匯聚抑制 DCS 探針采集數據并轉發給監控中心服務器,用于分析 DCS 網絡服務啟停狀態、異常重啟、在線狀態、健康狀態和防護系統啟停狀態等。
3. 網絡防護1 ) 部署防病毒軟件 為了防止來自使用 U 盤、光盤等移動存儲介質導致的病毒傳播,可以在控制網的 DCS 操作站和服務器上安裝經過 DCS 廠家認證的網絡版殺毒軟件。防病毒軟件優先選用主動式病毒防護軟件,以防止防病毒軟件攻擊正常操作軟件導致事故發生,同時采用具有進程和服務配置功能的應用程序白名單和黑名單策略,并在網絡上連接 1 臺病毒庫升級服務器,為每個操作站安裝經過 DCS 廠家認證的最新的 Windows 補丁。建議工業控制系統在工廠安裝、組態開發、測試期間應同步安裝防病毒軟件。發現該系統疑似被病毒感染時,應按照應急預案及時采取緊急防護措施,防止事件擴大。2 ) 安裝網絡探針 一般是在 DCS 控制網交換機上配置全流量鏡像網絡探針。網絡探針具備對鏡像流量,資產發現、異常互聯分析、分布式拒絕服務攻擊 ( DDOS ) 攻擊監測、互聯監控、異常及危險指令監測和異常流量監測等功能。自身安全1. 預知維護工業控制系統預知維護,就是通過維護數據,結合該系統故障的歷史、現狀和運行環境等進行綜合判斷分析,預測工業控制系統隱患的發展趨勢,搶在系統出現故障前提出防范措施和治理對策,將故障消滅在萌芽狀態。如某石化公司要求各控制系統的維護人員每月至少做一次預知維護,根據對操作站的故障分析,預知維護首先從每月主動重啟 1 次操作站,定期清理操作站軟件垃圾和病毒開始,督促企業變被動維護為預知維護、主動維護,降低工業控制系統的故障次數。2. 資產管控資產管控是指采集和整合 DCS 等控制系統運維所需的多種動態、靜態信息,建立工業控制系統資產管控實時平臺,實現基礎資料信息化,提高維護效率,方便運維人員維護。資產管控的信息包括:DCS 配置邏輯結構圖、機柜布置圖、DCS 復雜控制回路組態信息、DCS 卡件類型、數量、安裝時間、維修記錄、IO 通道空余數量等信息統計及資源管理。
三、工業控制系統安全監控平臺智能制造業工業控制系統安全監控平臺主要包括:DCS 探針軟件、主機探針 ( 硬件 ) 、網絡探針 ( 硬件 ) 、生產網與辦公網間工業防火墻 ( 硬件 ) 、辦公網監控中心服務器等,在保證不影響現有 DCS 正常監控業務、不改變現有 DCS 網絡拓撲結構和保證 DCS 自身安全的同時,監控整個 DCS 的安全隱患、異常和威脅狀態等,實現工業控制系統的安全可視化監控。充分利用網絡態勢感知先進、成熟、高效的解決方案,結合企業工業控制網絡的運營環境、業務與威脅的特殊性,實現網絡防護與安全運維的有機結合,重點提升工業控制生產安全監測、網絡安全態勢感知、安全防護和應急處置能力,為全面落實《網絡安全法》對工業控制網絡安全的防護要求打下堅實基礎。充分利用大數據分析、物聯網、可視化交互等技術手段,對工業控制網絡內重要資產的生產環境、運行狀態、安全風險、網絡威脅進行多級別、多粒度、多維度的信息安全監管與保障,為目標用戶提供海量資產管理、系統自動運維、異常行為監控、網絡威脅預警與工業生產安全早期預警等核心能力。