工业控制系统安全体系架构与管理平台

工业控制系统安全体系架构与管理平台工业掌握系统(IndustrialControlSystems,ICS)，是由各种自动化掌握组件和实时数据采集、监测的过程掌握组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式掌握系统(DCS)、可编程规律掌握器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。典型的ICS掌握过程通常由掌握回路、HMI、远程诊断与维护工具三部分组件共同完成，掌握回路用以掌握规律运算，HMI执行信息交互，远程诊断与维护工具确保ICS能够稳定持续运行。1.1工业掌握系统潜在的风险1.操作系统的平安漏洞问题由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对Windows平台打补丁，导致系统带着风险运行。2.杀毒软件安装及升级更新问题用于生产掌握系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常担心装杀毒软件，给病毒与恶意代码传染与集中留下了空间。3.使用U盘、光盘导致的病毒传播问题。由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理，导致外设的无序使用而引发的平安大事时有发生。4.设备修理时笔记本电脑的任凭接入问题工业掌握系统的管理维护，没有到达肯定平安基线的笔记本电脑接入工业掌握系统，会对工业掌握系统的平安造成很大的威逼。5.存在工业掌握系统被有意或无意掌握的风险问题假如对工业掌握系统的操作行为没有监控和响应措施，工业掌握系统中的特别行为或人为行为会给工业掌握系统带来很大的风险。6.工业掌握系统掌握终端、服务器、网络设备故障没有准时发觉而响应延迟的问题对工业掌握系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。1.2“两化融合”给工控系统带来的风险工业掌握系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产掌握，满意“两化融合”的需求和管理的便利，通过规律隔离的方式，使工业掌握系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet，在这种状况下，工业掌握系统接入的范围不仅扩展到了企业网，而且面临着来自Internet的威逼。同时，企业为了实现管理与掌握的一体化，提高企业信息化合综合自动化水平，实现生产和管理的高效率、高效益，引入了生产执行系统MES，对工业掌握系统和管理信息系统进行了集成，管理信息网络与生产掌握网络之间实现了数据交换。导致生产掌握系统不再是一个独立运行的系统，而要与管理系统甚至互联网进行互通、互联。1.3工控系统采纳通用软硬件带来的风险工业掌握系统向工业以太网结构进展，开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业掌握系统中，由于工业系统集成和使用的便利性，大量使用了工业以太环网和OPC通信协议进行了工业掌握系统的集成;同时，也大量的使用了PC服务器和终端产品，操作系统和数据库也大量的使用了通用的系统，很简单遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。二、工业掌握系统平安防护设计通过以上对工业掌握系统平安状况分析，我们可以看到，工控系统采纳通用平台，加大了工控系统面临的平安风险，而“两化融合”和工控系统自身的缺陷造成的平安风险，主要从两个方面进行平安防护。通过“三层架构，二层防护”的体系架构，对工业企业信息系统进行分层、分域、分等级，从而对工控系统的操作行为进行严格的、排他性掌握，确保对工控系统操作的唯一性。通过工控系统平安管理平台，确保HMI、管理机、掌握服务工控通信设施平安可信。2.1构建“三层架构，二层防护”的平安体系工业掌握系统需要进行横向分层、纵向分域、区域分等级进行平安防护，否则管理信息系统、生产执行系统、工业掌握系统处于同一网络平面，层次不清，你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很简单对工控系统造成损害，网络风暴和拒绝式服务攻击很简单消耗系统的资源，使得正常的服务功能无法进行。2.1.1工控系统的三层架构一般工业企业的信息系统，可以划分为管理层、制造执行层、工业掌握层。在管理信层与制造执行系统层之间，主要进行身份鉴别、访问掌握、检测审计、链路冗余、内容检测等平安防护;在制造执行系统层和工业掌握系统层之间，主要避开管理层直接对工业掌握层的访问，保证制造执行层对工业掌握层的操作唯一性。工控系统三层架构如下图所示：<imgalt=““src=“/UploadFiles/201200/20128/Manage/2012818145936.png”/通过上图可以看到，我们把工业企业信息系统划分为三个层次，分别是方案管理层、制造执行层、工业掌握层。管理系统是指以ERP为代表的管理信息系统(MIS)，其中包含了很多子系统，如：生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等，管理信息系统融信息服务、决策支持于一体。制造执行系统(MES)处于工业掌握系统与管理系统之间，主要负责生产管理和调度执行。通过MES，管理者可以准时把握和了解生产工艺各流程的运行状况和工艺参数的变化，实现对工艺的过程监视与掌握。工业掌握系统是由各种自动化掌握组件和实时数据采集、监测的过程掌握组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。2.1.2工控系统的二层防护1、管理层与MES层之间的平安防护管理层与MES层之间的平安防护主要是为了避开管理信息系统域和MES(制造执行)域之间数据交换面临的各种威逼，详细表现为：避开非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据，抵赖行为的可掌握、可追溯;避开终端违规操作;准时发觉非法入侵行为;过滤恶意代码(病毒蠕虫)。也就是说，管理层与MES层之间的平安防护，保证只有可信、合规的终端和服务器才可以在两个区域之间进行平安的数据交换，同时，数据交换整个过程接受监控、审计。管理层与MES层之间的平安防护如下图所示：<imgalt=““src=“/UploadFiles/201200/20128/Manage/2012818145951.png”/2、MES层与工业掌握层之间的平安防护通过在MES层和生产掌握层部署工业防火墙，可以阻挡来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯，实现以下目标：区域隔离及通信管控：通过工业防火墙过滤MES层与生产掌握层两个区域网络间的通信，那么网络故障会被掌握在最初发生的区域内，而不会影响到其它部