在过去的一两年中,工业网络的信息安全经历了迅猛的发展。2008年1月,黑客攻击了美国的电力设施,造成多个城市大面积停电,损失很大。近几年,美国公开报道的由于黑客攻击造成巨大损失的事件多达30起。据说,由于各种原因还有很多起事件受害的公司不准报道,保守秘密。而且,黑客攻击在逐年增加。在这种情况下,2009年,NERC(北美电力保障组织)制定了对大型电力系统组织有着深远影响的网络安全标准CIP(关键基础设施保护)条例,CIP标准条例监管机构对这些企业下达强制命令:每个发电、传输和配送部门,不论是否属于关键资产部门,都必须履行这些条例。电力供应和输配电部门必须采取明确的安全防范措施,以确保持续供电。不符合该标准的情况一经发现,可能被处以高达每天100万美元的罚款。许多行业外人士(包括化工、炼油、冶金和轻工等)也正在密切关注电力行业的动态。他们期望自己的行业中也能够出现类似的法规,而且是越早越好。由于该标准被界定为一套大型关键基础设施保护标准,其他用到SCADA和DCS的领域也正在对它进行审核。由此可见,工业网络的信息安全已成为工业自动化领域新的关注热点。
工业网络信息安全要求不断升级
工业网络信息安全的潜在威胁主要来自黑客攻击、数据操纵、间谍、病毒、蠕虫和特洛伊木马等。黑客攻击是通过攻击自动化系统的要害或弱点,使得工业网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成不可估量的损失。黑客攻击又分为来自外部的攻击和来自内部的攻击:来自外部的攻击包括非授权访问,也就是非授权用户的入侵,还包括拒绝服务(DOS)攻击,即黑客想办法让目标设备停止提供服务或资源访问;来自内部的安全威胁,主要是由于自动化系统技术人员的技术水平的局限性以及经验的不足,可能会出现各种意想不到的操作失误,势必对系统或信息安全产生较大的影响。黑客攻击的性质已经从单纯的娱乐,扩展到了犯罪、恐怖主义,甚至国家赞助的间谍活动。在这种情况下,工业自动化系统必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。
众所周知,用于工业自动化系统的网络通信技术来源于IT信息技术的办公自动化网络技术,但是又不同于办公环境使用的计算机网络技术。办公网络的信息安全通常采用杀毒软件和防火墙等软件方案解决安全问题。在工业应用环境,恶意软件的入侵将会造成生产线停顿,导致严重后果。因此,工业网络安全有更高要求。
什么样的安全防御对策更适合工业网络?
早期,工业自动化系统曾采用办公环境使用的网络安全软件解决方案。软件主要包括杀毒程序,通常将它们安装在基于Windows的控制器、机器人或工业PC上。但是,由于在工厂大多是各种各样设备混合使用,有可能它们之间会产生相反作用,从而影响被保护的系统。例如,美国的一家过程自动化工厂在一台工业PC上安装了杀毒程序,该杀毒软件妨碍了一个重要锅炉系统的紧急停机,导致了严重后果。
近来,为了确保工业自动化系统的信息安全,工业网络目前都转向采用基于硬件的防火墙和VPN技术。硬件防火墙主要是在优化过的Intel架构的专业工业控制计算机硬件平台上,集成防火墙软件形成的产品。硬件防火墙具有高速、高安全性、高稳定性等优点。VPN是一种在公用网络上建立专用网络的技术。VPN的主要功能是通过隧道或虚电路实现网络互联、数据加密以及信息认证、身份认证,能够进行访问控制、网络监控和故障诊断。VPN可以帮助远程用户、工厂企业分支机构、以及供应商等和工厂企业内部网络建立可信的安全连接,并保证数据的安全传输。
对于工厂企业自动化系统而言,只有把VPN网关与防火墙两种安全产品配合起来使用才能实现一个较完整的安全解决方案。为了提高基于工业以太网的工业通信网络的信息安全性,信息安全防御措施采用带有小型分布式安全系统的纵深防御体系架构。工厂企业防火墙用于保护整个企业防御Internet的安全威胁;管理层到控制系统的具有DMZ隔离区的防火墙用于保护整个控制系统;分布式安全组件则用于保护诸如PLC或DCS等关键设备。
为了满足工业自动化系统的各种安全需要,同时考虑各行各业今后逐渐增加的工业网络安全要求。德国Innominate公司和菲尼克斯电气公司研发了mGuard系列具有防火墙和路由器功能的硬件安全组件。这些组件的保护方式灵活、安装简便,且易于升级现有的设备。它可以保护所有的现有网络,整个生产单元或单独的自动化组件,无需重新组态现有的站点或改变网络拓扑结构。它们可以使用在工业自动化分布式架构中,从而实现工业控制系统的纵深防御策略。由此可见,使用这些网络安全产品系列能够全面提供路由器、防火墙、VPN、QoS和入侵检测等支持功能,并能通过Internet实现工厂安全的远程诊断和远程维护,从而有效地防御黑客攻击和病毒的入侵,完成工业自动化系统的信息安全保护。