对于公司、协会和政 府机构的网络攻击已经是显而易见,所谓的“网络战”已经成为现实。近年来在世界各地不断发生的安全事件证明:越来越多的工业企业和工厂已经成了被攻击的目标。攻击的目标和策略发着巨大的变化。攻击正变得越来越具有侵略性而且所使用的攻击工具正变得更加有效。这种变化的威胁情况需要从根本上重新思考信息和访问保护措施,以及建立安全流程的安全理念。攻击者正在升级——产品制造商和自动化系统运营商必须应对这些威胁。
西门子的工业安全理念是多层防御,也被称为“纵深防御”。这个概念对自动化系统提供了全面和深入的保护。一方面,不同的、互补的保护机制应对各种威胁(全面保护)。另一方面,攻击者需要突破多重的防护。
西门子工业安全理念包含了工厂安全,网络安全和系统完整三个重要部分(如下图1)
图1、西门子纵深防御
一、工厂安全
工厂安全是实现技术措施无法实现的安全。它包括了物理访问保护措施如围墙、十字转门、摄像头或者读卡器及相应的组织措施,尤其是安全的管理流程可以保证工厂的长期的安全。
1、物理访问保护
可归纳如下类别:
制定相关措施和流程,防止未经授权的人员访问工厂 (见图2)。
不同的工艺段需要采用各自的物理隔离,并制定相应的访问授权 .
自动化组件的关键部件需要采用物理访问保护。例如,控制箱需要加锁
物理访问保护措施指导会影响所需的IT安全措施及其程度。例如授权的人可以进入一个区域。那么网络访问接口或自动化系统不需要获得相同程度的公开。
图2 未经授权的物理访问保护
2、安全管理
安全管理策略和组织措施是工业信息安全的重要组成部分。组织措施和技术措施必须相辅相成。要达到保护的目标必须将这两种措施有机结合。
组织措施是建立一套完善的安全管理流程。
信息安全相关政策示例:
对于可接受的风险制定统一的规定
对于不寻常的活动和事件制定上报机制
对于信息安全事件,做到交流通畅并编制文档
规范移动PC,智能手机和数据存储等设备在工厂范围内的使用 (例如,禁止在工厂以外的地区使用这些设备)
信息安全相关流程示例 :
对于所使用的设备部件,需要处理并修正已知的脆弱点
发生安全事件时的流程(安全响应计划)
发生安全事件后恢复生产系统的流程
记录和评估安全事件,并记录配置变化
在工厂范围内使用外部数据存储设备之前,要执行测试程序和检查程序
在制定安全措施之前必须作风险分析。风险分析是对工厂和机器进行信息安全管理的先决条件,其目的在于识别和评估不同 用户所面临的危害和风险(见图3)。 风险分析的典型内容:
识别可能受到威胁的目标
分析价值和潜在的损失
威胁和弱点分析
识别已有的信息安全措施
风险评估
图3 特定工厂风险分析决策图
二、网络安全
西门子工业信息安全理念的中央元素是网络安全。包括了对自动化系统未经授权的访问保护和连接到其他网络(如办公网络和由于远程访问的需求连接到Internet网络)的所有接口安全审查。网络安全也包括通信保护防止通信被拦截和操纵。例如:数据加密传输和相应通信节点间的身份认证。
1、确保办公网络和工厂网络之间接口的安全
过渡到其它网络时,可以通过防火墙和建立非军事化区(DMZ)对工厂网络进行监控和保护。DMZ是为了保护工厂网络增加的一道安全防线。DMZ区对其它网络可以提供数据服务,同时也确保其它网络不能直接访问自动化网络。这种设计使得从DMZ区不能访问和连接到其它系统。即使DMZ区的计算机被黑客劫持,自动化网络仍然能被保护(见图4)。
图4、办公网络和工厂网络之间使用非军事化区传输数据
最简单的情况,通过一个防火墙实现隔离。该防火墙可以控制和管理不同网络之间的通信。更安全的是在各自的网络边界之间的连接一个非军事区(DMZ)实现隔离。非军事化区限制了生产网络和办公网络之间的直接数据通信;通信过程只能通过非军事化区(DMZ)中的服务器间接完成 。
2、网络分段和单元保护概念
网络分段是把工厂网络被划分成几个独立被保护的自动化单元。这样可以减小风险更进一步增强网络的安全性。一个网络的部分(例如一个IP子网)通过一个安全来保护。通过分段来实现网络安全。因此,“单元”中的设备可以防止来自外部未经授权的访问且不影响实时性能或者其它功能。
防火墙可以控制对单元的访问,操作员可以定义哪些网络节点之间可以通过什么协议相互通信。通过此方式不仅拒绝未经授权人员的访问,也降低网络的通信负载。只有希望和需要的通信是被允许的。
根据网络站点的通信和保护需求,划分单元和分配设备到相应的单元。来往于单元的数据传输是通过安全设备的VPN进行加密处理。这样有效的防止窥探和操纵数据。通过VPN技术认证了通信的节点和授权了他们需要访问的地方。例如,单元保护的概念可以通过集成安全功能的组件SCALANCE S 或SIMATIC S7自动化系统的安全CP卡实现(见图5)。
图5、 通过集成安全的产品实现网络分段和单元保护
网络分段和单元保护可归纳如下:
单元”和“区域”的概念是出于安全的目的对网络进行分段隔离
通过设置信息安全网络组件,对“单元入口”进行访问控制
将没有独立访问保护机制的设备置于安全单元内加以保护,这种方式主要针对已经正常运行设备的改造
划分各个单元可以防止由于带宽限制造成的网络过载,保护单元内部的数据通信不受干扰
在各个单元内部不影响实时通信
在网络单元内部,对功能安全设备提供保护
在单元和单元之间通过建立安全通道实现安全通信
网络分段的单元防护理念是防止未经授权访问的一种防护措施。在安全单元内部的数据不受信息安全设备的控制,因此我们假设各分段网络内部是安全的,或者在各个单元内部部署了更进一步的安全措施,例如,保证交换机的端口安全。
各个安全单元的大小的划分主要取决于被保护对象所包含的内容,具有相同需求的组件可能会划分在一个安全单元以内。建议根据生产流程规划网络结构。这样可以保证网络分段时,各个网络单元之间通信数据量最少,同时,可以使防火墙配置的例外规则最小化。
为了保证性能需求,建议客户遵循如下针对网络规模和网络分段的规则:
一个 PROFINET IO 系统中的所有设备规划到一个网络单元中
设备和设备之间的通信数据量非常大的情况下,应该将它们规划到一个网络单元中
如果一台设备仅仅和一个网络单元之间存在数据通信,同时保护目标是一致的,则应该将该设备和网络单元合并到一个网络单元
3、远程访问的安全
越来越多的工厂通过互联网被直接地连接到了一起。由于远程服务、远程应用和监控安装在世界各地的机械设备的需求,远程的工厂通过移动网络(GPRS, UMTS, LTE)被连接起来。
这种情形,安全访问尤其重要。借助搜索引擎、端口扫描或者自动化的脚本,黑客无需努力就可以很容易得发现不安全的访问节点。这就是通信节点为什么要身份认证,数据的传输需要加密且数据的完整性必须保证。特别是对于工厂的关键基础设施访问。未经授权人员的访问,机密数据的读取和控制命令参数的修改都可能导致相当大的破坏,环境的污染及人员的伤害。
VPN的机制提供身份认证,加密和完整性保护,已被证明可以提供有效保护功能。西门子的Internet 安全产品支持VPN连接,因此可以安全地传输通过互联网或移动网的控制访问数据。
正常的情况下,设备认证证书和值得信赖的IP地址或域名名称通过防火墙的规则来阻止或允许。VPN设备和SCALANCE S防火墙使用特定用户防火墙规则赋予访问用户的权限。在这种情况下用户使用他们的名字和密码登陆Web界面,由于每个授权的用户被分配了特殊的防火墙规则,给用户根据其访问权限获得相应的访问能力。优势在于可以清楚地跟踪在特定时间对系统的访问情况。
带有三个端口的SCALANCE S623防火墙给系统集成商、OEM和最终用户提供了种解决方案。一方面,设备制造商出于远程维护的目的需要访问安装在最终用户那里的机器;但另一方面,最终用户的IT部门不愿意外部访问机器所连接的整个网络。通过SCALANCE S623,机器可以连接到工厂网络并且使用第三个端口连接防火墙到Internet。这样可以从Internet访问机器但从Internet访问工厂网络是被拒绝的。因此,技术服务人员可以远程访问机器设备但不能访问工厂网络(见图6)。
图6、 不能访问工厂网络情况下远程访问工厂设备
三、系统完整性
确保系统完整性被视为安全理念的第三大支柱。这意味着自动化系统和控制器组件,SCADA和HMI系统,需要防止未经授权的访问和恶意软件或者需要满足特殊需求,如专有知识保护。
1、 在工厂网络中保护基于PC的系统
就像办公网络的电脑系统防止恶意软件和通过安装更新和补丁来消除操作系统或用户软件已暴露的弱点一样。在工厂网络中的工业计算机和基于PC的控制系统也需要相应的保护措施。在办公环境已经证明的保护系统(如病毒扫描器)也可以被使用。因为病毒扫描器无法检测到所有的病毒,无力阻止更新病毒模板之前的型病毒,特别在自动化环境中不能及时的更新软件例如需要24/7操作期。所以根据情况来选择。
使用一种所谓的白名单软件可以替代病毒扫描器。白名单只允许运行用户定义的程序列表。如果一个用户或恶意软件试图安装一个新的程序,白名单会拒绝来防止对系统的破环。
作为一个工业软件的制造商,西门子支持被测试过且兼容的病毒扫描器或白名单软件。
2、 控制层级的保护
我们已经拥有计算机和网络采取保护的知识。但对于特殊的设备及专有系统又如何保护呢?如何保护一个可编程控制器(PLC)和不使用商用操作系统或运行了数年甚至数十年的老版本系统的操作员站?
第三方的安全软件针对此是不能提供解决方案。访问此类设备系统的功能几乎不可能或访问的功能非常有限。对于控制层级的安全方案,自动化硬件制造商被要求提供相应的安全机制和提供用户特殊系统的安全设置项。同时,鼓励用户询问制造商是否有安全机制和如何激活并设置安全选项。
对控制层级的保护的实质是确保现场控制器的可用性和对知识产权的保护。由于自动化与IT的互连及集成不断增加,访问保护和防止操纵的要求在生产的工厂也发生着变化。这是现代控制系统不可缺少的部分。西门子新一代的控制器S7-1500已经集成了此功能。除此之外,西门子控制提供的功能还有密码保护、程序块保护和复制保护等确保工厂网络安全。
各个功能块可以得到保护,也就意味着未经授权的人无法访问功能块的内容及对功能块的算法的复制和修改。同时通过版权保护防止对设备的仿制。程序块与存储卡序列号的绑定使得被保护的程序只能运行在合法的机器设备中。这些功能有助于保护机器设备制造商的投资和维护他们的技术优势。