DCS系统安全风险应对
[摘要]根据DCS系统安全分析当前工业控制系统存在的风险,提出部分在现场采取的应对方法,表明控制系统网络安全风险是可以得到控制并提前防护的。
关键词:DCS系统安全;防火墙;网络架构 1 DCS系统安全及现状
典型的DCS控制系统通常由控制回路、HMI(人机接口)、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保出现异常的操作时进行诊断和恢复。
SCADA(Supervisory Control And Data Acquisition)数据采集与监控系统,是工业控制系统的重要组件,通过与数据传输系统和HMI交互,SCADA可以对现场的运行设备进行实时监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。
与传统的信息系统安全需求不同,DCS系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下,缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。
2 DCS系统安全风险分析及应对方法
工业控制系统的安全性和重要性直接影响到国家战略安全实施,但为兼顾工业应用的场景和执行效率,在追求DCS系统高可用性和业务连续性的过程中,用户往往会被动地降低DCS系统的安全防御需求。识别DCS存在的风险与安全隐患,实施相应的安全保障策略是确保DCS系统稳定运行的有效手段。 (1)操作系统与外接设备交互的风险性
追求可用性而牺牲安全,这是很多工业控制系统存在普遍现象,缺乏完整有效的安全策略与管理流程是当前我国工业控制系统的最大难题,很多已经实施了安全防御措施的DCS网络仍然会因为管理或操作上的失误,造成DCS系统出现潜在的安全短板。例如,工业控制系统中的移动存储介质的使用和不严格的访问控制策略。
应对方法:制定关键设备信息安全的评测制度,防范关键设备中的预留后门
及多余功能。对工业控制系统的设备、系统进行评测和检测,确保关键设备、软件没有预埋的、不为我们所知的一些功能。落实工业控制系统的信息安全检查制度,由监管单位进行自查,这是加强信息安全工作的常规手段,而同时也要进行抽查工作,对自查涉及的安全措施和制度是否落实到位。加强工业控制系统病毒防治工作,落实工业控制系统防治病毒管理规定,控制系统访问权限严格控制,移动存储介质的使用应当符合管理规定。
针对YOKOGAWA CENTUM CS3000集散控制系统在Win-XP环境下存在的安全隐患。炼油一厂1000万吨炼油系统采用横河公司的YOKOGAWA CENTUM CS3000集散控制系统,CS3000系统的开放性过高、且在安全方面过于依赖Windows平台,从而给其自身的系统安全性带来较大隐患。为此,归纳了当前运行版本的CS3000系统在工程应用中涉及到的安全问题的实际处理方法。
该装置的控制系统软件版本为R3.08,其操作系统为Windows XP Professional,共有AI点5378个,AO点1820个,DI点706个,DO点711个,通讯点302个,有7套独立冗余CPU,17台操作站,1台工程师站,1台辅助工程师站。控制器集中放置在机柜间中,通过双路冗余的光纤与控制室的操作站通讯,网络连接图如下:
FCS0101 FCS0107
机柜间 Switch 1 Switch 2
Switch 1 Switch 2
HIS0145 HIS0160 HIS0163 HIS0164
辅助 OPC
工程师站 主工程师站 中控室 辅助机柜间
现在采用的系统版本延续使用了自R3版本以来的“CENTUM Desktop”环境,可禁止用户更改Windows系统设置。DCS系统安全措施做得不够完善,未将与生产操作的功能彻底锁死即操作站仍可以进行生产相关操作以外的操作,给控制系统的安全运行带来隐患,具体原因如是Windows-XP的默认状态不能为CS3000系统提供安全的运行环境。
Windows XP Professional安装结束后,光驱与USB接口均处于“自动播放”状态,即使在“CENTUM Desktop”环境下,当放入光盘或插入移动存储设备时也可自动打开或自动运行,极有可能将病毒带入操作站中。此外,自Windows 95问世以后,计算机键盘上增加了“Windows键”,Windows XP Professional平台赋予了“Windows键”与其它键组合出的多种快捷方式,提高了用户操作的便捷性,但在“CENTUM Desktop”环境下,“Windows键”的组合功能未被完全屏蔽,用户可通过“Windows键”的组合功能对系统设置进行修改。
虽然可以通过加强对操作员工的管理而尽量避免上述破坏性事件的发生,但DCS组态与维护人员仍有必要制订相应的技术防范措施,从根本上提高操作站的安全性。 改进措施:
1. “Windows键”调出开始菜单解决方案
1.1将操作站的普通键盘改为专门用于操作的操作员键盘
1000万吨炼油系统在项目建设初期就考虑到上述安全隐患,对所有的操作站都配置了操作员键盘(操作员键盘没有“windows”键),一方面解决了安全隐患,另一方面由于操作员键盘的按键包含了多种常用操作功能所以更方便操作员使用。但是对装置改造时或操作员键盘损坏时,就需要我们来对windows进行相关设置:
1.2禁用键盘上的“Windows键”组合功能
在“管理员”权限下点击“开始”—“运行”,在“打开”指令栏中输入“REGEDIT”, 进入“注册表”编辑器。在路径:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer]下新建DWORD值,命名名称为“NoWinKeys”,并将数据数值写为“1”。重新启动操作站后,键盘上的“Windows键”即被禁用。
2.隐藏“CENTUM”用户权限下开始菜单中影响系统安全的无关组件
在“HIS Utility”中将环境设置为“CENTUM Desktop”并登陆一次后,重新进入“CENTUM Desktop”环境后,开始菜单中影响系统安全的无关组件即可消失。 3. 屏蔽“CENTUM”用户权限下由任务栏图标进入硬盘目录的途径
在“管理员”权限下点击“开始”—“运行”,在“打开”指令栏中输入“gpedit.msc”,进入“组策略”编辑器。打开“用户配置”—“管理模板”—“任务栏和开始菜单”,双击右侧倒数第三个选项“隐藏通知区域”,将其状态修改为“已启用”。重新进入“CENTUM Desktop”环境后,任务栏图标消失,无法由该处进入硬盘目录。
4. 取消“CENTUM”用户权限下光驱与USB接口的自动播放功能
在“管理员”权限下点击“开始”—“运行”,在“打开”指令栏中输入“gpedit.msc”,进入“组策略”编辑器。打开“计算机配置”—“管理模板”—“系统”,双击右侧倒数第六个选项“关闭自动播放”,将其状态修改为“已启用”,并适用于“所有驱动器”。重新进入“CENTUM Desktop”环境后,自动播放功能即可取消。 5. 去除USB接口的存储设备接入功能
由于小型移动存储设备的普及化,U盘变成了如今人们随身携带的物品,这也是得大多数计算机病毒文件有了更为便捷的传播途径,对于控制系统的操作站应尽力避免因移动存储设备带来的病毒感染。 5.1 关闭USB接口的存储设备接入功能
在“管理员”权限下点击“开始”—“运行”,在“打开”指令栏中输入“REGEDIT”, 进入“注册表”编辑器。在路径:
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlset\\Services\\USBSTOR]右侧有名称为“Start”的设定项,将其数据由“0x00000003(3)”修改为“0x00000004(4)”,操作站USB接口的存储设备接入功能即被去除。 5.2 禁用usb移动存储设备
点击开始在运行对话框中输入regedi t打开注册表编辑器,依次展开[HKEY_LOCAL MACHINE\\SYSTEM\\currentControlSet\\Services\%usbehci]双击右面的“Start”键,把编辑窗口中的“数值数据“改为“4”(提示: “Start”这个键是USB设备的工作开关,默认设置为“3”表示手动, “2”是表示自动,“4”
是表示停用),把基数选择为“十六进制”就可以了。这时再插入usb移动存储设备,在“我的电脑”里显示不出usb移动存储设备的盘符,在地址栏内输入盘符也提示无法访问。此方法在实际使用中应注意的是,对于需要使用的USB接口,在完成上述设置后,会导致重新拔插USB接口后设备无法使用。 (2)工控平台的风险性
随着 TCP/IP 等通用协议与开发标准引入工业控制系统,开放、透明的工业控制系统同样为物联网、云计算、移动互联网等新兴技术领域开辟出广阔的想象空间。理论上,绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。目前,多数DCS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制,例如基于DCOM 编程规范的OPC接口几乎不可能使用传统的IT防火墙来确保其安全性。数据加密效果不佳,工业控制协议的识别能力不理想,加之缺乏行业标准规范与管理制度,工业控制系统的安全防御能力十分有限。
应对方法:就目前而言,传统的IT防火墙已无法满足工业控制系统的需求,但越来越多的控制系统厂家注重网络安全,在控制层面就加装了防火墙。同时,市面上也有工业级防火墙的出现,针对控制层的网络协议作出相应的防护,对Modbus和OPC的协议内容进行检查和连接管理。不管是控制系统本身自带的防火墙还是专业的工业级防火墙,都可以针对工控平台的风险性起到弥补作用。
以下为Honeywell公司工控平台风险性应对方案:
Honeywell PKS 过程控制系统是霍尼韦尔最新一代过程自动化系统,它的功能高于一般的集成控制系统,其安全组件使安全环境独立于主控系统,提高了系统整体的安全稳定。FTE容错以太网提供了HONEYWELL 的四路冗余通讯专利技术,可通过网络通讯接口卡与C300,操作站,服务器,第三方设备及其它PC 连接,避免了因单点故障而引起的系统瘫痪,大大提高了系统性能。
FTE具有出色鲁棒性连网方案的特点:FTE 节点之间有4 个通信路径,对电缆和电子设备中的各种多重故障具有容错功能,对PC 应用程序具有透明性,并具有快速检测和恢复。传统的以太网冗余方案通常都使用两个分离的以太网,每个节点(服务器和工作站)都同时与两个网连接。如果发生通信故障,则某特定节点切换至其他网络所用的时间可能超过30 秒钟,同时取决于网络的复杂性和