DCS系統(tǒng)安全風(fēng)險(xiǎn)應(yīng)對(duì)

1、CS 系統(tǒng)安全風(fēng)險(xiǎn)應(yīng)關(guān)于摘要CS 系統(tǒng)安全分析當(dāng)前工業(yè)控制系統(tǒng)存在的風(fēng)險(xiǎn)，提出部分在現(xiàn)關(guān)鍵詞：CS 系統(tǒng)安全；防火墻；網(wǎng)絡(luò)架構(gòu)CSSCAA（Supervisory Control An ata Acquisition）數(shù)據(jù)采集與監(jiān)控系典范的CS人機(jī)接口）SCAA（Supervisory Control An ata Acquisition）數(shù)據(jù)采集與監(jiān)控系HMI可以關(guān)于現(xiàn)場(chǎng)的運(yùn)行設(shè)備進(jìn)行實(shí)時(shí)監(jiān)視和控制，以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測(cè)量、參數(shù)現(xiàn)場(chǎng)的運(yùn)行設(shè)備進(jìn)行實(shí)時(shí)監(jiān)視和控制，以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測(cè)量、參數(shù)調(diào)節(jié)以及各類信號(hào)報(bào)警等各項(xiàng)功能。調(diào)節(jié)以及各類信號(hào)報(bào)警等各項(xiàng)功能。與傳統(tǒng)的信息系統(tǒng)安全需求

2、不同，CS系統(tǒng)設(shè)計(jì)需要兼顧應(yīng)用場(chǎng)景與控制管臨的通病。CS系統(tǒng)安全風(fēng)險(xiǎn)分析及應(yīng)關(guān)于方法實(shí)施相應(yīng)的安全保證策略是確保CS系統(tǒng)穩(wěn)定運(yùn)行的有效手段。操作系統(tǒng)與外接設(shè)備交互的風(fēng)險(xiǎn)性安全防御措施的CSCS策略。應(yīng)關(guān)于方法：制定關(guān)鍵設(shè)備信息安全的評(píng)測(cè)制度，防范關(guān)鍵設(shè)備中的預(yù)留后門移動(dòng)存儲(chǔ)介質(zhì)的使用應(yīng)當(dāng)契合管理規(guī)則。YOKOGAWA CENTUM CS3000 Win-XP 環(huán)境下存在的安全1000 YOKOGAWA CENTUM CS3000 集散控制系統(tǒng)，CS3000 Winows 平臺(tái)，從而給其自身的系統(tǒng)安全性帶來(lái)較大隱患。為此，歸納了當(dāng)前運(yùn)行版本的CS3000 系統(tǒng)在工程應(yīng)用中涉及到的安全問(wèn)題的實(shí)際處

3、理方法。FCS0101FCS0107機(jī)柜間Switch 1Switch 2Switch 1Switch 2HIS0145HIS0160HIS0163HIS0164中控室扶助工程師站OPC主工程師站該裝置的控制系統(tǒng)軟件版本為 R3.08 ， 其操作系統(tǒng)為 Winows XP AI 5378 1820 706 711 FCS0101FCS0107機(jī)柜間Switch 1Switch 2Switch 1Switch 2HIS0145HIS0160HIS0163HIS0164中控室扶助工程師站OPC主工程師站扶助機(jī)柜間3 MpWinows 系統(tǒng)設(shè)置。CS 系統(tǒng)安全措施做得不夠完備，未將與Winows-X

4、P CS3000 系統(tǒng)提供安全的運(yùn)行環(huán)境。Winows XP Professional USB 接口均處于“自動(dòng)播放” 狀態(tài)，即使在“CENTUM esktop”環(huán)境下，當(dāng)放入光盤或插入移動(dòng)存儲(chǔ)設(shè)備時(shí)Winows 95 s sPl 平臺(tái)賦Winows Ms 鍵”的組合功能未被完全屏蔽，用戶可經(jīng)過(guò)“Winows 鍵”的組合功能關(guān)于系統(tǒng)設(shè)置進(jìn)行修改。CS 安全性。改進(jìn)措施：“Winows 鍵”調(diào)出開始菜單解決方案將操作站的普通鍵盤改為專門用于操作的操作員鍵盤1000 萬(wàn)噸煉油系統(tǒng)在項(xiàng)目建設(shè)初期就考慮到上述安全隱患，關(guān)于一切的操作站都配置了操作員鍵盤（s”鍵，一方面解決了安全winows 行相關(guān)設(shè)置

5、：禁用鍵盤上的“Winows 鍵”組合功能T 1 鍵”即被禁用。隱藏“CENTUM”用戶權(quán)限下開始菜單中影響系統(tǒng)安全的無(wú)關(guān)組件Utilityesktop”并且登陸一次后，重新進(jìn)CENTUM 屏蔽“CENTUM”用戶權(quán)限下由任務(wù)欄圖標(biāo)進(jìn)入硬盤目錄的途徑cesktop”環(huán)境后，任務(wù)欄圖標(biāo)消失，無(wú)法由該處進(jìn)入硬盤目錄。取消“CENTUMUSB 接口的自動(dòng)播放功能cCENTUM esktop”環(huán)境后，自動(dòng)播放功能即可取消。USB 接口的存儲(chǔ)設(shè)備接入功能由于小型移動(dòng)存儲(chǔ)設(shè)備的普及化，U 應(yīng)盡力避免因移動(dòng)存儲(chǔ)設(shè)備帶來(lái)的病毒感染。USB 接口的存儲(chǔ)設(shè)備接入功能Tt”修改為“USB 接口的存儲(chǔ)設(shè)備接入功能即被

6、去除。usb 移動(dòng)存儲(chǔ)設(shè)備點(diǎn)擊開始在運(yùn)行關(guān)于話框中輸入 regei t 打開注冊(cè)表編輯器，依次展開HKEY_LOCAL MACHINESYSTEMcurrentControlSetServicesusbehci雙擊右面的“Start”鍵，把編輯窗口中的“數(shù)值數(shù)據(jù)“改為“4”(提示： “Start”這個(gè)鍵是 USB 設(shè)備的工作開關(guān)，默認(rèn)設(shè)置為“ 3”表示手動(dòng)， “2”是表示自動(dòng)，“4”是表示停用)，把基數(shù)選擇為“十六進(jìn)制”就可以了。這時(shí)再插入 usb 移動(dòng)存儲(chǔ)設(shè)備，在“我的電腦”里顯示不出usb 移動(dòng)存儲(chǔ)設(shè)備的盤符，在地址欄內(nèi)輸入盤符也提示無(wú)法訪問(wèn)。此方法在實(shí)際使用中應(yīng)注意的是，關(guān)于于需要使用的

7、 USB 接口，在完成上述設(shè)置后，會(huì)導(dǎo)致重新拔插 USB 接口后設(shè)備無(wú)法使用。工控平臺(tái)的風(fēng)險(xiǎn)性隨著 TCP/IP行。目前，多數(shù)CS網(wǎng)絡(luò)僅經(jīng)過(guò)部署防火墻來(lái)保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相關(guān)于隔離，各個(gè)工業(yè)自動(dòng)化單元之間缺乏可靠的安全通信機(jī)制，例如鑒于COM 編程規(guī)矩的OPC接口簡(jiǎn)直不可能使用傳統(tǒng)的IT防火墻來(lái)確保其安全性。數(shù)據(jù)加密效果不控制系統(tǒng)的安全防御能力十分有限。應(yīng)關(guān)于方法：就目前而言，傳統(tǒng)的IT防火墻已無(wú)法滿足工業(yè)控制系統(tǒng)的需求， 但越來(lái)越多的控制系統(tǒng)廠家注重網(wǎng)絡(luò)安全，在控制層面就加裝了防火墻。同時(shí)， 市面上也有工業(yè)級(jí)防火墻的出現(xiàn)，針關(guān)于控制層的網(wǎng)絡(luò)協(xié)議作出相應(yīng)的防護(hù)，關(guān)于Mobus和OPC的協(xié)

8、議內(nèi)容進(jìn)行檢查和連接管理。不管是控制系統(tǒng)本身自帶的防火墻還是專業(yè)的工業(yè)級(jí)防火墻，都可以針關(guān)于工控平臺(tái)的風(fēng)險(xiǎn)性起到填補(bǔ)作用。以下為Honeywell公司工控平臺(tái)風(fēng)險(xiǎn)性應(yīng)關(guān)于方案：HoneywellPKS 進(jìn)程控制系統(tǒng)是霍尼韋爾最新一代進(jìn)程自動(dòng)化系統(tǒng)，它的FTE容錯(cuò)以太網(wǎng)提供了HONEYWELL 的四路冗余通訊專利技術(shù)，可經(jīng)過(guò)網(wǎng)絡(luò)通訊接口卡與C300PC 連接，避免了因單點(diǎn)故障而引起的系統(tǒng)癱瘓，大大提高了系統(tǒng)性能。FTE具有出色魯棒性連網(wǎng)方案的特點(diǎn)：FTE 節(jié)點(diǎn)之間有4 個(gè)通信路徑，關(guān)于電纜和電子設(shè)備中的各種多重故障具有容錯(cuò)功能，關(guān)于PC 應(yīng)用程序具有透明性，并且節(jié)點(diǎn)切換至其他網(wǎng)絡(luò)所用的時(shí)間可能超

9、過(guò)30 秒鐘，同時(shí)取決于網(wǎng)絡(luò)的復(fù)雜性和Honeywell 的FTE 網(wǎng)絡(luò)使用單一網(wǎng)絡(luò)，不需要服務(wù)器和工作站來(lái)1 FTE 由多路選擇邏輯單網(wǎng)FTEA一個(gè)支持FTEB。其網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示PKS系統(tǒng)為保證其控制網(wǎng)絡(luò)安全性，采用了Control 功能塊，它支持C C和現(xiàn)場(chǎng)接口模塊提供9口FTEC300及C系列現(xiàn)場(chǎng)端口模塊都必需與Control PKS Control 與PKS L1L2Cisco 24V 之間只可并且接不可串接。當(dāng)發(fā)生故障時(shí)，指示燈顯示。Control 輸入輸出端子板可連接控制器，C系列現(xiàn)場(chǎng)接口模塊及FTE網(wǎng)絡(luò)交下圖為Control Firewall與控制器的連接示意圖：Contro

10、l 可以防止系統(tǒng)出現(xiàn)電腦安全泄密，保證系統(tǒng)可用性；可以防Honeywell公司還可以為客戶提供專業(yè)的防病毒專業(yè)技術(shù)服務(wù)，以保護(hù)服務(wù)器、操作站、工程師站等避免受到安全侵害。其具體工作如下：1、防病毒系統(tǒng)的部署。經(jīng)過(guò)三層交換機(jī)或防火墻保證不同控制系統(tǒng)之間的和組態(tài)工作；在一切設(shè)備中安裝防病毒引擎。2、防病毒軟件與操作系統(tǒng)補(bǔ)丁測(cè)試。保證防病毒軟件與操作系統(tǒng)補(bǔ)丁與控制系統(tǒng)相兼容。3、防病毒軟件的更新。廠商會(huì)定期為客戶提供經(jīng)過(guò)測(cè)試病毒庫(kù)更新或補(bǔ)丁的V、C光盤。工業(yè)級(jí)防火墻功能（TOFINO）：1、防火墻LSM：指揮和控制工業(yè)網(wǎng)絡(luò)的通信；2Mobus 和 OPC協(xié)議增強(qiáng)型LSM:Mobus和OPC的協(xié)議內(nèi)容

11、檢查和連接管理；3、VPN LSM:采用VPN（虛擬專用網(wǎng)絡(luò)）保證了遠(yuǎn)程通信的信息安全；4、安全資產(chǎn)管理LSM：跟蹤和識(shí)別網(wǎng)絡(luò)設(shè)備；5、事件記錄器LSM：可靠地記錄一切安全事件日志和警報(bào)。針關(guān)于信息層（Information zone）與操作站層（Station zone）之間， OPC 接口。針關(guān)于操作站層面（Station zone）各個(gè)節(jié)點(diǎn)之間的相互影響，我們將OPCServer，工程師站以及高級(jí)應(yīng)用先控站這三個(gè)節(jié)點(diǎn)分為一組，經(jīng)過(guò)Tofino模塊進(jìn)行隔離。針關(guān)于控制器防護(hù)層（Controller zone），將自身保護(hù)能力較弱的控制離，該層面通訊通常采用制造商專有協(xié)議，且是冗余結(jié)構(gòu)。丁管理效果始終無(wú)法令人滿意，考慮到CS補(bǔ)丁升級(jí)所存在的運(yùn)行平臺(tái)與軟件版本限制，以及系統(tǒng)可用性與連續(xù)性的硬性要求，CS系統(tǒng)管理員絕不會(huì)輕易安裝非CS設(shè)備制造商指定的升級(jí)補(bǔ)丁。與此同時(shí)，工業(yè)系統(tǒng)補(bǔ)丁動(dòng)輒半年的補(bǔ)丁發(fā)動(dòng)化與控制設(shè)備提供商西門子就曾因漏洞公布不即時(shí)而飽受質(zhì)疑。相關(guān)信息發(fā)布，來(lái)防范工業(yè)控制系統(tǒng)的漏洞。網(wǎng)絡(luò)的風(fēng)險(xiǎn)性通用以太網(wǎng)技術(shù)的引入讓CSCSCS應(yīng)關(guān)