工業控制系統(ICS)包括了監控和數據采集(SCADA)系統,分布式控制系統(DCS),可編程控制器(PLC)等。這些控制系統往往又被稱為“系統中的系統”。這些控制系統廣泛應用于核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造等國家關鍵基礎設施的運行。因此通過分析工業控制系統與傳統IT的主要區別,以便從管理上,技術上量身定做信息安全保障程序,達到保證控制系統的信息安全。
目前用的大部分工業控制系統(簡稱ICS)都是很多年前開發的系統,年代遠遠早于現今普遍商用的基于因特網的傳統計算機系統(簡稱IT系統)。這些ICS的設計主要用于滿足系統性能,可靠性,安全性以及靈活性等方面的要求。很多情況下,這些系統與外部網絡是分離的,而且基于專用的硬件、軟件和通信協議;同時具有基本的錯誤檢測和糾錯的能力。不足的是缺少當今環境下互聯系統所需要的通信方面的信息安全保證能力。當初設計系統時,為了更好的統計系統的性能和失效性,主要考慮的是系統的可靠性,可維護性和可用性(RMA),這些系統的確沒有考慮信息安全措施。那時的ICS信息安全主要是對網絡和控制平臺在物理方面的限制,諸如設備有單獨的房間。
上世紀80~90年代,ICS系統與微處理器、個人電腦及網絡技術并行發展,基于因特網的技術在ICS系統設計中的應用開始于90年代末期。ICS系統的這一改變給自身帶來了新的威脅,并且提高了ICS可能會受到損害的可能性。本文主要介紹工業控制領域中常用的幾類控制系統,以及工業控制系統與傳統IT系統的主要區別。
1 常用的ICS系統介紹
工業控制系統(ICS)是各式各樣控制系統類型的總稱,包括了監控和數據采集(SCADA)系統,分布式控制系統(DCS),過程控制系統(PCS)和其他控制系統(如可編程邏輯控制器等)。這些控制系統廣泛運用于工業、能源、交通、水利以及市政等,重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。
1.1 SCADA系統
SCADA系統用于控制分散的資產以便進行與控制同樣重要的集中數據采集。SCADA系統主要用于分布式系統,如水處理、石油天燃氣管道、電力傳輸和分配系統、鐵路和其他公共運輸系統。
SCADA系統集成了數據采集系統,數據傳輸系統和HMI軟件,以提供集中的監視和控制,以便進行過程的輸入和輸出。SCADA系統的設計用來收集現場信息,將這些信息傳輸到中央計算機系統,并且用圖像或文本的形式顯示這些信息。因此操作員可以從集中的位置實時地監視和控制整個系統,根據每個系統的復雜性和相關設置,控制任何一個單獨的系統,自動執行相關操作或任務,這也可以由操作員命令來自動執行。
SCADA系統由硬件和軟件組成。典型的硬件包括控制中心的主終端裝置(MTU),通信設備(如無線電、電話線、電纜或衛星),還包括一個或多個分布在現場的控制器如遠程終端單元(RTU)或可編程控制器(PLC),以控制執行器和/或監視傳感器。MTU存儲和處理來自RTU的輸入和輸出,與此同時RTU或PLC控制現場過程。負責通信的硬件允許數據和信息在MTU和RTU或PLC間傳輸。軟件負責通知系統監視內容,監視時間,哪些參數范圍是可以接受的,并且當參數超出可接受值的范圍時如何啟動響應。智能電子設備(IED),例如保護繼電器,可以直接和SCADA服務器通信,或者本地RTU可以詢問IED收集數據,并且把數據傳輸到SCADA服務器。IED提供直接接口到控制/監視設備和傳感器。IED也可以直接由SCADA服務器直接詢問和控制,并且在大部分情況下可以本地編程以允許IED執行操作而不用SCADA控制中心直接發指令。SCADA系統通常在系統體系結構中有故障容忍系統以進行冗余。
圖1顯示了SCADA系統的主要部件和常規配置?刂浦行陌⊿CADA服務器(MTU)和通信路由器,還包括HMI,工程師站和數據記錄服務器,這些設備通過LAN連接進行通信?刂浦行氖占陀涗泚碜袁F場的信息,并且通過HMI顯示這些信息,基于檢測到的事件發起相關動作。控制中心也負責集中報警,趨勢分析和報告,F場控制本地執行器和監視傳感器,F場位置中一般會配置遠程訪問能力以允許現場操作人員通過調制解調器或WAN連接以執行遠程診斷和維修。標準的或專用的通信協議使用串口通信方式在控制中心和現場間傳輸信息,一般使用的媒介為電話線、電纜和光纖以及廣播、微波或衛星無線發射裝置。
MTU-RTU通信結構隨著實現的不同而不同。常用的結構為點對點、串連、星形串連,以及多點等形式。點對點是最簡單的形式,但這種形式也是最昂貴的,因為每個連接都需要單獨的信道。在串連網絡配置中,所用信道的數量會減少;但是信道的共享卻會影響SCADA操作的有效性并增加其復雜性。類似的,星形串連和多點配置在降低成本的同時,也會降低系統的有效性同時增加系統的復雜性。
SCADA系統是以計算機為基礎的生產過程控制與調度自動化的系統。它可以對現場的運行設備進行監視和控制,以實現數據采集、設備控制、測量、參數調節以及各類信號報警等各項功能。由于各個應用領域對SCADA的要求不同,所以不同應用領域的SCADA系統發展也不完全相同。
1.2 DCS系統
分布式控制系統(DCS)用于在同一地理位置環境下,控制生產過程的系統,常用于煉油、污水處理廠、發電廠、化工廠和制藥廠等工控領域。這些系統通常用于過程控制或離散控制系統。DCS系統采用集中監控的方式協調本地控制器以執行整個生產過程。通過模塊化生產系統,DCS減少了單個故障對整個系統的影響。
圖1 SCADA系統的主要部件和常規配置示意圖
在許多現代化系統中,DCS系統與企業系統之間設置接口以便能夠將生產過程體現在業務整體運作中。
分布式控制系統是在計算機監視控制系統、直接數字控制系統和計算機多級控制系統的基礎上發展起來的,是生產過程的一種比較完善的控制與管理系統。在分布式控制系統中,按區域把微處理機安裝在測量裝置與控制執行機構附近,將控制功能盡可能分散,管理功能相對集中。這種分散化的控制方式能改善控制的可靠性,不會由于計算機的故障而使整個系統失去控制。當管理級發生故障時,過程控制級(控制回路)仍具有獨立控制能力,個別控制回路發生故障時也不致影響全局。與計算機多級控制系統相比,分布式控制系統在結構上更加靈活、布局更為合理和成本更低。
圖 2 顯示DCS系統的主要部件和常規配置。這一系統中包括了從低層的現場生產過程一直到高層的企業或公司級別。在圖中,監視控制器(控制服務器)通過控制網絡與它的子網絡進行通信。監督者發送點設置和請求數據到分布式現場控制器。分布式控制器基于控制服務器命令控制他們的過程執行器,并且從過程傳感器反饋信息。
圖示DCS系統的現場控制設備包括PLC,過程控制器,單循環回路控制器和機器控制器。單循環回路控制器通過點對點布線連接到傳感器和執行器,其他三個現場設備通過現場總線協議連接到過程傳感器和執行器。
現場總線網絡將控制器和單個的現場傳感器和執行器連接起來。此外,現場總線網絡不僅有控制功能,還包括現場設備的診斷,并且能夠在總線內完成控制算法。標準的工業通信協議,如MODBUS或FIELDBUS等幾十類總線協議常用于控制網絡和現場網絡。
1.3 PLC系統
在工業自動化和控制系統的網絡體系結構中,PLC作為重要的控制部件,通常應用在SCADA和DCS系統中,通過回路控制提供本地的過程管理。在SCADA系統中,PLC的功能與RTU一樣。當用于DCS系統時,PLC被用作具有監視控制計劃的本地控制器。同時,PLC也常被用作重要部件配置規模較小的控制系統。PLC具有用戶可編程存儲器用于保存實現特定功能的指令,如I/O控制、邏輯、定時、計數、PID控制、通信、算術、數據和文件處理等。圖3表示了PLC如何在現場總線網絡中執行生產過程控制。通過位于工程師站的可編程接口訪問PLC,數據存儲在數據歷史服務器,所有設備通過LAN連接。
圖2 DCS系統的主要部件和常規配置示意圖
2 ICS系統和IT系統比較
最初的ICS系統與IT系統沒有任何相似之處,因為ICS系統是一個獨立的系統,安裝的是專用的控制協議,使用的是特定的軟件和硬件。應用更廣的,成本更低的因特網協議(IP)設備正在逐漸取代這種專用的解決方案,這也就增加了信息安全漏洞和信息事故的可能性。隨著ICS系統采用IT解決方案以推動企業的互聯和遠程訪問能力,同時系統在設計和實施時采用工業的標準計算機,操作系統(OS)和網絡協議,ICS系統開始和IT系統越來越相似了。雖然這一集成使得ICS系統能夠支持新的IT能力,但現在的ICS系統與以前的ICS系統相比,卻使得從以前孤島的狀態變成了與外部世界的聯系多了起來。與此同時,應用中的信息安全解決方案都是用于解決典型的IT系統,因此再把這些信息安全解決方案引入到ICS環境中,由于ICS系統的特點,一定要非常謹慎,在有些情況下,ICS系統要使用新的量身定做的信息安全解決方案。
ICS系統與傳統的IT系統在性能方面有許多的不同,這也包括不同的風險和對系統的關注重點。其中有些嚴重的風險一旦發生信息安全事件會威脅到人民的身體健康和安全,破壞生態環境,更會造成企業生產等方面的經濟損失,甚至會對國家經濟、形象造成負面影響。ICS系統不同的性能和可靠性要求,特有的操作系統和應用軟件,這些對傳統的IT技術支持工程師來說都是全新的內容。
另外,ICS系統所追求的功能安全和系統有效性,會與控制系統設計和使用時應用的信息安全技術沖突(如ICS系統在緊急情況時不能受密碼授權和認證的阻礙或影響)。以下是ICS系統信息安全方面的特殊性:
(1)性能要求。ICS系統通常是實時通信。在系統實現時,延遲和抖動都限定在可接受的水平,其中有些系統還要求確定性響應,因此對ICS系統來說,為了保證其實時性,系統不能使用高流量的通信方式。與此相反,傳統IT系統通常要求高流量的通信方式,并且這些系統可以忍受很大程度上的延遲和抖動。
(2)可用性要求。很多ICS生產過程自身是連續工作方式,要求一年365天不間斷工作,因此系統自動化生產過程非預期的斷電是不可接受的。一般情況下,系統如果要斷電一定要提前進行計劃并且制定嚴格時間表,同時部署前要進行詳盡的測試來確保ICS的可用性。除了非常規斷電,許多的控制系統如果進行停機開機操作,肯定會影響到生產,有些時候,正在生產的產品或正在使用的設備比信息更加重要。因此,使用傳統的IT技術,比如重新啟動所用系統,通常是不能接受的解決方案,因為這會對ICS系統的高可用性,高可靠性和可維護性產生不利的影響。通常ICS系統都會有冗余,通過多重備份來增加系統的可靠性,并且備份的系統也在并行運行,目的是防止主系統出現故障時還能夠進行持續生產。
圖3 PLC系統的主要部件和常規配置示意圖
(3)風險管理要求。傳統的IT系統,最關注的是數據的保密性和完整性。而對于ICS系統,最關注的是人員安全和故障容忍以防止生命受到威脅,或者危害公眾的健康和信心,違反法律法規,知識產權損失,或生產遭到破壞、設備損壞等。這就要求ICS系統操作人員,信息安全保證人員及系統維護人員一定要明白功能安全和信息安全之間的重要關系。
(4)體系結構的信息安全焦點。傳統的IT系統,無論是集中式還是分布式操作系統,主要的關注點在于信息安全目的是保護IT資產的操作以及在這些資產中存儲或傳輸的信息。在一些結構中,存儲或處理的信息因為比較關鍵因此需要更加關注和保護。對于ICS系統,直接負責終端生產過程的一些客戶端(如,PLC系統,操作員站,DCS控制器等)需要加以特別保護。另外,ICS系統中的中央服務器的保護也非常重要,因為中央服務器也會對這些客戶端產生不利的影響。
(5)物理上的相互作用。傳統的IT系統對于環境沒有特別的影響。而ICS系統在物理上會產生非常復雜的相互作用。比如由于威脅利用系統的漏洞造成的信息安全事件,其后果可能會對環境產生惡劣影響。因此,集成到ICS系統的所有信息安全功能都必須通過嚴格測試(如可比對的ICS系統的離線測試)以保證這些技術不會影響正常的ICS功能。
(6)時間關鍵響應。傳統的IT系統,實現訪問控制時可不必過于關注數據流。對一些ICS系統,自動響應時間或人機交互的系統響應是非常關鍵的。如,HMI設備需要密碼授權和認證,但一定不能阻礙或干擾ICS系統的緊急行動。信息流不能被中斷或影響。對這些系統的訪問應當嚴格限制為對其采用物理信息安全控制來實現。
(7)系統操作。傳統的IT信息安全規程不完全適用于ICS操作系統(OS)和應用。仍在使用中的舊系統在資源不可用和定時中斷方面尤為脆弱。控制網絡通常更復雜,因而需要不同程度的專業知識(如ICS控制網絡通常由控制工程師操作和維護而不是IT工程師)。軟、硬件在操作控制系統網絡中升級也較困難,F今運行的系統許多還沒有實現加密能力,錯誤日志記錄和密碼保護能力等和實現信息安全相關的性能。
(8)資源限制。ICS和實時操作系統通常是資源受限系統,因而不包括典型的IT信息安全能力。ICS組件上可能沒有可用的資源以便加裝這些當前具有信息安全能力的系統。此外,在某些情況下,根據供應商許可和服務協議,不允許使用第三方信息安全解決方案,并且在沒有供應商許可或同意的情況下,如果安裝了第三方信息安全解決方案,可能會出現服務支持方面造成的事件。
(9)通信。ICS系統環境下,現場層使用的通信協議和媒介與傳統的常規IT環境下使用的協議和媒介非常不同,可以說是專用的協議。目前工控系統使用的現場總線協議包括Modbus,Profibus,CC-Link,Control-Net,FF等。
(10)變更管理。對于集成IT和ICS系統的維護最重要的是變更管理。未進行補丁管理的軟件對系統來說是最大的漏洞。IT系統的軟件更新,包括信息安全的補丁都是基于正確的信息安全策略和規程及時進行。此外,更新和補丁管理這類的程序可以使用基于服務器的工具自動進行。ICS系統的軟件更新通常不能及時實現,因為這些更新需要進行完全徹底的測試,這些測試由提供工業控制應用的供應商進行,或者由這些應用未實施前的最終用戶進行測試,與此同時,ICS斷電通常必須要提前數天/數周進行計劃和確定時間表。ICS系統也要求把再確認作為更新過程的一部分內容。另外一個問題是還有許多ICS使用老版本的操作系統,但是目前的供應商已經不再支持。結果就是可用的補丁不適用老版本。變更管理同樣適用于ICS系統的硬件和固件。變更管理過程,應用于ICS系統時,需要ICS專家(如控制工程師等)聯合信息安全專家以及IT技術專家仔細進行評估。
(11)技術支持。傳統的IT系統支持風格多元化,可能支持不同的但是互聯的技術體系結構。對于ICS系統,技術服務多由單獨的供應商提供,因此肯定不支持其他供應商提供的與此不同的技術解決方案。
(12)部件生命周期。傳統的IT部件的生命周期大概在3~5年,主要是由于技術發展以及更新太快的原因。對于ICS系統,由于技術開發在很多情況下主要是用于特定的應用和實現,因此這類系統的生命周期大概在15年~20年,甚至更長時間。
(13)訪問部件。傳統IT部件通常能夠本地進行訪問且訪問較簡單,而ICS部件通常是分離、遠程的,因而需要使用一些特定的物理媒介,比如衛星等進行訪問。對IT系統和ICS系統不同總結見表1。
表1 IT系統與ICS系統的主要區別
3 總結
工業控制系統中常用的系統結構(SCADA,DCS,PLC等)大都應用于國家基礎設施的關鍵領域或關鍵體系結構中,隨著信息化與工業化進程的不斷交叉融合,為了保障工業自動化和控制系統的信息安全,越來越多的傳統信息技術應用到了工業領域,同時工業控制系統產品也趨向于采用通用協議,通用硬件和通用軟件,這也就使得各種惡意破壞能夠更容易地威脅著工業控制系統。在充分認識并區分工業控制系統與傳統IT系統不同的基礎上,我們更要采取管理措施,技術措施,做好工業控制系統的信息安全的防范和監督,增強風險意識,切實加強工業控制系統的信息安全管理。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.lukmueng.com/