概述
在工廠中把 EtherNet/IP用于控制和信息的解決方案,引領(lǐng)了企業(yè)內(nèi)部廣泛使用標(biāo)準(zhǔn)以太網(wǎng)的熱潮。隨著這個過程的推進(jìn),企業(yè)逐步認(rèn)識到融合制造網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的重要性,制造業(yè)已經(jīng)通過提高生產(chǎn)的關(guān)鍵性能指標(biāo)(KPI)而從中獲益。在正確的水平和正確的時間上接受KPI,可以幫助制造商做出明智的商業(yè)決策。融合還喚起了改進(jìn)工業(yè)網(wǎng)絡(luò)安全策略的動議,這不再只是維持制造區(qū)域間的隔離問題了。制造業(yè)的計算和控制資產(chǎn)已經(jīng)成為與企業(yè)其他部門相同的、易受攻擊的要害部分。一個安全策略需要保護(hù)制造資產(chǎn),而且要很好地平衡諸如:24x7小時連續(xù)運行、短的平均維護(hù)時間(MTTR)和整體設(shè)備效能(OEE)等因素。
保護(hù)制造資產(chǎn)需要一個全面的安全模型,基于一系列明確的安全策略。為了應(yīng)對這些風(fēng)險,策略應(yīng)該確定有哪些安全風(fēng)險和采用什么樣的化解技術(shù)。就這些問題,本文將給出通行的整體策略和實施大綱,幫助用戶保護(hù)制造資產(chǎn)。
1 整體安全
保護(hù)制造資產(chǎn)需要一個“按深度保護(hù)”的保護(hù)方法,按照圖1中的描述,防止來自內(nèi)部和外部的安全威脅。這個方法使用多層次的防衛(wèi)(物理的和電子的),在不同的層次應(yīng)用不同的策略和程序應(yīng)對不同類型的威脅。比如,多層的網(wǎng)絡(luò)安全保護(hù)網(wǎng)絡(luò)上的資產(chǎn)、數(shù)據(jù)和終端的安全,多層的物理安全保護(hù)高價值資產(chǎn)的安全。到目前為止,還沒有一種單一的技術(shù)或方法能夠保護(hù)整個工業(yè)控制系統(tǒng)的安全。
在“按深度保護(hù)”的方法中,需要有種工作流程來建立和維護(hù)安全能力。這種安全操作流程應(yīng)該包括:
1) 確定優(yōu)先等級(比如按可用性、完整性、保密性);
2) 設(shè)定要求(比如:遠(yuǎn)程訪問不能影響控制通信流量);
3) 確定投資;
4) 確定潛在內(nèi)部和外部的威脅和風(fēng)險;
5) 確定所需功能;
6) 設(shè)計體系結(jié)構(gòu);
7) 編制和執(zhí)行策略。
設(shè)計和實現(xiàn)一個完整的制造安全模型,有助于用戶從概念理論向制造實踐的順利過渡。用戶不必教條地去實施制造過程的安全。
為了實現(xiàn)本文的目標(biāo),用于保護(hù)制造資產(chǎn)的“按深度保護(hù)”層包括:
·物理安全:這個層限制區(qū)域、控制屏、設(shè)備、電纜、控制室和其他位置的授權(quán)人的訪問,以及跟蹤訪問者。
·網(wǎng)絡(luò)安全:這個層包括網(wǎng)絡(luò)構(gòu)架,諸如用于侵入檢測和侵入禁止系統(tǒng)(IDS/IPS)的防火墻和諸如具有集成保護(hù)的網(wǎng)絡(luò)設(shè)備:如交換機(jī)和路由器等。
·計算機(jī)加固:這個層包括補(bǔ)丁程序管理和防病毒軟件,以及能夠刪除不使用的程序、協(xié)議和服務(wù)等。
·應(yīng)用安全:這個層包含鑒定、授權(quán)和審核軟件。
·設(shè)備加固:這個層處理變更管理和限制訪問。
圖1 “按深度保護(hù)”的多層結(jié)構(gòu)
2 用于制造業(yè)網(wǎng)絡(luò)安全的框架
羅克韋爾自動化公司和思科公司協(xié)同開發(fā)的制造企業(yè)參考架構(gòu)支持和加速了制造與企業(yè)網(wǎng)絡(luò)的融合。為了幫助用戶建立堅固和安全的網(wǎng)絡(luò)架構(gòu),制造企業(yè)參考架構(gòu)提供了設(shè)計指南、推薦方案和最佳實踐。
制造企業(yè)會按照現(xiàn)有的公共技術(shù)與標(biāo)準(zhǔn)來建立IT與制造間的參考構(gòu)架。這其中包括了技術(shù)標(biāo)準(zhǔn)如:IEEE 802.3,未經(jīng)修改的以太網(wǎng),因特網(wǎng)任務(wù)工作組 (IETF)的因特網(wǎng)協(xié)議(IP)和ODVA公共工業(yè)協(xié)議(CIPTM)。進(jìn)一步信息可訪問ODVA網(wǎng)站:www.odva.org
另外,制造企業(yè)參考架構(gòu)按制造業(yè)的標(biāo)準(zhǔn)建立一個制造網(wǎng)絡(luò)安全框架,如圖2所示。這個框架建立了進(jìn)行流量管理和執(zhí)行網(wǎng)絡(luò)分段的基礎(chǔ),諸如:安全實施、遠(yuǎn)程訪問和服務(wù)質(zhì)量(QoS)。這個框架遵從工業(yè)標(biāo)準(zhǔn)和應(yīng)用指南,諸如ISA-95 企業(yè)-控制系統(tǒng)集成、ISA-99制造業(yè)和控制系統(tǒng)的安全和用于控制層次的珀杜(Purdue)參考模型。
ISA-95和用于控制層次的珀杜模型把制造工廠中的工業(yè)控制設(shè)備按流程分割成不同的層次。使用“層”作為公共術(shù)語來劃分和決定工廠中的信息流。為了加強(qiáng)安全和流量管理,ISA-99把分割的層稱為“區(qū)”。 區(qū)建立了可信賴的域,形成更小的局域網(wǎng),易于安全訪問和流量管理。這個框架利用了校園網(wǎng)絡(luò)的參考模型。與企業(yè)網(wǎng)絡(luò)共通,這種多層模型自然地把流量劃分到3個主要層:核心層、分布層和遠(yuǎn)程層。這三個層次的設(shè)計為網(wǎng)絡(luò)安全提供了一個清晰的分割方法,并且建立了一種高可用性和寬伸縮性的網(wǎng)絡(luò)基礎(chǔ)。
圖2 制造網(wǎng)絡(luò)安全框架
制造框架把不同的層合并成下面的區(qū)實現(xiàn)不同的功能:
·企業(yè)區(qū):層4和5包括傳統(tǒng)的企業(yè)IT網(wǎng)絡(luò)、商業(yè)應(yīng)用,諸如電子郵件和企業(yè)資源計劃(ERP)和廣域網(wǎng)(WAN)。
·隔離區(qū)(DMZ):這個隔離區(qū)為制造區(qū)和企業(yè)區(qū)之間提供了一個屏障,但允許數(shù)據(jù)和服務(wù)安全地共享。所有來自DMZ兩邊網(wǎng)絡(luò)流量中止在DMZ區(qū)內(nèi)。沒有通信流穿過DMZ。也就是,沒有流量直接在企業(yè)區(qū)和制造區(qū)之間傳送。
·制造區(qū):層3 為制造運行和控制場所,從事工廠范圍內(nèi)的應(yīng)用,諸如:歷史數(shù)據(jù)、資產(chǎn)管理和制造執(zhí)行系統(tǒng)(MES),由多個工位/工區(qū)組成。
·工位/工區(qū):層0,1和2包括工業(yè)控制設(shè)備,諸如:控制器、驅(qū)動器、I/O和HMI,以及多種專門控制應(yīng)用,諸如:伺服馬達(dá)控制、批處理、連續(xù)流程和離散量輸入/輸出。
推薦的制造網(wǎng)絡(luò)安全框架采用了“按深度保護(hù)”方法,包括了:
·制造安全策略:這個策略路線圖確定了攻擊化解方案。一個包括操作員、工程師、IT人員和安全人員組成的多學(xué)科團(tuán)隊,一起制定這個制造安全策略。
·安全隔離區(qū)(DMZ):這個隔離區(qū)在制造區(qū)和企業(yè)區(qū)之間建立了一個屏障,而允許用戶安全地共享數(shù)據(jù)和服務(wù)。所有來自DMZ兩邊的通信都中止于DMZ區(qū)內(nèi)。沒有流量直接穿過DMZ,也就是意味著流量不能直接在企業(yè)區(qū)和制造區(qū)之間流動。
·制造邊緣的防護(hù):用戶應(yīng)該采用有狀態(tài)包檢測(SPI)的防火墻(屏障),并在工業(yè)網(wǎng)絡(luò)的周圍和內(nèi)部具有侵入發(fā)現(xiàn)/禁止系統(tǒng)(IDS/IPS)。
·保護(hù)內(nèi)部:用戶應(yīng)該在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備諸如交換機(jī)和路由器中,實施訪問控制列表(ACL)和端口安全。
·端點加固:限制訪問,防止“過來,插入”訪問,并使用變化管理跟蹤訪問和變化。
·信任域:用戶應(yīng)該基于功能或訪問需求,把網(wǎng)絡(luò)劃分成若干個小網(wǎng)絡(luò)。
·物理安全:限制對制造資產(chǎn)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備的物理訪問。
·安全、管理、分析和響應(yīng)系統(tǒng):監(jiān)視、識別、隔離和記錄對網(wǎng)絡(luò)安全的威脅。
·遠(yuǎn)程訪問策略:對于雇員和伙伴和遠(yuǎn)程訪問,實施相關(guān)的策略、程序和基礎(chǔ)結(jié)構(gòu)。
3 制造安全策略
一個安全戰(zhàn)略是否能夠成功的關(guān)鍵就是要理解需要解決的潛在問題,諸如:要保護(hù)什么、怎么樣進(jìn)行保護(hù)。針對制造建立一個安全策略,需要提供一個應(yīng)用安全技術(shù)的路線圖,應(yīng)用最佳實踐來保護(hù)制造的資產(chǎn),同時避免不必要的開支和過渡的訪問限制。安全服務(wù)不應(yīng)該約束制造的運行。
正像ISA-99中定義的,一個安全策略應(yīng)該是“使一個組織遵循一個一致的程序,維持一個可接受的安全水平”。安全策略由物理層和電子層組成,定義和限制在制造系統(tǒng)中,人員和設(shè)備的行為。一支包括IT人員、操作員和工程師組成的團(tuán)隊,一起討論來定義制造安全的要求。安全策略制定應(yīng)從評估潛在危險開始?梢杂蓛(nèi)部或者外部團(tuán)隊指導(dǎo),危險評估過程確定潛在的薄弱點和決定采用的相關(guān)程序和技術(shù)來化解危機(jī)。比如,限制程序可以使只有授權(quán)人員,才可以訪問物理制造系統(tǒng)。相關(guān)的技術(shù)可以包括授權(quán)和鑒別用戶信用的變化管理軟件。
因為安全策略傳統(tǒng)上由IT人員實施,IT已經(jīng)制定了最佳實踐來幫助指定和消除安全隱患。只要用戶能夠說明制造應(yīng)用和企業(yè)應(yīng)用的不同,IT人員就可以對制造商使用很多的策略和最佳實踐。
建立一個堅固和安全的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)需要保證控制和信息數(shù)據(jù)的完整性、可用性和保密性。用戶在開發(fā)一個網(wǎng)絡(luò)時,要重視下面的要點:
·這個網(wǎng)絡(luò)是否有足夠的彈性來保證數(shù)據(jù)的可用性?
·數(shù)據(jù)是否具有一致性?數(shù)據(jù)是否可靠?
·怎樣使用數(shù)據(jù)?數(shù)據(jù)的操作是否安全?
IT人員的職責(zé)包括保護(hù)公司的資產(chǎn)和知識產(chǎn)權(quán)(IP)。IT人員為了實現(xiàn)這個目標(biāo),要執(zhí)行企業(yè)安全策略,來確保數(shù)據(jù)的保密性、完整性和可用性(CIA)– 通常也按照這個優(yōu)先次序進(jìn)行。雖然存在類似性,制造安全策略必須把連續(xù)的制造運行(可用性)做為頭等重要的事情。
企業(yè)和制造在如何進(jìn)行升級換代方面的安全策略是不同的。用戶對企業(yè)應(yīng)用升級的要求是越快越好,就像操作系統(tǒng)和應(yīng)用軟件的補(bǔ)丁、以及反病毒軟件一樣,要在指定的時間內(nèi)更新。然而,對一個制造服務(wù)器進(jìn)行升級,可能會中斷制造的運行,結(jié)果會使生產(chǎn)受到影響。制造安全策略應(yīng)該定義在制造間歇進(jìn)行升級的操作。
4 計算機(jī)的加固
應(yīng)用于企業(yè)IT計算機(jī)的最佳實踐也同樣可以用于制造計算機(jī)。下面推薦一些最通用和最常見的最佳實踐:
·保持計算機(jī)服務(wù)包和補(bǔ)丁的不斷更新,但不要用自動更新。另外,用戶在執(zhí)行它們之前應(yīng)該測試這些程序,并在制造間歇定期對軟件和網(wǎng)絡(luò)進(jìn)行維護(hù)。
·部署和維護(hù)反病毒軟件,但禁止自動更新和自動掃描。其他的建議包括:執(zhí)行它們前進(jìn)行測試,并且在制造間歇用手動初始化掃描,因為反病毒掃描會中斷制造的實時運行。
·部署和維護(hù)反間諜軟件,但禁止自動更新和自動掃描。用戶應(yīng)該在安裝運行之前,預(yù)先測試更新程序,并在制造間歇,用手動初始化掃描,因為反間諜軟件的掃描也會中斷制造的實時運行。自動反病毒和反間諜軟件掃描會引起數(shù)據(jù)的丟失和某些制造設(shè)備的宕機(jī)。
·禁止直接的因特網(wǎng)訪問。安全隔離區(qū)(DMZ)建立了制造區(qū)域與企業(yè)區(qū)域之間的屏障,但要允許用戶安全地共享數(shù)據(jù)和服務(wù)。所有來自DMZ兩邊的通信流都要中止于DMZ之中。沒有數(shù)據(jù)流穿過DMZ,這意味著通信流不能直接在企業(yè)區(qū)和制造區(qū)之間穿行。
·在制造區(qū)執(zhí)行一個分開的活動目錄域。這樣,如果到企業(yè)區(qū)的連接被中斷的話,可以幫助用戶確保制造資產(chǎn)的有效性。
·執(zhí)行下面口令設(shè)置策略:
- 執(zhí)行口令歷史;
- 最大口令年齡;
- 最小口令長度;
- 復(fù)雜口令要求。
·在客戶機(jī)和服務(wù)器上禁止客戶帳號。
·要求內(nèi)置的管理員帳號被重新命名,刪除缺省的帳號,使用一個復(fù)雜的口令。
·建立、然后實施一個備份和災(zāi)難恢復(fù)策略和程序。用戶應(yīng)該定時進(jìn)行備份操作。
·實施對一個網(wǎng)絡(luò)、控制器和計算機(jī)(比如客戶機(jī)、服務(wù)器和應(yīng)用)資產(chǎn)存檔的變化管理系統(tǒng)。
·使用Control+Alt+Delete組合鍵,連同一個唯一的用戶名和口令登錄。
·防止不必要或很少用的USB端口、并聯(lián)接口和串聯(lián)接口把非授權(quán)的硬件加入(如:調(diào)制解調(diào)器、打印機(jī)、USB設(shè)備等)。
·制定和執(zhí)行一個在企業(yè)區(qū)域內(nèi)客戶訪問的策略。
·制定和執(zhí)行一個在制造區(qū)域內(nèi)合作伙伴訪問的策略。
·卸載不使用的Windows組件、協(xié)議和服務(wù),減少可能對制造系統(tǒng)不必要的操作。
5 控制器的加固
用戶使用物理程序、電子設(shè)計、軟件鑒定和授權(quán)、以及帶有災(zāi)難恢復(fù)的變化管理軟件來保護(hù)羅克韋爾自動化的Logix可編程自動化控制器(PAC)。推薦的最佳實踐有:
·物理程序:用授權(quán)的辦法限制訪問控制面板的人員。用戶可以通過執(zhí)行訪問程序或者鎖定面板的方法達(dá)到這個目的。把PAC鑰匙撥到“運行(RUN)”位置可以防止遠(yuǎn)程編程,包括遠(yuǎn)程固件閃存可能對PAC的影響。為了允許程序和配置的更改,需要對PAC上物理鑰匙的位置進(jìn)行改變。非授權(quán)的的訪問(有意或者無意)不能改變PAC,直到鑰匙位置離開“運行”位置。
·電子設(shè)計:執(zhí)行PAC CPU鎖住特性,拒絕從前面端口訪問PAC,這樣可以保護(hù)配置不被改變。
·執(zhí)行FactoryTalk中的鑒定、授權(quán)和審計安全功能:鑒定檢驗用戶的身份和服務(wù)請求是否來自原用戶。鑒定檢驗用戶訪問的請求或者PAC拒絕一系列定義的訪問。
·帶災(zāi)難恢復(fù)的變化管理:FactoryTalk AssetCentre軟件有連續(xù)監(jiān)視PAC 資產(chǎn),自動版本控制,災(zāi)難恢復(fù)和備份、設(shè)備配置確認(rèn)和實時用戶行為審計等功能。
6 軟件補(bǔ)丁管理
研究指出很多制造資產(chǎn)的生產(chǎn)損耗,是由于不良的或疏忽的補(bǔ)丁管理造成的,甚至高過了沒有補(bǔ)丁所帶來的問題。用戶應(yīng)該建立一個嚴(yán)格而良好的補(bǔ)丁文件管理流程。
Microsoft的服務(wù)補(bǔ)丁包、安全更新、熱修補(bǔ)和補(bǔ)丁程序,做為彌補(bǔ)操作系統(tǒng)的漏洞是非常必要的。用戶應(yīng)該禁止來自微軟網(wǎng)站的自動更新,為了保護(hù)制造資產(chǎn),在按裝所有這些補(bǔ)丁之前,都要事先對它們進(jìn)行測試。
自動化軟件的供應(yīng)商,諸如羅克韋爾自動化,可以支持更新和補(bǔ)丁的測試。制造業(yè)和IT專業(yè)人員也應(yīng)該把它們應(yīng)用于制造資產(chǎn)前,用他們的操作系統(tǒng)模板,對更新和補(bǔ)丁進(jìn)行測試。測試之后,用戶應(yīng)該用變化管理系統(tǒng)記錄所有由補(bǔ)丁和升級帶來的相應(yīng)變化。關(guān)鍵的補(bǔ)丁和升級應(yīng)該在制造間歇對制造資產(chǎn)進(jìn)行操作。
羅克韋爾自動化,能夠檢測和驗證他的軟件產(chǎn)品與特定的操作系統(tǒng)服務(wù)包一起運行情況,具有定期的軟件發(fā)布時間。
羅克韋爾自動化僅支持已經(jīng)測試并運行于特定版本的服務(wù)包。用戶不應(yīng)該直接用來自微軟的服務(wù)包,然后運行羅克韋爾自動化的軟件用于制造資產(chǎn)。而應(yīng)該等羅克韋爾自動化驗證服務(wù)包能夠兼容和穩(wěn)定時再使用。
只要微軟的版本一升級,羅克韋爾自動化就對自己的產(chǎn)品進(jìn)行資格認(rèn)定。羅克韋爾自動化的知識庫會列出羅克韋爾每種軟件產(chǎn)品針對操作系統(tǒng)、服務(wù)包、補(bǔ)丁和安全更新的驗證信息。
羅克韋爾自動化會公布自己軟件產(chǎn)品的更新,通常在解決發(fā)布軟件問題到預(yù)期的產(chǎn)品發(fā)布之間的時間。一月一次,發(fā)布過的補(bǔ)丁會集合到單一的合集中。補(bǔ)丁可以單獨使用或者做為每月合集中的一部分。用戶可以從羅克韋爾自動化知識庫中搜索文章“Rockwell Automation Software Product Compatibility Matrix, ID 42682.” 查找補(bǔ)丁與合集。
7 總結(jié)
制造和企業(yè)網(wǎng)絡(luò)的融合增加了對制造數(shù)據(jù)的訪問,這使得制造商能做出更好的商業(yè)決定。這種商業(yè)模式為競爭空前激烈的制造業(yè),提供了更有力的支撐。
利用這個機(jī)會,有超前意識的企業(yè)能夠更好地參與競爭。網(wǎng)絡(luò)融合會暴露制造資產(chǎn)的安全威脅,這通常在企業(yè)網(wǎng)絡(luò)中才能遇到。用戶還要面對模糊的網(wǎng)絡(luò)劃分,企業(yè)資產(chǎn)和制造資產(chǎn)之間不同的文化差異。針對這些障礙,制造商應(yīng)該組織一個多工種包括操作員、工程師和IT人員的團(tuán)隊,聯(lián)合制定一個制造安全策略,基于:
·制造運行要求;
·企業(yè)安全策略的最佳實踐;
·危險評估;
·一個基于“按深度保護(hù)”方法的整體安全策略;
·工業(yè)標(biāo)準(zhǔn)諸如ISA-99;
·制造企業(yè)的標(biāo)準(zhǔn);
·制造網(wǎng)絡(luò)安全劃分框架;
·一個嚴(yán)格和很好歸檔的補(bǔ)丁管理程序;
·外部網(wǎng)絡(luò)和安全服務(wù)的利用。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:保護(hù)好制造業(yè)計算與控制的資產(chǎn)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112183085.html