工业控制系统(ICS)包括了监控和数据采集(SCADA)系统,分布式控制系统(DCS),可编程控制器(PLC)等。这些控制系统往往又被称为“系统中的系统”。这些控制系统广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造等国家关键基础设施的运行。因此通过分析工业控制系统与传统IT的主要区别,以便从管理上,技术上量身定做信息安全保障程序,达到保证控制系统的信息安全。
目前用的大部分工业控制系统(简称ICS)都是很多年前开发的系统,年代远远早于现今普遍商用的基于因特网的传统计算机系统(简称IT系统)。这些ICS的设计主要用于满足系统性能,可靠性,安全性以及灵活性等方面的要求。很多情况下,这些系统与外部网络是分离的,而且基于专用的硬件、软件和通信协议;同时具有基本的错误检测和纠错的能力。不足的是缺少当今环境下互联系统所需要的通信方面的信息安全保证能力。当初设计系统时,为了更好的统计系统的性能和失效性,主要考虑的是系统的可靠性,可维护性和可用性(RMA),这些系统的确没有考虑信息安全措施。那时的ICS信息安全主要是对网络和控制平台在物理方面的限制,诸如设备有单独的房间。
上世纪80~90年代,ICS系统与微处理器、个人电脑及网络技术并行发展,基于因特网的技术在ICS系统设计中的应用开始于90年代末期。ICS系统的这一改变给自身带来了新的威胁,并且提高了ICS可能会受到损害的可能性。本文主要介绍工业控制领域中常用的几类控制系统,以及工业控制系统与传统IT系统的主要区别。
1 常用的ICS系统介绍
工业控制系统(ICS)是各式各样控制系统类型的总称,包括了监控和数据采集(SCADA)系统,分布式控制系统(DCS),过程控制系统(PCS)和其他控制系统(如可编程逻辑控制器等)。这些控制系统广泛运用于工业、能源、交通、水利以及市政等,重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。
1.1 SCADA系统
SCADA系统用于控制分散的资产以便进行与控制同样重要的集中数据采集。SCADA系统主要用于分布式系统,如水处理、石油天燃气管道、电力传输和分配系统、铁路和其他公共运输系统。
SCADA系统集成了数据采集系统,数据传输系统和HMI软件,以提供集中的监视和控制,以便进行过程的输入和输出。SCADA系统的设计用来收集现场信息,将这些信息传输到中央计算机系统,并且用图像或文本的形式显示这些信息。因此操作员可以从集中的位置实时地监视和控制整个系统,根据每个系统的复杂性和相关设置,控制任何一个单独的系统,自动执行相关操作或任务,这也可以由操作员命令来自动执行。
SCADA系统由硬件和软件组成。典型的硬件包括控制中心的主终端装置(MTU),通信设备(如无线电、电话线、电缆或卫星),还包括一个或多个分布在现场的控制器如远程终端单元(RTU)或可编程控制器(PLC),以控制执行器和/或监视传感器。MTU存储和处理来自RTU的输入和输出,与此同时RTU或PLC控制现场过程。负责通信的硬件允许数据和信息在MTU和RTU或PLC间传输。软件负责通知系统监视内容,监视时间,哪些参数范围是可以接受的,并且当参数超出可接受值的范围时如何启动响应。智能电子设备(IED),例如保护继电器,可以直接和SCADA服务器通信,或者本地RTU可以询问IED收集数据,并且把数据传输到SCADA服务器。IED提供直接接口到控制/监视设备和传感器。IED也可以直接由SCADA服务器直接询问和控制,并且在大部分情况下可以本地编程以允许IED执行操作而不用SCADA控制中心直接发指令。SCADA系统通常在系统体系结构中有故障容忍系统以进行冗余。
图1显示了SCADA系统的主要部件和常规配置。控制中心包括SCADA服务器(MTU)和通信路由器,还包括HMI,工程师站和数据记录服务器,这些设备通过LAN连接进行通信。控制中心收集和记录来自现场的信息,并且通过HMI显示这些信息,基于检测到的事件发起相关动作。控制中心也负责集中报警,趋势分析和报告。现场控制本地执行器和监视传感器。现场位置中一般会配置远程访问能力以允许现场操作人员通过调制解调器或WAN连接以执行远程诊断和维修。标准的或专用的通信协议使用串口通信方式在控制中心和现场间传输信息,一般使用的媒介为电话线、电缆和光纤以及广播、微波或卫星无线发射装置。
MTU-RTU通信结构随着实现的不同而不同。常用的结构为点对点、串连、星形串连,以及多点等形式。点对点是最简单的形式,但这种形式也是最昂贵的,因为每个连接都需要单独的信道。在串连网络配置中,所用信道的数量会减少;但是信道的共享却会影响SCADA操作的有效性并增加其复杂性。类似的,星形串连和多点配置在降低成本的同时,也会降低系统的有效性同时增加系统的复杂性。
SCADA系统是以计算机为基础的生产过程控制与调度自动化的系统。它可以对现场的运行设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。由于各个应用领域对SCADA的要求不同,所以不同应用领域的SCADA系统发展也不完全相同。
1.2 DCS系统
分布式控制系统(DCS)用于在同一地理位置环境下,控制生产过程的系统,常用于炼油、污水处理厂、发电厂、化工厂和制药厂等工控领域。这些系统通常用于过程控制或离散控制系统。DCS系统采用集中监控的方式协调本地控制器以执行整个生产过程。通过模块化生产系统,DCS减少了单个故障对整个系统的影响。
图1 SCADA系统的主要部件和常规配置示意图
在许多现代化系统中,DCS系统与企业系统之间设置接口以便能够将生产过程体现在业务整体运作中。
分布式控制系统是在计算机监视控制系统、直接数字控制系统和计算机多级控制系统的基础上发展起来的,是生产过程的一种比较完善的控制与管理系统。在分布式控制系统中,按区域把微处理机安装在测量装置与控制执行机构附近,将控制功能尽可能分散,管理功能相对集中。这种分散化的控制方式能改善控制的可靠性,不会由于计算机的故障而使整个系统失去控制。当管理级发生故障时,过程控制级(控制回路)仍具有独立控制能力,个别控制回路发生故障时也不致影响全局。与计算机多级控制系统相比,分布式控制系统在结构上更加灵活、布局更为合理和成本更低。
图 2 显示DCS系统的主要部件和常规配置。这一系统中包括了从低层的现场生产过程一直到高层的企业或公司级别。在图中,监视控制器(控制服务器)通过控制网络与它的子网络进行通信。监督者发送点设置和请求数据到分布式现场控制器。分布式控制器基于控制服务器命令控制他们的过程执行器,并且从过程传感器反馈信息。
图示DCS系统的现场控制设备包括PLC,过程控制器,单循环回路控制器和机器控制器。单循环回路控制器通过点对点布线连接到传感器和执行器,其他三个现场设备通过现场总线协议连接到过程传感器和执行器。
现场总线网络将控制器和单个的现场传感器和执行器连接起来。此外,现场总线网络不仅有控制功能,还包括现场设备的诊断,并且能够在总线内完成控制算法。标准的工业通信协议,如MODBUS或FIELDBUS等几十类总线协议常用于控制网络和现场网络。
1.3 PLC系统
在工业自动化和控制系统的网络体系结构中,PLC作为重要的控制部件,通常应用在SCADA和DCS系统中,通过回路控制提供本地的过程管理。在SCADA系统中,PLC的功能与RTU一样。当用于DCS系统时,PLC被用作具有监视控制计划的本地控制器。同时,PLC也常被用作重要部件配置规模较小的控制系统。PLC具有用户可编程存储器用于保存实现特定功能的指令,如I/O控制、逻辑、定时、计数、PID控制、通信、算术、数据和文件处理等。图3表示了PLC如何在现场总线网络中执行生产过程控制。通过位于工程师站的可编程接口访问PLC,数据存储在数据历史服务器,所有设备通过LAN连接。
图2 DCS系统的主要部件和常规配置示意图
2 ICS系统和IT系统比较
最初的ICS系统与IT系统没有任何相似之处,因为ICS系统是一个独立的系统,安装的是专用的控制协议,使用的是特定的软件和硬件。应用更广的,成本更低的因特网协议(IP)设备正在逐渐取代这种专用的解决方案,这也就增加了信息安全漏洞和信息事故的可能性。随着ICS系统采用IT解决方案以推动企业的互联和远程访问能力,同时系统在设计和实施时采用工业的标准计算机,操作系统(OS)和网络协议,ICS系统开始和IT系统越来越相似了。虽然这一集成使得ICS系统能够支持新的IT能力,但现在的ICS系统与以前的ICS系统相比,却使得从以前孤岛的状态变成了与外部世界的联系多了起来。与此同时,应用中的信息安全解决方案都是用于解决典型的IT系统,因此再把这些信息安全解决方案引入到ICS环境中,由于ICS系统的特点,一定要非常谨慎,在有些情况下,ICS系统要使用新的量身定做的信息安全解决方案。
ICS系统与传统的IT系统在性能方面有许多的不同,这也包括不同的风险和对系统的关注重点。其中有些严重的风险一旦发生信息安全事件会威胁到人民的身体健康和安全,破坏生态环境,更会造成企业生产等方面的经济损失,甚至会对国家经济、形象造成负面影响。ICS系统不同的性能和可靠性要求,特有的操作系统和应用软件,这些对传统的IT技术支持工程师来说都是全新的内容。
另外,ICS系统所追求的功能安全和系统有效性,会与控制系统设计和使用时应用的信息安全技术冲突(如ICS系统在紧急情况时不能受密码授权和认证的阻碍或影响)。以下是ICS系统信息安全方面的特殊性:
(1)性能要求。ICS系统通常是实时通信。在系统实现时,延迟和抖动都限定在可接受的水平,其中有些系统还要求确定性响应,因此对ICS系统来说,为了保证其实时性,系统不能使用高流量的通信方式。与此相反,传统IT系统通常要求高流量的通信方式,并且这些系统可以忍受很大程度上的延迟和抖动。
(2)可用性要求。很多ICS生产过程自身是连续工作方式,要求一年365天不间断工作,因此系统自动化生产过程非预期的断电是不可接受的。一般情况下,系统如果要断电一定要提前进行计划并且制定严格时间表,同时部署前要进行详尽的测试来确保ICS的可用性。除了非常规断电,许多的控制系统如果进行停机开机操作,肯定会影响到生产,有些时候,正在生产的产品或正在使用的设备比信息更加重要。因此,使用传统的IT技术,比如重新启动所用系统,通常是不能接受的解决方案,因为这会对ICS系统的高可用性,高可靠性和可维护性产生不利的影响。通常ICS系统都会有冗余,通过多重备份来增加系统的可靠性,并且备份的系统也在并行运行,目的是防止主系统出现故障时还能够进行持续生产。
图3 PLC系统的主要部件和常规配置示意图
(3)风险管理要求。传统的IT系统,最关注的是数据的保密性和完整性。而对于ICS系统,最关注的是人员安全和故障容忍以防止生命受到威胁,或者危害公众的健康和信心,违反法律法规,知识产权损失,或生产遭到破坏、设备损坏等。这就要求ICS系统操作人员,信息安全保证人员及系统维护人员一定要明白功能安全和信息安全之间的重要关系。
(4)体系结构的信息安全焦点。传统的IT系统,无论是集中式还是分布式操作系统,主要的关注点在于信息安全目的是保护IT资产的操作以及在这些资产中存储或传输的信息。在一些结构中,存储或处理的信息因为比较关键因此需要更加关注和保护。对于ICS系统,直接负责终端生产过程的一些客户端(如,PLC系统,操作员站,DCS控制器等)需要加以特别保护。另外,ICS系统中的中央服务器的保护也非常重要,因为中央服务器也会对这些客户端产生不利的影响。
(5)物理上的相互作用。传统的IT系统对于环境没有特别的影响。而ICS系统在物理上会产生非常复杂的相互作用。比如由于威胁利用系统的漏洞造成的信息安全事件,其后果可能会对环境产生恶劣影响。因此,集成到ICS系统的所有信息安全功能都必须通过严格测试(如可比对的ICS系统的离线测试)以保证这些技术不会影响正常的ICS功能。
(6)时间关键响应。传统的IT系统,实现访问控制时可不必过于关注数据流。对一些ICS系统,自动响应时间或人机交互的系统响应是非常关键的。如,HMI设备需要密码授权和认证,但一定不能阻碍或干扰ICS系统的紧急行动。信息流不能被中断或影响。对这些系统的访问应当严格限制为对其采用物理信息安全控制来实现。
(7)系统操作。传统的IT信息安全规程不完全适用于ICS操作系统(OS)和应用。仍在使用中的旧系统在资源不可用和定时中断方面尤为脆弱。控制网络通常更复杂,因而需要不同程度的专业知识(如ICS控制网络通常由控制工程师操作和维护而不是IT工程师)。软、硬件在操作控制系统网络中升级也较困难。现今运行的系统许多还没有实现加密能力,错误日志记录和密码保护能力等和实现信息安全相关的性能。
(8)资源限制。ICS和实时操作系统通常是资源受限系统,因而不包括典型的IT信息安全能力。ICS组件上可能没有可用的资源以便加装这些当前具有信息安全能力的系统。此外,在某些情况下,根据供应商许可和服务协议,不允许使用第三方信息安全解决方案,并且在没有供应商许可或同意的情况下,如果安装了第三方信息安全解决方案,可能会出现服务支持方面造成的事件。
(9)通信。ICS系统环境下,现场层使用的通信协议和媒介与传统的常规IT环境下使用的协议和媒介非常不同,可以说是专用的协议。目前工控系统使用的现场总线协议包括Modbus,Profibus,CC-Link,Control-Net,FF等。
(10)变更管理。对于集成IT和ICS系统的维护最重要的是变更管理。未进行补丁管理的软件对系统来说是最大的漏洞。IT系统的软件更新,包括信息安全的补丁都是基于正确的信息安全策略和规程及时进行。此外,更新和补丁管理这类的程序可以使用基于服务器的工具自动进行。ICS系统的软件更新通常不能及时实现,因为这些更新需要进行完全彻底的测试,这些测试由提供工业控制应用的供应商进行,或者由这些应用未实施前的最终用户进行测试,与此同时,ICS断电通常必须要提前数天/数周进行计划和确定时间表。ICS系统也要求把再确认作为更新过程的一部分内容。另外一个问题是还有许多ICS使用老版本的操作系统,但是目前的供应商已经不再支持。结果就是可用的补丁不适用老版本。变更管理同样适用于ICS系统的硬件和固件。变更管理过程,应用于ICS系统时,需要ICS专家(如控制工程师等)联合信息安全专家以及IT技术专家仔细进行评估。
(11)技术支持。传统的IT系统支持风格多元化,可能支持不同的但是互联的技术体系结构。对于ICS系统,技术服务多由单独的供应商提供,因此肯定不支持其他供应商提供的与此不同的技术解决方案。
(12)部件生命周期。传统的IT部件的生命周期大概在3~5年,主要是由于技术发展以及更新太快的原因。对于ICS系统,由于技术开发在很多情况下主要是用于特定的应用和实现,因此这类系统的生命周期大概在15年~20年,甚至更长时间。
(13)访问部件。传统IT部件通常能够本地进行访问且访问较简单,而ICS部件通常是分离、远程的,因而需要使用一些特定的物理媒介,比如卫星等进行访问。对IT系统和ICS系统不同总结见表1。
表1 IT系统与ICS系统的主要区别
3 总结
工业控制系统中常用的系统结构(SCADA,DCS,PLC等)大都应用于国家基础设施的关键领域或关键体系结构中,随着信息化与工业化进程的不断交叉融合,为了保障工业自动化和控制系统的信息安全,越来越多的传统信息技术应用到了工业领域,同时工业控制系统产品也趋向于采用通用协议,通用硬件和通用软件,这也就使得各种恶意破坏能够更容易地威胁着工业控制系统。在充分认识并区分工业控制系统与传统IT系统不同的基础上,我们更要采取管理措施,技术措施,做好工业控制系统的信息安全的防范和监督,增强风险意识,切实加强工业控制系统的信息安全管理。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
相关文章
