當(dāng)企業(yè)開始實(shí)施安全儀表系統(tǒng)(SIS)項(xiàng)目時(shí)����,利益相關(guān)者必須做出的第一個(gè)決策就是選擇系統(tǒng)架構(gòu)����。通過(guò)遵循國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(例如IEC 62443(ANSI/ISA 62443系列標(biāo)準(zhǔn))以及國(guó)際過(guò)程工業(yè)自動(dòng)化用戶協(xié)會(huì)(NAMUR)指南等)��,使得采用接口或集成的SIS架構(gòu)更好的強(qiáng)化系統(tǒng)成為可能��。了解每種體系結(jié)構(gòu)背后的獨(dú)特優(yōu)勢(shì)和注意事項(xiàng)���,對(duì)于做出明智決定�,以便最大程度的滿足企業(yè)需求來(lái)說(shuō)至關(guān)重要�����。
了解標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)提供了區(qū)分安全關(guān)鍵和非安全關(guān)鍵部件的指南�。根據(jù)ISA準(zhǔn)則,必須將安全關(guān)鍵資產(chǎn)與非安全關(guān)鍵資產(chǎn)�����,從邏輯或物理上劃分為多個(gè)區(qū)域����。
NAMUR在工作表NA163“SIS的安全風(fēng)險(xiǎn)評(píng)估”中,也提供了一組相似的準(zhǔn)則�����。該準(zhǔn)則定義了3個(gè)邏輯區(qū)域——核心SIS�����、擴(kuò)展SIS和控制系統(tǒng)結(jié)構(gòu)(NAMUR稱之為“外圍設(shè)備”)���,并指出它們?cè)谖锢砩匣蜻壿嬌媳仨毷欠珠_的(圖1)。
圖1:NAMUR提供了與ISA62443網(wǎng)絡(luò)安全標(biāo)準(zhǔn)類似的一套指南�����,其中SIS功能分為3個(gè)區(qū)域:核心SIS���、擴(kuò)展SIS和控制系統(tǒng)體系結(jié)構(gòu)(NAMUR稱之為“外圍設(shè)備”)����。本文圖片來(lái)源:艾默生
核心SIS由執(zhí)行安全功能所需的器件組成(邏輯求解器�����、輸入/輸出(I/O)器件、傳感器和終端執(zhí)行器)�。擴(kuò)展的SIS����,包含執(zhí)行安全功能不需要的安全系統(tǒng)器件(例如��,工程師站)����。外圍設(shè)備是諸如基本過(guò)程控制系統(tǒng)(BPCS)之類的器件和系統(tǒng)����,它們不會(huì)直接或間接分配給SIS,但可以在安全功能的情境中使用����。安全功能可能包括來(lái)自基本過(guò)程控制系統(tǒng)的重新發(fā)送請(qǐng)求,或在人機(jī)界面中顯示安全功能���。
兩種標(biāo)準(zhǔn)都沒有明確定義所需的體系結(jié)構(gòu)。用戶必須決定如何最好地構(gòu)建SIS網(wǎng)絡(luò)��,并確保在最終設(shè)計(jì)中��,基本過(guò)程控制系統(tǒng)和SIS之間提供足夠的邏輯和物理隔離����。通常,企業(yè)有3種選擇來(lái)構(gòu)建SIS網(wǎng)絡(luò):
●隔離的SIS(separated SIS):與基本過(guò)程控制系統(tǒng)完全斷開連接并與之獨(dú)立���;
●接口的SIS(interfaced SIS):通過(guò)工業(yè)協(xié)議(通常是Modbus)將接口SIS連接到基本過(guò)程控制系統(tǒng)�����;
●集成的SIS(integrated SIS):連接到基本過(guò)程控制系統(tǒng)的集成SIS����,但需要充分隔離以符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��。
有些人可能認(rèn)為��,部署隔離的SIS比其它類型的SIS都更安全����。但是�����,只要預(yù)先定義安全架構(gòu)并在安全系統(tǒng)設(shè)計(jì)、實(shí)施和維護(hù)期間強(qiáng)制實(shí)施���,所有列出的體系結(jié)構(gòu)都可以提供強(qiáng)化的安全架構(gòu)���。盡管很重要,但SIS體系架構(gòu)只是安全系統(tǒng)在定義安全性的一個(gè)方面���。
利用縱深防御
保護(hù)SIS需要縱深防御方法���。由于網(wǎng)絡(luò)攻擊每年都在增加,僅有一層保護(hù)對(duì)安全關(guān)鍵資產(chǎn)是不夠的���。網(wǎng)絡(luò)管理員正采用多層安全保護(hù)——防病毒�、用戶管理�����、多因素身份驗(yàn)證�����、入侵檢測(cè)/預(yù)防、白名單��、防火墻等�����,以確保未經(jīng)授權(quán)的用戶面臨不可逾越的進(jìn)入障礙��?���?v深防御策略的目標(biāo)���,是增加訪問(wèn)控制保護(hù)機(jī)制����。這可以通過(guò)添加相互補(bǔ)充的保護(hù)層來(lái)完成����。
隔離系統(tǒng)
保護(hù)SIS最常用的方法之一,是將系統(tǒng)完全隔離���,從而在核心SIS功能和基本過(guò)程控制系統(tǒng)之間產(chǎn)生“隔離帶”(圖2)�����。這種方法的好處顯而易見���。如果SIS與其它系統(tǒng)分開���,則默認(rèn)會(huì)強(qiáng)化安全以預(yù)防入侵的發(fā)生。
圖2:具有緩沖區(qū)的基礎(chǔ)結(jié)構(gòu)��,將安全關(guān)鍵和非安全關(guān)鍵SIS分開�����,但額外增加了維護(hù)工作��,以維護(hù)兩個(gè)不同系統(tǒng)上的縱深防御安全層���。
但是�����,即使是隔離的系統(tǒng)也無(wú)法幸免于網(wǎng)絡(luò)攻擊。用戶最終需要從外部訪問(wèn)系統(tǒng)來(lái)執(zhí)行任務(wù)�,例如提取事件記錄以進(jìn)行事件分析、旁路、覆蓋����、驗(yàn)證測(cè)試記錄或執(zhí)行配置,更改以及應(yīng)用安全更新�。USB驅(qū)動(dòng)器,通常用于實(shí)現(xiàn)這些更新�,更不容易對(duì)其進(jìn)行保護(hù)。
由于對(duì)外部媒體存在依賴性��,這就是為什么隔離的SIS��,仍然需要額外的保護(hù)層的主要原因之一(正如用于保護(hù)基本過(guò)程控制系統(tǒng)的保護(hù)層)����。適當(dāng)?shù)南到y(tǒng)強(qiáng)化�,使用戶可以管理兩組獨(dú)立的縱深防御體系結(jié)構(gòu)。這樣就有可能增加工作時(shí)間�����,延長(zhǎng)兩次停機(jī)之間的時(shí)間��,并增加應(yīng)對(duì)由于疏忽而在保護(hù)層所留下的漏洞的緩沖區(qū)域�。
接口系統(tǒng)
接口系統(tǒng)的功能類似于隔離系統(tǒng)。在隔離系統(tǒng)中,安全相關(guān)功能與非安全相關(guān)功能在物理上是分開的(圖3)�����。接口系統(tǒng)的區(qū)別在于����,基本過(guò)程控制系統(tǒng)器件和SIS的核心功能,通過(guò)具有工業(yè)開放協(xié)議的工程鏈接進(jìn)行連接��。通常�,防火墻或其它安全硬件和軟件會(huì)限制基本過(guò)程控制系統(tǒng)和SIS之間的流量。
圖3:接口體系架構(gòu)在物理上將SIS與基本過(guò)程控制系統(tǒng)分開���,但是與基本過(guò)程控制系統(tǒng)有連接����。此配置通常需要維護(hù)多個(gè)工程連接和縱深防御系統(tǒng)���。
由于核心SIS和擴(kuò)展SIS在物理上與外圍設(shè)備是分開的�����,因此接口系統(tǒng)可提供足夠的保護(hù)�,以滿足ISA和NAMUR的標(biāo)準(zhǔn)。但是�,就像在隔離的系統(tǒng)中一樣,需要保護(hù)SIS硬件和軟件�����。用戶必須確保與擴(kuò)展SIS的連接���,使之不會(huì)損害核心SIS。
為了獲得這種保護(hù)�����,接口系統(tǒng)要求在多個(gè)系統(tǒng)上復(fù)制縱深防御安全層�。在某些情況下�,必須監(jiān)視的多個(gè)網(wǎng)絡(luò)安全實(shí)例,可能會(huì)增加維持足夠安全性所需的工作量��。最終用戶還應(yīng)確?����;具^(guò)程控制系統(tǒng)和SIS之間連接的配置��,不會(huì)將系統(tǒng)暴露在風(fēng)險(xiǎn)之下。
集成系統(tǒng)
實(shí)施隔離系統(tǒng)的另一種選擇是集成SIS(圖4)����。在這種方法中,SIS已集成到基本過(guò)程控制系統(tǒng)����,但是核心SIS與擴(kuò)展SIS之間存在邏輯和物理隔離。通常���,這種隔離是使用開箱即用的嵌入式網(wǎng)絡(luò)安全專有協(xié)議來(lái)實(shí)現(xiàn)的���。這消除了由于手動(dòng)設(shè)計(jì)SIS與基本過(guò)程控制系統(tǒng)之間的連接而產(chǎn)生的許多安全風(fēng)險(xiǎn)。
圖4:在集成的SIS架構(gòu)中�,安全關(guān)鍵功能在邏輯上和物理上是分開的,但仍位于同一系統(tǒng)上���。這樣就無(wú)需維護(hù)多個(gè)縱深防御系統(tǒng)��。
集成SIS需要與隔離系統(tǒng)相同級(jí)別的縱深防御保護(hù)����,但是由于某些安全層需要同時(shí)保護(hù)基本過(guò)程控制系統(tǒng)和SIS�����,因此集成SIS可以減少監(jiān)視、更新和維護(hù)安全層所花費(fèi)的時(shí)間和精力�����。這種方法提供的保護(hù)超出了普通的安全層����。集成SIS還具有旨在保護(hù)核心SIS的其它特定安全層。
通過(guò)集成環(huán)境消除核心和擴(kuò)展SIS之間復(fù)雜的工程接口�����,可以使工廠驗(yàn)收測(cè)試(FAT)變得更簡(jiǎn)單����、更快速���,從而有助于更快地使項(xiàng)目聯(lián)機(jī)并減少返工。
管理入口點(diǎn)
仔細(xì)考慮縱深防御層�,對(duì)于提供網(wǎng)絡(luò)安全的SIS至關(guān)重要,但這還不夠�����。為了確保SIS網(wǎng)絡(luò)具有足夠的安全性,企業(yè)還必須限制進(jìn)入安全關(guān)鍵功能的入口點(diǎn)�,并采取措施緩解影響上述入口點(diǎn)的任何風(fēng)險(xiǎn)。
SIS的安全關(guān)鍵功能可用的入口點(diǎn)越多�����,網(wǎng)絡(luò)攻擊利用安全層中可能存在的漏洞的機(jī)會(huì)就越大���。雖然有可能充分防御多個(gè)入侵點(diǎn)以抵御入侵,但如果只需要防御1個(gè)入侵點(diǎn)�����,那將更容易實(shí)現(xiàn)��,而且占用的資源也更少���。
NAMUR以接口格式為分區(qū)SIS體系結(jié)構(gòu)提供了清晰的指導(dǎo)(圖1)�����。核心SIS����、擴(kuò)展SIS和控制系統(tǒng)體系結(jié)構(gòu)在各自的區(qū)域中正確隔離。 3個(gè)區(qū)域中架構(gòu)元素(工程師站����,BPCS,工廠信息管理系統(tǒng)���,資產(chǎn)管理系統(tǒng)等)之間的工程連接可以創(chuàng)建到核心SIS的多個(gè)潛在連接點(diǎn)����。
這些連接點(diǎn)本身并不存在安全風(fēng)險(xiǎn)��;一般假設(shè)它們獲得足夠的縱深防御��。如果每個(gè)環(huán)節(jié)都需要安全防護(hù)�����,可能需要管理5套或更多的安全硬件和軟件�����。
集成SIS架構(gòu)可以提供限制入口點(diǎn)的設(shè)計(jì)���。最好的集成安全儀表系統(tǒng)配置了一個(gè)組件���,可充當(dāng)進(jìn)出關(guān)鍵安全功能的所有流量的網(wǎng)關(guān),從而只需要防御一個(gè)入口點(diǎn)�����,就可以使用保護(hù)基本過(guò)程控制系統(tǒng)相同的縱深防御層以及一些專用于核心SIS的附加保護(hù)層��。這種設(shè)計(jì)可以減少維護(hù)和監(jiān)視���,同時(shí)提供與其它體系結(jié)構(gòu)相同甚至更高水平的標(biāo)準(zhǔn)SIS隔離。
通常有一個(gè)假設(shè)���,就是說(shuō)SIS和基本過(guò)程控制系統(tǒng)之間更多的物理隔離���,意味著更多固有的安全性。但是�,與緩沖區(qū)一樣,為了確保足夠的縱深防御��,更多的物理隔離可能會(huì)導(dǎo)致維護(hù)和監(jiān)視開銷增加。對(duì)于企業(yè)來(lái)講��,額外的成本限制了隔離網(wǎng)絡(luò)(air-gapping)的價(jià)值——在達(dá)到網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的同時(shí)尋求性能和生產(chǎn)的優(yōu)化���。并同時(shí)嘗試�����。
集成和接口的系統(tǒng)可以實(shí)現(xiàn)高級(jí)別的連接性��,同時(shí)在實(shí)施縱深防御的網(wǎng)絡(luò)安全結(jié)構(gòu)方面提供了靈活性���。因?yàn)閮煞N體系結(jié)構(gòu)都提供最高級(jí)別的安全性,所以在系統(tǒng)的整個(gè)生命周期中���,尋求維護(hù)可防護(hù)SIS的實(shí)施團(tuán)隊(duì)通常會(huì)發(fā)現(xiàn)����,他們有更多的選項(xiàng)來(lái)選擇基本過(guò)程控制系統(tǒng)和SIS���,以滿足獨(dú)特的企業(yè)目標(biāo)����。
轉(zhuǎn)自:控制工程網(wǎng) 作者:Sergio Diaz
滬公網(wǎng)安備31011502401909