EEPW论坛

航天天盾护航工业控制系统安全

随着信息化与工业化深度融合，以及物联网的快速发展，工业控制系统如SCADA系统、DCS系统和PLC等目前已广泛应用于工业基础设施的各个领域，特别是在电力、石油、化工、水利、航天军工等涉及国家重要利益的基础建设行业，重要的设施设备都是依靠工业控制系统来实现自动化作业。而目前，大部分工控系统核心控制模块从国外引进，国外产品已占领大部分市场，如PLC国内产品市场占有率不到1%， DCS主控制器芯片95%依赖进口。而国外工业控制芯片、工业控制系统产品设计和配置等都可能存在漏洞，甚至留有后门，存在严重的安全隐患。一旦发生安全事件，直接造成的影响是生产停滞或设备损坏，给企业及国家带来较大的经济损失，更严重的还可能对生产人员的生命、健康产生危害。

近20年来，工业控制系统强调开放性，在系统中大量引入民用的COTS产品，如Windows操作系统、关系数据库等，并广泛使用以太网和TCP/IP协议。大部分的工业网络和现场总线协议，广泛使用的MODBUS/TCP、CAN、PROFIBUS等都是明码传输，没有严格的身份识别，报文很容易被伪造。简单的DoS攻击就可以使系统网络完全瘫痪，造成工业过程失控或装置停机。工业控制安全最薄弱的环节就落在了工业网络数据传输上，对于大型SCADA系统或DCS系统，设备分散安装，部分采用公网和无线网络，更容易受到攻击。

据相关数据统计，自2000年以来，对工业过程控制和数据采集系统的成功攻击增长了近10倍，特别是近几年，重大工业控制系统安全事件屡屡被爆出。2010年，伊朗核设施遭遇Stuxnet震网病毒攻击，导致伊朗用于铀浓缩的一千多台离心机瘫痪，最终使伊朗的布什尔核电站推迟启动；2011年，Duqu病毒被查出，用来收集与其攻击目标相关的各种情报；2012年，Flame病毒被用来执行网络间谍活动，其构造十分复杂，危害性巨大，可以通过USB存储器以及网络复制等多种方式传播，并能接受来自世界各地多个服务器的指令；2014年，超过84个国家的1018座发电站感染Dragonfly病毒，数千座发电站可被进行远程访问。

工业控制系统安全已经刻不容缓，而工业控制系统长期存在的风险隐患已是影响国家关键基础设施稳定运行的重要因素，甚至威胁到国家安全战略实施，为了应对当前工业控制系统信息安全面临的严峻形势，2011年，工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》，要求各地区、各有关部门、有关国有大型企业充分认识工业控制系统信息安全的重要性和紧迫性，切实加强工业控制系统信息安全管理，以保障工业生产运行安全、国家经济安全和人民生命财产安全。同时，国家也大力鼓励国产安全厂商研发具有自主知识产权的工业控制产品和安全防护系统，加大国产化进程，在重要行业中的工业控制系统真正实现“自主可控，安全可靠”。

在此背景下，航天系统工程公司发挥航天领域技术、人才、科研资源等优势，结合自身在工业控制安全行业积累的丰富经验，推出了适用于工业控制系统安全的航天天盾解决方案。航天天盾工业控制系统解决方案采用独特的安全防御交换机，部署在关键网络节点，保护工业以太网，彻底防止工业控制系统受到APT或病毒的攻击；对工业以太网、现场总线、输入输出（I O）三层进行异常监测，确保工控系统各个环节运行安全；工控主机中毒或误操作导致异常后，实现工控主机在线自动恢复为正常状态；采用健康高效的无线智能阻断技术，防止外界通过无线网络进行攻击。

航天天盾工业控制系统解决方案主要包括天盾（DCS）异常监测与应急恢复系统、天盾安全防御交换机和天盾无线智能阻断系统。可以保证在数据采集终端、数据传输过程中和到终端服务器都能够得到全方位的防护，避免被窃听破坏篡改。

天盾（DCS）异常监测与应急恢复系统主要实现对工业以太网中工程师站组态变更、操作站数据与操控指令变更，及现场总线访问、负载变更、通信行为、异常流量等的安全监测，实现过程状态参数、控制信号的阈值检查与报警，实现故障主机在线自动恢复等功能。在产品设计上采用专用硬件和模块化的软件组件设计,设备为专用的嵌入式硬件，高可靠性的多方位冗余设计,系统采用WEB方式进行管理，部署简单方便。在架构上主要分为四层：可视化运维层、异常事件处理层、异常监测层、数据采集层。产品基于分布式负载均衡及（SOA）架构，采用异构系统的聚合监测技术，支持旁路方式进行部署，根据工艺流程实际要求，既可部署在工业以太网，现场总线或输入输出节点。

天盾安全防御交换机在确保合法网络业务正常通信的前提下，通过构建虚拟路径、虚拟网络和虚拟节点，动态随机的变换网络拓扑，隐藏真实网络拓扑和节点，给攻击者呈现虚假的节点和网络信息属性，使攻击者难以进行后续攻击，且易暴露身份。并且适用于任何使用交换机的环境，包括工业以太网，与普通交换机相比较：可提供防渗透、抓内鬼、抗蠕虫等功能。天盾安全防御交换机在部署上非常简单，对于小规模的使用环境，可以直接替换原有交换机，同时可以级联成一定数量的普通交换机，对于大规模已经部署较多交换机的使用环境，可以在汇聚交换机前端或者后端直接串接。

天盾无线智能阻断系统使用自主研发芯片，完全拥有自主知识产权。可实现在2.4GHz和5.8GHz 频段（即通常的ISM频段，包括Wi-Fi、蓝牙、ZigBee等）的无线信号通讯进行全面或者有选择性的阻断，具备配置无线白名单，保证合法信号数据正常安全通信，管理范围可达到45-120米。实时对接入点AP设备和终端进行扫描监控，若发现非法接入，可远程报警，并关闭非法接入。并且发射功率小，绿色环保，功耗低。

希望通过航天天盾工业控制系统安全解决方案的建设与实施，能够帮助行业用户建立起工业基础设施信息安全保障体系，增强安全风险防范能力，促进工业控制系统安全、稳定运行，降低工业控制系统安全事件的发生概率。