概述

    在工廠中把 EtherNet/IP用于控制和信息的解決方案，引領了企業內部廣泛使用標準以太網的熱潮。隨著這個過程的推進，企業逐步認識到融合制造網絡和管理網絡的重要性，制造業已經通過提高生產的關鍵性能指標（KPI）而從中獲益。在正確的水平和正確的時間上接受KPI，可以幫助制造商做出明智的商業決策。融合還喚起了改進工業網絡安全策略的動議，這不再只是維持制造區域間的隔離問題了。制造業的計算和控制資產已經成為與企業其他部門相同的、易受攻擊的要害部分。一個安全策略需要保護制造資產，而且要很好地平衡諸如：24x7小時連續運行、短的平均維護時間（MTTR）和整體設備效能（OEE）等因素。

    保護制造資產需要一個全面的安全模型，基于一系列明確的安全策略。為了應對這些風險，策略應該確定有哪些安全風險和采用什么樣的化解技術。就這些問題，本文將給出通行的整體策略和實施大綱，幫助用戶保護制造資產。

1 整體安全

    保護制造資產需要一個“按深度保護”的保護方法，按照圖1中的描述，防止來自內部和外部的安全威脅。這個方法使用多層次的防衛（物理的和電子的），在不同的層次應用不同的策略和程序應對不同類型的威脅。比如，多層的網絡安全保護網絡上的資產、數據和終端的安全，多層的物理安全保護高價值資產的安全。到目前為止，還沒有一種單一的技術或方法能夠保護整個工業控制系統的安全。

    在“按深度保護”的方法中，需要有種工作流程來建立和維護安全能力。這種安全操作流程應該包括：

    1) 確定優先等級（比如按可用性、完整性、保密性）；

    2) 設定要求（比如：遠程訪問不能影響控制通信流量）；

    3) 確定投資；

    4) 確定潛在內部和外部的威脅和風險；

    5) 確定所需功能；

    6) 設計體系結構；

    7) 編制和執行策略。

    設計和實現一個完整的制造安全模型，有助于用戶從概念理論向制造實踐的順利過渡。用戶不必教條地去實施制造過程的安全。

    為了實現本文的目標，用于保護制造資產的“按深度保護”層包括：

    ·物理安全：這個層限制區域、控制屏、設備、電纜、控制室和其他位置的授權人的訪問，以及跟蹤訪問者。

    ·網絡安全：這個層包括網絡構架，諸如用于侵入檢測和侵入禁止系統（IDS/IPS）的防火墻和諸如具有集成保護的網絡設備：如交換機和路由器等。

    ·計算機加固：這個層包括補丁程序管理和防病毒軟件，以及能夠刪除不使用的程序、協議和服務等。

    ·應用安全：這個層包含鑒定、授權和審核軟件。

    ·設備加固：這個層處理變更管理和限制訪問。

    圖1 “按深度保護”的多層結構

2 用于制造業網絡安全的框架

    羅克韋爾自動化公司和思科公司協同開發的制造企業參考架構支持和加速了制造與企業網絡的融合。為了幫助用戶建立堅固和安全的網絡架構，制造企業參考架構提供了設計指南、推薦方案和最佳實踐。

    制造企業會按照現有的公共技術與標準來建立IT與制造間的參考構架。這其中包括了技術標準如：IEEE 802.3，未經修改的以太網，因特網任務工作組 （IETF）的因特網協議（IP）和ODVA公共工業協議（CIPTM）。進一步信息可訪問ODVA網站：www.odva.org

    另外，制造企業參考架構按制造業的標準建立一個制造網絡安全框架，如圖2所示。這個框架建立了進行流量管理和執行網絡分段的基礎，諸如：安全實施、遠程訪問和服務質量（QoS）。這個框架遵從工業標準和應用指南，諸如ISA-95 企業－控制系統集成、ISA-99制造業和控制系統的安全和用于控制層次的珀杜（Purdue）參考模型。

    ISA-95和用于控制層次的珀杜模型把制造工廠中的工業控制設備按流程分割成不同的層次。使用“層”作為公共術語來劃分和決定工廠中的信息流。為了加強安全和流量管理，ISA-99把分割的層稱為“區”。 區建立了可信賴的域，形成更小的局域網，易于安全訪問和流量管理。這個框架利用了校園網絡的參考模型。與企業網絡共通，這種多層模型自然地把流量劃分到3個主要層：核心層、分布層和遠程層。這三個層次的設計為網絡安全提供了一個清晰的分割方法，并且建立了一種高可用性和寬伸縮性的網絡基礎。

    圖2 制造網絡安全框架

    制造框架把不同的層合并成下面的區實現不同的功能：

    ·企業區：層4和5包括傳統的企業IT網絡、商業應用，諸如電子郵件和企業資源計劃（ERP）和廣域網（WAN）。

    ·隔離區（DMZ）：這個隔離區為制造區和企業區之間提供了一個屏障，但允許數據和服務安全地共享。所有來自DMZ兩邊網絡流量中止在DMZ區內。沒有通信流穿過DMZ。也就是，沒有流量直接在企業區和制造區之間傳送。

    ·制造區：層3 為制造運行和控制場所，從事工廠范圍內的應用，諸如：歷史數據、資產管理和制造執行系統（MES），由多個工位/工區組成。

    ·工位/工區：層0，1和2包括工業控制設備，諸如：控制器、驅動器、I/O和HMI，以及多種專門控制應用，諸如：伺服馬達控制、批處理、連續流程和離散量輸入/輸出。

    推薦的制造網絡安全框架采用了“按深度保護”方法，包括了：

    ·制造安全策略：這個策略路線圖確定了攻擊化解方案。一個包括操作員、工程師、IT人員和安全人員組成的多學科團隊，一起制定這個制造安全策略。

    ·安全隔離區（DMZ）：這個隔離區在制造區和企業區之間建立了一個屏障，而允許用戶安全地共享數據和服務。所有來自DMZ兩邊的通信都中止于DMZ區內。沒有流量直接穿過DMZ，也就是意味著流量不能直接在企業區和制造區之間流動。

    ·制造邊緣的防護：用戶應該采用有狀態包檢測（SPI）的防火墻（屏障），并在工業網絡的周圍和內部具有侵入發現/禁止系統（IDS/IPS）。

    ·保護內部：用戶應該在網絡基礎結構設備諸如交換機和路由器中，實施訪問控制列表（ACL）和端口安全。

    ·端點加固：限制訪問，防止“過來，插入”訪問，并使用變化管理跟蹤訪問和變化。

    ·信任域：用戶應該基于功能或訪問需求，把網絡劃分成若干個小網絡。

    ·物理安全：限制對制造資產和網絡基礎結構設備的物理訪問。

    ·安全、管理、分析和響應系統：監視、識別、隔離和記錄對網絡安全的威脅。

    ·遠程訪問策略：對于雇員和伙伴和遠程訪問，實施相關的策略、程序和基礎結構。

3 制造安全策略

    一個安全戰略是否能夠成功的關鍵就是要理解需要解決的潛在問題，諸如：要保護什么、怎么樣進行保護。針對制造建立一個安全策略，需要提供一個應用安全技術的路線圖，應用最佳實踐來保護制造的資產，同時避免不必要的開支和過渡的訪問限制。安全服務不應該約束制造的運行。

    正像ISA-99中定義的，一個安全策略應該是“使一個組織遵循一個一致的程序，維持一個可接受的安全水平”。安全策略由物理層和電子層組成，定義和限制在制造系統中，人員和設備的行為。一支包括IT人員、操作員和工程師組成的團隊，一起討論來定義制造安全的要求。安全策略制定應從評估潛在危險開始�？梢杂蓛炔炕蛘咄獠繄F隊指導，危險評估過程確定潛在的薄弱點和決定采用的相關程序和技術來化解危機。比如，限制程序可以使只有授權人員，才可以訪問物理制造系統。相關的技術可以包括授權和鑒別用戶信用的變化管理軟件。

    因為安全策略傳統上由IT人員實施，IT已經制定了最佳實踐來幫助指定和消除安全隱患。只要用戶能夠說明制造應用和企業應用的不同，IT人員就可以對制造商使用很多的策略和最佳實踐。

    建立一個堅固和安全的網絡基礎結構需要保證控制和信息數據的完整性、可用性和保密性。用戶在開發一個網絡時，要重視下面的要點：

    ·這個網絡是否有足夠的彈性來保證數據的可用性？

    ·數據是否具有一致性？數據是否可靠？

    ·怎樣使用數據？數據的操作是否安全？

    IT人員的職責包括保護公司的資產和知識產權（IP）。IT人員為了實現這個目標，要執行企業安全策略，來確保數據的保密性、完整性和可用性（CIA）– 通常也按照這個優先次序進行。雖然存在類似性，制造安全策略必須把連續的制造運行（可用性）做為頭等重要的事情。

    企業和制造在如何進行升級換代方面的安全策略是不同的。用戶對企業應用升級的要求是越快越好，就像操作系統和應用軟件的補丁、以及反病毒軟件一樣，要在指定的時間內更新。然而，對一個制造服務器進行升級，可能會中斷制造的運行，結果會使生產受到影響。制造安全策略應該定義在制造間歇進行升級的操作。

4 計算機的加固

    應用于企業IT計算機的最佳實踐也同樣可以用于制造計算機。下面推薦一些最通用和最常見的最佳實踐：

    ·保持計算機服務包和補丁的不斷更新，但不要用自動更新。另外，用戶在執行它們之前應該測試這些程序，并在制造間歇定期對軟件和網絡進行維護。

    ·部署和維護反病毒軟件，但禁止自動更新和自動掃描。其他的建議包括：執行它們前進行測試，并且在制造間歇用手動初始化掃描，因為反病毒掃描會中斷制造的實時運行。

    ·部署和維護反間諜軟件，但禁止自動更新和自動掃描。用戶應該在安裝運行之前，預先測試更新程序，并在制造間歇，用手動初始化掃描，因為反間諜軟件的掃描也會中斷制造的實時運行。自動反病毒和反間諜軟件掃描會引起數據的丟失和某些制造設備的宕機。

    ·禁止直接的因特網訪問。安全隔離區（DMZ）建立了制造區域與企業區域之間的屏障，但要允許用戶安全地共享數據和服務。所有來自DMZ兩邊的通信流都要中止于DMZ之中。沒有數據流穿過DMZ，這意味著通信流不能直接在企業區和制造區之間穿行。

    ·在制造區執行一個分開的活動目錄域。這樣，如果到企業區的連接被中斷的話，可以幫助用戶確保制造資產的有效性。

    ·執行下面口令設置策略：

     - 執行口令歷史；

     - 最大口令年齡；

     - 最小口令長度；

     - 復雜口令要求。

    ·在客戶機和服務器上禁止客戶帳號。

    ·要求內置的管理員帳號被重新命名，刪除缺省的帳號，使用一個復雜的口令。

    ·建立、然后實施一個備份和災難恢復策略和程序。用戶應該定時進行備份操作。

    ·實施對一個網絡、控制器和計算機（比如客戶機、服務器和應用）資產存檔的變化管理系統。

    ·使用Control+Alt+Delete組合鍵，連同一個唯一的用戶名和口令登錄。

    ·防止不必要或很少用的USB端口、并聯接口和串聯接口把非授權的硬件加入（如：調制解調器、打印機、USB設備等）。

    ·制定和執行一個在企業區域內客戶訪問的策略。

    ·制定和執行一個在制造區域內合作伙伴訪問的策略。

    ·卸載不使用的Windows組件、協議和服務，減少可能對制造系統不必要的操作。

5 控制器的加固

    用戶使用物理程序、電子設計、軟件鑒定和授權、以及帶有災難恢復的變化管理軟件來保護羅克韋爾自動化的Logix可編程自動化控制器（PAC）。推薦的最佳實踐有：

    ·物理程序：用授權的辦法限制訪問控制面板的人員。用戶可以通過執行訪問程序或者鎖定面板的方法達到這個目的。把PAC鑰匙撥到“運行（RUN）”位置可以防止遠程編程，包括遠程固件閃存可能對PAC的影響。為了允許程序和配置的更改，需要對PAC上物理鑰匙的位置進行改變。非授權的的訪問（有意或者無意）不能改變PAC，直到鑰匙位置離開“運行”位置。

    ·電子設計：執行PAC CPU鎖住特性，拒絕從前面端口訪問PAC，這樣可以保護配置不被改變。

    ·執行FactoryTalk中的鑒定、授權和審計安全功能：鑒定檢驗用戶的身份和服務請求是否來自原用戶。鑒定檢驗用戶訪問的請求或者PAC拒絕一系列定義的訪問。

    ·帶災難恢復的變化管理：FactoryTalk AssetCentre軟件有連續監視PAC 資產，自動版本控制，災難恢復和備份、設備配置確認和實時用戶行為審計等功能。

6 軟件補丁管理

    研究指出很多制造資產的生產損耗，是由于不良的或疏忽的補丁管理造成的，甚至高過了沒有補丁所帶來的問題。用戶應該建立一個嚴格而良好的補丁文件管理流程。

    Microsoft的服務補丁包、安全更新、熱修補和補丁程序，做為彌補操作系統的漏洞是非常必要的。用戶應該禁止來自微軟網站的自動更新，為了保護制造資產，在按裝所有這些補丁之前，都要事先對它們進行測試。

    自動化軟件的供應商，諸如羅克韋爾自動化，可以支持更新和補丁的測試。制造業和IT專業人員也應該把它們應用于制造資產前，用他們的操作系統模板，對更新和補丁進行測試。測試之后，用戶應該用變化管理系統記錄所有由補丁和升級帶來的相應變化。關鍵的補丁和升級應該在制造間歇對制造資產進行操作。

    羅克韋爾自動化，能夠檢測和驗證他的軟件產品與特定的操作系統服務包一起運行情況，具有定期的軟件發布時間。

    羅克韋爾自動化僅支持已經測試并運行于特定版本的服務包。用戶不應該直接用來自微軟的服務包，然后運行羅克韋爾自動化的軟件用于制造資產。而應該等羅克韋爾自動化驗證服務包能夠兼容和穩定時再使用。

    只要微軟的版本一升級，羅克韋爾自動化就對自己的產品進行資格認定。羅克韋爾自動化的知識庫會列出羅克韋爾每種軟件產品針對操作系統、服務包、補丁和安全更新的驗證信息。

    羅克韋爾自動化會公布自己軟件產品的更新，通常在解決發布軟件問題到預期的產品發布之間的時間。一月一次，發布過的補丁會集合到單一的合集中。補丁可以單獨使用或者做為每月合集中的一部分。用戶可以從羅克韋爾自動化知識庫中搜索文章“Rockwell Automation Software Product Compatibility Matrix, ID 42682.” 查找補丁與合集。

7 總結

    制造和企業網絡的融合增加了對制造數據的訪問，這使得制造商能做出更好的商業決定。這種商業模式為競爭空前激烈的制造業，提供了更有力的支撐。

    利用這個機會，有超前意識的企業能夠更好地參與競爭。網絡融合會暴露制造資產的安全威脅，這通常在企業網絡中才能遇到。用戶還要面對模糊的網絡劃分，企業資產和制造資產之間不同的文化差異。針對這些障礙，制造商應該組織一個多工種包括操作員、工程師和IT人員的團隊，聯合制定一個制造安全策略，基于：

    ·制造運行要求；

    ·企業安全策略的最佳實踐；

    ·危險評估；

    ·一個基于“按深度保護”方法的整體安全策略；

    ·工業標準諸如ISA-99；

    ·制造企業的標準；

    ·制造網絡安全劃分框架；

    ·一個嚴格和很好歸檔的補丁管理程序；

    ·外部網絡和安全服務的利用。  

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：保護好制造業計算與控制的資產

本文網址：http://www.guhuozai8.cn/html/support/1112183085.html