城市污水处理厂控制系统可信安全防护设计
可信计算技术在城市污水处理厂控制系统设计中的应用,使得控制系统中逻辑控制不被篡改和破坏,实现主动免疫防御,具备对未知病毒木马以及系统漏洞的防御能力。
随着互联网、大数据、云计算等新兴技术的应用,智慧水务成为市政水处理行业发展的趋势,城市污水处理厂控制系统从自动化走向网络化、智能化,由于工业网络与基于Internet技术的商业网络打通,病毒、黑客乃至网络威胁随之而来。近年来的工控安全事件表明,工业控制系统日益成为网络威胁的主要目标,因此,其信息安全防护设计尤为重要。城市污水处理厂控制系统以往主要重视功能设计,长期忽视信息安全防护设计,而且工业控制系统具有高可用、强实时、高可靠等特点,IT系统的信息安全手段大多无法直接应用于工业控制系统,目前工控安全防护手段远远落后于IT系统。当前针对工控系统的威胁手段日趋复杂多样,原有“封堵查杀”式被动防护难以抵御当前的新型威胁攻击,亟需基于可信计算技术的城市污水处理厂控制系统安全防护设计,建立整个控制系统的可信环境,培育控制系统的免疫力,有效抵御未知威胁,保证整个污水处理工艺生产过程的安全运行,服务人民群众幸福生活。
引言
城市污水处理一般分为三级:一级为物理处理,二级为生物处理,三级为深度处理。整个污水处理过程工艺复杂、设备多、操作步骤繁琐,实现污水处理过程自动化运行是很有必要的,也是保证水质安全、提高污水处理效率不可缺少的环节。
基于PLC的城市污水处理的自动化控制系统采用计算机技术、控制技术、通信技术,跟踪经常变化的水处理情况,检测不同时间的水质指标数据,在计算机上动态展示,并对这些数据进行分析处理,并记录下来,以备在需要的时候查阅。通过分析数据趋势走向,随时调整个设备及工艺过程参数,使其达到优化控制状态,经济运行,节省能耗。采用计算机代替人工操作,减少事故,保证安全,降低劳动强度,节约人力,甚至可以完成许多人工难以完成的任务,提高运行的可靠性。控制系统作为保障城市污水处理厂连续正常生产运行以及保证水资源水质安全的核心,其安全问题越来越受到关注。
水行业控制系统典型安全事件频发
2000年,一个工程师在应聘澳大利亚的一家污水处理厂被多次拒绝后,远程侵入该厂的污水处理控制系统,恶意造成污水处理泵站的故障,导致超过1000立方米的污水被直接排入河流,导致了严重的环境灾难。
2001年,澳大利亚的一家污水处理厂由于内部工程师的多次网络入侵,该厂发生了46次控制设备功能异常事件。
2005年,美国水电溢坝事件。
2006年,黑客从Internet攻破了美国哈里斯堡的一家污水处理厂的安全措施,在其系统内植入了能够影响污水操作的恶意程序。
2007年,攻击者侵入加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于控制从Sacrmento河调水的控制计算机。
2011年,黑客通过Internet操纵美国伊利诺伊州城市供水系统SCADA,使得其控制的供水泵遭到破坏。
上述安全事件表明恶意网络威胁逐渐向城市水处理领域渗透,把控制系统作为目标,为城市污水处理厂控制系统的安全性敲响了警钟。
城市污水处理厂控制系统存在的安全风险
1 控制系统联网后安全问题愈加突出
在计算机和网络技术高速发展,特别是信息化与工业化深度融合以及物联网的快速发展的背景下,基于物联网、云计算的城市污水处理综合运营管理平台为水务运营企业安全管理、生产运行、水质化验、设备管理、日常办公等关键业务提供统一业务信息管理平台,为企业规范管理、节能降耗、减员增效和精细化管理提供强大的技术支持,从而形成完善的城市污水处理信息化综合管理解决方案。因此,传统封闭控制系统网络与基于Internet技术的企业管理网打通,控制系统面对的是开放、复杂、不确定的工业互联网环境,大多数城市污水处理厂控制系统信息安全防护设计考虑不足,病毒、黑客、网络威胁随之而来。
2 工控安全漏洞逐年递增
“国家信息安全漏洞共享平台CNVD”数据显示,近几年工控安全漏洞数量增加,半数以上为高危漏洞,分布在水处理行业的工控安全漏洞数量排在前列,由于污水处理工艺生产过程要求连续运行不能随时停机,因此导致工控安全漏洞的修复进度非常迟缓,这些漏洞极易被恶意利用。
3 国外设备后门带入威胁
城市污水处理厂控制系统中超过90%的PLC、操作员站、工程师站、工业软件等为国外产品,因考虑现场服务成本因素,有时需要工控厂商远程维护,因此,大多工控设备留有远程访问端口,存在很多未知的设备“后门”,“后门”带来诸如旁路控制、拒绝服务DoS、信息泄露等潜在威胁。
4 以PLC为核心的工控系统口令保护弱
在污水处理厂中PLC系统编程和调试中,工程师为防止忘记密码,往往对PLC程序的密码口令设置都比较简单,对于这种弱口令设置非常容易被破解。即使工程师设置了非常复杂的密码,但由于目前各厂家PLC加解密大多使用国外公开的密码算法,或网络上公开的简易源码,对算法复杂度、密钥的安全度没有统一的顶层设计,安全性无法得到有效保障。而且大多主流PLC品牌都已有解密的方法,并在网络上到处流传解密方法等,黑客可结合工具扫描所有连接在互联网上的设备IP,实现对这些设备的入侵,例如直接篡改系统软件。
依赖于固定用户名与密码的身份鉴别机制,无法保证用户标识符的唯一性,无法识别病毒的伪装;一旦密码被破解,即可从操作员站随意控制现场设备,获取或修改参数,严重的会造成重大事故。另一方面,仅依赖于上位机软件端的身份鉴别机制,使PLC成为被动响应的一方,从而黑客可以绕过上位机,直接在网络中通过重放、伪装的方式达到威胁目的。
5 工控系统中数据通信传输
城市污水处理厂控制系统通信缺乏完整性校验,由于PLC控制系统需要保证实时性和可用性,往往采用通用算法,很容易受到威胁,如对数据进行篡改和伪造。
综上,目前城市污水处理厂控制系统面临非常严峻的安全挑战,一旦遭受到入侵,可能会造成系统性能下降,工艺设备失控或受损,影响污水处理质量,使出水未达标排放,最终导致整个城市的水环境被污染,引发社会问题。因此,在城市污水处理厂设计时,控制系统的信息安全防护设计必须作为一个主要的指标考虑。
控制系统可信安全防护
1 系统总体设计
城市污水处理厂控制系统的信息安全防护设计不是信息安全产品的简单堆砌,应参照《IEC 62443 工业过程测量、控制和自动化网络与系统信息安全》、《工业控制系统信息安全防护指南》、《工业自动化和控制系统网络安全可编程控制器(PLC)》、《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》等工控安全相关标准规范,根据城市污水处理厂控制系统结构、功能及工艺流程要求,构建覆盖控制系统基础设备安全、实时控制行为安全、业务流程作业安全的一体化深度安全防护体系。
其中,业务安全主要是IT系统信息安全防护技术在工控系统中的应用,控制安全、边界安全、通信安全采用以密码为基础,以安全可靠、可信计算为核心安全防护设计,可提高控制系统的主动免疫防御能力,防止非授权或意外的访问、篡改、破坏和损失,确保控制系统能长期安全稳定地运行,保障城市污水处理厂出水水质安全。
城市污水处理厂控制系统深度安全防护体系
可信计算是一种运算和防护并存的主动免疫防御体系,通过为计算平台增加密码芯片,并通过软硬件结合的方式构建出一个可信计算环境。利用可信计算环境进行逐级认证,建立可信链,确保运行程序和依赖数据的真实性、机密性和可控性等。
城市污水处理厂控制系统基于现代先进控制思想,采用分散控制、集中管理的控制模式。系统由中央监控系统、PLC控制站、通信网络以及现场工艺设备组成,中央监控系统对全厂实行集中监控、管理,PLC控制站实现对各工段工艺设备进行分散控制,二者通过高速工业以太网进行数据通信。
2 中央监控系统设计
(1)安全分区:中央控制站监控系统建立和外部网络隔离的安全分区,安全分区的门禁等物理隔离设备、网关/网闸等网络隔离设备、人员访问控制设备全部采用加密保护。
(2)数据服务器:对关键数据进行加密保护,保证数据的安全性。
(3)工程师站:建立的安全访问控制机制,可穿越开放网络实现对PLC的远程监测和维护。配置具有自身完整性度量防护能力的PLC逻辑组态软件。工程师启动PLC逻辑组态开发软件时,软件要求对登录用户进行认证,对用户Key和口令进行验证,通过身份认证后才允许登录。
(4)操作员站:配置具有自身完整性度量防护能力的监控组态软件。两台操作员站在功能上完全相同:与所有现场I/O通讯(无限点),趋势、报警、报表、数据库连接等;且两台操作站之间互为热备冗余:当主站由于故障不能通讯时,备站立即接管所有功能;当主站恢复正常时,首先要将故障期间系统需存储的历史趋势数据、报警记录等从备站补回,然后再将所有控制功能自动切换到主站,由主站继续控制整个系统,备站重新回到热备状态,并连续地以主站为数据源同步更新所有数据。
(5)其他业务子系统:其他业务相关子系统,如与水务集团企业网和PLC子系统彼此隔离。数据访问需经过相应的权限认证和密码保护。
3 PLC控制站系统设计
PLC控制站由控制器、电源模块、通信模块、I/O模块、功能模块、控制机柜以及其它电气元件等组成,是实现整个工艺流程自动化控制的关键,实现对现场压力、流量、温度、PH等工艺数据,以及现场工艺设备运行状态的采集,并通过预先编制下装至PLC控制器的逻辑控制程序控制污水处理厂工艺流程自动运行。PLC采集到的工艺数据实时上传至中央控制站监控系统,并执行来自中央控制站监控系统的指令。
控制器:PLC控制站的核心,设计基于加密保护的安全芯片,采用安全可靠的软硬件系统以及组态运行支撑环境。
冗余配置:PLC采用双机热备的冗余配置,即支持电源冗余、CPU冗余、以太网冗余、总线冗余以及I/O冗余,CPU与远程I/O之间采用冗余的现场总线。整个系统任何部件的故障或者异常关断都能够自动切换到备用系统。
控制逻辑:PLC控制器中的用户控制逻辑是实现控制功能的关键部分。控制逻辑在工程师站逻辑组态软件中完成编辑、编译后生成可执行文件,然后下装至控制器中循环执行。PLC控制逻辑设计采用可信分发技术,整个过程包括:组态-编译-签名-权限-下装-认证-接收-验签-运行。与传统PLC相比,逻辑分发过程要更加安全、可信。
PLC系统及安全防护设计应遵循以下准则:
(1)单一故障不会引起PLC系统的整体故障;
(2)单一故障不会引起其它保护系统的误动作或拒动作;
(3)控制功能的分组划分原则:某个区域的故障只是部分降低整个控制系统的控制功能,此类控制功能的降低可通过运行人员干预进行处理;
(4)控制系统具有自诊断功能,内部故障在对过程造成影响之前可被检测出来;
(5)每个I/O机架有安装好的备用I/O点,为实际使用量的一定比例;
(6)每个I/O机架应有实际使用量一定比例的备用插卡空间;
(7)支持目前主流通讯协议,如MODBUS TCP、MODBUS RTU、CAN、自由口协议等;
(8)PLC逻辑编程软件符合IEC61131-3国际标准,支持提供包括梯形图(LD)、功能图块(FDB)、结构化文本(ST)编程语言,用户可在同一项目中选择不同的编程语言编辑子程序、功能模块等。
4 通信网络
整个系统采用二级网络结构,即生产监控网和生产控制网,将过程实时数据、运行操作监视数据信息同非实时信息及共享资源信息分开,分别使用不同的网络。有效地提高了通讯的效率,降低了通讯负荷。生产监控网,即中央控制站与各PLC控制站之间的数据通讯采用高速的、实时的工业以太网,网络结构为环形,传输介质为光纤。生产控制网,即PLC控制与I/O之间采用现场总线,传输介质为屏蔽双绞线或光纤。
控制系统功能
(1)安全可信授权系统:工程师、操作员进入系统需进行认证授权、校验和操作控制,以此为依据验证操作者是否具有相应的权限,避免控制系统遭到非授权或意外的访问、篡改、破坏和损失。系统提供分级的用户进入密码系统,所以低级操作员只能进入基本操作功能界面,同时较高级别的操作人员,按照不同的密码,可进入不同的系统组态功能界面。操作者对非自己管理区域的设备不能进行误操作,无权限人员无法通过该计算机控制PLC系统,同时也可防止病毒伪装成操作员发送控制指令。
(2)流程显示功能:显示工程设备的运行状态、工艺流程的动态参数、相关参数的趋势、历史数据及历史记录、各类报表。
(3)编程组态功能:工程师可在中央控制站实现编程、组态和修改等,监控计算机装有功能强大的监控组态软件,以便能方便、直观地组态和编程。
(4)诊断调试:系统有在线和离线修改功能,并带有自诊断功能,系统的任何一个部件的故障可以在运行中自动诊断出,并且在监控软件中及时、准确地反映出故障状态、故障时间、故障地点及相关信息。在系统或工艺设备发生故障后,I/O状态将返回到工艺要求预设置的安全状态上。
(5)系统稳定性:不因误操作和通讯问题死机,重要技术参数修改有软锁。
(6)趋势功能:能根据实时数据,观看在扩展期内的发展趋势,图形显示和历史数据显示是一样的,哪一个模拟量要显示趋势,由操作员根据标志或键盘输入确定。
(7)报警功能:完成报警记录及显示报警总汇,可根据收到的次序显示,所有报警都标有日期、时间,有报警优先级,并且可以总体报警或一个接一个报警。
(8)打印功能:打印过程回路控制的参数给定值,报警记录,报表、趋势图等。
结论
目前互联网技术得到了的快速发展,以高级持续性威胁(APT)为代表的攻击使得工业控制系统面临前所未有的安全挑战,传统的被动防御安全策略如防火墙、杀毒软件、网闸,已无法抵挡日益复杂多变的黑客攻击。可信计算技术在城市污水处理厂控制系统设计中的应用,使得控制系统中逻辑控制不被篡改和破坏,实现主动免疫防御,具备对未知病毒木马以及系统漏洞的防御能力,从而从根本上保证了城市污水处理厂生产的安全运行,确保水质安全。
(原文发表在《信息技术与网络安全》2018年第3期,内容有删节)
声明:本文来自信息技术与网络安全,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。