當(dāng)企業(yè)開始實施安全儀表系統(tǒng)(SIS)項目時,利益相關(guān)者必須做出的第一個決策就是選擇系統(tǒng)架構(gòu)。通過遵循國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(例如IEC 62443(ANSI/ISA 62443系列標(biāo)準(zhǔn))以及國際過程工業(yè)自動化用戶協(xié)會(NAMUR)指南等),使得采用接口或集成的SIS架構(gòu)更好的強化系統(tǒng)成為可能。了解每種體系結(jié)構(gòu)背后的獨特優(yōu)勢和注意事項,對于做出明智決定,以便最大程度的滿足企業(yè)需求來說至關(guān)重要。
了解標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)提供了區(qū)分安全關(guān)鍵和非安全關(guān)鍵部件的指南。根據(jù)ISA準(zhǔn)則,必須將安全關(guān)鍵資產(chǎn)與非安全關(guān)鍵資產(chǎn),從邏輯或物理上劃分為多個區(qū)域。
NAMUR在工作表NA163“SIS的安全風(fēng)險評估”中,也提供了一組相似的準(zhǔn)則。該準(zhǔn)則定義了3個邏輯區(qū)域——核心SIS、擴展SIS和控制系統(tǒng)結(jié)構(gòu)(NAMUR稱之為“外圍設(shè)備”),并指出它們在物理上或邏輯上必須是分開的(圖1)。
圖1:NAMUR提供了與ISA62443網(wǎng)絡(luò)安全標(biāo)準(zhǔn)類似的一套指南,其中SIS功能分為3個區(qū)域:核心SIS、擴展SIS和控制系統(tǒng)體系結(jié)構(gòu)(NAMUR稱之為“外圍設(shè)備”)。本文圖片來源:艾默生
核心SIS由執(zhí)行安全功能所需的器件組成(邏輯求解器、輸入/輸出(I/O)器件、傳感器和終端執(zhí)行器)。擴展的SIS,包含執(zhí)行安全功能不需要的安全系統(tǒng)器件(例如,工程師站)。外圍設(shè)備是諸如基本過程控制系統(tǒng)(BPCS)之類的器件和系統(tǒng),它們不會直接或間接分配給SIS,但可以在安全功能的情境中使用。安全功能可能包括來自基本過程控制系統(tǒng)的重新發(fā)送請求,或在人機界面中顯示安全功能。
兩種標(biāo)準(zhǔn)都沒有明確定義所需的體系結(jié)構(gòu)。用戶必須決定如何最好地構(gòu)建SIS網(wǎng)絡(luò),并確保在最終設(shè)計中,基本過程控制系統(tǒng)和SIS之間提供足夠的邏輯和物理隔離。通常,企業(yè)有3種選擇來構(gòu)建SIS網(wǎng)絡(luò):
●隔離的SIS(separated SIS):與基本過程控制系統(tǒng)完全斷開連接并與之獨立;
●接口的SIS(interfaced SIS):通過工業(yè)協(xié)議(通常是Modbus)將接口SIS連接到基本過程控制系統(tǒng);
●集成的SIS(integrated SIS):連接到基本過程控制系統(tǒng)的集成SIS,但需要充分隔離以符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
有些人可能認為,部署隔離的SIS比其它類型的SIS都更安全。但是,只要預(yù)先定義安全架構(gòu)并在安全系統(tǒng)設(shè)計、實施和維護期間強制實施,所有列出的體系結(jié)構(gòu)都可以提供強化的安全架構(gòu)。盡管很重要,但SIS體系架構(gòu)只是安全系統(tǒng)在定義安全性的一個方面。
利用縱深防御
保護SIS需要縱深防御方法。由于網(wǎng)絡(luò)攻擊每年都在增加,僅有一層保護對安全關(guān)鍵資產(chǎn)是不夠的。網(wǎng)絡(luò)管理員正采用多層安全保護——防病毒、用戶管理、多因素身份驗證、入侵檢測/預(yù)防、白名單、防火墻等,以確保未經(jīng)授權(quán)的用戶面臨不可逾越的進入障礙??v深防御策略的目標(biāo),是增加訪問控制保護機制。這可以通過添加相互補充的保護層來完成。
隔離系統(tǒng)
保護SIS最常用的方法之一,是將系統(tǒng)完全隔離,從而在核心SIS功能和基本過程控制系統(tǒng)之間產(chǎn)生“隔離帶”(圖2)。這種方法的好處顯而易見。如果SIS與其它系統(tǒng)分開,則默認會強化安全以預(yù)防入侵的發(fā)生。
圖2:具有緩沖區(qū)的基礎(chǔ)結(jié)構(gòu),將安全關(guān)鍵和非安全關(guān)鍵SIS分開,但額外增加了維護工作,以維護兩個不同系統(tǒng)上的縱深防御安全層。
但是,即使是隔離的系統(tǒng)也無法幸免于網(wǎng)絡(luò)攻擊。用戶最終需要從外部訪問系統(tǒng)來執(zhí)行任務(wù),例如提取事件記錄以進行事件分析、旁路、覆蓋、驗證測試記錄或執(zhí)行配置,更改以及應(yīng)用安全更新。USB驅(qū)動器,通常用于實現(xiàn)這些更新,更不容易對其進行保護。
由于對外部媒體存在依賴性,這就是為什么隔離的SIS,仍然需要額外的保護層的主要原因之一(正如用于保護基本過程控制系統(tǒng)的保護層)。適當(dāng)?shù)南到y(tǒng)強化,使用戶可以管理兩組獨立的縱深防御體系結(jié)構(gòu)。這樣就有可能增加工作時間,延長兩次停機之間的時間,并增加應(yīng)對由于疏忽而在保護層所留下的漏洞的緩沖區(qū)域。
接口系統(tǒng)
接口系統(tǒng)的功能類似于隔離系統(tǒng)。在隔離系統(tǒng)中,安全相關(guān)功能與非安全相關(guān)功能在物理上是分開的(圖3)。接口系統(tǒng)的區(qū)別在于,基本過程控制系統(tǒng)器件和SIS的核心功能,通過具有工業(yè)開放協(xié)議的工程鏈接進行連接。通常,防火墻或其它安全硬件和軟件會限制基本過程控制系統(tǒng)和SIS之間的流量。
圖3:接口體系架構(gòu)在物理上將SIS與基本過程控制系統(tǒng)分開,但是與基本過程控制系統(tǒng)有連接。此配置通常需要維護多個工程連接和縱深防御系統(tǒng)。
由于核心SIS和擴展SIS在物理上與外圍設(shè)備是分開的,因此接口系統(tǒng)可提供足夠的保護,以滿足ISA和NAMUR的標(biāo)準(zhǔn)。但是,就像在隔離的系統(tǒng)中一樣,需要保護SIS硬件和軟件。用戶必須確保與擴展SIS的連接,使之不會損害核心SIS。
為了獲得這種保護,接口系統(tǒng)要求在多個系統(tǒng)上復(fù)制縱深防御安全層。在某些情況下,必須監(jiān)視的多個網(wǎng)絡(luò)安全實例,可能會增加維持足夠安全性所需的工作量。最終用戶還應(yīng)確保基本過程控制系統(tǒng)和SIS之間連接的配置,不會將系統(tǒng)暴露在風(fēng)險之下。
集成系統(tǒng)
實施隔離系統(tǒng)的另一種選擇是集成SIS(圖4)。在這種方法中,SIS已集成到基本過程控制系統(tǒng),但是核心SIS與擴展SIS之間存在邏輯和物理隔離。通常,這種隔離是使用開箱即用的嵌入式網(wǎng)絡(luò)安全專有協(xié)議來實現(xiàn)的。這消除了由于手動設(shè)計SIS與基本過程控制系統(tǒng)之間的連接而產(chǎn)生的許多安全風(fēng)險。
圖4:在集成的SIS架構(gòu)中,安全關(guān)鍵功能在邏輯上和物理上是分開的,但仍位于同一系統(tǒng)上。這樣就無需維護多個縱深防御系統(tǒng)。
集成SIS需要與隔離系統(tǒng)相同級別的縱深防御保護,但是由于某些安全層需要同時保護基本過程控制系統(tǒng)和SIS,因此集成SIS可以減少監(jiān)視、更新和維護安全層所花費的時間和精力。這種方法提供的保護超出了普通的安全層。集成SIS還具有旨在保護核心SIS的其它特定安全層。
通過集成環(huán)境消除核心和擴展SIS之間復(fù)雜的工程接口,可以使工廠驗收測試(FAT)變得更簡單、更快速,從而有助于更快地使項目聯(lián)機并減少返工。
管理入口點
仔細考慮縱深防御層,對于提供網(wǎng)絡(luò)安全的SIS至關(guān)重要,但這還不夠。為了確保SIS網(wǎng)絡(luò)具有足夠的安全性,企業(yè)還必須限制進入安全關(guān)鍵功能的入口點,并采取措施緩解影響上述入口點的任何風(fēng)險。
SIS的安全關(guān)鍵功能可用的入口點越多,網(wǎng)絡(luò)攻擊利用安全層中可能存在的漏洞的機會就越大。雖然有可能充分防御多個入侵點以抵御入侵,但如果只需要防御1個入侵點,那將更容易實現(xiàn),而且占用的資源也更少。
NAMUR以接口格式為分區(qū)SIS體系結(jié)構(gòu)提供了清晰的指導(dǎo)(圖1)。核心SIS、擴展SIS和控制系統(tǒng)體系結(jié)構(gòu)在各自的區(qū)域中正確隔離。 3個區(qū)域中架構(gòu)元素(工程師站,BPCS,工廠信息管理系統(tǒng),資產(chǎn)管理系統(tǒng)等)之間的工程連接可以創(chuàng)建到核心SIS的多個潛在連接點。
這些連接點本身并不存在安全風(fēng)險;一般假設(shè)它們獲得足夠的縱深防御。如果每個環(huán)節(jié)都需要安全防護,可能需要管理5套或更多的安全硬件和軟件。
集成SIS架構(gòu)可以提供限制入口點的設(shè)計。最好的集成安全儀表系統(tǒng)配置了一個組件,可充當(dāng)進出關(guān)鍵安全功能的所有流量的網(wǎng)關(guān),從而只需要防御一個入口點,就可以使用保護基本過程控制系統(tǒng)相同的縱深防御層以及一些專用于核心SIS的附加保護層。這種設(shè)計可以減少維護和監(jiān)視,同時提供與其它體系結(jié)構(gòu)相同甚至更高水平的標(biāo)準(zhǔn)SIS隔離。
通常有一個假設(shè),就是說SIS和基本過程控制系統(tǒng)之間更多的物理隔離,意味著更多固有的安全性。但是,與緩沖區(qū)一樣,為了確保足夠的縱深防御,更多的物理隔離可能會導(dǎo)致維護和監(jiān)視開銷增加。對于企業(yè)來講,額外的成本限制了隔離網(wǎng)絡(luò)(air-gapping)的價值——在達到網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的同時尋求性能和生產(chǎn)的優(yōu)化。并同時嘗試。
集成和接口的系統(tǒng)可以實現(xiàn)高級別的連接性,同時在實施縱深防御的網(wǎng)絡(luò)安全結(jié)構(gòu)方面提供了靈活性。因為兩種體系結(jié)構(gòu)都提供最高級別的安全性,所以在系統(tǒng)的整個生命周期中,尋求維護可防護SIS的實施團隊通常會發(fā)現(xiàn),他們有更多的選項來選擇基本過程控制系統(tǒng)和SIS,以滿足獨特的企業(yè)目標(biāo)。
轉(zhuǎn)自:控制工程網(wǎng) 作者:Sergio Diaz