当企业开始实施安全仪表系统(SIS)项目时,利益相关者必须做出的第一个决策就是选择系统架构。通过遵循国际网络安全标准(例如IEC 62443(ANSI/ISA 62443系列标准)以及国际过程工业自动化用户协会(NAMUR)指南等),使得采用接口或集成的SIS架构更好的强化系统成为可能。了解每种体系结构背后的独特优势和注意事项,对于做出明智决定,以便最大程度的满足企业需求来说至关重要。
了解标准
网络安全标准提供了区分安全关键和非安全关键部件的指南。根据ISA准则,必须将安全关键资产与非安全关键资产,从逻辑或物理上划分为多个区域。
NAMUR在工作表NA163“SIS的安全风险评估”中,也提供了一组相似的准则。该准则定义了3个逻辑区域——核心SIS、扩展SIS和控制系统结构(NAMUR称之为“外围设备”),并指出它们在物理上或逻辑上必须是分开的(图1)。
图1:NAMUR提供了与ISA62443网络安全标准类似的一套指南,其中SIS功能分为3个区域:核心SIS、扩展SIS和控制系统体系结构(NAMUR称之为“外围设备”)。本文图片来源:艾默生
核心SIS由执行安全功能所需的器件组成(逻辑求解器、输入/输出(I/O)器件、传感器和终端执行器)。扩展的SIS,包含执行安全功能不需要的安全系统器件(例如,工程师站)。外围设备是诸如基本过程控制系统(BPCS)之类的器件和系统,它们不会直接或间接分配给SIS,但可以在安全功能的情境中使用。安全功能可能包括来自基本过程控制系统的重新发送请求,或在人机界面中显示安全功能。
两种标准都没有明确定义所需的体系结构。用户必须决定如何最好地构建SIS网络,并确保在最终设计中,基本过程控制系统和SIS之间提供足够的逻辑和物理隔离。通常,企业有3种选择来构建SIS网络:
●隔离的SIS(separated SIS):与基本过程控制系统完全断开连接并与之独立;
●接口的SIS(interfaced SIS):通过工业协议(通常是Modbus)将接口SIS连接到基本过程控制系统;
●集成的SIS(integrated SIS):连接到基本过程控制系统的集成SIS,但需要充分隔离以符合网络安全标准。
有些人可能认为,部署隔离的SIS比其它类型的SIS都更安全。但是,只要预先定义安全架构并在安全系统设计、实施和维护期间强制实施,所有列出的体系结构都可以提供强化的安全架构。尽管很重要,但SIS体系架构只是安全系统在定义安全性的一个方面。
利用纵深防御
保护SIS需要纵深防御方法。由于网络攻击每年都在增加,仅有一层保护对安全关键资产是不够的。网络管理员正采用多层安全保护——防病毒、用户管理、多因素身份验证、入侵检测/预防、白名单、防火墙等,以确保未经授权的用户面临不可逾越的进入障碍。纵深防御策略的目标,是增加访问控制保护机制。这可以通过添加相互补充的保护层来完成。
隔离系统
保护SIS最常用的方法之一,是将系统完全隔离,从而在核心SIS功能和基本过程控制系统之间产生“隔离带”(图2)。这种方法的好处显而易见。如果SIS与其它系统分开,则默认会强化安全以预防入侵的发生。
图2:具有缓冲区的基础结构,将安全关键和非安全关键SIS分开,但额外增加了维护工作,以维护两个不同系统上的纵深防御安全层。
但是,即使是隔离的系统也无法幸免于网络攻击。用户最终需要从外部访问系统来执行任务,例如提取事件记录以进行事件分析、旁路、覆盖、验证测试记录或执行配置,更改以及应用安全更新。USB驱动器,通常用于实现这些更新,更不容易对其进行保护。
由于对外部媒体存在依赖性,这就是为什么隔离的SIS,仍然需要额外的保护层的主要原因之一(正如用于保护基本过程控制系统的保护层)。适当的系统强化,使用户可以管理两组独立的纵深防御体系结构。这样就有可能增加工作时间,延长两次停机之间的时间,并增加应对由于疏忽而在保护层所留下的漏洞的缓冲区域。
接口系统
接口系统的功能类似于隔离系统。在隔离系统中,安全相关功能与非安全相关功能在物理上是分开的(图3)。接口系统的区别在于,基本过程控制系统器件和SIS的核心功能,通过具有工业开放协议的工程链接进行连接。通常,防火墙或其它安全硬件和软件会限制基本过程控制系统和SIS之间的流量。
图3:接口体系架构在物理上将SIS与基本过程控制系统分开,但是与基本过程控制系统有连接。此配置通常需要维护多个工程连接和纵深防御系统。
由于核心SIS和扩展SIS在物理上与外围设备是分开的,因此接口系统可提供足够的保护,以满足ISA和NAMUR的标准。但是,就像在隔离的系统中一样,需要保护SIS硬件和软件。用户必须确保与扩展SIS的连接,使之不会损害核心SIS。
为了获得这种保护,接口系统要求在多个系统上复制纵深防御安全层。在某些情况下,必须监视的多个网络安全实例,可能会增加维持足够安全性所需的工作量。最终用户还应确保基本过程控制系统和SIS之间连接的配置,不会将系统暴露在风险之下。
集成系统
实施隔离系统的另一种选择是集成SIS(图4)。在这种方法中,SIS已集成到基本过程控制系统,但是核心SIS与扩展SIS之间存在逻辑和物理隔离。通常,这种隔离是使用开箱即用的嵌入式网络安全专有协议来实现的。这消除了由于手动设计SIS与基本过程控制系统之间的连接而产生的许多安全风险。
图4:在集成的SIS架构中,安全关键功能在逻辑上和物理上是分开的,但仍位于同一系统上。这样就无需维护多个纵深防御系统。
集成SIS需要与隔离系统相同级别的纵深防御保护,但是由于某些安全层需要同时保护基本过程控制系统和SIS,因此集成SIS可以减少监视、更新和维护安全层所花费的时间和精力。这种方法提供的保护超出了普通的安全层。集成SIS还具有旨在保护核心SIS的其它特定安全层。
通过集成环境消除核心和扩展SIS之间复杂的工程接口,可以使工厂验收测试(FAT)变得更简单、更快速,从而有助于更快地使项目联机并减少返工。
管理入口点
仔细考虑纵深防御层,对于提供网络安全的SIS至关重要,但这还不够。为了确保SIS网络具有足够的安全性,企业还必须限制进入安全关键功能的入口点,并采取措施缓解影响上述入口点的任何风险。
SIS的安全关键功能可用的入口点越多,网络攻击利用安全层中可能存在的漏洞的机会就越大。虽然有可能充分防御多个入侵点以抵御入侵,但如果只需要防御1个入侵点,那将更容易实现,而且占用的资源也更少。
NAMUR以接口格式为分区SIS体系结构提供了清晰的指导(图1)。核心SIS、扩展SIS和控制系统体系结构在各自的区域中正确隔离。 3个区域中架构元素(工程师站,BPCS,工厂信息管理系统,资产管理系统等)之间的工程连接可以创建到核心SIS的多个潜在连接点。
这些连接点本身并不存在安全风险;一般假设它们获得足够的纵深防御。如果每个环节都需要安全防护,可能需要管理5套或更多的安全硬件和软件。
集成SIS架构可以提供限制入口点的设计。最好的集成安全仪表系统配置了一个组件,可充当进出关键安全功能的所有流量的网关,从而只需要防御一个入口点,就可以使用保护基本过程控制系统相同的纵深防御层以及一些专用于核心SIS的附加保护层。这种设计可以减少维护和监视,同时提供与其它体系结构相同甚至更高水平的标准SIS隔离。
通常有一个假设,就是说SIS和基本过程控制系统之间更多的物理隔离,意味着更多固有的安全性。但是,与缓冲区一样,为了确保足够的纵深防御,更多的物理隔离可能会导致维护和监视开销增加。对于企业来讲,额外的成本限制了隔离网络(air-gapping)的价值——在达到网络安全标准的同时寻求性能和生产的优化。并同时尝试。
集成和接口的系统可以实现高级别的连接性,同时在实施纵深防御的网络安全结构方面提供了灵活性。因为两种体系结构都提供最高级别的安全性,所以在系统的整个生命周期中,寻求维护可防护SIS的实施团队通常会发现,他们有更多的选项来选择基本过程控制系统和SIS,以满足独特的企业目标。(作者:Sergio Diaz)