艾默生Sergio Diaz和Alexandre Peixoto在2019年艾默生全球用户大会上介绍了安全仪表系统(简称SIS系统)网络安全的最佳实践。Sergio表示:“本次主题分享实用信息,确保SIS系统更具防御性的安全优势。”
像工厂其它控制系统一样,深度防御也是SIS系统的重要概念,实施深度防御需从整个工厂层面的安全性、工程实践以及系统级防御开始。
Sergio用高压跳车情境下一个2oo3(一种提供防御等级的方法)安全仪表架构的(SIF)的案例做了说明。第一个威胁是更改脱机配置,第二个威胁是在线将压力设定值更改为危险区域。第三个是未经授权的下载导致更改逻辑或下载导致更改三个压力传感器设备。
对于脱机配置更改,第一步仅向具有资格和受过培训的人员开启访问权限。通过DeltaV密匙确定每个用户的权力范围,确保用户有足够的权限执行相关任务。通过智能卡和PIN登录到系统进行更改,可防止远程访问更改。
下一步,防止将脱机配置下载到SIS逻辑控制器。安全步骤包括添加一个批准人,该批准人必须登录系统在获得批准后允许下载。第二层保护是通过软件锁定对逻辑控制器进行锁定,防止下载、停用、调试和中断HART写入功能。第一层保护是必须使用智能卡和PIN等中介解锁物理密钥,进行更改。
可是,在现实中更多的挑战在于运营管理的挑战,因为现场的任意人都可以转动钥匙,或者意外解锁。Sergio介绍了物理锁和软件锁与自动锁功能相结合,可提高安全级别,从而应对以上挑战。
深度防御包括用户权限、双重身份验证、附加审批、锁定逻辑控制器以及更改物理设备现状。
Alexandre提出,安全旁路系统是进行安全检验或执行例行维护时的必要系统之一。每个安全旁路都会实施执行或拒绝两种选项。例如,除非获得旁路实施许可,否则可以多次拒绝旁路请求,强制进行物理批准。第二,确保执行旁路的用户拥有权限,且在物理状态外还使用了双重身份验证。第三,在进行旁路操作时提供安全仪表功能警报,以便操作员了解已完成的旁路操作。该警报仅针对需要了解已完成旁路操作的操作人员和维护人员。
此外,还需在安全性方面对易用性进行取舍。可见,安全旁路系统保护层包括物理实体、双重身份验证、其它批准人、提醒和自动旁路拆除。
Alexandre还强调了安全仪表功能中逻辑控制器I/O、传感器和最终控制元件的防御层。物理安全非常重要:对于SIF中使用的HART 7设备来说,除过一个主设备进行修改外,其它辅助主设备不能进行任何更改。
DeltaV系统可以是主设备。如果出现差异、线路故障和配置更改问题,则会发出警报。另一层是锁定逻辑控制器,防止通过HART与设备进行通信导致的更改。
以上安全防御机制都是除基本过程控制系统具备的网络分段、白名单、病毒防御和其它网络安全措施以外的更多防御措施。
关于艾默生
艾默生(美国纽约证券交易所代码:EMR)是一家全球性的技术与工程公司,为工业、商业及住宅市场用户提供创新性解决方案。自动化解决方案业务帮助过程、混合和离散行业制造商优化其能效和运营成本,促进生产,确保人员安全和保护环境。商住解决方案帮助确保人类舒适度和健康,保障食品质量和安全,提升能效,打造可持续发展的基础设施。如欲了解更多信息,欢迎访问:www.emerson.cn。