2010年10月，來自伊朗的一個關于工業網絡病毒Stuxnet（計算機蠕蟲病毒）的報告引起了全球的注意，該病毒通過Windows操作系統中此前不為人知的漏洞感染計算機，并通過網絡、移動介質以及西門子項目文件等方式進行傳播。Stuxnet病毒是專門設計來攻擊伊朗重要工業設施的，包括備受國際關注的布什爾核電站，它在入侵系統之后會尋找廣泛用于工控系統的軟件，并通過對軟件重新編程實施攻擊，病毒能控制關鍵過程并開啟一連串執行程序，最終導致的后果難以預估。Stuxnet是目前首個針對工控系統展開攻擊的計算機病毒，已經對伊朗國內工業控制系統產生極大影響，Stuxnet可以說是計算機病毒界革命性創新，給工業控制系統網絡安全帶來新警示-“工業病毒”時代已經來臨。

    隨著信息技術的不斷推廣應用，諸如內部控制系統（DCS及PLC等），國內、外化工領域逐步推廣應用的各種安全控制系統（緊急停車系統ESD、停車聯鎖/儀表系統SIS、儀表保護系統IPS及故障安全控制系統FSC等）以及基礎應用類系統（一些定制系統）與外界不再隔離。越來越多的案例表明，工廠信息網絡、移動存儲介質、因特網以及其它因素導致的網絡安全問題正逐漸在控制系統和基礎應用類系統中擴散，直接影響了生產控制的穩定與安全。這將是我們石油煉化連續性生產企業面臨的重大安全課題。隨著石油化工及電力等行業進入規模化生產，生產裝置積聚的能量越來月大，可能造成的重大工業事故使人們前所未有地重視工業生產中的安全問題 。

1  企業控制網絡安全現狀

    十年來，隨著信息技術的迅猛發展，信息化在石油煉化連續性生產企業中的應用快速發展，網絡安全技術、網絡安全管理體系也取得了重大進發展，為重要核心應用系統的長、安、穩、滿、優運行起到巨大的支撐作用和保障作用。

    但是多年來，企業更多地關注的是管理網絡的安全問題，而對控制網絡的安全問題關注意識并不強。隨著ERP、MES等系統的實施，信息化的觸角已經延伸到各個生產單元，包括生產裝置、罐區、產品進/出廠點。由于歷史原因，企業網絡往往都是一個整體，管理網與工業控制網（或基礎應用網）防護功能弱或甚至幾乎沒有隔離功能，同時由于近幾年控制系統（或基礎應用系統）功能的不斷提升，系統在進一步開放的同時，也帶來了系統的安全問題，減弱了控制系統與外界的隔離，2000年以前的控制系統一般都有自己獨立的操作系統，其開放性及通用性較弱，因此幾乎不存在網絡安全風險。但目前的控制系統一般使用開放的Windows操作系統和OPC協議進行數據通訊，網絡也采用冗余工業以太網模式，尤其是服務器結構的控制系統,一旦服務器出現異常，受侵害的不僅僅是一個操作站，而是整個系統的癱瘓。近幾年來，國內、外許多企業的DCS控制系統已經有中病毒或遭黑客攻擊的現象，對此企業IT人員卻無能為力，不敢動或不能動，只能等裝置停工檢修期間由廠商處理，給安全生產帶來了極大的隱患。

    另一方面，由于人們在認識和知識面上存在差距，許多企業對控制類系統的安全存在認識上的誤區：一是認為企業網與互聯網之間已經安裝了專業防火墻，控制網絡是安全的；二是認為控制系統沒有直接連接互聯網，控制系統是安全的；三是認為黑客或病毒不懂控制系統。而實際情況是，盡管在企業網內部安裝了功能較完備的網絡安全防護產品，施行了各類網絡安全技術，建立了信息安全管理體系，但控制系統的安全問題卻越來越嚴峻，主要原因是對許多控制網沒有有效的隔離手段，而企業推廣應用的一些安全產品又不能直接安裝到這些系統上去。目前，針對企業控制網絡的安全事件存在以下共同點：

    a.“軟”目標。大多數DCS系統中的計算機，很少或沒有機會安裝全天候的病毒防護和更新版本，同時控制器的設計都以實時的I/O功用為主，并不提供加強的網絡連接防護功能。

    b.多個網絡端口切入點。在多個網絡安全事件中，事由都源于對多個網絡端口進入點疏于防護，而且控制系統維護人員（非IT人員）在維護與維修過程中的監管也不到位。

    c.疏漏的網絡分割設計。許多控制網絡都是“敞開的”，不同子系統之間都沒有有效的隔離，尤其是基于OPC以及MODBUS等通訊的工業控制網絡。

2  目前業界控制網絡安全技術

    國際上比較流行的安全解決方案有網閘及工業防火墻等，能夠對通訊協議進行深度檢查，可以有效地保護工業控制系統、基礎類應用系統和不同網絡區域不會遭到攻擊與破壞。其主要實現策略列舉如下：

    a．將企業網絡及控制網絡進行“區域和渠道”的劃分。新ANSI/ISA-99安全標準的核心理念是“區域和渠道”，根據控制功能將網路分層或分域，多分區隔有助于提供“縱深”防御。

    b．定義區域之間的連接“管道”。要了解和管理好系統所有區域之間的“管道”，并對“管道”要有安全的管制。具體包括進入區域的管制，采用DOS防范攻擊或惡意軟件的轉移，屏蔽其它網絡系統，保護網絡流量的完整性和保密性。

    c．區域及管道保護網絡。每一個服務管道，安全設備只允許正確的設備操作所必需的通信。

    d．集中安全管理監控。在另外一個平臺上，安裝集中式安全監控管理模塊，管理和檢測所有安全設備，可隨時進行報警確認和歷史信息查詢，為網絡故障的及時排查、分析提供可靠依據。

3  齊魯公司控制網絡構架及面臨風險

    中國石化齊魯分公司(以下簡稱齊魯分公司)是一家特大型煉化企業，其企業網支撐著ERP、MES、OA等多種應用，基本涵蓋了整個企業管理和生產控制單元。根據企業網絡建設現狀，結合業內工業安全的先進安全技術，制定和實施管理網和控制網整體安全解決方案有兩部分。

    3.1  現有控制網和管理網架構體系

    齊魯分公司是石化內部實施DCS控制系統和實時數據庫最早的企業之一（1986年在催化裂化裝置實施DCS，1992年使用IP21的前身軟件SETCON實時數據庫技術），共有各類DCS、PLC系統等近九十多套，但是僅有少數安裝了防病毒軟件和硬件防火墻。為給MES系統提供最基礎數據源，建立了上、下一體的兩級InfoPlus.21實時數據庫平臺體系。系統的拓撲和整體架構和拓撲如圖1、2所示。

圖1 系統拓撲結構圖

圖2 齊魯公司實時數據庫架構體系

    分廠級實時數據庫對底層控制系統及儀表的數據采集都通過OPC接口來實現（圖3），通過Infoplus.21實時數據庫的Cim-IO For InofPlus.21接口實現與公司級Infoplus.21實時數據庫間的數據傳輸，從以上二級分廠的實時數據庫中將所需數據讀取到公司實時數據庫中。

圖3 分廠級數據采集系統結構圖

    3.1.1  DCS控制網

    DCS控制網為第1層，該網絡為實時控制網，負責控制器、操作站及工程師站之間過程控制數據實時通訊。在這個層面通常有的節點類型有控制器、操作站、工程師站、ESD及OPC Server等。目前基本所有控制系統制造商的操作站和服務器都采用基于Windows操作系統的PC機作為平臺，同時網絡也采用冗余工業以太網模式。

    3.1.2  分廠信息數采網

    分廠信息數采網為第2層，其核心設備由各個分廠數據采集實時數據庫（Aspen IP21）服務器和各個裝置DCS數據采集緩存機（Buffer）以及OPC Server構成。部分OPC Server直接與IP21數據庫相連，部分OPC Server通過Buffer和IP21數據庫相連。Buffer機即可以作為數據采集的緩存又可以通過其自身的雙網卡設置抵御外部的非法入侵，杜絕黑客等惡意地對控制系統進行直接攻擊。

    3.1.3  齊魯公司MES/OA信息網

    MES/OA信息網為第3層，各個分廠的實時數據庫通過Aspen CM-IO與齊魯公司的總實時數據庫相連，實現基于生產過程數據的MES應用。

   3.2  現有架構體系下的安全隱患風險

    從前文所述的整個架構體系中可以看出，齊魯公司的管理網與控制網是緊密融合在一起的，九十多套DCS和PLC系統所構成的實時數據采集架構體系幾乎覆蓋了公司的整個管理網絡，安全形勢不容樂觀，存在下述安全風險隱患：

    a．目前許多控制系統的工程師站/操作站(HMI)都是Windows平臺，任何一個版本的Windows自發布以來都在不停的發布漏洞補丁，為保證過程控制系統相對的獨立性，現場工程師（一般多是儀表維護工程師）通常在系統開車后不會對Windows平臺打任何補丁，更為重要的是打過補丁的操作系統沒有經過制造商測試，存在安全運行風險。但是與之相矛盾的是，系統不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成本機乃至控制網絡的癱瘓。

    b．基于工控軟件與殺毒軟件的兼容性問題，在操作站上通常不安裝殺毒軟件。即使安裝有殺毒軟件，其基于病毒庫查殺的機制在工控領域使用也有局限性，對病毒庫的升級維護難于統一，更重要的是對新病毒的處理總是存在滯后，這導致每年都會大規模地爆發病毒，特別是新病毒。

    c．OPC是基于Microsoft的分布式組件對象模式（DCOM）技術，該技術使用了遠程過程調用（RPC）網絡協議來實現工業網絡中的以太網連接。來自該領域的安全研究人員（包括黑客組織）卻發現該標準中存在一些嚴重問題。如OPC 使用的Windows的DCOM和RPC服務極易受到攻擊。在過去的5年內，來自網絡的病毒和蠕蟲對這些接口的攻擊越來越強，這個方式幾乎成為了病毒和蠕蟲開發者目前的最愛。

    d．在實現數據采集的過程中，數據采集服務器雖然采用了雙網卡技術，管理信息網與控制網通過該服務器進行了隔離，部分惡意程序不能直接攻擊到控制網絡，但對于能夠利用 Windows 系統漏洞的網絡蠕蟲及病毒等，這種配置沒有作用，病毒會在信息網和控制網之間互相傳播。安裝殺毒軟件可以對部分病毒或攻擊有所抑制，但病毒庫存在滯后，所以不能從根本上進行防護。

    因此，按照ANSI/ISA-99安全標準建立新的安全防范體系，以確保控制系統安全是當務之急。

4 齊魯公司控制網安全防護解決方案

    4.1 安全防護的目標

    企業網絡要保證安全可靠，最好的方法是建立一個私有信道，并創造一個相對獨立的網絡。

    4.1.1  通訊可控

    網絡數據的傳輸總給人以抽象和概念性的印象，沒有一個直觀的顯示，通訊電纜如同高速公路，怎樣能夠直觀地觀察、監控和管理通訊電纜中流過的數據，是技術人員首先要實現的目標。通過這個管控，對控制網絡而言僅需要保證制造商專有協議數據通過即可，對其它基于Windows應用的不必要通信一律禁止，從而創造一個單一制造商的通信網絡的環境。

    4.1.2  區域隔離

    網絡安全問題不同于其它設備故障，對計算機網絡筆者認為最可怕的是病毒的急速擴散，它會瞬間令整個網絡癱瘓，具有可擴散性和快速性的特點。目前，雖然技術人員在現場采取了很多措施，但要杜絕網絡安全問題是不可能的，所以必須保證即使在控制網局部出現問題時也能保持裝置或工廠的安全穩定運行。這就要在關鍵通道上部署網絡隔離設備，這樣就能工業生產企業的控制系統創造一個相對獨立的網絡環境。

    4.1.3 實時報警

    報警的首要問題是把網絡安全問題消滅在萌芽中，同時通過對報警事件的記錄存儲，為企業網絡解決部分已發生過的安全事件提供分析依據，告別主觀經驗推斷的模式。怎樣才能及時發現網絡中存在的感染及其它問題，準確找到故障的發生點，是維護控制網絡安全的前提。

    4.2 網絡安全解決方案

    目前，齊魯公司使用Tofino技術實施整體網絡安全解決方案，現以烯烴廠為例進行說明。針對烯烴廠網絡結構 [5] 及具體應用要求，分別在過程控制網內部、數采網和過程控制網之間、APC控制站與過程控制網之間、DCS與數采網之間安裝防火墻，并安裝相應的LSM軟插件，然后在數采網安裝中央管理平臺（Central Management Platform，CMP）對TSA進行管理和組態，最后在辦公局域網內安裝安全管理平臺，對整個網絡進行實時在線監控。具體方案拓撲圖如圖4所示。

 圖4  齊魯公司烯烴廠工業網絡安全結構拓撲

    4.2.1 DCS控制網安全防護解決方案

    如圖5所示，對工程師站和APC站與控制網絡隔離。工程師站和APC站較多接觸移動介質，感染病毒機率較大，增加防火墻后與控制網絡進行隔離，即使感染病毒不至于擴散。

圖5 控制網絡安全防護示意圖

    當控制系統通過以太網與ESD或其它第三方系統連接時，在兩者之間添加防火墻。安裝與防護原理如下：

    a．增加工業防火墻，并安裝Firewall插件（工程師站、ESD和APC站防護）和OPC Enforcer（APC站防護）；

    b．將工程師站的兩條冗余通訊電纜經過防火墻再接到DCS控制網絡中，在工程師站安裝CMP中央管理平臺；

    c．通過對Firewall插件的組態，通信規則只允許DCS制造商的通訊協議才能通過，其它任何病毒或其它非法訪問都被阻止，這樣來自防護區域內的病毒感染不會擴散到外面的網絡中去，來自外部的攻擊也不會影響到防護區域內的設備，提供防火墻及網絡交通控制功能的軟插件，符合 ANSI/ISA-99.00.02 的網絡分段要求，達到區域隔離目標。

    4.2.2 工廠信息數采網與控制網之間的安全防護解決方案

    采用工業防火墻解決方案，在兩層網絡之間增加OPC通信協議防火墻。整個解決方案由TSA防火墻硬件+ OPC Enforcer +CMP中央管理平臺3部分組成（圖6），安裝與防護原理如下：

    a．增加工業防火墻，并安裝Firewall插件和OPC Enforcer插件；

    b．在OPC Server和Buffer機之間增加工業防火墻，在接口機安裝CMP；

    c．管控OPC服務器及授權客戶端之間的數據通信，并且應用專有技術動態跟蹤OPC通信所需端口，同時Tofino的 Sanity Check檢查功能能夠阻擋任何不符合OPC標準格式的DCE/RPC 訪問。同樣也對OPC授權客戶端發往OPC服務器的OPC對象請求進行檢查，以提高OPC服務的安全性，在接口機安裝CMP用以對TSA進行組態和管理。

圖6 信息數采網與控制網之間安全防護示意圖

    4.2.3 中央管理平臺和安全管理平臺

    中央管理平臺CMP通過一臺工作站來配置和管理控制網絡安全。CMP的專用軟件能夠通過一個工作站進行配置、管理和監測網絡上的所有安全設備。這樣既可快速創建整個控制網絡模型。可視的拖放式編輯工具可以輕松地創建、編輯和測試安全設備。取得此安全系統的授權后，CMP可以立刻看到整個系統的運行狀態，并用一系列措施應對網絡遇到的威脅。

    在辦公局域網內安裝安全管理平臺SMP，可以集成所有來自CMP平臺的所有事件報警信息，并可劃分等級進行報警，通過采用手機短信及電子郵件等方式進行實時通知相關主管人員。該平臺能夠準確捕獲現場所有安裝防火墻的通訊信道中的攻擊，并且詳細顯示攻擊源、通訊協議和攻擊目標，以總攬大局的方式為工廠網絡故障的及時排查與分析提供可靠依據。

5  結語語

    采用以太網和TCP/IP協議作為最主要的通訊協議和手段，向網絡化、標準化、開放化發展是各種工業通訊和自動化控制系統技術的主要潮流。這也必將導致其面臨傳統局域網、廣域網面臨的安全問題。但只要遵循以區域及管道保護網絡為核心的通訊原則，并采用集中安全管理監控的管理方式，對企業內控制系統進行深入分析，實施全面、有針對性的防護策略，就能提供必要的安全保障，確保企業生產控制系統長期穩定的安全運行。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業工業控制網絡安全技術探討及實現

本文網址：http://www.guhuozai8.cn/html/consultation/1083942049.html