0 引言

    隨著互聯網日新月異的發展和企業集團信息化整合的加強，企業網絡應用的范圍在不斷擴大，通過廣域網實現集團內部資源共享、統一管理等，企業信息化網絡不再是單純意義上的Intranet，而更多的則是基于Internet的網絡和應用。但網絡開放的同時，帶來的安全問題就更加嚴峻了，各種安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。

1 石化MES發展概述

    當今石化企業普遍采用基于ERP／SCM，MES和PCS三層架構的管控一體化信息模型，MES處于企業信息系統ERP／SCM和過程控制系統的中間位置。MES在整個信息系統中主要擔當了兩個方面的重要作用：一是數據雙向通道的作用。即通過MES的實施，可以有效彌補企業PCS層及ERP／SCM層之問的數據間隙，由下至上，通過對底層PCS層數據的搜集、存儲及校正，建立過程控制數據層次上的數字化工廠，結合生產調度層次上的調度事件信息數據等，為上層ERP／SCM計劃管理層提供準確統一的生產數據；由上至下，通過對實時生產數據的總結，上層ERP／SCM層可以根據未來訂單及現階段生產狀況調整生產計劃，下發MES層進行計劃的分解及產生調度指令，有效指導企業生產活動。因此，MES在數據層面上，起到了溝通PCS層和ERP／SCM層的橋梁作用，并保證了生產數據、調度事件等信息的一致性及準確性。另一方面，生產活動的復雜性產生了很多實際的用戶需求，為了滿足這些用戶需求，MES也可以視為一個功能模塊的集合。

    國內煉化企業從1999年開始，逐步意識到MES的開發及實施工作對于工廠信息化建設的重要性，這個過程主要分為兩個階段：煉化企業主要依據實際生產應用需求，在工廠開發實施一些獨立非系統化的MES模塊(例如：數據整合與物料平衡系統等)；煉化企業開始注重MES的完整性，在PCS系統上架設統一的工廠實時／關系數據平臺，向上連接ERP／SCM系統，形成完整的企業綜合自動化系統三層結構，在生產活動方面的用戶需求通過功能模塊的架構及實施得到解決。以中石油的煉化企業為例，2004年中石油MES項目正式啟動以來，目前三期工作于2008年在全行業展開。

2 MES控制網絡安全

    2．1 兩網融合

    基于管控一體化的主導思想，石化MES的核心功能是基于實時數據庫的生產調度管理，并以實現對控制系統的數據采集作為必要前提條件。這意味著運行MES的信息網絡必須要實現與控制網絡之間的數據交換。此時，PCS層的控制網絡也不再以一個獨立的網絡運行，而要與信息網絡互通、互聯。

    兩網融合，為我們在建設MES時帶來新的思考，既不能再將控制網絡與MES割裂開來。特別是從網絡安全的角度，控制網絡已經成為MES的一部分，必須通盤考慮。

    2．2 控制網絡開放性

    以石化主流控制系統DCS為例，過去的DCS廠商基本上是以自主開發為主，提供的系統也是自己的系統。當今的DCS廠商更強調開放系統集成性，紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式，在新一代DCS的操作站中，幾乎清一色采用PC+Windows的技術架構，使用戶的投資及維護成本大幅降低。

    同時，DCS網絡技術也呈現出開放的特征。過去，由于通信技術相對落后，網絡技術開放性是困擾用戶的一個重要問題。而當代網絡技術、軟件技術的發展為開放系統提供了可能。網絡技術開放性體現在DCS可以從多個層面與第三方系統互聯，同時支持多種網絡協議。目前在與企業管理層信息平臺互聯時，大多采用基于TCP(UDP)／IP協議的以太網通信技術，使用OPC等開放接口標準。

    2．3 控制網絡安全漏洞

    2．3．1 網絡通信協議安全漏洞

    隨著TCP(UDP)／IP協議被控制網絡普遍采用，網絡通信協議漏洞問題變得越來越突出。TCP／IP協議簇最初設計的應用環境是美國國防系統的內部網絡，這一網絡是互相信任的，因此它原本只考慮互通互聯和資源共享的問題，并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。

    a)缺乏對用戶身份的鑒別。TCP／IP的機制性漏洞之一是缺乏對通信雙方真實身份的鑒別機制。由于TCP／IP使用IP地址作為網絡節點的唯一標識，而IP地址的使用和管理又存在很多問題，因而一方面很容易導致IP地址的暴露，另一方面IP地址很容易被偽造和更改。

    b)缺乏對路由協議的鑒別認證。TCP／IP在IP層上缺乏對路由協議的安全認證機制，對路由信息缺乏鑒別與保護，因此可以通過互聯網，利用路由信息修改網絡傳輸路徑，誤導網絡分組傳輸。

    c)TCP／UDP自身缺陷。TCP／IP協議簇規定了TCP／UDP是基于IP協議上的傳輸協議，TCP分段和UDP數據包是封裝成IP包在網上傳輸的，除了可能面I臨IP層所遇到的安全威脅外，還存在TCP／UDP實現中的安全隱患。

    2．3．2 操作系統安全漏洞

    PC+Windows的技術架構現已成為控制系統上位機／操作站的主流。而在控制網絡中，上位機／操作站是實現與MES通信的主要網絡結點，因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個薄弱環節。

    2．3．3 應用軟件安全漏洞

    處于應用層的應用軟件產生的漏洞是最直接、最致命的。一方面這是因為應用軟件形式多樣，很難形成統一的防護規范以應對安全問題；另一方面最嚴重的是，當應用軟件面向網絡應用時，就必須開放其應用端口。

    目前黑客攻擊應用軟件漏洞常用的方法是“緩沖區溢出”，它通過向控制終端發送惡意數據包來獲取控制權。一旦獲取控制權，攻擊者就可以如在本地一樣去操控遠程操作站上的監控軟件，修改控制參數。

    2．4 控制網絡安全隱患

    控制網絡的安全漏洞暴露了整個控制系統安全的脆弱性。由于網絡通信協議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷，從而使得攻擊者能夠在未授權的情況下訪問和操控控制網絡系統，形成了巨大的安全隱患。控制網絡系統的安全性同樣符合“木桶原則”，其整體安全性不在于其最強處，而取決于系統最薄弱之處，即安全漏洞所決定。只要這個漏洞被發現，系統就有可能成為網絡攻擊的犧牲品。主要安全隱患有以下幾種。

    2．4．1 入侵

    系統被入侵是系統常見的一種安全隱患。黑客侵入計算機和網絡可以非法使用計算機和網絡資源，甚至是完全掌控計算機和網絡。

    控制網絡的計算機終端和網絡往往可以控制諸如大型化工裝置、公用工程設備，甚至核電站安全系統等大型工程化設備。黑客一旦控制該系統，對系統造成一些參數的修改，就可能導致生產運行的癱瘓。隨著近些年來越來越多的控制網絡接入到互聯網當中，這種可能性就越來越大。

    2．4．2 拒絕服務攻擊

    受到拒絕服務攻擊是一種危害很大的安全隱患。常見的流量型攻擊如Ping Flooding，UDPFlooding等，以及常見的連接型攻擊如SYNFlooding，ACK Flooding等，通過消耗系統的資源，如網絡帶寬、連接數、CPU處理能力等使得正常的服務功能無法進行。拒絕服務攻擊難以防范的原因是它的攻擊對象非常普遍，從服務器到各種網絡設備如路由器、交換機、防火墻等都可以被拒絕服務攻擊。控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致操作站的服務癱瘓，與控制系統的通信完全中斷等。

    2．4．3 病毒與惡意代碼

    病毒的泛濫是大家有目共睹的。全球范圍內，每年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒，并且還在以每天數十余種的速度增長。除了傳統意義上的具有自我復制能力但必須寄生在其他實用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲，卻可以自我獨立完成以下過程：

    a)查找遠程系統：能夠通過檢索已被攻陷的系統的網絡鄰居列表或其他遠程系統地址列表找出下一個攻擊對象。

    b)建立連接：能夠通過端口掃描等操作過程自動和被攻擊對象建立連接，如Telnet連接等。

    C)實施攻擊：能夠自動將自身通過已經建立的連接復制到被攻擊的遠程系統，并運行它。一旦計算機和網絡染上了惡意代碼，安全問題就不可避免。

    2．5 常規網絡安全技術

    石化企業隨著信息系統的不斷發展，大量IT技術被引入，同時也包括各種IT網絡安全技術。目前以MES為代表的信息系統在實現控制網絡接入信息網絡時，也基本都考慮了對控制網絡的安全防護。但目前對控制網絡的防護，大部分采用的是常規網絡安全技術，主要包括防火墻，IDS，VPN，防病毒等。這些技術主要面向商用網絡應用。

    在企業的信息化系統中，由辦公網絡、管理網絡組成的信息網絡與商用網絡的運維特點比較相似，因此采用常規網絡安全技術是適合的。而控制網絡特點則有很大不同。

    控制網絡是控制系統如DCS各部件協同工作的通信網絡。控制系統負責對生產裝置的連續不問斷地生產控制，因此控制網絡同樣具有連續不可間斷的高可靠性要求。另一方面，控制網絡也是操作人員對控制系統實時下發控制指令的重要途徑，所以控制網絡又具有不可延遲的高實時性要求。通過比較商用網絡與控制網絡的差異可以發現，常規的IT網絡安全技術都不是專門針對控制網絡需求設計的，用在控制網絡上就會存在很多局限性。

    比如防火墻產品，目前基本是以包過濾技術為基礎的，它最大的局限性在于不能保證準許放行的數據的安全性。防火墻通過拒絕放行并丟棄數據包來實現自己的安全機制。但防火墻無法保證準許放行數據的安全性。從實際應用來看，防火墻較為明顯的局限性包括以下幾方面：

    a)防火墻不能阻止感染病毒的程序和文件的傳輸。

    b)防火墻不能防范全新的威脅，更不能防止可接觸的人為或自然的破壞。

    C)防火墻不能防止由自身安全漏洞引起的威脅。

    d)防火墻對用戶不完全透明，非專業用戶難以管理和配置，易造成安全漏洞。

    e)防火墻很難為用戶在防火墻內外提供一致的安全策略，不能防止利用標準網絡協議中的缺陷進行的攻擊，也不能防止利用服務器系統漏洞所進行的攻擊。

    f)由于防火墻設置在內網與外網通信的信道上，并執行規定的安全策略，所以防火墻在提供安全防護的同時，也變成了網絡通信的瓶頸，使網絡傳輸延時，如果防火墻出現問題，那么內部網絡就會受到嚴重威脅。

    g)防火墻僅提供粗粒度的訪問控制能力，它不能防止數據驅動式的攻擊。另一方面，防火墻由于其自身機理的原因，還存在很多先天不足，主要包括：

    a)由于防火墻本身是基于TCP／IP協議體系實現的，所以它無法解決TCP／IP協議體系中存在的漏洞。

    b)防火墻只是一個策略執行機構，它并不區分所執行政策的對錯，更無法判別出一條合法政策是否真是管理員的本意。

    c)防火墻無法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。

    d)防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對數據包檢查的項目(即防火墻的功能)就越多越細，對CPU和內存的消耗也就越大，從而導致防火墻的性能下降，處理速度減慢。

    e)防火墻準許某項服務，卻不能保證該服務的安全性，它需要由應用安全來解決。防火墻正是由于這些缺陷與不足，導致目前被攻破的幾率已經接近50％。

3 網絡隔離技術及產品

    3．1 網絡隔離技術

    在防火墻的發展過程中，人們最終意識到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火墻體系架構在高安全性方面的缺陷，驅使人們追求更高安全性的解決方案，人們期望更安全的技術手段，網絡隔離技術應運而生。

    網絡隔離技術是安全市場上的一個分支。在經過漫長的市場概念澄清和技術演變進步之后，市場最終接受了網絡隔離具有最高的安全性。網絡隔離技術經過長時間的發展，目前已經到了第五代技術。第一代采用完全的隔離技術，實際上是將網絡物理上的分開，形成信息孤島；第二代采用硬件卡隔離技術；第三代采用數據轉發隔離技術；第四代采用空氣開關隔離技術；第五代采用安全通道隔離技術。

    基于安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機制，來實現內外部網絡的隔離和數據交換，不僅解決了以前隔離技術存在的問題，并有效地把內外部網絡隔離開來，而且高效地實現了內外網數據的安全交換。透明支持多種網絡應用，成為當前隔離技術的發展方向。網絡隔離的指導思想與防火墻也有很大的不同，體現在防火墻的思路是在保障互聯互通的前提下，盡可能安全；而網絡隔離的思路是在必須保證安全的前提下，盡可能支持數據交換，如果不安全則斷開。

    網絡隔離技術主要目標是解決目前信息安全中的各種漏洞：操作系統漏洞、TCP／IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等，網絡隔離是目前唯一能解決上述問題的安全技術。

    3．2 網絡隔離產品

    基于網絡隔離技術的網絡隔離產品是互聯網時代的產物。目前，已經在工業領域用于控制網絡安全防護的網絡隔離產品主要有網閘、工業網絡安全防護網關等產品。這些產品大部分都是基于最新的第五代隔離技術開發出來的，其主要的技術原理是從OSI模型的七層上全面斷開網絡連接，同時采用“2+1”的三模塊架構，如圖1所示，即內置有兩個主機系統，和一個用于建立安全通道可交換數據的隔離單元。這種架構可以實現連接到外網和內網的兩主機之間是完全網絡斷開的，從物理上進行了網絡隔離，消除了數據鏈路的通信協議，剝離了TCP／IP協議和應用協議，在安全交換后進行了協議的恢復和重建。通過TCP／IP協議剝離和重建技術消除了TCP／IP協議的漏洞。在應用層對應用協議進行剝離和重建，消除了應用協議漏洞，并可針對應用協議實現一些細粒度的訪問控制。從TCP／IP的OSI數據模型的所有七層斷開后，就可以消除目前TCP／IP存在的所有攻擊。

圖1“2+1”的三模塊架構示意

    a)網閘。網閘類產品誕生較早。產品最初是用來解決涉密網絡與非涉密網絡之間的安全數據交換問題。后來，網閘由于其高安全性，開始被廣泛應用于政府、軍隊、電力、鐵道、金融、銀行、證券、保險、稅務、海關、民航、社保等多個行業部門。

    在工業領域，網閘也開始得到應用和推廣。但除了用于辦公系統外，當用于隔離控制網絡時，由于網閘一般都不支持工業通信標準如OPC，Modbus，用戶只能使用其TCP／UDP定制功能。這種方式需要在連接網閘的上、下游增加接口計算機或代理服務器，并定制通信協議轉換接口軟件才能實現通信。

    b)工業網絡安全防護網關。該網關是近幾年新興的一種專門應用于工業領域的網絡隔離產品，它同樣采用“2+1”的三模塊架構，內置雙主機系統，隔離單元通過總線技術建立安全通道以安全地實現快速數據交換。與網閘不同的是，工業網絡安全防護網關提供的應用專門針對控制網絡的安全防護，因此它只提供控制網絡常用通信功能如OPC，Modbus等，而不提供通用互聯網功能。因此工業網絡安全防護網關更適合于控制網絡的隔離，但不適合辦公系統。

    工業網絡安全防護網關是網絡隔離技術應用于工業網絡安全防護的一種專業化安全產品。

4 實踐

    4．1 MES簡況

    中國石油烏魯木齊石化分公司MES項目從2006年啟動，至2008年實施完成并成功上線投運以來，系統運行平穩，用戶可熟練使用系統進行生產運行操作管理。該系統的建成，進一步提高了信息技術對下游業務的支持能力和水平，同時達到了為企業優化資源配置、提高整體效益和綜合實力發揮積極作用的目的。

    4．2 控制網絡安全性改造

    采用分布式網絡，通過核心交換機，連接二級單位局域網，千兆網絡連接到各廠，百兆網絡連接到匯聚層。網絡基礎狀況良好，現有的信息網絡已經涵蓋企業辦公樓區域和各個廠區及生產車間。全廠DCS主要裝置都已具備數據采集接口，采用OPC標準。每個車間有交換機，網絡布置到了各個辦公室，和DCS數據連通。

    MES的實施，使得DCS／PLC控制網絡和廠內的辦公網絡直接相連，這給網絡安全帶來了新的要求，即如何保證兩者之間穩定、可靠傳輸數據的同時，又能最大程度地限制辦公系統網絡對DCS／PLC控制網絡造成的不良影響。原MES在實時，也考慮了對控制網絡的防護。對每一套DCS／PLC采集時，都部署了緩沖工作站；所有的工作站，都限定在一個單獨的VLAN中，指向一臺特定的防火墻設備；在防火墻上，制定相應的訪問策略，實現網絡訪問的安全性。

    在原有系統中，對控制網絡的安全防護主要采用了以防火墻為核心的方案。考慮到防火墻技術的局限性，該MES在2009年實施了對控制網絡安全性的改造，并在改造項目中首次引入了網絡隔離技術。

    由于該項目為改造性項目，考慮到對原有系統的兼容性，并以不影響現有生產為原則，在產品選型及方案設計時特別提出幾點要求：

    a)所選產品須基于第五代先進網絡隔離技術開發，并經國家指定部門檢測認定、認證，符合國家標準(GB／T 20279—2006，GB／T 20277—2006)。

    b)所選產品須支持現有OPC采集接口標準。

    C)所選產品及方案須支持“無擾接入”方式。即在現有網絡中加入網絡隔離裝置時，對現有已接入MES的DCS／PLC操作站的軟、硬件無需做任何升級或改動，對操作站的參數配置無需做任何改動。

    d)所選產品須能提供數據的“細粒度”訪問控制功能。例如對于OPC方式，網絡隔離裝置須能夠控制OPC服務器中具體哪些Item項允許或禁止暴露給MES，同時對每個Item項須支持只讀式的單向訪問功能以保證數據安全。

    e)所選產品及方案須保證在加入網絡隔離裝置后數據交換實時性與原系統相當，不產生延時。

    f)所選產品須保證自身安全與高可靠性。根據以上設計要求，該項目最終選用了標準的工業網絡安全防護網關型產品pSafetyI ink。該產品在滿足上述要求的同時，又提供了符合自控工程師使用習慣的操作方式，不需要實施人員了解太多網絡技術的相關內容，就很容易完成對產品的調試和部署，提高了項目實施效率。

5 結束語

    石化工業是國家的基礎性能源支柱產業，信息安全在任何時期、任何國家和地區都備受關注。能源系統的信息安全問題直接威脅到其他行業系統的安全、穩定、經濟、優質的運行，影響著系統信息化的實現進程。維護網絡安全，確保生產系統的穩定可靠、防止來自內部或外部攻擊，采取高安全性的防護措施都是石化信息系統安全不可忽視的組成部分。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：石化MES控制網絡安全分析與實踐

本文網址：http://www.guhuozai8.cn/html/consultation/1083952337.html