石化工业控制网络安全分析与防护
供稿:北京力控华康科技有限公司
- 关键词:石化,控制网络系统,安全
- 作者:北京力控华康科技有限公司
- 摘要:随着我国工业信息化建设的不断深入,信息化已经成为企业发展的重要推动力量,国外石化企业信息化建设和应用已经走在我们前面。经济全球化的发展以及WTO的加入,更对石化企业提出了新的挑战,就石化企业而言,信息化是生存和发展的必由之路。
随着我国工业信息化建设的不断深入,信息化已经成为企业发展的重要推动力量,国外石化企业信息化建设和应用已经走在我们前面。经济全球化的发展以及WTO的加入,更对石化企业提出了新的挑战,就石化企业而言,信息化是生存和发展的必由之路。
信息化是一项系统工程,信息化安全也是信息化建设的关键环节。特别是随着互联网日新月异的发展和企业集团信息化整合的加强,企业网络应用的范围在不断扩大,如通过互联网获取信息、展现企业形象、开展电子商务等,通过广域网实现集团内部资源共享、统一集团管理等,企业信息化网络不再是单纯意义上的Intranet,而更多的则是基于Internet的网络和应用。但网络开放的同时,带来的安全问题就更加严峻了,各种安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。
石化企业信息化与其它行业相比有一个突出特点,就是以管控一体化为重点。这是由石化行业 自身的特点决定的,并具有一定的时代特点。
石化企业是典型的资金和技术密集型企业,生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,因此生产过程控制大多采用DCS等先进的控制系统,生产管理上也更注重安全和平稳运行。通过加强生产管理,可以实现管理与生产过程控制的融合,通过优化调度、先进控制和优化控制等手段,在保证生产平稳的基础上获取更大的经济效益,因此,石化企业信息化的重点是管控一体化。当今的石化企业普遍采用基于ERP/SCM、MES和PCS三层架构的的管控一体化信息模型,MES处于企业信息系统ERP/SCM和过程控制系统的中间位置。MES系统在整个信息系统中主要担当了两个方面的重要作用:一是数据双向通道的作用。即通过MES系统的实施,可以有效弥补企业PCS层及ERP/SCM层之间的数据间隙,由下至上,通过对底层PCS层数据的搜集、存储及校正,建立过程控制数据层次上的数字化工厂,结合生产调度层次上的调度事件信息数据等,为上层ERP/SCM计划管理层提供准确统一的生产数据;由上至下,通过对实时生产数据的总结,上层ERP/SCM层可以根据未来订单及现阶段生产状况调整生产计划,下发MES层进行计划的分解及产生调度指令,有效指导企业生产活动。因此,MES系统在数据层面上,起到了沟通PCS层和ERP/SCM层的桥梁作用,并保证了生产数据、调度事件等信息的一致性及准确性。另一方面,生产活动的复杂性产生了很多实际的用户需求,为了满足这些用户需求,MES系统也可以视为一个功能模块的集合。
由DCS、PLC和SCADA等控制系统构成的控制网络,在过去几十年的发展中呈现出整体开放的趋势。以石化主流控制系统DCS为例,在信息技术发展的影响下,DCS已经进入了第四代,新一代DCS呈现的一个突出特点就是开放性的提高。过去的DCS厂商基本上是以自主开发为主,提供的系统也是自己的系统。当今的DCS厂商更强调开放系统集成性。各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。例如,多数DCS厂商自己不再开发组态软件平台,而转入采用其它专业公司的通用组态软件平台,或其它公司提供的软件平台。这一思路的转变使得现代DCS的操作站完全呈现PC化与Windows化的趋势。在新一代DCS的操作站中,几乎清一色采用PC Windows的技术架构,使用户的投资及维护成本大幅降低。
同时,DCS网络技术也呈现出开放的特征。过去,由于通信技术相对落后,网络技术开放性是困扰用户的一个重要问题。而当代网络技术、软件技术的发展为开放系统提供了可能。网络技术开放性体现在DCS可以从多个层面与第三方系统互联,同时支持多种网络协议。目前在与企业管理层信息平台互联时,大多采用基于TCP(UDP)/IP协议的以太网通信技术,使用OPC等开放接口标准。
开放性为用户带来的好处毋庸置疑,但由此引发的各种安全漏洞与传统的封闭系统相比却大大增加。对于一个控制网络系统,产生安全漏洞的因素是多方面的。
1、网络通信协议安全漏洞
随着TCP(UDP)/IP协议被控制网络普遍采用,网络通信协议漏洞问题变得越来越突出。
TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络,这一网络是互相信任的,因此它原本只考虑互通互联和资源共享的问题,并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后,安全问题发生了。所以说,TCP/IP在先天上就存在着致命的安全漏洞。
1) 缺乏对用户身份的鉴别
2) 缺乏对路由协议的鉴别认证
3) TCP/UDP自身缺陷
2、操作系统安全漏洞
PC Windows的技术架构现已成为控制系统上位机/操作站的主流。而在控制网络中,上位机/操作站是实现与MES通信的主要网络结点,因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。
Windows操作系统从推出至今,以其友好的用户界面、简单的操作方式得到了用户的认可,其版本也从最初的Windows 3.1发展到如今的XP、Windows Server2003、 Windows 7等。但是,微软在设计Windows操作系统时是本着简单易用为原则的,因而忽略了安全方面的考虑,留下了很多隐患。这些隐患在单机时代并没有显现出来,后来随着网络的出现和普及,越来越多地使用Windows操作系统的PC接入网络,微软埋下的隐患逐渐浮出水面。一时间Windows操作系统漏洞频繁出现,安全事故时有发生。虽然微软在Windows2000以后的版本中采用了Windows NT的核心,在一定程度上提高了Windows操作系统的安全性,但仍然不能避免安全漏洞的不断出现。另一方面,Windows作为主流的操作系统,也更容易成为众矢之的,每次Windows的系统漏洞被发现后,针对该漏洞的恶意代码很快就会出现在网上,从漏洞被发现到恶意代码的出现,中间的时差开始变得越来越短。以Windows2000版本为例,就曾被发现了大量漏洞,典型的如:输入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ缓冲区溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。这些漏洞大部分危害巨大,恶意代码通过这些漏洞,可以获得Windows2000操作站的完全控制权,甚至为所欲为。
3、应用软件安全漏洞
处于应用层的应用软件产生的漏洞是最直接、最致命的。一方面这是因为应用软件形式多样,很难形成统一的防护规范以应对安全问题;另一方面最严重的是,当应用软件面向网络应用时,就必须开放其应用端口。例如,要想实现与操作站OPC服务器软件的网络通信,控制网络就必须完全开放135端口,这时防火墙等安全设备已经无能为力了。而实际上,不同应用软件的安全漏洞还不止于此。
控制网络安全隐患分析
控制网络的安全漏洞暴露了整个控制系统安全的脆弱性。由于网络通信协议、操作系统、应用软件、安全策略甚至硬件上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问和操控控制网络系统,形成了巨大的安全隐患。控制网络系统的安全性同样符合“木桶原则”,其整体安全性不在于其最强处,而取决于系统最薄弱之处,即安全漏洞所决定。只要这个漏洞被发现,系统就有可能成为网络攻击的牺牲品。
安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越多的控制网络系统通过信息网络连接到互联上,这种威胁就越来越大。目前互联网上已有几万个黑客站点,黑客技术不断创新,基本的攻击手法已达上千种。这些攻击技术一旦被不法之徒掌握,将产生不良的后果。
对于控制网络系统,由于安全漏洞可能带来的直接安全隐患有以下几种。
1、入侵
系统被入侵是系统常见的一种安全隐患。黑客侵入计算机和网络可以非法使用计算机和网络资源,甚至是完全掌控计算机和网络。
控制网络的计算机终端和网络往往可以控制诸如大型化工装置、公用工程设备,甚至核电站安全系统等大型工程化设备。黑客一旦控制该系统,对系统造成一些参数的修改,就可能导致生产运行的瘫痪,就意味着可能利用被感染的控制中心系统破坏生产过程、切断整个城市的供电系统、恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的控制网络接入到互联网当中,这种可能就越来越大。
2、拒绝服务攻击
受到拒绝服务攻击是一种危害很大的安全隐患。常见的流量型攻击如Ping Flooding、UDP Flooding等,以及常见的连接型攻击如SYN Flooding、ACK Flooding等,通过消耗系统的资源,如网络带宽、连接数、CPU处理能力等使得正常的服务功能无法进行。拒绝服务攻击难以防范的原因是它的攻击对象非常普遍,从服务器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻击。
控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪,与控制系统的通信完全中断等。可以想像,受到拒绝服务攻击后的控制网络可能导致网络中所有操作站和监控终端无法进行实时监控,其后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免,缺乏有效的手段来解决。
3、病毒与恶意代码
病毒的泛滥是大家有目共睹的。全球范围内,每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒,并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外,各种新型的恶意代码也层出不穷,如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫,从广义定义来说也是一种病毒,但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预,无论运行感染病毒的实用程序,或者是打开包含宏病毒的邮件等,没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成以下过程:
1. 查找远程系统:能够通过检索已被攻陷的系统的网络邻居列表或其它远程系统地址列表找出下一个攻击对象。
2. 建立连接:能够通过端口扫描等操作过程自动和被攻击对象建立连接,如Telnet连接等。
3. 实施攻击:能够自动将自身通过已经建立的连接复制到被攻击的远程系统,并运行它。
一旦计算机和网络染上了恶意代码,安全问题就不可避免。
常规网络安全技术
石化企业随着信息系统的不断发展,大量IT技术被引入,同时也包括各种IT网络安全技术。目前以MES为代表的信息系统在实现控制网络接入信息网络时,也基本都考虑了对控制网络的安全防护。但目前对控制网络的防护,大部分采用的是常规网络安全技术,主要包括防火墙、IDS、VPN、防病毒等。这些技术主要面向商用网络应用。
在企业的信息化系统中,由办公网络、管理网络组成的信息网络与商用网络的运维特点比较相似,因此采用常规网络安全技术是适合的。而控制网络特点则有很大不同。
控制网络是控制系统如DCS各部件协同工作的通信网络。控制系统负责对生产装置的连续不间断地生产控制,因此控制网络同样具有连续不可间断的高可靠性要求。另一方面,控制网络也是操作人员对控制系统实时下发控制指令的重要途径,所以控制网络又具有不可延迟的高实时性要求。
在商用网络里可以存在病毒,几乎每天都有新的补丁出现,计算机可能会死机、暂停,而这些如果发生在控制网络里几乎是不可想象的。为了保证生产安全,在极端情况下,即便将控制网络与信息网络断开,停止与信息网络交换数据也要保证控制系统的安全。因此,过程生产的连续不可间断的高可靠性要求控制网络具备更高的安全性。
另外,从数据安全角度来看,商用网络往往对数据的私密性要求很高,要防止信息的泄露,而控制网络强调的是数据的可靠性。另外,商用网络的应用数据类型极其复杂,传输的通信标准多样化,如HTTP、SMTP、FTP、SOAP等;而控制网络的应用数据类型相对单一,以过程数据为主,传输的通信标准以工业通信标准为主,如OPC、Modbus等。
通过比较商用网络与控制网络的差异可以发现,常规的IT网络安全技术都不是专门针对控制网络需求设计的,用在控制网络上就会存在很多局限性。
比如防火墙产品,目前基本是以包过滤技术为基础的,它最大的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自己的安全机制。但防火墙无法保证准许放行数据的安全性。从实际应用来看,防火墙较为明显的局限性包括以下几方面:
1)、防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。
2)、防火墙不能防范全新的威胁,更不能防止可接触的人为或自然的破坏。
3)、防火墙不能防止由自身安全漏洞引起的威胁。
4)、防火墙对用户不完全透明,非专业用户难于管理和配置,易造成安全漏洞。
5)、防火墙很难为用户在防火墙内外提供一致的安全策略,不能防止利用标准网络协议中的缺陷进行的攻击,也不能防止利用服务器系统漏洞所进行的攻击。
6)、由于防火墙设置在内网与外网通信的信道上,并执行规定的安全策略,所以防火墙在提供安全防护的同时,也变成了网络通信的瓶颈,增加了网络传输延时,如果防火墙出现问题,那么内部网络就会受到严重威胁。
7)、防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。
另一方面,防火墙由于其自身机理的原因,还存在很多先天不足,主要包括:
1)、由于防火墙本身是基于TCP/IP协议体系实现的,所以它无法解决TCP/IP协议体系中存在的漏洞。
2)、防火墙只是一个策略执行机构,它并不区分所执行政策的对错,更无法判别出一条合法政策是否真是管理员的本意。从这点上看,防火墙一旦被攻击者控制,由它保护的整个网络就无安全可言了。
3)、防火墙无法从流量上判别哪些是正常的,哪些是异常的,因此容易受到流量攻击。
4)、防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高,需要对数据包检查的项目(即防火墙的功能)就越多越细,对CPU和内存的消耗也就越大,从而导致防火墙的性能下降,处理速度减慢。
5)、防火墙准许某项服务,却不能保证该服务的安全性,它需要由应用安全来解决。
防火墙正是由于这些缺陷与不足,导致目前被攻破的几率已经接近50%。虽然目前最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。
其它安全技术如IDS、VPN、防病毒产品等与产品与防火墙一样,也都有很强的针对性,只能管辖属于自己管辖的事情,出了这个边界就不再能发挥作用。IDS作为可审查性产品最大的局限性是漏报和误报严重,几乎不是一个可以依赖的安全工具,而是一个参考工具。漏报等于没有报,误报则是报错了,这两个特点几乎破坏了入侵检测的可用性。VPN作为一种加密类技术,不管哪种VPN技术,在设计之初都是为了保证传输安全问题而设计的,而没有动态、实时的检测接入的VPN主机的安全性,同时对其作“准入控制”。这样有可能因为一个VPN主机的不安全,导致其整个网络不安全。防病毒产品也有局限性,主要是对新病毒的处理总是滞后的,这导致每年都会大规模地爆发病毒,特别是新病毒。
网络隔离技术及防护产品
1、网络隔离技术
在防火墙的发展过程中,人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷,驱使人们追求更高安全性的解决方案,人们期望更安全的技术手段,网络隔离技术应运而生。
网络隔离技术是安全市场上的一个分支。在经过漫长的市场概念澄清和技术演变进步之后,市场最终接受了网络隔离具有最高的安全性。目前存在的安全问题,对网络隔离技术而言在理论上都不存在。这就是各国政府和军方都大力推行网络隔离技术的主要原因。
网络隔离技术经过了长时间的发展,目前已经发展到了第五代技术。第一代隔离技术采用完全的隔离技术,实际上是将网络物理上的分开,形成信息孤岛;第二代隔离技术采用硬件卡隔离技术;第三代隔离技术采用数据转发隔离技术;第四代隔离技术采用空气开关隔离技术;第五代隔离技术采用安全通道隔离技术。
基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
网络隔离的指导思想与防火墙也有很大的不同,体现在防火墙的思路是在保障互联互通的前提下,尽可能安全;而网络隔离的思路是在必须保证安全的前提下,尽可能支持数据交换,如果不安全则断开。
网络隔离技术主要目标是解决目前信息安全中的各种漏洞:操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等,网络隔离是目前唯一能解决上述问题的安全技术。
2、网络隔离防护产品
基于网络隔离技术的网络隔离产品是互联网时代的产物。最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在我国,最初的应用也主要集中在政府、军队等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。国内的网络隔离产品也由此应运而生。
由于是应用在可能涉及国家安全的关键场合,为了统一规范网络隔离类的技术标准,国家质量监督检验总局及国家标准化管理委员及早制定了相应的国家标准,目前最新国标为GB/T 20279-2006和GB/T 20277-2006。
随着以电力为首的工业行业对网络安全提出了更高要求后,网络隔离产品也开始在工业领域逐渐得到应用。目前,已经在工业领域用于控制网络安全防护的网络隔离产品主要有网闸、工业网络安全防护网关等产品。这些产品大部分都是基于最新的第五代隔离技术开发出来了,其主要的技术原理是从OSI模型的七层上全面断开网络连接,同时采用“2 1”的三模块架构,即内置有两个主机系统,和一个用于建立安全通道可交换数据的隔离单元。这种架构可以实现连接到外网和内网的两主机之间是完全网络断开的,从物理上进行了网络隔离,消除了数据链路的通信协议,剥离了TCP/IP协议,剥离了应用协议,在安全交换后进行了协议的恢复和重建。通过TCP/IP协议剥离和重建技术消除了TCP/IP协议的漏洞。在应用层对应用协议进行剥离和重建,消除了应用协议漏洞,并可针对应用协议实现一些细粒度的访问控制。从TCP/IP的OSI数据模型的所有七层断开后,就可以消除目前TCP/IP存在的所有攻击。
(1)、网闸
网闸类产品诞生较早。产品最初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来,网闸由于其高安全性,开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门。
由于网闸产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统,因此它提供的应用也以通用的互联网功能为主。例如,目前大多数网闸都支持:文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。
在工业领域,网闸也开始得到应用和推广。但除了用于办公系统外,当用于隔离控制网络时,由于网闸一般都不支持工业通信标准如OPC、Modbus,用户只能使用其TCP/UDP定制功能。这种方式需要在连接网闸的上、下游增加接口计算机或代理服务器,并定制通信协议转换接口软件才能实现通信。
(2)、工业网络安全防护网关
工业网络安全防护网关是近几年新兴的一种专门应用于工业领域的网络隔离产品,它同样采用“2 1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。与网闸不同的是,工业网络安全防护网关提供的应用专门针对控制网络的安全防护,因此它只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能。因此工业网络安全防护网关更适合于控制网络的隔离,但不适合办公系统。
工业网络安全防护网关是网络隔离技术应用于工业网络安全防护的一种专业化安全产品。
结束语
近几年,因网络病毒引起的工业事件层出不穷,工业网络安全问题已经日益严峻,针对目前我国工业控制系统信息安全面临的严峻形势,2011年10月27日,工信部下发《关于加强工业控制系统信息安全管理的通知》,强调了加强工业控制系统信息安全管理的重要性和紧迫性,并明确了重点领域如:石油石化、电力、钢铁、化工等行业工业控制系统信息安全管理要求。石化工业是国家的基础性能源支柱产业,信息安全在任何时期、任何国家地区都备受关注。能源系统的信息安全问题直接威胁到其它行业系统的安全、稳定、经济、优质的运行,影响着系统信息化的实现进程。维护网络安全,确保生产系统的稳定可靠、防止来自内部或外部攻击,采取高安全性的防护措施都是石化信息系统安全不可忽视的组成部分。