【应用案例】企业工业控制网络安全技术探讨及实现

• 关键词：工业控制系统,,,网络安全,,,Tofino技术,,,区域,,,管道
• 作者：韩晓波
• 摘要：由于工业控制系统由于运行环境和平台的相对独立，其安全性被人们所忽视。随着企业信息化发展，管理和控制网络更加深入的融合，平台也愈加开放。新一代的病毒入侵生产控制系统已经成为企业平稳生产运营的重大安全隐患，为保障基于企业网络业务的持续性、稳定性，需要在管理和控制网络采取相应的安全防护措施，建立有针对性的安全 防护体系。

       2010年10月，来自伊朗的一个关于工业网络病毒Stuxnet（计算机蠕虫病毒）的报告引起了全球的注意，该病毒通过Windows操作系统中此前不为人知的漏洞感染计算机，并通过网络、移动介质以及西门子项目文件等方式进行传播。Stuxnet病毒是专门设计来攻击伊朗重要工业设施的，包括备受国际关注的布什尔核电站，它在入侵系统之后会寻找广泛用于工控系统的软件，并通过对软件重新编程实施攻击，病毒能控制关键过程并开启一连串执行程序，最终导致的后果难以预估。Stuxnet是目前首个针对工控系统展开攻击的计算机病毒，已经对伊朗国内工业控制系统产生极大影响，Stuxnet可以说是计算机病毒界革命性创新，给工业控制系统网络安全带来新警示-“工业病毒”时代已经来临。

       随着信息技术的不断推广应用，诸如内部控制系统（DCS及PLC等），国内、外化工领域逐步推广应用的各种安全控制系统（紧急停车系统ESD、停车联锁/仪表系统SIS、仪表保护系统IPS及故障安全控制系统FSC等） ^[1]以及基础应用类系统（一些定制系统）与外界不再隔离。越来越多的案例表明，工厂信息网络、移动存储介质、因特网以及其它因素导致的网络安全问题正逐渐在控制系统和基础应用类系统中扩散，直接影响了生产控制的稳定与安全。这将是我们石油炼化连续性生产企业面临的重大安全课题。随着石油化工及电力等行业进入规模化生产，生产装置积聚的能量越来月大，可能造成的重大工业事故使人们前所未有地重视工业生产中的安全问题 ^[2,3] 。

1  企业控制网络安全现状

       十年来，随着信息技术的迅猛发展，信息化在石油炼化连续性生产企业中的应用快速发展，网络安全技术、网络安全管理体系也取得了重大进发展^[4] ，为重要核心应用系统的长、安、稳、满、优运行起到巨大的支撑作用和保障作用。

       但是多年来，企业更多地关注的是管理网络的安全问题，而对控制网络的安全问题关注意识并不强。随着ERP、MES等系统的实施，信息化的触角已经延伸到各个生产单元，包括生产装置、罐区、产品进/出厂点。由于历史原因，企业网络往往都是一个整体，管理网与工业控制网（或基础应用网）防护功能弱或甚至几乎没有隔离功能，同时由于近几年控制系统（或基础应用系统）功能的不断提升，系统在进一步开放的同时，也带来了系统的安全问题，减弱了控制系统与外界的隔离，2000年以前的控制系统一般都有自己独立的操作系统，其开放性及通用性较弱，因此几乎不存在网络安全风险。但目前的控制系统一般使用开放的Windows操作系统和OPC协议进行数据通讯，网络也采用冗余工业以太网模式，尤其是服务器结构的控制系统,一旦服务器出现异常，受侵害的不仅仅是一个操作站，而是整个系统的瘫痪。近几年来，国内、外许多企业的DCS控制系统已经有中病毒或遭黑客攻击的现象，对此企业IT人员却无能为力，不敢动或不能动，只能等装置停工检修期间由厂商处理，给安全生产带来了极大的隐患。

       另一方面，由于人们在认识和知识面上存在差距，许多企业对控制类系统的安全存在认识上的误区：一是认为企业网与互联网之间已经安装了专业防火墙，控制网络是安全的；二是认为控制系统没有直接连接互联网，控制系统是安全的；三是认为黑客或病毒不懂控制系统。而实际情况是，尽管在企业网内部安装了功能较完备的网络安全防护产品，施行了各类网络安全技术，建立了信息安全管理体系，但控制系统的安全问题却越来越严峻，主要原因是对许多控制网没有有效的隔离手段，而企业推广应用的一些安全产品又不能直接安装到这些系统上去。目前，针对企业控制网络的安全事件存在以下共同点：

       a.“软”目标。大多数DCS系统中的计算机，很少或没有机会安装全天候的病毒防护和更新版本，同时控制器的设计都以实时的I/O功用为主，并不提供加强的网络连接防护功能。

       b.多个网络端口切入点。在多个网络安全事件中，事由都源于对多个网络端口进入点疏于防护，而且控制系统维护人员（非IT人员）在维护与维修过程中的监管也不到位。

       c.疏漏的网络分割设计。许多控制网络都是“敞开的”，不同子系统之间都没有有效的隔离，尤其是基于OPC以及MODBUS等通讯的工业控制网络。

2  目前业界控制网络安全技术

       国际上比较流行的安全解决方案有网闸及工业防火墙等，能够对通讯协议进行深度检查，可以有效地保护工业控制系统、基础类应用系统和不同网络区域不会遭到攻击与破坏。其主要实现策略列举如下：

       a．将企业网络及控制网络进行“区域和渠道”的划分。新ANSI/ISA-99安全标准的核心理念是“区域和渠道”，根据控制功能将网路分层或分域，多分区隔有助于提供“纵深”防御。

       b．定义区域之间的连接“管道”。要了解和管理好系统所有区域之间的“管道”，并对“管道”要有安全的管制。具体包括进入区域的管制，采用DOS防范攻击或恶意软件的转移，屏蔽其它网络系统，保护网络流量的完整性和保密性。

       c．区域及管道保护网络。每一个服务管道，安全设备只允许正确的设备操作所必需的通信。

       d．集中安全管理监控。在另外一个平台上，安装集中式安全监控管理模块，管理和检测所有安全设备，可随时进行报警确认和历史信息查询，为网络故障的及时排查、分析提供可靠依据。

3  齐鲁公司控制网络构架及面临风险

       中国石化齐鲁分公司(以下简称齐鲁分公司)是一家特大型炼化企业，其企业网支撑着ERP、MES、OA等多种应用，基本涵盖了整个企业管理和生产控制单元。根据企业网络建设现状，结合业内工业安全的先进安全技术，制定和实施管理网和控制网整体安全解决方案有两部分。

3.1  现有控制网和管理网架构体系

       齐鲁分公司是石化内部实施DCS控制系统和实时数据库最早的企业之一（1986年在催化裂化装置实施DCS，1992年使用IP21的前身软件SETCON实时数据库技术），共有各类DCS、PLC系统等近九十多套，但是仅有少数安装了防病毒软件和硬件防火墙。为给MES系统提供最基础数据源，建立了上、下一体的两级InfoPlus.21实时数据库平台体系。系统的拓扑和整体架构和拓扑如图1、2所示。

图1   系统拓扑结构图

图2   齐鲁公司实时数据库架构体系

       分厂级实时数据库对底层控制系统及仪表的数据采集都通过OPC接口来实现（图3），通过Infoplus.21实时数据库的Cim-IO For InofPlus.21接口实现与公司级Infoplus.21实时数据库间的数据传输，从以上二级分厂的实时数据库中将所需数据读取到公司实时数据库中。

图3  分厂级数据采集系统结构图

3.1.1  DCS控制网

       DCS控制网为第1层，该网络为实时控制网，负责控制器、操作站及工程师站之间过程控制数据实时通讯。在这个层面通常有的节点类型有控制器、操作站、工程师站、ESD及OPC Server等。目前基本所有控制系统制造商的操作站和服务器都采用基于Windows操作系统的PC机作为平台，同时网络也采用冗余工业以太网模式。

3.1.2  分厂信息数采网

       分厂信息数采网为第2层，其核心设备由各个分厂数据采集实时数据库（Aspen IP21）服务器和各个装置DCS数据采集缓存机（Buffer）以及OPC Server构成。部分OPC Server直接与IP21数据库相连，部分OPC Server通过Buffer和IP21数据库相连。Buffer机即可以作为数据采集的缓存又可以通过其自身的双网卡设置抵御外部的非法入侵，杜绝黑客等恶意地对控制系统进行直接攻击。

3.1.3  齐鲁公司MES/OA信息网

       MES/OA信息网为第3层，各个分厂的实时数据库通过Aspen CM-IO与齐鲁公司的总实时数据库相连，实现基于生产过程数据的MES应用。

3.2  现有架构体系下的安全隐患风险

       从前文所述的整个架构体系中可以看出，齐鲁公司的管理网与控制网是紧密融合在一起的，九十多套DCS和PLC系统所构成的实时数据采集架构体系几乎覆盖了公司的整个管理网络，安全形势不容乐观，存在下述安全风险隐患：

       a．目前许多控制系统的工程师站/操作站(HMI)都是Windows平台，任何一个版本的Windows自发布以来都在不停的发布漏洞补丁，为保证过程控制系统相对的独立性，现场工程师（一般多是仪表维护工程师）通常在系统开车后不会对Windows平台打任何补丁，更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。但是与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成本机乃至控制网络的瘫痪。

       b．基于工控软件与杀毒软件的兼容性问题，在操作站上通常不安装杀毒软件。即使安装有杀毒软件，其基于病毒库查杀的机制在工控领域使用也有局限性，对病毒库的升级维护难于统一，更重要的是对新病毒的处理总是存在滞后，这导致每年都会大规模地爆发病毒，特别是新病毒。

       c．OPC是基于Microsoft的分布式组件对象模式（DCOM）技术，该技术使用了远程过程调用（RPC）网络协议来实现工业网络中的以太网连接。来自该领域的安全研究人员（包括黑客组织）却发现该标准中存在一些严重问题。如OPC 使用的Windows的DCOM和RPC服务极易受到攻击。在过去的5年内，来自网络的病毒和蠕虫对这些接口的攻击越来越强，这个方式几乎成为了病毒和蠕虫开发者目前的最爱。

       d．在实现数据采集的过程中，数据采集服务器虽然采用了双网卡技术，管理信息网与控制网通过该服务器进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等，这种配置没有作用，病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制，但病毒库存在滞后，所以不能从根本上进行防护。

       因此，按照ANSI/ISA-99安全标准建立新的安全防范体系，以确保控制系统安全是当务之急。

4  齐鲁公司控制网安全防护解决方案

4.1 安全防护的目标

       企业网络要保证安全可靠，最好的方法是建立一个私有信道，并创造一个相对独立的网络。

4.1.1  通讯可控

       网络数据的传输总给人以抽象和概念性的印象，没有一个直观的显示，通讯电缆如同高速公路，怎样能够直观地观察、监控和管理通讯电缆中流过的数据，是技术人员首先要实现的目标。通过这个管控，对控制网络而言仅需要保证制造商专有协议数据通过即可，对其它基于Windows应用的不必要通信一律禁止，从而创造一个单一制造商的通信网络的环境。

4.1.2  区域隔离

       网络安全问题不同于其它设备故障，对计算机网络笔者认为最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪，具有可扩散性和快速性的特点。目前，虽然技术人员在现场采取了很多措施，但要杜绝网络安全问题是不可能的，所以必须保证即使在控制网局部出现问题时也能保持装置或工厂的安全稳定运行。这就要在关键通道上部署网络隔离设备，这样就能工业生产企业的控制系统创造一个相对独立的网络环境。

4.1.3  实时报警

       报警的首要问题是把网络安全问题消灭在萌芽中，同时通过对报警事件的记录存储，为企业网络解决部分已发生过的安全事件提供分析依据，告别主观经验推断的模式。怎样才能及时发现网络中存在的感染及其它问题，准确找到故障的发生点，是维护控制网络安全的前提。

4.2  网络安全解决方案

       目前，齐鲁公司使用Tofino技术实施整体网络安全解决方案，现以烯烃厂为例进行说明。针对烯烃厂网络结构 ^[5] 及具体应用要求，分别在过程控制网内部、数采网和过程控制网之间、APC控制站与过程控制网之间、DCS与数采网之间安装防火墙，并安装相应的LSM软插件，然后在数采网安装中央管理平台（Central Management Platform，CMP）对TSA进行管理和组态，最后在办公局域网内安装安全管理平台，对整个网络进行实时在线监控。具体方案拓扑图如图4所示。

 图4  齐鲁公司烯烃厂工业网络安全结构拓扑

4.2.1  DCS控制网安全防护解决方案

       如图5所示，对工程师站和APC站与控制网络隔离。工程师站和APC站较多接触移动介质，感染病毒机率较大，增加防火墙后与控制网络进行隔离，即使感染病毒不至于扩散。

图5 控制网络安全防护示意图

       当控制系统通过以太网与ESD或其它第三方系统连接时，在两者之间添加防火墙。安装与防护原理如下：

       a．增加工业防火墙，并安装Firewall插件（工程师站、ESD和APC站防护）和OPC Enforcer（APC站防护）；

       b．将工程师站的两条冗余通讯电缆经过防火墙再接到DCS控制网络中，在工程师站安装CMP中央管理平台；

       c．通过对Firewall插件的组态，通信规则只允许DCS制造商的通讯协议才能通过，其它任何病毒或其它非法访问都被阻止，这样来自防护区域内的病毒感染不会扩散到外面的网络中去，来自外部的攻击也不会影响到防护区域内的设备，提供防火墙及网络交通控制功能的软插件，符合 ANSI/ISA-99.00.02 的网络分段要求，达到区域隔离目标。

4.2.2  工厂信息数采网与控制网之间的安全防护解决方案

       采用工业防火墙解决方案，在两层网络之间增加OPC通信协议防火墙。整个解决方案由TSA防火墙硬件+ OPC Enforcer +CMP中央管理平台3部分组成（图6），安装与防护原理如下：

       a．增加工业防火墙，并安装Firewall插件和OPC Enforcer插件；

       b．在OPC Server和Buffer机之间增加工业防火墙，在接口机安装CMP；

       c．管控OPC服务器及授权客户端之间的数据通信，并且应用专有技术动态跟踪OPC通信所需端口，同时Tofino的 Sanity Check检查功能能够阻挡任何不符合OPC标准格式的DCE/RPC 访问。同样也对OPC授权客户端发往OPC服务器的OPC对象请求进行检查，以提高OPC服务的安全性，在接口机安装CMP用以对TSA进行组态和管理。

图6    信息数采网与控制网之间安全防护示意图

4.2.3  中央管理平台和安全管理平台

       中央管理平台CMP通过一台工作站来配置和管理控制网络安全[6]。CMP的专用软件能够通过一个工作站进行配置、管理和监测网络上的所有安全设备。这样既可快速创建整个控制网络模型。可视的拖放式编辑工具可以轻松地创建、编辑和测试安全设备。取得此安全系统的授权后，CMP可以立刻看到整个系统的运行状态，并用一系列措施应对网络遇到的威胁。

       在办公局域网内安装安全管理平台SMP，可以集成所有来自CMP平台的所有事件报警信息，并可划分等级进行报警，通过采用手机短信及电子邮件等方式进行实时通知相关主管人员。该平台能够准确捕获现场所有安装防火墙的通讯信道中的攻击，并且详细显示攻击源、通讯协议和攻击目标，以总揽大局的方式为工厂网络故障的及时排查与分析提供可靠依据。

5  结语语

       采用以太网和TCP/IP协议作为最主要的通讯协议和手段，向网络化、标准化、开放化发展是各种工业通讯和自动化控制系统技术的主要潮流。这也必将导致其面临传统局域网、广域网面临的安全问题。但只要遵循以区域及管道保护网络为核心的通讯原则，并采用集中安全管理监控的管理方式，对企业内控制系统进行深入分析，实施全面、有针对性的防护策略，就能提供必要的安全保障，确保企业生产控制系统长期稳定的安全运行。

参考文献

[1] 邹志云，刘建友，赵丹丹，等.精细化工生产过程的若干安全系统工程技术问题讨论[J].化工自动化及仪表，2010,37（4）：1~ 2.

[2] 靳江红,吴宗之,赵寿堂,等.安全仪表系统的功能安全国内外发展综述[J].化工自动化及仪表，2010,37（5）：1 ~2.

[3] 孟凡芹,朱焕勤,耿光辉.PLC控制油封供油装置的研制[J].化工机械，2011,38（2）：220 ~221,252..

[4] 程光 江洁欣. 信息与网络安全[M] .北京：清华大学出版社，2008：10~18.

[5] Byres E J.Tofino Presentation. [EB/OL]. http://www.tofinosecurity.com/products/overview,2009-09-16.

[6] Byres EJ. Tofino CMP User Guide.[EB/OL].

http://www.tofinosecurity.com/products/Tofino-Central-Management-Platform,2009-09-16.

本文源自《化工自动化及仪表》2012年第4期