企业工业控制网络安全技术探讨及实现

企业工业控制网络安全技术探讨及实现1

韩晓波

(中国石化齐鲁分公司信息技术部，山东淄博，255400) 摘要：由于工业控制系统由于运行环境和平台的相对独立，其安全性被人们所忽视。随着企业信息化发展，管理和控制网络更加深入的融合，平台也愈加开放。新一代的病毒入侵生产控制系统已经成为企业平稳生产运营的重大安全隐患，为保障基于企业网络业务的持续性、稳定性，需要在管理和控制网络采取相应的安全防护措施，建立有针对性的安全防护体系。

关键词：工业控制系统网络安全 Tofino技术区域管道

中图分类号TH89 文献标志码 B 文章编号 1000-3932（2012）04-0498-06

2010年10月，来自伊朗的一个关于工业网络病毒Stuxnet（计算机蠕虫病毒）的报告引起了全球的注意，该病毒通过Windows操作系统中此前不为人知的漏洞感染计算机，并通过网络、移动介质以及西门子项目文件等方式进行传播。Stuxnet病毒是专门设计来攻击伊朗重要工业设施的，包括备受国际关注的布什尔核电站，它在入侵系统之后会寻找广泛用于工控系统的软件，并通过对软件重新编程实施攻击，病毒能控制关键过程并开启一连串执行程序，最终导致的后果难以预估。Stuxnet是目前首个针对工控系统展开攻击的计算机病毒，已经对伊朗国内工业控制系统产生极大影响，Stuxnet可以说是计算机病毒界革命性创新，给工业控制系统网络安全带来新警示-“工业病毒”时代已经来临。

随着信息技术的不断推广应用，诸如内部控制系统（DCS及PLC等），国内、外化工领域逐步推广应用的各种安全控制系统（紧急停车系统ESD、停车联锁/仪表系统SIS、仪表保护系统IPS及故障安全控制系统FSC等）[1]以及基础应用类系统（一些定制系统）与外界不再隔离。越来越多的案例表明，工厂信息网络、移动存储介质、因特网以及其它因素导致的网络安全问题正逐渐在控制系统和基础应用类系统中扩散，直接影响了生产控制的稳定与安全。这将是我们石油炼化连续性生产企业面临的重大安全课题。随着石油化工及电力等行业进入规模化生产，生产装置积聚的能量越来月大，可能造成的重大工业事故使人们前所未有地重视工业生产中的安全问题 [2,3]。

1 企业控制网络安全现状

十年来，随着信息技术的迅猛发展，信息化在石油炼化连续性生产企业中的应用快速发展，网络安全技术、网络安全管理体系也取得了重大进发展[4]，为重要核心应用系统的长、安、稳、满、优运行起到巨大的支撑作用和保障作用。

但是多年来，企业更多地关注的是管理网络的安全问题，而对控制网络的安全问题关注意识并不强。随着ERP、MES等系统的实施，信息化的触角已经延伸到各个生产单元，包括生产装置、罐区、产品进/出厂点。由于历史原因，企业网络往往都是一个整体，管理网与工业控制网（或基础应用网）防护功能弱或甚至几乎没有隔离功能，同时由于近几年控制系统（或基础应用系统）功能的不断提升，系统在进一步开放的同时，也带来了系统的安全问题，减弱了控制系统与外界的隔离，2000年以前的控制系统一般都有自己独立的操作系统，其开放性及通用性较弱，因此几乎不存在网络安全风险。但目前的控制系统一般使用开放的Windows操作系统和OPC协议进行数据通讯，网络也采用冗余工业以太网模式，尤其是服务器结构的控制系统,一旦服务器出现异常，受侵害的不仅仅是一个操作站，而是整个系统的瘫痪。近几年来，国内、外许多企业的DCS控制系统已经有中病毒或遭黑客攻击的现象，对此企业IT人员却无能为力，不敢动或不能动，只能等装置停工检修期间由厂商处理，给安全生产带来了极大的隐患。

另一方面，由于人们在认识和知识面上存在差距，许多企业对控制类系统的安全存在认识上的误区：一是认为企业网与互联网之间已经安装了专业防火墙，控制网络是安全的；二是认为控制系统没有直接连接互联网，控制系统是安全的；三是认为黑客或病毒不懂控制系统。而实际情况是，尽管在企业网内部安装了功能较完备的网络安全防护产品，施行了各类网络安全技术，建立了信息安全管理体系，但控制系统的安全问题却越来越严峻，主要原因是对许多控制网没有有效的隔离手段，而企业推广应用的一些安全产品又不能直接安装到这些系统上去。目前，针对企业控制网络的安全事件存在以下共同点：

a.“软”目标。大多数DCS系统中的计算机，很少或没有机会安装全天候的病毒防护和更新版本，同时控制器的设计都以实时的I/O功用为主，并不提供加强的网络连接防护功能。

b.多个网络端口切入点。在多个网络安全事件中，事由都源于对多个网络端口进入点疏于防护，而且控制系统维护人员（非IT人员）在维护与维修过程中的监管也不到位。

c.疏漏的网络分割设计。许多控制网络都是“敞开的”，不同子系统之间都没有有效的隔离，尤其是基于OPC以及MODBUS等通讯的工业控制网络。

2 目前业界控制网络安全技术

国际上比较流行的安全解决方案有网闸及工业防火墙等，能够对通讯协议进行深度检查，可以有效地保护工业控制系统、基础类应用系统和不同网络区域不会遭到攻击与破坏。其主要实现策略列举如下：

a．将企业网络及控制网络进行“区域和渠道”的划分。新ANSI/ISA-99安全标准的核心理念是“区域和渠道”，根据控制功能将网路分层或分域，多分区隔有助于提供“纵深”防御。

b．定义区域之间的连接“管道”。要了解和管理好系统所有区域之间的“管道”，并对“管道”要有安全的管制。具体包括进入区域的管制，采用DOS防范攻击或恶意软件的转移，屏蔽其它网络系统，保护网络流量的完整性和保密性。

c．区域及管道保护网络。每一个服务管道，安全设备只允许正确的设备操作所必需的通信。

d．集中安全管理监控。在另外一个平台上，安装集中式安全监控管理模块，管理和检测所有安全设备，可随时进行报警确认和历史信息查询，为网络故障的及时排查、分析提供可靠依据。

3 齐鲁公司控制网络构架及面临风险

中国石化齐鲁分公司(以下简称齐鲁分公司)是一家特大型炼化企业，其企业网支撑着ERP、MES、OA等多种应用，基本涵盖了整个企业管理和生产控制单元。根据企业网络建设现状，结合业内工业安全的先进安全技术，制定和实施管理网和控制网整体安全解决方案有两部分。

3.1 现有控制网和管理网架构体系

齐鲁分公司是石化内部实施DCS控制系统和实时数据库最早的企业之一（1986年在催化裂化装置实施DCS，1992年使用IP21的前身软件SETCON实时数据库技术），共有各类DCS、PLC系统等近九十多套，但是仅有少数安装了防病毒软件和硬件防火墙。为给MES系统提供最基础数据源，建立了上、下一体的两级InfoPlus.21实时数据库平台体系。系统的拓扑和

整体架构和拓扑如图1、2

图1 系统拓扑结构图