縱觀(guān)我國工業(yè)、能源、交通、水利以及市政等國家關(guān)鍵基礎設施建設，DCS、PLC等工業(yè)控制系統得以廣泛應用，隨著(zhù)我國兩化融合的深入發(fā)展，信息化的快速發(fā)展大大提高了公司的運營(yíng)效率，但TCP/IP、Ethernet等通用技術(shù)和通用產(chǎn)品被大量引入工業(yè)領(lǐng)域，也將越來(lái)越多的信息安全問(wèn)題擺在了我們面前。

    另一方面，長(cháng)久以來(lái)，企業(yè)更多關(guān)注的是物理安全，信息化發(fā)展所需的信息安全防護技術(shù)卻相對滯后，近幾年來(lái)因控制系統感染病毒而引起裝置停車(chē)和其它風(fēng)險事故的案例屢有發(fā)生，給企業(yè)造成了巨大的經(jīng)濟損失。Stuxnet病毒的爆發(fā)更是給企業(yè)和組織敲響了警鐘，工信部協(xié)[2011]451號通知明確指出要切實(shí)加強工業(yè)控制系統信息安全管理的要求。本文以石化行業(yè)為例，就工業(yè)控制系統信息安全存在的隱患，及其縱深防御架構體系進(jìn)行簡(jiǎn)要探討。

    1　工業(yè)控制系統面臨的信息安全漏洞

    1.1　通信協(xié)議漏洞

    兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應用在工業(yè)控制網(wǎng)絡(luò )中，隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。

    例如，OPC Classic協(xié)議(OPC DA, OPC HAD和OPC A&E) 基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò )安全問(wèn)題被廣泛認識之前設計的，極易受到攻擊， 并且OPC通訊采用不固定的動(dòng)態(tài)端口號，在通訊過(guò)程中可能會(huì )用到1024-65535中的任一端口，這就導致使用傳統基于端口或IP地址的IT防火墻無(wú)法確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統的安全性和可靠性成為工程師的一個(gè)安全技術(shù)難題。

    1.2　操作系統漏洞

    目前大多數工業(yè)控制系統的工程師站/操作站/HMI都是基于Windows平臺的，為保證過(guò)程控制系統的相對獨立性，同時(shí)考慮到系統的穩定運行，通?，F場(chǎng)工程師在系統開(kāi)車(chē)后不會(huì )對Windows平臺安裝任何補丁，這樣導致了操作系統系統存在被攻擊的可能，從而埋下了安全隱患。

    1.3　殺毒軟件漏洞

    為了保證工控應用軟件的可用性，許多工控系統操作站通常不會(huì )安裝殺毒軟件。即使安裝了殺毒軟件，在使用過(guò)程中也有很大的局限性，原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是，其病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會(huì )爆發(fā)大規模的病毒攻擊，特別是新病毒。

    1.4　應用軟件漏洞

    由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問(wèn)題；另外當軟件面向網(wǎng)絡(luò )應用時(shí)，就必須開(kāi)放其網(wǎng)絡(luò )端口。因此常規的IT防火墻等安全設備很難保障其安全性?；ヂ?lián)網(wǎng)攻擊者很有可能會(huì )利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠(chǎng)、天然氣管道以及其它大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。

    1.5　安全策略和管理流程漏洞

    追求可用性而犧牲安全，是工業(yè)控制系統存在的普遍現象，工業(yè)控制系統中移動(dòng)存儲介質(zhì)包括筆記本電腦、U盤(pán)等設備的使用缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統信息安全帶來(lái)了一定的威脅。

    2　石化行業(yè)控制系統信息安全現狀分析

    目前，實(shí)時(shí)數據庫系統在石化企業(yè)生產(chǎn)經(jīng)營(yíng)管理中得到越來(lái)越廣泛的應用，通用通訊協(xié)議和操作系統也幾乎覆蓋了所有的工業(yè)控制系統。根據業(yè)務(wù)功能的不同，石化行業(yè)工控系統網(wǎng)絡(luò )一般分為三部分：控制層、數采層和管理信息層，如圖1所示。

 

     圖1  石化行業(yè)工控系統網(wǎng)絡(luò )結構

   
    在信息安全方面，石化企業(yè)工控系統目前存在的安全問(wèn)題主要有：

    （1）系統終端自身免疫力不足。目前工業(yè)計算機操作系統大多采用Windows操作系統，一般不允許安裝操作系統的安全補丁和防病毒軟件，這些先天限制，使得工業(yè)計算機的操作系統存在很多已知或未知的漏洞無(wú)法解決，一旦發(fā)生針對性的網(wǎng)絡(luò )攻擊或病毒感染則會(huì )造成無(wú)法想象的后果；即便安裝殺毒軟件也僅能對部分病毒或攻擊有所抑制，但病毒庫存在滯后，也不能從根本上進(jìn)行防護。另一方面，項目實(shí)施和后期維護中頻繁使用U盤(pán)、筆記本電腦等外置設備，并且是在整個(gè)系統開(kāi)車(chē)情況下實(shí)施，也存在較高的安全隱患。

     （2）工業(yè)網(wǎng)絡(luò )扁平化現象突出。雖然大多數石化企業(yè)通過(guò)Buffer數采機或OPC Server的雙網(wǎng)卡結構對數采網(wǎng)與控制網(wǎng)進(jìn)行了隔離，部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò )，但對于能夠利用Windows系統漏洞的網(wǎng)絡(luò )蠕蟲(chóng)及病毒等，這種配置并沒(méi)有作用，病毒仍會(huì )在數采網(wǎng)和控制網(wǎng)之間互相傳播。

    （3）系統缺乏信息安全監控措施，網(wǎng)絡(luò )攻擊事件無(wú)法追蹤?，F有網(wǎng)絡(luò )如果遭受病毒和黑客攻擊，維護人員無(wú)法進(jìn)行故障點(diǎn)查詢(xún)和原因分析，并采取應急響應措施，一些小的安全問(wèn)題直至發(fā)展成大的安全事故才會(huì )被發(fā)現和解決。

    3　基于縱深防御的工業(yè)控制系統信息安全解決方案

    3.1　系統終端安全

    鑒于工業(yè)應用的特殊性，工業(yè)控制系統的操作站、應用站等終端難以采用傳統的打補丁、殺毒軟件的方式應用層出不窮的操作系統漏洞、計算機后門(mén)程序、病毒、數據掃描、密鑰數據塊攻擊等多元化的風(fēng)險及威脅。有別于傳統的安全技術(shù)， 可信計算首先構建一個(gè)信任根，再建立一條信任鏈，從信任根開(kāi)始到硬件平臺，到操作系統，再到應用，一級認證一級，一級信任一級，從而把這種信任擴展到整個(gè)計算機系統，以提高系統整體的安全性。

    如圖2所示， InTrust工控可信計算安全平臺首創(chuàng )可信計算在工控領(lǐng)域的創(chuàng )新應用，擁有“白名單”模式的智能可信度量系統，并可以通過(guò)度量信息實(shí)現對程序進(jìn)程的全面管控，從根本上解決工控系統終端病毒感染、惡意代碼進(jìn)程啟動(dòng)、操作系統內核漏洞隱患。

    3.2　網(wǎng)絡(luò )安全

    國際行業(yè)標準ANSI/ISA-99、IEC62443指出工業(yè)控制系統網(wǎng)絡(luò )安全要點(diǎn)如表1所示。
 

圖2   采用InTrust 工控可信計算安全平臺提高工控系統終端安全的部署示意圖

 

    參照國際行業(yè)標準，同時(shí)結合石化行業(yè)網(wǎng)絡(luò )結構特點(diǎn)以及信息安全需要，可以將其工控網(wǎng)絡(luò )劃分為控制網(wǎng)、數采網(wǎng)、工程師站、APC先控站、關(guān)鍵控制器等5個(gè)區域。

    下一步就是實(shí)現區域之間網(wǎng)絡(luò )通訊的訪(fǎng)問(wèn)控制。工業(yè)防火墻是目前業(yè)界比較認可，市場(chǎng)應用最廣的一種網(wǎng)絡(luò )安全防護產(chǎn)品。以Guard工業(yè)防火墻為例，其采用工業(yè)協(xié)議深度包檢查（DPI）技術(shù)，支持OPC、Modbus TCP等常見(jiàn)工業(yè)協(xié)議，遠遠超過(guò)了端口級別的訪(fǎng)問(wèn)控制，能提供更加有效的工業(yè)協(xié)議應用層防護。另外Guard工業(yè)防火墻采用無(wú)IP連接技術(shù)，同時(shí)能隱藏后端保護設備的IP地址，令攻擊者無(wú)從發(fā)現攻擊目標，更不用談發(fā)起攻擊。

    如圖3所示，在數采網(wǎng)和控制網(wǎng)之間、工程師站前端、APC先控站前端以及關(guān)鍵控制器前端部署Guard工業(yè)防火墻，可有效防止蠕蟲(chóng)、木馬等非法病毒在網(wǎng)絡(luò )上傳播擴散；隔離工程師站，避免因工程師站感染而導致的病毒擴散；保護APC先控站和關(guān)鍵控制器；從網(wǎng)絡(luò )層面構建工控系統運行的安全環(huán)境。

 

圖3    工業(yè)防火墻在石化行業(yè)工業(yè)網(wǎng)絡(luò )安全防護中的應用   

    3.3　智能審計記錄分析

    工控安全管理平臺SMP是專(zhuān)門(mén)針對工控網(wǎng)絡(luò )行為審計記錄的智能分析管理軟件，具備強大的審計日志存儲查詢(xún)功能，可以對海量的審計數據進(jìn)行實(shí)時(shí)監控和網(wǎng)絡(luò )行為態(tài)勢分析，使系統安全運維人員能夠通過(guò)實(shí)時(shí)日志展示畫(huà)面隨時(shí)監控正在發(fā)生的不同級別審計日志和報警信息，也可以通過(guò)安全管理平臺的條件查詢(xún)、統計、篩選、圖表展示和態(tài)勢分析算法模型等強大的功能迅速得出網(wǎng)絡(luò )健康狀況，最終自動(dòng)獲得詳細的統計分析報告和事件處置方式建議，實(shí)現系統安全運維管理的實(shí)時(shí)性、完整性、自動(dòng)化、智能化。

    整體“縱深防御”工業(yè)控制系統信息安全部署結構如圖4所示。

 

圖4    終端加固、網(wǎng)絡(luò )安全、智能監控石化行業(yè)縱深防御工業(yè)控制系統信息安全防護架構
 

    4　結語(yǔ)

    石油化工等關(guān)鍵基礎設施和能源行業(yè)關(guān)系國計民生，在我國兩化融合深入發(fā)展的同時(shí)，如何確保工控系統信息安全是石化行業(yè)信息化建設重要的一部分。

    本文以縱深防御的工業(yè)信息安全防護理念為核心，在充分了解石化行業(yè)網(wǎng)絡(luò )結構和安全現狀的基礎上，對石化行業(yè)工控系統信息安全需求進(jìn)行了認真分析，從終端安全、網(wǎng)絡(luò )安全和智能監控三方面出發(fā)，通過(guò)部署InTrust工控可信計算安全平臺、Guard工業(yè)防火墻以及工控安全管理平臺SMP，實(shí)現了石化行業(yè)工業(yè)控制系統信息安全的縱深防御，能切實(shí)有效地保護工控系統遠離木馬、蠕蟲(chóng)、黑客等各種威脅和攻擊，保障企業(yè)生產(chǎn)安全穩定運行。

    作者簡(jiǎn)介

    武曉芳，女，本科，工程師，現就職于青島多芬諾信息安全技術(shù)有限公司，主要從事工業(yè)控制系統的數據采集傳輸以及工業(yè)網(wǎng)絡(luò )的信息安全防護工作。