1　引言

    工業(yè)控制系統（Industrial Control Systems,ICS），包括SCADA系統、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED）等，目前已廣泛應用于石化、電力、水力、醫藥、食品、交通運輸、航天等工業(yè)領(lǐng)域，其中超過(guò)80%涉及國計民生的關(guān)鍵基礎設施依靠工業(yè)控制系統來(lái)實(shí)現自動(dòng)化作業(yè)，已成為國家關(guān)鍵基礎設施的重要組成部分，關(guān)系到國家的戰略安全。

    隨著(zhù)信息化與工業(yè)化進(jìn)程的不斷交叉融合，信息網(wǎng)絡(luò )技術(shù)在工業(yè)控制系統中得到了普及應用，然而現有的工業(yè)控制系統大多是在未考慮安全因素或者未充分考慮安全因素的情況下組建的，因此針對工業(yè)控制系統的攻擊和威脅逐步顯現。2010年“震網(wǎng)”病毒事件破壞了伊朗核設施，震驚全球，這標志著(zhù)網(wǎng)絡(luò )攻擊從傳統“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設施等核心關(guān)鍵系統的“硬摧毀”階段。

    ICS-CERT安全報告指出“近三年針對工業(yè)控制系統的安全事件呈明顯上升趨勢，據統計，2013年已達到257起”，并且伴隨著(zhù)工業(yè)病毒日益更新，病毒變得更加隱蔽與復雜。同時(shí)工信部已在2011年底發(fā)布《關(guān)于加強工業(yè)控制系統信息安全管理的通知》，標志著(zhù)我國對工業(yè)控制系統的安全管理上升為國家戰略。

    本文分析了工業(yè)控制系統的信息安全防護特性，闡述了設計的工業(yè)防火墻，以及在石化、煙草行業(yè)的解決方案。

    2　工業(yè)控制系統安全防護特性

    工業(yè)控制系統安全威脅主要來(lái)源已從內部惡意篡改、環(huán)境因素、誤操作、集成商后門(mén)、錯誤配置等逐漸變化為黑客攻擊、工業(yè)病毒、無(wú)線(xiàn)風(fēng)險，以及設備漏洞等。傳統的互聯(lián)網(wǎng)安全防護技術(shù)無(wú)論在理論研究還是在實(shí)踐應用上都已經(jīng)取得了不錯的進(jìn)展，市場(chǎng)上充斥著(zhù)各種互聯(lián)網(wǎng)安全防護產(chǎn)品，如防火墻、入侵檢測系統、防病毒軟件等。但是，由于工業(yè)控制系統的高可靠性、高實(shí)時(shí)性以及專(zhuān)用的網(wǎng)絡(luò )通信協(xié)議等特點(diǎn)，傳統的互聯(lián)網(wǎng)防護技術(shù)難以在工業(yè)控制系統實(shí)施，具體實(shí)施差距主要表現在以下幾個(gè)方面：

    （1）通訊協(xié)議的不同：工控網(wǎng)中有大量的工控系統專(zhuān)有協(xié)議。

    （2）系統環(huán)境不同：工控網(wǎng)中需要導軌式安裝、無(wú)風(fēng)扇設計等。

    （3）可靠性要求不同：工控網(wǎng)中誤報、數據丟失等同于攻擊。

    （4）實(shí)時(shí)性要求不同：工控網(wǎng)中網(wǎng)絡(luò )延時(shí)要求較高。

    （5）網(wǎng)絡(luò )拓撲不同：工控網(wǎng)中的系統拓撲不會(huì )輕易變動(dòng)。

    3　工業(yè)防火墻設計

    中科工業(yè)防火墻針對上述問(wèn)題，結合縱深防御的思想，開(kāi)發(fā)了針對工業(yè)應用層協(xié)議的安全防護技術(shù)，建立不同區域之間的數據通信管道，對管道內的數據進(jìn)行安全管控。其中基于ISA的縱深防御主要指“白名單規則”的區域管控，包括：劃分控制系統安全區域，對安全區域的隔離保護；保護合法用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )資源。以及由于安全威脅主要來(lái)自于應用層，傳統五元組（源IP、目的IP、協(xié)議、源端口、目的端口）方式的ACL將不能完全抵御高級可持續攻擊，中科工業(yè)防火墻同時(shí)針對工業(yè)專(zhuān)有應用層協(xié)議進(jìn)行了深度的安全防護，包括Modbus、OPC協(xié)議。

    中科工業(yè)防火墻的Modbus訪(fǎng)問(wèn)控制模塊提供了一種針對工業(yè)控制Modbus協(xié)議的訪(fǎng)問(wèn)控制方法，Modbus協(xié)議訪(fǎng)問(wèn)控制是工業(yè)控制系統安全防護中極其重要的環(huán)節，它建立在身份識別基礎上，限制了工業(yè)控制系統中訪(fǎng)問(wèn)主體對客體的訪(fǎng)問(wèn)，防止未經(jīng)授權使用（含以未授權方式使用）某資源，從而保障數據資源在合法范圍內得以有效使用和管理，Modbus協(xié)議檢測范圍如圖1所示。

圖1 Modbus協(xié)議檢測

    中科工業(yè)防火墻的OPC協(xié)議模塊是用于保護工業(yè)控制系統中通過(guò)OPC協(xié)議進(jìn)行數采與傳輸的過(guò)程，防護模塊以OPC基金會(huì )、工業(yè)控制系統應急響應中心（ICSCERT）等組織提出的安全問(wèn)題及防護建議為理論基礎，如有效的鎖定OPC客戶(hù)端與服務(wù)端、DCOM對象訪(fǎng)問(wèn)、約束RPC協(xié)議端口最小權限、檢測沒(méi)有異常DCOM被使用等，實(shí)時(shí)捕獲OPC通信數據包，解析OPC數據包端口內容，為端口設置一條私密規則，對端口進(jìn)行動(dòng)態(tài)跟蹤與授權管理，在建立連接之后對流經(jīng)的數據包進(jìn)行基于端口及協(xié)議進(jìn)行監控，防止非法訪(fǎng)問(wèn)，OPC防護模塊檢測原理如圖2所示。

圖2 OPC防護模塊檢測原理
   

    中科工業(yè)防火墻的設計要點(diǎn)如圖3所示，主要包括：基于“區域”與“管道”的安全防護模型；Modbus/TCP、Modbus/UDP、OPC等工控協(xié)議應用數據的深度解析；基于規則策略的動(dòng)態(tài)包過(guò)濾和Syslog的實(shí)時(shí)報警技術(shù)；冗余電源設計；工業(yè)級的低功耗設計；兼容所有PLC、HMI、RTU等工業(yè)控制設備；支持時(shí)間同步、重啟自動(dòng)加載規則的高可用性設計；包含直通、管控和自學(xué)習模式設計，使用多種網(wǎng)絡(luò )拓撲結構。

圖3 工業(yè)防火墻功能特性

    以上設計要點(diǎn)符合工業(yè)級應用的設計，并通過(guò)了公安部信息安全產(chǎn)品檢測中心的認證，認證型號為SIAIF1000-02TX/v1.0。  

    4　工業(yè)防火墻在石化、煙草行業(yè)的應用

    4.1 石化控制系統安全解決方案

    以某石化行業(yè)的實(shí)際解決方案為例，現場(chǎng)網(wǎng)絡(luò )的結構是底層溫度、壓力流速、計量數等采集表通過(guò)無(wú)線(xiàn)方式將數據傳遞到匯聚的RTU網(wǎng)關(guān)設備，多個(gè)RTU設備向OPC服務(wù)器以固定時(shí)間間隔傳遞采集數據，OPC服務(wù)器將數據存儲在本地實(shí)時(shí)數據庫中，之后在管理網(wǎng)絡(luò )中部署了Aspen，它作為OPC客戶(hù)端向現場(chǎng)網(wǎng)絡(luò )中OPC服務(wù)器數據請求采集數據。

    中科工業(yè)防火墻實(shí)際部署在OPC服務(wù)器與OPC客戶(hù)端之間，滿(mǎn)足用戶(hù)對OPC協(xié)議安全防護的需求，解決方案部署示意圖如圖4所示。 

圖4 石化行業(yè)實(shí)際部署示意圖

    通過(guò)部署中科工業(yè)防火墻，目前網(wǎng)絡(luò )中的阻態(tài)軟件的警告事件明顯減少，網(wǎng)絡(luò )中的廣播流量明顯減少。

    4.2　煙草控制系統安全解決方案

    以某煙草行業(yè)實(shí)際解決方案為例，現場(chǎng)網(wǎng)絡(luò )組成層次從下至上依次為：電控元器件、傳感器、執行器等組成的現場(chǎng)設備層；主控制器組成的控制層；操作員站、工程師站組成的組態(tài)層?？刂茖优c現場(chǎng)設備層之間通過(guò)現場(chǎng)總線(xiàn)進(jìn)行控制，如485、232等，組態(tài)層與控制層主流以Modbus、Profinet協(xié)議控制。

    中科工業(yè)防火墻針對以Modbus協(xié)議的控制系統，增加中科工業(yè)防火墻，對網(wǎng)絡(luò )中的Modbus協(xié)議進(jìn)行深度解析，保護控制器，阻止任何對控制器的非法訪(fǎng)問(wèn)及控制?，F場(chǎng)網(wǎng)絡(luò )與MES層之間主要通過(guò)OPC協(xié)議進(jìn)行現場(chǎng)網(wǎng)絡(luò )數據的向上傳遞，增加中科工業(yè)防火墻，對OPC協(xié)議進(jìn)行動(dòng)態(tài)端口開(kāi)放及實(shí)現區域隔離，避免病毒利用端口傳遞后門(mén)及病毒擴散，解決方案部署示意圖如圖5所示。

圖5 煙草行業(yè)實(shí)際部署示意圖

    通過(guò)部署工業(yè)防火墻完整顯示現場(chǎng)網(wǎng)絡(luò )的實(shí)時(shí)事件，獲得部署單位的認可，能對單位網(wǎng)絡(luò )報警及消息進(jìn)行歷史存儲。網(wǎng)絡(luò )管理人員通過(guò)觀(guān)察警報事件，對某員工的偏離操作參數進(jìn)行管理與培訓，避免一批部分生產(chǎn)任務(wù)的損失。

    5　結語(yǔ)

    本文分析了工業(yè)控制系統與傳統IT網(wǎng)絡(luò )信息安全防護的區別，說(shuō)明了工業(yè)控制系統網(wǎng)絡(luò )安全防護的特殊性。闡述了Modbus和OPC工業(yè)防火墻的設計方案，并介紹了開(kāi)發(fā)的中科工業(yè)防火墻在石化、煙草行業(yè)的解決方案。

    開(kāi)發(fā)的中科工業(yè)防火墻產(chǎn)品SIA-IF1000-02TX/v1.0，通過(guò)了公安部信息安全產(chǎn)品檢測中心的認證。該產(chǎn)品目前已經(jīng)在石油、石化和煙草等多個(gè)行業(yè)應用，加固了工業(yè)控制系統的信息安全防護。


參考文獻：

[1] 彭杰, 劉力. 工業(yè)控制系統信息安全性分析[J]. 自動(dòng)化儀表, 2012, (12): 36 - 39.

[2] 夏春明, 劉濤, 王華忠, 吳清. 工業(yè)控制系統信息安全現狀及發(fā)展趨勢[J]. 信息安全與技術(shù), 2013, (02): 13 - 18.

[3] 于立業(yè), 薛向榮, 張云貴等. 工業(yè)控制系統信息安全解決方案[J]. 冶金自動(dòng)化, 2013, 37(1): 5 - 11.

[4] 宋慧欣. 破解“工業(yè)控制系統信息安全”迷局[J]. 自動(dòng)化博覽，2012, (07): 30 - 35.



作者簡(jiǎn)介

尚文利（1974-），男，黑龍江北安人，副研究員，博士，碩士生導師，現就職于中國科學(xué)院沈陽(yáng)自動(dòng)化研究所，中國科學(xué)院網(wǎng)絡(luò )化控制系統重點(diǎn)實(shí)驗室，主要從事計算智能與機器學(xué)習、工業(yè)信息安全方向研究。

劉長(cháng)江（1972-），男，吉林九臺人，工程師，現就職于吉林油田勘察設計院，主要從事計算機及網(wǎng)絡(luò )設備、物聯(lián)網(wǎng)系統方面的研究工作。

趙劍明（1988-），男，助理研究員，現就職于中國科學(xué)院沈陽(yáng)自動(dòng)化研究所，中國科學(xué)院網(wǎng)絡(luò )化控制系統重點(diǎn)實(shí)驗室，主要從事工業(yè)信息安全方面的研究工作。

曾鵬（1976-），男，山東青島人，研究員，博士、博士生導師，現就職于中國科學(xué)院沈陽(yáng)自動(dòng)化研究所，中國科學(xué)院網(wǎng)絡(luò )化控制系統重點(diǎn)實(shí)驗室，主要從事工業(yè)無(wú)線(xiàn)傳感網(wǎng)技術(shù)研究。