1　引言

“互聯(lián)網(wǎng)+”時(shí)代背景下，“工業(yè)4.0”系統高度集成了物聯(lián)網(wǎng)、云計算、大數據等眾多新形態(tài)的信息技術(shù)，這些都是實(shí)現“工業(yè)4.0”智能化的基礎，是一項復雜的大型系統工程。從傳感感知層、通信傳輸層、應用層到智能分析系統，“工業(yè)4.0”控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接。工業(yè)基礎設施在享受開(kāi)放、互聯(lián)技術(shù)帶來(lái)的進(jìn)步與益處的同時(shí)，也面臨越來(lái)越嚴重的安全威脅，病毒、木馬等威脅正在向工業(yè)控制系統擴散，工業(yè)控制系統信息安全問(wèn)題日益突出。近年來(lái)，隨著(zhù)越來(lái)越多的工業(yè)信息安全事件的出現，我國的工業(yè)基礎設施正面臨著(zhù)前所未有的挑戰。工業(yè)基礎設施中關(guān)鍵應用或系統的故障將可能會(huì )導致人員傷亡、帶來(lái)嚴重的經(jīng)濟損失、基礎設施被破壞、危及公眾生活及國家安全、環(huán)境災難等嚴重后果。

近十幾年來(lái)，我國卷煙生產(chǎn)歷經(jīng)多次大規模的技術(shù)改造，其各個(gè)工藝環(huán)節的自動(dòng)化技術(shù)水平已經(jīng)走在國內制造業(yè)，甚至國際煙草企業(yè)的前列。很多國際領(lǐng)先的自動(dòng)化技術(shù)和工業(yè)網(wǎng)絡(luò )技術(shù)，像Profinet、EtherNet/IP等進(jìn)入中國都是率先在煙草制造業(yè)中應用。因此，中國煙草企業(yè)的工業(yè)自動(dòng)化和網(wǎng)絡(luò )化程度都非常高。但是，這些先進(jìn)技術(shù)的應用在迅速提升煙草企業(yè)生產(chǎn)力的同時(shí)也為它們埋下了極大的安全隱患。本文結合煙草行業(yè)分析了當前“工業(yè)4.0”控制系統的安全漏洞，并結合“工業(yè)4.0”控制系統的網(wǎng)絡(luò )架構和多芬諾工業(yè)防火墻的“測試”模式功能，詳細介紹了“工業(yè)4.0”控制系統信息安全的縱深防御策略，致力于建立一個(gè)“本質(zhì)安全”的工業(yè)控制網(wǎng)，從而解決了困擾各公司的控制系統信息安全隱患，保證了企業(yè)各裝置控制系統的安全平穩運行。

2　“工業(yè)4.0”控制系統信息安全現狀分析

近十年來(lái)，隨著(zhù)信息技術(shù)的迅猛發(fā)展，信息化在我們企業(yè)中的應用取得了飛速發(fā)展。一方面，互聯(lián)網(wǎng)技術(shù)的出現，使得工業(yè)控制網(wǎng)絡(luò )中大量采用通用TCP/IP技術(shù)，ICS網(wǎng)絡(luò )和企業(yè)管理網(wǎng)的聯(lián)系越來(lái)越緊密。另一方面，傳統工業(yè)控制系統采用專(zhuān)用的硬件、軟件和通信協(xié)議，設計上基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護功能都很弱或者甚至幾乎沒(méi)有隔離功能。因此在工控系統開(kāi)放的同時(shí)，也減弱了控制系統與外界的隔離，工控系統的安全隱患問(wèn)題日益嚴峻。系統中任何一點(diǎn)受到攻擊都有可能導致整個(gè)系統的癱瘓。

2.1　“工業(yè) 4.0”控制系統的安全漏洞

（1）通信協(xié)議漏洞

兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應用在工業(yè)控制網(wǎng)絡(luò )中，隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。例如，OPC Classic協(xié)議（OPC UA，OPC HAD和OPCA&E）基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò )安全問(wèn)題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號，導致目前幾乎無(wú)法使用傳統的IT防火墻來(lái)確保其安全性。因此確保使用OPC通訊協(xié)議的“工業(yè)4.0”控制系統的安全性和可靠性給工程師帶來(lái)了極大的挑戰。

（2）操作系統漏洞

目前大多數“工業(yè)4.0”控制系統的工程師站/操作站/HMI都是基于Windows平臺的，為保證過(guò)程控制系統的相對獨立性，同時(shí)考慮到系統的穩定運行，通?，F場(chǎng)工程師在系統開(kāi)車(chē)后不會(huì )對Windows平臺安裝任何補丁，但不安裝補丁，系統就存在被攻擊的可能，從而埋下安全隱患。

（3）安全策略和管理流程漏洞

追求可用性而犧牲安全，是很多“工業(yè)4.0”控制系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給“工業(yè)4.0”控制系統信息安全帶來(lái)了一定的威脅。例如“工業(yè)4.0”控制系統中移動(dòng)存儲介質(zhì)，包括筆記本電腦、U盤(pán)等設備的使用和不嚴格的訪(fǎng)問(wèn)控制策略。

（4）殺毒軟件漏洞

為了保證工控應用軟件的可用性，許多工控系統操作站通常不會(huì )安裝殺毒軟件。即使安裝了殺毒軟件，在使用過(guò)程中也有很大的局限性。原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是，其病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會(huì )爆發(fā)大規模的病毒攻擊，特別是新病毒的攻擊。

（5）應用軟件漏洞

由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問(wèn)題；另外，當應用軟件面向網(wǎng)絡(luò )應用時(shí)，就必須開(kāi)放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性?；ヂ?lián)網(wǎng)攻擊者很有可能會(huì )利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠(chǎng)、天然氣管道以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。

2.2　“工業(yè) 4.0”控制系統的安全防御措施要求

一般來(lái)說(shuō)，公司的IT部門(mén)人員了解信息安全相關(guān)知識，但并不了解過(guò)程控制系統。而且傳統IT環(huán)境和工控系統環(huán)境之間存在著(zhù)一些關(guān)鍵不同，例如，控制系統通常需要每周7天，每天24小時(shí)的長(cháng)期運行。因此控制系統的特殊功能要求可能使原本合格的安全技術(shù)變得沒(méi)有效果。所以，簡(jiǎn)單地將IT安全技術(shù)配置到工控系統中并不是高效可行的解決方案。

國際行業(yè)標準ANSI/ISA-99明確指出目前工業(yè)控制領(lǐng)域普遍認可的安全防御措施要求如表1所示。即將具有相同功能和安全要求的控制設備劃分到同一區域，區域之間執行管道通信，通過(guò)控制區域間管道中的通信內容來(lái)確?！肮I(yè)4.0”控制系統信息安全。

表1 工業(yè)控制領(lǐng)域普遍認可的安全防御措施要求

2.3　“縱深防御”策略

“縱深防御”策略嚴格遵循ANSI/ISA-99標準，是提高“工業(yè)4.0”控制系統信息安全的最佳選擇。建立“縱深防御”的最有效方法是采用ANSI/ISA-99.02.01和IEC-63443標準的區級防護，將網(wǎng)絡(luò )劃分為不同的安全區，在安全區之間按照一定規則安裝防火墻。

建立“縱深防御”策略的兩個(gè)主要目標。

（1）即使在某一點(diǎn)發(fā)生網(wǎng)絡(luò )安全事故，也能保證裝置或工廠(chǎng)的正常安全穩定運行。對于現代計算機網(wǎng)絡(luò )，我們認為最可怕的是病毒的急速擴散，它會(huì )瞬間令整個(gè)網(wǎng)絡(luò )癱瘓。該防護目標在于當工業(yè)網(wǎng)絡(luò )的某個(gè)局部存在病毒感染或者其它不安全因素時(shí)，不會(huì )向其它設備或網(wǎng)絡(luò )擴散，從而保證裝置或工廠(chǎng)的安全穩定運行。

（2）工廠(chǎng)操作人員能夠及時(shí)準確地確認故障點(diǎn)，并排除問(wèn)題。怎樣能夠及時(shí)發(fā)現網(wǎng)絡(luò )中存在的感染及其他問(wèn)題，準確找到故障的發(fā)生點(diǎn)，是維護控制系統信息安全的前提。

3　“工業(yè)4.0”控制系統信息安全的縱深防御

3.1　工業(yè)系統網(wǎng)絡(luò )結構及安全區域的劃分

從總體結構上來(lái)講，工業(yè)系統網(wǎng)絡(luò )可分為三個(gè)層次：企業(yè)管理層、數采信息層和控制層。企業(yè)管理層主要是辦公自動(dòng)化系統，一般使用通用以太網(wǎng)，可以從數采信息層提取有關(guān)生產(chǎn)數據用于制定綜合管理決策。數采信息層主要是從控制層獲取數據，完成各種控制、運行參數的監測、報警和趨勢分析等功能?？刂茖迂撠熗ㄟ^(guò)組態(tài)設計，完成數據采集、A/D轉換、數字濾波、溫度壓力補償、PID控制等各種功能。

系統的每一個(gè)安全漏洞都會(huì )導致不同的后果，所以將它們單獨隔離防護十分必要。對于額外的安全性和可靠性要求，在主要的安全區還可以根據操作功能進(jìn)一步劃分成子區。這樣一旦發(fā)生信息安全事故，就能大大提高工廠(chǎng)生產(chǎn)安全運行的可靠性，同時(shí)降低由此帶來(lái)的其他風(fēng)險及清除費用。

將企業(yè)系統結構劃分成不同的區域可以幫助企業(yè)有效地建立“縱深防御”策略，參照ANSI/ISA-99標準，同時(shí)結合工業(yè)系統的安全需要，可以將工業(yè)系統網(wǎng)絡(luò )劃分為下列不同的安全區域，如圖1所示。企業(yè)IT網(wǎng)絡(luò )區域、過(guò)程信息與歷史數據區域、管理與HMI區域、DCS與PLC控制區域、第三方控制系統區域。

圖1 工業(yè)系統網(wǎng)絡(luò )安全區域的劃分

3.2　基于縱深防御策略的工業(yè)控制系統信息安全

針對企業(yè)流程工業(yè)的特點(diǎn)，同時(shí)結合工業(yè)控制系統的網(wǎng)絡(luò )結構，基于縱深防御策略，創(chuàng )建“本質(zhì)安全”的工業(yè)控制網(wǎng)絡(luò )需要以下五個(gè)層面的安全防護，如圖2所示。

圖2 工業(yè)控制系統信息安全的縱深防御結構圖

（1）企業(yè)管理層和數采監控層之間的安全防護

在企業(yè)管理層和數采監控層之間加入防火墻，一方面提升了網(wǎng)絡(luò )的區域劃分，另一方面更重要的是只允許兩個(gè)網(wǎng)絡(luò )之間合法的數據交換，阻擋企業(yè)管理層對數采監控層的未經(jīng)授權的非法訪(fǎng)問(wèn)，同時(shí)也防止管理層網(wǎng)絡(luò )的病毒感染擴散到數采網(wǎng)絡(luò )?？紤]到企業(yè)管理層一般采用通用以太網(wǎng)，要求較高的通訊速率和帶寬等因素，對此部位的安全防護建議使用常規的IT防火墻。

（2）數采監控層和控制層之間的安全防護

該部位通常使用OPC通訊協(xié)議，由于OPC通訊采用不固定的端口號，使用傳統的IT防火墻進(jìn)行防護時(shí)，不得不開(kāi)放大規模范圍內的端口號。在這種情況下，防火墻提供的安全保障被降至最低。

因此，在數采監控層和控制層之間應安裝專(zhuān)業(yè)的工業(yè)防火墻，解決OPC通訊采用動(dòng)態(tài)端口帶來(lái)的安全防護瓶頸問(wèn)題，阻止病毒和任何其它的非法訪(fǎng)問(wèn)，這樣來(lái)自防護區域內的病毒感染就不會(huì )擴散到其他網(wǎng)絡(luò )，提升網(wǎng)絡(luò )區域劃分能力的同時(shí)從本質(zhì)上保證了網(wǎng)絡(luò )通訊安全。

（3）保護關(guān)鍵控制器

考慮到和控制器之間的通訊一般都采用制造商專(zhuān)有工業(yè)通訊協(xié)議，或者其它工業(yè)通信標準，如Modbus等，由于常規的IT防火墻和網(wǎng)閘等安全防護產(chǎn)品都不支持工業(yè)通訊協(xié)議，因此，對關(guān)鍵控制器的保護應使用專(zhuān)業(yè)的工業(yè)防火墻。一方面對防火墻進(jìn)行規則組態(tài)時(shí)只允許制造商專(zhuān)有協(xié)議通過(guò)，阻擋來(lái)自操作站的任何非法訪(fǎng)問(wèn)； 另一方面可以對網(wǎng)絡(luò )通訊流量進(jìn)行管控，可以指定只有某個(gè)專(zhuān)有操作站才能訪(fǎng)問(wèn)指定的控制器；第三方面也可以管控局部網(wǎng)絡(luò )的通訊速率，防止控制器遭受網(wǎng)絡(luò )風(fēng)暴及其它攻擊的影響，從而避免控制器死機。

（4）隔離工程師站，保護APC先控站

對于網(wǎng)絡(luò )中存在的工程師站和APC先控站，考慮到工程師站和APC節點(diǎn)在項目實(shí)施階段通常需要接入第三方設備（U盤(pán)、筆記本電腦等），而且是在整個(gè)控制系統開(kāi)車(chē)的情況下實(shí)施，受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。

在工程師站和APC先控站前端增加工業(yè)防火墻，可以將工程師站和APC節點(diǎn)單獨隔離，防止病毒擴散，保證了網(wǎng)絡(luò )的通訊安全。

（5）和第三方控制系統之間的安全防護

使用工業(yè)防火墻將SIS安全儀表系統等第三方控制系統和網(wǎng)絡(luò )進(jìn)行隔離，主要是為了確保兩個(gè)區域之間數據交換的安全，管控通訊數據，保證只有合法可信的、經(jīng)過(guò)授權的訪(fǎng)問(wèn)和通訊才能通過(guò)網(wǎng)絡(luò )通信管道。同時(shí)也提升了網(wǎng)絡(luò )安全區域劃分能力，有效地阻止了病毒感染的擴散。

3.3　報警管理平臺

報警管理平臺的功能包括集成系統中所有的事件和報警信息，并對報警信息進(jìn)行等級劃分。提供實(shí)時(shí)畫(huà)面顯示、歷史數據存儲、報警確認、報警細目查詢(xún)、歷史數據查詢(xún)等功能。

報警管理平臺還負責捕獲現場(chǎng)所有安裝有工業(yè)防火墻的通訊信道中的攻擊，并詳細顯示攻擊來(lái)自哪里、使用何種通信協(xié)議、攻擊目標是誰(shuí)，以總攬大局的方式為工廠(chǎng)網(wǎng)絡(luò )故障的及時(shí)排查、分析提供了可靠依據。

3.4　“測試”模式

系統工程師可以利用多芬諾工業(yè)防火墻提供的“測試”模式功能，在真正部署防火墻之前，在真實(shí)工廠(chǎng)操作環(huán)境中對防火墻規則進(jìn)行測試。通過(guò)分析確認每一條報警信息，實(shí)現全面的控制功能，從而確保工控需求的完整性和可靠性。

4　結語(yǔ)

工業(yè)控制系統信息安全問(wèn)題已迫在眉睫，本文針對企業(yè)流程工業(yè)的特點(diǎn)，同時(shí)結合工業(yè)控制系統網(wǎng)絡(luò )結構和安全需求以及多芬諾工業(yè)防火墻提供的“測試”模式功能，提出工業(yè)控制系統信息安全的縱深防御策略，即參照國際行業(yè)標準ANSI/ISA-99，將工業(yè)系統網(wǎng)絡(luò )劃分為不同的安全區域，在區域之間執行管道通信，從而通過(guò)管控區域間管道中的通信內容，實(shí)現保證工廠(chǎng)控制網(wǎng)絡(luò )安全穩定運行的三個(gè)目標：通訊可控、區域隔離和報警追蹤，進(jìn)而全方位地保障工業(yè)控制系統信息安全。

作者簡(jiǎn)介

王德吉（1975-），男，博士后、博士生導師、首席培訓師。主要從事“互聯(lián)網(wǎng)+”、網(wǎng)絡(luò )安全、“工業(yè)4.0”研究。全國煙草行業(yè)勞動(dòng)模范，全國煙草行業(yè)優(yōu)秀教師，兼中科院、清華大學(xué)、西安交大、湖南農大研究生導師，國家工程實(shí)驗室、國家標委會(huì )、中科協(xié)、IFAC、IAENG、Siemens等專(zhuān)家。先后在微軟、微陽(yáng)研究院、中科院從事客座研究，掛職肥東縣副縣長(cháng)，從事科研應用普及，主持省部級“數字工廠(chǎng)”等重大專(zhuān)項1項和企業(yè)項目6項，參與國家重大項目“機器人”、“先進(jìn)制造”、“制造業(yè)信息化”3項。獲省部級科技獎5項，省部級教學(xué)獎50項。發(fā)表論文64篇，其中SCI、EI檢索21篇。申報發(fā)明專(zhuān)利15項，獲發(fā)明專(zhuān)利3項，實(shí)用新型15項，獲軟件著(zhù)作權12項，著(zhù)作7本。編寫(xiě)國家標準11項，行業(yè)標準2項。

參考文獻:

[1]石淑華,池瑞楠,計算機網(wǎng)絡(luò )安全技術(shù)(第二版)[M].北京人民郵電出版社, 2008.

[2]老聃.安全網(wǎng)關(guān)——網(wǎng)絡(luò )邊界防護的利器[J].信息安全與通信保密, 2004, (8): 75.

[3]陳平,何慶等.電腦2003合訂本[M].西南師范大學(xué)出版社, 2004.

[4]張穎,劉軍,王磊.計算機網(wǎng)絡(luò )安全的現狀及解決方法[N].電腦商情報, 2007, 1.

[5]西門(mén)子中國研究院.《基于縱深防御理念的過(guò)程控制系統信息安全解決方案》技術(shù)研究報告[R]. 2013, 7.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第二輯）》