1　概述

    化肥作為重要的農業(yè)生產(chǎn)物資，在國家的農業(yè)生產(chǎn)中起著(zhù)重要作用。中國是化肥生產(chǎn)大國，化肥產(chǎn)量位居全球首位。在國家的“十二五”規劃綱要提出信息化和工業(yè)化深度融合的要求后，我國化肥企業(yè)信息化的整體水平較過(guò)去有了一定的進(jìn)展，但是在信息化建設投入、企業(yè)信息編碼規范，尤其在工業(yè)安全意識方面遠低于發(fā)達國家水平。在化肥生產(chǎn)企業(yè)，生產(chǎn)線(xiàn)與中控數據平臺通常距離較遠，數據平臺一般通過(guò)以太網(wǎng)來(lái)遠程獲取生產(chǎn)數據，這樣在內網(wǎng)和廣域網(wǎng)之間的數據傳輸就存在很大的安全隱患，迫切需要升級信息安全策略來(lái)確保數據傳輸和控制系統的安全。

    河南心連心化肥有限公司是國家百萬(wàn)噸化肥生產(chǎn)基地，河南省規模最大、生產(chǎn)成本最低的尿素生產(chǎn)企業(yè)，省政府列入的100戶(hù)重點(diǎn)工業(yè)企業(yè)之一。擁有合成氨70萬(wàn)噸、尿素125萬(wàn)噸、復合肥60萬(wàn)噸、甲醇30萬(wàn)噸的年生產(chǎn)能力。2007年6月20日，河南心連心化肥有限公司成為中國第一家在新加坡上市的化肥生產(chǎn)企業(yè)。

    本文分析了化肥企業(yè)的生產(chǎn)和控制網(wǎng)絡(luò )的網(wǎng)絡(luò )現狀和安全風(fēng)險，介紹了力控華康PSL系列工業(yè)隔離網(wǎng)關(guān)和ISG系列工業(yè)防火墻在以心連心化肥有限公司為代表的化肥生產(chǎn)企業(yè)中的應用?！?br/>
    2　化肥企業(yè)的網(wǎng)絡(luò )現狀及安全風(fēng)險分析

    心連心化肥有限公司的生產(chǎn)網(wǎng)絡(luò )是基于ERP、MES和PCS三層架構的管控一體化信息模型。隨著(zhù)企業(yè)規模的不斷擴大，迫切需要提高生產(chǎn)管理水平和應急響應水平，這就需要將生產(chǎn)系統中大量的實(shí)時(shí)數據及時(shí)、有效地采集、存儲、分析、公布，同時(shí)加強對關(guān)鍵崗位和場(chǎng)所進(jìn)行監視、監測及設備狀態(tài)檢測。在這種業(yè)務(wù)場(chǎng)景下，ERP系統、MES系統與底層工業(yè)控制系統之間的實(shí)時(shí)數據交換就是不可避免的。如圖1所示。

圖1 ERP、MES和PCS業(yè)務(wù)邏輯中的數據交互

    目前在化肥生產(chǎn)企業(yè)的控制網(wǎng)絡(luò )中，一般是通過(guò)以太網(wǎng)來(lái)實(shí)現數據的實(shí)時(shí)交換和共享。以太網(wǎng)具備廣泛的開(kāi)放性，遵照網(wǎng)絡(luò )協(xié)議的不同，廠(chǎng)商設備可以很容易實(shí)現互聯(lián)。借助以太網(wǎng)和TCP/IP技術(shù)很容易實(shí)現工業(yè)控制網(wǎng)絡(luò )與企業(yè)信息網(wǎng)絡(luò )的無(wú)縫連接，形成企業(yè)級管控一體化的全開(kāi)放網(wǎng)絡(luò )，極大方便了生產(chǎn)及控制數據的調用、匯總和存儲。但以太網(wǎng)及TCP/IP技術(shù)的開(kāi)放性，使得它比傳統的總線(xiàn)技術(shù)更容易暴露于病毒、黑客非法入侵等網(wǎng)絡(luò )安全威脅之下。工業(yè)控制系統如果遭受病毒入侵和黑客攻擊，不僅會(huì )造成信息的丟失，還可能造成生產(chǎn)故障、人員損害及設備損壞，其直接財產(chǎn)的損失是巨大的，甚至有可能引起環(huán)境問(wèn)題和社會(huì )問(wèn)題。

    根據化肥企業(yè)的實(shí)際情況來(lái)分析，其面臨的網(wǎng)絡(luò )安全風(fēng)險主要包括：

    （1）病毒與惡意代碼

    病毒的泛濫是大家有目共睹的。全球范圍內，每年都會(huì )有數次大規模的病毒爆發(fā)。傳統的病毒自我復制過(guò)程需要人工干預，無(wú)論運行感染病毒的實(shí)用程序，或者是打開(kāi)包含宏病毒的郵件等，沒(méi)有人工干預病毒無(wú)法自我完成復制、傳播。但是現在的蠕蟲(chóng)病毒卻可以自我獨立完成以下過(guò)程：

    ·查找遠程系統：能夠通過(guò)檢索已被攻陷的系統的網(wǎng)絡(luò )鄰居列表或其它遠程系統地址列表找出下一個(gè)攻擊對象。

    ·建立連接：能夠通過(guò)端口掃描等操作過(guò)程自動(dòng)和被攻擊對象建立連接，如Telnet連接等。

    ·實(shí)施攻擊：能夠自動(dòng)將自身通過(guò)已經(jīng)建立的連接復制到被攻擊的遠程系統并運行。

    一旦計算機中被植入惡意代碼和蠕蟲(chóng)病毒，安全問(wèn)題就不可避免。

    （2）網(wǎng)絡(luò )入侵

    系統被入侵是另外一種常見(jiàn)的安全隱患。黑客侵入計算機和網(wǎng)絡(luò )可以非法使用計算機和網(wǎng)絡(luò )資源，甚至是完全掌控計算機和網(wǎng)絡(luò )。如果黑客侵入控制網(wǎng)絡(luò )，就意味著(zhù)可以隨時(shí)破壞企業(yè)的生產(chǎn)過(guò)程，甚至導致生產(chǎn)完全癱瘓。在化肥的生產(chǎn)過(guò)程中，涉及的生產(chǎn)資料往往都是有毒有害、易燃易爆的物質(zhì)（如CO、H2、NH3、甲醇、甲醛等），生產(chǎn)環(huán)境也是高溫高壓，一旦生產(chǎn)過(guò)程被破壞，容易發(fā)生財產(chǎn)重大損失和人員傷亡事故。

    （3）協(xié)議漏洞

    以太網(wǎng)絡(luò )是一種共享網(wǎng)絡(luò )，任何主機發(fā)送的數據包都會(huì )到達同一網(wǎng)段的所有主機的以太網(wǎng)接口，不法人員稍做設置或修改，就可以使一個(gè)以太網(wǎng)接口接收不屬于它的數據幀，從而實(shí)現對網(wǎng)絡(luò )中關(guān)鍵數據的竊取。另外，在網(wǎng)絡(luò )中如果某一臺機器被植入病毒或木馬，是很容易在整個(gè)網(wǎng)絡(luò )中擴散的，從而導致整個(gè)網(wǎng)絡(luò )及控制系統癱瘓。

    在工業(yè)控制系統中，底層的DCS一般采用OPC協(xié)議與實(shí)時(shí)數據庫進(jìn)行通訊。OPC Classic協(xié)議（OPC DA,OPC HAD 和OPC A&E）是基于微軟的DCOM技術(shù)開(kāi)發(fā)的，而DCOM技術(shù)的安全隱患目前已經(jīng)被廣泛認識，經(jīng)常發(fā)生安全漏洞問(wèn)題并受到攻擊。另外由于OPC通訊采用不固定的端口號，導致目前幾乎無(wú)法使用傳統的IT防火墻來(lái)確保其安全性。

    （4）拒絕服務(wù)（DDOS）攻擊

    分布式拒絕服務(wù)（DDOS）攻擊即攻擊者想辦法讓目標機器停止提供服務(wù)，是黑客常用的攻擊手段。常見(jiàn)的分布式拒絕服務(wù)攻擊如TCP SYN、Ping Flood、UDPFlood等。拒絕服務(wù)攻擊難以防范的原因是它的攻擊對象非常普遍，從服務(wù)器到各種網(wǎng)絡(luò )設備，如路由器、交換機、防火墻等都可以被拒絕服務(wù)攻擊。

    控制網(wǎng)絡(luò )一旦遭受?chē)乐氐木芙^服務(wù)攻擊就會(huì )導致操作站的服務(wù)癱瘓，與控制系統的通信完全中斷?？梢韵胂?，受到拒絕服務(wù)攻擊后的控制網(wǎng)絡(luò )可能導致網(wǎng)絡(luò )中所有操作站和監控終端無(wú)法進(jìn)行實(shí)時(shí)監控，其后果是非常嚴重的。

    3　化肥企業(yè)的安全需求分析

    化肥企業(yè)是典型的資金和技術(shù)密集型企業(yè)，對信息系統依賴(lài)程度很高，生產(chǎn)的連續性很強，裝置和設備的意外停車(chē)都會(huì )導致巨大的經(jīng)濟和財產(chǎn)損失。通過(guò)前面對化肥企業(yè)網(wǎng)絡(luò )安全風(fēng)險的分析，總結出化肥企業(yè)信息安全建設的需求主要是通過(guò)建設具備縱深防御能力的信息安全保障體系，抵御來(lái)自?xún)炔?、外部的入侵和攻擊，及時(shí)發(fā)現病毒、漏洞，并抑制病毒在網(wǎng)絡(luò )間的擴散，尤其要確保工業(yè)控制系統的安全，避免因為控制系統被入侵而出現生產(chǎn)事故。

    通過(guò)在企業(yè)網(wǎng)絡(luò )中實(shí)施安全策略，應達到如下安全目標：

    （1）保護工業(yè)控制網(wǎng)絡(luò )系統的可用性；

    （2）防范從企業(yè)管理網(wǎng)絡(luò )甚至互聯(lián)網(wǎng)對工業(yè)控制網(wǎng)絡(luò )的非法訪(fǎng)問(wèn)；

    （3）防范入侵者對工業(yè)控制設備的惡意攻擊與破壞；

    （4）保護工業(yè)控制網(wǎng)絡(luò )和企業(yè)管理網(wǎng)絡(luò )之間數據傳輸的安全。

    4　化肥企業(yè)的安全解決方案

    參照ANSI/ISA-99標準，同時(shí)結合化肥行業(yè)的具體情況將企業(yè)系統結構劃分成不同的區域，以幫助企業(yè)有效地建立“縱深防御”體系，如圖2所示。

圖2 化肥廠(chǎng)的信息安全防御架構

    （1） 橫向分層， 將企業(yè)的生產(chǎn)網(wǎng)絡(luò )劃分成企ERP、MES、PCS三層網(wǎng)絡(luò )結構。在MES和PCS間部署了力控華康PSL系列工業(yè)隔離網(wǎng)關(guān)，主要實(shí)現了控制網(wǎng)絡(luò )的物理隔離，有效屏蔽ERP和MES層面的網(wǎng)絡(luò )威脅向生產(chǎn)控制系統傳導，同時(shí)又實(shí)現了網(wǎng)絡(luò )之間安全的數據交換。在管理網(wǎng)絡(luò )和信息網(wǎng)絡(luò )之間部署工業(yè)防火墻，主要用于彌補傳統防火墻的不足，實(shí)現對工業(yè)協(xié)議的安全檢測。

    （2）在生產(chǎn)控制網(wǎng)絡(luò )層內縱向分區，每個(gè)生產(chǎn)區內包含離散控制系統（DCS）、OPC服務(wù)器和不同的生產(chǎn)車(chē)間。在OPC服務(wù)器與DCS控制系統之間采用力控華康ISG工業(yè)防火墻進(jìn)行安全防護，通過(guò)對工業(yè)協(xié)議的深度過(guò)濾確保DCS系統及控制設備的安全，并抑制安全威脅在不同生產(chǎn)區之間的擴散。

    （3）在生產(chǎn)控制網(wǎng)絡(luò )內布署工業(yè)漏洞掃描系統，定期對工業(yè)網(wǎng)絡(luò )設備、系統及PLC等控制設備進(jìn)行安全檢測，讓安全管理人員及時(shí)了解工業(yè)網(wǎng)絡(luò )安全和運行的應用服務(wù)情況，及時(shí)發(fā)現安全漏洞，更新漏洞補丁，避免因此而帶來(lái)的風(fēng)險威脅。

    本方案的特點(diǎn)是：

    （1）完全阻斷ERP、MES系統的威脅向控制系統擴散

    目前網(wǎng)絡(luò )邊界防御中最普遍應用的安全技術(shù)是通用防火墻。通用防火墻是在網(wǎng)絡(luò )層對數據包做安全檢查，并不切斷網(wǎng)絡(luò )連接，很多案例證明無(wú)論包過(guò)濾、狀態(tài)檢測還是代理防火墻技術(shù)都很難防止木馬病毒入侵內部網(wǎng)絡(luò )。Nimda繞過(guò)很多防火墻的檢查并在全世界肆虐就是一個(gè)很好的例證。通常見(jiàn)到的木馬大部分是基于TCP的，木馬的客戶(hù)端和服務(wù)器端需要建立連接，而PSL工業(yè)隔離網(wǎng)關(guān)從原理實(shí)現上就切斷所有的TCP、UDP、ICMP等通用協(xié)議鏈接，使得蠕蟲(chóng)病毒和木馬無(wú)法通過(guò)工業(yè)安全隔離網(wǎng)關(guān)進(jìn)行通訊，從而可以防止已知和未知的木馬攻擊。

    本方案中采用的力控華康PSL安全工業(yè)隔離網(wǎng)關(guān)內部特殊的2+1的雙獨立主機架構，控制端接入工業(yè)控制網(wǎng)絡(luò )，通過(guò)采集接口完成各子系統數據的采集；信息接入到企業(yè)管理網(wǎng)絡(luò )，完成數據到調度中心的傳輸。雙主機之間通過(guò)專(zhuān)有的PSL網(wǎng)絡(luò )隔離傳輸技術(shù)，徹底割斷穿透性的TCP連接。PSL的物理層采用專(zhuān)用隔離硬件，鏈路層和應用層采用私有通信協(xié)議，數據流采用128位以上加密方式傳輸，更加充分保障數據安全。PSL技術(shù)實(shí)現了數據完全自我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根本上杜絕了非法數據的通過(guò)，確保子系統控制系統不會(huì )受到攻擊、侵入及病毒感染。

    （2）通過(guò)安全分區實(shí)現不同DCS系統之間的安全自治

    在工業(yè)控制系統中，控制網(wǎng)絡(luò )數采機（OPC服務(wù)器）采用OPC通訊協(xié)議與實(shí)時(shí)數據庫通訊進(jìn)行數據上傳，由于OPC通訊每次連接采用不固定的端口號，使用傳統的IT防火墻進(jìn)行防護時(shí)，不得不開(kāi)放大規模范圍內的端口號。在這種情況下，傳統IT防火墻提供的安全保障被降至最低，上位實(shí)時(shí)數據庫一旦感染病毒或被控制，控制網(wǎng)絡(luò )的系統及設備就完全暴露。而通過(guò)部署工業(yè)防火墻，可以實(shí)現對OPC通訊中端口的動(dòng)態(tài)管理，無(wú)需事先大規模開(kāi)放端口。

    本方案中采用了力控華康的ISG系列工業(yè)防火墻，除了支持商用防火墻的基礎訪(fǎng)問(wèn)控制功能，ISG工業(yè)防火墻還實(shí)現了對工業(yè)協(xié)議的數據級深度過(guò)濾，實(shí)現了對Modbus、OPC等主流工業(yè)通訊協(xié)議和規約的細粒度檢查和過(guò)濾，幫助用戶(hù)阻斷控制網(wǎng)絡(luò )內部的病毒傳播、黑客攻擊等行為，避免其對控制網(wǎng)絡(luò )的影響和對生產(chǎn)流程的破壞。例如：ISG系列工業(yè)防火墻的Modbus協(xié)議管控模塊可以針對Modbus協(xié)議的設備地址、寄存器類(lèi)型、寄存器范圍和讀寫(xiě)屬性等進(jìn)行檢查。通過(guò)類(lèi)似的管控模塊能有效防范各種非法的操作和數據進(jìn)入現場(chǎng)控制網(wǎng)絡(luò )，最大限度地保護控制系統的安全。

    在本方案中，針對DCS系統“集中管理、離散控制”的特點(diǎn)，將工業(yè)控制系統縱向劃分為不同的安全分區，每個(gè)分區的DCS系統，均部署ISG工業(yè)防火墻進(jìn)行縱向通信的防護，同時(shí)對于不同DCS系統之間的橫向通信也有一定的防護作用。通過(guò)這種“安全自治”的策略，即使某一個(gè)DCS系統被侵入，也不會(huì )影響其他DCS系統，為后續的安全響應贏(yíng)得了時(shí)間。

    5　結語(yǔ)

    工信部協(xié)[2011]451號通知明確指出：“SCADA、DCS、PCS、PLC等工業(yè)控制系統廣泛運用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設備的運行。隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接，病毒、木馬等威脅正在向工業(yè)控制系統擴散，工業(yè)控制系統信息安全問(wèn)題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件，充分反映出工業(yè)控制系統信息安全面臨著(zhù)嚴峻的形勢。對此，各地區、各部門(mén)、各單位務(wù)必高度重視，增強風(fēng)險意識、責任意識和緊迫感，切實(shí)加強工業(yè)控制系統信息安全管理?！?br/>
    化肥工業(yè)是國家的基礎性產(chǎn)業(yè)，必須強化信息安全風(fēng)險管理，提升基礎設施產(chǎn)品的安全防護能力。依照等級保護及工信部451號文的要求，對工業(yè)控制網(wǎng)絡(luò )跟企業(yè)信息網(wǎng)絡(luò )進(jìn)行隔離防護，對工業(yè)控制系統內重要的DCS系統進(jìn)行分區保護，可以有效提升工業(yè)控制系統的安全防護能力。項目在實(shí)施以后，保護目標清晰，運行穩定可靠，取得了良好的防護效果。


作者簡(jiǎn)介

李光朋（1979-），男，山東濰坊人，碩士?，F任北京力控華康科技有限公司市場(chǎng)部經(jīng)理，主要從事工業(yè)控制系統信息安全技術(shù)的研究和推廣工作。