目前工廠控制系統網絡防護分析

目前工廠控制系統網絡防護分析

3.1工廠網絡情況概述

伴隨國家工業化、信息化的兩化融合，石化企業提出管控一體化規劃，基於實時資料庫應用的MES系統在各大企業得到大力推廣。

實時資料庫的建立是以採集過程控制系統的數據為前提，這就需要MES 的信息網絡必須要實現與控制網絡之間的數據交換，控制網絡不再以一個獨立的網絡運行，而要與信息網絡互通、互聯，基於TCP/IP乙太網通訊的OPC技術在該領域得到廣泛應用。

過程控制系統在近十年的發展中呈現出整體開放的趨勢，計算機技術在工控領域的應用使得現代DCS操作站完全是一種PC+Windows的模式，控制系統網絡也基本都向工業乙太網結構發展，開放性越來越強。

3.2目前工業控制網絡安全存在的問題

開放性為用戶帶來的好處毋庸置疑，但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。

對於一個控制網絡系統，產生安全漏洞的因素是多方面的。

3.2.1作業系統安全漏洞

PC+Windows的技術架構現已成為控制系統操作站(HMI)的主流，任何一個版本的Windows自發布以來都在不停的發布漏洞補丁，為保證過程控制系統相對的獨立性，現場工程師通常在系統開車後不會對Windows平台打任何補丁，更為重要的是打過補丁的作業系統沒有經過製造商測試，存在安全運行風險。

但是與之相矛盾的是，系統不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成Windows平台乃至控制網絡的癱瘓。

3.2.2病毒與惡意代碼

基於Windows平台的PC廣泛應用，病毒也隨之而泛濫。

全球範圍內，每年都會發生數次大規模的病毒爆發。

目前全球已發現數萬種病毒，並且還在以每天數十餘種的速度增長。

這些惡意代碼具有更強的傳播能力和破壞性。

例如蠕蟲，從廣義定義來說也是一種病毒，但和傳統病毒相比最大不同在於自我複製過程。

它能夠通過埠掃描等操作過程自動和被攻擊對象建立連接，如Telnet連接等，自動將自身通過已經建立的連接複製到被攻擊的遠程系統，並運行它。

基於工控軟體與殺毒軟體的兼容性，在操作站（HMI）上通常不安裝殺毒軟體（美國有因為安裝殺毒軟體導致安全系統運行故障的案例），即使是有防病毒產品，其基於病毒庫查殺的機制在工控領域使用也有局限性，主要是對新病毒的處理總是滯後的，這導致每年都會大規模地爆發病毒，特別是新病毒。

3.2.3拒絕服務攻擊-網絡風暴

拒絕服務攻擊是一種危害極大的安全隱患，它可以認為操縱也可以由病毒自動執行，常見的流量型攻擊如Ping Flooding、UDP Flooding等，以及常見的連接型攻擊如SYN Flooding、ACK Flooding等，通過消耗系統的資源，如網絡帶寬、連接數、CPU 處理能力、緩衝內存等使得正常的服務功能無法進行。

拒絕服務攻擊非常難以防範，原因是它的攻擊對象非常普遍，從伺服器到各種網絡設備如路由器、交換機、IT防火牆等都可以被拒絕服務攻擊。

控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致嚴重後果，輕則控制系統的通信完全中斷，重則可導致控制器死機等。

目前這種現象已經在多家工業控制系統中已經出現，並且造成嚴重後果。

可以想像，一套失控的控制系統可能導致的後果是非常嚴重的。

而傳統的安全技術對拒絕服務攻擊幾乎不可避免，缺乏有效的手段來解決。

3.2.4黑客入侵與應用軟體安全漏洞

最後要提到的兩點目前發生機率較小，分別是黑客入侵和工控應用軟體的自身漏洞，這些事情通常發生在遠程SCADA控制系統的應用上，在此不做詳述。

3.3目前的防護措施

石化企業隨著信息化的不斷深入，大量IT技術被引入，同時也包括各種IT網絡安全技術，主要有IT商業防火牆、IDS、VPN、防病毒等，這些技術目前也基本集中在工廠MES系統企業信息層面。

針對控制網絡的防護，也進行了一些積極有效地措施，基本如下（參考下面工廠MES網絡示意圖）：

（1） 信息層網絡與控制層網絡之間採用雙網卡接口機（Buffer機）；

（2） 安裝病毒監控軟體，保證病毒庫隨時升級（病毒庫伺服器）；

（3） 就作業系統發現的漏洞及時打補丁（補丁伺服器）；

（4） OPC數據採集客戶端採取只讀數據的單向策略；

（5） OPC數據採集伺服器與客戶端之間增加普通IT防火牆；

（6） 參與過程控制高級應用的先控站（APC Node）單獨放置；

（7） 面向項目編程組態的工程師站（ENG Node）單獨放置；

（8） 操作員站主機機柜上鎖，或USB口屏蔽，防止操作工任意使用U盤；

（9） 加強管理，對不按照規程操作的工程師進行處罰；

由於石化生產過程的重要性和特殊性，嚴格要求每一生產環節都不允許產生紕漏。

數采系統的採集站直接與現場裝置 DCS 相連，對於（1），雖然考慮了雙網卡配置，管理信息網與控制網通過採集站進行了隔離，病毒等破壞性程序不能直接攻擊到控制網絡，但對於能夠利用 Windows 系統本身缺陷的網絡蠕蟲病毒，這種配置幾乎沒有作用，除非能夠把採集站的 Windows 系統的系統漏洞消除在利用該漏洞的蠕蟲病毒攻擊之前，使得蠕蟲病毒無法攻入採集站系統，從而無法利用採集站作為進一步攻擊的基地；對於（2）和（3），病毒庫及系統補丁的升級總是存在滯後效應，對於新型入侵及攻擊無法抵禦，因此還不能完全阻止攻擊；對於（4）（5）項是用戶一直非常頭痛的部分，缺乏有效的解決方案來實施；對於（6）（7）（8）（9）項，基本都是管理方面的內容，其作用在於防止非計算機的人為破壞因素。

常規的IT網絡安全技術沒有專門針對控制網絡需求進行規劃設計，以上所列安全措施只是對控制網絡入侵的一種限制手段，但無法達到網絡安全的要求，需要通過專業網絡安全設備，去限定並且管控有限的連接，來滿足化工裝置對網絡安全的要求。

3.4保證控制網絡安全必須達到的兩個目標

雖然各個工廠在針對控制網絡安全都採取了在本文檔3.2章中描述的防護措施（或者其它更高級的措施），但我們相信，要保證控制網絡中基於PC+Windows方式的操作站（HMI）100%免受病毒感染或者其它攻擊是根本不可能的。

這些感染或攻擊的途徑可能來自：

◆來自上層信息網對控制網的攻擊或病毒感染；

◆工程師使用U盤、光碟導致的病毒傳播；

◆設備維修時筆記本電腦接入而來；

總結以上列舉的種種問題，我們認為要保證控制網絡的安全運行必須達到兩個目標：

（1）即使在控制網單點出現問題，也能保證裝置或工廠的安全穩定運行

對於現代計算機網絡，我們認為最可怕的是病毒的急速擴散，它會瞬間令整個網絡癱瘓，該防護目標在於當控制網絡的某個局部存在病毒感染或者其它不安全因素時，不會向其它設備或網絡擴散，從而保證裝置或工廠的安全穩定運行。

（2）能夠及時準確的確認故障點，並排解決問題

怎樣能夠及時發現網絡中存在的感染及其它問題，準確找到故障的發生點，是維護控制網絡安全的前提。

3.5 ANSI/ISA-99區域防護概念解析

目前國內針對工業控制網絡的防護標準尚不成形，公安部會同有關部門也在制定計算機信息系統安全等級的劃分標準和安全等級保護的具體辦法，在國際上，美國在2007年頒布的Chemical Facility Anti-Terrorism Standards (CFATS)標準（該標準由美國國土安全部頒布）以及2008年頒布的US Chemical Anti-Terrorism Act（美國化學反恐怖主義法）針對化工設備安全做了強制要求，目前，石油，水處理以及製造業都還沒有必須按照以上立法規定作業，但是為了避免重大的風險，基本都遵守ANSI/ISA-99 Standards的要求進行規劃。

來自國際的行業標準，如ANSI/ISA-99指出過程控制系統或SCADA控制網絡的控制網絡安全要點：

要點名稱	要點描述	達到目標
區域劃分	具備相同功能和安全要求的設備在同一區域內	安全等級分區
管道建立	實現區域間執行管道通信	易於控制
通信管控	通過控制區域間管道中通信管理控制來實現設備保護	數據通信可控