某石化企業工控安全案例

2．公司工業控制網絡結構現狀

2.1 公司控制系統網絡拓撲基本結構

伴隨工廠信息化的不斷深入，我公司在生產管理上建立了基於實時資料庫應用的MES系統。

實時資料庫的建立是以採集過程控制系統的數據為前提，這就需要MES 的信息網絡必須要實現與控制網絡之間的數據交換，控制網絡不再以一個獨立的網絡運行，而要與信息網絡互通、互聯。

目前基本網絡結構如下：

網絡圖：

網絡圖說明：（控制系統泛指用於過程生產控制及安全的DCS/PLC/ESD等）

(1) 控制系統的控制器網絡層：隨著工業乙太網技術的不斷發展，目前國際主流控制器的通訊方式都採用乙太網模式。

(2) 控制系統的操作站/伺服器網絡層：目前基本所有控制系統製造商的操作站和伺服器都採用普通基於Windows作業系統的PC機作為平台，同時網絡也採用冗餘乙太網模式。

(3) 數據採集接口伺服器OPC Server：為保證系統的開放與互聯性，系統製造商遵循國際OPC基金會組織的標準，提供了一個與第三方通訊的接口。

(4) 數據採集緩存機（Buffer）：有兩個作用，第一可以作為數據採集的緩存，當上層MES網絡有問題時，Buffer機可以臨時存貯一段時間的過程數據，當鏈路恢復時，數據自動恢復到MES實時資料庫中，保證過程數據在資料庫中無斷點；第二個作用是通過其自身的雙網卡設置可抵禦外部非法入侵，杜絕黑客等惡意人員對控制系統的直接攻擊。

(5) MES實時資料庫：企業工廠生產管理系統的核心資料庫，可長時間存貯現場實時生產過程數據，是提高我公司生產管理效率、優化生產工藝的核心根本。

(6)第三方接入系統：通常指部分小型控制系統（PLC居多），通過乙太網或串行接口接入到裝置的核心控制系統內。

2.2 控制系統網絡特點分析

與傳統IT網絡不同，工業控制網絡及相關設備有其獨特性：

1.可靠性、實時性要求高：主要反映在控制器和操作站的網絡層內，工業控制網絡最主要是要保證過程數據的實時性和網絡的可靠性，所以對整個網絡的過程數據而言，不允許有任何中斷出現，簡單說就是不能失控。

2.專有通訊協議： 每一個過程控制系統供應商都有自己專有的通訊協議，這些協議基本都為獨自研發。

近幾年隨著系統開放性呼聲越來越高，進而出現了一些行業內的開放協議，例如OPC，Modbus TCP，現場總線（Foundation/Hart/Profibus等）等行業通訊標準，都是工業控制領域的專有通訊協議。

3.相對獨立：每套控制系統通常都是根據工藝設備要求而設計，所以無論從前期網絡設計到實際物理安裝，整個控制系統網絡都是相當獨立，不會與其它任何應用存在交聯部分，在與外界交互的通道上僅僅開放OPC Server這一個接口，通過OPC工業通訊協議與外部進行數據交換。

4.產品更新周期長：控制系統產品不以追求設備的先進性為目標，更多的是強調它的安全穩定，所以結合實際工藝生產以及設備投資綜合考慮，在該領域的產品更新周期通常在10年以上，容易導致系統的操作平台落伍。

（目前Microsoft早就不提供windows NT/2000的技術支持）

5.與殺毒軟體兼容性差：截至目前，沒有任何殺毒軟體廠商對在網絡中基於Windows平台上安裝的過程控制軟體做過完整兼容性測試，這種情況同樣也適應於過程控制系統製造商，所以在工控領域的操作站層難於統一部署殺毒策略。

3．目前控制網絡隱患及解決方案

過程控制系統在近十年的發展中呈現出整體開放的趨勢，計算機技術在工控領域的應用使得現代DCS操作站完全是一種PC+Windows的模式，控制系統網絡也基本都向工業乙太網結構發展，開放性越來越強。

基於TCP/IP乙太網通訊的OPC技術在工業數據採集中得到廣泛應用。

雖然工廠信息網絡安全採取殺毒伺服器、作業系統補丁伺服器等措施，但病毒庫及系統補丁的升級總是存在滯後效應，對於新型病毒及入侵攻擊根本無法抵禦。

在我公司DCS系統網絡架構進行整體分析後，得出潛在風險如下：

3.1 OPC通訊安全隱患：

風險識別：來自上層信息網對控制網的攻擊或病毒感染。

目前現狀：OPC數采機（Buffer機）採用雙網卡配置，安裝殺毒軟體。

隱患問題：

OPC，即用於過程控制的OLE（OLE，Object Linking and Embedding ）。

OPC技術誕生於1996年，旨在為不同的控制系統提供一種通訊標準。

OPC技術發展至今，已經成為全球領先的自動化產品通信互聯技術。

OPC基於Microsoft的DCOM（分布式組件對象模式）技術，該技術使用了RPC（遠程過程調用）網絡協議來實現工業網絡中的乙太網連接。

來自該領域的安全研究人員（包括黑客組織）卻發現該標準中存在一些嚴重問題。

第一個問題：DCOM的動態埠分配的問題。

由於OPC伺服器需要任意使用1024~65535中的任何埠，這在傳統IT防火牆防護配置時，就會使得大量埠完全開放，形成嚴重的安全漏洞，因此，OPC無法由傳統IT型防火牆進行防護，這一點已經得到了廣泛認同。

第二個問題則源於OPC過於寬鬆的訪問權限。

因為設置OPC是一個複雜的過程，所以一些主要的供應商提出建議，將最終用戶的OPC安全配置完全敞開。

例如，某PLC廠商建議將所有的遠程訪問和啟動控制設定為匿名登錄。

這些過於寬鬆的設置將使得任意網絡中的任意個體都可以運行OPC中的服務——這無疑是一個重大的安全隱患。

最後一個問題（也是最常引起關注問題）是OPC 使用的Windows的DCOM和RPC服務極易受到攻擊。

在過去的5年內，來自網絡的病毒和蠕蟲對這些接口的攻擊越來越強，這個方式幾乎成為了病毒和蠕蟲開發者目前的最愛。

雖然考慮了雙網卡配置，管理信息網與控制網通過該站進行了隔離，部分惡意程序不能直接攻擊到控制網絡，但對於能夠利用 Windows 系統漏洞的網絡蠕蟲及病毒等，這種配置沒有作用，病毒會在信息網和控制網之間互相傳播。

安裝殺毒軟體可以對部分病毒或攻擊有所抑制，但病毒庫存在滯後，所以不能從根本上進行防護。

解決方案：需要在兩層網絡之間增加OPC通信協議防火牆。

3.2 操作站互相感染隱患：

風險識別：所有操作站會同時相互感染某種病毒，可能導致系統停車。

目前現狀：目前所有操作站都在一個網絡中，僅僅從管理角度，採取通過規章制度限制移動介質接入而減少外部感染，但在網絡內部沒有採取任何有效防護措施。

隱患問題：

PC+Windows的這個平台已經為各行各業所共用，同時乙太網互聯也得到推廣，TCP/STMP/POP3/ICMP/Netbios等大量開放的商用通訊協議為大家廣泛使用，同時也隨之帶來木馬、蠕蟲等計算機病毒。

在控制系統的網絡中，除具備上述通訊協議外，根據系統製造商不同，基於TCP/IP技術的通訊協議是不一樣的，例如Honyewell PKS使用的是FTE Multicast，橫河CS3000使用的是Vnet。

目前在整個控制網絡中，我們希望在原有網絡中建立一條僅允許製造商協議通過的可靠信道，去除其可能傳播病毒的通道，目前普通IT防火牆無法實現工業通訊協議的過濾，所以當網絡中某個操作站（工程師站）感染病毒時，可能會馬上傳播到網絡的其它的計算機，容易造成網絡上所有操作站同時發生故障或者容易引發控制網絡風暴，造成網絡通訊堵塞，嚴重時可導致所有操作站失控，甚至停車。

解決方案：將部分操作站劃分區域進行隔離

3.3 操作站主機自身防護難題：

風險識別：操作站自身感染病毒

目前現狀：

目前控制系統操作站(HMI)都以Windows為平台，任何一個版本的Windows自發布以來都在不停的發布漏洞補丁，為保證過程控制系統相對的獨立性，現場工程師通常在系統開車後不會對Windows平台打任何補丁，更為重要的是打過補丁的作業系統沒有經過製造商測試，存在安全運行風險。

但是與之相矛盾的是，系統不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成本機乃至控制網絡的癱瘓。

基於工控軟體與殺毒軟體的兼容性問題，在操作站（HMI）上通常不安裝殺毒軟體。

即使是有殺毒軟體，其基於病毒庫查殺的機制在工控領域使用也有局限性，對病毒庫的升級維護難於統一，更重要的是對新病毒的處理總是存在滯後，這導致每年都會大規模地爆發病毒，特別是新病毒。

隱患問題：

通常操作站對病毒防護會比較脆弱，任何帶有病毒或惡意軟體的移動介質的接入，都會使之感染，進而影響控制系統穩定運行。

典型案例：設備檢修，U盤等移動介質或筆記本電腦接入時會引入病毒

解決辦法：選擇一台工程師站作為移動介質接入點，並將該台操作站通過工業通訊協議防火牆進行隔離，可在本台隔離操作站上安裝防毒、殺毒產品，其餘操作站封閉管理。

4．工業控制網絡安全防護目標

4.1 安全防護的目標

工業控制網絡要保證安全可靠，最好的方法是建立一個私有的信道，且創造一個相對獨立的網絡。

但是信息技術的發展已經不可逆轉，分析以上存在的隱患，總結前人的經驗，同時參考我國信息網絡安全防護指導，我認為要保證控制網絡的安全穩定運行必須達到以下三個目標：

(1)通訊可控

網絡數據的傳輸總是給我們以抽象、概念性的印象，沒有一個直觀的顯示，通訊電纜如同高速公路，怎樣能夠直觀的觀察、監控、管理通訊電纜中流過的數據，這是我們首先要達到的目標。

通過這個管控，對控制網絡而言僅需要保證製造商專有協議數據通過即可，對其它基於Windows應用的不必要通訊一律禁止，從而創造出一個單一製造商通信網絡的環境。

(2)區域隔離：

網絡安全問題不同於其它設備故障，對於現代計算機網絡，我們認為最可怕的是病毒的急速擴散，它會瞬間令整個網絡癱瘓，具有可擴散性和快速性的特點，雖然目前我們在現場採取了很多措施，但要杜絕網絡安全問題是不可能的，所以我們要保證即使在控制網局部出現問題，也能保持裝置或工廠的安全穩定運行。

這就要在關鍵通道上部署網絡隔離設備，通過這種隔離，為我們的控制系統也創造了一個相對獨立的網絡環境。

(3)實時報警：

千里之堤毀於蟻穴，報警的首要問題是把網絡安全問題消滅在萌芽中，同時通過對報警事件的記錄存儲，為我們解決部分已發生過的安全事件提供分析依據，告別以前主觀經驗推斷的模式。

怎樣能夠及時發現網絡中存在的感染及其它問題，準確找到故障的發生點，是維護控制網絡安全的前提。

4.2調研報告總結及建議

根據公司實際發生的控制網絡安全問題及相關處理實踐，結合工業控制網絡的獨特性，我認為網絡安全重點在於防護，而非查毒殺毒，所以著力點放於整個網絡的架構及安全設備部署策略，當然在針對局部問題解決時，也需要二者結合，綜上所述，提出網絡安全隱患綜合治理方案建議如下：

1．信息網與控制網之間的OPC通道上進行增加OPC工業通訊防火牆：

參照下頁示意圖「OPC通訊隱患防護」。

2．在OPC防護通道上統一部署網絡通訊監控策略。

（該部位為儀表部門與信息部門的分界點，部署這一策略除前面提到的核心功能外，還能解決兩部門相互推卸責任問題）

3．在Buffer機層部署查毒殺毒策略（屬企業信息部範疇）

4．操作站層進行區域隔離防護，可以選擇工程師站單獨防護，或分組防護，且部署網絡通訊監控策略，隨時了解控制網絡通訊質量。

5．針對網絡安全感染區域或設備進行隔離查毒、殺毒及其它處理。

6．第三方系統接入安全防護。