周海君 劉玉娟 崔 健

(北京市電子科技職業(yè)學院自動化工程學院，北京，100176)

造紙廠DCS系統(tǒng)的網(wǎng)絡(luò)安全分析

周海君 劉玉娟 崔 健

(北京市電子科技職業(yè)學院自動化工程學院，北京，100176)

針對造紙廠典型集散控制系統(tǒng) (DCS)網(wǎng)絡(luò)的特點，從提高網(wǎng)絡(luò)安全性的角度提出應(yīng)對方案。

網(wǎng)絡(luò)安全;DCS系統(tǒng);防火墻

1 網(wǎng)絡(luò)安全的重要性

2010年10月份，“超級工廠”網(wǎng)絡(luò)病毒在包括我國在內(nèi)的多個國家肆虐，超過45000個工廠網(wǎng)絡(luò)被“超級工廠”病毒感染。以伊朗為例，超過60%的電腦受到干擾，造成了極大的經(jīng)濟損失和信息危機。

與傳統(tǒng)的“蠕蟲”和“木馬”網(wǎng)絡(luò)病毒不同，“超級工廠”病毒攻擊的不僅僅是抽象的IT系統(tǒng)，它不以搜集個人信息為目的，其目標就是真正的工廠，通過對PLC重新編程，隱藏程序員和用戶的參數(shù)設(shè)置和命令，從而達到襲擊工廠關(guān)鍵設(shè)備和生產(chǎn)環(huán)節(jié)的目的。

“超級工廠”病毒的出現(xiàn)使人們對于工廠的網(wǎng)絡(luò)安全有了新的認識:網(wǎng)絡(luò)病毒不再只是導致計算機操作系統(tǒng)異常那么簡單，而是實實在在地威脅到了工廠的控制系統(tǒng)內(nèi)部實質(zhì)。

造紙廠集散控制系統(tǒng) (DCS)系統(tǒng)［1］的核心架構(gòu)離不開網(wǎng)絡(luò)體系:主控制器和分布式IO站點之間通過現(xiàn)場總線進行數(shù)據(jù)讀寫和診斷;服務(wù)器通過系統(tǒng)總線與主控制器通信;各種操作站，包括web服務(wù)器等，通過終端總線從服務(wù)器上獲取數(shù)據(jù)。工廠規(guī)模越大、自動化程度越高，DCS系統(tǒng)的網(wǎng)絡(luò)規(guī)模也就會越大，復雜程度也會越高。如果還存在MES/ERP系統(tǒng)，那么整個DCS網(wǎng)絡(luò)還和辦公室網(wǎng)絡(luò)、甚至Internet(因特網(wǎng))直接鏈接。

此外，如何還需要和成套設(shè)備的控制系統(tǒng)通信，DCS系統(tǒng)還需要開放OPC等通信方式，甚至在某些特性情況下，主控制器都可能被第三方子系統(tǒng)訪問。

由于系統(tǒng)配置的缺陷，操作員日志缺失或者不完善，導致各種匿名訪問和操作變得不可追溯。

管理上的疏忽，導致未經(jīng)許可的個人電腦、移動存儲設(shè)備、Internet連接接口等輕易接入到生產(chǎn)網(wǎng)絡(luò)中的交換機設(shè)備上，導致各種病毒、木馬程序泛濫，嚴重者將直接導致整個DCS系統(tǒng)崩潰。

隨著系統(tǒng)的自動化程度不斷提高［2-3］，由于安全配置和系統(tǒng)的缺失、管理制度上的不重視都將會使整個DCS系統(tǒng)置于一個危險的境地。本文以西門子PCS7的典型配置為例，探求相關(guān)的網(wǎng)絡(luò)安全解決方案。

2 造紙廠典型DCS網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)

2.1 系統(tǒng)結(jié)構(gòu)

在浙江寧波某造紙廠的PCS7系統(tǒng)中，采用的是典型網(wǎng)絡(luò)架構(gòu)，如圖1所示。

圖1 寧波某造紙廠網(wǎng)絡(luò)結(jié)構(gòu)圖

從圖1可看出，造紙車間子網(wǎng) (圖1左側(cè))和制漿車間子網(wǎng) (圖1右側(cè))是兩個相對獨立的控制網(wǎng)絡(luò)，每個網(wǎng)絡(luò)中有獨立的冗余服務(wù)器，各自的系統(tǒng)總線 (服務(wù)器和控制器之間的總線)也是完全隔離的。兩個車間都分別配置了一個工程師站，負責各自的程序管理和故障診斷。

在終端總線 (服務(wù)器和客戶端操作站之間的總線)上，各個車間的操作站都是對應(yīng)其所在車間的服務(wù)器，從服務(wù)器上獲得畫面和數(shù)據(jù)。但這兩個車間的終端總線是連接在一起的。由于存在遠程操作的需求，項目中配置了一個Web服務(wù)器，同時從兩個車間的服務(wù)器上獲取數(shù)據(jù)并發(fā)布到網(wǎng)絡(luò)上。通過Internet的網(wǎng)絡(luò)用戶使用IE瀏覽器和相應(yīng)的插件即可和本地操作站一樣打開控制畫面，如果權(quán)限分配合適，還可以進行相應(yīng)的操作。

為了使用的方便性，在工廠的辦公室網(wǎng)絡(luò)中還存在幾臺臨時性的操作站。如有需要可以接入到系統(tǒng)總線上查看CPU的實時運行數(shù)據(jù)，也可以直接接在終端總線上和服務(wù)器、客戶端操作站進行通信。

在這個典型的網(wǎng)絡(luò)配置中，外部Internet、內(nèi)部辦公室網(wǎng)絡(luò)都可以和控制系統(tǒng)網(wǎng)絡(luò)進行數(shù)據(jù)交換。同樣地，各種病毒、木馬軟件等也完全可以威脅到控制網(wǎng)絡(luò)。所以，有針對性地分析不同網(wǎng)絡(luò)的安全特點，就可以更好地采取相應(yīng)的處理措施。

2.2 控制網(wǎng)絡(luò)的安全分析

在典型的PCS7網(wǎng)絡(luò)體系中，控制網(wǎng)絡(luò)主要由系統(tǒng)總線和終端總線兩部分組成。系統(tǒng)總線中的通信設(shè)備包括工程師站、OS服務(wù)器和控制器，它們之間的通信內(nèi)容主要包括如下幾個方面:

(1)OS服務(wù)器和控制器之間

這部分的通信主要是周期性數(shù)據(jù)請求和應(yīng)答，畫面上WinCC變量的更新和歸檔變量的讀取屬于這種通信方式，此外還存在少量的控制器上傳報警信息、資產(chǎn)管理系統(tǒng)讀取儀表的診斷信息等非周期性內(nèi)容。

(2)控制器和控制器之間

一般控制器之間是不會有數(shù)據(jù)交換的，如果組態(tài)了通信，那都是基于鏈接的，數(shù)據(jù)量不大，而且都是周期性的。

(3)工程師站和控制器之間

在偶爾硬件診斷、程序更新時工程師站會和控制器進行數(shù)據(jù)交換，在正常運行時，這部分通信很少，而且和DCS系統(tǒng)正常運行無關(guān)。

上述的3種通信中，共同的特點就是數(shù)據(jù)量相對較少，而且內(nèi)容基本都是監(jiān)控、診斷相關(guān)的數(shù)據(jù)。也就是說，控制網(wǎng)絡(luò)的主要功用是承擔監(jiān)控層面——例如服務(wù)器等——和控制器本身的通信橋梁。所以，可靠性是這個網(wǎng)絡(luò)最主要的安全配置目標。確?？刂凭W(wǎng)絡(luò)可靠，就可以讓DCS系統(tǒng)控制層面一直處于安全可控的狀態(tài)，避免設(shè)備損毀、人員傷亡等惡性事件發(fā)生。

2.3 辦公室網(wǎng)絡(luò)的安全分析

與控制網(wǎng)絡(luò)不同，辦公室網(wǎng)絡(luò)節(jié)點之間的通信呈現(xiàn)出的特點是數(shù)據(jù)量大、非周期性。各種私有數(shù)據(jù)、DCS分析數(shù)據(jù)等是這個網(wǎng)絡(luò)的主要數(shù)據(jù)內(nèi)容。另一方面，辦公室網(wǎng)絡(luò)都會直接和Internet相連，面臨的外部攻擊、病毒感染更為復雜。如何確保辦公室網(wǎng)絡(luò)中的信息安全是安全配置的重點。

2.4 外部Internet的安全分析

外部Internet是一個完全開放的網(wǎng)絡(luò)，各種通信形式都存在，對于DCS系統(tǒng)而言，完全處于不可控的狀態(tài)。

面對這個情況，限制外部訪問是最常見的處理措施。例如以Web服務(wù)器而言，外部的Web客戶端都是通過HTTP協(xié)議來訪問Web站點的，所以在Web服務(wù)器上只需要開放HTTP的80端口即可。

綜上所述，DCS系統(tǒng)中牽涉到的不同網(wǎng)絡(luò)有各自不同特點和安全配置重點，如何平衡各個網(wǎng)絡(luò)的安全防御措施，以及如何優(yōu)化系統(tǒng)安全架構(gòu)是討論的核心內(nèi)容。

3 網(wǎng)絡(luò)安全措施分析

3.1 安全管理體系

全廠DCS系統(tǒng)的網(wǎng)絡(luò)安全，各種配置和相應(yīng)的安全設(shè)備是必需的，但其核心內(nèi)容是一套行之有效的安全管理體系。

據(jù)國外統(tǒng)計，導致DCS系統(tǒng)崩潰的原因之中，硬件故障排在首位，而由于安全原因?qū)е碌谋罎⒁舱剂私?。這些因為安全原因?qū)е翫CS系統(tǒng)不可用的實例在我國也很常見，如使用感染有病毒的U盤、安裝來歷不明的軟件、未經(jīng)許可地將個人電腦接入控制系統(tǒng)網(wǎng)絡(luò)等是最為常見的威脅來源。

為了控制和避免這方面的安全隱患，采取相應(yīng)的技術(shù)手段是必要的。例如禁用計算機的USB接口，網(wǎng)絡(luò)交換機柜上鎖，計算機用戶權(quán)限限制等。但這是遠遠不夠的，所有的技術(shù)方案如果沒有相應(yīng)管理上的流程來保障，在面對威脅時同樣形同虛設(shè)。國內(nèi)有一石化公司，投入巨資建立了全廠的安全系統(tǒng)，但沒有具體的管理體系。在一次技術(shù)升級過程中，第三方光纖供應(yīng)商直接使用自己的筆記本電腦接入到了控制網(wǎng)絡(luò)來測試光纖是否工作正常，結(jié)果導致服務(wù)器感染病毒死機，造成了巨大的損失。如果該工廠有相應(yīng)的管理流程，讓光纖供應(yīng)商的筆記本電腦在接入網(wǎng)絡(luò)之前要進行相關(guān)的檢測，或者在升級過程中采用將可能的危險區(qū)域從這個控制網(wǎng)絡(luò)中隔離出來等措施，就會避免網(wǎng)絡(luò)病毒的感染。

所以，在DCS網(wǎng)絡(luò)安全系統(tǒng)建立過程中，首先需要建立的就是自上而下的安全管理規(guī)章流程和相應(yīng)的應(yīng)急處理預案。只有這樣，后續(xù)的安全解決方案才能有制度上的保障。

3.2 病毒防護和軟件管理

對于PCS 7系統(tǒng)而言，兼容的反病毒軟件有3種:Trend Micro OfficeScan、McAfee和Symantec。只有兼容的殺毒軟件才能在DCS系統(tǒng)中使用，其他的殺毒軟件，例如瑞星等可能會將正常的軟件程序刪除。

防病毒軟件需要及時更新病毒庫。更新病毒庫有單機方式和病毒服務(wù)器方式這兩種方式。

(1)單機方式

從反病毒軟件網(wǎng)站上獲取相應(yīng)的離線病毒庫升級包，然后臨時開放各個計算機的USB接口，將升級包拷貝到計算機上安裝，或者通過網(wǎng)絡(luò)分發(fā)到各個計算機上，然后執(zhí)行升級。這個方式操作起來較為繁瑣，而且安全上的風險較大。但相對成本和技術(shù)難度而言都比較有優(yōu)勢。

(2)病毒服務(wù)器

在DCS系統(tǒng)中配置1臺病毒服務(wù)器，該服務(wù)器連接到Internet，并從指定的病毒庫升級網(wǎng)站上下載更新包。根據(jù)配置，對網(wǎng)絡(luò)中各個反病毒軟件客戶端進行自動升級。這種方式需要配合防火墻使用，技術(shù)難度稍大，但病毒庫升級都是自動執(zhí)行，無需人為干預。

與反病毒軟件一樣，計算機操作系統(tǒng)和其他相關(guān)軟件也需要保持更新。在PCS 7中，操作系統(tǒng)的Security Package和Critical Package是可用的，所以也可以采用單機或者升級服務(wù)器的方式來安裝這些更新包。通過微軟的WSUS(Windows Server Update Services)軟件可以在系統(tǒng)中搭建一個升級服務(wù)。

3.3 防火墻配置

在寧波某造紙廠的網(wǎng)絡(luò)配置中，Web服務(wù)器是需要與Internet連接的。如果再配置了WSUS和病毒服務(wù)器，那么整個系統(tǒng)中至少存在3個通往外部的接口。再考慮到辦公室網(wǎng)絡(luò)，面向Internet的將是一個規(guī)模不小的LAN。

將整個工廠網(wǎng)絡(luò)和Internet隔離是一個不錯的選擇，即將包括Web服務(wù)器和辦公室網(wǎng)絡(luò)在內(nèi)的所有DCS系統(tǒng)相關(guān)網(wǎng)絡(luò)都通過防火墻與Internet斷開。

分析Web服務(wù)器和病毒服務(wù)器，其對Internet的訪問進程是明確的，開放端口也是確定的，所以采用端口限制的防火墻規(guī)則可以起到一定的防御作用，但面對諸如“端口復用”技術(shù)手段來實現(xiàn)的病毒突破則是無能為力的。同樣的情況也出現(xiàn)在辦公室網(wǎng)絡(luò)中，不明確的訪問需求和端口導致這種限制端口的手段更是無從談起。

更為嚴重的是，WinCC的服務(wù)器和客戶端通信，例如Web服務(wù)器和OS服務(wù)器之間的通信，其端口是變化的。所以要確保通信正常Web服務(wù)器對OS服務(wù)器要開放所有的端口，這就意味著任何突破了Web服務(wù)器的威脅都必將直接影響到OS服務(wù)器。

基于此，當前網(wǎng)絡(luò)安全領(lǐng)域通常的處理措施就是“縱深防御 (Defense-in-Depth)”，即采用多種不同的方法，對目標實施層層防護，盡可能多地為攻擊者 (黑客，惡意軟件，破壞者等)造成多重障礙。任何一種單一的防御手段都不足以保證目標的安全，而“縱深防御”體系中，即使外部的攻擊者能夠突破一種或者幾種防御屏障，也很難突破所有的屏障并最終抵達防御的目標。

采用防火墻搭建的“縱深防御”結(jié)構(gòu)如圖2所示。

從圖2看出，在這個系統(tǒng)結(jié)構(gòu)中，包括OS服務(wù)器/客戶端/工程師站在內(nèi)的控制網(wǎng)絡(luò)都在防火墻的保護之下，而Web服務(wù)器等在一個DMZ區(qū)域中，其他的辦公室網(wǎng)絡(luò)和Web客戶端等和Internet一樣在防火墻之外。

這種配置方案中，即使DMZ區(qū)域因為受到病毒攻擊而崩潰，控制網(wǎng)絡(luò)依舊可以正常運行。完成這樣的一個配置，在PCS7專用的Secure Guide防火墻中只需要簡單的幾個向?qū)Ъ纯赏瓿伞?/p>

圖2 “縱深防御”系統(tǒng)結(jié)構(gòu)配置

4 應(yīng)用體會

該網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)在多個造紙廠DCS系統(tǒng)中集成使用，由于新增硬件較少，作用顯著，所以多數(shù)廠商都愿意采用。在具體實施過程中，盡管每個工廠的具體要求不盡相同，但病毒升級服務(wù)器、WSUS服務(wù)器和防火墻等基本架構(gòu)都是一樣的，并不會給配置和調(diào)試帶來太大的工作量。

從測試和當前運行情況來看，已經(jīng)投用的幾個安全系統(tǒng)均未再發(fā)生網(wǎng)絡(luò)安全事故，而且其工廠的安全管理體系也在運行過程中不斷完善。

［1］劉承棟，段靜波．經(jīng)濟適用型DCS系統(tǒng)在紙機直的應(yīng)用［J］．中國造紙，2011，30(7):48．

［2］陳修環(huán)，石 巖．計算機網(wǎng)絡(luò)安全管理［J］．小型微型計算機系統(tǒng)，1999，20(5):143．

［3］亞森·艾則孜，木塔里甫·木明，阿不利米提·阿布都熱依木．淺析針對網(wǎng)絡(luò)安全對策［J］．計算機與網(wǎng)絡(luò)，2004，10(19):44．

Security Analysis of DCS Network in Pulp＆Paper Mills

ZHOU Hai-jun*LIU Yu-juan CUI Jian
(Beijing Electronic Technology Training College，Beijing，100029)
(*E-mail:simeng@sina．com)

The threat of network in mill automation system is becoming more and more seriously，so more and more investments are spent to support network security system improvement．This paper analysed the characteristics of DCS network in pulp ＆ paper mills，the related solutions for network security improvement were suggested．

network security;DCS;firewall

TS736+.4

B

0254-508X(2012)05-0044-04

周海君女士，碩士，高級講師;研究方向:控制理論與控制工程。

2011-11-24

(責任編輯:常 青)