付相松，王維濤

(中國(guó)化工集團(tuán)公司 山東昌邑石化有限公司，山東 濰坊261300)

隨著工業(yè)控制系統(tǒng)在能源開(kāi)采、石油化工、鋼鐵冶煉等關(guān)鍵領(lǐng)域廣泛應(yīng)用，工業(yè)控制系統(tǒng)已成為中國(guó)關(guān)鍵基礎(chǔ)設(shè)置的重要組成部分。近年來(lái)，伴隨著國(guó)家工業(yè)化、信息化的“兩化”融合，現(xiàn)代工業(yè)控制系統(tǒng)廣泛采用通用網(wǎng)絡(luò)設(shè)備和IT設(shè)施，并且以各種方式接入互聯(lián)網(wǎng)，從而打破了這些系統(tǒng)原有的封閉性和專用性。由于工業(yè)控制系統(tǒng)在初期建設(shè)時(shí)更多考慮的是各自系統(tǒng)的可用性,并未考慮系統(tǒng)之間互聯(lián)互通的安全風(fēng)險(xiǎn)和防護(hù)建設(shè)，因而病毒、木馬等各種安全威脅向工控領(lǐng)域迅速擴(kuò)散[1]。

針對(duì)工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)日益加劇的情況，國(guó)家工信部先后發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等系列文件，指導(dǎo)企業(yè)優(yōu)化工控安全管理與技術(shù)防護(hù)手段。對(duì)于如何應(yīng)對(duì)工控系統(tǒng)信息安全問(wèn)題，各企業(yè)也開(kāi)始進(jìn)行探索嘗試[2-4]。2017年4月，某石化企業(yè)利用檢修時(shí)機(jī)，結(jié)合自身特點(diǎn)，因地制宜，制訂了安全防御措施對(duì)焦化分廠區(qū)工控系統(tǒng)進(jìn)行了信息安全防護(hù)試點(diǎn)應(yīng)用。

1 工控系統(tǒng)信息安全現(xiàn)狀

1.1 工業(yè)控制系統(tǒng)定義與典型結(jié)構(gòu)

工業(yè)控制系統(tǒng)由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成，主要用于確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過(guò)程控制與監(jiān)控。其核心組件包括數(shù)據(jù)采集及監(jiān)控系統(tǒng)(SCADA)、分散控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED)以及確保各組件通信的接口技術(shù)。

廣義上典型的工業(yè)控制系統(tǒng)如圖1所示，主要由過(guò)程級(jí)、操作級(jí)、管理級(jí)三部分組成。

圖1 典型工業(yè)控制系統(tǒng)示意

1) 過(guò)程級(jí)。位于工控系統(tǒng)最底層，主要由過(guò)程控制站、I/O單元和現(xiàn)場(chǎng)儀表組成，是系統(tǒng)控制功能的主要實(shí)施部分。

2) 操作級(jí)。是連接上、下兩層網(wǎng)絡(luò)的橋梁和紐帶，主要由操作員站、工程師站、數(shù)據(jù)站等組成，實(shí)現(xiàn)系統(tǒng)操作與組態(tài)。該操作級(jí)一方面根據(jù)上層生產(chǎn)指令控制和調(diào)度底層的現(xiàn)場(chǎng)控制設(shè)備，另一方面對(duì)工業(yè)現(xiàn)場(chǎng)的生產(chǎn)情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和數(shù)據(jù)統(tǒng)計(jì)，為上層調(diào)控提供信息反饋。

3) 管理級(jí)。主要是指工廠管理系統(tǒng)(MIS)具有傳統(tǒng)IT網(wǎng)絡(luò)的屬性，用以執(zhí)行郵件收發(fā)、網(wǎng)頁(yè)瀏覽、企業(yè)資源計(jì)劃(ERP)和制造執(zhí)行系統(tǒng)(MES)等功能。

1.2 工業(yè)控制系統(tǒng)信息安全概述

近年來(lái)，網(wǎng)絡(luò)信息技術(shù)被廣泛應(yīng)用于工業(yè)控制系統(tǒng)，如DCS，PLC，PCS，SCADA等，它們采用現(xiàn)場(chǎng)總線技術(shù)、OPC等技術(shù)，使工業(yè)設(shè)備接口更為簡(jiǎn)單方便，但也打破工控系統(tǒng)與外界的隔離，導(dǎo)致工業(yè)控制系統(tǒng)的安全性越來(lái)越弱[5]。就近幾年頻發(fā)的系統(tǒng)安全問(wèn)題來(lái)看，主要包括信息泄露、病毒入侵等，直接影響著企業(yè)生產(chǎn)以及人身和設(shè)備安全[6]。讓人印象最為深刻的是2010年伊朗爆發(fā)的“超級(jí)工廠病毒(Stuxnet蠕蟲(chóng))”，該病毒利用微軟系統(tǒng)漏洞攻擊Siemens DCS，使伊朗損失巨大，伊朗核計(jì)劃也因此遭受重挫。如何對(duì)工控系統(tǒng)進(jìn)行必要和可行的安全加固、防范高級(jí)持續(xù)威脅(APT)、保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施已成為當(dāng)前工業(yè)領(lǐng)域亟待探究和解決的重要問(wèn)題[7-8]。

2 工業(yè)控制系統(tǒng)的信息安全問(wèn)題

2.1 石化行業(yè)工控系統(tǒng)普遍存在的信息安全問(wèn)題

1) 網(wǎng)絡(luò)節(jié)點(diǎn)間無(wú)有效隔離。過(guò)程控制網(wǎng)與管理網(wǎng)的OPC數(shù)據(jù)采集站連接處，過(guò)程控制網(wǎng)與先進(jìn)控制系統(tǒng)(APC)連接處，操作員站之間的連接處，無(wú)訪問(wèn)控制措施和入侵防范措施。一旦某個(gè)節(jié)點(diǎn)出現(xiàn)問(wèn)題，會(huì)迅速通過(guò)交換機(jī)互聯(lián)擴(kuò)展至其他節(jié)點(diǎn)，蔓延至整個(gè)網(wǎng)絡(luò)。

2) 通信協(xié)議漏洞。OPC Server多采用Windows平臺(tái)，投產(chǎn)后一般不更新補(bǔ)丁。OPC Server和Buffer機(jī)之間的通信采用的是DCOM技術(shù)，其通信端口在1024～65535內(nèi)不固定，常規(guī)IT類防火墻在這個(gè)層面難以有效隔離。另外，OPC Server 端和多個(gè)OPC Client端使用相同用戶名和口令。OPC Client端對(duì)Server端具有數(shù)據(jù)讀取、修改等全部的訪問(wèn)權(quán)限，不滿足最小授權(quán)原則。

3) 工程師站無(wú)身份認(rèn)證和訪問(wèn)控制。工程師站對(duì)操作站、DCS控制器的組態(tài)行為一般無(wú)身份認(rèn)證和訪問(wèn)控制，并且擁有最高操作權(quán)限，可以任意修改控制邏輯和流程。主機(jī)中存儲(chǔ)的文件一般未加密，容易造成核心數(shù)據(jù)丟失。非法的工程師站成為工控安全的重大隱患。

4) Windows平臺(tái)漏洞，主機(jī)防護(hù)不足。工程師站、操作員站多基于Windows平臺(tái)，如NT4.0，2000，XP，Win7，Server2003等。由于操作系統(tǒng)補(bǔ)丁和殺毒軟件對(duì)控制系統(tǒng)穩(wěn)定性可能造成影響，即使安裝殺毒軟件也會(huì)面臨病毒庫(kù)過(guò)期等問(wèn)題，所以一般不安裝殺毒軟件和更新系統(tǒng)補(bǔ)丁。并且，多數(shù)企業(yè)無(wú)移動(dòng)存儲(chǔ)介質(zhì)管理、操作站軟件運(yùn)行權(quán)限管理，這種情況下控制系統(tǒng)安全性極其脆弱，容易感染病毒。

5) APC自身無(wú)防護(hù)措施，具有病毒感染的高風(fēng)險(xiǎn)。APC一般運(yùn)行調(diào)試周期較長(zhǎng)，且該期間APC需要頻繁與外界進(jìn)行數(shù)據(jù)交換，感染病毒的風(fēng)險(xiǎn)較大。一旦 APC受到病毒感染，會(huì)對(duì)其控制系統(tǒng)安全造成極大威脅。

2.2 某石化企業(yè)焦化分廠區(qū)原工控系統(tǒng)信息安全狀況

該企業(yè)焦化分廠區(qū)目前有焦化、加氫、制氫3套生產(chǎn)裝置，3套工控系統(tǒng)。其中，焦化加氫DCS采用浙江中控ECS700，制氫DCS采用Honeywell PKS R201，緊急停車系統(tǒng)(ESD)采用Siemens S7-400。所有操作員站、工程師站均采用Windows平臺(tái)，無(wú)殺毒軟件；4臺(tái)工程師站兼做現(xiàn)場(chǎng)OPC服務(wù)器。對(duì)于前述信息安全問(wèn)題，除5)外，其余均存在。網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

圖2 改造前網(wǎng)絡(luò)結(jié)構(gòu)示意

3 工控信息安全解決方案

3.1 當(dāng)前普遍的解決方案

目前普遍認(rèn)可的工控安全防御體系是由邊界系統(tǒng)、防御系統(tǒng)、防危系統(tǒng)等三部分組成的縱深綜合防御體系。邊界系統(tǒng)，是指結(jié)合工控系統(tǒng)性能特點(diǎn)，利用工控防火墻、工控網(wǎng)閘、工控網(wǎng)關(guān)等安全隔離設(shè)備，在工控系統(tǒng)的邊界上構(gòu)筑安全防線。防御系統(tǒng)，包括入侵檢測(cè)系統(tǒng)、入侵誘捕系統(tǒng)和安全態(tài)勢(shì)感知等安全部件，用以檢測(cè)和抵御入侵工控系統(tǒng)的攻擊行為[9-10]。防危系統(tǒng)是保證即使攻擊行為已經(jīng)突破了前面兩道防線，侵入到工控系統(tǒng)的內(nèi)部，工控系統(tǒng)仍可以維持自身的物理安全，不至于導(dǎo)致嚴(yán)重的人身傷亡和重大財(cái)產(chǎn)損失事故。

3.2 某石化企業(yè)采用的解決方案

基于縱深綜合防御理念，結(jié)合自身工控信息安全的現(xiàn)狀及特點(diǎn)，該石化企業(yè)分廠區(qū)采用了“縱深防護(hù)，實(shí)時(shí)監(jiān)測(cè)，在線備份”的三重安全機(jī)制，網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

圖3 改造后網(wǎng)絡(luò)結(jié)構(gòu)示意

3.2.1網(wǎng)絡(luò)分區(qū)隔離

由圖3可知，交換機(jī)H3C 3100根據(jù)IP地址進(jìn)行VLAN劃分配置，對(duì)連接各個(gè)端口的OPC Server進(jìn)行網(wǎng)絡(luò)隔離，相互之間不允許通信訪問(wèn)。另外，將過(guò)程控制網(wǎng)的普通型交換機(jī)全部更換為安全交換機(jī)SUP3000，并對(duì)SUP3000做VLAN劃分配置和訪問(wèn)控制列表ACL (access control list)配置。通過(guò)訪問(wèn)控制策略允許特定設(shè)備訪問(wèn)、限制網(wǎng)絡(luò)流量、指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等保障網(wǎng)絡(luò)性能。

3.2.2入侵檢測(cè)防御

在交換機(jī)H3C 3100處部署入侵檢測(cè)系統(tǒng)IDS(intrusion detection systems)，并連接1臺(tái)IDS管理站，IDS采用DPtech IPS2000。為不影響現(xiàn)有網(wǎng)絡(luò)狀況及運(yùn)行，對(duì)H3C 3100v2核心交換機(jī)進(jìn)行端口鏡像配置，通過(guò)鏡像端口接入IPS 2000，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流量。同時(shí)，在網(wǎng)段上偵聽(tīng)、采集網(wǎng)絡(luò)數(shù)據(jù)，使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源，及時(shí)檢測(cè)網(wǎng)絡(luò)中出現(xiàn)的異常數(shù)據(jù)、非法入侵，并根據(jù)預(yù)定義策略實(shí)時(shí)報(bào)警，同時(shí)對(duì)網(wǎng)絡(luò)中所有活動(dòng)進(jìn)行行為審計(jì)與內(nèi)容審計(jì)，生成完整記錄，便于事件追溯。

3.2.3邊界隔離防護(hù)

在每臺(tái)OPC服務(wù)器與企業(yè)信息網(wǎng)交換機(jī)之間部署TofinoEX工控防火墻進(jìn)行邊界隔離防護(hù)。Tofino EX工控防火墻支持OPC，Modbus-TCP，SCnet等應(yīng)用協(xié)議的深度包檢測(cè)，防火墻上配置策略只允許OPC協(xié)議通過(guò)，其他全部禁止，阻斷來(lái)自外部的安全威脅，保護(hù)控制系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全以及OPC服務(wù)器與PI實(shí)時(shí)數(shù)據(jù)庫(kù)之間的通信安全。

3.2.4工業(yè)主機(jī)防護(hù)

過(guò)程控制網(wǎng)內(nèi)所有主機(jī)包括工程師站、操作員站、OPC服務(wù)器等全部安裝“工控安全衛(wèi)士”軟件VxDefender。通過(guò)白名單技術(shù)手段實(shí)現(xiàn)進(jìn)程管理、網(wǎng)絡(luò)管理、USB管理、安全事件管理等，實(shí)時(shí)監(jiān)控工控主機(jī)的進(jìn)程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB 端口狀態(tài)，實(shí)現(xiàn)對(duì)各主機(jī)的全面安全防護(hù)。根據(jù)白名單的配置，工控安全衛(wèi)士自動(dòng)禁止非法進(jìn)程運(yùn)行，禁止非法 USB設(shè)備的接入，從而切斷病毒和木馬的傳播與破壞路徑，同時(shí)也阻斷了數(shù)據(jù)泄密。另外，探測(cè)到非法進(jìn)程、非法網(wǎng)絡(luò)端口、非法USB設(shè)備時(shí)，報(bào)警提醒，產(chǎn)生安全事件日志，方便問(wèn)題排查，事故溯源。

3.2.5實(shí)時(shí)在線備份

為防御工業(yè)數(shù)據(jù)容災(zāi)，部署1臺(tái)ABR備份服務(wù)器，并安裝Acronis Backup組件，通過(guò)對(duì)各臺(tái)工程師站分別制訂備份策略，實(shí)現(xiàn)其關(guān)鍵數(shù)據(jù)自動(dòng)在線備份，確保即使發(fā)生故障，也可快速恢復(fù)系統(tǒng)，保證生產(chǎn)的連續(xù)性。其中，磁盤級(jí)備份可在出現(xiàn)嚴(yán)重?cái)?shù)據(jù)損壞或硬件故障時(shí)恢復(fù)整個(gè)系統(tǒng)。當(dāng)設(shè)定僅保護(hù)特定數(shù)據(jù)時(shí)(例如，當(dāng)前項(xiàng)目)，可進(jìn)行文件級(jí)備份。文件級(jí)備份不足以進(jìn)行操作系統(tǒng)恢復(fù)，要在恢復(fù)操作系統(tǒng)的同時(shí)恢復(fù)所有設(shè)置和應(yīng)用程序，必須執(zhí)行磁盤級(jí)備份。

另外，工控信息安全從來(lái)都不是孤立的，在進(jìn)行技術(shù)防御的同時(shí)，還必須從管理入手建立起一套有針對(duì)性的工控安全管理體系，杜絕安全隱患。

4 結(jié)束語(yǔ)

方案實(shí)施半年來(lái)，工控系統(tǒng)運(yùn)行穩(wěn)定。實(shí)際運(yùn)行效果表明： 該方案能夠保障工控系統(tǒng)的信息安全，同時(shí)為工控系統(tǒng)信息安全問(wèn)題的研究提供了思路，對(duì)其他企業(yè)工控信息安全建設(shè)具有一定的參考和指導(dǎo)意義。

參考文獻(xiàn)：

[1] 王小山，楊安，石志強(qiáng)，等.工業(yè)控制系統(tǒng)信息安全新趨勢(shì)[J].網(wǎng)絡(luò)信息安全，2015 (01)： 6-11.

[2] 張波.基于縱深防御理念的DCS信息安全方案在青島煉化項(xiàng)目的應(yīng)用[J].中國(guó)儀器儀表，2014 (02)：30-35.

[3] Nader P.One-class Classification for Cyber Intrusion Detection in Industrial Systems[J].IEEE Transactions on Industrial Informatics, 2015,10 (04)： 2308-2317.

[4] Vollmer T, Manic M. Cyber-physical System Security With Deceptive Virtual Hosts for Industrial Control Networks[J].IEEE Transactions on Industrial Informatics,2014, 10(02)： 1337-1347.

[5] 林楓．工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的思考[J]．信息通信，2017(05)： 123 -124．

[6] 賴英旭，劉增輝，蔡曉田，等.工業(yè)控制系統(tǒng)入侵檢測(cè)研究綜述[J].通信學(xué)報(bào)，2017，38(02)： 143-156.

[7] Zhou Chunjie, Huang Shuang, Xiong Naixue, et al. Design and Analysis of Multimodel-based Anomaly Intrusion Detection Systems in Industrial Process Automation[J].IEEE Transactions on System, Man and Cybernetics-Systems, 2015, 45(10)： 1345-1360.

[8] Mo Y, Chabukswar R, Sinopoli B. Detecting Integrity Attacks on SCADA Systems[J].IEEE Transactions on Control Systems Technology, 2014,23(04)： 1396-1407.

[9] Ponomarev S, Atkison T. Industrial Control System Network Intrusion Detection by Telemetry Analysis[J].IEEE Transactions on Dependable and Secure Computing, 2016，13(02)： 252-260.

[10] 王海鳳.工業(yè)控制網(wǎng)絡(luò)的異常檢測(cè)與防御資源分配研究[D].杭州： 浙江大學(xué)，2014.