陳 華，高 楊

（中交第一航務(wù)工程勘察設(shè)計院有限公司，天津 300222）

引 言

由于工控系統(tǒng)信息安全的投入并不增加企業(yè)的經(jīng)濟效益，同時還會增加工控系統(tǒng)運行維護的成本，因此用戶很少開展工控系統(tǒng)安全方面的工作。

目前工業(yè)控制系統(tǒng)信息安全的問題主要體現(xiàn)在產(chǎn)品部署不到位、安全管理制度不完善，工控系統(tǒng)面臨的漏洞劇增、攻擊趨易、目標重要等風險。工控軟硬件產(chǎn)品在設(shè)計之初極少考慮安全問題，因此安全漏洞不斷涌現(xiàn)。開源社區(qū)、黑客大會的出現(xiàn)導致獲取工控系統(tǒng)的攻擊方法越發(fā)容易。工控系統(tǒng)作為政府基礎(chǔ)設(shè)施的重要組成部分，已經(jīng)成為黑客、極端勢力攻擊的重要目標[1]。

1 油庫工控系統(tǒng)面臨的威脅

1.1 油庫的特殊工況

某港油庫的生產(chǎn)作業(yè)過程中涉及到有毒有害氣體、易燃易爆、腐蝕、易揮發(fā)等化學品，同時工藝復雜、生產(chǎn)過程環(huán)環(huán)相扣、每道工序間相互關(guān)聯(lián)、相互影響、不安全因素較多，一旦發(fā)生安全事故，極易造成嚴重后果。過去，油庫生產(chǎn)控制系統(tǒng)與外界是完全隔離的，外部的威脅無法通過企業(yè)內(nèi)部網(wǎng)進入到生產(chǎn)控制系統(tǒng)，都是隨著油庫企業(yè)應(yīng)用系統(tǒng)的增加以及信息化建設(shè)的推進、管控一體化技術(shù)發(fā)展、生產(chǎn)執(zhí)行系統(tǒng)的實施，生產(chǎn)控制網(wǎng)絡(luò)與管理網(wǎng)以及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令、生產(chǎn)計劃的下發(fā)，感染病毒及惡意程序的幾率增大。生產(chǎn)網(wǎng)的開放對油庫工業(yè)控制系統(tǒng)構(gòu)成嚴重的安全威脅，系統(tǒng)受到攻擊或感染病毒后，控制網(wǎng)絡(luò)通訊緩慢、數(shù)據(jù)丟失、管理層數(shù)據(jù)無法讀取、壓力、溫度、流量、液位、計量等指示失效，檢測系統(tǒng)連鎖報警失效。

1.2 管理層面面臨的威脅

1）工業(yè)控制系統(tǒng)從可行性方案到后期具體實施的全過程中，需要在工業(yè)控制系統(tǒng)信息安全規(guī)章要求下著眼于生產(chǎn)作業(yè)設(shè)備的實時運行狀態(tài)，將設(shè)備自身的安全可靠度作為建設(shè)工控系統(tǒng)信息安全的根本出發(fā)點。

2）目前多數(shù)企業(yè)對單位內(nèi)部職工的工控系統(tǒng)信息安全方面的培訓十分匱乏，生產(chǎn)管理、調(diào)度以及現(xiàn)場一線作業(yè)人員的工控系統(tǒng)信息安全的意識較弱。企業(yè)內(nèi)部工控系統(tǒng)信息安全方面的技術(shù)交流和探討也相當缺乏，有點企業(yè)雖有相關(guān)技術(shù)培訓還都流于形式。

3）缺乏工業(yè)控制系統(tǒng)災(zāi)難性恢復計劃。

4）企業(yè)現(xiàn)場作業(yè)技術(shù)人員所掌握的現(xiàn)場作業(yè)情況在發(fā)送給中控室管理調(diào)度人員之后，管理調(diào)度人員無法在第一時間制定出信息安全指導意見。

1.3 技術(shù)層面面臨的威脅

1）工控系統(tǒng)網(wǎng)絡(luò)設(shè)計不完善，且其深度防護不足；通過工控系統(tǒng)的信息數(shù)據(jù)出現(xiàn)較大程度的延遲或阻止。

2）當前工業(yè)以太網(wǎng)系統(tǒng)是控制系統(tǒng)的主流網(wǎng)絡(luò)模式，但是目前采用的多數(shù)信息安全防護措施很難在工控網(wǎng)和傳統(tǒng)信息網(wǎng)絡(luò)之間建立起安全、可靠、有效的屏障，工控系統(tǒng)面臨巨大的安全威脅，而工控系統(tǒng)出現(xiàn)的任何問題又對企業(yè)生產(chǎn)作業(yè)造成較大的損失[2]。

3）工業(yè)控制系統(tǒng)在實際運行中涉及到大量的設(shè)備或軟件生產(chǎn)廠商的接口協(xié)議，而這些接口協(xié)議大都缺乏國家權(quán)威機構(gòu)的信息及網(wǎng)絡(luò)安全認證，大量病毒則通過這些接口侵入工控系統(tǒng)以及企業(yè)內(nèi)部管理網(wǎng)等。

4）由于工業(yè)控制系統(tǒng)的受控端設(shè)備與中央控制室上位端控制主機之間缺少相關(guān)的信息安全認證程序，一旦出現(xiàn)冒充控制室控制主機端的惡意指令程序，受控端設(shè)備又無法準確判斷控制信息發(fā)送端的真實身份，因此中央控制室管理調(diào)度人員在錯誤現(xiàn)場信息的引導下給出與實際作業(yè)情況偏差更大的操作，而這些與現(xiàn)場不匹配的操作將直接造成整個庫區(qū)生產(chǎn)作業(yè)的混亂甚至引發(fā)極大的安全事故。

5）油庫中控室的HMI/server多為windows平臺，而windows系統(tǒng)存在安全漏洞易受病毒攻擊。另外由于工業(yè)控制系統(tǒng)的特殊性，為保證相對獨立的運行環(huán)境，油庫工控系統(tǒng)極少與外界聯(lián)網(wǎng)因此幾乎不對windows平臺安裝任何補丁程序，這種情況極容易導致控制室工控系統(tǒng)管理層遭到病毒的侵襲。

6）TCP/IP以太網(wǎng)協(xié)議、OPC協(xié)議及通用的交換路由設(shè)備廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，給系統(tǒng)帶來了安全漏洞威脅。

7）工控系統(tǒng)缺少對程序行為的審核能力，惡意程序行為是對工控系統(tǒng)產(chǎn)生安全威脅主要因素之一。工控系統(tǒng)相對封閉的環(huán)境使系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或破壞性操作也成為工業(yè)控制系統(tǒng)所面臨的主要安全風險。

2 油庫工控系統(tǒng)信息安全方案

2.1 建設(shè)分案總體設(shè)計

本項目根據(jù)某港油庫工控系統(tǒng)及信息化生產(chǎn)管理系統(tǒng)流程的特點，建立控制系統(tǒng)計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)的三重防御體系，通過強化分區(qū)、隔離防護、數(shù)據(jù)的鏡像采集、協(xié)議管控、入侵防御及建立審計制度等技術(shù)手段來構(gòu)建縱深安全防御體系，確保庫區(qū)生產(chǎn)作業(yè)全流程工控系統(tǒng)的安全。該油庫工控系統(tǒng)信息安全方案建設(shè)思路如圖1所示。

1）從某港油庫工控系統(tǒng)總體結(jié)構(gòu)來看，油庫企業(yè)管理層主要從控制層提取相關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策，完成各種控制、運行參數(shù)的監(jiān)測、報警和趨勢分析等功能。控制層匯總現(xiàn)場設(shè)備的實時生產(chǎn)數(shù)據(jù)信息。系統(tǒng)的每一個安全漏洞都將產(chǎn)生不同的嚴重后果，所以將它們單獨隔離防護顯得尤為必要。工業(yè)控制系統(tǒng)信息安全的防護主要通過部署、配置信息安全系統(tǒng)產(chǎn)品（防火墻、入侵檢測、漏洞掃描、殺毒軟件、系統(tǒng)管理平臺等）來實現(xiàn)系統(tǒng)安全。

2）工業(yè)安全隔離網(wǎng)關(guān)是一種為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)置的安全隔離設(shè)備，用于解決工業(yè)控制網(wǎng)絡(luò)如何安全地接入工業(yè)控制信息網(wǎng)絡(luò)的問題以及工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同的安全區(qū)域之間信息網(wǎng)絡(luò)安全防護的問題。工業(yè)安全隔離網(wǎng)關(guān)的控制端接到工業(yè)控制網(wǎng)絡(luò)，依靠信息采集接口實現(xiàn)控制系統(tǒng)各個子系統(tǒng)數(shù)據(jù)信息的采集工作；信息端接入上位管理層網(wǎng)絡(luò)，實現(xiàn)數(shù)據(jù)到中控室的傳輸。工業(yè)安全隔離網(wǎng)關(guān)可以保證網(wǎng)絡(luò)之間正常的通信，且能徹底阻斷網(wǎng)絡(luò)間的直接連接，切斷外界攻擊的載體。同時該網(wǎng)關(guān)可保證信息數(shù)據(jù)的完整性、連續(xù)性、可靠性，在通信鏈路斷開時自動記錄存儲數(shù)據(jù)。網(wǎng)關(guān)本身的故障不會影響現(xiàn)場的正常業(yè)務(wù)信息數(shù)據(jù)，可以提高工藝系統(tǒng)穩(wěn)定性，保障生產(chǎn)業(yè)務(wù)的連續(xù)性。工業(yè)安全隔離網(wǎng)關(guān)能徹底阻斷不同安全區(qū)域之間的直接信息通訊，同時根據(jù)其自身配置的高性能工業(yè)通信軟件實現(xiàn)對多種主流工業(yè)控制通訊協(xié)議進行信息數(shù)據(jù)的過濾，為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)傳輸?shù)膶崟r數(shù)據(jù)信息提供“可靠的傳輸通道”。

3）工業(yè)控制系統(tǒng)采用訪問控制、用戶身份認證、審計制度等措施來保證系統(tǒng)信息網(wǎng)絡(luò)安全，其中訪問控制可以用于限制油庫企業(yè)用戶的權(quán)限，使用戶能以最小的權(quán)限完成工作任務(wù)。工控系統(tǒng)管理員的任何通訊都需要加以認證，通信過程中通信雙方使用密鑰加密信息數(shù)據(jù)，并對其保密性和完整性實施保護；身份認證是通過密碼驗證申請訪問的設(shè)備或人員在網(wǎng)絡(luò)上傳輸密碼時需要對密碼進行加密，通過選擇合適的密碼函數(shù)可以阻斷病毒的攻擊。工業(yè)控制系統(tǒng)通常都需要進行工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備的安全配置和審計制度，嚴格指令的管理，及時更換產(chǎn)品安裝時的預設(shè)指令、杜絕使用弱等級的指令。授權(quán)審計員能夠?qū)ο到y(tǒng)日志進行讀取、存檔、導出、刪除等操作；定期對控制系統(tǒng)的賬戶、指令、端口進行檢查，停止無用的后臺程序和進程。

4）工業(yè)控制系統(tǒng)信息安全在實際設(shè)置中是依據(jù)信息安全區(qū)域劃分、信息安全重要程度（工業(yè)控制系統(tǒng)信息的價值越高，它所面臨的安全威脅就越大）、信息安全耗損成本等因素設(shè)置成不同的信息安全防護等級，并依據(jù)不同的防護等級采用不同模式的信息安全防護技術(shù)及措施，以求實現(xiàn)工業(yè)控制系統(tǒng)及相關(guān)受控作業(yè)設(shè)備的穩(wěn)定可靠運行。

圖1 油庫工控系統(tǒng)信息安全架構(gòu)

2.2 系統(tǒng)防火墻

工控系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)禁止連接，所有系統(tǒng)之間的通信終點應(yīng)是隔離區(qū)。工控系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)之間的連接須通過服務(wù)和端口的嚴格控制。辦公網(wǎng)與互聯(lián)網(wǎng)的連接，存在被病毒感染或被惡意控制的高風險，因此在辦公網(wǎng)和管理網(wǎng)之間部署網(wǎng)絡(luò)病毒網(wǎng)關(guān)，入侵防御系統(tǒng)。可以處理SMTP、HTTP、POP3、FTP等多種協(xié)議，全面保護WEB訪問、郵件以及文件傳輸過程中的安全。從而有效抵御來自辦公網(wǎng)及互聯(lián)網(wǎng)的網(wǎng)絡(luò)病毒和風險，確保內(nèi)網(wǎng)的安全[3]。

2.3 工控系統(tǒng)控制器安全防護

控制系統(tǒng)的上位機通過工業(yè)以太網(wǎng)連接，操作站實現(xiàn)監(jiān)控、操作功能；控制站則完成具體的控制運算、輸入/輸出及數(shù)據(jù)處理功能。而工業(yè)以太網(wǎng)的開放性在帶來通訊快速便捷的同時也增加了安全隱患。在控制器入口端設(shè)置控制室防護設(shè)備，可識別出針對控制器的操控服務(wù)指令（包括組態(tài)服務(wù)、數(shù)據(jù)上傳服務(wù)、數(shù)據(jù)下載服務(wù)、控制程序下載服務(wù)、操控指令服務(wù)等），并且能根據(jù)安全策略要求對非法的服務(wù)請求進行報警和自動隔斷。使用工業(yè)防火墻對控制器進行安全防護，一方面通過對源、目的地址的控制，且對關(guān)鍵控制點的讀寫權(quán)限加以嚴格限制，保障了資源的可信與可控；另一方面，通過對端口服務(wù)的控制，杜絕了一切有意或無意的攻擊。

3.4 工控系統(tǒng)漏洞掃描

工控系統(tǒng)的信息漏洞一旦被攻擊者發(fā)現(xiàn)并利用，系統(tǒng)將遭受多種類型的病毒攻擊，如在控制系統(tǒng)實時通訊過程中襲擊者將偽裝成合法的儀表設(shè)備或偽造成一個合法的網(wǎng)絡(luò)源；或是襲擊者從通訊過程的中間攔截信息并把相關(guān)信息修改后再轉(zhuǎn)發(fā)到接收端主控制機；或是不斷發(fā)送認證信息或其他指令使得中控室主機設(shè)備忙于應(yīng)答大量的惡意數(shù)據(jù)而無法處理和響應(yīng)其他作業(yè)信息。當系統(tǒng)被攻擊時，入侵檢測系統(tǒng)通過在工控系統(tǒng)網(wǎng)絡(luò)的各個關(guān)鍵點收集數(shù)據(jù)信息并同時分析這些數(shù)據(jù)信息是否包含病毒，當發(fā)現(xiàn)異常時立即發(fā)出警報、廢棄無效數(shù)據(jù)信息并聯(lián)動其他層級的安全響應(yīng)。

3 結(jié) 語

隨著大量工控系統(tǒng)軟硬件的應(yīng)用其信息安全的重要性越發(fā)重要，根據(jù)工控系統(tǒng)的信息安全需求找到切合其特點的信息安全解決方案更是重中之重。

某港油庫工程根據(jù)其工控系統(tǒng)信息安全防護的特點設(shè)計出對工控系統(tǒng)進行分層、分區(qū)域、分等級的“三層防護”的工控系統(tǒng)信息安全防護體系架構(gòu)思路。為該油庫設(shè)置一個安全性、可靠性、適應(yīng)性兼得的工控信息采集、傳輸、處理、存儲空間。

工業(yè)控制系統(tǒng)信息安全是信息化建設(shè)過程中出現(xiàn)的新問題，工業(yè)控制系統(tǒng)的信息安全到了非加強不可的時期，單純認為“不上網(wǎng)”、“不互聯(lián)”、“建設(shè)專網(wǎng)”等均解決不了信息安全的核心問題，只有切實完善系統(tǒng)安全配置和補丁管理、物理和環(huán)境安全防護制度、持續(xù)進行工業(yè)控制系統(tǒng)安全投入、升級安全防護技術(shù)、加強系統(tǒng)安全隱患的治理，才能健全工業(yè)控制系統(tǒng)信息安全的保障體系，保障庫區(qū)生產(chǎn)工藝系統(tǒng)設(shè)施的安全。