2010年10月,來自伊朗的一個關(guān)于工業(yè)網(wǎng)絡(luò)病毒Stuxnet(計算機蠕蟲病毒)的報告引起了全球的注意,該病毒通過Windows操作系統(tǒng)中此前不為人知的漏洞感染計算機,并通過網(wǎng)絡(luò)、移動介質(zhì)以及西門子項目文件等方式進行傳播。Stuxnet病毒是專門設(shè)計來攻擊伊朗重要工業(yè)設(shè)施的,包括備受國際關(guān)注的布什爾核電站,它在入侵系統(tǒng)之后會尋找廣泛用于工控系統(tǒng)的軟件,并通過對軟件重新編程實施攻擊,病毒能控制關(guān)鍵過程并開啟一連串執(zhí)行程序,最終導(dǎo)致的后果難以預(yù)估。Stuxnet是目前首個針對工控系統(tǒng)展開攻擊的計算機病毒,已經(jīng)對伊朗國內(nèi)工業(yè)控制系統(tǒng)產(chǎn)生極大影響,Stuxnet可以說是計算機病毒界革命性創(chuàng)新,給工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全帶來新警示-“工業(yè)病毒”時代已經(jīng)來臨。
隨著信息技術(shù)的不斷推廣應(yīng)用,諸如內(nèi)部控制系統(tǒng)(DCS及PLC等),國內(nèi)、外化工領(lǐng)域逐步推廣應(yīng)用的各種安全控制系統(tǒng)(緊急停車系統(tǒng)ESD、停車聯(lián)鎖/儀表系統(tǒng)SIS、儀表保護系統(tǒng)IPS及故障安全控制系統(tǒng)FSC等)以及基礎(chǔ)應(yīng)用類系統(tǒng)(一些定制系統(tǒng))與外界不再隔離。越來越多的案例表明,工廠信息網(wǎng)絡(luò)、移動存儲介質(zhì)、因特網(wǎng)以及其它因素導(dǎo)致的網(wǎng)絡(luò)安全問題正逐漸在控制系統(tǒng)和基礎(chǔ)應(yīng)用類系統(tǒng)中擴散,直接影響了生產(chǎn)控制的穩(wěn)定與安全。這將是我們石油煉化連續(xù)性生產(chǎn)企業(yè)面臨的重大安全課題。隨著石油化工及電力等行業(yè)進入規(guī)模化生產(chǎn),生產(chǎn)裝置積聚的能量越來月大,可能造成的重大工業(yè)事故使人們前所未有地重視工業(yè)生產(chǎn)中的安全問題 。
1 企業(yè)控制網(wǎng)絡(luò)安全現(xiàn)狀
十年來,隨著信息技術(shù)的迅猛發(fā)展,信息化在石油煉化連續(xù)性生產(chǎn)企業(yè)中的應(yīng)用快速發(fā)展,網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理體系也取得了重大進發(fā)展,為重要核心應(yīng)用系統(tǒng)的長、安、穩(wěn)、滿、優(yōu)運行起到巨大的支撐作用和保障作用。
但是多年來,企業(yè)更多地關(guān)注的是管理網(wǎng)絡(luò)的安全問題,而對控制網(wǎng)絡(luò)的安全問題關(guān)注意識并不強。隨著ERP、MES等系統(tǒng)的實施,信息化的觸角已經(jīng)延伸到各個生產(chǎn)單元,包括生產(chǎn)裝置、罐區(qū)、產(chǎn)品進/出廠點。由于歷史原因,企業(yè)網(wǎng)絡(luò)往往都是一個整體,管理網(wǎng)與工業(yè)控制網(wǎng)(或基礎(chǔ)應(yīng)用網(wǎng))防護功能弱或甚至幾乎沒有隔離功能,同時由于近幾年控制系統(tǒng)(或基礎(chǔ)應(yīng)用系統(tǒng))功能的不斷提升,系統(tǒng)在進一步開放的同時,也帶來了系統(tǒng)的安全問題,減弱了控制系統(tǒng)與外界的隔離,2000年以前的控制系統(tǒng)一般都有自己獨立的操作系統(tǒng),其開放性及通用性較弱,因此幾乎不存在網(wǎng)絡(luò)安全風(fēng)險。但目前的控制系統(tǒng)一般使用開放的Windows操作系統(tǒng)和OPC協(xié)議進行數(shù)據(jù)通訊,網(wǎng)絡(luò)也采用冗余工業(yè)以太網(wǎng)模式,尤其是服務(wù)器結(jié)構(gòu)的控制系統(tǒng),一旦服務(wù)器出現(xiàn)異常,受侵害的不僅僅是一個操作站,而是整個系統(tǒng)的癱瘓。近幾年來,國內(nèi)、外許多企業(yè)的DCS控制系統(tǒng)已經(jīng)有中病毒或遭黑客攻擊的現(xiàn)象,對此企業(yè)IT人員卻無能為力,不敢動或不能動,只能等裝置停工檢修期間由廠商處理,給安全生產(chǎn)帶來了極大的隱患。
另一方面,由于人們在認識和知識面上存在差距,許多企業(yè)對控制類系統(tǒng)的安全存在認識上的誤區(qū):一是認為企業(yè)網(wǎng)與互聯(lián)網(wǎng)之間已經(jīng)安裝了專業(yè)防火墻,控制網(wǎng)絡(luò)是安全的;二是認為控制系統(tǒng)沒有直接連接互聯(lián)網(wǎng),控制系統(tǒng)是安全的;三是認為黑客或病毒不懂控制系統(tǒng)。而實際情況是,盡管在企業(yè)網(wǎng)內(nèi)部安裝了功能較完備的網(wǎng)絡(luò)安全防護產(chǎn)品,施行了各類網(wǎng)絡(luò)安全技術(shù),建立了信息安全管理體系,但控制系統(tǒng)的安全問題卻越來越嚴峻,主要原因是對許多控制網(wǎng)沒有有效的隔離手段,而企業(yè)推廣應(yīng)用的一些安全產(chǎn)品又不能直接安裝到這些系統(tǒng)上去。目前,針對企業(yè)控制網(wǎng)絡(luò)的安全事件存在以下共同點:
a.“軟”目標。大多數(shù)DCS系統(tǒng)中的計算機,很少或沒有機會安裝全天候的病毒防護和更新版本,同時控制器的設(shè)計都以實時的I/O功用為主,并不提供加強的網(wǎng)絡(luò)連接防護功能。
b.多個網(wǎng)絡(luò)端口切入點。在多個網(wǎng)絡(luò)安全事件中,事由都源于對多個網(wǎng)絡(luò)端口進入點疏于防護,而且控制系統(tǒng)維護人員(非IT人員)在維護與維修過程中的監(jiān)管也不到位。
c.疏漏的網(wǎng)絡(luò)分割設(shè)計。許多控制網(wǎng)絡(luò)都是“敞開的”,不同子系統(tǒng)之間都沒有有效的隔離,尤其是基于OPC以及MODBUS等通訊的工業(yè)控制網(wǎng)絡(luò)。
2 目前業(yè)界控制網(wǎng)絡(luò)安全技術(shù)
國際上比較流行的安全解決方案有網(wǎng)閘及工業(yè)防火墻等,能夠?qū)νㄓ崊f(xié)議進行深度檢查,可以有效地保護工業(yè)控制系統(tǒng)、基礎(chǔ)類應(yīng)用系統(tǒng)和不同網(wǎng)絡(luò)區(qū)域不會遭到攻擊與破壞。其主要實現(xiàn)策略列舉如下:
a.將企業(yè)網(wǎng)絡(luò)及控制網(wǎng)絡(luò)進行“區(qū)域和渠道”的劃分。新ANSI/ISA-99安全標準的核心理念是“區(qū)域和渠道”,根據(jù)控制功能將網(wǎng)路分層或分域,多分區(qū)隔有助于提供“縱深”防御。
b.定義區(qū)域之間的連接“管道”。要了解和管理好系統(tǒng)所有區(qū)域之間的“管道”,并對“管道”要有安全的管制。具體包括進入?yún)^(qū)域的管制,采用DOS防范攻擊或惡意軟件的轉(zhuǎn)移,屏蔽其它網(wǎng)絡(luò)系統(tǒng),保護網(wǎng)絡(luò)流量的完整性和保密性。
c.區(qū)域及管道保護網(wǎng)絡(luò)。每一個服務(wù)管道,安全設(shè)備只允許正確的設(shè)備操作所必需的通信。
d.集中安全管理監(jiān)控。在另外一個平臺上,安裝集中式安全監(jiān)控管理模塊,管理和檢測所有安全設(shè)備,可隨時進行報警確認和歷史信息查詢,為網(wǎng)絡(luò)故障的及時排查、分析提供可靠依據(jù)。
3 齊魯公司控制網(wǎng)絡(luò)構(gòu)架及面臨風(fēng)險
中國石化齊魯分公司(以下簡稱齊魯分公司)是一家特大型煉化企業(yè),其企業(yè)網(wǎng)支撐著ERP、MES、OA等多種應(yīng)用,基本涵蓋了整個企業(yè)管理和生產(chǎn)控制單元。根據(jù)企業(yè)網(wǎng)絡(luò)建設(shè)現(xiàn)狀,結(jié)合業(yè)內(nèi)工業(yè)安全的先進安全技術(shù),制定和實施管理網(wǎng)和控制網(wǎng)整體安全解決方案有兩部分。
3.1 現(xiàn)有控制網(wǎng)和管理網(wǎng)架構(gòu)體系
齊魯分公司是石化內(nèi)部實施DCS控制系統(tǒng)和實時數(shù)據(jù)庫最早的企業(yè)之一(1986年在催化裂化裝置實施DCS,1992年使用IP21的前身軟件SETCON實時數(shù)據(jù)庫技術(shù)),共有各類DCS、PLC系統(tǒng)等近九十多套,但是僅有少數(shù)安裝了防病毒軟件和硬件防火墻。為給MES系統(tǒng)提供最基礎(chǔ)數(shù)據(jù)源,建立了上、下一體的兩級InfoPlus.21實時數(shù)據(jù)庫平臺體系。系統(tǒng)的拓撲和整體架構(gòu)和拓撲如圖1、2所示。
圖1 系統(tǒng)拓撲結(jié)構(gòu)圖
圖2 齊魯公司實時數(shù)據(jù)庫架構(gòu)體系
分廠級實時數(shù)據(jù)庫對底層控制系統(tǒng)及儀表的數(shù)據(jù)采集都通過OPC接口來實現(xiàn)(圖3),通過Infoplus.21實時數(shù)據(jù)庫的Cim-IO For InofPlus.21接口實現(xiàn)與公司級Infoplus.21實時數(shù)據(jù)庫間的數(shù)據(jù)傳輸,從以上二級分廠的實時數(shù)據(jù)庫中將所需數(shù)據(jù)讀取到公司實時數(shù)據(jù)庫中。
圖3 分廠級數(shù)據(jù)采集系統(tǒng)結(jié)構(gòu)圖
3.1.1 DCS控制網(wǎng)
DCS控制網(wǎng)為第1層,該網(wǎng)絡(luò)為實時控制網(wǎng),負責(zé)控制器、操作站及工程師站之間過程控制數(shù)據(jù)實時通訊。在這個層面通常有的節(jié)點類型有控制器、操作站、工程師站、ESD及OPC Server等。目前基本所有控制系統(tǒng)制造商的操作站和服務(wù)器都采用基于Windows操作系統(tǒng)的PC機作為平臺,同時網(wǎng)絡(luò)也采用冗余工業(yè)以太網(wǎng)模式。
3.1.2 分廠信息數(shù)采網(wǎng)
分廠信息數(shù)采網(wǎng)為第2層,其核心設(shè)備由各個分廠數(shù)據(jù)采集實時數(shù)據(jù)庫(Aspen IP21)服務(wù)器和各個裝置DCS數(shù)據(jù)采集緩存機(Buffer)以及OPC Server構(gòu)成。部分OPC Server直接與IP21數(shù)據(jù)庫相連,部分OPC Server通過Buffer和IP21數(shù)據(jù)庫相連。Buffer機即可以作為數(shù)據(jù)采集的緩存又可以通過其自身的雙網(wǎng)卡設(shè)置抵御外部的非法入侵,杜絕黑客等惡意地對控制系統(tǒng)進行直接攻擊。
3.1.3 齊魯公司MES/OA信息網(wǎng)
MES/OA信息網(wǎng)為第3層,各個分廠的實時數(shù)據(jù)庫通過Aspen CM-IO與齊魯公司的總實時數(shù)據(jù)庫相連,實現(xiàn)基于生產(chǎn)過程數(shù)據(jù)的MES應(yīng)用。
3.2 現(xiàn)有架構(gòu)體系下的安全隱患風(fēng)險
從前文所述的整個架構(gòu)體系中可以看出,齊魯公司的管理網(wǎng)與控制網(wǎng)是緊密融合在一起的,九十多套DCS和PLC系統(tǒng)所構(gòu)成的實時數(shù)據(jù)采集架構(gòu)體系幾乎覆蓋了公司的整個管理網(wǎng)絡(luò),安全形勢不容樂觀,存在下述安全風(fēng)險隱患:
a.目前許多控制系統(tǒng)的工程師站/操作站(HMI)都是Windows平臺,任何一個版本的Windows自發(fā)布以來都在不停的發(fā)布漏洞補丁,為保證過程控制系統(tǒng)相對的獨立性,現(xiàn)場工程師(一般多是儀表維護工程師)通常在系統(tǒng)開車后不會對Windows平臺打任何補丁,更為重要的是打過補丁的操作系統(tǒng)沒有經(jīng)過制造商測試,存在安全運行風(fēng)險。但是與之相矛盾的是,系統(tǒng)不打補丁就會存在被攻擊的漏洞,即使是普通常見病毒也會遭受感染,可能造成本機乃至控制網(wǎng)絡(luò)的癱瘓。
b.基于工控軟件與殺毒軟件的兼容性問題,在操作站上通常不安裝殺毒軟件。即使安裝有殺毒軟件,其基于病毒庫查殺的機制在工控領(lǐng)域使用也有局限性,對病毒庫的升級維護難于統(tǒng)一,更重要的是對新病毒的處理總是存在滯后,這導(dǎo)致每年都會大規(guī)模地爆發(fā)病毒,特別是新病毒。
c.OPC是基于Microsoft的分布式組件對象模式(DCOM)技術(shù),該技術(shù)使用了遠程過程調(diào)用(RPC)網(wǎng)絡(luò)協(xié)議來實現(xiàn)工業(yè)網(wǎng)絡(luò)中的以太網(wǎng)連接。來自該領(lǐng)域的安全研究人員(包括黑客組織)卻發(fā)現(xiàn)該標準中存在一些嚴重問題。如OPC 使用的Windows的DCOM和RPC服務(wù)極易受到攻擊。在過去的5年內(nèi),來自網(wǎng)絡(luò)的病毒和蠕蟲對這些接口的攻擊越來越強,這個方式幾乎成為了病毒和蠕蟲開發(fā)者目前的最愛。
d.在實現(xiàn)數(shù)據(jù)采集的過程中,數(shù)據(jù)采集服務(wù)器雖然采用了雙網(wǎng)卡技術(shù),管理信息網(wǎng)與控制網(wǎng)通過該服務(wù)器進行了隔離,部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò),但對于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲及病毒等,這種配置沒有作用,病毒會在信息網(wǎng)和控制網(wǎng)之間互相傳播。安裝殺毒軟件可以對部分病毒或攻擊有所抑制,但病毒庫存在滯后,所以不能從根本上進行防護。
因此,按照ANSI/ISA-99安全標準建立新的安全防范體系,以確?刂葡到y(tǒng)安全是當務(wù)之急。
4 齊魯公司控制網(wǎng)安全防護解決方案
4.1 安全防護的目標
企業(yè)網(wǎng)絡(luò)要保證安全可靠,最好的方法是建立一個私有信道,并創(chuàng)造一個相對獨立的網(wǎng)絡(luò)。
4.1.1 通訊可控
網(wǎng)絡(luò)數(shù)據(jù)的傳輸總給人以抽象和概念性的印象,沒有一個直觀的顯示,通訊電纜如同高速公路,怎樣能夠直觀地觀察、監(jiān)控和管理通訊電纜中流過的數(shù)據(jù),是技術(shù)人員首先要實現(xiàn)的目標。通過這個管控,對控制網(wǎng)絡(luò)而言僅需要保證制造商專有協(xié)議數(shù)據(jù)通過即可,對其它基于Windows應(yīng)用的不必要通信一律禁止,從而創(chuàng)造一個單一制造商的通信網(wǎng)絡(luò)的環(huán)境。
4.1.2 區(qū)域隔離
網(wǎng)絡(luò)安全問題不同于其它設(shè)備故障,對計算機網(wǎng)絡(luò)筆者認為最可怕的是病毒的急速擴散,它會瞬間令整個網(wǎng)絡(luò)癱瘓,具有可擴散性和快速性的特點。目前,雖然技術(shù)人員在現(xiàn)場采取了很多措施,但要杜絕網(wǎng)絡(luò)安全問題是不可能的,所以必須保證即使在控制網(wǎng)局部出現(xiàn)問題時也能保持裝置或工廠的安全穩(wěn)定運行。這就要在關(guān)鍵通道上部署網(wǎng)絡(luò)隔離設(shè)備,這樣就能工業(yè)生產(chǎn)企業(yè)的控制系統(tǒng)創(chuàng)造一個相對獨立的網(wǎng)絡(luò)環(huán)境。
4.1.3 實時報警
報警的首要問題是把網(wǎng)絡(luò)安全問題消滅在萌芽中,同時通過對報警事件的記錄存儲,為企業(yè)網(wǎng)絡(luò)解決部分已發(fā)生過的安全事件提供分析依據(jù),告別主觀經(jīng)驗推斷的模式。怎樣才能及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其它問題,準確找到故障的發(fā)生點,是維護控制網(wǎng)絡(luò)安全的前提。
4.2 網(wǎng)絡(luò)安全解決方案
目前,齊魯公司使用Tofino技術(shù)實施整體網(wǎng)絡(luò)安全解決方案,現(xiàn)以烯烴廠為例進行說明。針對烯烴廠網(wǎng)絡(luò)結(jié)構(gòu) [5] 及具體應(yīng)用要求,分別在過程控制網(wǎng)內(nèi)部、數(shù)采網(wǎng)和過程控制網(wǎng)之間、APC控制站與過程控制網(wǎng)之間、DCS與數(shù)采網(wǎng)之間安裝防火墻,并安裝相應(yīng)的LSM軟插件,然后在數(shù)采網(wǎng)安裝中央管理平臺(Central Management Platform,CMP)對TSA進行管理和組態(tài),最后在辦公局域網(wǎng)內(nèi)安裝安全管理平臺,對整個網(wǎng)絡(luò)進行實時在線監(jiān)控。具體方案拓撲圖如圖4所示。
圖4 齊魯公司烯烴廠工業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)拓撲
4.2.1 DCS控制網(wǎng)安全防護解決方案
如圖5所示,對工程師站和APC站與控制網(wǎng)絡(luò)隔離。工程師站和APC站較多接觸移動介質(zhì),感染病毒機率較大,增加防火墻后與控制網(wǎng)絡(luò)進行隔離,即使感染病毒不至于擴散。
圖5 控制網(wǎng)絡(luò)安全防護示意圖
當控制系統(tǒng)通過以太網(wǎng)與ESD或其它第三方系統(tǒng)連接時,在兩者之間添加防火墻。安裝與防護原理如下:
a.增加工業(yè)防火墻,并安裝Firewall插件(工程師站、ESD和APC站防護)和OPC Enforcer(APC站防護);
b.將工程師站的兩條冗余通訊電纜經(jīng)過防火墻再接到DCS控制網(wǎng)絡(luò)中,在工程師站安裝CMP中央管理平臺;
c.通過對Firewall插件的組態(tài),通信規(guī)則只允許DCS制造商的通訊協(xié)議才能通過,其它任何病毒或其它非法訪問都被阻止,這樣來自防護區(qū)域內(nèi)的病毒感染不會擴散到外面的網(wǎng)絡(luò)中去,來自外部的攻擊也不會影響到防護區(qū)域內(nèi)的設(shè)備,提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件,符合 ANSI/ISA-99.00.02 的網(wǎng)絡(luò)分段要求,達到區(qū)域隔離目標。
4.2.2 工廠信息數(shù)采網(wǎng)與控制網(wǎng)之間的安全防護解決方案
采用工業(yè)防火墻解決方案,在兩層網(wǎng)絡(luò)之間增加OPC通信協(xié)議防火墻。整個解決方案由TSA防火墻硬件+ OPC Enforcer +CMP中央管理平臺3部分組成(圖6),安裝與防護原理如下:
a.增加工業(yè)防火墻,并安裝Firewall插件和OPC Enforcer插件;
b.在OPC Server和Buffer機之間增加工業(yè)防火墻,在接口機安裝CMP;
c.管控OPC服務(wù)器及授權(quán)客戶端之間的數(shù)據(jù)通信,并且應(yīng)用專有技術(shù)動態(tài)跟蹤OPC通信所需端口,同時Tofino的 Sanity Check檢查功能能夠阻擋任何不符合OPC標準格式的DCE/RPC 訪問。同樣也對OPC授權(quán)客戶端發(fā)往OPC服務(wù)器的OPC對象請求進行檢查,以提高OPC服務(wù)的安全性,在接口機安裝CMP用以對TSA進行組態(tài)和管理。
圖6 信息數(shù)采網(wǎng)與控制網(wǎng)之間安全防護示意圖
4.2.3 中央管理平臺和安全管理平臺
中央管理平臺CMP通過一臺工作站來配置和管理控制網(wǎng)絡(luò)安全。CMP的專用軟件能夠通過一個工作站進行配置、管理和監(jiān)測網(wǎng)絡(luò)上的所有安全設(shè)備。這樣既可快速創(chuàng)建整個控制網(wǎng)絡(luò)模型。可視的拖放式編輯工具可以輕松地創(chuàng)建、編輯和測試安全設(shè)備。取得此安全系統(tǒng)的授權(quán)后,CMP可以立刻看到整個系統(tǒng)的運行狀態(tài),并用一系列措施應(yīng)對網(wǎng)絡(luò)遇到的威脅。
在辦公局域網(wǎng)內(nèi)安裝安全管理平臺SMP,可以集成所有來自CMP平臺的所有事件報警信息,并可劃分等級進行報警,通過采用手機短信及電子郵件等方式進行實時通知相關(guān)主管人員。該平臺能夠準確捕獲現(xiàn)場所有安裝防火墻的通訊信道中的攻擊,并且詳細顯示攻擊源、通訊協(xié)議和攻擊目標,以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時排查與分析提供可靠依據(jù)。
5 結(jié)語語
采用以太網(wǎng)和TCP/IP協(xié)議作為最主要的通訊協(xié)議和手段,向網(wǎng)絡(luò)化、標準化、開放化發(fā)展是各種工業(yè)通訊和自動化控制系統(tǒng)技術(shù)的主要潮流。這也必將導(dǎo)致其面臨傳統(tǒng)局域網(wǎng)、廣域網(wǎng)面臨的安全問題。但只要遵循以區(qū)域及管道保護網(wǎng)絡(luò)為核心的通訊原則,并采用集中安全管理監(jiān)控的管理方式,對企業(yè)內(nèi)控制系統(tǒng)進行深入分析,實施全面、有針對性的防護策略,就能提供必要的安全保障,確保企業(yè)生產(chǎn)控制系統(tǒng)長期穩(wěn)定的安全運行。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:企業(yè)工業(yè)控制網(wǎng)絡(luò)安全技術(shù)探討及實現(xiàn)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083942049.html