企业工业控制网络安全技术探讨及实现1韩晓波(中国石化齐鲁分公司信息技术部，山东淄博，255400) 摘要：由于工业控制系统由于运行环境和平台的相对独立，其安全性被人们所忽视。

随着企业信息化发展，管理和控制网络更加深入的融合，平台也愈加开放。

新一代的病毒入侵生产控制系统已经成为企业平稳生产运营的重大安全隐患，为保障基于企业网络业务的持续性、稳定性，需要在管理和控制网络采取相应的安全防护措施，建立有针对性的安全防护体系。

关键词：工业控制系统网络安全 Tofino技术区域管道中图分类号TH89 文献标志码 B 文章编号 1000-3932（2012）04-0498-062010年10月，来自伊朗的一个关于工业网络病毒Stuxnet（计算机蠕虫病毒）的报告引起了全球的注意，该病毒通过Windows操作系统中此前不为人知的漏洞感染计算机，并通过网络、移动介质以及西门子项目文件等方式进行传播。

Stuxnet病毒是专门设计来攻击伊朗重要工业设施的，包括备受国际关注的布什尔核电站，它在入侵系统之后会寻找广泛用于工控系统的软件，并通过对软件重新编程实施攻击，病毒能控制关键过程并开启一连串执行程序，最终导致的后果难以预估。

Stuxnet是目前首个针对工控系统展开攻击的计算机病毒，已经对伊朗国内工业控制系统产生极大影响，Stuxnet可以说是计算机病毒界革命性创新，给工业控制系统网络安全带来新警示-“工业病毒”时代已经来临。

随着信息技术的不断推广应用，诸如内部控制系统（DCS及PLC等），国内、外化工领域逐步推广应用的各种安全控制系统（紧急停车系统ESD、停车联锁/仪表系统SIS、仪表保护系统IPS及故障安全控制系统FSC等）[1]以及基础应用类系统（一些定制系统）与外界不再隔离。

越来越多的案例表明，工厂信息网络、移动存储介质、因特网以及其它因素导致的网络安全问题正逐渐在控制系统和基础应用类系统中扩散，直接影响了生产控制的稳定与安全。

这将是我们石油炼化连续性生产企业面临的重大安全课题。

随着石油化工及电力等行业进入规模化生产，生产装置积聚的能量越来月大，可能造成的重大工业事故使人们前所未有地重视工业生产中的安全问题 [2,3]。

1 企业控制网络安全现状十年来，随着信息技术的迅猛发展，信息化在石油炼化连续性生产企业中的应用快速发展，网络安全技术、网络安全管理体系也取得了重大进发展[4]，为重要核心应用系统的长、安、稳、满、优运行起到巨大的支撑作用和保障作用。

但是多年来，企业更多地关注的是管理网络的安全问题，而对控制网络的安全问题关注意识并不强。

随着ERP、MES等系统的实施，信息化的触角已经延伸到各个生产单元，包括生产装置、罐区、产品进/出厂点。

由于历史原因，企业网络往往都是一个整体，管理网与工业控制网（或基础应用网）防护功能弱或甚至几乎没有隔离功能，同时由于近几年控制系统（或基础应用系统）功能的不断提升，系统在进一步开放的同时，也带来了系统的安全问题，减弱了控制系统与外界的隔离，2000年以前的控制系统一般都有自己独立的操作系统，其开放性及通用性较弱，因此几乎不存在网络安全风险。

但目前的控制系统一般使用开放的Windows操作系统和OPC协议进行数据通讯，网络也采用冗余工业以太网模式，尤其是服务器结构的控制系统,一旦服务器出现异常，受侵害的不仅仅是一个操作站，而是整个系统的瘫痪。

近几年来，国内、外许多企业的DCS控制系统已经有中病毒或遭黑客攻击的现象，对此企业IT人员却无能为力，不敢动或不能动，只能等装置停工检修期间由厂商处理，给安全生产带来了极大的隐患。

另一方面，由于人们在认识和知识面上存在差距，许多企业对控制类系统的安全存在认识上的误区：一是认为企业网与互联网之间已经安装了专业防火墙，控制网络是安全的；二是认为控制系统没有直接连接互联网，控制系统是安全的；三是认为黑客或病毒不懂控制系统。

而实际情况是，尽管在企业网内部安装了功能较完备的网络安全防护产品，施行了各类网络安全技术，建立了信息安全管理体系，但控制系统的安全问题却越来越严峻，主要原因是对许多控制网没有有效的隔离手段，而企业推广应用的一些安全产品又不能直接安装到这些系统上去。

目前，针对企业控制网络的安全事件存在以下共同点：a.“软”目标。

大多数DCS系统中的计算机，很少或没有机会安装全天候的病毒防护和更新版本，同时控制器的设计都以实时的I/O功用为主，并不提供加强的网络连接防护功能。

b.多个网络端口切入点。

在多个网络安全事件中，事由都源于对多个网络端口进入点疏于防护，而且控制系统维护人员（非IT人员）在维护与维修过程中的监管也不到位。

c.疏漏的网络分割设计。

许多控制网络都是“敞开的”，不同子系统之间都没有有效的隔离，尤其是基于OPC以及MODBUS等通讯的工业控制网络。

2 目前业界控制网络安全技术国际上比较流行的安全解决方案有网闸及工业防火墙等，能够对通讯协议进行深度检查，可以有效地保护工业控制系统、基础类应用系统和不同网络区域不会遭到攻击与破坏。

其主要实现策略列举如下：a．将企业网络及控制网络进行“区域和渠道”的划分。

新ANSI/ISA-99安全标准的核心理念是“区域和渠道”，根据控制功能将网路分层或分域，多分区隔有助于提供“纵深”防御。

b．定义区域之间的连接“管道”。

要了解和管理好系统所有区域之间的“管道”，并对“管道”要有安全的管制。

具体包括进入区域的管制，采用DOS防范攻击或恶意软件的转移，屏蔽其它网络系统，保护网络流量的完整性和保密性。

c．区域及管道保护网络。

每一个服务管道，安全设备只允许正确的设备操作所必需的通信。

d．集中安全管理监控。

在另外一个平台上，安装集中式安全监控管理模块，管理和检测所有安全设备，可随时进行报警确认和历史信息查询，为网络故障的及时排查、分析提供可靠依据。

3 齐鲁公司控制网络构架及面临风险中国石化齐鲁分公司(以下简称齐鲁分公司)是一家特大型炼化企业，其企业网支撑着ERP、MES、OA等多种应用，基本涵盖了整个企业管理和生产控制单元。

根据企业网络建设现状，结合业内工业安全的先进安全技术，制定和实施管理网和控制网整体安全解决方案有两部分。

3.1 现有控制网和管理网架构体系齐鲁分公司是石化内部实施DCS控制系统和实时数据库最早的企业之一（1986年在催化裂化装置实施DCS，1992年使用IP21的前身软件SETCON实时数据库技术），共有各类DCS、PLC系统等近九十多套，但是仅有少数安装了防病毒软件和硬件防火墙。

为给MES系统提供最基础数据源，建立了上、下一体的两级InfoPlus.21实时数据库平台体系。

系统的拓扑和整体架构和拓扑如图1、2图1 系统拓扑结构图图2 齐鲁公司实时数据库架构体系分厂级实时数据库对底层控制系统及仪表的数据采集都通过OPC接口来实现（图3），通过Infoplus.21实时数据库的Cim-IO For InofPlus.21接口实现与公司级Infoplus.21实时数据库间的数据传输，从以上二级分厂的实时数据库中将所需数据读取到公司实时数据库中。

图3分厂级数据采集系统结构图3.1.1 DCS控制网DCS控制网为第1层，该网络为实时控制网，负责控制器、操作站及工程师站之间过程控制数据实时通讯。

在这个层面通常有的节点类型有控制器、操作站、工程师站、ESD及OPC Server等。

目前基本所有控制系统制造商的操作站和服务器都采用基于Windows操作系统的PC机作为平台，同时网络也采用冗余工业以太网模式。

3.1.2 分厂信息数采网分厂信息数采网为第2层，其核心设备由各个分厂数据采集实时数据库（Aspen IP21）服务器和各个装置DCS数据采集缓存机（Buffer）以及OPC Server构成。

部分OPC Server 直接与IP21数据库相连，部分OPC Server通过Buffer和IP21数据库相连。

Buffer机即可以作为数据采集的缓存又可以通过其自身的双网卡设置抵御外部的非法入侵，杜绝黑客等恶意地对控制系统进行直接攻击。

3.1.3 齐鲁公司MES/OA信息网MES/OA信息网为第3层，各个分厂的实时数据库通过Aspen CM-IO与齐鲁公司的总实时数据库相连，实现基于生产过程数据的MES应用。

3.2 现有架构体系下的安全隐患风险从前文所述的整个架构体系中可以看出，齐鲁公司的管理网与控制网是紧密融合在一起的，九十多套DCS和PLC系统所构成的实时数据采集架构体系几乎覆盖了公司的整个管理网络，安全形势不容乐观，存在下述安全风险隐患：a．目前许多控制系统的工程师站/操作站(HMI)都是Windows平台，任何一个版本的Windows自发布以来都在不停的发布漏洞补丁，为保证过程控制系统相对的独立性，现场工程师（一般多是仪表维护工程师）通常在系统开车后不会对Windows平台打任何补丁，更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。

但是与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成本机乃至控制网络的瘫痪。

b．基于工控软件与杀毒软件的兼容性问题，在操作站上通常不安装杀毒软件。

即使安装有杀毒软件，其基于病毒库查杀的机制在工控领域使用也有局限性，对病毒库的升级维护难于统一，更重要的是对新病毒的处理总是存在滞后，这导致每年都会大规模地爆发病毒，特别是新病毒。

c．OPC是基于Microsoft的分布式组件对象模式（DCOM）技术，该技术使用了远程过程调用（RPC）网络协议来实现工业网络中的以太网连接。

来自该领域的安全研究人员（包括黑客组织）却发现该标准中存在一些严重问题。

如OPC 使用的Windows的DCOM和RPC服务极易受到攻击。

在过去的5年内，来自网络的病毒和蠕虫对这些接口的攻击越来越强，这个方式几乎成为了病毒和蠕虫开发者目前的最爱。

d．在实现数据采集的过程中，数据采集服务器虽然采用了双网卡技术，管理信息网与控制网通过该服务器进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用Windows 系统漏洞的网络蠕虫及病毒等，这种配置没有作用，病毒会在信息网和控制网之间互相传播。

安装杀毒软件可以对部分病毒或攻击有所抑制，但病毒库存在滞后，所以不能从根本上进行防护。

因此，按照ANSI/ISA-99安全标准建立新的安全防范体系，以确保控制系统安全是当务之急。

4 齐鲁公司控制网安全防护解决方案4.1 安全防护的目标企业网络要保证安全可靠，最好的方法是建立一个私有信道，并创造一个相对独立的网络。

4.1.1 通讯可控网络数据的传输总给人以抽象和概念性的印象，没有一个直观的显示，通讯电缆如同高速公路，怎样能够直观地观察、监控和管理通讯电缆中流过的数据，是技术人员首先要实现的目标。