石化工業控制網絡安全分析與防護

　　隨著我國工業信息化建設的不斷深入，信息化已經成為企業發展的重要推動力量，國外石化企業信息化建設和應用已經走在我們前面。經濟全球化的發展以及WTO的加入，更對石化企業提出了新的挑戰，就石化企業而言，信息化是生存和發展的必由之路。

　　信息化是一項系統工程，信息化安全也是信息化建設的關鍵環節。特別是隨著互聯網日新月異的發展和企業集團信息化整合的加強，企業網絡應用的范圍在不斷擴大，如通過互聯網獲取信息、展現企業形象、開展電子商務等，通過廣域網實現集團內部資源共享、統一集團管理等，企業信息化網絡不再是單純意義上的Intranet，而更多的則是基于Internet的網絡和應用。但網絡開放的同時，帶來的安全問題就更加嚴峻了，各種安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。

　　石化企業信息化與其它行業相比有一個突出特點，就是以管控一體化為重點。這是由石化行業自身的特點決定的，并具有一定的時代特點。

　　石化企業是典型的資金和技術密集型企業，生產的連續性很強，裝置和重要設備的意外停產都會導致巨大的經濟損失，因此生產過程控制大多采用DCS等先進的控制系統，生產管理上也更注重安全和平穩運行。通過加強生產管理，可以實現管理與生產過程控制的融合，通過優化調度、先進控制和優化控制等手段，在保證生產平穩的基礎上獲取更大的經濟效益，因此，石化企業信息化的重點是管控一體化。當今的石化企業普遍采用基于ERP/SCM、MES和PCS三層架構的的管控一體化信息模型，MES處于企業信息系統ERP/SCM和過程控制系統的中間位置。MES系統在整個信息系統中主要擔當了兩個方面的重要作用：一是數據雙向通道的作用。即通過MES系統的實施，可以有效彌補企業PCS層及ERP/SCM層之間的數據間隙，由下至上，通過對底層PCS層數據的搜集、存儲及校正，建立過程控制數據層次上的數字化工廠，結合生產調度層次上的調度事件信息數據等，為上層ERP/SCM計劃管理層提供準確統一的生產數據;由上至下，通過對實時生產數據的總結，上層ERP/SCM層可以根據未來訂單及現階段生產狀況調整生產計劃，下發MES層進行計劃的分解及產生調度指令，有效指導企業生產活動。因此，MES系統在數據層面上，起到了溝通PCS層和ERP/SCM層的橋梁作用，并保證了生產數據、調度事件等信息的一致性及準確性。另一方面，生產活動的復雜性產生了很多實際的用戶需求，為了滿足這些用戶需求，MES系統也可以視為一個功能模塊的集合。

　　由DCS、PLC和SCADA等控制系統構成的控制網絡，在過去幾十年的發展中呈現出整體開放的趨勢。以石化主流控制系統DCS為例，在信息技術發展的影響下，DCS已經進入了第四代，新一代DCS呈現的一個突出特點就是開放性的提高。過去的DCS廠商基本上是以自主開發為主，提供的系統也是自己的系統。當今的DCS廠商更強調開放系統集成性。各DCS廠商不再把開發組態軟件或制造各種硬件單元視為核心技術，而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。例如，多數DCS廠商自己不再開發組態軟件平臺，而轉入采用其它專業公司的通用組態軟件平臺，或其它公司提供的軟件平臺。這一思路的轉變使得現代DCS的操作站完全呈現PC化與Windows化的趨勢。在新一代DCS的操作站中，幾乎清一色采用PC+Windows的技術架構，使用戶的投資及維護成本大幅降低。

　　同時，DCS網絡技術也呈現出開放的特征。過去，由于通信技術相對落后，網絡技術開放性是困擾用戶的一個重要問題。而當代網絡技術、軟件技術的發展為開放系統提供了可能。網絡技術開放性體現在DCS可以從多個層面與第三方系統互聯，同時支持多種網絡協議。目前在與企業管理層信息平臺互聯時，大多采用基于TCP(UDP)/IP協議的以太網通信技術，使用OPC等開放接口標準。

　　開放性為用戶帶來的好處毋庸置疑，但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。對于一個控制網絡系統，產生安全漏洞的因素是多方面的。

　　1、網絡通信協議安全漏洞

　　隨著TCP(UDP)/IP協議被控制網絡普遍采用，網絡通信協議漏洞問題變得越來越突出。

　　TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡，這一網絡是互相信任的，因此它原本只考慮互通互聯和資源共享的問題，并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境后，安全問題發生了。所以說，TCP/IP在先天上就存在著致命的安全漏洞。

　　1)缺乏對用戶身份的鑒別

　　2)缺乏對路由協議的鑒別認證

　　3)TCP/UDP自身缺陷

　　2、操作系統安全漏洞

　　PC+Windows的技術架構現已成為控制系統上位機/操作站的主流。而在控制網絡中，上位機/操作站是實現與MES通信的主要網絡結點，因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。

　　Windows操作系統從推出至今，以其友好的用戶界面、簡單的操作方式得到了用戶的認可，其版本也從最初的Windows3.1發展到如今的XP、WindowsServer2003、Windows7等。但是，微軟在設計Windows操作系統時是本著簡單易用為原則的，因而忽略了安全方面的考慮，留下了很多隱患。這些隱患在單機時代并沒有顯現出來，后來隨著網絡的出現和普及，越來越多地使用Windows操作系統的PC接入網絡，微軟埋下的隱患逐漸浮出水面。一時間Windows操作系統漏洞頻繁出現，安全事故時有發生。雖然微軟在Windows2000以后的版本中采用了WindowsNT的核心，在一定程度上提高了Windows操作系統的安全性，但仍然不能避免安全漏洞的不斷出現。另一方面，Windows作為主流的操作系統，也更容易成為眾矢之的，每次Windows的系統漏洞被發現后，針對該漏洞的惡意代碼很快就會出現在網上，從漏洞被發現到惡意代碼的出現，中間的時差開始變得越來越短。以Windows2000版本為例，就曾被發現了大量漏洞，典型的如：輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大，惡意代碼通過這些漏洞，可以獲得Windows2000操作站的完全控制權，甚至為所欲為。

　　3、應用軟件安全漏洞

　　處于應用層的應用軟件產生的漏洞是最直接、最致命的。一方面這是因為應用軟件形式多樣，很難形成統一的防護規范以應對安全問題;另一方面最嚴重的是，當應用軟件面向網絡應用時，就必須開放其應用端口。例如，要想實現與操作站OPC服務器軟件的網絡通信，控制網絡就必須完全開放135端口，這時防火墻等安全設備已經無能為力了。而實際上，不同應用軟件的安全漏洞還不止于此。

　　控制網絡安全隱患分析

　　控制網絡的安全漏洞暴露了整個控制系統安全的脆弱性。由于網絡通信協議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷，從而使得攻擊者能夠在未授權的情況下訪問和操控控制網絡系統，形成了巨大的安全隱患。控制網絡系統的安全性同樣符合“木桶原則”，其整體安全性不在于其最強處，而取決于系統最薄弱之處，即安全漏洞所決定。只要這個漏洞被發現，系統就有可能成為網絡攻擊的犧牲品。

　　安全漏洞對控制網絡的隱患體現在惡意攻擊行為對系統的威脅。隨著越來越多的控制網絡系統通過信息網絡連接到互聯上，這種威脅就越來越大。目前互聯網上已有幾萬個黑客站點，黑客技術不斷創新，基本的攻擊手法已達上千種。這些攻擊技術一旦被不法之徒掌握，將產生不良的后果。

　　對于控制網絡系統，由于安全漏洞可能帶來的直接安全隱患有以下幾種。

　　1、入侵

　　系統被入侵是系統常見的一種安全隱患。黑客侵入計算機和網絡可以非法使用計算機和網絡資源，甚至是完全掌控計算機和網絡。

　　控制網絡的計算機終端和網絡往往可以控制諸如大型化工裝置、公用工程設備，甚至核電站安全系統等大型工程化設備。黑客一旦控制該系統，對系統造成一些參數的修改，就可能導致生產運行的癱瘓，就意味著可能利用被感染的控制中心系統破壞生產過程、切斷整個城市的供電系統、惡意污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的控制網絡接入到互聯網當中，這種可能就越來越大。

　　2、拒絕服務攻擊

　　受到拒絕服務攻擊是一種危害很大的安全隱患。常見的流量型攻擊如PingFlooding、UDPFlooding等，以及常見的連接型攻擊如SYNFlooding、ACKFlooding等，通過消耗系統的資源，如網絡帶寬、連接數、CPU處理能力等使得正常的服務功能無法進行。拒絕服務攻擊難以防范的原因是它的攻擊對象非常普遍，從服務器到各種網絡設備如路由器、交換機、防火墻等都可以被拒絕服務攻擊。

　　控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致操作站的服務癱瘓，與控制系統的通信完全中斷等。可以想像，受到拒絕服務攻擊后的控制網絡可能導致網絡中所有操作站和監控終端無法進行實時監控，其后果是非常嚴重的。而傳統的安全技術對拒絕服務攻擊幾乎不可避免，缺乏有效的手段來解決。

　　3、病毒與惡意代碼

　　病毒的泛濫是大家有目共睹的。全球范圍內，每年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒，并且還在以每天數十余種的速度增長。除了傳統意義上的具有自我復制能力但必須寄生在其它實用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲，從廣義定義來說也是一種病毒，但和傳統病毒相比最大不同在于自我復制過程。傳統病毒的自我復制過程需要人工干預，無論運行感染病毒的實用程序，或者是打開包含宏病毒的郵件等，沒有人工干預病毒無法自我完成復制、傳播。但蠕蟲卻可以自我獨立完成以下過程：

　　查找遠程系統：能夠通過檢索已被攻陷的系統的網絡鄰居列表或其它遠程系統地址列表找出下一個攻擊對象。

　　建立連接：能夠通過端口掃描等操作過程自動和被攻擊對象建立連接，如Telnet連接等。

　　實施攻擊：能夠自動將自身通過已經建立的連接復制到被攻擊的遠程系統，并運行它。

　　一旦計算機和網絡染上了惡意代碼，安全問題就不可避免。

　　常規網絡安全技術

　　石化企業隨著信息系統的不斷發展，大量IT技術被引入，同時也包括各種IT網絡安全技術。目前以MES為代表的信息系統在實現控制網絡接入信息網絡時，也基本都考慮了對控制網絡的安全防護。但目前對控制網絡的防護，大部分采用的是常規網絡安全技術，主要包括防火墻、IDS、VPN、防病毒等。這些技術主要面向商用網絡應用。

　　在企業的信息化系統中，由辦公網絡、管理網絡組成的信息網絡與商用網絡的運維特點比較相似，因此采用常規網絡安全技術是適合的。而控制網絡特點則有很大不同。

　　控制網絡是控制系統如DCS各部件協同工作的通信網絡。控制系統負責對生產裝置的連續不間斷地生產控制，因此控制網絡同樣具有連續不可間斷的高可靠性要求。另一方面，控制網絡也是操作人員對控制系統實時下發控制指令的重要途徑，所以控制網絡又具有不可延遲的高實時性要求。

　　在商用網絡里可以存在病毒，幾乎每天都有新的補丁出現，計算機可能會死機、暫停，而這些如果發生在控制網絡里幾乎是不可想象的。為了保證生產安全，在極端情況下，即便將控制網絡與信息網絡斷開，停止與信息網絡交換數據也要保證控制系統的安全。因此，過程生產的連續不可間斷的高可靠性要求控制網絡具備更高的安全性。

　　另外，從數據安全角度來看，商用網絡往往對數據的私密性要求很高，要防止信息的泄露，而控制網絡強調的是數據的可靠性。另外，商用網絡的應用數據類型極其復雜，傳輸的通信標準多樣化，如HTTP、SMTP、FTP、SOAP等;而控制網絡的應用數據類型相對單一，以過程數據為主，傳輸的通信標準以工業通信標準為主，如OPC、Modbus等。

　　通過比較商用網絡與控制網絡的差異可以發現，常規的IT網絡安全技術都不是專門針對控制網絡需求設計的，用在控制網絡上就會存在很多局限性。

　　比如防火墻產品，目前基本是以包過濾技術為基礎的，它最大的局限性在于不能保證準許放行的數據的安全性。防火墻通過拒絕放行并丟棄數據包來實現自己的安全機制。但防火墻無法保證準許放行數據的安全性。從實際應用來看，防火墻較為明顯的局限性包括以下幾方面：

　　1)、防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網絡四層以下的控制，對于應用層內的病毒、蠕蟲都沒有辦法。

　　2)、防火墻不能防范全新的威脅，更不能防止可接觸的人為或自然的破壞。

　　3)、防火墻不能防止由自身安全漏洞引起的威脅。

　　4)、防火墻對用戶不完全透明，非專業用戶難于管理和配置，易造成安全漏洞。

　　5)、防火墻很難為用戶在防火墻內外提供一致的安全策略，不能防止利用標準網絡協議中的缺陷進行的攻擊，也不能防止利用服務器系統漏洞所進行的攻擊。

　　6)、由于防火墻設置在內網與外網通信的信道上，并執行規定的安全策略，所以防火墻在提供安全防護的同時，也變成了網絡通信的瓶頸，增加了網絡傳輸延時，如果防火墻出現問題，那么內部網絡就會受到嚴重威脅。

　　7)、防火墻僅提供粗粒度的訪問控制能力。它不能防止數據驅動式的攻擊。

　　另一方面，防火墻由于其自身機理的原因，還存在很多先天不足，主要包括：

　　1)、由于防火墻本身是基于TCP/IP協議體系實現的，所以它無法解決TCP/IP協議體系中存在的漏洞。

　　2)、防火墻只是一個策略執行機構，它并不區分所執行政策的對錯，更無法判別出一條合法政策是否真是管理員的本意。從這點上看，防火墻一旦被攻擊者控制，由它保護的整個網絡就無安全可言了。

　　3)、防火墻無法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。

　　4)、防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對數據包檢查的項目(即防火墻的功能)就越多越細，對CPU和內存的消耗也就越大，從而導致防火墻的性能下降，處理速度減慢。

　　5)、防火墻準許某項服務，卻不能保證該服務的安全性，它需要由應用安全來解決。

　　防火墻正是由于這些缺陷與不足，導致目前被攻破的幾率已經接近50%。雖然目前最流行的安全架構是以防火墻為核心的安全體系架構。通過防火墻來實現網絡的安全保障體系。然而，以防火墻為核心的安全防御體系未能有效地防止目前頻頻發生網絡攻擊。僅有防火墻的安全架構是遠遠不夠的。

　　其它安全技術如IDS、VPN、防病毒產品等與產品與防火墻一樣，也都有很強的針對性，只能管轄屬于自己管轄的事情，出了這個邊界就不再能發揮作用。IDS作為可審查性產品最大的局限性是漏報和誤報嚴重，幾乎不是一個可以依賴的安全工具，而是一個參考工具。漏報等于沒有報，誤報則是報錯了，這兩個特點幾乎破壞了入侵檢測的可用性。VPN作為一種加密類技術，不管哪種VPN技術，在設計之初都是為了保證傳輸安全問題而設計的，而沒有動態、實時的檢測接入的VPN主機的安全性，同時對其作“準入控制”。這樣有可能因為一個VPN主機的不安全，導致其整個網絡不安全。防病毒產品也有局限性，主要是對新病毒的處理總是滯后的，這導致每年都會大規模地爆發病毒，特別是新病毒。

　　網絡隔離技術及防護產品

　　1、網絡隔離技術

　　在防火墻的發展過程中，人們最終意識到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火墻體系架構在高安全性方面的缺陷，驅使人們追求更高安全性的解決方案，人們期望更安全的技術手段，網絡隔離技術應運而生。

　　網絡隔離技術是安全市場上的一個分支。在經過漫長的市場概念澄清和技術演變進步之后，市場最終接受了網絡隔離具有最高的安全性。目前存在的安全問題，對網絡隔離技術而言在理論上都不存在。這就是各國政府和軍方都大力推行網絡隔離技術的主要原因。

　　網絡隔離技術經過了長時間的發展，目前已經發展到了第五代技術。第一代隔離技術采用完全的隔離技術，實際上是將網絡物理上的分開，形成信息孤島;第二代隔離技術采用硬件卡隔離技術;第三代隔離技術采用數據轉發隔離技術;第四代隔離技術采用空氣開關隔離技術;第五代隔離技術采用安全通道隔離技術。

　　基于安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機制，來實現內外部網絡的隔離和數據交換，不僅解決了以前隔離技術存在的問題，并有效地把內外部網絡隔離開來，而且高效地實現了內外網數據的安全交換，透明支持多種網絡應用，成為當前隔離技術的發展方向。

　　網絡隔離的指導思想與防火墻也有很大的不同，體現在防火墻的思路是在保障互聯互通的前提下，盡可能安全;而網絡隔離的思路是在必須保證安全的前提下，盡可能支持數據交換，如果不安全則斷開。

　　網絡隔離技術主要目標是解決目前信息安全中的各種漏洞：操作系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等，網絡隔離是目前唯一能解決上述問題的安全技術。

　　2、網絡隔離防護產品

　　基于網絡隔離技術的網絡隔離產品是互聯網時代的產物。最早出現在美國、以色列等國家的軍方，用以解決涉密網絡與公共網絡連接時的安全。在我國，最初的應用也主要集中在政府、軍隊等領域，由于核心部門的信息安全關系著國家安全、社會穩定，因此迫切需要比傳統產品更為可靠的技術防護措施。國內的網絡隔離產品也由此應運而生。

　　由于是應用在可能涉及國家安全的關鍵場合，為了統一規范網絡隔離類的技術標準，國家質量監督檢驗總局及國家標準化管理委員及早制定了相應的國家標準，目前最新國標為GB/T20279-2006和GB/T20277-2006。

　　隨著以電力為首的工業行業對網絡安全提出了更高要求后，網絡隔離產品也開始在工業領域逐漸得到應用。目前，已經在工業領域用于控制網絡安全防護的網絡隔離產品主要有網閘、工業網絡安全防護網關等產品。這些產品大部分都是基于最新的第五代隔離技術開發出來了，其主要的技術原理是從OSI模型的七層上全面斷開網絡連接，同時采用“2+1”的三模塊架構，即內置有兩個主機系統，和一個用于建立安全通道可交換數據的隔離單元。這種架構可以實現連接到外網和內網的兩主機之間是完全網絡斷開的，從物理上進行了網絡隔離，消除了數據鏈路的通信協議，剝離了TCP/IP協議，剝離了應用協議，在安全交換后進行了協議的恢復和重建。通過TCP/IP協議剝離和重建技術消除了TCP/IP協議的漏洞。在應用層對應用協議進行剝離和重建，消除了應用協議漏洞，并可針對應用協議實現一些細粒度的訪問控制。從TCP/IP的OSI數據模型的所有七層斷開后，就可以消除目前TCP/IP存在的所有攻擊。

　　(1)、網閘

　　網閘類產品誕生較早。產品最初是用來解決涉密網絡與非涉密網絡之間的安全數據交換問題。后來，網閘由于其高安全性，開始被廣泛應用于政府、軍隊、電力、鐵道、金融、銀行、證券、保險、稅務、海關、民航、社保等多個行業部門。

　　由于網閘產品的主要定位是各行業中對安全性要求較高的涉密業務的辦公系統，因此它提供的應用也以通用的互聯網功能為主。例如，目前大多數網閘都支持：文件數據交換、HTTP訪問、WWW服務、FTP訪問、收發電子郵件、關系數據庫同步以及TCP/UDP定制等。

　　在工業領域，網閘也開始得到應用和推廣。但除了用于辦公系統外，當用于隔離控制網絡時，由于網閘一般都不支持工業通信標準如OPC、Modbus，用戶只能使用其TCP/UDP定制功能。這種方式需要在連接網閘的上、下游增加接口計算機或代理服務器，并定制通信協議轉換接口軟件才能實現通信。

　　(2)、工業網絡安全防護網關

　　工業網絡安全防護網關是近幾年新興的一種專門應用于工業領域的網絡隔離產品，它同樣采用“2+1”的三模塊架構，內置雙主機系統，隔離單元通過總線技術建立安全通道以安全地實現快速數據交換。與網閘不同的是，工業網絡安全防護網關提供的應用專門針對控制網絡的安全防護，因此它只提供控制網絡常用通信功能如OPC、Modbus等，而不提供通用互聯網功能。因此工業網絡安全防護網關更適合于控制網絡的隔離，但不適合辦公系統。

　　工業網絡安全防護網關是網絡隔離技術應用于工業網絡安全防護的一種專業化安全產品。

　　結束語

　　近幾年，因網絡病毒引起的工業事件層出不窮，工業網絡安全問題已經日益嚴峻，針對目前我國工業控制系統信息安全面臨的嚴峻形勢，2011年10月27日，工信部下發《關于加強工業控制系統信息安全管理的通知》，強調了加強工業控制系統信息安全管理的重要性和緊迫性，并明確了重點領域如：石油石化、電力、鋼鐵、化工等行業工業控制系統信息安全管理要求。石化工業是國家的基礎性能源支柱產業，信息安全在任何時期、任何國家地區都備受關注。能源系統的信息安全問題直接威脅到其它行業系統的安全、穩定、經濟、優質的運行，影響著系統信息化的實現進程。維護網絡安全，確保生產系統的穩定可靠、防止來自內部或外部攻擊，采取高安全性的防護措施都是石化信息系統安全不可忽視的組成部分。