工业控制网络信息安全隐患分析与解决方案

工业控制网络信息

安全隐患分析与解决

摘要：两化融合和物联网的快速发展，使工业控制系统面临的安全问题日益严重。为保证能源和关键性基础设施行业控制系统的安全稳定运行，需要建立有针对性的安全防护体系，创建“本质安全”的工业网络。本文根据工厂信息化的特点，结合工业控制网络的常见架构，分析了信息化时代工业网络存在的安全隐患，并详细阐述了参照ANSI/ISA-99安全标准，如何使用多芬诺工业防火墙的纵深防御策略来全方位保障工业网络信息安全。

关键词：工业网络信息安全；多芬诺；工业防火墙；纵深防御

伴随两化融合和物联网的快速发展，我国关键性基础设施和能源行业广泛使用的SCADA、DCS、PLC等工业控制系统越来越多地采用计算机和网络技术，如Ethernet、TCP/IP以及OPC等，极大地推动了工业生产，但同时也使工业控制系统接口越来越开放，控制系统面临的信息安全问题也日益严重。

2010年10月，肆虐伊朗的Stuxnet病毒造成伊朗布什尔核电站推迟发电。事件经媒体披露后迅速引发了各国政府与安全机构的广泛关注。Stuxnet病毒通过移动介质、西门子项目文件等方式进行传播，可以说是计算机病毒界革命性创新，“工业病毒”时代已经来临。为此工信部协[2011]451号文件明确指出要切实加强工业控制系统信息安全管理。

1工业网络信息安全现状分析

二十世纪九十年代以前的大多数控制系统一般都采用专用的硬件、软件和通信协议，有自己独立的操作系统，系统之间的互联要求也不高，因此几乎不存在网络安全风险。

多年来企业更多关注的是管理网络的安全问题，许多企业对控制系统安全存在认识上的误区：认为控制系统没有直接连接互联网、黑客或病毒不了解控制系统，无法攻击控制系统，因此控制系统是安全的。而实际情况是，企业的许多控制网络都是“敞开的”，系统之间没有有效的隔离。同时黑客和病毒的入侵途径又是多种多样的，因此尽管企业网内部安装了一些网络安全防护产品，施行了各类网络安全技术，但随着信息化的推动和工业化进程的加速，工厂信息网络、移动存储介质、因特网以及其它因素导致的信息安全问题正逐渐向控制系统扩散，直接影响了工厂生产控制的稳定与安全[1]。近几年来，国内、外许多企业的DCS控制系统已经有中病毒或遭黑客攻击的现象，给安全生产带来了极大的隐患。

2工业网络的信息安全漏洞

信息化时代的来临使工业控制系统暴漏出一些信息安全漏洞。

2.1 通信协议漏洞

两化融合和物联网的发展使得OPC协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。例如，OPC Classic协议基于微软的DCOM协议，DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击。

2.2 操作系统漏洞

目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，现场工程师在系统开车后通常不会对Windows平台安装任何补丁，从而埋下安全隐患。

2.3 安全策略和管理流程漏洞

追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。

2.4 杀毒软件漏洞

为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于杀毒软件的病毒库需要不定期的经常更新，这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的，导致每年都会爆发大规模的病毒攻击，特别是新病毒。

2.5 应用软件漏洞

由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当应用软件面向网络应用时，就必须开放其应用端口。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂以及其他大型设备的控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想[2]。

3工业控制网络的常见拓扑结构和安全隐患分析

为了更全面的说明问题，本文将工业控制网络中常见的三种结构结合在一起，并分析网络中存在的安全隐患。

3.1 工业网络的常见结构

综合各工业企业网络现状，工业网络通常由信息网、数采网和控制网组成，如图1所示。信息网一般使用通用以太网，可以从数采网提取有关的生产数据，实现基于生产过程数据的MES应用。数采网主要是从控制网获取数据。控制网负责控制器、操作站及工程师站之间过程控制数据实时通讯。

图1 工业系统网络的常见结构

网络结构图说明：

a.控制网由PLC、DCS和现场设备（Modbus RTU）构成，分别通过三种不同的方式和数采网相连。其中，PLC和DCS为上层数采网提供OPC接口，PLC的OPC Server通过Buffer机和数采网相连；DCS的OPC Server直接与数采网相连；Modbus RTU直接和数采网相连，通过Modbus TCP协议和数采网进行数据传输。

b.办公网中的各种基于数据库的MES Client应用通过MES Server访问数采网中的实时数据库。

c.伴随各企业挖潜增效的不断发展，先进控制（APC）的应用越来越广泛。APC的调试和应用过程中需要第三方的反复调试，经常需要接入第三方设备，如U盘或笔记本电脑。

3.2 现有结构中的安全隐患

a.网络内部各个层面和系统之间的相互感染。虽然通过Buffer数采机或OPC Server的双网卡结构对数采网与控制网进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等，这种配置并不起作用，病毒仍会在数采网和控制网之间互相传播。安装杀毒软件可以抑制部分病毒或攻击，但病毒库存在滞后问题，也不能从根本上进行防护。

b. 对关键控制器无额外的防御措施。控制系统网络上的PLC、DCS和RTU对现场实时控制来说非常有效，但就控制系统网络连接来说它们都不是很强壮。

c．来自工程师站和APC Server的病毒扩散隐患。网络中的工程师站和APC Server在项目实施阶段通常需要接入第三方设备（U盘、笔记本电脑等），受到病毒攻击和入侵的概率很大，存在较高的安全隐患。

d．网络攻击事件无法追踪。网络中缺乏对网络进行实时监控的工具，一旦出现问题后，无法进行原因查找、分析和故障点查询。

4多芬诺工业控制系统信息安全解决方案

作为信息安全管理的重要组成部分，制定满足业务场景需求的安全策略和管理流程，是确保ICS 系统稳定运行的基础。多芬诺工业控制系统信息安全解决方案参照NERC CIP、ANSI/ISA-99、IEC 62443等国际标准对工业控制系统的安全要求，将具有相同功能和安全要求的控制设备划分到同一区域，区域之间执行管道通信，通过控制区域间管道中的通信内容，实施纵深防御策略，从而保障工业网络的安全。

多芬诺工业控制系统信息安全解决方案由四部分组成：安全模块、可装载安全软插件、组态管理平台和报警管理平台。安全模块TSA为工业级硬件设备，安装在受保护的区域或控制器等关键设施前端；可装载安全软插件LSM是装载到TSA中，根据系统安全需求，提供各种安全防护功能的一系列软件；组态管理平台CMP用于配置、组态和管理网络中所有的TSA；报警管理平台用于管理、分析报警信息。

参照ANSI/ISA-99安全标准，结合工业系统的安全需要，可以将图1所示的工业系统网络划分为下列不同的安全区域：办公区域、数采区域、PLC/DCS/现场设备RTU控制区域，同时考虑到来自工程师站的安全威胁因素以及控制器的安全防护等级要求，将工程师站和控制器划分为两个独立的子区域。另外数采网中的APC Server受感染的几率也较大，需进行隔离，因此也将其划分为一个独立的子区域，如图2所示。

图2 工业系统网络结构的区域划分

4.1PLC和数采网之间的安全防护以及DCS和数采网之间的安全防护