【解决方案】工业网络信息安全隐患分析与解决

• 关键词：两化融合,,,物联网,,,PLC
• 摘要：伴随两化融合和物联网的快速发展，我国关键性基础设施和能源行业广泛使用的SCADA、DCS、PLC等工业控制系统越来越多地采用计算机和网络技术

       伴随两化融合和物联网的快速发展，我国关键性基础设施和能源行业广泛使用的SCADA、DCS、PLC等工业控制系统越来越多地采用计算机和网络技术，如Ethernet、TCP/IP以及OPC等，极大地推动了工业生产，但同时也使工业控制系统接口越来越开放，控制系统面临的信息安全问题也日益严重。
      

       2010年10月，肆虐伊朗的Stuxnet病毒造成伊朗布什尔核电站推迟发电。事件经媒体披露后迅速引发了各国政府与安全机构的广泛关注。Stuxnet病毒通过移动介质、西门子项目文件等方式进行传播，可以说是计算机病毒界革命性创新，“工业病毒”时代已经来临。为此工信部协[2011]451号文件明确指出要切实加强工业控制系统信息安全管理。

1 工业网络信息安全现状分析

       二十世纪九十年代以前的大多数控制系统一般都采用专用的硬件、软件和通信协议，有自己独立的操作系统，系统之间的互联要求也不高，因此几乎不存在网络安全风险。
      

       多年来企业更多关注的是管理网络的安全问题，许多企业对控制系统安全存在认识上的误区：认为控制系统没有直接连接互联网、黑客或病毒不了解控制系统，无法攻击控制系统，因此控制系统是安全的。而实际情况是，企业的许多控制网络都是“敞开的”，系统之间没有有效的隔离。同时黑客和病毒的入侵途径又是多种多样的，因此尽管企业网内部安装了一些网络安全防护产品，施行了各类网络安全技术，但随着信息化的推动和工业化进程的加速，工厂信息网络、移动存储介质、因特网以及其它因素导致的信息安全问题正逐渐向控制系统扩散，直接影响了工厂生产控制的稳定与安全^[1]。近几年来，国内、外许多企业的DCS控制系统已经有中病毒或遭黑客攻击的现象，给安全生产带来了极大的隐患。

2 工业网络的信息安全漏洞

        信息化时代的来临使工业控制系统暴漏出一些信息安全漏洞。

2.1  通信协议漏洞

        两化融合和物联网的发展使得OPC协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。例如，OPC Classic协议基于微软的DCOM协议，DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击。

2.2  操作系统漏洞

        目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，现场工程师在系统开车后通常不会对Windows平台安装任何补丁，从而埋下安全隐患。

2.3  安全策略和管理流程漏洞

       追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。

2.4  杀毒软件漏洞

       为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于杀毒软件的病毒库需要不定期的经常更新，这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的，导致每年都会爆发大规模的病毒攻击，特别是新病毒。

2.5  应用软件漏洞

       由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当应用软件面向网络应用时，就必须开放其应用端口。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂以及其他大型设备的控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想^[2]。

3 工业控制网络的常见拓扑结构和安全隐患分析

        为了更全面的说明问题，本文将工业控制网络中常见的三种结构结合在一起，并分析网络中存在的安全隐患。

3.1  工业网络的常见结构

       综合各工业企业网络现状，工业网络通常由信息网、数采网和控制网组成，如图1所示。信息网一般使用通用以太网，可以从数采网提取有关的生产数据，实现基于生产过程数据的MES应用。数采网主要是从控制网获取数据。控制网负责控制器、操作站及工程师站之间过程控制数据实时通讯。

网络结构图说明：

        a.控制网由PLC、DCS和现场设备（Modbus RTU）构成，分别通过三种不同的方式和数采网相连。其中，PLC和DCS为上层数采网提供OPC接口，PLC的OPC Server通过Buffer机和数采网相连；DCS的OPC Server直接与数采网相连；Modbus RTU直接和数采网相连，通过Modbus TCP协议和数采网进行数据传输。
b.办公网中的各种基于数据库的MES Client应用通过MES Server访问数采网中的实时数据库。
c.伴随各企业挖潜增效的不断发展，先进控制（APC）的应用越来越广泛。APC的调试和应用过程中需要第三方的反复调试，经常需要接入第三方设备，如U盘或笔记本电脑。

3.2  现有结构中的安全隐患

       a.网络内部各个层面和系统之间的相互感染。虽然通过Buffer数采机或OPC Server的双网卡结构对数采网与控制网进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等，这种配置并不起作用，病毒仍会在数采网和控制网之间互相传播。安装杀毒软件可以抑制部分病毒或攻击，但病毒库存在滞后问题，也不能从根本上进行防护。

        b. 对关键控制器无额外的防御措施。控制系统网络上的PLC、DCS和RTU对现场实时控制来说非常有效，但就控制系统网络连接来说它们都不是很强壮。 

        c．来自工程师站和APC Server的病毒扩散隐患。网络中的工程师站和APC Server在项目实施阶段通常需要接入第三方设备（U盘、笔记本电脑等），受到病毒攻击和入侵的概率很大，存在较高的安全隐患。

        d．网络攻击事件无法追踪。网络中缺乏对网络进行实时监控的工具，一旦出现问题后，无法进行原因查找、分析和故障点查询。

4 多芬诺工业控制系统信息安全解决方案

       作为信息安全管理的重要组成部分，制定满足业务场景需求的安全策略和管理流程，是确保ICS 系统稳定运行的基础。多芬诺工业控制系统信息安全解决方案参照NERC CIP、ANSI/ISA-99、IEC 62443等国际标准对工业控制系统的安全要求，将具有相同功能和安全要求的控制设备划分到同一区域，区域之间执行管道通信，通过控制区域间管道中的通信内容，实施纵深防御策略，从而保障工业网络的安全。
       

       多芬诺工业控制系统信息安全解决方案由四部分组成：安全模块、可装载安全软插件、组态管理平台和报警管理平台。安全模块TSA为工业级硬件设备，安装在受保护的区域或控制器等关键设施前端；可装载安全软插件LSM是装载到TSA中，根据系统安全需求，提供各种安全防护功能的一系列软件；组态管理平台CMP用于配置、组态和管理网络中所有的TSA；报警管理平台用于管理、分析报警信息。
       

       参照ANSI/ISA-99安全标准，结合工业系统的安全需要，可以将图1所示的工业系统网络划分为下列不同的安全区域：办公区域、数采区域、PLC/DCS/现场设备RTU控制区域，同时考虑到来自工程师站的安全威胁因素以及控制器的安全防护等级要求，将工程师站和控制器划分为两个独立的子区域。另外数采网中的APC Server受感染的几率也较大，需进行隔离，因此也将其划分为一个独立的子区域，如图2所示。

4.1 PLC和数采网之间的安全防护以及DCS和数采网之间的安全防护

       控制网中的PLC和DCS等控制系统对数采网提供的接口协议一般有DDE、OPC等。在数据量大，刷新频率快时，DDE就表现出不稳定性，因此目前OPC技术已成为工业界系统互联的缺省方案。但由于OPC通讯采用不固定的端口号，使用传统的IT防火墙进行防护时，不得不开放大规模范围内的端口号。在这种情况下，防火墙提供的安全保障被降至最低。

       多芬诺工业控制系统信息安全解决方案通过在OPC Server和数采机Buffer或数采网之间增加多芬诺安全模块，并且装载Firewall LSM和OPC Enforcer LSM软插件来防御各种安全威胁和攻击，如图3所示。

        OPC Enforcer LSM能检查、跟踪、保护由OPC应用程序创建的每一次连接，仅在创建OPC连接的OPC Client和OPC Server间动态地打开每次连接所需要的唯一的TCP端口，从而解决了OPC通讯无法使用常规IT防火墙进行防护带来的安全防护瓶颈问题。同时，安全模块TSA能阻止病毒和其它一些非法访问，这样来自防护区域内的病毒感染就不会扩散到其他网络，从本质上保证了网络通讯安全。

4.2 现场设备RTU和数采网之间的安全防护

       现场设备RTU和数采网通过Modbus TCP协议进行数据传输，因此在现场设备RTU和数采网之间增加多芬诺安全模块，同时装载Modbus TCP Enforcer LSM软插件，如图4所示。

       传统的IT防火墙允许访问控制列表ACL检查一条信息的三个主要方面，即源IP、目标IP和IP帧中“TCP目的端口号”所定义的上层协议，然后来决定是否允许该信息通过。但是没有对协议内容的细粒度控制，存在一些黑客可以利用的漏洞。例如，Stuxnet就大量使用了远程过程调用协议（RPC）。而西门子PCS 7控制系统也大量使用了基于RPC的专有信息技术。因此使用传统的IT防火墙简单地阻止所有的RPC通讯并不是一个可行的方案。

      Modbus TCP Enforcer LSM软插件是首个能够深入工业协议内部进行内容检测的产品。控制工程师定义允许的Modbus指令，寄存器和线圈名单列表后，Modbus TCP Enforcer LSM软插件就能自动阻止并报告任何不匹配组态规则的通讯。同时Modbus TCP Enforcer LSM软插件也能针对非法格式的信息以及异常行为（如10,000个应答信息都是响应单个请求信息）对通讯进行完整性检查，阻止任何企图破坏系统的攻击活动，保障系统安全。

4.3 保护关键控制器

       关键控制器在整个网络中起着举足轻重的作用，但是其在安全上都不是很强壮，一般的控制系统网络故障，如广播和多点发送信息就会使一些设备过载。在控制器前端增加多芬诺安全模块，装载Firewall LSM软插件，能有效地保障关键控制远离网络中的病毒攻击和威胁。

       多芬诺工业防火墙预置50多种工业通讯协议，支持几乎所有的基于以太网通讯的控制器、网络设备和通讯协议，包括Honeywell、Emerson、Yokogawa等。对多芬诺工业防火墙进行规则组态时只允许制造商专有协议通过，阻挡来自操作站的任何非法访问；另一方面可以对网络通讯流量进行管控，指定只有某个专有操作站才能访问指定的控制器；此外还可以管控局部网络的通讯速率，防止控制器遭受网络风暴及其它攻击的影响，从而避免控制器死机。

4.4 隔离工程师站和APC Server

       越来越多的先进控制应用于现场控制，先进控制一般由厂家提供现场服务，经常使用U盘等移动介质和第三方设备（笔记本电脑等），APC服务器感染病毒的概率较大，系统中的工程师站也存在同样的安全隐患。因此，在工程师站和APC Server前端增加多芬诺安全模块，并且装载Firewall LSM软插件，将其单独隔离，防止病毒扩散，保证了网络的通讯安全。

4.5 组态管理平台和报警管理平台

       在数采网安装多芬诺组态管理平台CMP，用于配置、组态并统一管理网络中所有的多芬诺工业防火墙，同时可以快速创建整个控制网络模型，监视整个系统的运行状态。
在信息网安装报警管理平台SMP，可以集成所有来自CMP平台的所有事件及报警信息，并可划分等级进行报警，通过网络结构图人机界面实时通知相关主管人员。该平台能够准确捕获现场所有安装防火墙的通讯信道中的拦截日志，并且详细显示通讯的源、目标及通讯协议，以总揽大局的方式为工厂网络故障的及时排查与分析提供可靠依据。

整体的多芬诺工业控制系统信息安全解决方案如图7所示。

5 总结

       采用以太网和TCP/IP协议作为最主要的通讯协议和手段，向网络化、标准化、开放化发展是各种工业通讯和自动化控制系统技术的主要潮流，工业网络信息安全问题已迫在眉睫。多芬诺工业控制系统信息安全解决方案遵循以区域及管道保护网络为核心的通讯原则，并采用集中安全管理监控的管理方式，对企业内控制系统进行深入分析，实施全面、有针对性的防护策略，实现工业网络安全防护的三大目标：区域隔离、通信管控和实时报警，从而全方位地保障工业控制网络远离各种内部威胁和外部攻击。