我国工业网络安全的探索者_两化融合_工业控制网络

我国工业网络安全的探索者

——— 访混合流程工业自动化系统及装备技术国家重点实验室张云贵教授

2012/3/8 10:51:58

一则因“震网”(Stuxnet)病毒引发对伊朗核电站自动化系统的破坏，引起了全球对工业网络安全的高度关注。然而，当我国流程工业中自动化的关键设备还处于依赖于进口的局面下，掌握并寻找一种百毒不侵，保证工业基础设施信息安全的方法则显得至关重要。

时事造就英雄。在我国流程工业中，有这么一支队伍，他们主动承担了我国工业控制系统网络安全解决方案的研究探索，他们排除障碍，久经验证，凭借行业中深厚扎实的技术功底，成功的寻找到一把开启保障我国工业网络安全的钥匙。他们就是冶金自动化研究设计院混合流程工业自动化系统及装备技术国家重点实验室。在工业化与信息化深度融合发展的今天，中国工控网记者怀着敬畏与喜悦之情，采访了该课题的负责人张云贵教授，以期对目前我国工业网络安全现状及解决方案做详细了解。

工业网络安全更像“温水煮青蛙”

在“两化融合”的科学发展推动和激烈的市场竞争形势下，越来越多的工业控制网络和信息网络连接在一起，来自工厂信息网络、移动存储介质、因特网以及其他因素导致的网络安全问题就像蠕虫一般，逐渐在控制系统中扩散。它们潜伏在工业信息层，随时有可能引起工业基础设施的瘫痪，这对企业来说可谓是致命一击。尤其是在复杂的生产工业环境下，诸如冶金、石油化工、天然气等基础领域，灾难一旦爆发，后果难以想象。这样的隐患被张教授形象的称为“温水煮青蛙”。

事实证明，张教授的观点有据可依。Stuxnet病毒作为一个标志性事件，该病毒主要通过U盘和局域网进行传播，由于其安装了SIMATIC WinCC系统的电脑，它一般会与互联网物理隔绝，黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理，导致有人在局域网内使用了带毒U盘，通过U盘传播，自动化识别攻击对象，可以取得自动化系统的控制权限，从而发生窃取保密信息，破坏系统运行，甚至控制系统的运行等。

据了解，Stuxnet病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集(SCADA) 系统进行攻击。由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控，一旦攻击成功，则可能造成使用这些企业运行异常，甚至造成商业资料失窃、停工停产等严重事故。

知己知彼才能百战不殆。在对抗工业病毒的这场战役中，张教授以及他的团队通过尝试引入各种各样的病毒专门针对西门子PLC应用进行理论与实验的论证，终于研发出了一条可取之道。

在我国流程工业领域95%的设备仍依赖于进口，这对国内技术专家来说，从进口设备入手寻找一种行之有效的解决方案无疑是难上加难。但对于这个有着多年冶金行业技术的专家团队来说，他们独辟蹊径选择了走外围的保证工业网络安全防护路线。

根据客户对安全防护等级的定义，在控制器与操作站之间安装工业防火墙，能够隐藏被保护对象的所有IP地址；在控制和数采网两层增加OPC通信协议防火墙；其次在APC网络和其它网络之间安全安全设备模块，主要解决APC网络区域其它网络之间的病毒互相感染问题，最后安装工业安全管理平台，通过一台工作站集中组态、管理和监测所有TSA及所在网络，防止病毒入侵。

在这看似严加防护，重兵把守的隔离式解决方案的守护下，该解决方案具有满足工业型的特点，内置几十种常见的工业通信协议，为工业通讯提供独特的、工业级的专业隔离防护解决方案；安装的该工业防火墙具有独有的安全连接技术，它集防火墙与虚拟路由于一身，能够像网络警察一样管控网络数据通讯的路径、对象以及数据流的方向；还可以达到实时网络通讯透视镜功能，为控制系统网络故障分析、监控、记录提供简单、有效的可靠工具，实现对非法通信的实时报警，来源确认、历史积累，达到保证控制网络的实时诊断。

张教授强调说：“该解决方案的实施从技术上最大程度地消除了因病毒感染、网络故障、IP故障、线路故障引起的工业控制网络安全隐患，并能阻止现有Stuxnet病毒的入侵，对非法网络通信进行实时报警、来源确认，历史记录，对于这种能够追本溯源、总揽大局的网络化安全管理，可以称为‘看得见的工业网络安全’”。

据张教授介绍，目前国内有几家大型钢铁厂有意向采用该解决方案。在笔者看来，对钢铁企业来说，由于工业网络安全故障导致的安全生产事故，动辄使企业损失数百万，如果企业能够防患于未然，尽早对其实施工业安全防护，则可以减少因网络安全导致的生命财产的损失，同时体现了企业对高效生产、安全运行的重视，更显示了企业对国家经济安全和人民生命财产安全的责任。

结束语： 青，取之于蓝，而青于蓝；冰，水为之，而寒于水。工业网络安全的隐患来源于工业领域中一切可滋生其生存的工业环境以及工业设备，但其危害性足以让整个工业功亏一篑。为此，张教授希望能够与诸如西门子等自动化领军企业合作，发挥各自在工业领域的不同优势，进行强强联合，从根源上杜绝一切安全隐患的发生。（文/gongkong 张莹）