某石化企业工控安全案例

2．公司工业控制网络结构现状

2.1 公司控制系统网络拓扑基本结构

伴随工厂信息化的不断深入，我公司在生产管理上建立了基于实时数据库应用的MES系统。实时数据库的建立是以采集过程控制系统的数据为前提，这就需要MES 的信息网络必须要实现与控制网络之间的数据交换，控制网络不再以一个独立的网络运行，而要与信息网络互通、互联。目前基本网络结构如下：

网络图：

网络图说明：（控制系统泛指用于过程生产控制及安全的DCS/PLC/ESD等）

(1) 控制系统的控制器网络层：随着工业以太网技术的不断发展，目前国际主流控制器的通讯方式都采用以太网模式。

(2) 控制系统的操作站/服务器网络层：目前基本所有控制系统制造商的操作站和服务器都采用普通基于Windows操作系统的PC机作为平台，同时网络也采用冗余以太网模式。

(3) 数据采集接口服务器OPC Server：为保证系统的开放与互联性，系统制造商遵循国际OPC基金会组织的标准，提供了一个与第三方通讯的接口。

(4) 数据采集缓存机（Buffer）：有两个作用，第一可以作为数据采集的缓存，当上层MES网络有问题时，Buffer机可以临时存贮一段时间的过程数据，当链路恢复时，数据自动恢复到MES实时数据库中，保证过程数据在数据库中无断点；第二个作用是通过其自身的双网卡设置可抵御外部非法入侵，杜绝黑客等恶意人员对控制系统的直接攻击。

(5) MES实时数据库：企业工厂生产管理系统的核心数据库，可长时间存贮现场实时生产过程数据，是提高我公司生产管理效率、优化生产工艺的核心根本。

(6)第三方接入系统：通常指部分小型控制系统（PLC居多），通过以太网或串行接口接入到装置的核心控制系统内。

2.2 控制系统网络特点分析

与传统IT网络不同，工业控制网络及相关设备有其独特性：

1.可靠性、实时性要求高：主要反映在控制器和操作站的网络层内，工业控制网络最主要是要保证过程数据的实时性和网络的可靠性，所以对整个网络的过程数据而言，不允许有任何中断出现，简单说就是不能失控。

2.专有通讯协议： 每一个过程控制系统供应商都有自己专有的通讯协议，这些协议基本都为独自研发。近几年随着系统开放性呼声越来越高，进而出现了一些行业内的开放协议，例如OPC，Modbus TCP，现场总线（Foundation/Hart/Profibus等）等行业通讯标准，都是工业控制领域的专有通讯协议。

3.相对独立：每套控制系统通常都是根据工艺设备要求而设计，所以无论从前期网络设计到实际物理安装，整个控制系统网络都是相当独立，不会与其它任何应用存在交联部分，在与外界交互的通道上仅仅开放OPC Server这一个接口，通过OPC工业通讯协议与外部进行数据交换。

4.产品更新周期长：控制系统产品不以追求设备的先进性为目标，更多的是强调它的安全稳定，所以结合实际工艺生产以及设备投资综合考虑，在该领域的产品更新周期通常在10年以上，容易导致系统的操作平台落伍。（目前Microsoft早就不提供windows NT/2000的技术支持）

5.与杀毒软件兼容性差：截至目前，没有任何杀毒软件厂商对在网络中基于Windows平台上安装的过程控制软件做过完整兼容性测试，这种情况同样也适应于过程控制系统制造商，所以在工控领域的操作站层难于统一部署杀毒策略。

3．目前控制网络隐患及解决方案

过程控制系统在近十年的发展中呈现出整体开放的趋势，计算机技术在工控领域的应用使得现代DCS操作站完全是一种PC+Windows的模式，控制系统网络也基本都向工业以太网结构发展，开放性越来越强。基于TCP/IP以太网通讯的OPC技术在工业数据采集中得到广泛应用。虽然工厂信息网络安全采取杀毒服务器、操作系统补丁服务器等措施，但病毒库及系统补丁的升级总是存在滞后效应，对于新型病毒及入侵攻击根本无法抵御。在我公司DCS系统网络架构进行整体分析后，得出潜在风险如下：

3.1 OPC通讯安全隐患：

风险识别：来自上层信息网对控制网的攻击或病毒感染。

目前现状：OPC数采机（Buffer机）采用双网卡配置，安装杀毒软件。

隐患问题：

OPC，即用于过程控制的OLE（OLE，Object Linking and Embedding ）。 OPC技术诞生于1996年，旨在为不同的控制系统提供一种通讯标准。OPC技术发展至今，已经成为全球领先的自动化产品通信互联技术。

OPC基于Microsoft的DCOM（分布式组件对象模式）技术，该技术使用了RPC（远程过程调用）网络协议来实现工业网络中的以太网连接。来自该领域的安全研究人员（包括黑客组织）却发现该标准中存在一些严重问题。

第一个问题：DCOM的动态端口分配的问题。由于OPC服务器需要任意使用1024~65535中的任何端口，这在传统IT防火墙防护配置时，就会使得大量端口完全开放，形成严重的安全漏洞，因此，OPC无法由传统IT型防火墙进行防护，这一点已经得到了广泛认同。

第二个问题则源于OPC过于宽松的访问权限。因为设置OPC是一个复杂的过程，所以一些主要的供应商提出建议，将最终用户的OPC安全配置完全敞开。例如，某PLC厂商建议将所有的远程访问和启动控制设定为匿名登录。这些过于宽松的设置将使得任意网络中的任意个体都可以运行OPC中的服务——这无疑是一个重大的安全隐患。

最后一个问题（也是最常引起关注问题）是OPC 使用的Windows的DCOM和RPC服务极易受到攻击。在过去的5年内，来自网络的病毒和蠕虫对这些接口的攻击越来越强，这个方式几乎成为了病毒和蠕虫开发者目前的最爱。

虽然考虑了双网卡配置，管理信息网与控制网通过该站进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等，这种配置没有作用，病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制，但病毒库存在滞后，所以不能从根本上进行防护。

解决方案：需要在两层网络之间增加OPC通信协议防火墙。

3.2 操作站互相感染隐患：

风险识别：所有操作站会同时相互感染某种病毒，可能导致系统停车。

目前现状：目前所有操作站都在一个网络中，仅仅从管理角度，采取通过规章制度限制移动介质接入而减少外部感染，但在网络内部没有采取任何有效防护措施。

隐患问题：

PC+Windows的这个平台已经为各行各业所共用，同时以太网互联也得到推广，TCP/STMP/POP3/ICMP/Netbios等大量开放的商用通讯协议为大家广泛使用，同时也随之带来木马、蠕虫等计算机病毒。在控制系统的网络中，除具备上述通讯协议外，根据系统制造商不同，基于TCP/IP技术的通讯协议是不一样的，例如Honyewell PKS使用的是FTE Multicast，横河CS3000使用的是Vnet。目前在整个控制网络中，我们希望在原有网络中建立一条仅允许制造商协议通过的可靠信道，去除其可能传播病毒的通道，目前普通IT防火墙无法实现工业通讯协议的过滤，所以当网络中某个操作站（工程师站）感染病毒时，可能会马上传播到网络的其它的计算机，容易造成网络上所有操作站同时发生故障或者容易引发控制网络风暴，造成网络通讯堵塞，严重时可导致所有操作站失控，甚至停车。

解决方案：将部分操作站划分区域进行隔离

3.3 操作站主机自身防护难题：

风险识别：操作站自身感染病毒

目前现状：

目前控制系统操作站(HMI)都以Windows为平台，任何一个版本的Windows自发布以来都在不停的发布漏洞补丁，为保证过程控制系统相对的独立性，现场工程师通常在系统开车后不会对Windows平台打任何补丁，更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。但是与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成本机乃至控制网络的瘫痪。

基于工控软件与杀毒软件的兼容性问题，在操作站（HMI）上通常不安装杀毒软件。即使是有杀毒软件，其基于病毒库查杀的机制在工控领域使用也有局限性，对病毒库的升级维护难于统一，更重要的是对新病毒的处理总是存在滞后，这导致每年都会大规模地爆发病毒，特别是新病毒。

隐患问题：

通常操作站对病毒防护会比较脆弱，任何带有病毒或恶意软件的移动介质的接入，都会使之感染，进而影响控制系统稳定运行。

典型案例：设备检修，U盘等移动介质或笔记本电脑接入时会引入病毒

解决办法：选择一台工程师站作为移动介质接入点，并将该台操作站通过工业通讯协议防火墙进行隔离，可在本台隔离操作站上安装防毒、杀毒产品，其余操作站封闭管理。

4．工业控制网络安全防护目标

4.1 安全防护的目标

工业控制网络要保证安全可靠，最好的方法是建立一个私有的信道，且创造一个相对独立的网络。但是信息技术的发展已经不可逆转，分析以上存在的隐患，总结前人的经验，同时参考我国信息网络安全防护指导，我认为要保证控制网络的安全稳定运行必须达到以下三个目标：

(1)通讯可控

网络数据的传输总是给我们以抽象、概念性的印象，没有一个直观的显示，通讯电缆如同高速公路，怎样能够直观的观察、监控、管理通讯电缆中流过的数据，这是我们首先要达到的目标。通过这个管控，对控制网络而言仅需要保证制造商专有协议数据通过即可，对其它基于Windows应用的不必要通讯一律禁止，从而创造出一个单一制造商通信网络的环境。

(2)区域隔离：

网络安全问题不同于其它设备故障，对于现代计算机网络，我们认为最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪，具有可扩散性和快速性的特点，虽然目前我们在现场采取了很多措施，但要杜绝网络安全问题是不可能的，所以我们要保证即使在控制网局部出现问题，也能保持装置或工厂的安全稳定运行。这就要在关键通道上部署网络隔离设备，通过这种隔离，为我们的控制系统也创造了一个相对独立的网络环境。

(3)实时报警：

千里之堤毁于蚁穴，报警的首要问题是把网络安全问题消灭在萌芽中，同时通过对报警事件的记录存储，为我们解决部分已发生过的安全事件提供分析依据，告别以前主观经验推断的模式。怎样能够及时发现网络中存在的感染及其它问题，准确找到故障的发生点，是维护控制网络安全的前提。

4.2调研报告总结及建议

根据公司实际发生的控制网络安全问题及相关处理实践，结合工业控制网络的独特性，我认为网络安全重点在于防护，而非查毒杀毒，所以着力点放于整个网络的架构及安全设备部署策略，当然在针对局部问题解决时，也需要二者结合，综上所述，提出网络安全隐患综合治理方案建议如下：

1．信息网与控制网之间的OPC通道上进行增加OPC工业通讯防火墙：

参照下页示意图“OPC通讯隐患防护”。

2．在OPC防护通道上统一部署网络通讯监控策略。（该部位为仪表部门与信息部门的分界点，部署这一策略除前面提到的核心功能外，还能解决两部门相互推卸责任问题）

3．在Buffer机层部署查毒杀毒策略（属企业信息部范畴）

4．操作站层进行区域隔离防护，可以选择工程师站单独防护，或分组防护，且部署网络通讯监控策略，随时了解控制网络通讯质量。

5．针对网络安全感染区域或设备进行隔离查毒、杀毒及其它处理。

6．第三方系统接入安全防护。