今日頭條
官方微信
官方抖音
案例頻道 近年來,工業控制系統逐漸向數字化、網絡化、模型化和智能化方向發展,在促進工業企業的設備和工藝升級的同時,也帶來了安全隱患,在石化行業備受關注的問題之一就是工業控制系統的安全防護。
2010年10月份伊朗核電站的“震網”(Stuxnet)病毒,為工業生產控制系統安全敲響了警鐘。現在,國內外生產企業都把工業控制系統安全防護建設提上了重要日程。石化行業不僅關系到企業的發展,更與我國國民經濟緊密相連,作為國家的戰略性新產業,石化行業的工業控制安全防護是重中之重。
1 現代石化企業自動化與信息化的融合
在中國, 自動化和信息化的融合——“兩化融合”已成為一種發展趨勢。其中堪稱表率的當數石化行業。中國石油和化學工業聯合會剛剛出版的《2011中國石油和化工行業兩化融合發展報告集》指出,信息技術應用已經融入到了石油化工行業的各個領域,兩化融合基礎已基本就緒,單項應用覆蓋率逐步提高,行業“兩化”正逐漸向深度融合方向發展。
石化行業是應用信息技術最早的行業之一。中國石油和化學工業聯合會最新調研數據顯示,企業規模越大,兩化融合水平普遍越高。到目前,石化行業重點企業的辦公自動化(OA)應用比例達到82%、財務管理系統應用比例達到95%,生產企業底層自動化比例達到93%。石化行業大中型企業生產過程已經基本實現了較高水平的自動化信息管理。同時一批專業特色明顯、智能化、信息化水平較高的中小企業也在不斷加入。當前國內油田涵蓋勘探、開發、經營管理的全油田生產運營數字一體化集成的整體水平正接近國際水平,領先石油化工企業的信息化工作也已進入建用并重、系統集成的階段。
2 控制系統和控制網絡的開放性
石化主流控制系統主要是DCS,由DCS、PLC和SCADA等控制系統構成的控制網絡,在過去幾十年的發展中呈現出整體開放的趨勢。
目前DCS已經進入了第四代,新一代DCS呈現的一個突出特點就是開放性的提高。過去的DCS廠商基本上是以自主開發為主,提供的系統也是自己的系統。當今的DCS廠商更強調開放系統集成性。各DCS廠商不再把開發組態軟件或制造各種硬件單元視為核心技術,而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。例如,多數DCS廠商自己不再開發組態軟件平臺,而轉入采用其它專業公司的通用組態軟件平臺,或其它公司提供的軟件平臺。這一思路的轉變使得現代DCS的操作站完全呈現PC化與Windows化的趨勢。在新一代DCS的操作站中,幾乎清一色采用PC+Windows的技術架構。
網絡技術開放性體現在DCS可以從多個層面與第三方系統互聯,同時支持多種網絡協議。目前在與企業管理層信息平臺互聯時,大多采用基于TCP(UDP)/IP協議的以太網通信技術,使用OPC等開放接口標準。
工業控制網絡的外聯和開放,使其遭受惡意攻擊、病毒入侵和信息泄露的風險加大,工業控制系統面臨的安全嚴峻日益嚴峻。
3 石化控制系統目前的安全現狀
3.1 石化企業網絡結構分析(如圖1所示)
石化企業普遍采用基于ERP/SCM、MES和PCS三層架構的的管控一體化信息模型,MES處于企業信息系統ERP/SCM和過程控制系統的中間位置。MES系統在整個信息系統中主要擔當了兩個方面的重要作用:一是數據雙向通道的作用。即通過MES系統的實施,可以有效彌補企業PCS層及ERP/SCM層之間的數據間隙,由下至上,通過對底層PCS層數據的搜集、存儲及校正,建立過程控制數據層次上的數字化工廠,結合生產調度層次上的調度事件信息數據等,為上層ERP/SCM計劃管理層提供準確統一的生產數據;由上至下,通過對實時生產數據的總結,上層ERP/SCM層可以根據未來訂單及現階段生產狀況調整生產計劃,下發MES層進行計劃的分解及產生調度指令,有效指導企業生產活動。因此,MES系統在數據層面上,起到了溝通PCS層和ERP/SCM層的橋梁作用,并保證了生產數據、調度事件等信息的一致性及準確性。
圖1 網絡結構示意圖
企業出口由于對通訊速率及帶寬的需求,采用IT防火墻進行網絡邊界防護,通過策略制定,保障企業辦公網絡用戶對互聯網資源的合法訪問,以及阻止來自互聯網未經授權對企業辦公網絡的非法訪問。
3.2 通信協議及網絡設備漏洞“兩化融合”和物聯網的發展使得TCP/IP、OPC等通用協議及通用的交換路由設備被越來越廣泛地應用在工業控制網絡中,隨之而來的漏洞威脅也日益突出。表現為:(1)缺乏對用戶身份的鑒別;(2)缺乏對路由協議的鑒別認證;(3)TCP/UDP自身缺陷。
OPC Classic 協議(OPC DA, OPCHAD 和OPC A&E) 基于微軟的DCOM協議,DCOM協議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC 通訊采用不固定的端口號,導致目前幾乎無法使用傳統的IT 防火墻來確保其安全性。因此必須使用有效專用的工業協議管控設備,確保使用OPC 等通訊協議的工業控制系統的安全性和可靠性。
3.3 控制系統安全隱患分析
“兩化”融合的推進和以太網技術在工業控制系統中的大量應用,使工業控制系統產品越來越多越多地采用通用協議,市場上具有以太網接口和TCP/IP協議的工控設備日益增多。然而,傳統工業控制系統采用專用的硬件、軟件和通信協議,設計基本沒有考慮互聯互通所必須考慮的通信安全問題。企業管理網與工業控制網的防護功能都很弱或者甚至幾乎沒有隔離功能,因此在工控系統開放的同時,也減弱了控制系統與外界的隔離,使控制系統的安全面臨更加嚴峻的考驗,尤其是來自Internet和工廠管理信息網絡的黑客攻擊、信息阻塞、病毒,嚴重威脅工業控制網絡的安全導致控制網絡的工作異常或癱瘓,使控制系統運行速度下降或控制器處于失控狀態,嚴重威脅裝置的生產安全。
DCS、SCADA等生產控制系統逐漸與互聯網或辦公網直接或間接地互聯互通,這給黑客透過互聯網破壞石油、石化生產裝置提供了可能的機會。
有關安全專家已經開始預警,未來恐怖分子和其他犯罪分子會利用新發現的軟件安全漏洞對聯合站、輸油管道、電站等基礎設施進行大規模攻擊,而DCS、SCADA等自動控制系統正是他們所要攻擊的目標。
4 力控華康的整體安全部署方案
4.1 應用背景
某石化企業為了適用不斷變化的市場需求,及時調整生產策略,也為了便于全廠生產的統一調度、加強企業內部管理,在其二分廠率先實踐了PIMS生產管理系統。該廠有2套控制系統,全部采用浙大中控的大型DCS系統ECS-100。該PIMS需要集成的DCS點數多達一萬點,并完全通過Web方式實現:生產實時數據的管理、實時流程查看、實時趨勢瀏覽、報警的記錄與查看、開關量變位的記錄與查看、歷史趨勢查看、生產過程報表生成、生產統計報表生成等功能。
圖 2 縱深防御結構圖
4.2 系統說明
該PIMS系統的結構分為三層,自下而上依次為:過程控制層、工廠管理層、企業管理層。其中企業管理層完成管理者和各職能科室生產管理報表生成的任務;工廠管理層完成各職能科室實時監控的任務,它對下連接現場控制層,對上通過網絡連接企業管理層,它不僅負責現場控制設備的實時數據采集,而且在系統中起到上傳下達的重要作用;過程控制層由DCS、PLC、智能儀表等控制器組成,是整個生產管理系統的基礎。
該廠出于安全因素考慮,將其DCS的運行網絡劃分為單獨的生產控制網絡,相對封閉,與總廠的管理信息網絡完全分開。而PIMS系統需要實現這兩個網絡的互通、互聯,以滿足PIMS對DCS數據的采集。
由于該企業為上市企業,面向東南亞的國際貿易業務往來頻繁,所以其總廠的管理信息網絡都是面向互聯網開放的商業網絡,如果直接實現與DCS控制網絡的連通,商業網絡本身存在的各種安全隱患將直接威脅到控制網絡的安全。特別是隨著網絡攻擊復雜性的增加,即使在兩個網絡邊界中間使用傳統的網絡防火墻產品和攻擊檢測技術,也已經難于保護網絡的安全。因為現代網絡安全威脅來自于商業網絡的各個層面,并且更多的是來自于網絡數據流量的應用數據部分,這一特性決定了僅使用防火墻或入侵檢測系統,依靠檢查數據包的頭部,已經越來越難發現諸如病毒、蠕蟲、后門程序等高級復雜的網絡安全風險。在很多成功的攻擊案例中,黑客可以很快了解到網絡在應用數據層面的安全漏洞,從而迅速使用后門、木馬、蠕蟲或者其它攻擊行為,對控制網絡造成不同程度的損害。
圖 3 安全系統拓撲圖
4.3 力控華康安全方案部署
參照ANSI/ISA-99 標準,同時結合石化的具體情況將企業系統結構劃分成不同的區域可以幫助企業有效地建立“縱深防御”策略,如圖2所示。
在工業控制網絡同企業管理網絡之間采用必要的安全隔離設備,保證工業控制網絡同企業管理網絡之間隔離,安全隔離設備通過物理隔離和安全通道隔離,將以太網進行物理級安全隔離,安全通道隔離即通過專用通信硬件和私有不可路由協議等安全機制來實現內外部網絡的隔離和數據交換,有效地把內外部網絡隔離開來,而且高效地實現了內外網數據的安全交換。
管理網絡與信息網絡及控制網絡內部OPC Server等服務器,與DCS控制系統及控制設備之間,可通過對工業協議的深度過濾從而確保管理網絡及DCS系統及控制設備的安全。
在工業網絡布署ISC工業漏洞掃描系統,定期對工業網絡設備、系統及PLC等控制設備進行安全檢測,讓安全管理人員及時了解工業網絡安全和運行的應用服務情況,及時發現安全漏洞,更新漏洞補丁,從而避免因此而帶來的風險威脅。為了從根本上解決DCS控制網絡的安全可靠運行,力控華康在該PIMS系統中加入工業隔離網關pSafetyLink作為DCS控制網絡的安全防護裝置。
力控華康工業隔離網關pSafetyLink是專為工業網絡應用設計的安全防護裝置,用于解決工業SCADA控制網絡如何安全接入信息網絡(外網)的問題。它與防火墻等網絡安全設備本質不同的地方是它阻斷網絡的直接連接,只完成特定工業應用數據的交換。由于沒有了網絡的連接,攻擊就沒有了載體,如同網絡的“物理隔離”。由于目前的安全技術,無論防火墻、UTM等防護系統都不能保證攻擊的徹底阻斷,入侵檢測等監控系統也不能保證入侵行為完全被捕獲,所以最安全的方式就是物理的分開。
pSafetyLink通過內部的雙獨立主機系統,分別接入到控制網絡和信息網絡, 雙主機之間通過專用硬件裝置連接,從物理層上斷開了控制網絡和信息網絡的直接網絡連接。同時pSafetyLink通過內嵌的高性能OPC通信軟件,很好地解決了PIMS通過OPC接口采集DCS數據的通信問題。另外,由于隔離網關內部完全實現了通信協議的接口服務,因此可以實現針對測點一級的訪問控制。例如:對于OPC可以控制到Item(項)一級的訪問權限控制,通過設置為只讀屬性方式保證PIMS對DCS數據的訪問是單向的,禁止數據回置操作。安全系統拓撲圖如圖3所示。
5 基于網絡隔離技術的隔離網關優勢分析
基于網絡隔離技術的網絡隔離產品是互聯網時代的產物。最早出現在美國、以色列等國家的軍方,用以解決涉密網絡與公共網絡連接時的安全。在我國,最初的應用也主要集中在政府、軍隊等領域,由于核心部門的信息安全關系著國家安全、社會穩定,因此迫切需要比傳統產品更為可靠的技術防護措施。國內的網絡隔離產品也由此應運而生。
由于是應用在可能涉及國家安全的關鍵場合,為了統一規范網絡隔離類的技術標準,國家質量監督檢驗總局及國家標準化管理委員及早制定了相應的國家標準,目前最新國標為GB/T 20279-2006和GB/T 20277-2006。
隨著以電力為首的工業行業對網絡安全提出了更高要求后,網絡隔離產品也開始在工業領域逐漸得到應用。目前,已經在工業領域用于控制網絡安全防護的網絡隔離產品主要有網閘、安全隔離網關、工業防火墻、工業網絡安全防護網關等產品。這些產品大部分都是基于最新的第五代隔離技術開發出來了,其主要的技術原理是從OSI模型的七層上全面斷開網絡連接,同時采用“2+1”的三模塊架構,即內置有兩個主機系統,和一個用于建立安全通道可交換數據的隔離單元。這種架構可以實現連接到外網和內網的兩主機之間是完全網絡斷開的,從物理上進行了網絡隔離,消除了數據鏈路的通信協議,剝離了TCP/IP協議,剝離了應用協議,在安全交換后進行了協議的恢復和重建。通過TCP/IP協議剝離和重建技術消除了TCP/IP協議的漏洞。在應用層對應用協議進行剝離和重建,消除了應用協議漏洞,并可針對應用協議實現一些細粒度的訪問控制。從TCP/IP的OSI數據模型的所有七層斷開后,就可以消除目前TCP/IP存在的所有攻擊。
6 結語
近年來,我國石化企業發展迅猛,企業的改擴建項目也越來越多,企業可以通過先進石化工藝技術的應用,安全生產管理的加強、安全防護產品的保護以及安全策略的制定,來進一步加強石化企業的安全水平。
摘自《自動化博覽》2013年3期
北京市公安局海淀分局備案號:11010802023656號