今日頭條
官方微信
官方抖音
資訊頻道
1 概述
化肥作為重要的農(nóng)業(yè)生產(chǎn)物資,在國家的農(nóng)業(yè)生產(chǎn)中起著重要作用。中國是化肥生產(chǎn)大國,化肥產(chǎn)量位居全球首位。在國家的“十二五”規(guī)劃綱要提出信息化和工業(yè)化深度融合的要求后,我國化肥企業(yè)信息化的整體水平較過去有了一定的進(jìn)展,但是在信息化建設(shè)投入、企業(yè)信息編碼規(guī)范,尤其在工業(yè)安全意識(shí)方面遠(yuǎn)低于發(fā)達(dá)國家水平。在化肥生產(chǎn)企業(yè),生產(chǎn)線與中控?cái)?shù)據(jù)平臺(tái)通常距離較遠(yuǎn),數(shù)據(jù)平臺(tái)一般通過以太網(wǎng)來遠(yuǎn)程獲取生產(chǎn)數(shù)據(jù),這樣在內(nèi)網(wǎng)和廣域網(wǎng)之間的數(shù)據(jù)傳輸就存在很大的安全隱患,迫切需要升級(jí)信息安全策略來確保數(shù)據(jù)傳輸和控制系統(tǒng)的安全。
河南心連心化肥有限公司是國家百萬噸化肥生產(chǎn)基地,河南省規(guī)模最大、生產(chǎn)成本最低的尿素生產(chǎn)企業(yè),省政府列入的100戶重點(diǎn)工業(yè)企業(yè)之一。擁有合成氨70萬噸、尿素125萬噸、復(fù)合肥60萬噸、甲醇30萬噸的年生產(chǎn)能力。2007年6月20日,河南心連心化肥有限公司成為中國第一家在新加坡上市的化肥生產(chǎn)企業(yè)。
本文分析了化肥企業(yè)的生產(chǎn)和控制網(wǎng)絡(luò)的網(wǎng)絡(luò)現(xiàn)狀和安全風(fēng)險(xiǎn),介紹了力控華康PSL系列工業(yè)隔離網(wǎng)關(guān)和ISG系列工業(yè)防火墻在以心連心化肥有限公司為代表的化肥生產(chǎn)企業(yè)中的應(yīng)用。
2 化肥企業(yè)的網(wǎng)絡(luò)現(xiàn)狀及安全風(fēng)險(xiǎn)分析
心連心化肥有限公司的生產(chǎn)網(wǎng)絡(luò)是基于ERP、MES和PCS三層架構(gòu)的管控一體化信息模型。隨著企業(yè)規(guī)模的不斷擴(kuò)大,迫切需要提高生產(chǎn)管理水平和應(yīng)急響應(yīng)水平,這就需要將生產(chǎn)系統(tǒng)中大量的實(shí)時(shí)數(shù)據(jù)及時(shí)、有效地采集、存儲(chǔ)、分析、公布,同時(shí)加強(qiáng)對(duì)關(guān)鍵崗位和場所進(jìn)行監(jiān)視、監(jiān)測及設(shè)備狀態(tài)檢測。在這種業(yè)務(wù)場景下,ERP系統(tǒng)、MES系統(tǒng)與底層工業(yè)控制系統(tǒng)之間的實(shí)時(shí)數(shù)據(jù)交換就是不可避免的。如圖1所示。
圖1 ERP、MES和PCS業(yè)務(wù)邏輯中的數(shù)據(jù)交互
目前在化肥生產(chǎn)企業(yè)的控制網(wǎng)絡(luò)中,一般是通過以太網(wǎng)來實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)交換和共享。以太網(wǎng)具備廣泛的開放性,遵照網(wǎng)絡(luò)協(xié)議的不同,廠商設(shè)備可以很容易實(shí)現(xiàn)互聯(lián)。借助以太網(wǎng)和TCP/IP技術(shù)很容易實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)的無縫連接,形成企業(yè)級(jí)管控一體化的全開放網(wǎng)絡(luò),極大方便了生產(chǎn)及控制數(shù)據(jù)的調(diào)用、匯總和存儲(chǔ)。但以太網(wǎng)及TCP/IP技術(shù)的開放性,使得它比傳統(tǒng)的總線技術(shù)更容易暴露于病毒、黑客非法入侵等網(wǎng)絡(luò)安全威脅之下。工業(yè)控制系統(tǒng)如果遭受病毒入侵和黑客攻擊,不僅會(huì)造成信息的丟失,還可能造成生產(chǎn)故障、人員損害及設(shè)備損壞,其直接財(cái)產(chǎn)的損失是巨大的,甚至有可能引起環(huán)境問題和社會(huì)問題。
根據(jù)化肥企業(yè)的實(shí)際情況來分析,其面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要包括:
(1)病毒與惡意代碼
病毒的泛濫是大家有目共睹的。全球范圍內(nèi),每年都會(huì)有數(shù)次大規(guī)模的病毒爆發(fā)。傳統(tǒng)的病毒自我復(fù)制過程需要人工干預(yù),無論運(yùn)行感染病毒的實(shí)用程序,或者是打開包含宏病毒的郵件等,沒有人工干預(yù)病毒無法自我完成復(fù)制、傳播。但是現(xiàn)在的蠕蟲病毒卻可以自我獨(dú)立完成以下過程:
·查找遠(yuǎn)程系統(tǒng):能夠通過檢索已被攻陷的系統(tǒng)的網(wǎng)絡(luò)鄰居列表或其它遠(yuǎn)程系統(tǒng)地址列表找出下一個(gè)攻擊對(duì)象。
·建立連接:能夠通過端口掃描等操作過程自動(dòng)和被攻擊對(duì)象建立連接,如Telnet連接等。
·實(shí)施攻擊:能夠自動(dòng)將自身通過已經(jīng)建立的連接復(fù)制到被攻擊的遠(yuǎn)程系統(tǒng)并運(yùn)行。
一旦計(jì)算機(jī)中被植入惡意代碼和蠕蟲病毒,安全問題就不可避免。
(2)網(wǎng)絡(luò)入侵
系統(tǒng)被入侵是另外一種常見的安全隱患。黑客侵入計(jì)算機(jī)和網(wǎng)絡(luò)可以非法使用計(jì)算機(jī)和網(wǎng)絡(luò)資源,甚至是完全掌控計(jì)算機(jī)和網(wǎng)絡(luò)。如果黑客侵入控制網(wǎng)絡(luò),就意味著可以隨時(shí)破壞企業(yè)的生產(chǎn)過程,甚至導(dǎo)致生產(chǎn)完全癱瘓。在化肥的生產(chǎn)過程中,涉及的生產(chǎn)資料往往都是有毒有害、易燃易爆的物質(zhì)(如CO、H2、NH3、甲醇、甲醛等),生產(chǎn)環(huán)境也是高溫高壓,一旦生產(chǎn)過程被破壞,容易發(fā)生財(cái)產(chǎn)重大損失和人員傷亡事故。
(3)協(xié)議漏洞
以太網(wǎng)絡(luò)是一種共享網(wǎng)絡(luò),任何主機(jī)發(fā)送的數(shù)據(jù)包都會(huì)到達(dá)同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口,不法人員稍做設(shè)置或修改,就可以使一個(gè)以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中關(guān)鍵數(shù)據(jù)的竊取。另外,在網(wǎng)絡(luò)中如果某一臺(tái)機(jī)器被植入病毒或木馬,是很容易在整個(gè)網(wǎng)絡(luò)中擴(kuò)散的,從而導(dǎo)致整個(gè)網(wǎng)絡(luò)及控制系統(tǒng)癱瘓。
在工業(yè)控制系統(tǒng)中,底層的DCS一般采用OPC協(xié)議與實(shí)時(shí)數(shù)據(jù)庫進(jìn)行通訊。OPC Classic協(xié)議(OPC DA,OPC HAD 和OPC A&E)是基于微軟的DCOM技術(shù)開發(fā)的,而DCOM技術(shù)的安全隱患目前已經(jīng)被廣泛認(rèn)識(shí),經(jīng)常發(fā)生安全漏洞問題并受到攻擊。另外由于OPC通訊采用不固定的端口號(hào),導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。
(4)拒絕服務(wù)(DDOS)攻擊
分布式拒絕服務(wù)(DDOS)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù),是黑客常用的攻擊手段。常見的分布式拒絕服務(wù)攻擊如TCP SYN、Ping Flood、UDPFlood等。拒絕服務(wù)攻擊難以防范的原因是它的攻擊對(duì)象非常普遍,從服務(wù)器到各種網(wǎng)絡(luò)設(shè)備,如路由器、交換機(jī)、防火墻等都可以被拒絕服務(wù)攻擊。
控制網(wǎng)絡(luò)一旦遭受嚴(yán)重的拒絕服務(wù)攻擊就會(huì)導(dǎo)致操作站的服務(wù)癱瘓,與控制系統(tǒng)的通信完全中斷。可以想像,受到拒絕服務(wù)攻擊后的控制網(wǎng)絡(luò)可能導(dǎo)致網(wǎng)絡(luò)中所有操作站和監(jiān)控終端無法進(jìn)行實(shí)時(shí)監(jiān)控,其后果是非常嚴(yán)重的。
3 化肥企業(yè)的安全需求分析
化肥企業(yè)是典型的資金和技術(shù)密集型企業(yè),對(duì)信息系統(tǒng)依賴程度很高,生產(chǎn)的連續(xù)性很強(qiáng),裝置和設(shè)備的意外停車都會(huì)導(dǎo)致巨大的經(jīng)濟(jì)和財(cái)產(chǎn)損失。通過前面對(duì)化肥企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析,總結(jié)出化肥企業(yè)信息安全建設(shè)的需求主要是通過建設(shè)具備縱深防御能力的信息安全保障體系,抵御來自內(nèi)部、外部的入侵和攻擊,及時(shí)發(fā)現(xiàn)病毒、漏洞,并抑制病毒在網(wǎng)絡(luò)間的擴(kuò)散,尤其要確保工業(yè)控制系統(tǒng)的安全,避免因?yàn)榭刂葡到y(tǒng)被入侵而出現(xiàn)生產(chǎn)事故。
通過在企業(yè)網(wǎng)絡(luò)中實(shí)施安全策略,應(yīng)達(dá)到如下安全目標(biāo):
(1)保護(hù)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的可用性;
(2)防范從企業(yè)管理網(wǎng)絡(luò)甚至互聯(lián)網(wǎng)對(duì)工業(yè)控制網(wǎng)絡(luò)的非法訪問;
(3)防范入侵者對(duì)工業(yè)控制設(shè)備的惡意攻擊與破壞;
(4)保護(hù)工業(yè)控制網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)陌踩?br/>
4 化肥企業(yè)的安全解決方案
參照ANSI/ISA-99標(biāo)準(zhǔn),同時(shí)結(jié)合化肥行業(yè)的具體情況將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域,以幫助企業(yè)有效地建立“縱深防御”體系,如圖2所示。
圖2 化肥廠的信息安全防御架構(gòu)
(1) 橫向分層, 將企業(yè)的生產(chǎn)網(wǎng)絡(luò)劃分成企ERP、MES、PCS三層網(wǎng)絡(luò)結(jié)構(gòu)。在MES和PCS間部署了力控華康PSL系列工業(yè)隔離網(wǎng)關(guān),主要實(shí)現(xiàn)了控制網(wǎng)絡(luò)的物理隔離,有效屏蔽ERP和MES層面的網(wǎng)絡(luò)威脅向生產(chǎn)控制系統(tǒng)傳導(dǎo),同時(shí)又實(shí)現(xiàn)了網(wǎng)絡(luò)之間安全的數(shù)據(jù)交換。在管理網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間部署工業(yè)防火墻,主要用于彌補(bǔ)傳統(tǒng)防火墻的不足,實(shí)現(xiàn)對(duì)工業(yè)協(xié)議的安全檢測。
(2)在生產(chǎn)控制網(wǎng)絡(luò)層內(nèi)縱向分區(qū),每個(gè)生產(chǎn)區(qū)內(nèi)包含離散控制系統(tǒng)(DCS)、OPC服務(wù)器和不同的生產(chǎn)車間。在OPC服務(wù)器與DCS控制系統(tǒng)之間采用力控華康ISG工業(yè)防火墻進(jìn)行安全防護(hù),通過對(duì)工業(yè)協(xié)議的深度過濾確保DCS系統(tǒng)及控制設(shè)備的安全,并抑制安全威脅在不同生產(chǎn)區(qū)之間的擴(kuò)散。
(3)在生產(chǎn)控制網(wǎng)絡(luò)內(nèi)布署工業(yè)漏洞掃描系統(tǒng),定期對(duì)工業(yè)網(wǎng)絡(luò)設(shè)備、系統(tǒng)及PLC等控制設(shè)備進(jìn)行安全檢測,讓安全管理人員及時(shí)了解工業(yè)網(wǎng)絡(luò)安全和運(yùn)行的應(yīng)用服務(wù)情況,及時(shí)發(fā)現(xiàn)安全漏洞,更新漏洞補(bǔ)丁,避免因此而帶來的風(fēng)險(xiǎn)威脅。
本方案的特點(diǎn)是:
(1)完全阻斷ERP、MES系統(tǒng)的威脅向控制系統(tǒng)擴(kuò)散
目前網(wǎng)絡(luò)邊界防御中最普遍應(yīng)用的安全技術(shù)是通用防火墻。通用防火墻是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包做安全檢查,并不切斷網(wǎng)絡(luò)連接,很多案例證明無論包過濾、狀態(tài)檢測還是代理防火墻技術(shù)都很難防止木馬病毒入侵內(nèi)部網(wǎng)絡(luò)。Nimda繞過很多防火墻的檢查并在全世界肆虐就是一個(gè)很好的例證。通常見到的木馬大部分是基于TCP的,木馬的客戶端和服務(wù)器端需要建立連接,而PSL工業(yè)隔離網(wǎng)關(guān)從原理實(shí)現(xiàn)上就切斷所有的TCP、UDP、ICMP等通用協(xié)議鏈接,使得蠕蟲病毒和木馬無法通過工業(yè)安全隔離網(wǎng)關(guān)進(jìn)行通訊,從而可以防止已知和未知的木馬攻擊。
本方案中采用的力控華康PSL安全工業(yè)隔離網(wǎng)關(guān)內(nèi)部特殊的2+1的雙獨(dú)立主機(jī)架構(gòu),控制端接入工業(yè)控制網(wǎng)絡(luò),通過采集接口完成各子系統(tǒng)數(shù)據(jù)的采集;信息接入到企業(yè)管理網(wǎng)絡(luò),完成數(shù)據(jù)到調(diào)度中心的傳輸。雙主機(jī)之間通過專有的PSL網(wǎng)絡(luò)隔離傳輸技術(shù),徹底割斷穿透性的TCP連接。PSL的物理層采用專用隔離硬件,鏈路層和應(yīng)用層采用私有通信協(xié)議,數(shù)據(jù)流采用128位以上加密方式傳輸,更加充分保障數(shù)據(jù)安全。PSL技術(shù)實(shí)現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查,傳輸機(jī)制具有徹底不可攻擊性,從根本上杜絕了非法數(shù)據(jù)的通過,確保子系統(tǒng)控制系統(tǒng)不會(huì)受到攻擊、侵入及病毒感染。
(2)通過安全分區(qū)實(shí)現(xiàn)不同DCS系統(tǒng)之間的安全自治
在工業(yè)控制系統(tǒng)中,控制網(wǎng)絡(luò)數(shù)采機(jī)(OPC服務(wù)器)采用OPC通訊協(xié)議與實(shí)時(shí)數(shù)據(jù)庫通訊進(jìn)行數(shù)據(jù)上傳,由于OPC通訊每次連接采用不固定的端口號(hào),使用傳統(tǒng)的IT防火墻進(jìn)行防護(hù)時(shí),不得不開放大規(guī)模范圍內(nèi)的端口號(hào)。在這種情況下,傳統(tǒng)IT防火墻提供的安全保障被降至最低,上位實(shí)時(shí)數(shù)據(jù)庫一旦感染病毒或被控制,控制網(wǎng)絡(luò)的系統(tǒng)及設(shè)備就完全暴露。而通過部署工業(yè)防火墻,可以實(shí)現(xiàn)對(duì)OPC通訊中端口的動(dòng)態(tài)管理,無需事先大規(guī)模開放端口。
本方案中采用了力控華康的ISG系列工業(yè)防火墻,除了支持商用防火墻的基礎(chǔ)訪問控制功能,ISG工業(yè)防火墻還實(shí)現(xiàn)了對(duì)工業(yè)協(xié)議的數(shù)據(jù)級(jí)深度過濾,實(shí)現(xiàn)了對(duì)Modbus、OPC等主流工業(yè)通訊協(xié)議和規(guī)約的細(xì)粒度檢查和過濾,幫助用戶阻斷控制網(wǎng)絡(luò)內(nèi)部的病毒傳播、黑客攻擊等行為,避免其對(duì)控制網(wǎng)絡(luò)的影響和對(duì)生產(chǎn)流程的破壞。例如:ISG系列工業(yè)防火墻的Modbus協(xié)議管控模塊可以針對(duì)Modbus協(xié)議的設(shè)備地址、寄存器類型、寄存器范圍和讀寫屬性等進(jìn)行檢查。通過類似的管控模塊能有效防范各種非法的操作和數(shù)據(jù)進(jìn)入現(xiàn)場控制網(wǎng)絡(luò),最大限度地保護(hù)控制系統(tǒng)的安全。
在本方案中,針對(duì)DCS系統(tǒng)“集中管理、離散控制”的特點(diǎn),將工業(yè)控制系統(tǒng)縱向劃分為不同的安全分區(qū),每個(gè)分區(qū)的DCS系統(tǒng),均部署ISG工業(yè)防火墻進(jìn)行縱向通信的防護(hù),同時(shí)對(duì)于不同DCS系統(tǒng)之間的橫向通信也有一定的防護(hù)作用。通過這種“安全自治”的策略,即使某一個(gè)DCS系統(tǒng)被侵入,也不會(huì)影響其他DCS系統(tǒng),為后續(xù)的安全響應(yīng)贏得了時(shí)間。
5 結(jié)語
工信部協(xié)[2011]451號(hào)通知明確指出:“SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域,用于控制生產(chǎn)設(shè)備的運(yùn)行。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,工業(yè)控制系統(tǒng)信息安全問題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢。對(duì)此,各地區(qū)、各部門、各單位務(wù)必高度重視,增強(qiáng)風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí)和緊迫感,切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。”
化肥工業(yè)是國家的基礎(chǔ)性產(chǎn)業(yè),必須強(qiáng)化信息安全風(fēng)險(xiǎn)管理,提升基礎(chǔ)設(shè)施產(chǎn)品的安全防護(hù)能力。依照等級(jí)保護(hù)及工信部451號(hào)文的要求,對(duì)工業(yè)控制網(wǎng)絡(luò)跟企業(yè)信息網(wǎng)絡(luò)進(jìn)行隔離防護(hù),對(duì)工業(yè)控制系統(tǒng)內(nèi)重要的DCS系統(tǒng)進(jìn)行分區(qū)保護(hù),可以有效提升工業(yè)控制系統(tǒng)的安全防護(hù)能力。項(xiàng)目在實(shí)施以后,保護(hù)目標(biāo)清晰,運(yùn)行穩(wěn)定可靠,取得了良好的防護(hù)效果。
作者簡介
李光朋(1979-),男,山東濰坊人,碩士。現(xiàn)任北京力控華康科技有限公司市場部經(jīng)理,主要從事工業(yè)控制系統(tǒng)信息安全技術(shù)的研究和推廣工作。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)