1 概述
化肥作為重要的農業生產物資,在國家的農業生產中起著重要作用。中國是化肥生產大國,化肥產量位居全球首位。在國家的“十二五”規劃綱要提出信息化和工業化深度融合的要求后,我國化肥企業信息化的整體水平較過去有了一定的進展,但是在信息化建設投入、企業信息編碼規范,尤其在工業安全意識方面遠低于發達國家水平。在化肥生產企業,生產線與中控數據平臺通常距離較遠,數據平臺一般通過以太網來遠程獲取生產數據,這樣在內網和廣域網之間的數據傳輸就存在很大的安全隱患,迫切需要升級信息安全策略來確保數據傳輸和控制系統的安全。
河南心連心化肥有限公司是國家百萬噸化肥生產基地,河南省規模最大、生產成本最低的尿素生產企業,省政府列入的100戶重點工業企業之一。擁有合成氨70萬噸、尿素125萬噸、復合肥60萬噸、甲醇30萬噸的年生產能力。2007年6月20日,河南心連心化肥有限公司成為中國第一家在新加坡上市的化肥生產企業。
本文分析了化肥企業的生產和控制網絡的網絡現狀和安全風險,介紹了力控華康PSL系列工業隔離網關和ISG系列工業防火墻在以心連心化肥有限公司為代表的化肥生產企業中的應用。
2 化肥企業的網絡現狀及安全風險分析
心連心化肥有限公司的生產網絡是基于ERP、MES和PCS三層架構的管控一體化信息模型。隨著企業規模的不斷擴大,迫切需要提高生產管理水平和應急響應水平,這就需要將生產系統中大量的實時數據及時、有效地采集、存儲、分析、公布,同時加強對關鍵崗位和場所進行監視、監測及設備狀態檢測。在這種業務場景下,ERP系統、MES系統與底層工業控制系統之間的實時數據交換就是不可避免的。如圖1所示。
目前在化肥生產企業的控制網絡中,一般是通過以太網來實現數據的實時交換和共享。以太網具備廣泛的開放性,遵照網絡協議的不同,廠商設備可以很容易實現互聯。借助以太網和TCP/IP技術很容易實現工業控制網絡與企業信息網絡的無縫連接,形成企業級管控一體化的全開放網絡,極大方便了生產及控制數據的調用、匯總和存儲。但以太網及TCP/IP技術的開放性,使得它比傳統的總線技術更容易暴露于病毒、黑客非法入侵等網絡安全威脅之下。工業控制系統如果遭受病毒入侵和黑客攻擊,不僅會造成信息的丟失,還可能造成生產故障、人員損害及設備損壞,其直接財產的損失是巨大的,甚至有可能引起環境問題和社會問題。
根據化肥企業的實際情況來分析,其面臨的網絡安全風險主要包括:
(1)病毒與惡意代碼
病毒的泛濫是大家有目共睹的。全球范圍內,每年都會有數次大規模的病毒爆發。傳統的病毒自我復制過程需要人工干預,無論運行感染病毒的實用程序,或者是打開包含宏病毒的郵件等,沒有人工干預病毒無法自我完成復制、傳播。但是現在的蠕蟲病毒卻可以自我獨立完成以下過程:
·查找遠程系統:能夠通過檢索已被攻陷的系統的網絡鄰居列表或其它遠程系統地址列表找出下一個攻擊對象。
·建立連接:能夠通過端口掃描等操作過程自動和被攻擊對象建立連接,如Telnet連接等。
·實施攻擊:能夠自動將自身通過已經建立的連接復制到被攻擊的遠程系統并運行。
一旦計算機中被植入惡意代碼和蠕蟲病毒,安全問題就不可避免。
(2)網絡入侵
系統被入侵是另外一種常見的安全隱患。黑客侵入計算機和網絡可以非法使用計算機和網絡資源,甚至是完全掌控計算機和網絡。如果黑客侵入控制網絡,就意味著可以隨時破壞企業的生產過程,甚至導致生產完全癱瘓。在化肥的生產過程中,涉及的生產資料往往都是有毒有害、易燃易爆的物質(如CO、H 2、NH 3、甲醇、甲醛等),生產環境也是高溫高壓,一旦生產過程被破壞,容易發生財產重大損失和人員傷亡事故。
圖1 ERP、MES和PCS業務邏輯中的數據交互
(3)協議漏洞
以太網絡是一種共享網絡,任何主機發送的數據包都會到達同一網段的所有主機的以太網接口,不法人員稍做設置或修改,就可以使一個以太網接口接收不屬于它的數據幀,從而實現對網絡中關鍵數據的竊取。另外,在網絡中如果某一臺機器被植入病毒或木馬,是很容易在整個網絡中擴散的,從而導致整個網絡及控制系統癱瘓。
在工業控制系統中,底層的DCS一般采用OPC協議與實時數據庫進行通訊。OPC Classic協議(OPC DA, OPC HAD 和OPCA&E)是基于微軟的DCOM技術開發的,而DCOM技術的安全隱患目前已經被廣泛認識,經常發生安全漏洞問題并受到攻擊。另外由于OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。
(4)拒絕服務(DDOS)攻擊
分布式拒絕服務(DDOS)攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段。常見的分布式拒絕服務攻擊如TCP SYN、Ping Flood、UDP Flood等。拒絕服務攻擊難以防范的原因是它的攻擊對象非常普遍,從服務器到各種網絡設備,如路由器、交換機、防火墻等都可以被拒絕服務攻擊。
控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致操作站的服務癱瘓,與控制系統的通信完全中斷。可以想像,受到拒絕服務攻擊后的控制網絡可能導致網絡中所有操作站和監控終端無法進行實時監控,其后果是非常嚴重的。
3 化肥企業的安全需求分析
化肥企業是典型的資金和技術密集型企業,對信息系統依賴程度很高,生產的連續性很強,裝置和設備的意外停車都會導致巨大的經濟和財產損失。通過前面對化肥企業網絡安全風險的分析,總結出化肥企業信息安全建設的需求主要是通過建設具備縱深防御能力的信息安全保障體系,抵御來自內部、外部的入侵和攻擊,及時發現病毒、漏洞,并抑制病毒在網絡間的擴散,尤其要確保工業控制系統的安全,避免因為控制系統被入侵而出現生產事故。
通過在企業網絡中實施安全策略,應達到如下安全目標:
(1)保護工業控制網絡系統的可用性;
(2)防范從企業管理網絡甚至互聯網對工業控制網絡的非法訪問;
(3)防范入侵者對工業控制設備的惡意攻擊與破壞;
(4)保護工業控制網絡和企業管理網絡之間數據傳輸的安全。
4 化肥企業的安全解決方案
參照ANSI/ISA-99標準,同時結合化肥行業的具體情況將企業系統結構劃分成不同的區域,以幫助企業有效地建立“縱深防御”體系,如圖2所示。
圖2 化肥廠的信息安全防御架構
(1)橫向分層,將企業的生產網絡劃分成企ERP、MES、PCS三層網絡結構。在MES和PCS間部署了力控華康PSL系列工業隔離網關,主要實現了控制網絡的物理隔離,有效屏蔽ERP和MES層面的網絡威脅向生產控制系統傳導,同時又實現了網絡之間安全的數據交換。在管理網絡和信息網絡之間部署工業防火墻,主要用于彌補傳統防火墻的不足,實現對工業協議的安全檢測。
(2)在生產控制網絡層內縱向分區,每個生產區內包含離散控制系統(DCS)、OPC服務器和不同的生產車間。在OPC服務器與DCS控制系統之間采用力控華康ISG工業防火墻進行安全防護,通過對工業協議的深度過濾確保DCS系統及控制設備的安全,并抑制安全威脅在不同生產區之間的擴散。
(3)在生產控制網絡內布署工業漏洞掃描系統,定期對工業網絡設備、系統及PLC等控制設備進行安全檢測,讓安全管理人員及時了解工業網絡安全和運行的應用服務情況,及時發現安全漏洞,更新漏洞補丁,避免因此而帶來的風險威脅。本方案的特點是:
(1)完全阻斷ERP、MES系統的威脅向控制系統擴散
目前網絡邊界防御中最普遍應用的安全技術是通用防火墻。通用防火墻是在網絡層對數據包做安全檢查,并不切斷網絡連接,很多案例證明無論包過濾、狀態檢測還是代理防火墻技術都很難防止木馬病毒入侵內部網絡。Nimda繞過很多防火墻的檢查并在全世界肆虐就是一個很好的例證。通常見到的木馬大部分是基于TCP的,木馬的客戶端和服務器端需要建立連接,而PSL工業隔離網關從原理實現上就切斷所有的TCP、UDP、ICMP等通用協議鏈接,使得蠕蟲病毒和木馬無法通過工業安全隔離網關進行通訊,從而可以防止已知和未知的木馬攻擊。
本方案中采用的力控華康PSL安全工業隔離網關內部特殊的2+1的雙獨立主機架構,控制端接入工業控制網絡,通過采集接口完成各子系統數據的采集;信息接入到企業管理網絡,完成數據到調度中心的傳輸。雙主機之間通過專有的PSL網絡隔離傳輸技術,徹底割斷穿透性的TCP連接。PSL的物理層采用專用隔離硬件,鏈路層和應用層采用私有通信協議,數據流采用128位以上加密方式傳輸,更加充分保障數據安全。PSL技術實現了數據完全自我定義、自我解析、自我審查,傳輸機制具有徹底不可攻擊性,從根本上杜絕了非法數據的通過,確保子系統控制系統不會受到攻擊、侵入及病毒感染。
(2)通過安全分區實現不同DCS系統之間的安全自治
在工業控制系統中,控制網絡數采機(OPC服務器)采用OPC通訊協議與實時數據庫通訊進行數據上傳,由于OPC通訊每次連接采用不固定的端口號,使用傳統的IT防火墻進行防護時,不得不開放大規模范圍內的端口號。在這種情況下,傳統IT防火墻提供的安全保障被降至最低,上位實時數據庫一旦感染病毒或被控制,控制網絡的系統及設備就完全暴露。而通過部署工業防火墻,可以實現對OPC通訊中端口的動態管理,無需事先大規模開放端口。
本方案中采用了力控華康的ISG系列工業防火墻,除了支持商用防火墻的基礎訪問控制功能,ISG工業防火墻還實現了對工業協議的數據級深度過濾,實現了對Modbus、OPC等主流工業通訊協議和規約的細粒度檢查和過濾,幫助用戶阻斷控制網絡內部的病毒傳播、黑客攻擊等行為,避免其對控制網絡的影響和對生產流程的破壞。例如:ISG系列工業防火墻的Modbus協議管控模塊可以針對Modbus協議的設備地址、寄存器類型、寄存器范圍和讀寫屬性等進行檢查。通過類似的管控模塊能有效防范各種非法的操作和數據進入現場控制網絡,最大限度地保護控制系統的安全。
在本方案中,針對DCS系統“集中管理、離散控制”的特點,將工業控制系統縱向劃分為不同的安全分區,每個分區的DCS系統,均部署ISG工業防火墻進行縱向通信的防護,同時對于不同DCS系統之間的橫向通信也有一定的防護作用。通過這種“安全自治”的策略,即使某一個DCS系統被侵入,也不會影響其他DCS系統,為后續的安全響應贏得了時間。
5 結語
工信部協[2011]451號通知明確指出:“SCADA、DCS、PCS、PLC等工業控制系統廣泛運用于工業、能源、交通、水利以及市政等領域,用于控制生產設備的運行。隨著計算機和網絡技術的發展,特別是信息化與工業化深度融合以及物聯網的快速發展,工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與互聯網等公共網絡連接,病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。2010年發生的“震網”病毒事件,充分反映出工業控制系統信息安全面臨著嚴峻的形勢。對此,各地區、各部門、各單位務必高度重視,增強風險意識、責任意識和緊迫感,切實加強工業控制系統信息安全管理。”
化肥工業是國家的基礎性產業,必須強化信息安全風險管理,提升基礎設施產品的安全防護能力。依照等級保護及工信部451號文的要求,對工業控制網絡跟企業信息網絡進行隔離防護,對工業控制系統內重要的DCS系統進行分區保護,可以有效提升工業控制系統的安全防護能力。項目在實施以后,保護目標清晰,運行穩定可靠,取得了良好的防護效果。
作者簡介
李光朋(1979-),男,山東濰坊人,碩士。現任北京力控華康科技有限公司市場部經理,主要從事工業控制系統信息安全技術的研究和推廣工作。
摘自《工業控制系統信息安全專刊(第二輯)》