国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

    1　概述

    化肥作為重要的農(nóng)業(yè)生產(chǎn)物資，在國家的農(nóng)業(yè)生產(chǎn)中起著重要作用。中國是化肥生產(chǎn)大國，化肥產(chǎn)量位居全球首位。在國家的“十二五”規(guī)劃綱要提出信息化和工業(yè)化深度融合的要求后，我國化肥企業(yè)信息化的整體水平較過去有了一定的進展，但是在信息化建設(shè)投入、企業(yè)信息編碼規(guī)范，尤其在工業(yè)安全意識方面遠低于發(fā)達國家水平。在化肥生產(chǎn)企業(yè)，生產(chǎn)線與中控數(shù)據(jù)平臺通常距離較遠，數(shù)據(jù)平臺一般通過以太網(wǎng)來遠程獲取生產(chǎn)數(shù)據(jù)，這樣在內(nèi)網(wǎng)和廣域網(wǎng)之間的數(shù)據(jù)傳輸就存在很大的安全隱患，迫切需要升級信息安全策略來確保數(shù)據(jù)傳輸和控制系統(tǒng)的安全。

    河南心連心化肥有限公司是國家百萬噸化肥生產(chǎn)基地，河南省規(guī)模最大、生產(chǎn)成本最低的尿素生產(chǎn)企業(yè)，省政府列入的100戶重點工業(yè)企業(yè)之一。擁有合成氨70萬噸、尿素125萬噸、復(fù)合肥60萬噸、甲醇30萬噸的年生產(chǎn)能力。2007年6月20日，河南心連心化肥有限公司成為中國第一家在新加坡上市的化肥生產(chǎn)企業(yè)。

    本文分析了化肥企業(yè)的生產(chǎn)和控制網(wǎng)絡(luò)的網(wǎng)絡(luò)現(xiàn)狀和安全風(fēng)險，介紹了力控華康PSL系列工業(yè)隔離網(wǎng)關(guān)和ISG系列工業(yè)防火墻在以心連心化肥有限公司為代表的化肥生產(chǎn)企業(yè)中的應(yīng)用?！?br/>
    2　化肥企業(yè)的網(wǎng)絡(luò)現(xiàn)狀及安全風(fēng)險分析

    心連心化肥有限公司的生產(chǎn)網(wǎng)絡(luò)是基于ERP、MES和PCS三層架構(gòu)的管控一體化信息模型。隨著企業(yè)規(guī)模的不斷擴大，迫切需要提高生產(chǎn)管理水平和應(yīng)急響應(yīng)水平，這就需要將生產(chǎn)系統(tǒng)中大量的實時數(shù)據(jù)及時、有效地采集、存儲、分析、公布，同時加強對關(guān)鍵崗位和場所進行監(jiān)視、監(jiān)測及設(shè)備狀態(tài)檢測。在這種業(yè)務(wù)場景下，ERP系統(tǒng)、MES系統(tǒng)與底層工業(yè)控制系統(tǒng)之間的實時數(shù)據(jù)交換就是不可避免的。如圖1所示。

圖1 ERP、MES和PCS業(yè)務(wù)邏輯中的數(shù)據(jù)交互

    目前在化肥生產(chǎn)企業(yè)的控制網(wǎng)絡(luò)中，一般是通過以太網(wǎng)來實現(xiàn)數(shù)據(jù)的實時交換和共享。以太網(wǎng)具備廣泛的開放性，遵照網(wǎng)絡(luò)協(xié)議的不同，廠商設(shè)備可以很容易實現(xiàn)互聯(lián)。借助以太網(wǎng)和TCP/IP技術(shù)很容易實現(xiàn)工業(yè)控制網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)的無縫連接，形成企業(yè)級管控一體化的全開放網(wǎng)絡(luò)，極大方便了生產(chǎn)及控制數(shù)據(jù)的調(diào)用、匯總和存儲。但以太網(wǎng)及TCP/IP技術(shù)的開放性，使得它比傳統(tǒng)的總線技術(shù)更容易暴露于病毒、黑客非法入侵等網(wǎng)絡(luò)安全威脅之下。工業(yè)控制系統(tǒng)如果遭受病毒入侵和黑客攻擊，不僅會造成信息的丟失，還可能造成生產(chǎn)故障、人員損害及設(shè)備損壞，其直接財產(chǎn)的損失是巨大的，甚至有可能引起環(huán)境問題和社會問題。

    根據(jù)化肥企業(yè)的實際情況來分析，其面臨的網(wǎng)絡(luò)安全風(fēng)險主要包括：

    （1）病毒與惡意代碼

    病毒的泛濫是大家有目共睹的。全球范圍內(nèi)，每年都會有數(shù)次大規(guī)模的病毒爆發(fā)。傳統(tǒng)的病毒自我復(fù)制過程需要人工干預(yù)，無論運行感染病毒的實用程序，或者是打開包含宏病毒的郵件等，沒有人工干預(yù)病毒無法自我完成復(fù)制、傳播。但是現(xiàn)在的蠕蟲病毒卻可以自我獨立完成以下過程：

    ·查找遠程系統(tǒng)：能夠通過檢索已被攻陷的系統(tǒng)的網(wǎng)絡(luò)鄰居列表或其它遠程系統(tǒng)地址列表找出下一個攻擊對象。

    ·建立連接：能夠通過端口掃描等操作過程自動和被攻擊對象建立連接，如Telnet連接等。

    ·實施攻擊：能夠自動將自身通過已經(jīng)建立的連接復(fù)制到被攻擊的遠程系統(tǒng)并運行。

    一旦計算機中被植入惡意代碼和蠕蟲病毒，安全問題就不可避免。

    （2）網(wǎng)絡(luò)入侵

    系統(tǒng)被入侵是另外一種常見的安全隱患。黑客侵入計算機和網(wǎng)絡(luò)可以非法使用計算機和網(wǎng)絡(luò)資源，甚至是完全掌控計算機和網(wǎng)絡(luò)。如果黑客侵入控制網(wǎng)絡(luò)，就意味著可以隨時破壞企業(yè)的生產(chǎn)過程，甚至導(dǎo)致生產(chǎn)完全癱瘓。在化肥的生產(chǎn)過程中，涉及的生產(chǎn)資料往往都是有毒有害、易燃易爆的物質(zhì)（如CO、H2、NH3、甲醇、甲醛等），生產(chǎn)環(huán)境也是高溫高壓，一旦生產(chǎn)過程被破壞，容易發(fā)生財產(chǎn)重大損失和人員傷亡事故。

    （3）協(xié)議漏洞

    以太網(wǎng)絡(luò)是一種共享網(wǎng)絡(luò)，任何主機發(fā)送的數(shù)據(jù)包都會到達同一網(wǎng)段的所有主機的以太網(wǎng)接口，不法人員稍做設(shè)置或修改，就可以使一個以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀，從而實現(xiàn)對網(wǎng)絡(luò)中關(guān)鍵數(shù)據(jù)的竊取。另外，在網(wǎng)絡(luò)中如果某一臺機器被植入病毒或木馬，是很容易在整個網(wǎng)絡(luò)中擴散的，從而導(dǎo)致整個網(wǎng)絡(luò)及控制系統(tǒng)癱瘓。

    在工業(yè)控制系統(tǒng)中，底層的DCS一般采用OPC協(xié)議與實時數(shù)據(jù)庫進行通訊。OPC Classic協(xié)議（OPC DA,OPC HAD 和OPC A&E）是基于微軟的DCOM技術(shù)開發(fā)的，而DCOM技術(shù)的安全隱患目前已經(jīng)被廣泛認識，經(jīng)常發(fā)生安全漏洞問題并受到攻擊。另外由于OPC通訊采用不固定的端口號，導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。

    （4）拒絕服務(wù)（DDOS）攻擊

    分布式拒絕服務(wù)（DDOS）攻擊即攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)，是黑客常用的攻擊手段。常見的分布式拒絕服務(wù)攻擊如TCP SYN、Ping Flood、UDPFlood等。拒絕服務(wù)攻擊難以防范的原因是它的攻擊對象非常普遍，從服務(wù)器到各種網(wǎng)絡(luò)設(shè)備，如路由器、交換機、防火墻等都可以被拒絕服務(wù)攻擊。

    控制網(wǎng)絡(luò)一旦遭受嚴重的拒絕服務(wù)攻擊就會導(dǎo)致操作站的服務(wù)癱瘓，與控制系統(tǒng)的通信完全中斷?？梢韵胂?，受到拒絕服務(wù)攻擊后的控制網(wǎng)絡(luò)可能導(dǎo)致網(wǎng)絡(luò)中所有操作站和監(jiān)控終端無法進行實時監(jiān)控，其后果是非常嚴重的。

    3　化肥企業(yè)的安全需求分析

    化肥企業(yè)是典型的資金和技術(shù)密集型企業(yè)，對信息系統(tǒng)依賴程度很高，生產(chǎn)的連續(xù)性很強，裝置和設(shè)備的意外停車都會導(dǎo)致巨大的經(jīng)濟和財產(chǎn)損失。通過前面對化肥企業(yè)網(wǎng)絡(luò)安全風(fēng)險的分析，總結(jié)出化肥企業(yè)信息安全建設(shè)的需求主要是通過建設(shè)具備縱深防御能力的信息安全保障體系，抵御來自內(nèi)部、外部的入侵和攻擊，及時發(fā)現(xiàn)病毒、漏洞，并抑制病毒在網(wǎng)絡(luò)間的擴散，尤其要確保工業(yè)控制系統(tǒng)的安全，避免因為控制系統(tǒng)被入侵而出現(xiàn)生產(chǎn)事故。

    通過在企業(yè)網(wǎng)絡(luò)中實施安全策略，應(yīng)達到如下安全目標(biāo)：

    （1）保護工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的可用性；

    （2）防范從企業(yè)管理網(wǎng)絡(luò)甚至互聯(lián)網(wǎng)對工業(yè)控制網(wǎng)絡(luò)的非法訪問；

    （3）防范入侵者對工業(yè)控制設(shè)備的惡意攻擊與破壞；

    （4）保護工業(yè)控制網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)陌踩?br/>
    4　化肥企業(yè)的安全解決方案

    參照ANSI/ISA-99標(biāo)準(zhǔn)，同時結(jié)合化肥行業(yè)的具體情況將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域，以幫助企業(yè)有效地建立“縱深防御”體系，如圖2所示。

圖2 化肥廠的信息安全防御架構(gòu)

    （1） 橫向分層， 將企業(yè)的生產(chǎn)網(wǎng)絡(luò)劃分成企ERP、MES、PCS三層網(wǎng)絡(luò)結(jié)構(gòu)。在MES和PCS間部署了力控華康PSL系列工業(yè)隔離網(wǎng)關(guān)，主要實現(xiàn)了控制網(wǎng)絡(luò)的物理隔離，有效屏蔽ERP和MES層面的網(wǎng)絡(luò)威脅向生產(chǎn)控制系統(tǒng)傳導(dǎo)，同時又實現(xiàn)了網(wǎng)絡(luò)之間安全的數(shù)據(jù)交換。在管理網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間部署工業(yè)防火墻，主要用于彌補傳統(tǒng)防火墻的不足，實現(xiàn)對工業(yè)協(xié)議的安全檢測。

    （2）在生產(chǎn)控制網(wǎng)絡(luò)層內(nèi)縱向分區(qū)，每個生產(chǎn)區(qū)內(nèi)包含離散控制系統(tǒng)（DCS）、OPC服務(wù)器和不同的生產(chǎn)車間。在OPC服務(wù)器與DCS控制系統(tǒng)之間采用力控華康ISG工業(yè)防火墻進行安全防護，通過對工業(yè)協(xié)議的深度過濾確保DCS系統(tǒng)及控制設(shè)備的安全，并抑制安全威脅在不同生產(chǎn)區(qū)之間的擴散。

    （3）在生產(chǎn)控制網(wǎng)絡(luò)內(nèi)布署工業(yè)漏洞掃描系統(tǒng)，定期對工業(yè)網(wǎng)絡(luò)設(shè)備、系統(tǒng)及PLC等控制設(shè)備進行安全檢測，讓安全管理人員及時了解工業(yè)網(wǎng)絡(luò)安全和運行的應(yīng)用服務(wù)情況，及時發(fā)現(xiàn)安全漏洞，更新漏洞補丁，避免因此而帶來的風(fēng)險威脅。

    本方案的特點是：

    （1）完全阻斷ERP、MES系統(tǒng)的威脅向控制系統(tǒng)擴散

    目前網(wǎng)絡(luò)邊界防御中最普遍應(yīng)用的安全技術(shù)是通用防火墻。通用防火墻是在網(wǎng)絡(luò)層對數(shù)據(jù)包做安全檢查，并不切斷網(wǎng)絡(luò)連接，很多案例證明無論包過濾、狀態(tài)檢測還是代理防火墻技術(shù)都很難防止木馬病毒入侵內(nèi)部網(wǎng)絡(luò)。Nimda繞過很多防火墻的檢查并在全世界肆虐就是一個很好的例證。通常見到的木馬大部分是基于TCP的，木馬的客戶端和服務(wù)器端需要建立連接，而PSL工業(yè)隔離網(wǎng)關(guān)從原理實現(xiàn)上就切斷所有的TCP、UDP、ICMP等通用協(xié)議鏈接，使得蠕蟲病毒和木馬無法通過工業(yè)安全隔離網(wǎng)關(guān)進行通訊，從而可以防止已知和未知的木馬攻擊。

    本方案中采用的力控華康PSL安全工業(yè)隔離網(wǎng)關(guān)內(nèi)部特殊的2+1的雙獨立主機架構(gòu)，控制端接入工業(yè)控制網(wǎng)絡(luò)，通過采集接口完成各子系統(tǒng)數(shù)據(jù)的采集；信息接入到企業(yè)管理網(wǎng)絡(luò)，完成數(shù)據(jù)到調(diào)度中心的傳輸。雙主機之間通過專有的PSL網(wǎng)絡(luò)隔離傳輸技術(shù)，徹底割斷穿透性的TCP連接。PSL的物理層采用專用隔離硬件，鏈路層和應(yīng)用層采用私有通信協(xié)議，數(shù)據(jù)流采用128位以上加密方式傳輸，更加充分保障數(shù)據(jù)安全。PSL技術(shù)實現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根本上杜絕了非法數(shù)據(jù)的通過，確保子系統(tǒng)控制系統(tǒng)不會受到攻擊、侵入及病毒感染。

    （2）通過安全分區(qū)實現(xiàn)不同DCS系統(tǒng)之間的安全自治

    在工業(yè)控制系統(tǒng)中，控制網(wǎng)絡(luò)數(shù)采機（OPC服務(wù)器）采用OPC通訊協(xié)議與實時數(shù)據(jù)庫通訊進行數(shù)據(jù)上傳，由于OPC通訊每次連接采用不固定的端口號，使用傳統(tǒng)的IT防火墻進行防護時，不得不開放大規(guī)模范圍內(nèi)的端口號。在這種情況下，傳統(tǒng)IT防火墻提供的安全保障被降至最低，上位實時數(shù)據(jù)庫一旦感染病毒或被控制，控制網(wǎng)絡(luò)的系統(tǒng)及設(shè)備就完全暴露。而通過部署工業(yè)防火墻，可以實現(xiàn)對OPC通訊中端口的動態(tài)管理，無需事先大規(guī)模開放端口。

    本方案中采用了力控華康的ISG系列工業(yè)防火墻，除了支持商用防火墻的基礎(chǔ)訪問控制功能，ISG工業(yè)防火墻還實現(xiàn)了對工業(yè)協(xié)議的數(shù)據(jù)級深度過濾，實現(xiàn)了對Modbus、OPC等主流工業(yè)通訊協(xié)議和規(guī)約的細粒度檢查和過濾，幫助用戶阻斷控制網(wǎng)絡(luò)內(nèi)部的病毒傳播、黑客攻擊等行為，避免其對控制網(wǎng)絡(luò)的影響和對生產(chǎn)流程的破壞。例如：ISG系列工業(yè)防火墻的Modbus協(xié)議管控模塊可以針對Modbus協(xié)議的設(shè)備地址、寄存器類型、寄存器范圍和讀寫屬性等進行檢查。通過類似的管控模塊能有效防范各種非法的操作和數(shù)據(jù)進入現(xiàn)場控制網(wǎng)絡(luò)，最大限度地保護控制系統(tǒng)的安全。

    在本方案中，針對DCS系統(tǒng)“集中管理、離散控制”的特點，將工業(yè)控制系統(tǒng)縱向劃分為不同的安全分區(qū)，每個分區(qū)的DCS系統(tǒng)，均部署ISG工業(yè)防火墻進行縱向通信的防護，同時對于不同DCS系統(tǒng)之間的橫向通信也有一定的防護作用。通過這種“安全自治”的策略，即使某一個DCS系統(tǒng)被侵入，也不會影響其他DCS系統(tǒng)，為后續(xù)的安全響應(yīng)贏得了時間。

    5　結(jié)語

    工信部協(xié)[2011]451號通知明確指出：“SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設(shè)備的運行。隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全問題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件，充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢。對此，各地區(qū)、各部門、各單位務(wù)必高度重視，增強風(fēng)險意識、責(zé)任意識和緊迫感，切實加強工業(yè)控制系統(tǒng)信息安全管理?！?br/>
    化肥工業(yè)是國家的基礎(chǔ)性產(chǎn)業(yè)，必須強化信息安全風(fēng)險管理，提升基礎(chǔ)設(shè)施產(chǎn)品的安全防護能力。依照等級保護及工信部451號文的要求，對工業(yè)控制網(wǎng)絡(luò)跟企業(yè)信息網(wǎng)絡(luò)進行隔離防護，對工業(yè)控制系統(tǒng)內(nèi)重要的DCS系統(tǒng)進行分區(qū)保護，可以有效提升工業(yè)控制系統(tǒng)的安全防護能力。項目在實施以后，保護目標(biāo)清晰，運行穩(wěn)定可靠，取得了良好的防護效果。


作者簡介

李光朋（1979-），男，山東濰坊人，碩士?，F(xiàn)任北京力控華康科技有限公司市場部經(jīng)理，主要從事工業(yè)控制系統(tǒng)信息安全技術(shù)的研究和推廣工作。