信息化后的控制系統(tǒng)安全分析

鐘 遠(yuǎn) 金 亮 劉瑞明

（中國石油呼和浩特石化公司，內(nèi)蒙古 呼和浩特 010070）

曾經(jīng)一段時(shí)間，這兩種網(wǎng)絡(luò)是異構(gòu)的，分開的，獨(dú)立運(yùn)行的，然而隨著工業(yè)化和信息化的浪潮席卷全國，這兩種網(wǎng)絡(luò)逐漸開始互連、融合。這樣一來，最大的好處就是信息資源共享，工業(yè)現(xiàn)場(chǎng)的實(shí)

圖1 典型的企業(yè)信息化系統(tǒng)示意圖

時(shí)過程數(shù)據(jù)可以隨時(shí)為任何一臺(tái)接入公司局域網(wǎng)的電腦所共享，這些寶貴的實(shí)時(shí)數(shù)據(jù)可以為工廠的管理和決策提供信息支持。但同樣安全風(fēng)險(xiǎn)也隨之而來，原來的過程控制網(wǎng)絡(luò)是獨(dú)立隔離的，現(xiàn)在卻通過公司辦公網(wǎng)與外網(wǎng)連通了，雖然采取了防火墻等一系列安全措施但被入侵被攻擊的可能性還是大大增加了，且過控網(wǎng)絡(luò)一旦被入侵攻擊，其危害更為嚴(yán)重，可能導(dǎo)致工廠所有自動(dòng)化的設(shè)備停車，使整個(gè)生產(chǎn)陷入癱瘓，甚至造成傷亡事故，這對(duì)一個(gè)生產(chǎn)類企業(yè)來說，無疑是致命的。

有調(diào)查顯示在電力（包括輸配電、水力發(fā)電、火力發(fā)電、核電等）、供排水、石油/天然氣、化學(xué)、制造業(yè)等行業(yè)都發(fā)生過針對(duì)控制系統(tǒng)的信息安全事故。黑客論壇上關(guān)于控制系統(tǒng)弱點(diǎn)的聊天交流也在不斷增加。目前還沒有一份由獨(dú)立機(jī)構(gòu)完成的關(guān)于控制系統(tǒng)所受到計(jì)算機(jī)攻擊的精確統(tǒng)計(jì)報(bào)告，但是我們至少可以得出一個(gè)結(jié)論：與傳統(tǒng)IT行業(yè)所暴露出來的問題一樣，隨著我國工業(yè)化和信息化的不斷深入，控制系統(tǒng)的信息安全事故也呈上升趨勢(shì)。

對(duì)信息化的過程控制系統(tǒng)如何保證它的安全可靠性呢？這是一個(gè)日益迫切的安全現(xiàn)實(shí)問題。個(gè)人認(rèn)為這個(gè)問題需要企業(yè)多方的共同努力，解決思路大致可以分為思想管理和技術(shù)手段兩個(gè)方面，二者相輔相成。

思想管理方面，首先，公司領(lǐng)導(dǎo)和安全主管部門要對(duì)過程控制系統(tǒng)的潛在安全風(fēng)險(xiǎn)引起足夠的重視，給予相關(guān)基層單位（像儀表和自控部門）一定人力、資金和設(shè)備支持。

其次，自控部門的控制人員要加強(qiáng)和工藝人員的交流，熟悉工藝流程和現(xiàn)場(chǎng)環(huán)境，對(duì)控制對(duì)象的關(guān)鍵點(diǎn)和敏感點(diǎn)予以特別重視，制定安全可行的控制方案增強(qiáng)控制系統(tǒng)的抗入侵抗風(fēng)險(xiǎn)能力。

圖2 典型的企業(yè)信息化網(wǎng)絡(luò)結(jié)構(gòu)示意圖

再次，系統(tǒng)控制人員要和公司IT人員要相互理解信任，通力協(xié)作，確保過程控制網(wǎng)絡(luò)的安全。外界普遍認(rèn)為過程控制和IT有著行業(yè)文化隔閡。一般來說，公司的IT部門了解信息安全相關(guān)知識(shí)并且有相應(yīng)的預(yù)算資金來處理此類問題，但是IT人員不了解過程控制系統(tǒng)。而負(fù)責(zé)操作和維護(hù)過程控制系統(tǒng)的人員對(duì)信息安全的了解以及可以應(yīng)用于此項(xiàng)目的預(yù)算資金都比IT部門要少得多。另外，技術(shù)和行業(yè)文化的不同也使兩者之間存在巨大差異。但我個(gè)人認(rèn)為這不是問題，在共同的安全威脅下，雙方更能增進(jìn)理解，相互學(xué)習(xí)，悉心協(xié)作，共同筑好企業(yè)的安全防火墻。

在技術(shù)手段方面，要從信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)出發(fā)，布置最為安全的防護(hù)策略。對(duì)大多數(shù)生產(chǎn)企業(yè)來說，正如圖1所示一般與過程控制系統(tǒng)緊密相連的是一個(gè)稱之為制造執(zhí)行系統(tǒng)（Manufacturing Execution System，簡(jiǎn)稱MES），像石化等有些行業(yè)稱之為生產(chǎn)運(yùn)行系統(tǒng)，它是一個(gè)“技術(shù)+管理”的系統(tǒng)。MES系統(tǒng)位于企業(yè)信息化建設(shè)的中間層，向上支撐ERP，向下連接過程控制層PCS，起著承上啟下的作用。一般外界對(duì)控制網(wǎng)絡(luò)的入侵都得通過MES系統(tǒng)，畢竟如圖2所示只有MES網(wǎng)絡(luò)與控制網(wǎng)絡(luò)是直接相連的。

我們的生產(chǎn)控制網(wǎng)防護(hù)手段就從圖2和圖3所示的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)入手，步步為營；

首先，做好BUFFER機(jī)安全設(shè)計(jì)

如圖3所示，BUFFER機(jī)是DCS等過程控制網(wǎng)絡(luò)與MES網(wǎng)絡(luò)的聯(lián)接點(diǎn)，它的安全對(duì)生產(chǎn)控制網(wǎng)絡(luò)的安全至關(guān)重要，作為Buffer Server的操作系統(tǒng)應(yīng)從以下幾方面進(jìn)行的安全設(shè)計(jì)，以確保生產(chǎn)網(wǎng)的穩(wěn)定。

圖3 典型的MES數(shù)據(jù)采集網(wǎng)絡(luò)結(jié)構(gòu)示意圖

(1)需要配備雙網(wǎng)卡，且與控制網(wǎng)絡(luò)連接的每個(gè)BUFFER機(jī)劃分單獨(dú)的VLAN；(2)安裝最新的操作系統(tǒng)補(bǔ)丁程序；(3)使用NTFS文件系統(tǒng)；(4)BUFFER服務(wù)器在生產(chǎn)環(huán)境中運(yùn)行不能安裝成多操作系統(tǒng)；(5)禁用或刪除不是應(yīng)用必須的默認(rèn)帳號(hào)，及時(shí)清除不再使用的用戶帳號(hào)；(6)建立訪問控制權(quán)限；(7)刪除系統(tǒng)所有的不必要的文件共享，限制用戶對(duì)共享文件的訪問權(quán)限。

其次，建立專用的OPC服務(wù)器，避免從DCS操作站讀取數(shù)據(jù)，更嚴(yán)格禁止直接從DCS控制器提取數(shù)據(jù)；建立專用的OPC服務(wù)器可一方面減輕DCS的通訊負(fù)荷，另一方面可避免從DCS操作站或控制站讀取數(shù)據(jù)所帶來的安全隱患。本人所在的單位就發(fā)生過一次MES OPC服務(wù)器直接從 DCS控制器讀取數(shù)據(jù)引起的DCS控制器假死的事故，所以我們要引以為鑒。

再次，如圖3所示增加防火墻，建立DMZ區(qū)來保證過程控制網(wǎng)的安全。

在網(wǎng)絡(luò)中，非軍事區(qū)(DMZ)是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問服務(wù)的網(wǎng)絡(luò)分開，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全。DMZ網(wǎng)絡(luò)訪問控制策略可參考圖3所示各個(gè)網(wǎng)絡(luò)之間的訪問關(guān)系，可以確定以下六條訪問控制策略：(1)內(nèi)網(wǎng)可以訪問外網(wǎng)。內(nèi)網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要進(jìn)行源地址轉(zhuǎn)換。（2）內(nèi)網(wǎng)可以訪問DMZ。此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。（3）外網(wǎng)不能訪問內(nèi)網(wǎng)。很顯然，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問。（4）外網(wǎng)可以訪問DMZ。DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的，所以外網(wǎng)必須可以訪問DMZ。同時(shí)，外網(wǎng)訪問DMZ需要由防火墻完成對(duì)外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。（5）DMZ不能訪問內(nèi)網(wǎng)。很明顯，如果違背此策略，則當(dāng)入侵者攻陷DMZ時(shí)，就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。（6）DMZ不能訪問外網(wǎng)。此條策略也有例外，比如DMZ中放置郵件服務(wù)器時(shí)，就需要訪問外網(wǎng)，否則將不能正常工作。

綜上所述，過程控制系統(tǒng)的維護(hù)人員要不斷完善作業(yè)規(guī)章建設(shè)和加強(qiáng)自身的業(yè)務(wù)學(xué)習(xí)?？刂葡到y(tǒng)安全問題要制度和技術(shù)兩個(gè)方面同時(shí)著手，兩手都要硬。作業(yè)規(guī)程和制度的建設(shè)可以防范人為過失事故和隱患，技術(shù)的進(jìn)步和力量在成熟規(guī)章的保證下更能發(fā)揮威力。尤其在這個(gè)日新月異的信息時(shí)代，控制人員必須密切關(guān)注行業(yè)動(dòng)態(tài)，不但學(xué)習(xí)新的技術(shù)和標(biāo)準(zhǔn)，與時(shí)俱進(jìn)，未雨綢繆才能確?？刂葡到y(tǒng)安全可靠，為企業(yè)的安全平穩(wěn)生產(chǎn)作做好保障。

[1]焦雪峰.西山煤礦總公司安全教育信息化建設(shè)研究[J].山西大學(xué)，2009（06）.

[2]王起全，王永柱.我國安全生產(chǎn)信息化現(xiàn)狀及發(fā)展方向分析，2010（09）.