自動控制系統(tǒng)的安全防護

夏 毅，李紅春

（大連西太平洋石化公司，大連 116610）

0 引 言

DCS、PLC等控制系統(tǒng)目前已在國內(nèi)的石油化工企業(yè)普遍采用，在實際應(yīng)用過程中這些控制系統(tǒng)為裝置的平穩(wěn)控制、裝置優(yōu)化和全廠管控一體化的實現(xiàn)起到了不可替代的作用。

隨著信息技術(shù)和控制技術(shù)的不斷發(fā)展，當前大多在用和即將投用的DCS和PLC等控制系統(tǒng)普遍采用通用的以太網(wǎng)組網(wǎng)技術(shù)，并采用普通服務(wù)器和微機作為工程師站和操作站，大大降低了系統(tǒng)組態(tài)和使用的難度，提高了操作員的實際操作效率，但同時也帶來了越來越多的系統(tǒng)安全風險，為控制系統(tǒng)管理技術(shù)人員帶來了新的挑戰(zhàn)。

近幾年因為控制系統(tǒng)感染病毒而引起裝置停車和其他風險事故的案例不絕于耳，最嚴重的莫過于2010年發(fā)生于伊朗核電站的“震網(wǎng)”病毒導(dǎo)致核反應(yīng)堆推遲發(fā)電的事件，雖沒有造成大的災(zāi)難性后果，但帶來了巨大的經(jīng)濟損失和極大的國際影響。針對上述安全形勢國家有關(guān)部門和各行業(yè)均已引起極大關(guān)注，多次下發(fā)文件要求各企業(yè)加大控制系統(tǒng)的安全防護力度，避免因為安全隱患造成不必要的損失。本文側(cè)重在控制系統(tǒng)的病毒防護和非法侵入防范等方面從病毒傳播原理、網(wǎng)絡(luò)安全結(jié)構(gòu)和具體實施方案做初步探討。

1 控制系統(tǒng)的安全風險

控制系統(tǒng)目前所面臨的安全風險從實際運行情況看形成實際隱患的主要有病毒危害和非法侵入兩種，兩者比較則又以病毒的防范最為迫切。

1.1 安全風險的形成

上述兩種風險的形成是由下述幾個原因造成的：

1）目前控制系統(tǒng)普遍采用通用型以太網(wǎng)絡(luò)和計算機技術(shù)，為病毒傳播和非法侵入創(chuàng)造了理想環(huán)境。

2）由于各石化企業(yè)逐步實現(xiàn)扁平化管理，普遍采用ERP和MES等管理信息系統(tǒng)，需要與下層的控制系統(tǒng)進行聯(lián)網(wǎng)和信息交換，形成企業(yè)內(nèi)部和外部集成度較高的局域網(wǎng)和外部網(wǎng)，控制系統(tǒng)的網(wǎng)絡(luò)化互聯(lián)為病毒營造了迅速傳播的溫床，同時也為非法入侵創(chuàng)造了物理條件。

3）控制系統(tǒng)管理人員對上述危害認識不足，一直延續(xù)使用老的管理理念，沒有采取有針對性的防護手段，造成病毒的惡性傳播，為控制系統(tǒng)的安全運行帶來了風險。

1.2 安全風險的危害

網(wǎng)絡(luò)病毒傳播對控制系統(tǒng)的危害主要體現(xiàn)在以下幾方面：

1）堵塞控制系統(tǒng)內(nèi)部網(wǎng)絡(luò)，造成網(wǎng)絡(luò)通訊癱瘓。筆者所在單位的一套PKS控制系統(tǒng)曾經(jīng)感染Conficker蠕蟲病毒，造成Flex操作站與Server通訊中斷，操作站反應(yīng)極慢，無法正常工作，只能斷開網(wǎng)絡(luò)查殺病毒后再恢復(fù)，整個病毒清理過程歷時一天，嚴重影響了工藝正常操作。

2）病毒會自行修改操作站和工程師站的注冊表等信息，破壞計算機引導(dǎo)區(qū)文件，造成計算機的非正常運行、停機或死機。

3）病毒發(fā)作后大量占用計算機內(nèi)存、硬盤空間、網(wǎng)絡(luò)帶寬等資源，使計算機無法正常運行。

4）病毒進入控制器的運行程序造成控制器運行異常，直接威脅所控制裝置的平穩(wěn)運行。

非法侵入是指網(wǎng)絡(luò)黑客通過網(wǎng)絡(luò)連接利用網(wǎng)絡(luò)漏洞以非正常手段侵入控制系統(tǒng)內(nèi)部，竊取信息或完全和部分接管系統(tǒng)的控制，形成非法操作，造成安全事故，目前這種針對控制系統(tǒng)的非法侵入事件還比較少見。

1.3 病毒的特征

病毒作為一種特殊的計算機程序，具有下述幾個主要特征：

1）表現(xiàn)性和破壞性：即一旦病毒侵入系統(tǒng)就會對系統(tǒng)運行造成不同程度的惡性影響。

2）隱蔽性和潛伏性：病毒一旦進入系統(tǒng)就附著在正常程序或磁盤引導(dǎo)扇區(qū)，不易被發(fā)現(xiàn)，且有些病毒隱藏在系統(tǒng)中，只有滿足某種條件它的危害性才表現(xiàn)出來。

3）傳染性：計算機病毒就像人體病毒一樣傳染性是其基本特征，只要具備傳播通道就可由被感染的系統(tǒng)擴散到未被感染的系統(tǒng)中，從而造成大面積危害。

4）針對性：計算機病毒的發(fā)作有一定的環(huán)境要求，一種病毒并不是可以傳染任何計算機系統(tǒng)，當前流行的絕大多數(shù)病毒都是針對WINDOWS操作系統(tǒng)和TCP/IP通訊協(xié)議，因此較老的控制系統(tǒng)，如HONEYWELL的TDC3000和TPS系統(tǒng)、YOKOGAWA的CENTUM系統(tǒng)、ABB的MOD300等系統(tǒng)由于采用的是類UNIX的操作系統(tǒng)和非TCP/IP的通訊網(wǎng)絡(luò)協(xié)議，到目前還沒有相關(guān)病毒感染造成影響的報道。

5）快速傳染性：計算機病毒的傳播在具備合適的物理條件的情況下幾乎是在瞬間完成，筆者曾經(jīng)做過此類試驗，干凈的計算機插入網(wǎng)線的同時蠕蟲病毒已經(jīng)感染。

2 控制系統(tǒng)的安全防護措施

計算機病毒有類似于人體病毒的傳播特點，即它的傳播必須具備三個條件：傳染源（計算機病毒）、傳播途徑（網(wǎng)絡(luò)或移動存儲介質(zhì)）、易感人群（未被感染的計算機和網(wǎng)絡(luò)）。只要消除上述三要素的任一個就可避免病毒的感染，從實際情況看控制系統(tǒng)的病毒防護只能從切斷病毒的傳播途徑來采取措施。如圖1所示。

圖1 病毒傳播要素

計算機病毒的傳播途徑主要有：計算機網(wǎng)絡(luò)、在不同計算機交叉使用移動存儲介質(zhì)。從計算機網(wǎng)絡(luò)層面防護病毒的傳播可以采取技術(shù)手段將病毒阻擋在控制系統(tǒng)之外，而避免移動介質(zhì)的使用導(dǎo)致傳播病毒則只能通過采取嚴格的管理措施來實現(xiàn)。

2.1 石化企業(yè)典型的控制系統(tǒng)和管理網(wǎng)絡(luò)結(jié)構(gòu)

石化企業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)從層次上可大體分為三個層面：控制網(wǎng)絡(luò)層、實時數(shù)據(jù)網(wǎng)絡(luò)層和管理網(wǎng)絡(luò)層。

1）控制網(wǎng)絡(luò)層是指控制系統(tǒng)（DCS、PLC、ESD、SCADA等）內(nèi)部網(wǎng)絡(luò)；不同的系統(tǒng)采用不同網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)結(jié)構(gòu)，較老的DCS系統(tǒng)均沒有采用TCP/IP的網(wǎng)絡(luò)協(xié)議，如HONEYWELL的TPS系統(tǒng)LCN和UCN采用IEEE802令牌網(wǎng)協(xié)議族；而近幾年新推出的控制系統(tǒng)大部分采用了TCP/IP標準協(xié)議。

2）實時數(shù)據(jù)網(wǎng)絡(luò)層是指實時數(shù)據(jù)庫、生產(chǎn)優(yōu)化數(shù)據(jù)庫等以裝置生產(chǎn)優(yōu)化、先進控制為中心的數(shù)據(jù)平臺所在的網(wǎng)絡(luò)層次，此層次的實時數(shù)據(jù)庫服務(wù)器與各套DCS、PLC、SCADA等控制系統(tǒng)進行聯(lián)網(wǎng)，將各控制系統(tǒng)生產(chǎn)數(shù)據(jù)通過接口上行采集到數(shù)據(jù)庫，并向上層管理網(wǎng)絡(luò)實時發(fā)布數(shù)據(jù)，同時通過實時數(shù)據(jù)庫向控制網(wǎng)絡(luò)層下行優(yōu)化數(shù)據(jù)。

3）管理網(wǎng)絡(luò)層是指ERP、MES、辦公自動化等上層管理應(yīng)用所在網(wǎng)絡(luò)層次，此層的管理系統(tǒng)向下從數(shù)據(jù)采集層調(diào)用實時數(shù)據(jù)，以滿足這一層各種管理軟件的數(shù)據(jù)需求，同時向上與外部Internet或VPN專網(wǎng)相聯(lián)，向公司外部提供數(shù)據(jù)。如圖2所示。

圖2 石化企業(yè)典型控制和管理網(wǎng)絡(luò)層次圖

2.2 硬件防火墻的設(shè)立

從以上三個網(wǎng)絡(luò)層次看，對于控制系統(tǒng)來講計算機病毒的來源主要來自兩個方面：

1）起源于上層管理系統(tǒng)通過網(wǎng)絡(luò)互聯(lián)向下傳播到底層的控制系統(tǒng)網(wǎng)絡(luò)。

2）交叉使用移動介質(zhì)時將病毒傳播到控制系統(tǒng)。

為防護第一種病毒的傳播需要配備專用的防護設(shè)備：防火墻，并在防火墻設(shè)置嚴格的防護策略。防火墻的部署可根據(jù)各企業(yè)不同的網(wǎng)絡(luò)拓撲結(jié)構(gòu)采取不同的方案，但配置的主要原則是在底層控制網(wǎng)絡(luò)與實時數(shù)據(jù)網(wǎng)絡(luò)層之間、實時數(shù)據(jù)網(wǎng)絡(luò)層與上層管理網(wǎng)絡(luò)之間設(shè)立網(wǎng)絡(luò)檢查防護節(jié)點，通過對數(shù)據(jù)包的篩選和屏蔽，防止非法訪問進入底層的控制系統(tǒng)網(wǎng)絡(luò)，保證控制系統(tǒng)的正常運行。

從網(wǎng)絡(luò)安全防護來看，實時數(shù)據(jù)庫是集中向外部（管理網(wǎng)絡(luò)）提供數(shù)據(jù)服務(wù)的數(shù)據(jù)平臺，并單獨設(shè)置在相對獨立的網(wǎng)段中，因此這個網(wǎng)段可稱為是防火墻意義上的非軍事區(qū)（DMZ，DeMilitarized Zone），它起到隔離內(nèi)部控制網(wǎng)和外部管理網(wǎng)的作用，為內(nèi)外網(wǎng)之間的數(shù)據(jù)通訊起到緩沖作用，因此按照上述原則應(yīng)分別在實時數(shù)據(jù)庫的內(nèi)側(cè)和外側(cè)設(shè)立防火墻。如圖3所示。

圖3 DMZ示意圖

對于防火墻的型號選擇，目前市面上通用的防火墻產(chǎn)品基本都能滿足我們的安全要求，如CISCO公司的PIX和ASA系列產(chǎn)品，CheckPoint公司的產(chǎn)品等，但在選擇時盡量選用集成防病毒功能的產(chǎn)品，同時要關(guān)注防火墻的吞吐量、并發(fā)連接數(shù)、報文轉(zhuǎn)發(fā)率等性能指標。

管理網(wǎng)絡(luò)與實時數(shù)據(jù)庫間防火墻的設(shè)置：實時數(shù)據(jù)網(wǎng)絡(luò)層在物理上要獨立組網(wǎng)，不要與辦公網(wǎng)絡(luò)復(fù)用，此網(wǎng)絡(luò)與上層管理網(wǎng)絡(luò)間保留一個統(tǒng)一出口。防火墻的設(shè)置可根據(jù)實時數(shù)據(jù)庫的特點，只允許管理層的數(shù)據(jù)請求訪問實時數(shù)據(jù)庫服務(wù)器的某個或某些端口，其他無關(guān)的協(xié)議請求和網(wǎng)絡(luò)端口全部在防火墻防護策略中被阻斷。為進一步增強安全防護等級，也可在管理層再單獨設(shè)置一臺實時數(shù)據(jù)庫服務(wù)器，作為非軍事區(qū)內(nèi)實時數(shù)據(jù)庫服務(wù)器的影子服務(wù)器，內(nèi)部服務(wù)器直接將數(shù)據(jù)映射傳遞到外部服務(wù)器，管理層的任何數(shù)據(jù)請求訪問的是外部服務(wù)器，不再進入也不允許訪問內(nèi)部數(shù)據(jù)庫服務(wù)器，從而大大提高了安全防護等級。如圖4所示。

圖4 實時數(shù)據(jù)庫影子配置圖

實時數(shù)據(jù)庫與控制系統(tǒng)間的防火墻設(shè)置：目前實時數(shù)據(jù)庫與各套DCS和PLC間大多通過DCS的APP應(yīng)用站或?qū)Ｓ肞LC通訊接口來實現(xiàn)，在防火墻策略配置中向?qū)崟r數(shù)據(jù)庫開放必要的APP站和通訊接口的地址、端口和協(xié)議，阻斷來自數(shù)據(jù)采集網(wǎng)絡(luò)層的大部分不必要的協(xié)議和端口。

按照體系結(jié)構(gòu)防火墻可分為包過濾防火墻、屏蔽主機防火墻、屏蔽子網(wǎng)防火墻等，防火墻的安全策略包含以下主要內(nèi)容：用戶權(quán)限和賬號、信任關(guān)系、包過濾、認證簽名等。

2.3 OPC協(xié)議的安全防護

目前實時數(shù)據(jù)庫與控制系統(tǒng)間、控制系統(tǒng)與控制系統(tǒng)間普遍通過OPC協(xié)議進行數(shù)據(jù)采集和數(shù)據(jù)交換，但由于OPC協(xié)議的自身技術(shù)特點為防火墻的安全策略的配置帶來了挑戰(zhàn)。

OPC（OLE for Process Control）協(xié)議是基于微軟DCOM（Distributed Component Object Model）技術(shù)開發(fā)的用于控制系統(tǒng)間數(shù)據(jù)交換的專用協(xié)議[1]。OPC的數(shù)據(jù)訪問機制是客戶端發(fā)出數(shù)據(jù)請求后，OPC服務(wù)器端動態(tài)為其分配一個IP端口，建立起數(shù)據(jù)傳遞通道進行數(shù)據(jù)傳遞，即每次客戶端發(fā)出數(shù)據(jù)請求后服務(wù)器端開放的IP端口是不同的，而且這些IP地址的分配范圍非常廣，其覆蓋范圍多達16000多個口地址，而常規(guī)防火墻主要依據(jù)IP地址和端口地址建立相應(yīng)的安全防護策略，因此常規(guī)通用防火墻無法對OPC通訊有效地建立安全防護機制。如圖5所示。

圖5 OPC工作原理圖

對于OPC協(xié)議的安全防護有以下兩種解決方案[2]：

1）采用OPC專用防火墻。如加拿大Byres公司的TOFINO專用防火墻是專為OPC協(xié)議的安全防護設(shè)計的，這種防火墻有專門的硬件設(shè)備通過安裝OPC軟件模塊后經(jīng)過簡單配置隱藏了下層TCP和UDP協(xié)議內(nèi)容。它可以按照OPC通訊的服務(wù)器端和客戶端具體情況設(shè)置安全策略，滿足OPC協(xié)議的客戶端的請求允許通過，非OPC請求一律被攔阻。TOFINO防火墻通過安裝不同的軟件模塊還可實現(xiàn)對ModBusTCP通訊的安全防護。

2）采用OPC虛擬通道技術(shù)。如Matrikon公司的OPC Tunneller通訊軟件，分別在OPC服務(wù)器和客戶端安裝OPC Tunneller軟件，建立起OPC通訊專有固定端口IP通道，隱去底層DCOM的動態(tài)IP端口分配機制，這樣就可在服務(wù)器端和客戶端之間采用通用防火墻進行安全控制策略配置。如圖6所示。

圖6 OPC Tunneller示意圖

2.4 防病毒軟件的設(shè)置

硬件防火墻對于防護非法侵入和病毒傳播的防護起到比較大的作用，但是根據(jù)病毒的隱藏機制，還不能完全切斷病毒的網(wǎng)絡(luò)傳播，尤其是不能防止已經(jīng)感染了病毒的軟件或文件的傳輸，因此需要在相應(yīng)的網(wǎng)絡(luò)部位部署防病毒軟件。

目前各企業(yè)在管理網(wǎng)絡(luò)層都已經(jīng)部署了防病毒軟件，為實現(xiàn)控制系統(tǒng)的安全，需進一步在實時數(shù)據(jù)網(wǎng)絡(luò)層和控制系統(tǒng)內(nèi)部分別部署獨立的防病毒軟件[3]?？刂葡到y(tǒng)內(nèi)部的防病毒軟件建議由DCS或PLC廠家提出實施方案，理由見下：

1）防病毒軟件有時采用主動掃描方式，掃描期間會對DCS服務(wù)器和操作站產(chǎn)生影響，因此需要對防病毒軟件進行個性化配置，避免病毒掃描機制對系統(tǒng)的服務(wù)器和操作站的常規(guī)服務(wù)產(chǎn)生干擾；廠家都會對各種通用的病毒軟件進行過系統(tǒng)測試，所提供的解決方案更加成熟可靠。

2）病毒防護軟件安裝后需定期更新病毒屬性庫，有些屬性庫查殺病毒時會誤刪機器內(nèi)的有用文件，廠家提供的方案和病毒庫文件均已在系統(tǒng)中經(jīng)過運行驗證，在各自的系統(tǒng)中使用被證明是安全的，如HONEYWELL公司認證的防護軟件為Mcafee或Norton的軟件產(chǎn)品，EMERSON公司認證的病毒防護軟件為SYMANTEC的產(chǎn)品。

3 安全防護的管理手段

上述技術(shù)措施能夠比較有效地阻斷計算機病毒由上層管理網(wǎng)絡(luò)向控制系統(tǒng)的傳播和非法用戶的侵入，而發(fā)生在系統(tǒng)維護和管理過程中的病毒風險和危害則必須通過采取嚴格的管理手段來規(guī)避[4]。

1）封堵計算機USB口。事實證明大量的病毒是通過使用U盤進行傳播的，要切斷此種類型的病毒傳播必須將DCS、PLC操作站對USB口進行封堵，主機鍵盤和鼠標改用PS/2接口形式，維護期間拷貝文件采用光盤刻錄的方式。

2）對于系統(tǒng)主機進行Ghost備份，并將Ghost文件分別放在本機、相鄰主機和活動硬盤中，一旦發(fā)現(xiàn)病毒即可切斷網(wǎng)絡(luò)連接快速進行系統(tǒng)恢復(fù)。

3）應(yīng)定期對系統(tǒng)組態(tài)數(shù)據(jù)庫、流程圖源文件和其它工程組態(tài)文件進行分層次備份，對于大容量的系統(tǒng)備份建議使用新的、專用活動硬盤，并規(guī)定只能用于控制系統(tǒng)備份，嚴禁與辦公電腦交叉使用。

4）對采用非標準以太網(wǎng)結(jié)構(gòu)的控制系統(tǒng)建議不要將各操作站和服務(wù)器進行聯(lián)網(wǎng)，防止計算機病毒通過以太網(wǎng)進行傳播，如HONEYWELL的TPS系統(tǒng)。

5）斷開不必要的系統(tǒng)連接，如OPC、ModBusTCP等連接，盡量減少控制系統(tǒng)與其他網(wǎng)絡(luò)的聯(lián)系。

6）嚴格系統(tǒng)的密碼管理，并定期對系統(tǒng)密碼進行修改。

7）對于已經(jīng)部署的病毒防護軟件應(yīng)定期對病毒屬性庫進行更新升級，以保證病毒軟件的實際有效性，更新的周期和屬性庫的選擇應(yīng)參照系統(tǒng)廠家所提供的成熟方案進行。

4 結(jié)束語

控制系統(tǒng)的安全防護是當前石化企業(yè)儀表管理技術(shù)人員無法回避的課題，隨著企業(yè)逐漸采取扁平化管理方式，系統(tǒng)互聯(lián)和數(shù)據(jù)交換情況越來越多，病毒傳播和非法侵入已成為控制系統(tǒng)安全運行的巨大威脅。本文針對上述課題從技術(shù)和管理兩個方面簡要闡述了企業(yè)所能采取的基本措施和安全防護原則，石化企業(yè)可根據(jù)各自系統(tǒng)特點和防護原則設(shè)計安全防護策略?！?/p>

[1] 薛質(zhì),蘇波,李建華.信息安全技術(shù)基礎(chǔ)和安全策略[M].北京:清華大學出版社,2007.

[2] 張潔,張學志,王鵬.計算機病毒防治與信息安全知識300問[M].北京:冶金工業(yè)出版社,2006.

[3] 李劍,張然.信息安全概論[M].北京:機械工業(yè)出版社,2009.

[4] 卓新建,鄭康鋒,辛陽.計算機病毒原理與防治[M].北京:北京郵電大學出版社,2004.