工業(yè)控制系統(tǒng)添加信息安全設(shè)備的兼容性研究及測試

王云龍

（艾默生過程控制有限公司 上海市 201206）

1 引言

工業(yè)控制系統(tǒng)在國民經(jīng)濟(jì)發(fā)展中起到了重要作用，尤其是其對生產(chǎn)企業(yè)的生產(chǎn)效率的提升是有目共睹的，那么在數(shù)字化浪潮的沖擊下工業(yè)控制系統(tǒng)是否需要進(jìn)行信息安全防護(hù)呢[1]？答案顯然是肯定的。尤其是以等保2.0 為代表的各種網(wǎng)絡(luò)安全評估[2]從另一個角度說明了國家對工業(yè)控制系統(tǒng)信息安全保護(hù)工作的充分重視。

Ovation[3]DCS 及其附屬的多種配套控制系統(tǒng)和相關(guān)衍生產(chǎn)品已經(jīng)在全球電力行業(yè)中獲得廣泛應(yīng)用，尤其是隨著中國電力市場的快速增長，Ovation DCS 已經(jīng)占據(jù)了龐大的市場份額，成為眾多包括核電站[4]在內(nèi)的電力企業(yè)首選的分散控制系統(tǒng)。但是隨著電力市場自主可控戰(zhàn)略的提出，對源自美國的控制系統(tǒng)如何實(shí)現(xiàn)自主可控的問題就擺在行業(yè)專家的面前[5]，其中一種可行的舉措是在這套工業(yè)控制系統(tǒng)上嵌入一套完全國產(chǎn)化的網(wǎng)絡(luò)安全系統(tǒng)，制定相應(yīng)的應(yīng)急處置方案[6]，滿足中華人民共和國網(wǎng)絡(luò)安全法、工信部行動計劃[7]、等保2.0 的實(shí)際要求。本文總結(jié)了作者從事為工業(yè)控制系統(tǒng)DCS 添加信息安全設(shè)備的實(shí)際兼容性測試經(jīng)驗，倉促成文與大家共享。

2 Ovation DCS系統(tǒng)結(jié)構(gòu)特點(diǎn)

Ovation 是一種分散控制系統(tǒng)，它的模塊化設(shè)計允許用戶按自己的需求配置過程管理系統(tǒng)。每個網(wǎng)絡(luò)可以配置最多254 個智能模塊（通常我們稱之為drop），每個drop 都是可以獨(dú)立執(zhí)行多種功能的分立模塊。Ovation 采用商用的硬件平臺，操作系統(tǒng)，和開放的網(wǎng)絡(luò)技術(shù)。它具有如下結(jié)構(gòu)特點(diǎn)：

各個工作站和控制器連接到了冗余的高速網(wǎng)絡(luò)，并用高速以太網(wǎng)標(biāo)準(zhǔn)收發(fā)數(shù)據(jù)。

過程正常運(yùn)行的各種操作是通過工作站來完成的，工作站一般是基于Solaris 或者是Windows 操作系統(tǒng)的，工作站通常通過交換機(jī)連接到網(wǎng)絡(luò)上進(jìn)行收發(fā)數(shù)據(jù)。

控制器執(zhí)行模擬量和順序控制并與各種輸入輸出卡件進(jìn)行通訊，控制器被稱為drop 時包含了輸入輸出卡件，而這些卡件會與安裝于現(xiàn)場設(shè)備的傳感器相連，這些傳感器測量過程點(diǎn)的值通過控制器在高速以太網(wǎng)上廣播。

硬件部分包括機(jī)柜、電纜、和各種接地設(shè)備。

輸入/輸出卡件（簡稱I/O 卡件）作為現(xiàn)場信號與控制器的接口，控制器通過高速以太網(wǎng)把現(xiàn)場信號傳送到各個工作站；反過來，信息從工作站被送到控制器，這樣控制器可以進(jìn)行相應(yīng)的調(diào)整。

Ovation 工作站中運(yùn)行的軟件包執(zhí)行著配置、管理和操作Ovation 系統(tǒng)的任務(wù)。

這種分散的結(jié)構(gòu)特點(diǎn)和開放的系統(tǒng)結(jié)構(gòu)給入侵者提供了偵測并利用各種漏洞進(jìn)行違法犯罪活動的機(jī)會[8]，為此需要添加相應(yīng)的網(wǎng)絡(luò)安全設(shè)備并進(jìn)行必要的系統(tǒng)加固以應(yīng)對可能的安全風(fēng)險[9]，但是添加網(wǎng)絡(luò)安全設(shè)備到現(xiàn)有系統(tǒng)之前必須進(jìn)行兼容性測試，對這個兼容性測試所要秉承的原則和具體過程，現(xiàn)在我們進(jìn)行一一介紹。

3 添加信息安全設(shè)備的需求分析

任何系統(tǒng)都不是完美的，原自美國的Ovation DCS 系統(tǒng)也不例外，它是大型工廠的神經(jīng)系統(tǒng)，其運(yùn)行的保密性、完整性、可用性對實(shí)現(xiàn)客戶的經(jīng)濟(jì)利益甚至國家的電力安全都是至關(guān)重要的。加之國家對關(guān)鍵基礎(chǔ)設(shè)施的自主可控要求，不管是從國家層面還是從客戶層面，對火電工控系統(tǒng)網(wǎng)絡(luò)安全方案的設(shè)計[10]以及添加信息安全設(shè)備的需求都急需得到滿足。但是擺在Ovation 客戶面前的是一個兩難的選擇，首先Ovation 系統(tǒng)屬于海外研發(fā)的產(chǎn)品，它不太可能、也難以直接獲得以公安部三所為代表的國家政府的測試許可；一般的國產(chǎn)信息安全產(chǎn)品又難以證明自己和Ovation 系統(tǒng)是兼容的，不能保證其嵌入Ovation 進(jìn)行使用的過程中的可用性，不能排除其對Ovation 正常運(yùn)行的影響；尤其是等保2.0 等標(biāo)準(zhǔn)中明確指出信息安全系統(tǒng)添加的前提是不得影響大型工廠的正常運(yùn)行，尤其像發(fā)電廠這種關(guān)鍵基礎(chǔ)設(shè)施。DCS 廠家需要被認(rèn)可的網(wǎng)絡(luò)安全解決方案借以鞏固其安裝機(jī)組的穩(wěn)固，信息安全廠家希望自己的產(chǎn)品能供成功的應(yīng)用于廣闊的工業(yè)控制領(lǐng)域。綜合各方需求，我負(fù)責(zé)籌建一個位于上海的研發(fā)測試實(shí)驗室，用以統(tǒng)合各方需求，進(jìn)行相應(yīng)的兼容性測試，以期推出一個國產(chǎn)的網(wǎng)絡(luò)安全解決方案?，F(xiàn)就相關(guān)工作進(jìn)行介紹如下。

4 可行性研究及測試原則的提出

艾默生已經(jīng)開發(fā)了一套基于美國標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全解決方案（PWCS），這套系統(tǒng)已經(jīng)在北美、中東、韓國、中國等地有了成功應(yīng)用，它可以作為參考的樣本，在測試國產(chǎn)解決方案的時候進(jìn)行借鑒；這套產(chǎn)品的測試主要在印度完成，可以邀請印度的測試工程師來國內(nèi)進(jìn)行工作，同時完成對上海工程師的在工作中培訓(xùn)；在全球總裁的支持下，美國研發(fā)部門提供相應(yīng)的測試用例以利參考；國產(chǎn)信息安全廠商提供設(shè)備、技術(shù)上的支持，各種資源可以調(diào)集到位。

由于Ovation 產(chǎn)品具有國際廣泛使用的特點(diǎn)，兼容性測試的過程中如果發(fā)現(xiàn)任何問題，需要由國產(chǎn)信息安全廠家進(jìn)行相應(yīng)修改，而不是改動Ovation DCS，這是一個重要原則，這也是對廣大已有的用戶下一步安裝網(wǎng)絡(luò)安全產(chǎn)品的可行措施。

5 實(shí)驗室網(wǎng)絡(luò)結(jié)構(gòu)及軟硬件選型設(shè)計

選擇現(xiàn)役主流的四個系統(tǒng)版本：

Ovation3.3.1; Ovation3.5.0; Ovation3.5.1; Ovation3.6.0 組成四個獨(dú)立的局域網(wǎng)，網(wǎng)絡(luò)編號分別為Net4;Net2;Net1;Net3。每個網(wǎng)絡(luò)自成最小系統(tǒng)，濃縮盡可能多的DCS 功能模塊，基本上每個網(wǎng)絡(luò)中都配備一臺數(shù)據(jù)庫服務(wù)器兼域控制器、一臺歷史站兼歷史收集客戶端、一臺DMZ（OPC）站兼操作員站兼各種附加功能模塊。具體配置參閱表1。

表1

另外配置集中網(wǎng)絡(luò)柜和控制器柜各一面，配置原則是可兼容多版本DCS 的Cisco2960+；Cisco3650 交換機(jī)，可以通過刷不同的配置文件扮演不同的交換機(jī)角色，可以使四個網(wǎng)絡(luò)單獨(dú)成網(wǎng)并進(jìn)行多網(wǎng)通信，也可以多臺交換機(jī)聯(lián)合成復(fù)雜局域網(wǎng)模擬可能的各種網(wǎng)絡(luò)負(fù)荷場景；控制器配置原則也是根據(jù)不同版本Ovation 發(fā)布說明考慮最大兼容性，盡量做到最小的更換次數(shù)模擬更多的應(yīng)用場景，另外附加了標(biāo)準(zhǔn)Ovation IO Base 槽位以便隨時插接不同類型的主流應(yīng)用卡件，如LC 通信卡、VP 卡、AI/AO 卡、DI/DO 卡、各種總線卡等等。

總之實(shí)驗室設(shè)計以盡量符合中國用戶實(shí)際運(yùn)行場景為宜，預(yù)置相應(yīng)數(shù)量的網(wǎng)線、電源線、各種通信線等。

申請試驗測試專用的License,申請原則為多功能多用途高度集中但是控制器等允許個數(shù)盡量的少，以減少License 被盜可能產(chǎn)生的商業(yè)風(fēng)險。

6 測試步驟和具體方法

總體上按先后順序需要分成如下幾個部分：

（1）工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)安全系統(tǒng)融合的拓?fù)浣Y(jié)構(gòu)及接口部位的選擇；

（2）網(wǎng)絡(luò)安全設(shè)備接入后其預(yù)期應(yīng)實(shí)現(xiàn)的功能的測試和異常情況處理；

（3）工業(yè)控制系統(tǒng)本身基礎(chǔ)功能和附加功能的逐項測試；

（4）網(wǎng)絡(luò)安全系統(tǒng)保持不變進(jìn)行工業(yè)控制系統(tǒng)各個功能模塊調(diào)整重裝測試；

（5）工業(yè)控制系統(tǒng)保持不變進(jìn)行網(wǎng)絡(luò)安全系統(tǒng)各個功能模塊調(diào)整升級測試；

（6）測試報告和解決方案發(fā)布文件記錄的完善。

其中第2 點(diǎn)主要應(yīng)用網(wǎng)絡(luò)安全設(shè)備廠家的研發(fā)測試用例逐項核對測試，并進(jìn)行必要的添減；第3 點(diǎn)為兼容性測試的核心步驟，現(xiàn)就其具體實(shí)施方案闡述如下：

1.起草軟件測試計劃（Software Test Plan， STP），主要包括軟件測試的目的、基本情況介紹、需要測試的項目范圍、不需要測試的項目范圍、測試的方法、軟硬件資源配備、測試工程師及培訓(xùn)需求、測試步驟、質(zhì)量記錄保存、測試計劃簽章。其中包括結(jié)合Ovation 應(yīng)用實(shí)踐進(jìn)行的定制化修改，主要是界面和功能的選擇和多軟件包融合工作。

2.軟件驗證測試程序（Software Validation Test Procedure, SVTP）報美國研發(fā)部審批，主要有如下幾種SVTP 需要報批：Ovation Basic Functions，OVATIONAutoCAD FreeControl Builder，Ovation OptionalSW，Ovation Studio, OVATIONWindowsBasic Security, OVATIONWindowsGraphic Builder, OVATION WINDOWSOperator Station.獲批之后的SVTP 成為后續(xù)兼容性測試的主要依據(jù)和操作指南。

C, 測試過程中有任何異常發(fā)現(xiàn)（findings），和網(wǎng)絡(luò)安全設(shè)備廠家研發(fā)及時溝通進(jìn)行其單方面整改。

7 網(wǎng)絡(luò)安全系統(tǒng)各種設(shè)備及其接入方案

7.1 工業(yè)防火墻

PWCS-C 工業(yè)防火墻是專為工業(yè)控制網(wǎng)絡(luò)設(shè)計的一款工控防火墻產(chǎn)品，產(chǎn)品型號為PWCS-C-IFW1000。本產(chǎn)品通過串聯(lián)的網(wǎng)絡(luò)接入模式（同時支持電口和光口），詳實(shí)檢測通過本產(chǎn)品的網(wǎng)絡(luò)通信行為。通過對通信流量中的工業(yè)控制協(xié)議（如Modbus TCP、 OPC、DNP3、S7、IEC 60870-5-104 等）通信報文的深度解析（DPI，Deep Packet Inspection），實(shí)時檢測針對工業(yè)協(xié)議的黑客攻擊行為、用戶的誤操作行為、用戶的違規(guī)操作行為、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件傳播的行為進(jìn)行阻攔并實(shí)時告警，為工業(yè)控制系統(tǒng)的安全運(yùn)行及事故調(diào)查提供堅實(shí)的基礎(chǔ)。產(chǎn)品采用完全符合工業(yè)標(biāo)準(zhǔn)的自主設(shè)計，可以部署和應(yīng)用到各種復(fù)雜的工業(yè)生產(chǎn)環(huán)境。產(chǎn)品硬件經(jīng)過CE，CC 和FCC 等業(yè)內(nèi)頂級標(biāo)準(zhǔn)認(rèn)證，可以穩(wěn)定長期的不間斷運(yùn)行。

PWCS-C 工業(yè)防火墻在管理形式上采用集中管理分散部署的方式，對工業(yè)防火墻進(jìn)行配置管理的統(tǒng)一安全管理平臺（PWCS-CSMP1000）是 “OVATION 工控安全解決方案PWCS-C” 不可分割的一部分。 “統(tǒng)一安全管理平臺（PWCS-C-SMP1000）” 采用B/S 架構(gòu)，管理員可在任意連通到管理平臺的機(jī)器上便捷的訪問和管理，大幅提高運(yùn)維效率，有效降低維護(hù)成本。

7.2 網(wǎng)絡(luò)審計終端

PWCS-C 工控安全監(jiān)測與審計終端是專為工業(yè)控制網(wǎng)絡(luò)設(shè)計的一款通信流量監(jiān)測審計安全產(chǎn)品，產(chǎn)品型號為PWCS-C-MA1000。本產(chǎn)品通過旁路或串聯(lián)的網(wǎng)絡(luò)接入模式（同時支持電口和光口）詳實(shí)記錄通過本產(chǎn)品的網(wǎng)絡(luò)通信行為。通過對通信流量中的工業(yè)控制協(xié)議（如Modbus TCP、 OPC、DNP3、S7、IEC 60870-5-104 等）通信報文的深度解析（DPI，Deep Packet Inspection），實(shí)時記錄針對工業(yè)協(xié)議的黑客攻擊行為、用戶的誤操作行為、用戶的違規(guī)操作行為、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件傳播的行為進(jìn)行實(shí)時告警，為工業(yè)控制系統(tǒng)的安全運(yùn)行及事故調(diào)查提供堅實(shí)的基礎(chǔ)。

7.3 主機(jī)安全防護(hù)系統(tǒng)

PWCS-C 主機(jī)安全防護(hù)系統(tǒng)是專為工業(yè)控制網(wǎng)絡(luò)設(shè)計的一款工控主機(jī)安全產(chǎn)品，產(chǎn)品型號為PWCS-C-EG1000。PWCS-C 主機(jī)安全防護(hù)系統(tǒng)包括在工控主機(jī)上安裝的安全終端軟件艾默生工控主機(jī)衛(wèi)士客戶端（產(chǎn)品型號為PWCS-C-AGENT）、為確保工控主機(jī)間資料安全傳輸?shù)陌踩玌 盤（產(chǎn)品型號為PWCS-C-UD8）、為工控主機(jī)提供雙因子認(rèn)證登錄支持的USBKey（產(chǎn)品型號為PWCS-CUKEY）。

通過PWCS-C 主機(jī)安全防護(hù)系統(tǒng)，可以實(shí)現(xiàn)對工業(yè)控制系統(tǒng)的軟件白名單管理（阻止非白名單內(nèi)的程序運(yùn)行）、對工控主機(jī)的外設(shè)管理（對普通U 盤的讀寫控制，以及提供加密的安全U 盤以便資料的安全傳輸）、對工控主機(jī)的操作系統(tǒng)加固（對系統(tǒng)注冊表的修改控制、對系統(tǒng)開機(jī)加載文件的保護(hù)，以及對系統(tǒng)重要文件的讀寫控制），對工控主機(jī)的雙因子認(rèn)證登錄（通過USBKey 實(shí)現(xiàn)USBKey+密碼的雙因子認(rèn)證登錄），可以有效阻止包括震網(wǎng)病毒、Flame、Havex、BlackEnergy 等在內(nèi)的工控惡意代碼在工控主機(jī)上的感染、執(zhí)行和擴(kuò)散。

7.4 網(wǎng)絡(luò)入侵檢測IDS

PWCS-C 入侵檢測系統(tǒng)是專為工業(yè)控制網(wǎng)絡(luò)設(shè)計的一款工控入侵檢測產(chǎn)品，產(chǎn)品型號為PWCS-C-IDS2000。本產(chǎn)品通過旁路部署模式，詳實(shí)檢測攻擊行為，并記錄日志。入侵檢測系統(tǒng)是依照安全策略，對工業(yè)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，發(fā)現(xiàn)各種非法操作或異常行為的軟硬件一體化設(shè)備。該系統(tǒng)能夠深入分析網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包，結(jié)合特征庫進(jìn)行相應(yīng)的行為匹配，及時發(fā)現(xiàn)來自生產(chǎn)網(wǎng)外部或內(nèi)部違反安全策略的行為及被攻擊的跡象，幫助工業(yè)用戶及時采取應(yīng)對措施，最終達(dá)到保護(hù)生產(chǎn)網(wǎng)絡(luò)安全的目的。

PWCS-C入侵檢測系統(tǒng)在管理形式上采用Web UI管理的方式，采用B/S 架構(gòu)，管理員可在任意連通到入侵檢測系統(tǒng)的機(jī)器上便捷的訪問和管理，大幅提高運(yùn)維效率，有效降低維護(hù)成本。

上述網(wǎng)絡(luò)安全設(shè)備的接入方式及其于工業(yè)控制系統(tǒng)融合的拓?fù)浣Y(jié)構(gòu)如圖1 所示。

8 測試所得解決方案發(fā)布程序

兼容性測試結(jié)束前要完成的程序主要有：開發(fā)信息發(fā)布（Development Information Release，DIR）；新附加的網(wǎng)絡(luò)安全產(chǎn)品手冊的編寫和校對；測試記錄的整理和存檔；準(zhǔn)備發(fā)布會議的組織和召集；多渠道廣播發(fā)布?！蛾P(guān)于艾默生PWCS-C 網(wǎng)絡(luò)安全解決方案已通過Ovation 系統(tǒng)兼容性測試的說明》文件的發(fā)布。

其中DIR 的主要內(nèi)容：

內(nèi)容表，版本歷史記錄，信息匯總，網(wǎng)絡(luò)安全解決方案總體概述，網(wǎng)絡(luò)安全產(chǎn)品簡介，網(wǎng)絡(luò)安全產(chǎn)品圖紙部件號，網(wǎng)絡(luò)安全系統(tǒng)軟件介質(zhì)，兼容性，安全管理平臺，網(wǎng)絡(luò)檢測審計，工業(yè)防火墻，入侵監(jiān)測，主機(jī)衛(wèi)士，安全U 盤，文檔列表，測試所用軟硬件環(huán)境。

9 結(jié)論

本文主要講述了艾默生PWCS-C 網(wǎng)絡(luò)安全解決方案通過Ovation 系統(tǒng)兼容性測試的具體研究和測試實(shí)踐，過程涉及到方方面面的技術(shù)要求和資源整合，其間細(xì)節(jié)不能一一盡述，主要內(nèi)容有Ovation DCS 系統(tǒng)結(jié)構(gòu)特點(diǎn)、添加信息安全設(shè)備的需求分析、可行性研究及測試原則的提出、實(shí)驗室網(wǎng)絡(luò)結(jié)構(gòu)及軟硬件選型設(shè)計、測試步驟和具體方法、網(wǎng)絡(luò)安全系統(tǒng)各種設(shè)備及其接入方案、測試所得解決方案發(fā)布程序。希望能夠為各位讀者起到拋磚引玉的作用，為解決經(jīng)濟(jì)技術(shù)全球化過程中遇到的各區(qū)域計算機(jī)系統(tǒng)兼容性問題提供一點(diǎn)借鑒。