工業(yè)控制網(wǎng)絡(luò)信息安全隱患分析與解決方案

1、工業(yè)控制網(wǎng)絡(luò)信息安全隱患分析與解決摘要：兩化融合和物聯(lián)網(wǎng)的快速發(fā)展，使工業(yè)控制系統(tǒng)面臨的安全問(wèn)題日益嚴(yán)重。為保證能源和關(guān)鍵性基礎(chǔ)設(shè)施行業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行，需要建立有針對(duì)性的安全防護(hù)體系，創(chuàng)建“本質(zhì)安全”的工業(yè)網(wǎng)絡(luò)。本文根據(jù)工廠信息化的特點(diǎn)，結(jié)合工業(yè)控制網(wǎng)絡(luò)的常見(jiàn)架構(gòu)，分析了信息化時(shí)代工業(yè)網(wǎng)絡(luò)存在的安全隱患，并詳細(xì)闡述了參照ANSI/ISA-99安全標(biāo)準(zhǔn)，如何使用多芬諾工業(yè)防火墻的縱深防御策略來(lái)全方位保障工業(yè)網(wǎng)絡(luò)信息安全。關(guān)鍵詞：工業(yè)網(wǎng)絡(luò)信息安全；多芬諾；工業(yè)防火墻；縱深防御伴隨兩化融合和物聯(lián)網(wǎng)的快速發(fā)展，我國(guó)關(guān)鍵性基礎(chǔ)設(shè)施和能源行業(yè)廣泛使用的SCADA、DCS、PLC等工業(yè)控制系統(tǒng)越來(lái)越

2、多地采用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，如Ethernet、TCP/IP以及OPC等，極大地推動(dòng)了工業(yè)生產(chǎn)，但同時(shí)也使工業(yè)控制系統(tǒng)接口越來(lái)越開(kāi)放，控制系統(tǒng)面臨的信息安全問(wèn)題也日益嚴(yán)重。2010年10月，肆虐伊朗的Stuxnet病毒造成伊朗布什爾核電站推遲發(fā)電。事件經(jīng)媒體披露后迅速引發(fā)了各國(guó)政府與安全機(jī)構(gòu)的廣泛關(guān)注。Stuxnet病毒通過(guò)移動(dòng)介質(zhì)、西門子項(xiàng)目文件等方式進(jìn)行傳播，可以說(shuō)是計(jì)算機(jī)病毒界革命性創(chuàng)新，“工業(yè)病毒”時(shí)代已經(jīng)來(lái)臨。為此工信部協(xié)2011451號(hào)文件明確指出要切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。1 工業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析二十世紀(jì)九十年代以前的大多數(shù)控制系統(tǒng)一般都采用專用的硬件、軟件和通信協(xié)議，

3、有自己獨(dú)立的操作系統(tǒng)，系統(tǒng)之間的互聯(lián)要求也不高，因此幾乎不存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。多年來(lái)企業(yè)更多關(guān)注的是管理網(wǎng)絡(luò)的安全問(wèn)題，許多企業(yè)對(duì)控制系統(tǒng)安全存在認(rèn)識(shí)上的誤區(qū)：認(rèn)為控制系統(tǒng)沒(méi)有直接連接互聯(lián)網(wǎng)、黑客或病毒不了解控制系統(tǒng)，無(wú)法攻擊控制系統(tǒng)，因此控制系統(tǒng)是安全的。而實(shí)際情況是，企業(yè)的許多控制網(wǎng)絡(luò)都是“敞開(kāi)的”，系統(tǒng)之間沒(méi)有有效的隔離。同時(shí)黑客和病毒的入侵途徑又是多種多樣的，因此盡管企業(yè)網(wǎng)內(nèi)部安裝了一些網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，施行了各類網(wǎng)絡(luò)安全技術(shù)，但隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速，工廠信息網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)介質(zhì)、因特網(wǎng)以及其它因素導(dǎo)致的信息安全問(wèn)題正逐漸向控制系統(tǒng)擴(kuò)散，直接影響了工廠生產(chǎn)控制的穩(wěn)定與安全1。

4、近幾年來(lái)，國(guó)內(nèi)、外許多企業(yè)的DCS控制系統(tǒng)已經(jīng)有中病毒或遭黑客攻擊的現(xiàn)象，給安全生產(chǎn)帶來(lái)了極大的隱患。2 工業(yè)網(wǎng)絡(luò)的信息安全漏洞信息化時(shí)代的來(lái)臨使工業(yè)控制系統(tǒng)暴漏出一些信息安全漏洞。2.1 通信協(xié)議漏洞兩化融合和物聯(lián)網(wǎng)的發(fā)展使得OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。例如，OPC Classic協(xié)議基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的，極易受到攻擊。2.2 操作系統(tǒng)漏洞目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺(tái)的，為保證過(guò)程控制系統(tǒng)的相對(duì)獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，現(xiàn)場(chǎng)工程

5、師在系統(tǒng)開(kāi)車后通常不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁，從而埋下安全隱患。2.3 安全策略和管理流程漏洞追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來(lái)了一定的威脅。例如工業(yè)控制系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、U盤等設(shè)備的使用和不嚴(yán)格的訪問(wèn)控制策略。2.4 殺毒軟件漏洞為了保證工控應(yīng)用軟件的可用性，許多工控系統(tǒng)操作站通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件，在使用過(guò)程中也有很大的局限性，原因在于殺毒軟件的病毒庫(kù)需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對(duì)新病毒的處理總是滯后的，導(dǎo)致每年都會(huì)爆發(fā)大規(guī)模

6、的病毒攻擊，特別是新病毒。2.5 應(yīng)用軟件漏洞由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題；另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開(kāi)放其應(yīng)用端口?；ヂ?lián)網(wǎng)攻擊者很有可能會(huì)利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠以及其他大型設(shè)備的控制權(quán)，一旦這些控制權(quán)被不良意圖黑客所掌握，那么后果不堪設(shè)想2。3 工業(yè)控制網(wǎng)絡(luò)的常見(jiàn)拓?fù)浣Y(jié)構(gòu)和安全隱患分析為了更全面的說(shuō)明問(wèn)題，本文將工業(yè)控制網(wǎng)絡(luò)中常見(jiàn)的三種結(jié)構(gòu)結(jié)合在一起，并分析網(wǎng)絡(luò)中存在的安全隱患。3.1 工業(yè)網(wǎng)絡(luò)的常見(jiàn)結(jié)構(gòu)綜合各工業(yè)企業(yè)網(wǎng)絡(luò)現(xiàn)狀，工業(yè)網(wǎng)絡(luò)通常由信息網(wǎng)、數(shù)采網(wǎng)和控制網(wǎng)組成，如圖1所示。信息網(wǎng)一般使用通用以太網(wǎng)，可以從數(shù)采網(wǎng)提

7、取有關(guān)的生產(chǎn)數(shù)據(jù)，實(shí)現(xiàn)基于生產(chǎn)過(guò)程數(shù)據(jù)的MES應(yīng)用。數(shù)采網(wǎng)主要是從控制網(wǎng)獲取數(shù)據(jù)。控制網(wǎng)負(fù)責(zé)控制器、操作站及工程師站之間過(guò)程控制數(shù)據(jù)實(shí)時(shí)通訊。圖1 工業(yè)系統(tǒng)網(wǎng)絡(luò)的常見(jiàn)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)圖說(shuō)明：a.控制網(wǎng)由PLC、DCS和現(xiàn)場(chǎng)設(shè)備（Modbus RTU）構(gòu)成，分別通過(guò)三種不同的方式和數(shù)采網(wǎng)相連。其中，PLC和DCS為上層數(shù)采網(wǎng)提供OPC接口，PLC的OPC Server通過(guò)Buffer機(jī)和數(shù)采網(wǎng)相連；DCS的OPC Server直接與數(shù)采網(wǎng)相連；Modbus RTU直接和數(shù)采網(wǎng)相連，通過(guò)Modbus TCP協(xié)議和數(shù)采網(wǎng)進(jìn)行數(shù)據(jù)傳輸。b.辦公網(wǎng)中的各種基于數(shù)據(jù)庫(kù)的MES Client應(yīng)用通過(guò)MES Se

8、rver訪問(wèn)數(shù)采網(wǎng)中的實(shí)時(shí)數(shù)據(jù)庫(kù)。c.伴隨各企業(yè)挖潛增效的不斷發(fā)展，先進(jìn)控制（APC）的應(yīng)用越來(lái)越廣泛。APC的調(diào)試和應(yīng)用過(guò)程中需要第三方的反復(fù)調(diào)試，經(jīng)常需要接入第三方設(shè)備，如U盤或筆記本電腦。3.2 現(xiàn)有結(jié)構(gòu)中的安全隱患a.網(wǎng)絡(luò)內(nèi)部各個(gè)層面和系統(tǒng)之間的相互感染。雖然通過(guò)Buffer數(shù)采機(jī)或OPC Server的雙網(wǎng)卡結(jié)構(gòu)對(duì)數(shù)采網(wǎng)與控制網(wǎng)進(jìn)行了隔離，部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò)，但對(duì)于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲及病毒等，這種配置并不起作用，病毒仍會(huì)在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。安裝殺毒軟件可以抑制部分病毒或攻擊，但病毒庫(kù)存在滯后問(wèn)題，也不能從根本上進(jìn)行防護(hù)。b. 對(duì)關(guān)鍵

9、控制器無(wú)額外的防御措施?？刂葡到y(tǒng)網(wǎng)絡(luò)上的PLC、DCS和RTU對(duì)現(xiàn)場(chǎng)實(shí)時(shí)控制來(lái)說(shuō)非常有效，但就控制系統(tǒng)網(wǎng)絡(luò)連接來(lái)說(shuō)它們都不是很強(qiáng)壯。 c來(lái)自工程師站和APC Server的病毒擴(kuò)散隱患。網(wǎng)絡(luò)中的工程師站和APC Server在項(xiàng)目實(shí)施階段通常需要接入第三方設(shè)備（U盤、筆記本電腦等），受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。d網(wǎng)絡(luò)攻擊事件無(wú)法追蹤。網(wǎng)絡(luò)中缺乏對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控的工具，一旦出現(xiàn)問(wèn)題后，無(wú)法進(jìn)行原因查找、分析和故障點(diǎn)查詢。4 多芬諾工業(yè)控制系統(tǒng)信息安全解決方案作為信息安全管理的重要組成部分，制定滿足業(yè)務(wù)場(chǎng)景需求的安全策略和管理流程，是確保ICS 系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。多芬諾工

10、業(yè)控制系統(tǒng)信息安全解決方案參照NERC CIP、ANSI/ISA-99、IEC 62443等國(guó)際標(biāo)準(zhǔn)對(duì)工業(yè)控制系統(tǒng)的安全要求，將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過(guò)控制區(qū)域間管道中的通信內(nèi)容，實(shí)施縱深防御策略，從而保障工業(yè)網(wǎng)絡(luò)的安全。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案由四部分組成：安全模塊、可裝載安全軟插件、組態(tài)管理平臺(tái)和報(bào)警管理平臺(tái)。安全模塊TSA為工業(yè)級(jí)硬件設(shè)備，安裝在受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)施前端；可裝載安全軟插件LSM是裝載到TSA中，根據(jù)系統(tǒng)安全需求，提供各種安全防護(hù)功能的一系列軟件；組態(tài)管理平臺(tái)CMP用于配置、組態(tài)和管理網(wǎng)絡(luò)中所有的TSA；

11、報(bào)警管理平臺(tái)用于管理、分析報(bào)警信息。參照ANSI/ISA-99安全標(biāo)準(zhǔn)，結(jié)合工業(yè)系統(tǒng)的安全需要，可以將圖1所示的工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為下列不同的安全區(qū)域：辦公區(qū)域、數(shù)采區(qū)域、PLC/DCS/現(xiàn)場(chǎng)設(shè)備RTU控制區(qū)域，同時(shí)考慮到來(lái)自工程師站的安全威脅因素以及控制器的安全防護(hù)等級(jí)要求，將工程師站和控制器劃分為兩個(gè)獨(dú)立的子區(qū)域。另外數(shù)采網(wǎng)中的APC Server受感染的幾率也較大，需進(jìn)行隔離，因此也將其劃分為一個(gè)獨(dú)立的子區(qū)域，如圖2所示。圖2 工業(yè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的區(qū)域劃分4.1 PLC和數(shù)采網(wǎng)之間的安全防護(hù)以及DCS和數(shù)采網(wǎng)之間的安全防護(hù)控制網(wǎng)中的PLC和DCS等控制系統(tǒng)對(duì)數(shù)采網(wǎng)提供的接口協(xié)議一般有DDE、

12、OPC等。在數(shù)據(jù)量大，刷新頻率快時(shí)，DDE就表現(xiàn)出不穩(wěn)定性，因此目前OPC技術(shù)已成為工業(yè)界系統(tǒng)互聯(lián)的缺省方案。但由于OPC通訊采用不固定的端口號(hào)，使用傳統(tǒng)的IT防火墻進(jìn)行防護(hù)時(shí)，不得不開(kāi)放大規(guī)模范圍內(nèi)的端口號(hào)。在這種情況下，防火墻提供的安全保障被降至最低。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案通過(guò)在OPC Server和數(shù)采機(jī)Buffer或數(shù)采網(wǎng)之間增加多芬諾安全模塊，并且裝載Firewall LSM和OPC Enforcer LSM軟插件來(lái)防御各種安全威脅和攻擊，如圖3所示。圖3 PLC和數(shù)采網(wǎng)之間以及DCS和數(shù)采網(wǎng)之間的安全防護(hù)OPC Enforcer LSM能檢查、跟蹤、保護(hù)由OPC應(yīng)用程序

13、創(chuàng)建的每一次連接，僅在創(chuàng)建OPC連接的OPC Client和OPC Server間動(dòng)態(tài)地打開(kāi)每次連接所需要的唯一的TCP端口，從而解決了OPC通訊無(wú)法使用常規(guī)IT防火墻進(jìn)行防護(hù)帶來(lái)的安全防護(hù)瓶頸問(wèn)題。同時(shí)，安全模塊TSA能阻止病毒和其它一些非法訪問(wèn)，這樣來(lái)自防護(hù)區(qū)域內(nèi)的病毒感染就不會(huì)擴(kuò)散到其他網(wǎng)絡(luò)，從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。4.2 現(xiàn)場(chǎng)設(shè)備RTU和數(shù)采網(wǎng)之間的安全防護(hù)現(xiàn)場(chǎng)設(shè)備RTU和數(shù)采網(wǎng)通過(guò)Modbus TCP協(xié)議進(jìn)行數(shù)據(jù)傳輸，因此在現(xiàn)場(chǎng)設(shè)備RTU和數(shù)采網(wǎng)之間增加多芬諾安全模塊，同時(shí)裝載Modbus TCP Enforcer LSM軟插件，如圖4所示。圖4 現(xiàn)場(chǎng)設(shè)備RTU和數(shù)采網(wǎng)之間的安全

14、防護(hù)傳統(tǒng)的IT防火墻允許訪問(wèn)控制列表ACL檢查一條信息的三個(gè)主要方面，即源IP、目標(biāo)IP和IP幀中“TCP目的端口號(hào)”所定義的上層協(xié)議，然后來(lái)決定是否允許該信息通過(guò)。但是沒(méi)有對(duì)協(xié)議內(nèi)容的細(xì)粒度控制，存在一些黑客可以利用的漏洞。例如，Stuxnet就大量使用了遠(yuǎn)程過(guò)程調(diào)用協(xié)議（RPC）。而西門子PCS 7控制系統(tǒng)也大量使用了基于RPC的專有信息技術(shù)。因此使用傳統(tǒng)的IT防火墻簡(jiǎn)單地阻止所有的RPC通訊并不是一個(gè)可行的方案。Modbus TCP Enforcer LSM軟插件是首個(gè)能夠深入工業(yè)協(xié)議內(nèi)部進(jìn)行內(nèi)容檢測(cè)的產(chǎn)品?？刂乒こ處煻x允許的Modbus指令，寄存器和線圈名單列表后，Modbus TC

15、P Enforcer LSM軟插件就能自動(dòng)阻止并報(bào)告任何不匹配組態(tài)規(guī)則的通訊。同時(shí)Modbus TCP Enforcer LSM軟插件也能針對(duì)非法格式的信息以及異常行為（如10,000個(gè)應(yīng)答信息都是響應(yīng)單個(gè)請(qǐng)求信息）對(duì)通訊進(jìn)行完整性檢查，阻止任何企圖破壞系統(tǒng)的攻擊活動(dòng)，保障系統(tǒng)安全。4.3 保護(hù)關(guān)鍵控制器關(guān)鍵控制器在整個(gè)網(wǎng)絡(luò)中起著舉足輕重的作用，但是其在安全上都不是很強(qiáng)壯，一般的控制系統(tǒng)網(wǎng)絡(luò)故障，如廣播和多點(diǎn)發(fā)送信息就會(huì)使一些設(shè)備過(guò)載。在控制器前端增加多芬諾安全模塊，裝載Firewall LSM軟插件，能有效地保障關(guān)鍵控制遠(yuǎn)離網(wǎng)絡(luò)中的病毒攻擊和威脅。圖5 關(guān)鍵控制器的安全防護(hù)多芬諾工業(yè)防火墻預(yù)

16、置50多種工業(yè)通訊協(xié)議，支持幾乎所有的基于以太網(wǎng)通訊的控制器、網(wǎng)絡(luò)設(shè)備和通訊協(xié)議，包括Honeywell、Emerson、Yokogawa等。對(duì)多芬諾工業(yè)防火墻進(jìn)行規(guī)則組態(tài)時(shí)只允許制造商專有協(xié)議通過(guò)，阻擋來(lái)自操作站的任何非法訪問(wèn)；另一方面可以對(duì)網(wǎng)絡(luò)通訊流量進(jìn)行管控，指定只有某個(gè)專有操作站才能訪問(wèn)指定的控制器；此外還可以管控局部網(wǎng)絡(luò)的通訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響，從而避免控制器死機(jī)。4.4 隔離工程師站和APC Server越來(lái)越多的先進(jìn)控制應(yīng)用于現(xiàn)場(chǎng)控制，先進(jìn)控制一般由廠家提供現(xiàn)場(chǎng)服務(wù)，經(jīng)常使用U盤等移動(dòng)介質(zhì)和第三方設(shè)備（筆記本電腦等），APC服務(wù)器感染病毒的概率較大，系統(tǒng)

17、中的工程師站也存在同樣的安全隱患。因此，在工程師站和APC Server前端增加多芬諾安全模塊，并且裝載Firewall LSM軟插件，將其單獨(dú)隔離，防止病毒擴(kuò)散，保證了網(wǎng)絡(luò)的通訊安全。圖6 隔離工程師站和APC Server4.5 組態(tài)管理平臺(tái)和報(bào)警管理平臺(tái)在數(shù)采網(wǎng)安裝多芬諾組態(tài)管理平臺(tái)CMP，用于配置、組態(tài)并統(tǒng)一管理網(wǎng)絡(luò)中所有的多芬諾工業(yè)防火墻，同時(shí)可以快速創(chuàng)建整個(gè)控制網(wǎng)絡(luò)模型，監(jiān)視整個(gè)系統(tǒng)的運(yùn)行狀態(tài)。在信息網(wǎng)安裝報(bào)警管理平臺(tái)SMP，可以集成所有來(lái)自CMP平臺(tái)的所有事件及報(bào)警信息，并可劃分等級(jí)進(jìn)行報(bào)警，通過(guò)網(wǎng)絡(luò)結(jié)構(gòu)圖人機(jī)界面實(shí)時(shí)通知相關(guān)主管人員。該平臺(tái)能夠準(zhǔn)確捕獲現(xiàn)場(chǎng)所有安裝防火墻的通訊信道中的攔截日志，并且詳細(xì)顯示通訊的源、目標(biāo)及通訊協(xié)議，以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時(shí)排查與分析提供可靠依據(jù)。整體的多芬諾工業(yè)控制系統(tǒng)信息安全解