信息化油氣田自動(dòng)控制技術(shù)課件

油氣田自動(dòng)化系統(tǒng)安全防護(hù)技術(shù)

西南石油大學(xué)電氣信息學(xué)院

青小渠2015.09

油氣田自動(dòng)化系統(tǒng)安全防護(hù)技術(shù)1

石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全

石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全

21概述

工業(yè)控制系統(tǒng)（ICS）包括數(shù)據(jù)采集系統(tǒng)（SCADA），分布式控制系統(tǒng)（DCS），程序邏輯控制（PLC）以及其他控制系統(tǒng)等，目前已應(yīng)用于電力、水力、石化、醫(yī)藥、食品以及汽車(chē)、航天等工業(yè)領(lǐng)域，成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國(guó)家的戰(zhàn)略安全。

1概述工業(yè)控制系統(tǒng)（ICS）包括數(shù)據(jù)采3法規(guī)《國(guó)家信息安全技術(shù)指南》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國(guó)際上有《ANSI/ISA-99控制系統(tǒng)網(wǎng)絡(luò)安全指引》等法規(guī)法規(guī)《國(guó)家信息安全技術(shù)指南》42011年10月27日，工信部協(xié)[2011]451號(hào)文件《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》強(qiáng)調(diào)了加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性，并明確了重點(diǎn)領(lǐng)域如：石油石化、電力、鋼鐵、化工等行業(yè)工業(yè)控制系統(tǒng)信息安全管理要求。2011年10月27日，工信部協(xié)[2011]451號(hào)文件《關(guān)51.1工業(yè)控制網(wǎng)絡(luò)安全問(wèn)題的危害（1）系統(tǒng)性能下降，影響系統(tǒng)可用性；（2）關(guān)鍵控制數(shù)據(jù)被篡改或喪失；（3）失去控制；（4）嚴(yán)重的經(jīng)濟(jì)損失；（5）環(huán)境災(zāi)難；（6）人員傷亡；（7）破壞基礎(chǔ)設(shè)施；（8）危及公眾安全及國(guó)家安全。

1.1工業(yè)控制網(wǎng)絡(luò)安全問(wèn)題的危害6典型工業(yè)控制系統(tǒng)入侵事件1982年的夏天，前蘇聯(lián)西伯利亞一條天然氣輸送管道發(fā)生了大爆炸?！斑@場(chǎng)爆炸可謂是迄今為止最為壯觀(guān)的非核彈爆炸，爆炸引起的熊熊大火甚至可以從太空中觀(guān)測(cè)到。蘇聯(lián)通往西歐國(guó)家的輸氣管線(xiàn)大面積中斷，前蘇聯(lián)的國(guó)內(nèi)經(jīng)濟(jì)幾乎因此一蹶不振。美國(guó)專(zhuān)家評(píng)估這次爆炸等級(jí)相當(dāng)于3000噸TNT。”這是由里根時(shí)期的白宮官員托馬斯.里德所著的個(gè)人回憶錄《在深淵：一個(gè)內(nèi)幕人的冷戰(zhàn)歷史》解密的內(nèi)容。當(dāng)時(shí)根據(jù)美國(guó)政府的計(jì)劃，美國(guó)中情局在天然氣管道的操作軟件上做了手腳，對(duì)那些關(guān)系到油泵、渦輪和閥門(mén)運(yùn)作的軟件程序進(jìn)行了特定的編程，特意安置了“定時(shí)炸彈”。這些軟件可以正常運(yùn)作一段時(shí)間，但不久就會(huì)重新調(diào)整油泵的速度和閥門(mén)的設(shè)置，產(chǎn)生大大超過(guò)油管接頭和焊接承受的壓力，最終破壞整個(gè)管道系統(tǒng)。典型工業(yè)控制系統(tǒng)入侵事件1982年的夏天，前蘇聯(lián)西伯利亞一72010年，以美國(guó)為首的西方國(guó)家通過(guò)網(wǎng)絡(luò)對(duì)伊朗核設(shè)施發(fā)動(dòng)了攻擊。國(guó)際核能組織觀(guān)察到伊朗濃縮鈾工廠(chǎng)在接下來(lái)的幾個(gè)月內(nèi)就有兩千個(gè)離心機(jī)報(bào)廢。占伊朗濃縮鈾工廠(chǎng)離心機(jī)的四分之一。伊朗核發(fā)展因此受到嚴(yán)重阻礙。而致使離心機(jī)報(bào)廢的原因，就是受到了著名的“震網(wǎng)”病毒武器的攻擊。這種病毒首先由被感染的U盤(pán)帶入伊朗，當(dāng)優(yōu)盤(pán)插入計(jì)算機(jī)的時(shí)候，通過(guò)Windows系統(tǒng)自動(dòng)播放而進(jìn)入計(jì)算機(jī)。通過(guò)盜用的合法電子簽名躲過(guò)計(jì)算機(jī)病毒軟件的安全保護(hù)。然后在計(jì)算機(jī)中尋找西門(mén)子公司的一個(gè)控制軟件，并經(jīng)過(guò)該控制軟件的數(shù)據(jù)庫(kù)傳染到局域網(wǎng)內(nèi)其它節(jié)點(diǎn)。西門(mén)子公司的這個(gè)控制軟件是用來(lái)控制伺服系統(tǒng)的電動(dòng)機(jī)、電路開(kāi)關(guān)和氣體液體閥門(mén)，廣泛應(yīng)用于各行各業(yè)。該病毒找到西門(mén)子控制軟件以后，截獲控制軟件給可編程邏輯控制設(shè)備(PLC)的指令，找出并識(shí)別應(yīng)用在離心機(jī)上的軟件，然后發(fā)出虛假指令，讓離心機(jī)轉(zhuǎn)速不正常造成設(shè)備損壞。

2010年，以美國(guó)為首的西方國(guó)家通過(guò)網(wǎng)絡(luò)對(duì)伊朗核設(shè)施發(fā)動(dòng)了攻8典型工業(yè)控制系統(tǒng)入侵事件2007年，攻擊者入侵加拿大的一個(gè)水利SCADA控制系統(tǒng)，通過(guò)安裝惡意軟件破壞了用于取水調(diào)度的控制計(jì)算機(jī)；

2008年，攻擊者入侵波蘭某城市的地鐵系統(tǒng)，通過(guò)電視遙控器改變軌道扳道器，導(dǎo)致4節(jié)車(chē)廂脫軌；

2010年，“網(wǎng)絡(luò)超級(jí)武器”Stuxnet病毒通過(guò)針對(duì)性的入侵ICS系統(tǒng)，嚴(yán)重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運(yùn)營(yíng)；

2011年，黑客通過(guò)入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國(guó)伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。

典型工業(yè)控制系統(tǒng)入侵事件2007年，攻擊者入侵加拿大的一個(gè)水9工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)九大誤區(qū)誤區(qū)一：工業(yè)控制系統(tǒng)(ICS)是與外界隔離的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)九大誤區(qū)誤區(qū)一：工業(yè)控制系統(tǒng)(ICS10實(shí)際上，基礎(chǔ)設(shè)施領(lǐng)域不僅包括生產(chǎn)和控制系統(tǒng)，還包括市場(chǎng)分析、財(cái)務(wù)計(jì)劃等信息管理系統(tǒng)。生產(chǎn)系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構(gòu)，與外界完全隔離幾乎不可能。另外，維護(hù)用的移動(dòng)設(shè)備或移動(dòng)電腦也會(huì)打破系統(tǒng)與外界的隔離，打開(kāi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之門(mén)。事實(shí)證明，不管多嚴(yán)格的隔離措施也會(huì)有隱患發(fā)生。2003年Davis-Besse核電站被Slammer蠕蟲(chóng)病毒侵入；2006年13家Daimler-Chrysler汽車(chē)企業(yè)因感染Zotob蠕蟲(chóng)病毒被迫停工；2008年有超過(guò)千萬(wàn)臺(tái)的設(shè)備，包括所謂隔離了的設(shè)備，受到Conficker蠕蟲(chóng)病毒的攻擊。即使在太空也不能做到完全隔離：2008年美國(guó)宇航局證實(shí)其國(guó)際太空站筆記本電腦遭到病毒入侵。2010年震驚世界的伊朗震網(wǎng)病毒。實(shí)際上，基礎(chǔ)設(shè)施領(lǐng)域不僅包括生產(chǎn)和控制系統(tǒng)，還包括市場(chǎng)分析、11誤區(qū)二：沒(méi)有人會(huì)襲擊我們

誤區(qū)二：沒(méi)有人會(huì)襲擊我們12上個(gè)世紀(jì)，雖然有些零星事件發(fā)生，公眾對(duì)ICS網(wǎng)絡(luò)安全問(wèn)題并沒(méi)有足夠認(rèn)識(shí)。直到2000年澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件報(bào)道之后，人們才意識(shí)到ICS系統(tǒng)一旦受襲擊有可能造成嚴(yán)重后果。該次事件中，由于數(shù)據(jù)采集和監(jiān)控系統(tǒng)(SCADA)受到攻擊，導(dǎo)致800，000升污水直接排放到環(huán)境中。另外，ICS系統(tǒng)并不是堅(jiān)不可摧。2006年以來(lái)，美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組對(duì)外公布的ICS系統(tǒng)安全漏洞越來(lái)越多。2009底其數(shù)據(jù)庫(kù)顯示的24條SCADA相關(guān)漏洞都是已經(jīng)預(yù)警的，而且，主流黑客工具如MetasploitFramework中已經(jīng)集成有其中一些漏洞的攻擊方法。越來(lái)越多的跡象表明，ICS系統(tǒng)已經(jīng)受到黑客、政治對(duì)手、不滿(mǎn)的員工或犯罪組織等各類(lèi)攻擊者的目標(biāo)關(guān)注。

上個(gè)世紀(jì)，雖然有些零星事件發(fā)生，公眾對(duì)ICS網(wǎng)絡(luò)安全問(wèn)題并沒(méi)13誤區(qū)三：黑客不懂我們的協(xié)議/系統(tǒng)，系統(tǒng)非常安全

誤區(qū)三：黑客不懂我們的協(xié)議/系統(tǒng)，系統(tǒng)非常安全14實(shí)際上，工業(yè)環(huán)境中已廣泛使用商業(yè)標(biāo)準(zhǔn)件(COTS)和IT技術(shù)；除開(kāi)某些特殊環(huán)境，大部分通訊采用的是以太網(wǎng)和TCP/IP協(xié)議；ICS、監(jiān)控站以及嵌入式設(shè)備的操作系統(tǒng)也多以Microsoft和Linux為主。其中，Microsoft已通過(guò)智能能源參考架構(gòu)(SERA)打進(jìn)電力行業(yè)，意圖將微軟技術(shù)安插到未來(lái)智能電網(wǎng)架構(gòu)的核心中。那些特殊環(huán)境采用的內(nèi)部協(xié)議其實(shí)也有公開(kāi)的文檔可查。典型的電力系統(tǒng)通訊協(xié)議定義在IEC和IEEE標(biāo)準(zhǔn)中都可以找到。象Modbus這些工業(yè)協(xié)議，不僅可以輕易找到詳細(xì)說(shuō)明，其內(nèi)容也早已被黑客圈子熟知。另外，由于ICS設(shè)備功能簡(jiǎn)單、設(shè)計(jì)規(guī)范，只需少許計(jì)算機(jī)知識(shí)和耐心就可以完成其逆向工程，何況大部分的工業(yè)協(xié)議都不具備安全防護(hù)特征。甚至某些應(yīng)急工具都可以自動(dòng)完成逆向工程。即使經(jīng)過(guò)加密處理的協(xié)議也可以實(shí)施逆向工程。例如，GSM手機(jī)全球系統(tǒng)、繳費(fèi)終端及汽車(chē)點(diǎn)火裝置的射頻信號(hào)、DVD反復(fù)制保護(hù)機(jī)制，他們都采用專(zhuān)門(mén)的加密技術(shù)，但最終都被破解。實(shí)際上，工業(yè)環(huán)境中已廣泛使用商業(yè)標(biāo)準(zhǔn)件(COTS)和IT技術(shù)15誤區(qū)四：ICS系統(tǒng)不需要防病毒軟件或有防病毒軟件就可以了；我們的防火墻會(huì)自動(dòng)提供保護(hù)等誤區(qū)四：ICS系統(tǒng)不需要防病毒軟件或有防病毒軟件就可以了；我16認(rèn)為ICS系統(tǒng)不需要防病毒和誤區(qū)一(系統(tǒng)是隔離的)和誤區(qū)三(黑客不了解系統(tǒng))有關(guān)。實(shí)際上，除了Window平臺(tái)易受攻擊，Unix/Linux都有過(guò)病毒或跨平臺(tái)病毒攻擊的經(jīng)歷。Proof-of-concept病毒則是專(zhuān)門(mén)針對(duì)SCADA和AMI系統(tǒng)的。所以對(duì)ICS系統(tǒng)，防病毒軟件不可或缺，并且需要定時(shí)更新。那么，有了防病毒軟件是否就高枕無(wú)憂(yōu)了？雖然有效管理的防病毒措施可以抵御大部分已知的惡意軟件，但對(duì)更隱蔽或鮮為人知的病毒的防御還遠(yuǎn)遠(yuǎn)不夠。而且，防病毒軟件本身也有弱點(diǎn)存在。從最近一次安全會(huì)議得知，在對(duì)目前使用最多的7個(gè)防病毒軟件進(jìn)行防病毒能力挑戰(zhàn)時(shí)，有6個(gè)可以在2分鐘內(nèi)被攻破。另外，雖然防火墻也是應(yīng)用最廣泛的安全策略之一，但其發(fā)揮效用的前提是必須正確設(shè)置了防火墻的安全規(guī)則。即使智能型防火墻，也需要自定義安全規(guī)則。研究表明，由于設(shè)置規(guī)則比較復(fù)雜，目前80%的防火墻都沒(méi)有正確配置，都沒(méi)有真正起到安全防護(hù)的作用。認(rèn)為ICS系統(tǒng)不需要防病毒和誤區(qū)一(系統(tǒng)是隔離的)和誤區(qū)三(17誤區(qū)五：網(wǎng)絡(luò)安全事件不會(huì)影響系統(tǒng)運(yùn)行

誤區(qū)五：網(wǎng)絡(luò)安全事件不會(huì)影響系統(tǒng)運(yùn)行18事實(shí)證明，ICS系統(tǒng)遭受攻擊后不僅可能影響運(yùn)行，還可能導(dǎo)致嚴(yán)重后果。前面提到的澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件就是一例；2003年Davis-Besse核電站因Slammer蠕蟲(chóng)病毒入侵導(dǎo)致系統(tǒng)計(jì)算機(jī)停機(jī)6小時(shí)以上；2007年美國(guó)愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室一臺(tái)為13.8KV網(wǎng)格測(cè)試臺(tái)供電的柴油發(fā)電機(jī)因網(wǎng)絡(luò)攻擊而被毀；2008年Hatch核電廠(chǎng)一工程師在數(shù)據(jù)采集服務(wù)器上測(cè)試軟件更新時(shí)，在其不知情的情況下，測(cè)試值被供應(yīng)商軟件同步設(shè)置到生產(chǎn)系統(tǒng)上，結(jié)果導(dǎo)致反應(yīng)堆自動(dòng)停機(jī)事故。另外，攻擊者也會(huì)想法設(shè)法接近ICS設(shè)備，如將攜有惡意軟件的U盤(pán)以禮相送；或是向收集到的目標(biāo)企業(yè)工作人員郵寄地址發(fā)送電子郵件，一旦郵件內(nèi)鏈接被打開(kāi)，惡意軟件就會(huì)下載到工作站。攻擊者聲稱(chēng)，通過(guò)這些惡意軟件，他們可以全面控制工作站和SCADA系統(tǒng)。事實(shí)證明，ICS系統(tǒng)遭受攻擊后不僅可能影響運(yùn)行，還可能導(dǎo)致嚴(yán)19誤區(qū)六：ICS組件不需要特別的安全防護(hù)，供應(yīng)商會(huì)保證產(chǎn)品的安全性誤區(qū)六：ICS組件不需要特別的安全防護(hù)，供應(yīng)商會(huì)保證產(chǎn)品的安20人們能夠理解ICS系統(tǒng)核心組件(如數(shù)據(jù)庫(kù)、應(yīng)用軟件、服務(wù)器等)安全性的重要，但常常會(huì)忽視ICS系統(tǒng)外圍組件(如傳感器、傳動(dòng)器、智能電子設(shè)備、可編程邏輯控制器、智能儀表、遠(yuǎn)程終端設(shè)備等)的安全防護(hù)。其實(shí)這些外圍設(shè)備很多都內(nèi)置有與局域網(wǎng)相聯(lián)的網(wǎng)絡(luò)接口，采用的也是TCP/IP協(xié)議。這些設(shè)備運(yùn)行時(shí)可能還有一些調(diào)試命令，如telnet和FTP等，未及時(shí)屏蔽。這種情況在網(wǎng)絡(luò)服務(wù)器上也很常見(jiàn)。網(wǎng)絡(luò)服務(wù)器一般隱含有一項(xiàng)特殊功能，即允許用戶(hù)通過(guò)定位某個(gè)網(wǎng)址重新啟動(dòng)遠(yuǎn)程終端設(shè)備(RTU)。用戶(hù)通常以為供應(yīng)商會(huì)對(duì)他們產(chǎn)品的缺陷和安全性了如指掌，實(shí)際上供應(yīng)商對(duì)他們產(chǎn)品的認(rèn)識(shí)僅限于產(chǎn)品所能提供的功能方面，而且對(duì)出現(xiàn)的安全問(wèn)題也做不到快速響應(yīng)。2008年研究人員發(fā)現(xiàn)ICS特有的數(shù)據(jù)通訊協(xié)議(WonderwareSuitlink)存在漏洞后，立即聯(lián)系了供應(yīng)商Wonderware，但是Wonderware1個(gè)月后才開(kāi)始回應(yīng)；等到Wonderware認(rèn)識(shí)到產(chǎn)品缺陷，并知會(huì)Suitlink用戶(hù)相關(guān)補(bǔ)救措施時(shí)，已是三個(gè)月以后的事了。這件事讓很多供應(yīng)商開(kāi)始關(guān)注自己產(chǎn)品的安全性，但對(duì)大部分供應(yīng)商來(lái)說(shuō)，還是任重道遠(yuǎn)。人們能夠理解ICS系統(tǒng)核心組件(如數(shù)據(jù)庫(kù)、應(yīng)用軟件、服務(wù)器等21誤區(qū)七：ICS系統(tǒng)的接入點(diǎn)容易控制誤區(qū)七：ICS系統(tǒng)的接入點(diǎn)容易控制22ICS系統(tǒng)存在很多未知或已知但不安全的接入點(diǎn)，如維護(hù)用的手提電腦可以直接和ICS網(wǎng)絡(luò)聯(lián)接、可不經(jīng)過(guò)防火墻的接入點(diǎn)、遠(yuǎn)程支持和維護(hù)接入點(diǎn)、ICS設(shè)備和非ICS設(shè)備的連接點(diǎn)、ICS網(wǎng)絡(luò)設(shè)備中的可接入端口等。實(shí)際上，ICS系統(tǒng)的所有者并不知曉有多少個(gè)接入點(diǎn)存在以及有多少個(gè)接入點(diǎn)正在使用，也不知道個(gè)人可以通過(guò)這種方式訪(fǎng)問(wèn)ICS系統(tǒng)。

ICS系統(tǒng)存在很多未知或已知但不安全的接入點(diǎn)，如維護(hù)用的手提23誤區(qū)八：系統(tǒng)安全可以一次性解決或是可以等到項(xiàng)目結(jié)束再解決誤區(qū)八：系統(tǒng)安全可以一次性解決或是可以等到項(xiàng)目結(jié)束再解決24以前，ICS系統(tǒng)功能簡(jiǎn)單，外部環(huán)境穩(wěn)定，現(xiàn)場(chǎng)維護(hù)設(shè)備也非智能型，所以，針對(duì)某一問(wèn)題的解決方案可以維持很長(zhǎng)一段時(shí)間不變。然而，現(xiàn)在的ICS系統(tǒng)功能復(fù)雜，外部環(huán)境經(jīng)常變化，現(xiàn)場(chǎng)維護(hù)設(shè)備也需要定期更新和維護(hù)。不僅ICS系統(tǒng)和現(xiàn)場(chǎng)維護(hù)設(shè)備需要安全防護(hù)，其管理和維護(hù)工作也需要安全防護(hù)，而且是動(dòng)態(tài)管理的安全防護(hù)，即一旦有新的威脅或漏洞產(chǎn)生，就要及時(shí)采取安全措施。近些年，雖然ICS項(xiàng)目建設(shè)開(kāi)始關(guān)注系統(tǒng)安全，但是由于工期較長(zhǎng)，通常在最后階段才開(kāi)始考慮安全防護(hù)問(wèn)題，但此時(shí)不僅實(shí)施不易，而且成本頗高。因?yàn)樾枨笞兏酵砘蚵┒窗l(fā)現(xiàn)越遲，更改或彌補(bǔ)的費(fèi)用越高。以前，ICS系統(tǒng)功能簡(jiǎn)單，外部環(huán)境穩(wěn)定，現(xiàn)場(chǎng)維護(hù)設(shè)備也非智能25誤區(qū)九：?jiǎn)蜗蛲ㄐ?00%安全

誤區(qū)九：?jiǎn)蜗蛲ㄐ?00%安全26某些情況下，極重要的ICS系統(tǒng)允許以單向通訊方式與其他安全區(qū)域聯(lián)接。但是，這種聯(lián)接方式是很不嚴(yán)密的，其安全程度高低取決于單向通信的實(shí)現(xiàn)方式。方式一為限制發(fā)起方方式，即通信只能由某一方發(fā)起，然后雙方可以互相通信；方式二為限制負(fù)載流方式，即在方式一基礎(chǔ)上，對(duì)方只能發(fā)送控制信號(hào)，不能發(fā)送數(shù)據(jù)或應(yīng)用信息；方式三最嚴(yán)格，僅允許一方發(fā)送信息，不允許另一方發(fā)送任何信息。方式一采用基本防火墻就能實(shí)現(xiàn)，方式二需要進(jìn)行信息包檢測(cè)，方式三需要采用特殊設(shè)備實(shí)現(xiàn)。通常認(rèn)為，將前兩種方式結(jié)合起來(lái)將是最安全的防護(hù)措施。但是，即使它們可以提供很強(qiáng)的安全保護(hù)，網(wǎng)絡(luò)攻擊還是有可能發(fā)生。因?yàn)榭刂坪托盘?hào)信息允許進(jìn)入受保護(hù)區(qū)域，經(jīng)過(guò)設(shè)備編譯后，惡意代碼就有可能得到運(yùn)行。所以，單向通信并不能提供100%的安全保護(hù)。某些情況下，極重要的ICS系統(tǒng)允許以單向通訊方式與其他安全區(qū)271.2工業(yè)控制系統(tǒng)的安全分析

首先，傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時(shí)間要早于互聯(lián)網(wǎng)，它需要采用專(zhuān)用的硬件、軟件和通信協(xié)議，設(shè)計(jì)上基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題。

1.2工業(yè)控制系統(tǒng)的安全分析首先，傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)28其次，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)，工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能，愈加智能的ICS網(wǎng)絡(luò)中各種應(yīng)用、工控設(shè)備以及辦公用PC系統(tǒng)逐漸形成一張復(fù)雜的網(wǎng)絡(luò)拓?fù)洹?/p>

其次，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP29

另一方面，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會(huì)對(duì)ICS造成破壞。在現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)融合進(jìn)ICS后，傳統(tǒng)ICP/IP網(wǎng)絡(luò)上常見(jiàn)的安全問(wèn)題已經(jīng)紛紛出現(xiàn)在ICS之上。例如用戶(hù)可以隨意安裝、運(yùn)行各類(lèi)應(yīng)用軟件、訪(fǎng)問(wèn)各類(lèi)網(wǎng)站信息，這類(lèi)行為不僅影響工作效率、浪費(fèi)系統(tǒng)資源，而且還是病毒、木馬等惡意代碼進(jìn)入系統(tǒng)的主要原因和途徑。以Stuxnet蠕蟲(chóng)為例，其充分利用了伊朗布什爾核電站工控網(wǎng)絡(luò)中工業(yè)PC與控制系統(tǒng)存在的安全漏洞（LIK文件處理漏洞、打印機(jī)漏洞、RPC漏洞、WinCC漏洞、S7項(xiàng)目文件漏洞以及Autorun.inf漏洞）。

另一方面，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)301.3工業(yè)控制系統(tǒng)的安全解決方案

（1）安全管理體系：建立適應(yīng)工業(yè)控制系統(tǒng)安全目標(biāo)、策略、流程，內(nèi)容包括：安全管理平臺(tái)建設(shè)、安全管理制度規(guī)范建設(shè)；（2）安全運(yùn)行維護(hù)體系：建立有效的運(yùn)行維護(hù)、漏洞發(fā)現(xiàn)與預(yù)警、應(yīng)急響應(yīng)體系，內(nèi)容包括：模擬環(huán)境下安全風(fēng)險(xiǎn)評(píng)估、模擬環(huán)境下安全整改措施驗(yàn)證、事件響應(yīng)應(yīng)急預(yù)案、操作人員安全技術(shù)培訓(xùn)等；（3）安全技術(shù)體系：建立工業(yè)控制系統(tǒng)的技術(shù)防護(hù)體系、安全審計(jì)跟蹤體系，內(nèi)容包括：身份鑒別、邊界訪(fǎng)問(wèn)控制、攻擊檢測(cè)預(yù)警、行為審計(jì)跟蹤、數(shù)據(jù)加密與備份等。1.3工業(yè)控制系統(tǒng)的安全解決方案

（1）安全管理體系：建312石油石化工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)管控一體化

2石油石化工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)管控一體化32系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu)33信息化油氣田自動(dòng)控制技術(shù)34信息化油氣田自動(dòng)控制技術(shù)353工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全隱患3.1網(wǎng)絡(luò)通信協(xié)議安全漏洞3.2操作系統(tǒng)安全漏洞

3.3安全策略和管理流程漏洞3.4殺毒軟件漏洞3.5應(yīng)用軟件安全漏洞3工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全隱患3.1網(wǎng)絡(luò)通信協(xié)議安全漏洞363.6控制網(wǎng)絡(luò)的安全隱患

入侵、組織性攻擊拒絕服務(wù)攻擊病毒與惡意代碼3.6控制網(wǎng)絡(luò)的安全隱患入侵、組織性攻擊37(1)控制器和操作站之間無(wú)隔離防護(hù)PLC、DCS、IED和RTU等現(xiàn)場(chǎng)設(shè)備非常脆弱，一般的病毒攻擊就可能造成死機(jī)。(2)DCS控制系統(tǒng)與上層數(shù)采網(wǎng)無(wú)隔離防護(hù)基于Windows平臺(tái)的控制系統(tǒng)工作站發(fā)生病毒感染和傳播的影響極大。目前國(guó)內(nèi)沒(méi)有用于工業(yè)協(xié)議的防火墻。(3)APC與其它網(wǎng)絡(luò)無(wú)隔離APC網(wǎng)絡(luò)經(jīng)常和外界接觸，感染病毒的風(fēng)險(xiǎn)比較大，需要和別的網(wǎng)絡(luò)隔離開(kāi)來(lái)。(4)OPCServer無(wú)操作權(quán)限管理工廠(chǎng)環(huán)境中，不同角色的用戶(hù)需要對(duì)每個(gè)OPC數(shù)據(jù)項(xiàng)的添加、瀏覽、讀/寫(xiě)定義不同的權(quán)限，而目前的防護(hù)方式做不到深度檢查。(5)網(wǎng)絡(luò)安全事件無(wú)法追蹤

對(duì)網(wǎng)絡(luò)故障進(jìn)行快速的診斷，并記錄、存儲(chǔ)、分析，為減少事故帶來(lái)的損失和加強(qiáng)日后的事件管理帶來(lái)很大的方便。(1)控制器和操作站之間無(wú)隔離防護(hù)383.7常規(guī)網(wǎng)絡(luò)安全技術(shù)的局限性常規(guī)網(wǎng)絡(luò)安全技術(shù)的作用

防火墻的局限性與不足

其他安全技術(shù)的局限

3.7常規(guī)網(wǎng)絡(luò)安全技術(shù)的局限性常規(guī)網(wǎng)絡(luò)安全技術(shù)的作用394網(wǎng)絡(luò)隔離技術(shù)及防護(hù)產(chǎn)品4.1網(wǎng)絡(luò)隔離技術(shù)

4網(wǎng)絡(luò)隔離技術(shù)及防護(hù)產(chǎn)品4.1網(wǎng)絡(luò)隔離技術(shù)404.2網(wǎng)絡(luò)隔離防護(hù)產(chǎn)品（1）網(wǎng)閘

（2）工業(yè)隔離網(wǎng)關(guān)

4.2網(wǎng)絡(luò)隔離防護(hù)產(chǎn)品415工業(yè)控制系統(tǒng)安全解決方案5.1工業(yè)控制系統(tǒng)安全防護(hù)目標(biāo)5工業(yè)控制系統(tǒng)安全解決方案5.1工業(yè)控制系統(tǒng)安全防護(hù)目標(biāo)42(1)通訊可控能夠直觀(guān)的觀(guān)察、監(jiān)控、管理通訊電纜中流過(guò)的數(shù)據(jù)，這是首先要達(dá)到的目標(biāo)。對(duì)控制網(wǎng)絡(luò)而言?xún)H需要保證制造商專(zhuān)有協(xié)議數(shù)據(jù)通過(guò)即可，對(duì)其它通訊一律禁止，創(chuàng)造一個(gè)私有通信網(wǎng)絡(luò)環(huán)境。(2)區(qū)域隔離現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)最可怕的是病毒的急速擴(kuò)散，它會(huì)瞬間令整個(gè)網(wǎng)絡(luò)癱瘓。所以即使在控制網(wǎng)局部出現(xiàn)問(wèn)題，也需要保持裝置或工廠(chǎng)的安全穩(wěn)定運(yùn)行。通過(guò)在關(guān)鍵通道上部署網(wǎng)絡(luò)隔離，為控制系統(tǒng)創(chuàng)造了一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境。(3)報(bào)警追蹤能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其它問(wèn)題，準(zhǔn)確找到故障的發(fā)生點(diǎn)，是維護(hù)控制網(wǎng)絡(luò)安全的前提。把網(wǎng)絡(luò)安全問(wèn)題消滅在萌芽中，同時(shí)通過(guò)對(duì)報(bào)警事件記錄存儲(chǔ)，為已發(fā)生過(guò)的安全事件提供分析依據(jù)，告別以前主觀(guān)經(jīng)驗(yàn)推斷的模式。(1)通訊可控435.2“縱深防御”策略（1）即使在某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故，也能保證裝置或工廠(chǎng)的正常安全穩(wěn)定運(yùn)行（2）工廠(chǎng)操作人員能夠及時(shí)準(zhǔn)確的確認(rèn)故障點(diǎn)，并排除問(wèn)題5.2“縱深防御”策略445.2.1工業(yè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)及安全區(qū)域的劃分

5.2.1工業(yè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)及安全區(qū)域的劃分455.2.2基于縱深防御策略的

工業(yè)控制系統(tǒng)信息安全（1）企業(yè)管理層和數(shù)采監(jiān)控層之間的安全防護(hù)（2）數(shù)采監(jiān)控層和控制層之間的安全防護(hù)（3）保護(hù)關(guān)鍵控制器（4）隔離工程師站，保護(hù)APC先控站（5）與第三方控制系統(tǒng)之間的安全防護(hù)5.2.2基于縱深防御策略的

工業(yè)控制系統(tǒng)信息安全（1）企業(yè)46信息化油氣田自動(dòng)控制技術(shù)475.2.3

報(bào)警管理平臺(tái)報(bào)警管理平臺(tái)的功能包括集成系統(tǒng)中所有的事件和報(bào)警信息，并對(duì)報(bào)警信息進(jìn)行等級(jí)劃分。提供實(shí)時(shí)畫(huà)面顯示、歷史數(shù)據(jù)存儲(chǔ)、報(bào)警確認(rèn)、報(bào)警細(xì)目查詢(xún)、歷史數(shù)據(jù)查詢(xún)等功能。報(bào)警管理平臺(tái)還負(fù)責(zé)捕獲現(xiàn)場(chǎng)所有安裝有工業(yè)防火墻的通訊信道中的攻擊，并詳細(xì)顯示攻擊來(lái)自哪里、使用何種通信協(xié)議、攻擊目標(biāo)是誰(shuí)，以總攬大局的方式為工廠(chǎng)網(wǎng)絡(luò)故障的及時(shí)排查、分析提供了可靠依據(jù)。5.2.4

“測(cè)試”模式系統(tǒng)工程師可以利用工業(yè)防火墻提供的“測(cè)試”模式功能，在真正部署防火墻之前，在真實(shí)工廠(chǎng)操作環(huán)境中對(duì)防火墻規(guī)則進(jìn)行測(cè)試。通過(guò)分析確認(rèn)每一條報(bào)警信息，實(shí)現(xiàn)全面的控制功能，從而確保工控需求的完整性和可靠性。5.2.3

報(bào)警管理平臺(tái)485.3工控網(wǎng)絡(luò)安全解決方案5.3.1安全解決方案組件加拿大ByresSecurity公司推出的Tofino工業(yè)網(wǎng)絡(luò)安全解決方案，由Tofino安全設(shè)備模塊(TofinoSecurityAppliance,TSA)、可裝載安全軟插件(LoadableSecurityModules,LSM)和中央管理平臺(tái)(CentralManagementPlatform,CMP)三部分構(gòu)成。

(1)安全設(shè)備模塊(TSA)5.3工控網(wǎng)絡(luò)安全解決方案5.3.1安全解決方案組件49

圖4Tofino安全模塊（TSA-100）

圖5Tofino安全模塊（TSA-220）

圖4Tofino50(2)可裝載安全軟插件(LSM)專(zhuān)為T(mén)SA設(shè)計(jì)的功能性安全軟插件，通過(guò)組態(tài)軟件下裝至TSA，提供安全服務(wù)。包括工業(yè)通信防火墻(Firewall)、事件與報(bào)警管理(EventLogger)、OPC/ModbusTCP通信深度檢查(OPC/ModbusTCPEnforcer)、資產(chǎn)管理(SecureAssetManagement)、VPN加密等

(2)可裝載安全軟插件(LSM)51(3)中央管理平臺(tái)(CMP)窗口化的中央管理平臺(tái)系統(tǒng)，用于TSA的配置、組態(tài)和管理，并能進(jìn)行報(bào)警的實(shí)時(shí)顯示和查看。通過(guò)一個(gè)工作站進(jìn)行配置、管理和監(jiān)測(cè)網(wǎng)絡(luò)上的所有TSA。使用CMP，可以快速創(chuàng)建整個(gè)控制網(wǎng)絡(luò)模型。可視的拖放式編輯工具可以幫助您輕松地創(chuàng)建、編輯和測(cè)試TSA。通過(guò)CMP可以看到整個(gè)系統(tǒng)的運(yùn)行狀態(tài)，并用一系列措施應(yīng)對(duì)網(wǎng)絡(luò)遇到的威脅。獨(dú)特的三種操作模式，可以保證在對(duì)系統(tǒng)無(wú)擾動(dòng)的情況下在線(xiàn)添加。(3)中央管理平臺(tái)(CMP)52CMP是基于實(shí)時(shí)網(wǎng)絡(luò)安全報(bào)警的全新安全管理平臺(tái)，具有實(shí)時(shí)畫(huà)面顯示、歷史數(shù)據(jù)存儲(chǔ)、報(bào)警確認(rèn)、報(bào)警細(xì)目查詢(xún)、歷史數(shù)據(jù)查詢(xún)等功能，可集成所有事件報(bào)警信息，并劃分等級(jí)進(jìn)行報(bào)警，用手機(jī)短信、電子郵件等方式實(shí)時(shí)通知相關(guān)主管人員。該平臺(tái)能夠準(zhǔn)確捕獲現(xiàn)場(chǎng)所有安裝TSA的通訊信道中的網(wǎng)絡(luò)攻擊，并且詳細(xì)顯示攻擊來(lái)自哪里、使用怎樣的通訊協(xié)議以及攻擊目標(biāo)是誰(shuí)，以總攬大局的方式為工廠(chǎng)網(wǎng)絡(luò)故障的及時(shí)排查、分析提供了可靠依據(jù)。CMP是基于實(shí)時(shí)網(wǎng)絡(luò)安全報(bào)警的全新安全管理平臺(tái)，具有實(shí)時(shí)畫(huà)面53（4）安全管理平臺(tái)（SMP）SMPServer接收CMP或TSA的日志和報(bào)警記錄，并將日志和報(bào)警存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中。SMPClient安裝在辦公局域網(wǎng)上的辦公電腦中，支持以圖形的方式實(shí)時(shí)顯示CMP或TSA收集的日志和報(bào)警記錄，并且支持日志和報(bào)警的查詢(xún)。（4）安全管理平臺(tái)（SMP）545.3.2安全解決方案實(shí)施第一步：創(chuàng)建網(wǎng)絡(luò)安全分區(qū)，確定在何處放置TOFINO安全設(shè)備TSA。第二步：確定需要哪些可裝載安全功能軟插件(LSMs)，以確保每個(gè)區(qū)域安全不同的要求。第三步：選擇一個(gè)服務(wù)器或工作站安裝TOFINO中央管理平臺(tái)CMP和Tofino安全管理平臺(tái)SMP，CMP和SMP也可以分別安裝在不同的機(jī)器。5.3.2安全解決方案實(shí)施第一步：創(chuàng)建網(wǎng)絡(luò)安全分區(qū)，確定在何55信息化油氣田自動(dòng)控制技術(shù)563安全解決方案特點(diǎn)(1)工業(yè)型內(nèi)置50多種專(zhuān)有工業(yè)通信協(xié)議。與常規(guī)防火墻不同的是，TSA不僅是在端口上的防護(hù)，更重要的是基于應(yīng)用層上數(shù)據(jù)包深度檢查，屬于新一代工業(yè)通訊協(xié)議防火墻，為工業(yè)通訊提供獨(dú)特的、工業(yè)級(jí)的專(zhuān)業(yè)隔離防護(hù)解決方案。具備在線(xiàn)修改防火墻組態(tài)功能，可以實(shí)時(shí)對(duì)組態(tài)的防火墻策略進(jìn)行修改，而且不影響工廠(chǎng)實(shí)時(shí)通訊。無(wú)需工廠(chǎng)停車(chē)就可在線(xiàn)直接插入使用，啟動(dòng)時(shí)對(duì)控制網(wǎng)絡(luò)是“透明的”，不存在安全規(guī)則配置錯(cuò)誤，阻斷有效工業(yè)通訊的風(fēng)險(xiǎn)。工業(yè)型設(shè)計(jì)，導(dǎo)軌式安裝，低功耗無(wú)風(fēng)扇，具備二區(qū)防爆認(rèn)證。3安全解決方案特點(diǎn)(1)工業(yè)型57(2)特有的安全連接技術(shù)TSA自身是基于非IP的獨(dú)有專(zhuān)利安全連接技術(shù)進(jìn)行管理，能夠阻擋任何欺騙式攻擊。TSA能夠隱藏后端所有設(shè)備的IP地址，讓入侵者無(wú)法發(fā)現(xiàn)目標(biāo)，更無(wú)從談起發(fā)動(dòng)任何攻擊。TSA集防火墻與虛擬路由于一身，能夠像網(wǎng)絡(luò)交通警察一樣管控通訊網(wǎng)絡(luò)數(shù)據(jù)通訊的路徑、對(duì)象以及數(shù)據(jù)流的方向，可以設(shè)定數(shù)據(jù)流入、流出的單向或雙向。(2)特有的安全連接技術(shù)58(3)實(shí)時(shí)網(wǎng)絡(luò)通訊透視鏡功能A.能夠?yàn)槟壳翱刂葡到y(tǒng)網(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供一個(gè)簡(jiǎn)單、有效的可靠工具。B..能夠確切的觀(guān)察、分析、控制系統(tǒng)網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪(fǎng)問(wèn)對(duì)象等。C.實(shí)現(xiàn)對(duì)非法通信的實(shí)時(shí)報(bào)警、來(lái)源確認(rèn)、歷史記錄，保證控制網(wǎng)絡(luò)通訊的實(shí)時(shí)診斷。(3)實(shí)時(shí)網(wǎng)絡(luò)通訊透視鏡功能59

6工業(yè)控制系統(tǒng)安全防護(hù)解決方案案例一

（煉化企業(yè)）

6工業(yè)控制系統(tǒng)安全防護(hù)解決方案案例一

（煉化企60某石化公司是一家特大型煉化企業(yè)，其企業(yè)網(wǎng)支撐著ERP、MES、OA等多種應(yīng)用，基本涵蓋了整個(gè)企業(yè)管理和生產(chǎn)控制單元。根據(jù)企業(yè)網(wǎng)絡(luò)建設(shè)現(xiàn)狀，結(jié)合業(yè)內(nèi)工業(yè)安全的先進(jìn)安全技術(shù)，制定和實(shí)施管理網(wǎng)和控制網(wǎng)整體安全解決方案有兩部分。某石化公司是一家特大型煉化企業(yè)，其企業(yè)網(wǎng)支撐著ERP、MES616.1

現(xiàn)有控制網(wǎng)和管理網(wǎng)架構(gòu)體系6.1

現(xiàn)有控制網(wǎng)和管理網(wǎng)架構(gòu)體系62信息化油氣田自動(dòng)控制技術(shù)63信息化油氣田自動(dòng)控制技術(shù)646.2

現(xiàn)有架構(gòu)體系下的安全隱患風(fēng)險(xiǎn)a．目前許多控制系統(tǒng)的工程師站/操作站(HMI)都是Windows平臺(tái)b．基于工控軟件與殺毒軟件的兼容性問(wèn)題，在操作站上通常不安裝殺毒軟件。c．OPC是基于Microsoft的分布式組件對(duì)象模式（DCOM）技術(shù)，該技術(shù)使用了遠(yuǎn)程過(guò)程調(diào)用（RPC）網(wǎng)絡(luò)協(xié)議來(lái)實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)中的以太網(wǎng)連接。d．在實(shí)現(xiàn)數(shù)據(jù)采集的過(guò)程中，數(shù)據(jù)采集服務(wù)器雖然采用了雙網(wǎng)卡技術(shù)，管理信息網(wǎng)與控制網(wǎng)通過(guò)該服務(wù)器進(jìn)行了隔離，部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò)，但對(duì)于能夠利用Windows系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲(chóng)及病毒等，這種配置沒(méi)有作用，病毒會(huì)在信息網(wǎng)和控制網(wǎng)之間互相傳播。安裝殺毒軟件可以對(duì)部分病毒或攻擊有所抑制，但病毒庫(kù)存在滯后，所以不能從根本上進(jìn)行防護(hù)。6.2

現(xiàn)有架構(gòu)體系下的安全隱患風(fēng)險(xiǎn)a．目前許多控制系統(tǒng)的656.3

控制網(wǎng)安全防護(hù)解決方案目前，該公司使用Tofino技術(shù)實(shí)施整體網(wǎng)絡(luò)安全解決方案，現(xiàn)以烯烴廠(chǎng)為例進(jìn)行說(shuō)明。針對(duì)烯烴廠(chǎng)網(wǎng)絡(luò)結(jié)構(gòu)及具體應(yīng)用要求，分別在過(guò)程控制網(wǎng)內(nèi)部、數(shù)采網(wǎng)和過(guò)程控制網(wǎng)之間、APC控制站與過(guò)程控制網(wǎng)之間、DCS與數(shù)采網(wǎng)之間安裝防火墻，并安裝相應(yīng)的LSM軟插件，然后在數(shù)采網(wǎng)安裝中央管理平臺(tái)（CentralManagementPlatform，CMP）對(duì)TSA進(jìn)行管理和組態(tài)，最后在辦公局域網(wǎng)內(nèi)安裝安全管理平臺(tái)，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)在線(xiàn)監(jiān)控。具體方案拓?fù)鋱D如圖10所示。6.3

控制網(wǎng)安全防護(hù)解決方案目前，該公司使用Tofino66信息化油氣田自動(dòng)控制技術(shù)676.3.1DCS控制網(wǎng)安全防護(hù)解決方案6.3.1DCS控制網(wǎng)安全防護(hù)解決方案68信息化油氣田自動(dòng)控制技術(shù)696.3.2工廠(chǎng)信息數(shù)采網(wǎng)與控制網(wǎng)之間的安全防護(hù)解決方案6.3.2工廠(chǎng)信息數(shù)采網(wǎng)與控制網(wǎng)之間的安全防護(hù)解決方案706.3.3

中央管理平臺(tái)和安全管理平臺(tái)中央管理平臺(tái)CMP通過(guò)一臺(tái)工作站來(lái)配置和管理控制網(wǎng)絡(luò)安全。CMP的專(zhuān)用軟件能夠通過(guò)一個(gè)工作站進(jìn)行配置、管理和監(jiān)測(cè)網(wǎng)絡(luò)上的所有安全設(shè)備。這樣既可快速創(chuàng)建整個(gè)控制網(wǎng)絡(luò)模型?？梢暤耐戏攀骄庉嫻ぞ呖梢暂p松地創(chuàng)建、編輯和測(cè)試安全設(shè)備。取得此安全系統(tǒng)的授權(quán)后，CMP可以立刻看到整個(gè)系統(tǒng)的運(yùn)行狀態(tài)，并用一系列措施應(yīng)對(duì)網(wǎng)絡(luò)遇到的威脅。在辦公局域網(wǎng)內(nèi)安裝安全管理平臺(tái)SMP，可以集成所有來(lái)自CMP平臺(tái)的所有事件報(bào)警信息，并可劃分等級(jí)進(jìn)行報(bào)警，通過(guò)采用手機(jī)短信及電子郵件等方式進(jìn)行實(shí)時(shí)通知相關(guān)主管人員。該平臺(tái)能夠準(zhǔn)確捕獲現(xiàn)場(chǎng)所有安裝防火墻的通訊信道中的攻擊，并且詳細(xì)顯示攻擊源、通訊協(xié)議和攻擊目標(biāo)，以總攬大局的方式為工廠(chǎng)網(wǎng)絡(luò)故障的及時(shí)排查與分析提供可靠依據(jù)。6.3.3

中央管理平臺(tái)和安全管理平臺(tái)中央管理平臺(tái)CMP通過(guò)71信息化油氣田自動(dòng)控制技術(shù)72

7工業(yè)控制系統(tǒng)安全防護(hù)解決方案案例二

（DCS）

7工業(yè)控制系統(tǒng)安全防護(hù)解決方案案例二

（DCS73信息化油氣田自動(dòng)控制技術(shù)74

8工業(yè)控制系統(tǒng)安全防護(hù)解決方案案例三

（SCADA）

8工業(yè)控制系統(tǒng)安全防護(hù)解決方案案例三

（SC75信息化油氣田自動(dòng)控制技術(shù)76

9工業(yè)控制系統(tǒng)安全防護(hù)解決方案案例四

（DCS）

9工業(yè)控制系統(tǒng)安全防護(hù)解決方案案例四

（DC77信息化油氣田自動(dòng)控制技術(shù)78信息化油氣田自動(dòng)控制技術(shù)79Tofino工業(yè)網(wǎng)絡(luò)安全解決方案針對(duì)控制系統(tǒng)網(wǎng)絡(luò)特別設(shè)計(jì)，旨在為其提供一種分區(qū)的安全解決方案。Tofino擁有極高的性?xún)r(jià)比，它能夠在工廠(chǎng)車(chē)間中建立深層防護(hù)架構(gòu)，因此，即使有黑客或病毒通過(guò)主要的企業(yè)防火墻，他們也將面對(duì)基于控制網(wǎng)絡(luò)特點(diǎn)而設(shè)計(jì)的專(zhuān)業(yè)安全設(shè)備，只有穿過(guò)這些設(shè)備才能進(jìn)而造成損害。Tofino模塊采用TofinoCentralManagementPlatform(CMP，中央管理平臺(tái))進(jìn)行集中配置、組態(tài)和管理（可遠(yuǎn)程甚至跨國(guó)使用），控制網(wǎng)或企業(yè)網(wǎng)均可以在適當(dāng)位置安裝使用CMP。并裝載各種必要的LSM使之滿(mǎn)足所保護(hù)區(qū)域及設(shè)備的安全要求。TofinoSecuritySystem一方面是一個(gè)完整的分布式的安全解決方案，另一方面又可以簡(jiǎn)單、安全地進(jìn)行集中管理。對(duì)大型工業(yè)企業(yè)來(lái)說(shuō)，TofinoSecuritySystem更意味著最佳的安全效益和技術(shù)支持，并不只是簡(jiǎn)單滿(mǎn)足了獨(dú)立的關(guān)鍵控制設(shè)備的安全需求。不同于傳統(tǒng)的IT防火墻，Tofino專(zhuān)為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信安全要求而設(shè)計(jì)?，F(xiàn)場(chǎng)技術(shù)人員只需簡(jiǎn)單為T(mén)ofino接入電源，并連接兩個(gè)網(wǎng)絡(luò)的電纜即可，無(wú)需其他任何操作。一旦安裝成功，安全/技術(shù)人員即可毫不費(fèi)力地管理任何系統(tǒng)，以總攬公司大局的方式對(duì)網(wǎng)絡(luò)威脅作出反應(yīng)。最重要的是，Tofino既可以靈活運(yùn)用在單純由PLC構(gòu)成的小型工廠(chǎng)中，又能夠滿(mǎn)足那些擁有成千上萬(wàn)個(gè)設(shè)備并且分布全球各地的大型跨國(guó)公司的使用要求。Tofino工業(yè)網(wǎng)絡(luò)安全解決方案針對(duì)控制系統(tǒng)網(wǎng)絡(luò)特別設(shè)計(jì)，旨80

油氣田自動(dòng)化系統(tǒng)安全防護(hù)技術(shù)

西南石油大學(xué)電氣信息學(xué)院

青小渠2015.09

油氣田自動(dòng)化系統(tǒng)安全防護(hù)技術(shù)81

石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全

石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全

821概述

工業(yè)控制系統(tǒng)（ICS）包括數(shù)據(jù)采集系統(tǒng)（SCADA），分布式控制系統(tǒng)（DCS），程序邏輯控制（PLC）以及其他控制系統(tǒng)等，目前已應(yīng)用于電力、水力、石化、醫(yī)藥、食品以及汽車(chē)、航天等工業(yè)領(lǐng)域，成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國(guó)家的戰(zhàn)略安全。

1概述工業(yè)控制系統(tǒng)（ICS）包括數(shù)據(jù)采83法規(guī)《國(guó)家信息安全技術(shù)指南》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國(guó)際上有《ANSI/ISA-99控制系統(tǒng)網(wǎng)絡(luò)安全指引》等法規(guī)法規(guī)《國(guó)家信息安全技術(shù)指南》842011年10月27日，工信部協(xié)[2011]451號(hào)文件《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》強(qiáng)調(diào)了加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性，并明確了重點(diǎn)領(lǐng)域如：石油石化、電力、鋼鐵、化工等行業(yè)工業(yè)控制系統(tǒng)信息安全管理要求。2011年10月27日，工信部協(xié)[2011]451號(hào)文件《關(guān)851.1工業(yè)控制網(wǎng)絡(luò)安全問(wèn)題的危害（1）系統(tǒng)性能下降，影響系統(tǒng)可用性；（2）關(guān)鍵控制數(shù)據(jù)被篡改或喪失；（3）失去控制；（4）嚴(yán)重的經(jīng)濟(jì)損失；（5）環(huán)境災(zāi)難；（6）人員傷亡；（7）破壞基礎(chǔ)設(shè)施；（8）危及公眾安全及國(guó)家安全。

1.1工業(yè)控制網(wǎng)絡(luò)安全問(wèn)題的危害86典型工業(yè)控制系統(tǒng)入侵事件1982年的夏天，前蘇聯(lián)西伯利亞一條天然氣輸送管道發(fā)生了大爆炸?！斑@場(chǎng)爆炸可謂是迄今為止最為壯觀(guān)的非核彈爆炸，爆炸引起的熊熊大火甚至可以從太空中觀(guān)測(cè)到。蘇聯(lián)通往西歐國(guó)家的輸氣管線(xiàn)大面積中斷，前蘇聯(lián)的國(guó)內(nèi)經(jīng)濟(jì)幾乎因此一蹶不振。美國(guó)專(zhuān)家評(píng)估這次爆炸等級(jí)相當(dāng)于3000噸TNT?！边@是由里根時(shí)期的白宮官員托馬斯.里德所著的個(gè)人回憶錄《在深淵：一個(gè)內(nèi)幕人的冷戰(zhàn)歷史》解密的內(nèi)容。當(dāng)時(shí)根據(jù)美國(guó)政府的計(jì)劃，美國(guó)中情局在天然氣管道的操作軟件上做了手腳，對(duì)那些關(guān)系到油泵、渦輪和閥門(mén)運(yùn)作的軟件程序進(jìn)行了特定的編程，特意安置了“定時(shí)炸彈”。這些軟件可以正常運(yùn)作一段時(shí)間，但不久就會(huì)重新調(diào)整油泵的速度和閥門(mén)的設(shè)置，產(chǎn)生大大超過(guò)油管接頭和焊接承受的壓力，最終破壞整個(gè)管道系統(tǒng)。典型工業(yè)控制系統(tǒng)入侵事件1982年的夏天，前蘇聯(lián)西伯利亞一872010年，以美國(guó)為首的西方國(guó)家通過(guò)網(wǎng)絡(luò)對(duì)伊朗核設(shè)施發(fā)動(dòng)了攻擊。國(guó)際核能組織觀(guān)察到伊朗濃縮鈾工廠(chǎng)在接下來(lái)的幾個(gè)月內(nèi)就有兩千個(gè)離心機(jī)報(bào)廢。占伊朗濃縮鈾工廠(chǎng)離心機(jī)的四分之一。伊朗核發(fā)展因此受到嚴(yán)重阻礙。而致使離心機(jī)報(bào)廢的原因，就是受到了著名的“震網(wǎng)”病毒武器的攻擊。這種病毒首先由被感染的U盤(pán)帶入伊朗，當(dāng)優(yōu)盤(pán)插入計(jì)算機(jī)的時(shí)候，通過(guò)Windows系統(tǒng)自動(dòng)播放而進(jìn)入計(jì)算機(jī)。通過(guò)盜用的合法電子簽名躲過(guò)計(jì)算機(jī)病毒軟件的安全保護(hù)。然后在計(jì)算機(jī)中尋找西門(mén)子公司的一個(gè)控制軟件，并經(jīng)過(guò)該控制軟件的數(shù)據(jù)庫(kù)傳染到局域網(wǎng)內(nèi)其它節(jié)點(diǎn)。西門(mén)子公司的這個(gè)控制軟件是用來(lái)控制伺服系統(tǒng)的電動(dòng)機(jī)、電路開(kāi)關(guān)和氣體液體閥門(mén)，廣泛應(yīng)用于各行各業(yè)。該病毒找到西門(mén)子控制軟件以后，截獲控制軟件給可編程邏輯控制設(shè)備(PLC)的指令，找出并識(shí)別應(yīng)用在離心機(jī)上的軟件，然后發(fā)出虛假指令，讓離心機(jī)轉(zhuǎn)速不正常造成設(shè)備損壞。

2010年，以美國(guó)為首的西方國(guó)家通過(guò)網(wǎng)絡(luò)對(duì)伊朗核設(shè)施發(fā)動(dòng)了攻88典型工業(yè)控制系統(tǒng)入侵事件2007年，攻擊者入侵加拿大的一個(gè)水利SCADA控制系統(tǒng)，通過(guò)安裝惡意軟件破壞了用于取水調(diào)度的控制計(jì)算機(jī)；

2008年，攻擊者入侵波蘭某城市的地鐵系統(tǒng)，通過(guò)電視遙控器改變軌道扳道器，導(dǎo)致4節(jié)車(chē)廂脫軌；

2010年，“網(wǎng)絡(luò)超級(jí)武器”Stuxnet病毒通過(guò)針對(duì)性的入侵ICS系統(tǒng)，嚴(yán)重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運(yùn)營(yíng)；

2011年，黑客通過(guò)入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國(guó)伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。

典型工業(yè)控制系統(tǒng)入侵事件2007年，攻擊者入侵加拿大的一個(gè)水89工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)九大誤區(qū)誤區(qū)一：工業(yè)控制系統(tǒng)(ICS)是與外界隔離的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)九大誤區(qū)誤區(qū)一：工業(yè)控制系統(tǒng)(ICS90實(shí)際上，基礎(chǔ)設(shè)施領(lǐng)域不僅包括生產(chǎn)和控制系統(tǒng)，還包括市場(chǎng)分析、財(cái)務(wù)計(jì)劃等信息管理系統(tǒng)。生產(chǎn)系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構(gòu)，與外界完全隔離幾乎不可能。另外，維護(hù)用的移動(dòng)設(shè)備或移動(dòng)電腦也會(huì)打破系統(tǒng)與外界的隔離，打開(kāi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之門(mén)。事實(shí)證明，不管多嚴(yán)格的隔離措施也會(huì)有隱患發(fā)生。2003年Davis-Besse核電站被Slammer蠕蟲(chóng)病毒侵入；2006年13家Daimler-Chrysler汽車(chē)企業(yè)因感染Zotob蠕蟲(chóng)病毒被迫停工；2008年有超過(guò)千萬(wàn)臺(tái)的設(shè)備，包括所謂隔離了的設(shè)備，受到Conficker蠕蟲(chóng)病毒的攻擊。即使在太空也不能做到完全隔離：2008年美國(guó)宇航局證實(shí)其國(guó)際太空站筆記本電腦遭到病毒入侵。2010年震驚世界的伊朗震網(wǎng)病毒。實(shí)際上，基礎(chǔ)設(shè)施領(lǐng)域不僅包括生產(chǎn)和控制系統(tǒng)，還包括市場(chǎng)分析、91誤區(qū)二：沒(méi)有人會(huì)襲擊我們

誤區(qū)二：沒(méi)有人會(huì)襲擊我們92上個(gè)世紀(jì)，雖然有些零星事件發(fā)生，公眾對(duì)ICS網(wǎng)絡(luò)安全問(wèn)題并沒(méi)有足夠認(rèn)識(shí)。直到2000年澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件報(bào)道之后，人們才意識(shí)到ICS系統(tǒng)一旦受襲擊有可能造成嚴(yán)重后果。該次事件中，由于數(shù)據(jù)采集和監(jiān)控系統(tǒng)(SCADA)受到攻擊，導(dǎo)致800，000升污水直接排放到環(huán)境中。另外，ICS系統(tǒng)并不是堅(jiān)不可摧。2006年以來(lái)，美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組對(duì)外公布的ICS系統(tǒng)安全漏洞越來(lái)越多。2009底其數(shù)據(jù)庫(kù)顯示的24條SCADA相關(guān)漏洞都是已經(jīng)預(yù)警的，而且，主流黑客工具如MetasploitFramework中已經(jīng)集成有其中一些漏洞的攻擊方法。越來(lái)越多的跡象表明，ICS系統(tǒng)已經(jīng)受到黑客、政治對(duì)手、不滿(mǎn)的員工或犯罪組織等各類(lèi)攻擊者的目標(biāo)關(guān)注。

上個(gè)世紀(jì)，雖然有些零星事件發(fā)生，公眾對(duì)ICS網(wǎng)絡(luò)安全問(wèn)題并沒(méi)93誤區(qū)三：黑客不懂我們的協(xié)議/系統(tǒng)，系統(tǒng)非常安全

誤區(qū)三：黑客不懂我們的協(xié)議/系統(tǒng)，系統(tǒng)非常安全94實(shí)際上，工業(yè)環(huán)境中已廣泛使用商業(yè)標(biāo)準(zhǔn)件(COTS)和IT技術(shù)；除開(kāi)某些特殊環(huán)境，大部分通訊采用的是以太網(wǎng)和TCP/IP協(xié)議；ICS、監(jiān)控站以及嵌入式設(shè)備的操作系統(tǒng)也多以Microsoft和Linux為主。其中，Microsoft已通過(guò)智能能源參考架構(gòu)(SERA)打進(jìn)電力行業(yè)，意圖將微軟技術(shù)安插到未來(lái)智能電網(wǎng)架構(gòu)的核心中。那些特殊環(huán)境采用的內(nèi)部協(xié)議其實(shí)也有公開(kāi)的文檔可查。典型的電力系統(tǒng)通訊協(xié)議定義在IEC和IEEE標(biāo)準(zhǔn)中都可以找到。象Modbus這些工業(yè)協(xié)議，不僅可以輕易找到詳細(xì)說(shuō)明，其內(nèi)容也早已被黑客圈子熟知。另外，由于ICS設(shè)備功能簡(jiǎn)單、設(shè)計(jì)規(guī)范，只需少許計(jì)算機(jī)知識(shí)和耐心就可以完成其逆向工程，何況大部分的工業(yè)協(xié)議都不具備安全防護(hù)特征。甚至某些應(yīng)急工具都可以自動(dòng)完成逆向工程。即使經(jīng)過(guò)加密處理的協(xié)議也可以實(shí)施逆向工程。例如，GSM手機(jī)全球系統(tǒng)、繳費(fèi)終端及汽車(chē)點(diǎn)火裝置的射頻信號(hào)、DVD反復(fù)制保護(hù)機(jī)制，他們都采用專(zhuān)門(mén)的加密技術(shù)，但最終都被破解。實(shí)際上，工業(yè)環(huán)境中已廣泛使用商業(yè)標(biāo)準(zhǔn)件(COTS)和IT技術(shù)95誤區(qū)四：ICS系統(tǒng)不需要防病毒軟件或有防病毒軟件就可以了；我們的防火墻會(huì)自動(dòng)提供保護(hù)等誤區(qū)四：ICS系統(tǒng)不需要防病毒軟件或有防病毒軟件就可以了；我96認(rèn)為ICS系統(tǒng)不需要防病毒和誤區(qū)一(系統(tǒng)是隔離的)和誤區(qū)三(黑客不了解系統(tǒng))有關(guān)。實(shí)際上，除了Window平臺(tái)易受攻擊，Unix/Linux都有過(guò)病毒或跨平臺(tái)病毒攻擊的經(jīng)歷。Proof-of-concept病毒則是專(zhuān)門(mén)針對(duì)SCADA和AMI系統(tǒng)的。所以對(duì)ICS系統(tǒng)，防病毒軟件不可或缺，并且需要定時(shí)更新。那么，有了防病毒軟件是否就高枕無(wú)憂(yōu)了？雖然有效管理的防病毒措施可以抵御大部分已知的惡意軟件，但對(duì)更隱蔽或鮮為人知的病毒的防御還遠(yuǎn)遠(yuǎn)不夠。而且，防病毒軟件本身也有弱點(diǎn)存在。從最近一次安全會(huì)議得知，在對(duì)目前使用最多的7個(gè)防病毒軟件進(jìn)行防病毒能力挑戰(zhàn)時(shí)，有6個(gè)可以在2分鐘內(nèi)被攻破。另外，雖然防火墻也是應(yīng)用最廣泛的安全策略之一，但其發(fā)揮效用的前提是必須正確設(shè)置了防火墻的安全規(guī)則。即使智能型防火墻，也需要自定義安全規(guī)則。研究表明，由于設(shè)置規(guī)則比較復(fù)雜，目前80%的防火墻都沒(méi)有正確配置，都沒(méi)有真正起到安全防護(hù)的作用。認(rèn)為ICS系統(tǒng)不需要防病毒和誤區(qū)一(系統(tǒng)是隔離的)和誤區(qū)三(97誤區(qū)五：網(wǎng)絡(luò)安全事件不會(huì)影響系統(tǒng)運(yùn)行

誤區(qū)五：網(wǎng)絡(luò)安全事件不會(huì)影響系統(tǒng)運(yùn)行98事實(shí)證明，ICS系統(tǒng)遭受攻擊后不僅可能影響運(yùn)行，還可能導(dǎo)致嚴(yán)重后果。前面提到的澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件就是一例；2003年Davis-Besse核電站因Slammer蠕蟲(chóng)病毒入侵導(dǎo)致系統(tǒng)計(jì)算機(jī)停機(jī)6小時(shí)以上；2007年美國(guó)愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室一臺(tái)為13.8KV網(wǎng)格測(cè)試臺(tái)供電的柴油發(fā)電機(jī)因網(wǎng)絡(luò)攻擊而被毀；2008年Hatch核電廠(chǎng)一工程師在數(shù)據(jù)采集服務(wù)器上測(cè)試軟件更新時(shí)，在其不知情的情況下，測(cè)試值被供應(yīng)商軟件同步設(shè)置到生產(chǎn)系統(tǒng)上，結(jié)果導(dǎo)致反應(yīng)堆自動(dòng)停機(jī)事故。另外，攻擊者也會(huì)想法設(shè)法接近ICS設(shè)備，如將攜有惡意軟件的U盤(pán)以禮相送；或是向收集到的目標(biāo)企業(yè)工作人員郵寄地址發(fā)送電子郵件，一旦郵件內(nèi)鏈接被打開(kāi)，惡意軟件就會(huì)下載到工作站。攻擊者聲稱(chēng)，通過(guò)這些惡意軟件，他們可以全面控制工作站和SCADA系統(tǒng)。事實(shí)證明，ICS系統(tǒng)遭受攻擊后不僅可能影響運(yùn)行，還可能導(dǎo)致嚴(yán)99誤區(qū)六：ICS組件不需要特別的安全防護(hù)，供應(yīng)商會(huì)保證產(chǎn)品的安全性誤區(qū)六：ICS組件不需要特別的安全防護(hù)，供應(yīng)商會(huì)保證產(chǎn)品的安100人們能夠理解ICS系統(tǒng)核心組件(如數(shù)據(jù)庫(kù)、應(yīng)用軟件、服務(wù)器等)安全性的重要，但常常會(huì)忽視ICS系統(tǒng)外圍組件(如傳感器、傳動(dòng)器、智能電子設(shè)備、可編程邏輯控制器、智能儀表、遠(yuǎn)程終端設(shè)備等)的安全防護(hù)。其實(shí)這些外圍設(shè)備很多都內(nèi)置有與局域網(wǎng)相聯(lián)的網(wǎng)絡(luò)接口，采用的也是TCP/IP協(xié)議。這些設(shè)備運(yùn)行時(shí)可能還有一些調(diào)試命令，如telnet和FTP等，未及時(shí)屏蔽。這種情況在網(wǎng)絡(luò)服務(wù)器上也很常見(jiàn)。網(wǎng)絡(luò)服務(wù)器一般隱含有一項(xiàng)特殊功能，即允許用戶(hù)通過(guò)定位某個(gè)網(wǎng)址重新啟動(dòng)遠(yuǎn)程終端設(shè)備(RTU)。用戶(hù)通常以為供應(yīng)商會(huì)對(duì)他們產(chǎn)品的缺陷和安全性了如指掌，實(shí)際上供應(yīng)商對(duì)他們產(chǎn)品的認(rèn)識(shí)僅限于產(chǎn)品所能提供的功能方面，而且對(duì)出現(xiàn)的安全問(wèn)題也做不到快速響應(yīng)。2008年研究人員發(fā)現(xiàn)ICS特有的數(shù)據(jù)通訊協(xié)議(WonderwareSuitlink)存在漏洞后，立即聯(lián)系了供應(yīng)商Wonderware，但是Wonderware1個(gè)月后才開(kāi)始回應(yīng)；等到Wonderware認(rèn)識(shí)到產(chǎn)品缺陷，并知會(huì)Suitlink用戶(hù)相關(guān)補(bǔ)救措施時(shí)，已是三個(gè)月以后的事了。這件事讓很多供應(yīng)商開(kāi)始關(guān)注自己產(chǎn)品的安全性，但對(duì)大部分供應(yīng)商來(lái)說(shuō)，還是任重道遠(yuǎn)。人們能夠理解ICS系統(tǒng)核心組件(如數(shù)據(jù)庫(kù)、應(yīng)用軟件、服務(wù)器等101誤區(qū)七：ICS系統(tǒng)的接入點(diǎn)容易控制誤區(qū)七：ICS系統(tǒng)的接入點(diǎn)容易控制102ICS系統(tǒng)存在很多未知或已知但不安全的接入點(diǎn)，如維護(hù)用的手提電腦可以直接和ICS網(wǎng)絡(luò)聯(lián)接、可不經(jīng)過(guò)防火墻的接入點(diǎn)、遠(yuǎn)程支持和維護(hù)接入點(diǎn)、ICS設(shè)備和非ICS設(shè)備的連接點(diǎn)、ICS網(wǎng)絡(luò)設(shè)備中的可接入端口等。實(shí)際上，ICS系統(tǒng)的所有者并不知曉有多少個(gè)接入點(diǎn)存在以及有多少個(gè)接入點(diǎn)正在使用，也不知道個(gè)人可以通過(guò)這種方式訪(fǎng)問(wèn)ICS系統(tǒng)。

ICS系統(tǒng)存在很多未知或已知但不安全的接入點(diǎn)，如維護(hù)用的手提103誤區(qū)八：系統(tǒng)安全可以一次性解決或是可以等到項(xiàng)目結(jié)束再解決誤區(qū)八：系統(tǒng)安全可以一次性解決或是可以等到項(xiàng)目結(jié)束再解決104以前，ICS系統(tǒng)功能簡(jiǎn)單，外部環(huán)境穩(wěn)定，現(xiàn)場(chǎng)維護(hù)設(shè)備也非智能型，所以，針對(duì)某一問(wèn)題的解決方案可以維持很長(zhǎng)一段時(shí)間不變。然而，現(xiàn)在的ICS系統(tǒng)功能復(fù)雜，外部環(huán)境經(jīng)常變化，現(xiàn)場(chǎng)維護(hù)設(shè)備也需要定期更新和維護(hù)。不僅ICS系統(tǒng)和現(xiàn)場(chǎng)維護(hù)設(shè)備需要安全防護(hù)，其管理和維護(hù)工作也需要安全防護(hù)，而且是動(dòng)態(tài)管理的安全防護(hù)，即一旦有新的威脅或漏洞產(chǎn)生，就要及時(shí)采取安全措施。近些年，雖然ICS項(xiàng)目建設(shè)開(kāi)始關(guān)注系統(tǒng)安全，但是由于工期較長(zhǎng)，通常在最后階段才開(kāi)始考慮安全防護(hù)問(wèn)題，但此時(shí)不僅實(shí)施不易，而且成本頗高。因?yàn)樾枨笞兏酵砘蚵┒窗l(fā)現(xiàn)越遲，更改或彌補(bǔ)的費(fèi)用越高。以前，ICS系統(tǒng)功能簡(jiǎn)單，外部環(huán)境穩(wěn)定，現(xiàn)場(chǎng)維護(hù)設(shè)備也非智能105誤區(qū)九：?jiǎn)蜗蛲ㄐ?00%安全

誤區(qū)九：?jiǎn)蜗蛲ㄐ?00%安全106某些情況下，極重要的ICS系統(tǒng)允許以單向通訊方式與其他安全區(qū)域聯(lián)接。但是，這種聯(lián)接方式是很不嚴(yán)密的，其安全程度高低取決于單向通信的實(shí)現(xiàn)方式。方式一為限制發(fā)起方方式，即通信只能由某一方發(fā)起，然后雙方可以互相通信；方式二為限制負(fù)載流方式，即在方式一基礎(chǔ)上，對(duì)方只能發(fā)送控制信號(hào)，不能發(fā)送數(shù)據(jù)或應(yīng)用信息；方式三最嚴(yán)格，僅允許一方發(fā)送信息，不允許另一方發(fā)送任何信息。方式一采用基本防火墻就能實(shí)現(xiàn)，方式二需要進(jìn)行信息包檢測(cè)，方式三需要采用特殊設(shè)備實(shí)現(xiàn)。通常認(rèn)為，將前兩種方式結(jié)合起來(lái)將是最安全的防護(hù)措施。但是，即使它們可以提供很強(qiáng)的安全保護(hù)，網(wǎng)絡(luò)攻擊還是有可能發(fā)生。因?yàn)榭刂坪托盘?hào)信息允許進(jìn)入受保護(hù)區(qū)域，經(jīng)過(guò)設(shè)備編譯后，惡意代碼就有可能得到運(yùn)行。所以，單向通信并不能提供100%的安全保護(hù)。某些情況下，極重要的ICS系統(tǒng)允許以單向通訊方式與其他安全區(qū)1071.2工業(yè)控制系統(tǒng)的安全分析

首先，傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時(shí)間要早于互聯(lián)網(wǎng)，它需要采用專(zhuān)用的硬件、軟件和通信協(xié)議，設(shè)計(jì)上基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題。

1.2工業(yè)控制系統(tǒng)的安全分析首先，傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)108其次，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)，工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能，愈加智能的ICS網(wǎng)絡(luò)中各種應(yīng)用、工控設(shè)備以及辦公用PC系統(tǒng)逐漸形成一張復(fù)雜的網(wǎng)絡(luò)拓?fù)洹?/p>

其次，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP109

另一方面，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會(huì)對(duì)ICS造成破壞。在現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)融合進(jìn)ICS后，傳統(tǒng)ICP/IP網(wǎng)絡(luò)上常見(jiàn)的安全問(wèn)題已經(jīng)紛紛出現(xiàn)在ICS之上。例如用戶(hù)可以隨意安裝、運(yùn)行各類(lèi)應(yīng)用軟件、訪(fǎng)問(wèn)各類(lèi)網(wǎng)站信息，這類(lèi)行為不僅影響工作效率、浪費(fèi)系統(tǒng)資源，而且還是病毒、木馬等惡意代碼進(jìn)入系統(tǒng)的主要原因和途徑。以Stuxnet蠕蟲(chóng)為例，其充分利用了伊朗布什爾核電站工控網(wǎng)絡(luò)中工業(yè)PC與控制系統(tǒng)存在的安全漏洞（LIK文件處理漏洞、打印機(jī)漏洞、RPC漏洞、WinCC漏洞、S7項(xiàng)目文件漏洞以及Autorun.inf漏洞）。

另一方面，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)1101.3工業(yè)控制系統(tǒng)的安全解決方案

（1）安全管理體系：建立適應(yīng)工業(yè)控制系統(tǒng)安全目標(biāo)、策略、流程，內(nèi)容包括：安全管理平臺(tái)建設(shè)、安全管理制度規(guī)范建設(shè)；（2）安全運(yùn)行維護(hù)體系：建立有效的運(yùn)行維護(hù)、漏洞發(fā)現(xiàn)與預(yù)警、應(yīng)急響應(yīng)體系，內(nèi)容包括：模擬環(huán)境下安全風(fēng)險(xiǎn)評(píng)估、模擬環(huán)境下安全整改措施驗(yàn)證、事件響應(yīng)應(yīng)急預(yù)案、操作人員安全技術(shù)培訓(xùn)等；（3）安全技術(shù)體系：建立工業(yè)控制系統(tǒng)的技術(shù)防護(hù)體系、安全審計(jì)跟蹤體系，內(nèi)容包括：身份鑒別、邊界訪(fǎng)問(wèn)控制、攻擊檢測(cè)預(yù)警、行為審計(jì)跟蹤、數(shù)據(jù)加密與備份等。1.3工業(yè)控制系統(tǒng)的安全解決方案

（1）安全管理體系：建1112石油石化工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)管控一體化

2石油石化工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)管控一體化112系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu)113信息化油氣田自動(dòng)控制技術(shù)114信息化油氣田自動(dòng)控制技術(shù)1153工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全隱患3.1網(wǎng)絡(luò)通信協(xié)議安全漏洞3.2操作系統(tǒng)安全漏洞

3.3安全策略和管理流程漏洞3.4殺毒軟件漏洞3.5應(yīng)用軟件安全漏洞3工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全隱患3.1網(wǎng)絡(luò)通信協(xié)議安全漏洞1163.6控制網(wǎng)絡(luò)的安全隱患

入侵、組織性攻擊拒絕服務(wù)攻擊病毒與惡意代碼3.6控制網(wǎng)絡(luò)的安全隱患入侵、組織性攻擊117(1)控制器和操作站之間無(wú)隔離防護(hù)PLC、DCS、IED和RTU等現(xiàn)場(chǎng)設(shè)備非常脆弱，一般的病毒攻擊就可能造成死機(jī)。(2)DCS控制系統(tǒng)與上層數(shù)采網(wǎng)無(wú)隔離防護(hù)基于Windows平臺(tái)的控制系統(tǒng)工作站發(fā)生病毒感染和傳播的影響極大。目前國(guó)內(nèi)沒(méi)有用于工業(yè)協(xié)議的防火墻。(3)APC與其它網(wǎng)絡(luò)無(wú)隔離APC網(wǎng)絡(luò)經(jīng)常和外界接觸，感染病毒的風(fēng)險(xiǎn)比較大，需要和別的網(wǎng)絡(luò)隔離開(kāi)來(lái)。(4)OPCServer無(wú)操作權(quán)限管理工廠(chǎng)環(huán)境中，不同角色的用戶(hù)需要對(duì)每個(gè)OPC數(shù)據(jù)項(xiàng)的添加、瀏覽、讀/寫(xiě)定義不同的權(quán)限，而目前的防護(hù)方式做不到深度檢查。(5)網(wǎng)絡(luò)安全事件無(wú)法追蹤

對(duì)網(wǎng)絡(luò)故障進(jìn)行快速的診斷，并記錄、存儲(chǔ)、分析，為減少事故帶來(lái)的損失和加強(qiáng)日后的事件管理帶來(lái)很大的方便。(1)控制器和操作站之間無(wú)隔離防護(hù)1183.7常規(guī)網(wǎng)絡(luò)安全技術(shù)的局限性常規(guī)網(wǎng)絡(luò)安全技術(shù)的作用

防火墻的局限性與不足

其他安全技術(shù)的局限

3.7常規(guī)網(wǎng)絡(luò)安全技術(shù)的局限性常規(guī)網(wǎng)絡(luò)安全技術(shù)的作用1194網(wǎng)絡(luò)隔離技術(shù)及防護(hù)產(chǎn)品4.1網(wǎng)絡(luò)隔離技術(shù)

4網(wǎng)絡(luò)隔離技術(shù)及防護(hù)產(chǎn)品4.1網(wǎng)絡(luò)隔離技術(shù)1204.2網(wǎng)絡(luò)隔離防護(hù)產(chǎn)品（1）網(wǎng)閘

（2）工業(yè)隔離網(wǎng)關(guān)

4.2網(wǎng)絡(luò)隔離防護(hù)產(chǎn)品1215工業(yè)控制系統(tǒng)安全解決方案5.1工業(yè)控制系統(tǒng)安全防護(hù)目標(biāo)5工業(yè)控制系統(tǒng)安全解決方案5.1工業(yè)控制系統(tǒng)安全防護(hù)目標(biāo)122(1)通訊可控能夠直觀(guān)的觀(guān)察、監(jiān)控、管理通訊電纜中流過(guò)的數(shù)據(jù)，這是首先要達(dá)到的目標(biāo)。對(duì)控制網(wǎng)絡(luò)而言?xún)H需要保證制造商專(zhuān)有協(xié)議數(shù)據(jù)通過(guò)即可，對(duì)其它通訊一律禁止，創(chuàng)造一個(gè)私有通信網(wǎng)絡(luò)環(huán)境。(2)區(qū)域隔離現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)最可怕的是病毒的急速擴(kuò)散，它會(huì)瞬間令整個(gè)網(wǎng)絡(luò)癱瘓。所以即使在控制網(wǎng)局部出現(xiàn)問(wèn)題，也需要保持裝置或工廠(chǎng)的安全穩(wěn)定運(yùn)行。通過(guò)在關(guān)鍵通道上部署網(wǎng)絡(luò)隔離，為控制系統(tǒng)創(chuàng)造了一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境。(3)報(bào)警追蹤能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其它問(wèn)題，準(zhǔn)確找到故障的發(fā)生點(diǎn)，是維護(hù)控制網(wǎng)絡(luò)安全的前提。把網(wǎng)絡(luò)安全問(wèn)題消滅在萌芽中，同時(shí)通過(guò)對(duì)報(bào)警事件記錄存儲(chǔ)，為已發(fā)生過(guò)的安全事件提供分析依據(jù)，告別以前主觀(guān)經(jīng)驗(yàn)推斷的模式。(1)通訊可控1235.2“縱深防御”策略（1）即使在某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故，也能保證裝置或工廠(chǎng)的正常安全穩(wěn)定運(yùn)行（2）工廠(chǎng)操作人員能夠及時(shí)準(zhǔn)確的確認(rèn)故障點(diǎn)，并排除問(wèn)題5.2“縱深防御”策略1245.2.1工業(yè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)及安全區(qū)域的劃分

5.2.1工業(yè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)及安全區(qū)域的劃分1255.2.2基于縱深防御策略的

工業(yè)控制系統(tǒng)信息安全（1）企業(yè)管理層和數(shù)采監(jiān)控層之間的安全防護(hù)（2）數(shù)采監(jiān)控層和控制層之間的安全防護(hù)（3）保護(hù)關(guān)鍵控制器（4）隔離工程師站，保護(hù)APC先控站（5）與第三方控制系統(tǒng)之間的安全防護(hù)5.2.2基于縱深防御策略的

工業(yè)控制系統(tǒng)信息安全（1）企業(yè)126信息化油氣田自動(dòng)控制技術(shù)1275.2.3

報(bào)警管理平臺(tái)報(bào)警管理平臺(tái)的功能包括集成系統(tǒng)中所有的事件和報(bào)警信息，并對(duì)報(bào)警信息進(jìn)行等級(jí)劃分。提供實(shí)時(shí)畫(huà)面顯示、歷史數(shù)據(jù)存儲(chǔ)、報(bào)警確認(rèn)、報(bào)警細(xì)目查詢(xún)、歷史數(shù)據(jù)查詢(xún)等功能。報(bào)警管理平臺(tái)還負(fù)責(zé)捕獲現(xiàn)場(chǎng)所有安裝有工業(yè)防火墻的通訊信道中的攻擊，并詳細(xì)顯示攻擊來(lái)自哪里、使用何種通信協(xié)議、攻擊目標(biāo)是誰(shuí)，以總攬大局的方式為工廠(chǎng)網(wǎng)絡(luò)故障的及時(shí)排查、分析提供了可靠依據(jù)。5.2.4

“測(cè)試”模式系統(tǒng)工程師可以利用工業(yè)防火墻提供的“測(cè)試”模式功能，在真正部署防火墻之前，在真實(shí)工廠(chǎng)操作環(huán)境中對(duì)防火墻規(guī)則進(jìn)行測(cè)試。通過(guò)分析確認(rèn)每一條報(bào)警信息，實(shí)現(xiàn)全面的控制功能，從而確保工控需求的完整性和可靠性。5.2.3

報(bào)警管理平臺(tái)1285.3工控網(wǎng)絡(luò)安全解決方案5.3.1安全解決方案組件加拿大ByresSecurity公司推出的Tofino工業(yè)網(wǎng)絡(luò)安全解決方案，由Tofino安全設(shè)備模塊(TofinoSecurityAppliance,TSA)、可裝載安全軟插件(LoadableSecurityModules,LSM)和中央管理平臺(tái)(CentralManagementPlatform,CMP)三部分構(gòu)成。

(1)安全設(shè)備模塊(TSA)5.3工控網(wǎng)絡(luò)安全解決方案5.3.1安全解決方案組件129

圖4Tofino安全模塊（TSA-100）

圖5Tofino安全模塊（TSA-220）

圖4Tofino130(2)可裝載安全軟插件(LSM)專(zhuān)為T(mén)SA設(shè)計(jì)的功能性安全軟插件，通過(guò)組態(tài)軟件下裝至TSA，提供安全服務(wù)。包括工業(yè)通信防火墻(Firewall)、事件與報(bào)警管理(EventLogger)、OPC/ModbusTCP通信深度檢查(OPC/ModbusTCPEnforcer)、資產(chǎn)管理(SecureAssetManagement)、VPN加密等

(2)可裝載安全軟插件(LSM)131(3)中央管理平臺(tái)(CMP)窗口化的中央管理平臺(tái)系統(tǒng)，用于TSA的配置、組態(tài)和管理，并能進(jìn)行報(bào)警的實(shí)時(shí)顯示和查看。通過(guò)一個(gè)工作站進(jìn)行配置、管理和監(jiān)測(cè)網(wǎng)絡(luò)上的所有TSA。使用CMP，可以快速創(chuàng)建整個(gè)控制網(wǎng)絡(luò)模型?？梢暤耐戏攀骄庉嫻ぞ呖梢詭椭p松地創(chuàng)建、編輯和測(cè)試TSA。通過(guò)CMP可以看到整個(gè)系統(tǒng)的運(yùn)行狀態(tài)，并用一系列措施應(yīng)對(duì)網(wǎng)絡(luò)遇到的威脅。獨(dú)特的三種操作模式，可以保證在對(duì)系統(tǒng)無(wú)擾動(dòng)的情況下在線(xiàn)添加。(3)中央管理平臺(tái)(CMP)132CMP是基于實(shí)時(shí)網(wǎng)絡(luò)安全報(bào)警的全新安全管理平臺(tái)，具有實(shí)時(shí)畫(huà)面顯示、歷史數(shù)據(jù)存儲(chǔ)、報(bào)警確認(rèn)、報(bào)警細(xì)目查詢(xún)、歷史數(shù)據(jù)查詢(xún)等功能，可集成所有事件報(bào)警信息，并劃分等級(jí)進(jìn)行報(bào)警，用手機(jī)短信、電子郵件等方式實(shí)時(shí)通知相關(guān)主管人員。該平臺(tái)能夠準(zhǔn)確捕獲現(xiàn)場(chǎng)所有安裝TSA的通訊信道中的網(wǎng)絡(luò)攻擊，并且詳細(xì)顯示攻擊來(lái)自哪里、使用怎樣的通訊協(xié)議以及攻擊目標(biāo)是誰(shuí)，以總攬大局的方式為工廠(chǎng)網(wǎng)絡(luò)故障的及時(shí)排查、分析提供了可靠依據(jù)。CMP是基于實(shí)時(shí)網(wǎng)絡(luò)安全報(bào)警的全新安全管理平臺(tái)，具有實(shí)時(shí)畫(huà)面133（4）安全管理平臺(tái)（SMP）SMPServer接收CMP或TSA的日志和報(bào)警記錄，并將日志和報(bào)警存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中。SMPClient安裝在辦公局域網(wǎng)上的辦公電腦中，支持以圖形的方式實(shí)時(shí)顯示CMP或TSA收集的日志和報(bào)警記錄，并且支持日志和報(bào)警的查詢(xún)。（4）安全管理平臺(tái)（SMP）1345.3.2安全解決方案實(shí)施第一步：創(chuàng)建網(wǎng)絡(luò)安全分區(qū)，確定在何處放置TOFINO安全設(shè)備TSA。第二步：確定需要哪些可裝載安全功能軟插件(LSMs)，以確保每個(gè)區(qū)域安全不同的要求。第三步：選擇一個(gè)服務(wù)器或工作站安裝TOFINO中央管理平臺(tái)CMP和Tofino安全管理平臺(tái)SMP，CMP和SMP也可以分別安裝在不同的機(jī)器。5.3.2安全解決方案實(shí)施第一步：創(chuàng)建網(wǎng)絡(luò)安全分區(qū)，確定在何135信息化油氣田自動(dòng)控制技術(shù)1363安全解決方案特點(diǎn)(1)工業(yè)型內(nèi)置50多種專(zhuān)有工業(yè)通信協(xié)議。與常規(guī)防火墻不同的是，TSA不僅是在端口上的防護(hù)，更重要的是基于應(yīng)用層上數(shù)據(jù)包深度檢查，屬于新一代工業(yè)通訊協(xié)議防火墻，為工業(yè)通訊提供獨(dú)特的、工業(yè)級(jí)的專(zhuān)業(yè)隔離防護(hù)解決方案。具備在線(xiàn)修改防火墻組態(tài)功能，可以實(shí)時(shí)對(duì)組態(tài)的防火墻策略進(jìn)行修改，而且不影響工廠(chǎng)實(shí)時(shí)通訊。無(wú)需工廠(chǎng)停車(chē)就可在線(xiàn)直接插入使用，啟動(dòng)時(shí)對(duì)控制網(wǎng)絡(luò)是“透明的”，不存在安全規(guī)則配置錯(cuò)誤，阻斷有效工業(yè)通訊的風(fēng)險(xiǎn)。工業(yè)型設(shè)計(jì)，導(dǎo)軌式安裝，低功耗無(wú)風(fēng)扇，具備二區(qū)防爆認(rèn)證。3安全解決方案特點(diǎn)(1)工業(yè)型137(2)特有的安全連接技術(shù)TSA自身是基于非IP的獨(dú)有專(zhuān)利安全連接技術(shù)進(jìn)行管理，能夠阻擋任何欺騙式攻擊。TSA能夠隱藏后端所有設(shè)備的IP地址，讓入侵者無(wú)法發(fā)現(xiàn)目標(biāo)，更無(wú)從談起發(fā)動(dòng)任何攻擊。TSA集防火墻與虛擬路由于一身，能夠像網(wǎng)絡(luò)交通警察一樣管控通訊網(wǎng)絡(luò)數(shù)據(jù)通訊的路徑、對(duì)象以及數(shù)據(jù)流的方向，可以設(shè)定數(shù)據(jù)流入、流出的單向或雙向。(2)特有的安全連接技術(shù)13