伴隨兩化融合和物聯(lián)網(wǎng)的快速發(fā)展，我國關鍵性基礎設施和能源行業(yè)廣泛使用的SCADA、DCS、PLC等工業(yè)控制系統(tǒng)越來越多地采用計算機和網(wǎng)絡技術，如Ethernet、TCP/IP以及OPC等，極大地推動了工業(yè)生產，但同時也使工業(yè)控制系統(tǒng)接口越來越開放，控制系統(tǒng)面臨的信息安全問題也日益嚴重。
      

       2010年10月，肆虐伊朗的Stuxnet病毒造成伊朗布什爾核電站推遲發(fā)電。事件經(jīng)媒體披露后迅速引發(fā)了各國政府與安全機構的廣泛關注。Stuxnet病毒通過移動介質、西門子項目文件等方式進行傳播，可以說是計算機病毒界革命性創(chuàng)新，“工業(yè)病毒”時代已經(jīng)來臨。為此工信部協(xié)[2011]451號文件明確指出要切實加強工業(yè)控制系統(tǒng)信息安全管理。

1 工業(yè)網(wǎng)絡信息安全現(xiàn)狀分析

       二十世紀九十年代以前的大多數(shù)控制系統(tǒng)一般都采用專用的硬件、軟件和通信協(xié)議，有自己獨立的操作系統(tǒng)，系統(tǒng)之間的互聯(lián)要求也不高，因此幾乎不存在網(wǎng)絡安全風險。
      

       多年來企業(yè)更多關注的是管理網(wǎng)絡的安全問題，許多企業(yè)對控制系統(tǒng)安全存在認識上的誤區(qū)：認為控制系統(tǒng)沒有直接連接互聯(lián)網(wǎng)、黑客或病毒不了解控制系統(tǒng)，無法攻擊控制系統(tǒng)，因此控制系統(tǒng)是安全的。而實際情況是，企業(yè)的許多控制網(wǎng)絡都是“敞開的”，系統(tǒng)之間沒有有效的隔離。同時黑客和病毒的入侵途徑又是多種多樣的，因此盡管企業(yè)網(wǎng)內部安裝了一些網(wǎng)絡安全防護產品，施行了各類網(wǎng)絡安全技術，但隨著信息化的推動和工業(yè)化進程的加速，工廠信息網(wǎng)絡、移動存儲介質、因特網(wǎng)以及其它因素導致的信息安全問題正逐漸向控制系統(tǒng)擴散，直接影響了工廠生產控制的穩(wěn)定與安全^[1]。近幾年來，國內、外許多企業(yè)的DCS控制系統(tǒng)已經(jīng)有中病毒或遭黑客攻擊的現(xiàn)象，給安全生產帶來了極大的隱患。

2 工業(yè)網(wǎng)絡的信息安全漏洞

        信息化時代的來臨使工業(yè)控制系統(tǒng)暴漏出一些信息安全漏洞。

2.1  通信協(xié)議漏洞

        兩化融合和物聯(lián)網(wǎng)的發(fā)展使得OPC協(xié)議等通用協(xié)議越來越廣泛地應用在工業(yè)控制網(wǎng)絡中，隨之而來的通信協(xié)議漏洞問題也日益突出。例如，OPC Classic協(xié)議基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡安全問題被廣泛認識之前設計的，極易受到攻擊。

2.2  操作系統(tǒng)漏洞

        目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺的，為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，現(xiàn)場工程師在系統(tǒng)開車后通常不會對Windows平臺安裝任何補丁，從而埋下安全隱患。

2.3  安全策略和管理流程漏洞

       追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

2.4  殺毒軟件漏洞

       為了保證工控應用軟件的可用性，許多工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒軟件的病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發(fā)大規(guī)模的病毒攻擊，特別是新病毒。

2.5  應用軟件漏洞

       由于應用軟件多種多樣，很難形成統(tǒng)一的防護規(guī)范以應對安全問題；另外當應用軟件面向網(wǎng)絡應用時，就必須開放其應用端口?；ヂ?lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想^[2]。

3 工業(yè)控制網(wǎng)絡的常見拓撲結構和安全隱患分析

        為了更全面的說明問題，本文將工業(yè)控制網(wǎng)絡中常見的三種結構結合在一起，并分析網(wǎng)絡中存在的安全隱患。

3.1  工業(yè)網(wǎng)絡的常見結構

       綜合各工業(yè)企業(yè)網(wǎng)絡現(xiàn)狀，工業(yè)網(wǎng)絡通常由信息網(wǎng)、數(shù)采網(wǎng)和控制網(wǎng)組成，如圖1所示。信息網(wǎng)一般使用通用以太網(wǎng)，可以從數(shù)采網(wǎng)提取有關的生產數(shù)據(jù)，實現(xiàn)基于生產過程數(shù)據(jù)的MES應用。數(shù)采網(wǎng)主要是從控制網(wǎng)獲取數(shù)據(jù)?？刂凭W(wǎng)負責控制器、操作站及工程師站之間過程控制數(shù)據(jù)實時通訊。

網(wǎng)絡結構圖說明：

        a.控制網(wǎng)由PLC、DCS和現(xiàn)場設備（Modbus RTU）構成，分別通過三種不同的方式和數(shù)采網(wǎng)相連。其中，PLC和DCS為上層數(shù)采網(wǎng)提供OPC接口，PLC的OPC Server通過Buffer機和數(shù)采網(wǎng)相連；DCS的OPC Server直接與數(shù)采網(wǎng)相連；Modbus RTU直接和數(shù)采網(wǎng)相連，通過Modbus TCP協(xié)議和數(shù)采網(wǎng)進行數(shù)據(jù)傳輸。
b.辦公網(wǎng)中的各種基于數(shù)據(jù)庫的MES Client應用通過MES Server訪問數(shù)采網(wǎng)中的實時數(shù)據(jù)庫。
c.伴隨各企業(yè)挖潛增效的不斷發(fā)展，先進控制（APC）的應用越來越廣泛。APC的調試和應用過程中需要第三方的反復調試，經(jīng)常需要接入第三方設備，如U盤或筆記本電腦。

3.2  現(xiàn)有結構中的安全隱患

       a.網(wǎng)絡內部各個層面和系統(tǒng)之間的相互感染。雖然通過Buffer數(shù)采機或OPC Server的雙網(wǎng)卡結構對數(shù)采網(wǎng)與控制網(wǎng)進行了隔離，部分惡意程序不能直接攻擊到控制網(wǎng)絡，但對于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡蠕蟲及病毒等，這種配置并不起作用，病毒仍會在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。安裝殺毒軟件可以抑制部分病毒或攻擊，但病毒庫存在滯后問題，也不能從根本上進行防護。

        b. 對關鍵控制器無額外的防御措施?？刂葡到y(tǒng)網(wǎng)絡上的PLC、DCS和RTU對現(xiàn)場實時控制來說非常有效，但就控制系統(tǒng)網(wǎng)絡連接來說它們都不是很強壯。 

        c．來自工程師站和APC Server的病毒擴散隱患。網(wǎng)絡中的工程師站和APC Server在項目實施階段通常需要接入第三方設備（U盤、筆記本電腦等），受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。

        d．網(wǎng)絡攻擊事件無法追蹤。網(wǎng)絡中缺乏對網(wǎng)絡進行實時監(jiān)控的工具，一旦出現(xiàn)問題后，無法進行原因查找、分析和故障點查詢。

4 多芬諾工業(yè)控制系統(tǒng)信息安全解決方案

       作為信息安全管理的重要組成部分，制定滿足業(yè)務場景需求的安全策略和管理流程，是確保ICS 系統(tǒng)穩(wěn)定運行的基礎。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標準對工業(yè)控制系統(tǒng)的安全要求，將具有相同功能和安全要求的控制設備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過控制區(qū)域間管道中的通信內容，實施縱深防御策略，從而保障工業(yè)網(wǎng)絡的安全。
       

       多芬諾工業(yè)控制系統(tǒng)信息安全解決方案由四部分組成：安全模塊、可裝載安全軟插件、組態(tài)管理平臺和報警管理平臺。安全模塊TSA為工業(yè)級硬件設備，安裝在受保護的區(qū)域或控制器等關鍵設施前端；可裝載安全軟插件LSM是裝載到TSA中，根據(jù)系統(tǒng)安全需求，提供各種安全防護功能的一系列軟件；組態(tài)管理平臺CMP用于配置、組態(tài)和管理網(wǎng)絡中所有的TSA；報警管理平臺用于管理、分析報警信息。
       

       參照ANSI/ISA-99安全標準，結合工業(yè)系統(tǒng)的安全需要，可以將圖1所示的工業(yè)系統(tǒng)網(wǎng)絡劃分為下列不同的安全區(qū)域：辦公區(qū)域、數(shù)采區(qū)域、PLC/DCS/現(xiàn)場設備RTU控制區(qū)域，同時考慮到來自工程師站的安全威脅因素以及控制器的安全防護等級要求，將工程師站和控制器劃分為兩個獨立的子區(qū)域。另外數(shù)采網(wǎng)中的APC Server受感染的幾率也較大，需進行隔離，因此也將其劃分為一個獨立的子區(qū)域，如圖2所示。

4.1 PLC和數(shù)采網(wǎng)之間的安全防護以及DCS和數(shù)采網(wǎng)之間的安全防護

       控制網(wǎng)中的PLC和DCS等控制系統(tǒng)對數(shù)采網(wǎng)提供的接口協(xié)議一般有DDE、OPC等。在數(shù)據(jù)量大，刷新頻率快時，DDE就表現(xiàn)出不穩(wěn)定性，因此目前OPC技術已成為工業(yè)界系統(tǒng)互聯(lián)的缺省方案。但由于OPC通訊采用不固定的端口號，使用傳統(tǒng)的IT防火墻進行防護時，不得不開放大規(guī)模范圍內的端口號。在這種情況下，防火墻提供的安全保障被降至最低。

       多芬諾工業(yè)控制系統(tǒng)信息安全解決方案通過在OPC Server和數(shù)采機Buffer或數(shù)采網(wǎng)之間增加多芬諾安全模塊，并且裝載Firewall LSM和OPC Enforcer LSM軟插件來防御各種安全威脅和攻擊，如圖3所示。

        OPC Enforcer LSM能檢查、跟蹤、保護由OPC應用程序創(chuàng)建的每一次連接，僅在創(chuàng)建OPC連接的OPC Client和OPC Server間動態(tài)地打開每次連接所需要的唯一的TCP端口，從而解決了OPC通訊無法使用常規(guī)IT防火墻進行防護帶來的安全防護瓶頸問題。同時，安全模塊TSA能阻止病毒和其它一些非法訪問，這樣來自防護區(qū)域內的病毒感染就不會擴散到其他網(wǎng)絡，從本質上保證了網(wǎng)絡通訊安全。

4.2 現(xiàn)場設備RTU和數(shù)采網(wǎng)之間的安全防護

       現(xiàn)場設備RTU和數(shù)采網(wǎng)通過Modbus TCP協(xié)議進行數(shù)據(jù)傳輸，因此在現(xiàn)場設備RTU和數(shù)采網(wǎng)之間增加多芬諾安全模塊，同時裝載Modbus TCP Enforcer LSM軟插件，如圖4所示。

       傳統(tǒng)的IT防火墻允許訪問控制列表ACL檢查一條信息的三個主要方面，即源IP、目標IP和IP幀中“TCP目的端口號”所定義的上層協(xié)議，然后來決定是否允許該信息通過。但是沒有對協(xié)議內容的細粒度控制，存在一些黑客可以利用的漏洞。例如，Stuxnet就大量使用了遠程過程調用協(xié)議（RPC）。而西門子PCS 7控制系統(tǒng)也大量使用了基于RPC的專有信息技術。因此使用傳統(tǒng)的IT防火墻簡單地阻止所有的RPC通訊并不是一個可行的方案。

      Modbus TCP Enforcer LSM軟插件是首個能夠深入工業(yè)協(xié)議內部進行內容檢測的產品?？刂乒こ處煻x允許的Modbus指令，寄存器和線圈名單列表后，Modbus TCP Enforcer LSM軟插件就能自動阻止并報告任何不匹配組態(tài)規(guī)則的通訊。同時Modbus TCP Enforcer LSM軟插件也能針對非法格式的信息以及異常行為（如10,000個應答信息都是響應單個請求信息）對通訊進行完整性檢查，阻止任何企圖破壞系統(tǒng)的攻擊活動，保障系統(tǒng)安全。

4.3 保護關鍵控制器

       關鍵控制器在整個網(wǎng)絡中起著舉足輕重的作用，但是其在安全上都不是很強壯，一般的控制系統(tǒng)網(wǎng)絡故障，如廣播和多點發(fā)送信息就會使一些設備過載。在控制器前端增加多芬諾安全模塊，裝載Firewall LSM軟插件，能有效地保障關鍵控制遠離網(wǎng)絡中的病毒攻擊和威脅。

       多芬諾工業(yè)防火墻預置50多種工業(yè)通訊協(xié)議，支持幾乎所有的基于以太網(wǎng)通訊的控制器、網(wǎng)絡設備和通訊協(xié)議，包括Honeywell、Emerson、Yokogawa等。對多芬諾工業(yè)防火墻進行規(guī)則組態(tài)時只允許制造商專有協(xié)議通過，阻擋來自操作站的任何非法訪問；另一方面可以對網(wǎng)絡通訊流量進行管控，指定只有某個專有操作站才能訪問指定的控制器；此外還可以管控局部網(wǎng)絡的通訊速率，防止控制器遭受網(wǎng)絡風暴及其它攻擊的影響，從而避免控制器死機。

4.4 隔離工程師站和APC Server

       越來越多的先進控制應用于現(xiàn)場控制，先進控制一般由廠家提供現(xiàn)場服務，經(jīng)常使用U盤等移動介質和第三方設備（筆記本電腦等），APC服務器感染病毒的概率較大，系統(tǒng)中的工程師站也存在同樣的安全隱患。因此，在工程師站和APC Server前端增加多芬諾安全模塊，并且裝載Firewall LSM軟插件，將其單獨隔離，防止病毒擴散，保證了網(wǎng)絡的通訊安全。

4.5 組態(tài)管理平臺和報警管理平臺

       在數(shù)采網(wǎng)安裝多芬諾組態(tài)管理平臺CMP，用于配置、組態(tài)并統(tǒng)一管理網(wǎng)絡中所有的多芬諾工業(yè)防火墻，同時可以快速創(chuàng)建整個控制網(wǎng)絡模型，監(jiān)視整個系統(tǒng)的運行狀態(tài)。
在信息網(wǎng)安裝報警管理平臺SMP，可以集成所有來自CMP平臺的所有事件及報警信息，并可劃分等級進行報警，通過網(wǎng)絡結構圖人機界面實時通知相關主管人員。該平臺能夠準確捕獲現(xiàn)場所有安裝防火墻的通訊信道中的攔截日志，并且詳細顯示通訊的源、目標及通訊協(xié)議，以總攬大局的方式為工廠網(wǎng)絡故障的及時排查與分析提供可靠依據(jù)。

整體的多芬諾工業(yè)控制系統(tǒng)信息安全解決方案如圖7所示。

5 總結

       采用以太網(wǎng)和TCP/IP協(xié)議作為最主要的通訊協(xié)議和手段，向網(wǎng)絡化、標準化、開放化發(fā)展是各種工業(yè)通訊和自動化控制系統(tǒng)技術的主要潮流，工業(yè)網(wǎng)絡信息安全問題已迫在眉睫。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案遵循以區(qū)域及管道保護網(wǎng)絡為核心的通訊原則，并采用集中安全管理監(jiān)控的管理方式，對企業(yè)內控制系統(tǒng)進行深入分析，實施全面、有針對性的防護策略，實現(xiàn)工業(yè)網(wǎng)絡安全防護的三大目標：區(qū)域隔離、通信管控和實時報警，從而全方位地保障工業(yè)控制網(wǎng)絡遠離各種內部威脅和外部攻擊。