石化工業控制網絡安全分析與防護

引言：

近幾年，因網絡病毒引起的工業事件層出不窮，工業網絡安全問題已經日益嚴峻，針對目前我國工業控制系統信息安全面臨的嚴峻形勢，2011年10月27日，工信部下發《關于加強工業控制系統信息安全管理的通知》，強調了加強工業控制系統信息安全管理的重要性和緊迫性，并明確了重點領域如：石油石化、電力、鋼鐵、化工等行業工業控制系統信息安全管理要求。石化工業是國家的基礎性能源支柱產業，信息安全在任何時期、任何國家地區都備受關注。能源系統的信息安全問題直接威脅到其它行業系統的安全、穩定、經濟、優質的運行，影響著系統信息化的實現進程。維護網絡安全，確保生產系統的穩定可靠、防止來自內部或外部攻擊，采取高安全性的防護措施都是石化信息系統安全不可忽視的組成部分。

隨著我國工業信息化建設的不斷深入，信息化已經成為企業發展的重要推動力量，國外石化企業信息化建設和應用已經走在我們前面。經濟全球化的發展以及WTO的加入，更對石化企業提出了新的挑戰，就石化企業而言，信息化是生存和發展的必由之路。

信息化是一項系統工程，信息化安全也是信息化建設的關鍵環節。特別是隨著互聯網日新月異的發展和企業集團信息化整合的加強，企業網絡應用的范圍在不斷擴大，如通過互聯網獲取信息、展現企業形象、開展電子商務等，通過廣域網實現集團內部資源共享、統一集團管理等，企業信息化網絡不再是單純意義上的Intranet，而更多的則是基于Internet的網絡和應用。但網絡開放的同時，帶來的安全問題就更加嚴峻了，各種安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。

石化企業信息化與其它行業相比有一個突出特點，就是以管控一體化為重點。這是由石化行業自身的特點決定的，并具有一定的時代特點。

石化企業是典型的資金和技術密集型企業，生產的連續性很強，裝置和重要設備的意外停產都會導致巨大的經濟損失，因此生產過程控制大多采用DCS等先進的控制系統，生產管理上也更注重安全和平穩運行。通過加強生產管理，可以實現管理與生產過程控制的融合，通過優化調度、先進控制和優化控制等手段，在保證生產平穩的基礎上獲取更大的經濟效益，因此，石化企業信息化的重點是管控一體化。當今的石化企業普遍采用基于ERP/SCM、MES和PCS三層架構的的管控一體化信息模型，MES處于企業信息系統ERP/SCM和過程控制系統的中間位置。MES系統在整個信息系統中主要擔當了兩個方面的重要作用：一是數據雙向通道的作用。即通過MES系統的實施，可以有效彌補企業PCS層及ERP/SCM層之間的數據間隙，由下至上，通過對底層PCS層數據的搜集、存儲及校正，建立過程控制數據層次上的數字化工廠，結合生產調度層次上的調度事件信息數據等，為上層ERP/SCM計劃管理層提供準確統一的生產數據；由上至下，通過對實時生產數據的總結，上層ERP/SCM層可以根據未來訂單及現階段生產狀況調整生產計劃，下發MES層進行計劃的分解及產生調度指令，有效指導企業生產活動。因此，MES系統在數據層面上，起到了溝通PCS層和ERP/SCM層的橋梁作用，并保證了生產數據、調度事件等信息的一致性及準確性。另一方面，生產活動的復雜性產生了很多實際的用戶需求，為了滿足這些用戶需求，MES系統也可以視為一個功能模塊的集合。

由DCS、PLC和SCADA等控制系統構成的控制網絡，在過去幾十年的發展中呈現出整體開放的趨勢。以石化主流控制系統DCS為例，在信息技術發展的影響下，DCS已經進入了第四代，新一代DCS呈現的一個突出特點就是開放性的提高。過去的DCS廠商基本上是以自主開發為主，提供的系統也是自己的系統。當今的DCS廠商更強調開放系統集成性。各DCS廠商不再把開發組態軟件或制造各種硬件單元視為核心技術，而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。例如，多數DCS廠商自己不再開發組態軟件平臺，而轉入采用其它專業公司的通用組態軟件平臺，或其它公司提供的軟件平臺。這一思路的轉變使得現代DCS的操作站完全呈現PC化與Windows化的趨勢。在新一代DCS的操作站中，幾乎清一色采用PC+Windows的技術架構，使用戶的投資及維護成本大幅降低。

同時，DCS網絡技術也呈現出開放的特征。過去，由于通信技術相對落后，網絡技術開放性是困擾用戶的一個重要問題。而當代網絡技術、軟件技術的發展為開放系統提供了可能。網絡技術開放性體現在DCS可以從多個層面與第三方系統互聯，同時支持多種網絡協議。目前在與企業管理層信息平臺互聯時，大多采用基于TCP(UDP)/IP協議的以太網通信技術，使用OPC等開放接口標準。

開放性為用戶帶來的好處毋庸置疑，但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。對于一個控制網絡系統，產生安全漏洞的因素是多方面的。

1、網絡通信協議安全漏洞

隨著TCP(UDP)/IP協議被控制網絡普遍采用，網絡通信協議漏洞問題變得越來越突出。

TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡，這一網絡是互相信任的，因此它原本只考慮互通互聯和資源共享的問題，并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境后，安全問題發生了。所以說，TCP/IP在先天上就存在著致命的安全漏洞。

1) 缺乏對用戶身份的鑒別

2) 缺乏對路由協議的鑒別認證

3) TCP/UDP自身缺陷

2、操作系統安全漏洞

PC+Windows的技術架構現已成為控制系統上位機/操作站的主流。而在控制網絡中，上位機/操作站是實現與MES通信的主要網絡結點，因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。

Windows操作系統從推出至今，以其友好的用戶界面、簡單的操作方式得到了用戶的認可，其版本也從最初的Windows 3.1發展到如今的XP、Windows Server2003、 Windows 7等。但是，微軟在設計Windows操作系統時是本著簡單易用為原則的，因而忽略了安全方面的考慮，留下了很多隱患。這些隱患在單機時代并沒有顯現出來，后來隨著網絡的出現和普及，越來越多地使用Windows操作系統的PC接入網絡，微軟埋下的隱患逐漸浮出水面。一時間Windows操作系統漏洞頻繁出現，安全事故時有發生。雖然微軟在Windows2000以后的版本中采用了Windows NT的核心，在一定程度上提高了Windows操作系統的安全性，但仍然不能避免安全漏洞的不斷出現。另一方面，Windows作為主流的操作系統，也更容易成為眾矢之的，每次Windows的系統漏洞被發現后，針對該漏洞的惡意代碼很快就會出現在網上，從漏洞被發現到惡意代碼的出現，中間的時差開始變得越來越短。以Windows2000版本為例，就曾被發現了大量漏洞，典型的如：輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大，惡意代碼通過這些漏洞，可以獲得Windows2000操作站的完全控制權，甚至為所欲為。

3、應用軟件安全漏洞

處于應用層的應用軟件產生的漏洞是最直接、最致命的。一方面這是因為應用軟件形式多樣，很難形成統一的防護規范以應對安全問題；另一方面最嚴重的是，當應用軟件面向網絡應用時，就必須開放其應用端口。例如，要想實現與操作站OPC服務器軟件的網絡通信，控制網絡就必須完全開放135端口，這時防火墻等安全設備已經無能為力了。而實際上，不同應用軟件的安全漏洞還不止于此。

控制網絡安全隱患分析

控制網絡的安全漏洞暴露了整個控制系統安全的脆弱性。由于網絡通信協議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷，從而使得攻擊者能夠在未授權的情況下訪問和操控控制網絡系統，形成了巨大的安全隱患。控制網絡系統的安全性同樣符合“木桶原則”，其整體安全性不在于其最強處，而取決于系統最薄弱之處，即安全漏洞所決定。只要這個漏洞被發現，系統就有可能成為網絡攻擊的犧牲品。

安全漏洞對控制網絡的隱患體現在惡意攻擊行為對系統的威脅。隨著越來越多的控制網絡系統通過信息網絡連接到互聯上，這種威脅就越來越大。目前互聯網上已有幾萬個黑客站點，黑客技術不斷創新，基本的攻擊手法已達上千種。這些攻擊技術一旦被不法之徒掌握，將產生不良的后果。