網(wǎng)絡(luò)隔離技術(shù)在DCS中的應(yīng)用

趙宏世

(中國神華煤制油化工有限公司鄂爾多斯煤制油分公司,內(nèi)蒙古 鄂爾多斯 017209)

數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、可編程邏輯控制器(PLC)及分散控制系統(tǒng)(DCS)等工業(yè)控制系統(tǒng)(ICS)被廣泛應(yīng)用于化工生產(chǎn)、油氣輸送、發(fā)電以及冶金等工業(yè)生產(chǎn)領(lǐng)域。傳統(tǒng)的工業(yè)控制系統(tǒng)主要依賴于技術(shù)隱秘、網(wǎng)絡(luò)獨立等措施，來保證系統(tǒng)的安全性。隨著計算機和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息化與工業(yè)化深度融合，對工業(yè)控制系統(tǒng)的兼容性要求也越來越高。通過采用通用硬件和通用軟件實現(xiàn)工業(yè)控制系統(tǒng)對外開放，使眾多品牌的工業(yè)控制系統(tǒng)之間能夠相互通信，并與企業(yè)信息網(wǎng)互連。目前，大多數(shù)工業(yè)控制系統(tǒng)的通信技術(shù)是在商用操作系統(tǒng)基礎(chǔ)上開發(fā)的，通信應(yīng)用中存在許多漏洞。當(dāng)工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)互連時，黑客就會利用這些漏洞對工業(yè)控制系統(tǒng)進(jìn)行攻擊[1]。

1 安全漏洞的典型案例①

2010年6月出現(xiàn)的“Stuxnet”病毒，是一個針對工業(yè)控制系統(tǒng)的破壞性病毒。該病毒通過U盤和局域網(wǎng)進(jìn)行傳播，利用微軟Windows操作系統(tǒng)和西門子SIMATIC WinCC系統(tǒng)的漏洞，對西門子公司生產(chǎn)的工業(yè)控制系統(tǒng)進(jìn)行破壞性攻擊。因受到“Stuxnet”病毒的攻擊，伊朗布什爾核電站不得不延期運行[2]。

2011年11月美國計算機應(yīng)急響應(yīng)小組公布了施耐德Modicon Quantum系列PLC存在安全漏洞。該系列PLC的Modbus協(xié)議功能碼90(0x5A)作為用戶保留的功能擴展編碼段，此功能碼具有程序上傳、下載和啟停PLC的高級權(quán)限。但是存在多項網(wǎng)絡(luò)端口和服務(wù)漏洞，默認(rèn)開放的網(wǎng)絡(luò)端口為攻擊者提供了通道。

2012年4月羅杰康(RvuggedCom)公司公開承認(rèn)其產(chǎn)品存在后門賬戶。該公司生產(chǎn)的工業(yè)交換機、路由器等網(wǎng)絡(luò)設(shè)備，都有預(yù)置名為“factory”的后門賬戶。該賬戶不能被修改，也不能被禁用，通過該賬戶可以修改網(wǎng)絡(luò)配置，造成網(wǎng)絡(luò)通信中斷或系統(tǒng)癱瘓。

2 網(wǎng)絡(luò)隔離技術(shù)

沒有網(wǎng)絡(luò)互連就不用采用隔離技術(shù)，不需要進(jìn)行數(shù)據(jù)交換的網(wǎng)絡(luò)隔離技術(shù)也很容易實現(xiàn)，只要將網(wǎng)絡(luò)完全斷開，互不聯(lián)機即可。但是，需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離卻不容易實現(xiàn)，網(wǎng)絡(luò)隔離技術(shù)是在需要數(shù)據(jù)交換和資源共享的情況下出現(xiàn)的。面對新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和工業(yè)控制網(wǎng)絡(luò)的高安全性要求，網(wǎng)絡(luò)隔離技術(shù)應(yīng)運而生。網(wǎng)絡(luò)隔離技術(shù)從邏輯隔離和物理隔離兩方面開展，目的是將威脅工業(yè)控制系統(tǒng)安全的木馬、病毒和攻擊隔離在工業(yè)控制系統(tǒng)之外，并完成網(wǎng)絡(luò)間的數(shù)據(jù)交換。

2.1 防火墻隔離

防火墻(Firewall)主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。防火墻隔離是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間通過控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包，提供使用流量的日志和審計及隱藏內(nèi)部IP地址與網(wǎng)絡(luò)結(jié)構(gòu)等措施，來保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入。采用防火墻隔離技術(shù)并結(jié)合入侵檢測、防病毒等技術(shù)組合，能夠有效隔絕來自外部網(wǎng)絡(luò)的威脅。

2.2 安全隔離網(wǎng)閘

安全隔離網(wǎng)閘簡稱為網(wǎng)閘(GAP),最早在國外軍方使用，以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時的安全問題。隨著我國電子政務(wù)的蓬勃發(fā)展，為了滿足高安全網(wǎng)絡(luò)與低安全網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)交換的需要，國內(nèi)也研制出了安全隔離網(wǎng)閘。安全隔離網(wǎng)閘一般由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、隔離與數(shù)據(jù)交換單元3個部分組成，為2+1的主機架構(gòu)。3個單元都采用非通用的操作系統(tǒng)，內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元使用不同操作系統(tǒng)，以增加安全性。當(dāng)數(shù)據(jù)交換單元不同時，與內(nèi)、外網(wǎng)處理單元連接，通過數(shù)據(jù)擺渡完成數(shù)據(jù)交換。使用安全隔離網(wǎng)閘技術(shù)既可以使兩個網(wǎng)絡(luò)實現(xiàn)物理上的隔離，又能在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)交換。

2.3 單向隔離網(wǎng)閘

通過防火墻、安全隔離網(wǎng)閘等隔離設(shè)備，再配置相關(guān)的防護(hù)軟件，基本實現(xiàn)了將網(wǎng)絡(luò)安全威脅隔離在工業(yè)控制系統(tǒng)之外，并能完成網(wǎng)絡(luò)間的數(shù)據(jù)安全交換。但是，防火墻技術(shù)始終處于“被動防御”狀態(tài)，只有不斷升級軟件和硬件，才能防止已知病毒和常規(guī)攻擊，而對未知病毒沒有防御能力。安全隔離網(wǎng)閘技術(shù)具有數(shù)據(jù)雙向傳輸?shù)奶匦裕瑪?shù)據(jù)雙向傳輸對工業(yè)控制系統(tǒng)來說還存在一定的風(fēng)險。

工業(yè)控制系統(tǒng)與企業(yè)信息網(wǎng)連接的目的是將生產(chǎn)過程數(shù)據(jù)發(fā)送到企業(yè)信息網(wǎng)，向是單向數(shù)據(jù)流。如果能切斷企業(yè)信息網(wǎng)到工業(yè)控制系統(tǒng)的通路，只允許工業(yè)控制系統(tǒng)向企業(yè)信息網(wǎng)單向數(shù)據(jù)傳遞，就能形成物理上的絕對隔離。在安全隔離網(wǎng)閘雙向傳輸?shù)幕A(chǔ)上通過修改電路和增加時鐘開關(guān)控制，實現(xiàn)數(shù)據(jù)的單向?qū)懭牒蛦蜗蜃x出，誕生了單向隔離網(wǎng)閘技術(shù)。使用單向隔離網(wǎng)閘只有從工業(yè)控制系統(tǒng)向企業(yè)信息網(wǎng)傳輸數(shù)據(jù)的單向通道，沒有反向通道，也就掐斷了病毒入侵和黑客攻擊的通道[3]。

2.4 單向隔離光閘

基于電氣隔離的單向隔離網(wǎng)閘，由程序控制數(shù)據(jù)單向?qū)懭搿蜗蜃x出依然存在被人為篡改導(dǎo)致單向隔離失效的危險。為了克服電氣隔離的不足，又出現(xiàn)了利用光單向傳輸特性的網(wǎng)絡(luò)安全隔離技術(shù)——單向隔離光閘技術(shù)。單向隔離光閘簡稱光閘，由內(nèi)網(wǎng)單元、外網(wǎng)單元和光單向傳輸單元3個部分組成。內(nèi)網(wǎng)單元和外網(wǎng)單元分別連接內(nèi)網(wǎng)和外網(wǎng)，光單向傳輸單元一端接收內(nèi)網(wǎng)單元的電信號并轉(zhuǎn)換成光信號發(fā)送出去；另一端接收光信號并轉(zhuǎn)換成電信號發(fā)送到外網(wǎng)單元，沒有反向光傳輸路徑，保證了數(shù)據(jù)絕對單向傳輸。這種單向隔離光閘技術(shù)更適合用于工業(yè)控制系統(tǒng)與外網(wǎng)的隔離。

3 DCS系統(tǒng)的網(wǎng)絡(luò)安全措施

鄂爾多斯煤制油分公司原設(shè)計的DCS系統(tǒng)是Honeywell Experion PKS系統(tǒng)R210版本，控制部分采用C200控制器帶PMIO。Experion PKS系統(tǒng)以過程控制為基礎(chǔ)，集成有工廠資產(chǎn)管理及流程管理等信息管理平臺，為企業(yè)提供了管控一體化的過程控制系統(tǒng)。Experion PKS系統(tǒng)使用了工業(yè)以太網(wǎng)、Windows 2000操作系統(tǒng)、PC服務(wù)器及PC終端等通用硬件和通用軟件，不需要額外的協(xié)議轉(zhuǎn)換設(shè)備就可以直接接入上層管理網(wǎng)[4]，是一個典型的開放系統(tǒng)。開放的DCS系統(tǒng)在給用戶帶來便利的同時，也帶來了安全隱患。

3.1 DCS系統(tǒng)網(wǎng)絡(luò)獨立設(shè)置

原設(shè)計按照DCS系統(tǒng)網(wǎng)絡(luò)獨立設(shè)置原則，在每一個控制室設(shè)置了一個獨立的過程控制網(wǎng)絡(luò)。Experion PKS系統(tǒng)的控制網(wǎng)絡(luò)是容錯以太網(wǎng)(Fault Tolerant Ethernet，F(xiàn)TE)，容錯以太網(wǎng)是在商用以太網(wǎng)技術(shù)的基礎(chǔ)上結(jié)合Honeywell網(wǎng)絡(luò)控制策略的工業(yè)以太網(wǎng)。其拓?fù)浣Y(jié)構(gòu)是頂部連接在一起的雙重并行樹形網(wǎng)絡(luò)結(jié)構(gòu)，是冗余網(wǎng)絡(luò)結(jié)構(gòu)(物理)的單網(wǎng)(邏輯)。FTE包含兩層，第一層為控制層，第二層為操作層，均由冗余的交換機和通信電纜構(gòu)成。服務(wù)器、操作站及控制器等為FTE節(jié)點，安裝有FTE軟件和雙網(wǎng)絡(luò)接口卡，同時連接到兩個樹網(wǎng)中，F(xiàn)TE節(jié)點之間有4條路徑，如圖1所示。路徑1：操作站→交換機A→交換機A1→控制器。路徑2：操作站→交換機B→交換機B1→控制器。路徑3：操作站→交換機A→級聯(lián)線C→交換機B→交換機B1→控制器。路徑4：操作站→交換機B→級聯(lián)線C→交換機A→交換機A1→控制器。FTE網(wǎng)絡(luò)為系統(tǒng)提供了多路由選擇和最佳路徑選擇，既可容錯單故障點，還可容錯多故障點，并具有容錯鏈路的快速切換功能。FTE還支持普通以太網(wǎng)節(jié)點和標(biāo)準(zhǔn)的TCP/IP應(yīng)用。

圖1 FTE兩層網(wǎng)絡(luò)結(jié)構(gòu)

3.2 設(shè)置防病毒服務(wù)器和域控服務(wù)器

各裝置投產(chǎn)后，為了滿足生產(chǎn)調(diào)度需要，在過程控制網(wǎng)絡(luò)的基礎(chǔ)上又設(shè)計了Experion PKS系統(tǒng)的第三層——生產(chǎn)管理層。將各控制室的DCS系統(tǒng)通過光纖連接到生產(chǎn)管理網(wǎng)，全公司組成了一個Experion PKS系統(tǒng)大網(wǎng)絡(luò)。在生產(chǎn)管理網(wǎng)配置了PKS工作站、PKS服務(wù)器、過程歷史數(shù)據(jù)(PHD)服務(wù)器、PHD緩存服務(wù)器、WPKS服務(wù)器、防病毒服務(wù)器和域控服務(wù)器，組成了生產(chǎn)管理控制中心(PMCC)，如圖2所示。

圖2 Experion PKS系統(tǒng)三層網(wǎng)絡(luò)結(jié)構(gòu)

PMCC也是全公司的生產(chǎn)調(diào)度指揮中心，其單元功能分別為：

a. PKS工作站為生產(chǎn)管理人員提供監(jiān)視畫面和生產(chǎn)報表。

b. PKS服務(wù)器配置分布式系統(tǒng)結(jié)構(gòu)(Distributed System Architecture，DSA)軟件,收集各控制室內(nèi)過程控制網(wǎng)絡(luò)的數(shù)據(jù)并完成與各工作站的數(shù)據(jù)通信，為各工作站提供畫面的實時數(shù)據(jù)。

c. PHD服務(wù)器具有數(shù)據(jù)存儲與管理功能，提供歷史數(shù)據(jù)查詢。

d. PHD緩存服務(wù)器采集生產(chǎn)過程實時數(shù)據(jù)發(fā)送給PHD服務(wù)器。

e. WPKS服務(wù)器支持Web服務(wù)可使用網(wǎng)頁瀏覽器。

f. 防病毒服務(wù)器作為專用的病毒查殺服務(wù)器只安裝殺毒軟件，用于消除惡意軟件、特洛伊木馬和電腦病毒。殺毒軟件集成監(jiān)控識別、病毒掃描及清除等功能，是計算機防御系統(tǒng)的重要組成部分。在生產(chǎn)管理網(wǎng)各計算機節(jié)點上安裝殺毒軟件的客戶端，防病毒服務(wù)器的殺毒軟件升級后，各客戶端將會自動去尋找防病毒服務(wù)器進(jìn)行殺毒軟件自動升級[5]。

g. 域控服務(wù)器管理生產(chǎn)管理網(wǎng)內(nèi)所有賬戶并保證安全策略得以實施，對域內(nèi)用戶的權(quán)限進(jìn)行合理分配，使各用戶不能對硬件設(shè)備進(jìn)行添加和刪除，不能對程序進(jìn)行安裝和卸載，也不能對系統(tǒng)進(jìn)行啟動和關(guān)閉，只能操作一些已經(jīng)安裝的應(yīng)用程序，有利于降低誤操作造成的系統(tǒng)故障[6]。域控服務(wù)器安裝的準(zhǔn)入系統(tǒng)與交換機相互合作，防止非授權(quán)計算機進(jìn)入該域網(wǎng)絡(luò)。通過域控服務(wù)器和防病毒服務(wù)器對生產(chǎn)管理層實施防護(hù)，能夠有效保護(hù)過程控制網(wǎng)絡(luò)。

3.3 DCS網(wǎng)絡(luò)橫向分段、縱向分層隔離

在試生產(chǎn)過程中，曾多次出現(xiàn)操作站畫面調(diào)用緩慢和操作站通信中斷故障。通信中斷時間短的有兩分鐘，最長的一次網(wǎng)絡(luò)時通、時斷持續(xù)了五個多小時。通過病毒查殺，只在一臺服務(wù)器上查出U盤插入電腦自動運行的“W32/RJump.Worm”病毒。根據(jù)故障現(xiàn)象分析，造成網(wǎng)絡(luò)中斷的原因，可能是由于DCS網(wǎng)絡(luò)過于龐大、一些硬件配置不合理，或是操作層上的某臺設(shè)備網(wǎng)線虛接不斷發(fā)包造成交換機負(fù)荷過大、網(wǎng)絡(luò)通信堵塞[7]。針對DCS網(wǎng)絡(luò)通信問題，采取以下技術(shù)措施：

a. 重新規(guī)劃FTE網(wǎng)絡(luò)，將FTE網(wǎng)絡(luò)橫向分段。雖然FTE網(wǎng)絡(luò)可最多支持200個FTE節(jié)點和200個普通以太網(wǎng)聯(lián)節(jié)點。但是，網(wǎng)絡(luò)過大，交換機的負(fù)荷大、通信速度下降，網(wǎng)絡(luò)節(jié)點，多出現(xiàn)故障的幾率高，一旦網(wǎng)絡(luò)出現(xiàn)故障影響的范圍也大。按照每個生產(chǎn)單元劃分一個FTE網(wǎng)段的原則，將一個FTE大網(wǎng)絡(luò)劃分為幾個FTE小網(wǎng)段，通過網(wǎng)絡(luò)分段降低了FTE網(wǎng)絡(luò)負(fù)荷，同時也縮小了FTE網(wǎng)絡(luò)故障的影響范圍。

b. FTE網(wǎng)絡(luò)的第一層交換機改用C300控制器專用的防火墻，使控制層和操作層網(wǎng)絡(luò)隔離，只允許與控制器有關(guān)的信息通過，限制廣播流量，防止廣播風(fēng)暴。控制器同時升級為C300。軟件也要相應(yīng)升級，Experion PKS系統(tǒng)軟件升級到R310版本，服務(wù)器操作系統(tǒng)軟件升級到Windows Server 2003,操作站操作系統(tǒng)軟件升級到Windows XP。

c. 在過程控制網(wǎng)與生產(chǎn)管理網(wǎng)之間增加路由器進(jìn)行隔離，在路由器上部署智能服務(wù)、速率限制、訪問控制列表及組播管理等安全策略。使FTE網(wǎng)絡(luò)與生產(chǎn)管理網(wǎng)絡(luò)之間隔離，增強系統(tǒng)的縱深防御功能[8]，并完成控制室內(nèi)各FTE網(wǎng)段之間的數(shù)據(jù)交換。

3.4 人/機隔離

利用KVM延長器，將操作人員與DCS系統(tǒng)的電腦主機隔離。將服務(wù)器、工程師站、操作站和生產(chǎn)管理系統(tǒng)層的電腦主機安裝在各DCS機柜間內(nèi)，通過KVM延長器，實現(xiàn)主機與鍵盤、顯示器、鼠標(biāo)的遠(yuǎn)距離連接。使操作人員只能操作鍵盤和鼠標(biāo)，觀看顯示器上的畫面，接觸不到DCS系統(tǒng)的電腦主機。人/機隔離，隔絕了人為使用U盤、光盤等移動存儲設(shè)備帶入病毒的途徑。

3.5 DCS網(wǎng)絡(luò)邊界防護(hù)

由于企業(yè)管理和發(fā)展的需要，鄂爾多斯煤制油分公司開始建設(shè)企業(yè)資源計劃管理系統(tǒng)(ERP)和制造執(zhí)行系統(tǒng)(MES)。DCS數(shù)據(jù)作為MES系統(tǒng)的基礎(chǔ)數(shù)據(jù)，需要DCS系統(tǒng)與企業(yè)信息網(wǎng)連接。DCS系統(tǒng)不再是一個獨立運行的系統(tǒng)，要與企業(yè)信息系統(tǒng)甚至互聯(lián)網(wǎng)進(jìn)行互通、互聯(lián)。將DCS系統(tǒng)直接暴露于公共網(wǎng)絡(luò)之中，面臨更多的危險。MES系統(tǒng)是Experion PKS系統(tǒng)的第四層，為了保證DCS系統(tǒng)安全，需要增加DCS網(wǎng)絡(luò)的邊界防護(hù)，以降低由企業(yè)信息網(wǎng)引入的安全風(fēng)險。在Experion PKS系統(tǒng)的第三層和第四層網(wǎng)絡(luò)之間增加了隔離區(qū)(DMZ)。

按照Honeywell Experion PKS的系統(tǒng)架構(gòu)，隔離區(qū)由工業(yè)防火墻和鏡像服務(wù)器構(gòu)成。DCS系統(tǒng)通過工業(yè)防火墻連接到PHD鏡像服務(wù)器，再通過PHD鏡像服務(wù)器連接到企業(yè)信息網(wǎng)，PHD服務(wù)器的數(shù)據(jù)通過工業(yè)防火墻發(fā)送到PHD鏡像服務(wù)器并實現(xiàn)數(shù)據(jù)相對同步，PHD鏡像服務(wù)器對企業(yè)信息網(wǎng)開放，其系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

由于防火墻具有數(shù)據(jù)雙向傳輸?shù)奶匦裕虼朔阑饓顽R像服務(wù)器組成的隔離區(qū)技術(shù)，也同樣存在黑客穿過隔離區(qū)攻擊DCS系統(tǒng)的危險[9]。而且，2014年4月8日以后微軟公司停止對Windows XP系統(tǒng)的技術(shù)支持服務(wù)，不再提供更新補丁修補系統(tǒng)漏洞[10]。黑客很可能利用系統(tǒng)漏洞對DCS系統(tǒng)進(jìn)行攻擊。DCS與MES之間只需要數(shù)據(jù)從DCS流向MES的單一信息流向,不需要反向流。為了確保DCS系統(tǒng)安全、穩(wěn)定運行，技術(shù)人員決定用單向隔離網(wǎng)閘替換工業(yè)防火墻。DCS系統(tǒng)通過單向隔離網(wǎng)閘連接到PHD鏡像服務(wù)器，PHD鏡像服務(wù)器連接到企業(yè)信息網(wǎng)，將PHD服務(wù)器的數(shù)據(jù)單向傳送到PHD鏡像服務(wù)器并對企業(yè)信息網(wǎng)開放。企業(yè)信息管理系統(tǒng)只能讀取PHD鏡像服務(wù)器上的數(shù)據(jù)，不能訪問DCS系統(tǒng)內(nèi)部設(shè)備，即使黑客攻擊了鏡像服務(wù)器，也無法逆向穿過單向隔離網(wǎng)閘進(jìn)入DCS系統(tǒng)。單向隔離網(wǎng)閘具有數(shù)據(jù)單向傳輸?shù)奶匦裕軌蛲耆綦x來自工業(yè)控制系統(tǒng)外部的網(wǎng)絡(luò)威脅[11]。

圖3 Experion PKS系統(tǒng)四層網(wǎng)絡(luò)架構(gòu)

4 DCS系統(tǒng)的安全管理

據(jù)統(tǒng)計，來自企業(yè)外網(wǎng)的威脅只占20%，來自企業(yè)內(nèi)部的威脅高達(dá)80%。為了實現(xiàn)工業(yè)控制系統(tǒng)安全可靠運行，一方面要防止來自外部網(wǎng)絡(luò)的病毒、木馬和黑客攻擊；另一方面還要防止來自工業(yè)控制系統(tǒng)內(nèi)部的病毒帶入和傳播[12]。在實施網(wǎng)絡(luò)安全防護(hù)技術(shù)的基礎(chǔ)上，加強工業(yè)控制系統(tǒng)的安全管理和漏洞堵塞，防止病毒帶入也是不可缺少的。為此，制定了DCS系統(tǒng)安全運行管理的相關(guān)規(guī)定：

a. 禁止U盤及手機等移動存儲設(shè)備與DCS計算機連接；

b. 在服務(wù)器和操作站的注冊表中關(guān)閉USB口，USB接口外部加鉛封，啟用的USB口用過后要重新關(guān)閉并進(jìn)行鉛封；

c. 拷貝過程數(shù)據(jù)時，要有審批單和授權(quán)，只允許在指定操作站上使用光盤刻錄機刻制光盤，不允許使用其他移動存儲介質(zhì)復(fù)制數(shù)據(jù)；

d. 為每臺服務(wù)器配備兩塊專用移動硬盤，備份兩份系統(tǒng)數(shù)據(jù)庫，異地保存并及時更新，同時不允許移動硬盤交叉使用；

e. 使用DCS制造商認(rèn)證的補丁軟件光盤，離線打補丁，禁止使用網(wǎng)上下載的補丁軟件和在線打補丁操作；

f. 使用DCS制造商認(rèn)證的病毒查殺光盤，離線病毒查殺，禁止使用網(wǎng)上下載的殺病毒軟件和在線病毒查殺；

g. 利用裝置大檢修時間，將所有操作站、工程師站和服務(wù)器離線，統(tǒng)一進(jìn)行病毒查殺和打補丁，確定沒有病毒后，再恢復(fù)網(wǎng)絡(luò)連接，病毒查殺后防病毒軟件要卸載，以免影響DCS系統(tǒng)正常運行；

h. 工程師站和服務(wù)器的密碼定期更換，防止密碼泄露，DCS機柜間和機柜門上鎖，鑰匙由專人保管；

i. 用于DCS組態(tài)的筆記本電腦，不準(zhǔn)連接企業(yè)管理網(wǎng)或外網(wǎng)，也不準(zhǔn)安裝其他軟件或用于其他控制系統(tǒng)組態(tài)，必須“專本專用”；

j. 委托DCS制造商定期對系統(tǒng)進(jìn)行安全測試和評估，發(fā)現(xiàn)問題及時處理；

k. DCS制造商的技術(shù)人員現(xiàn)場服務(wù)時應(yīng)使用系統(tǒng)配置的專用筆記本電腦，如果使用自帶的筆記本電腦必須經(jīng)過安全確認(rèn)才可以連接系統(tǒng)，工作時必須有本公司的DCS系統(tǒng)維護(hù)人員監(jiān)護(hù)；

l. 企業(yè)管理用的電腦遠(yuǎn)離工業(yè)控制系統(tǒng)安裝，避免安裝距離太近網(wǎng)線接錯，造成DCS網(wǎng)絡(luò)直接連到企業(yè)管理網(wǎng)或非授權(quán)設(shè)備接入DCS系統(tǒng)；

m. 指派有系統(tǒng)維護(hù)經(jīng)驗的工程師專職負(fù)責(zé)DCS的安全工作。

5 結(jié)束語

鄂爾多斯煤制油分公司DCS系統(tǒng)通過實施網(wǎng)絡(luò)橫向分段和縱向分層隔離、防病毒及域控制等綜合防護(hù)措施，有效防止了DCS系統(tǒng)內(nèi)部的病毒帶入和傳播。通過網(wǎng)絡(luò)邊界防護(hù)，采用隔離區(qū)和單向隔離網(wǎng)閘技術(shù)，隔絕了來自外部網(wǎng)絡(luò)的威脅。并結(jié)合安全管理措施，實現(xiàn)了工業(yè)控制系統(tǒng)安全穩(wěn)定運行的目標(biāo)。