淺析工業過程控制系統網絡安全解決方案

周顯兵，馮慧山，王士新

(天津石化公司煉油廠 儀表車間，天津 300271)

過去十幾年間，世界范圍內的過程控制系統(DCS，SIS，PLC)和SCADA系統廣泛采用信息技術，EthernetTM及TCP/IP，現場總線技術，OPC等技術的應用使工業設備接口更為簡單，但也減弱了控制系統及SCADA系統等與外界的隔離。越來越多的網絡安全事件表明，來自商業網絡、因特網以及其他因素導致的網絡安全問題正逐漸在控制系統及SCADA系統中擴散，直接影響了工業穩定生產及人身安全。

某煉油廠在控制系統的安裝設計與維護管理中，非常重視DCS及相關系統的安全性，針對控制系統網絡的重要風險，采用防病毒軟件和專用防火墻兩種防護方式，確保了系統免受病毒侵襲。

1 某煉油廠工業控制網絡結構現狀

1．1 控制系統網絡拓撲結構

煉油廠通過幾十年的發展，現已形成了二十多套生產裝置的規模。在發展過程中，陸續投用了多套不同生產商的DCS。近幾年，伴隨工廠信息化的不斷深入，工廠建立了基于實時數據庫應用的工廠生產管理系統(MES)。實時數據庫的建立是以采集過程控制系統的數據為前提，這就需要MES 的信息網絡必須要實現與控制網絡之間的數據交換，控制網絡不再以一個獨立的網絡運行，而要與信息網絡互通、互聯。

圖1 系統網絡拓撲結構示意

網絡拓撲結構如圖1所示，圖1中控制系統泛指用于過程生產控制及安全的DCS，SIS，PLC等。

1) 控制系統的控制器網絡層。該廠采用了多套不同生產商的DCS。隨著工業以太網技術的不斷發展，目前DCS操作站、服務器都采用基于Windows操作系統的PC機作為平臺，同時網絡也采用冗余以太網模式。控制器的通信方式也采用以太網模式。

2) 數據采集接口服務器OPC Server。為保證系統的開放與互聯性，系統制造商遵循國際OPC基金會組織的標準，提供了一個與第三方通信的接口。

3) 上層MES實時數據庫。企業MES的核心數據庫可以長時間存儲現場實時生產過程數據，是提高生產管理效率、優化生產工藝的核心根本。

1．2 控制系統網絡特點分析

與傳統IT網絡不同，工業控制網絡及相關設備有其獨特性。

1) 可靠性、實時性要求高。主要反映在控制器和操作站的網絡層內，工業控制網絡最主要是保證過程數據的實時性和網絡的可靠性，因而對整個網絡的過程數據而言，不允許有任何中斷出現，簡單說就是不能失控。

2) 專有通信協議。每一個過程控制系統供應商都有專有的通信協議，這些協議基本都是獨自研發。近幾年隨著系統開放性呼聲越來越高，出現了一些行業內的開放協議，例如OPC，Modbus TCP，現場總線(Foundation/Hart/Profibus)等行業通信標準，都是工業控制領域的專有通信協議。

3) 相對獨立。每套控制系統通常都是根據工藝設備要求而設計，所以無論從前期網絡設計到實際物理安裝，整個控制系統網絡都是相當獨立的，不會與其他任何應用存在交聯部分，在與外界交互的通道上僅僅開放OPC Server一個接口，通過OPC工業通信協議與外部進行數據交換。

4) 產品更新周期長。控制系統產品不以追求設備的先進性為目標，更多地是強調它的安全穩定，所以結合實際工藝生產以及設備投資綜合考慮，在該領域的產品更新周期通常在10a以上，易導致系統的操作平臺存在安全漏洞。

5) 與殺毒軟件兼容性差。截至目前，幾乎沒有殺毒軟件廠商對在網絡中基于Windows平臺上安裝的所有過程控制軟件做過完整兼容性測試，這種情況同樣也適應于過程控制系統制造商，各家控制系統制造商一般只認可少數幾種防病毒軟件，所以在工控領域的操作站層難于統一部署殺毒策略。

1．3 控制系統網絡的主要風險點

根據對DCS結構的分析和日常維護中的經驗，通常易受病毒侵襲的主要風險點有DCS與數采網的連接，DCS與先進控制網的連接，操作站之間的連接三處。

1．3．1數采網與控制網之間的通信安全隱患

1) 風險現狀。OPC數采機采用雙網卡配置，無其他任何防護措施。

2) 風險識別。OPC數采機采用雙網卡配置，已經將控制網與信息網進行隔離，信息網已經無法對控制網進行操縱攻擊，但是雙網卡結構的配置，對病毒的傳播沒有任何阻擋作用，所以目前風險隱患來自上層信息網對控制網的病毒感染。

1．3．2先進控制(APC)站存在對控制網病毒感染隱患

1) 風險現狀。APC通常可以由先進控制軟件供應商自由操作，自身無任何防護措施，存在感染病毒的高風險。

2) 風險識別。會將病毒傳染給控制網絡。

a) 先進控制的安裝、調試、運行一般需要較長的時間，而且需要項目工程師進行不斷的調試、修改。期間APC站需要頻繁與外界進行數據交換，這給APC站本身帶來很大感染病毒的風險。一旦APC站受到病毒感染，其對實時運行的控制系統安全會造成極大隱患。

b) 該節點是應用OPC通信協議與DCS的OPC Server進行數據通信的，所以常規IT策略不能防護。

1．3．3操作站互相感染隱患

1) 風險現狀。目前所有操作站都在一個網絡中，僅從管理角度，采取通過規章制度限制移動介質接入而減少外部感染，但在網絡內部沒有采取任何有效防護措施。

2) 風險識別。所有操作站會同時相互感染某種病毒，影響到生產控制操作。

3) 風險分析。PC+Windows平臺已經為各行各業所共用，同時以太網互聯也得到推廣，TCP，STMP，POP3，ICMP，Netbios等大量開放的商用通信協議為大家廣泛使用，但隨之也帶來木馬、蠕蟲等計算機病毒。在控制系統的網絡中，除具備上述通信協議外，根據系統制造商不同，基于TCP/IP技術的通信協議是不一樣的，例如Honyewell PKS使用的是FTE Multicast，橫河CS3000使用的是Vnet。目前普通IT防火墻無法實現工業通信協議的過濾，所以當網絡中某個操作站(工程師站)感染病毒時，可能會馬上傳播到網絡中的其他計算機，容易造成網絡上所有操作站同時發生故障或者容易引發控制網絡風暴，造成網絡通信堵塞，嚴重時可導致所有操作站失控，甚至停車。

2 防火墻的設置

2．1 在網絡結構中加裝防火墻

針對裝置的網絡結構及要求，采用在生產控制系統和辦公網之間加防火墻的方式進行防護，每個OPC Server與交換機之間增加1臺Tofino SA，然后在數采機中安裝中央管理平臺CMP(Central Management Platform)服務器(統一管理平臺)進行集中管理和監控的方式對網絡進行防護。

Tofino工業網絡安全解決方案針對過程控制系統和SCADA等工業通信特別設計，旨在為其提供一種分區的安全解決方案。Tofino擁有極高的性價比，能夠在工廠車間中建立深層防護架構。

Tofino模塊采用CMP進行集中配置、組態和管理(可遠程甚至跨國使用)，控制網或企業網均可以在適當位置安裝CMP。使用CMP并裝載各種必要的可裝載安全軟件插件LSMs(Loadable Security Modules)，就可以實時在線調整Tofino模塊，使之滿足所保護區域及設備的安全要求。

1) 在OPC Server與交換機之間增加TSA硬件，主要實現以下目的：

a) 確保控制網與信息網之間的通信安全性，防止上層信息網的病毒進入控制網絡中，影響生產。

b) 防止1臺OPC Server感染病毒后傳染其他的OPC Server，以確保數采機能夠及時有效地采集現場數據。

2) 將CMP平臺安裝到數采機中，通過CMP平臺統一管理下面的3個Tofino硬件模塊進行組態并通過CMP平臺實現實時監控、報警等相關操作。

2．2 防火墻主要模塊介紹

每套Tofino 安全解決方案核心軟、硬件由防火墻硬件(TSA)、LSM軟插件、CMP中央管理平臺三部分構成。

1) TSA220工業以太網安全模塊用于保護工廠內部之間或者與外界的網絡通信安全，可以確保通信的安全、可靠并且保證通信的私密性。

2) LSM如同是工業通信網絡交通警察，過濾原則默認為“拒絕”，任何未被允許的通信內容都將被隔離并發出報告，并可以檢查出所有有悖于控制網絡工程師所定義的網絡安全規則的通信內容，所有違反網絡安全規則的名單都將被封鎖，Tofino防火墻將對所有非法的通信內容都進行封鎖并提供報告和記錄。

3) TSA硬件安裝完畢后，在辦公網絡中增加1臺服務器，安裝CMP和Syslog Server(可選)，用于組態和管控TSA，并進行網絡實時監測和日志記錄，報警處理及日志查詢。

2．3 網絡安全策略組態

系統搭建結束后，對整個網絡進行安全策略組態，防火墻組態遵循以下安全策略：

1) 除允許設備(指定的IP21數據庫)能訪問相應的生產控制系統數采機外，其他均不允許訪問該節點。

2) 僅允許IP21數據庫只能通過IP21的CMIO通信協議進行訪問。

3) TSA本身不設IP地址。

4) 隱藏TSA防火墻后端的IP地址。

3 安裝合適的防病毒軟件

除了安裝防火墻以外，在DCS的計算機中安裝合適的防病毒軟件也很重要。某煉油廠選擇了McAfee防病毒軟件，該軟件與DCS軟件能夠兼容。McAfee企業版用高級的防病毒技術來防護已知的病毒、蠕蟲、木馬與未知的惡意代碼等的威脅。通過該軟件，管理員可以通過控制網絡向操作站和服務器分發防病毒安全策略，能夠滿足企業構建更加高效的病毒防護系統的要求。防病毒服務器對整個DCS和相關網絡的客戶端機器提供防護，這些客戶端機器可以從防病毒服務器獲得最新的安全策略。

4 使用情況總結

除了增加軟硬件以外，嚴格的管理和認真的維護對于控制網絡的安全也是至關重要的。筆者定期對所涉及的設備，尤其是防病毒服務器進行檢查，隨時掌握信息。防病毒服務器上有病毒檢查結果的統計圖表，通過查看這些圖表，能夠了解病毒的檢查和清除情況。

5 結束語

從目前的情況來看，工業控制網絡的防病毒形勢已經非常嚴峻，病毒對于系統的破壞程度也是巨大的，所以安裝適合的、針對性強的病毒防護軟件是十分必要的。安裝軟件的同時，還要對軟件的入口通道設置保護，并制訂完整的安全使用制度。

參考文獻：

[1] 謝凌廣,吳乃優,黃松杰． 面向制造自動化的以太網技術[J]．測控技術，2001(06)： 10．

[2] 李嘉，楊佃福． 引入以太網技術是現場總線發展的一個必然趨勢[J]．自動化儀表,2001,22(04)： 4-5．

[3] 石淑華，池瑞楠．計算機網絡安全基礎[M]．北京： 人民郵電出版社，2005．

[4] 張凌杰．網絡故障檢測與維護[M]．北京： 高等教育出版社，2005．

[5] KENNETH D R．網絡互連設備[M]．北京： 電子工業出版社，2005．

[6] 吳迎年，張建華，候國建，等．網絡控制系統研究綜述[J]．現代電力，2003(05)： 78-85．

[7] 韓筱卿，王建峰，鐘瑋，等．計算機病毒分析與防范大全[M]．北京： 電子工業出版社，2006．

[8] 張慶靈，邱占芝． 網絡控制系統[M]．北京： 科學出版社,2007．

[9] 程勝利．計算機病毒及其防治技術[M]．北京： 清華大學出版社，2005．

[10] 張小磊．計算機病毒診斷與防治[M]．北京： 北京希望電子出版社，2003．