關于工業控制網絡的安全問題分析及解決思路

高 明，張 玲

（1.中國石油西南油氣田通信與信息技術中心，成都 610000；2.中國石油西南油氣田信息管理部，成都 610000）

1 工業控制網絡的安全問題

根據美國工業控制系統網絡應急響應小組（ICS-CERT）發布的2015年關鍵基礎設施安全報告顯示，2015年美國關鍵基礎設施安全事件比2014年增長了20%之多。在過去的財年中共收到295個涉及關鍵基礎設施的上報事件，與之相比，去年的事件數為245件。其安全事件集中于能源、水利、化工、政府機構以及核設施等領域，其中能源行業的安全事件在2015年占全部數量的16%，發生了46起，其他上報安全事件的領域還有水利（23起）、交通運輸系統（23起）、政府設施（18起）、醫療保健（14起）、通信（13起）。

可見，在網絡物理隔離的條件下，工業自動化控制系統在考慮效率和實時性的同時，其網絡安全性并未成為其重要的考量指標，隨著其信息化程度的提高，安全事件也呈逐年上升的態勢，盡管數量上無法與互聯網安全事件相比，但一旦發生，其影響范圍之廣、經濟損失之大、持續時間之長，都是互聯網安全事件無法比擬的，每一次事件，都代表著國民生活、生產遭受巨大影響，經濟遭受重大損失和倒退，甚至可能危及到相關人員的健康與生命。

2 本公司生產網的特點與風險

2.1 什么是生產網

本公司網絡系統主要分為兩個大類：辦公網、生產網。辦公網和生產網相互是物理隔絕的兩張網絡系統，無法直接相互訪問，僅在生產數據平臺和生產視頻監控系統上部署網閘設備，允許生產網上部分生產數據和視頻數據傳輸至辦公網。

2.2 生產網的重要性及安全問題

本公司生產網可能存在的安全問題有：普通網絡攻擊，控制終端出現安全漏洞，工控機或服務器中毒，黑客惡意攻擊盜取重要數據。

2.3 生產網存在的安全風險

目前，生產網還存在的主要風險點有：未建立良好的網絡安全意識，使用辦公網的管理思維在管理生產網，未對工業自控協議進行管理；生產網未配置網絡安全設備，未針對工業自動化控制系統網絡協議進行有效隔離；在網設備生命周期較長，設備更新速度慢，無法及時升級替換存在安全漏洞的老舊設備，容易被黑客攻擊；在網工控機、服務器、數據庫未安裝工控專用安全防護軟件；操作系統補丁更新不及時，存在安全漏洞。

3 生產網網絡安全問題的解決思路

3.1 建立面向工業控制網絡的管理理念

本公司生產網實質是工業控制網絡的一種，不應該使用傳統辦公網TCP/IP管理思維來管理生產網。生產網的管理思維可從這三個方面進行改進。

（1）封閉的網絡一定安全？生產網是個非常封閉的網絡，管理者普遍認為這樣的網絡不容易受到外界攻擊，網絡安全問題相對不夠重視。然而，“Stuxnet”震網病毒攻擊伊朗核工廠事件可以看出，再封閉的網絡系統也會被人惡意攻破，封閉的網絡也需要重視安全防護。

（2）黑名單還是白名單。辦公網主要采用黑名單機制，只將危險事件加入黑名單禁用，其他未知的內容均看作是安全的；而生產網應該使用白名單機制，只有管理者認為安全的數據才加入白名單放行，而其他未知的數據均認為是危險的。

（3）廣域網還是局域網？辦公網是一種廣域網，在成都就可通過辦公網連接到遂寧、重慶甚至到北京，這種網絡結構是為了方便各系統之間數據傳輸和辦公人員互相交流；而生產網應該建設成局域網結構，從場站到中心站，再到作業區、氣礦都應該被分成若干個小局域網，彼此之間通過安全網關相連，避免某個地區被病毒入侵后波及其他地區。

3.2 配置專用工控防火墻

工控防火墻具有傳統防火墻的主要功能，最大的區別是內置工業自動化控制通訊協議的過濾模塊，支持各種工業網絡協議識別及過濾，彌補傳統防火墻不支持工業網絡協議過濾的不足。例如支持ModBus協議、OPC協議等。針對工業網絡協議采用深度包檢測技術及應用層通訊跟蹤技術，能夠對工控網絡的數據包進行深度包解析，目前技術一般解析到工控協議的指令層，可以實現對非法指令的阻斷、非工控網絡協議的攔截，起到保護關鍵控制器的作用。

3.3 配置工控安全防護系統

生產網上的工控機和服務器面對網絡安全攻擊時極其脆弱，給安全生產帶來極大隱患。因此需要在生產網上部署一套專用的工控安全防護系統，該系統分為部署在總部的一套工控安全防護管理平臺和部署在油氣生產二級單位各種工控機和服務器上的工控安全防護客戶端。工控安全防護系統需要具備以下幾個主要功能：客戶端要有良好的操作系統適應性；客戶端要兼容主流的組態軟件；病毒庫和安全補丁推送功能；網絡監控管理功能；白名單功能；USB接口管理功能；事中監控、事后審計功能。

4 本公司生產網網絡結構設想

4.1 主流的工業控制網絡結構介紹

主流的工業自動化控制系統網絡網結構為三層，分別是控制網、監視網、企業網。三層網絡彼此獨立，中間通過安全網關相連。控制網用于生產數據采集、控制命令下達使用；監視網用于生產數據傳輸、存儲、監視使用；企業網用于日常辦公、生產數據展示、數據存儲等用途。此種分層方法的優點在于通過將控制層級和監視層級進行分離，可有效避免監視層級遭受病毒攻擊后擴散到控制層級，造成工業控制系統失控，引發事故。

4.2 本公司工業控制網絡結構設想

根據公司生產網的特點和管理模式，設想的網絡結構圖如圖1所示：

井站或場站：利用工業以太網交換機連接各井站或場站的RTU、PLC、DSC等系統，組成控制網。通過區域網關（工控防火墻）與中心站相連，工控防火墻設置白名單功能，只允許ModBus TCP、雙向語音對講、生產視頻監控等網絡協議通過，同時對ModBus協議進行解析和過濾。

圖1 本公司工業控制網絡結構設想圖

中心站：利用工業以太網交換機接收井站或場站過來的生產數據，并連接中心站上工控機和各種生產系統。中心站上的工控機和服務器均安裝工控安全防護客戶端。中心站通過邊界網關（工控防火墻）與作業區相連，工控防火墻設置白名單功能，只運行OPC協議、雙向語音對講、生產視頻監控等端口通過，同時對OPC協議進行解析和過濾。

作業區、氣礦、本公司：作業區、氣礦、本公司彼此之間不需要部署工控防火墻，但仍需要在工控機和服務器上安裝工控安全防護客戶端。在本公司部署一套工控安全防護管理平臺，用于管理客戶端。在本公司生產網和辦公網之間部署單向網閘，只運行部分經過審計的生產數據傳輸至辦公網，用于生產數據監控展示和分析利用。

此種網絡結構的優勢有：一是RTU、PLC、DSC等控制終端向SCADA系統傳輸生產數據主要使用ModBus TCP協議，而控制終端設備進行配置參數時通常使用TCP/IP協議。因此區域網關（工控防火墻）上只允許ModBus TCP協議，即使RTU、PLC、DSC等控制終端即使存在網絡安全漏洞，也無法被攻擊者直接訪問。二是中心站向下只能通過ModBus TCP協議訪問RTU、PLC、DSC等系統，并對ModBus TCP協議進行分析和過濾，阻止未經允許的操作命令，即使站控系統被人惡意利用，也無法直接下達錯誤的操作命令。阻止攻擊者損壞井站或場站上的生產設備。向上通過邊界網關（工控防火墻）與作業區相連，只允許OPC協議通過，并對OPC協議進行分析和過濾，即使作業區或氣礦上的工控機或服務器中毒，也無法通過TCP/IP協議將病毒傳輸到中心站上。

5 結束語

本文通過工業自動化控制系統角度介紹了工業控制網絡信息安全的背景和目前的安全危險形勢，提出了適合本公司工業控制網絡的綜合解決方案。還需要從以下幾方面作更多的努力：一是繼續學習國內外先進的網絡安全管理經驗；二是加快工業控制網絡的安全基礎設施建設；三是加強工業控制網絡管理意識。