淺析工業控制數據交換系統在生產管理網中的應用

徐思宇，張志海，張 新，蔣林海，劉自強

（唐山三友化工股份有限公司，河北 唐山 063305）

0 引言

工業控制系統的信息安全，與國民經濟發展、社會安寧穩定乃至國家安全息息相關。隨著工業領域自動控制水平的不斷提升，生產系統信息化、智能化的不斷普及，企業越來越需要從生產控制層獲取相關數據來指導并制定戰略決策，打破工業控制系統長久以來的封閉狀態，和企業局域網甚至互聯網實現了互通。在滿足企業決策層要求的同時也引入了風險，工業控制系統邊界的完整性面臨著威脅[1]。為提升中國企業工業控制領域信息安全防護水平，國內相繼出臺了《工業控制系統信息安全防護指南》《信息安全技術——工業控制系統安全管理基本要求》《工業控制系統信息安全防護建設實施規范》等一系列規范文件與標準[2]，并在網絡安全等級保護制度2.0中著重強調了工業控制領域的網絡安全[3]。由于應用領域、行業規范、使用習慣、系統廠商等存在眾多不同，工業控制領域信息安全防護的建設與實施呈現出多樣化和復雜化的特點。同時，物聯網、大數據、云計算等技術迅猛發展，萬物互聯時代的到來，使工業控制領域面臨的網絡安全形勢更趨嚴峻。據此，本公司實施了“OPC接口防火墻攻關升級”項目，使用“工業控制數據交換系統”替代了一批生產管理網數據采集段（內網段）中的老式防火墻，提高了網絡安全防護水平。

1 生產管理網與安全現狀

本公司生產管理網投用于2004年，是工藝人員實時了解生產狀況，合理分配生產負荷的重要工具。按照功能，生產管理網分為數據采集部分（內網）和公司局域網部分（外網）兩部分。在內網中，選取每個工序DCS的一臺操作站（一般為工程師站）作為接口機，安裝PI系列OPC數據采集軟件，作為數據采集端；內網服務器位于數據機房，安裝PI系列數據庫軟件，作為數據接收端，這樣生產數據即可通過OPC協議傳輸并存儲至服務器中。在外網中，部署與內網服務器相對應的鏡像服務器，接收和存儲來自內網服務器的數據（兩者間部署有隔離網閘，數據單向傳輸），并與其它服務器協作運行，局域網用戶可通過WEB端查看生產數據、回溯歷史趨勢、下載產量報表等。

在生產管理網早期的建設過程中，內網中各接口機到服務器之間的網絡安裝了H3C的SecPath F100系列防火墻。但該款防火墻型號較老，且不是專為工控系統網絡設計，只能做到邏輯隔離而無法實現物理隔離。隨著網絡安全威脅的形式越來越隱蔽、多樣，病毒、黑客攻擊有很大幾率突破防護，感染整個內網，甚至進一步威脅DCS系統的網絡安全。因此，此類老式防火墻已無法滿足當前的安全需求了。

2 工業控制數據交換系統

本公司使用的工業控制數據交換系統由神州云盾信息安全有限公司開發，有SZYD-EXCHANGE-F-3000和SZYD-FERRY-F-3000兩個系列。該設備可部署于既要求物理隔離，又需要交換數據的網絡之間，用于指定格式數據的單向安全傳輸。系統采用專有信息擺渡機制，解決了由于物理隔離引起的數據交換問題，既保持了網絡之間物理隔離的特性，同時提供了一種安全、有效的數據交換途徑。系統采用專用定制的OS，構建非網絡數據交互機制，采用私有協議構成安全隧道，保障數據傳輸安全[4]，徹底杜絕因網絡連接或移動存儲介質混用，導致感染病毒、木馬帶來的安全隱患。

3 系統架構

工業控制數據交換系統采用2+1結構，由內端機和外端機兩套獨立的高性能處理系統和高速隔離交換模塊構成。

內端機與需要保護的內部網絡相連，即內網服務器端；外端機與可能帶有威脅的外部網絡相連，即接口機端；高速隔離交換模塊在內端機和外端機之間按照特定的周期進行安全數據的擺渡。這種雙系統模式徹底將網絡隔離開，即使外部網絡遭受惡意攻擊甚至癱瘓，也無法對內部網絡造成危害，從而在保證內外網隔離的情況下，實現可靠、安全、高效的數據交換。使用者只需依據自身業務需求定制安全策略，即可實現內外網絡的安全通訊。

圖2 超級終端配置界面Fig.2 Super terminal configuration interface

詳細產品架構如圖1。

圖1 系統架構圖Fig.1 System architecture diagram

4 系統配置與應用

目前，本公司已在石灰、碳化等10余個工序的內網網絡上使用了工業控制數據交換系統。下面以石灰工序所用設備的內端機為例，介紹該系統的配置與應用過程。

4.1 連接設備

工業控制數據交換系統使用交流220V供電。設備通電后，檢查電源指示燈是否正常顯示，檢查硬盤指示燈是否正常顯示。確認顯示正常后，使用串口線，將計算機RS232接口與內端機RS232接口相連接。

4.2 登錄系統，IP地址設置

步驟1：啟動超級終端

以微軟Windows系列操作系統為例，選擇“開始＞ 程序 ＞ 附件 ＞通訊 ＞超級終端”菜單項，啟動超級終端；或打開第三方超級終端軟件，如secure CRT，Putty等。

步驟2：新建連接

在“名稱”文本框中輸入新建連接的名稱，選擇圖標，然后單擊“確定”按鈕。

步驟3：設置連接端口

圖5 登錄界面內容Fig.5 Login interface content

圖6 IP地址設置完成Fig.6 IP Address setting completed

進入如圖3所示的“連接到”窗口后，根據實際使用的計算機端口號在“連接時使用”下拉列表框中進行選擇，然后單擊“確定”按鈕。

圖3 超級終端配置界面Fig.3 Super terminal configuration interface

步驟4：設置通信參數

進入如圖4所示的“端口屬性”窗口，對通信參數進行設置，設置完畢點擊“確定”，按“回車”鍵即可顯示該設備登錄界面的內容。

圖4 通信參數配置界面Fig.4 Communication parameter configuration interface

步驟5：登錄

輸入數字3回車，輸入管理員賬號和口令即可登錄系統。

步驟6：接口IP地址設置

將eth0接口定為需要使用的以太網口，其IP地址與子網掩碼應與石灰工序OPC接口機在內網中的IP地址與子網掩碼一致，因此需要將eth0接口設置為192.158.5.34 255.255.255.0，設置方法如下。

首先，刪除eth0接口原有的IP地址與子網掩碼。eth0網口出廠默認的地址為192.168.5.105 255.255.255.0。刪除IP地址的命令格式為：ipv4接口/網橋del IP地址 子網掩碼，執行命令如下：

ipv4 eth0 del 192.168.5.105 255.255.255.0

或ipv4 eth0 del 192.168.5.105 24

下一步，即可添加需要使用的IP地址與子網掩碼。添加IP地址的命令格式為：ipv4接口/網橋add IP地址 子網掩碼，執行命令如下：

ipv4 eth0 add 192.158.5.34 255.255.255.0

或ipv4 eth0 del 192.158.5.34 24

使用此命令除了可設置接口的IP地址外，還可在一個接口上配置多個IP地址，只需添加多次即可。

同樣，通過set參數也可以設置接口的IP地址，與add的區別是set只能配置一個IP地址，如果此前目標接口已配置了地址，則使用set參數后會將原地址覆蓋。此命令參數格式為：ipv4 接口/網橋 set IP地址 子網掩碼。

回車后，輸入命令“ipv4”，可以查看確認eth0接口的IP地址。

4.3 過濾規則設置

在管理員賬號登錄狀態下，輸入命令“ferry”進入二級菜單，添加過濾規則，命令如下：

add tcp 135 192.158.5.34 135

add udp 137 192.158.5.34 137

add tcp 5450 192.158.5.34 5450

其中：tcp 135，udp 137為采用OPC協議進行數據傳輸時缺省使用的端口號，tcp 5450為PI系列OPC數據采集軟件運行所需的專用端口號。只需開啟以上3個端口，過濾其它端口，即可保障通過OPC協議進行的數據傳輸業務的正常進行，同時能夠防御黑客、病毒、惡意代碼等攻擊行為通過其他端口侵入網絡。

添加完成后，輸入命令“show”可以查看規則：

根據OPC協議的使用要求，需將tcp 135端口的動態端口類型設置為dcom。如圖7所示，tcp 135端口過濾規則的序號為1。輸入rule 1，即可進入本條規則；輸入命令“dynamic dcom”，即完成配置動態端口類型為dcom的操作。

圖7 過濾規則設置完成Fig.7 Filter rule setting completed

配置完成后，輸入命令“exit”退出rule 1，回到“ferry”命令行下，輸入命令“commit”提交前面配置的規則，使規則生效，至此即完成了內端機OPC規則的配置。

4.4 外端機配置

外端機配置與內端機類似。使用串口線將計算機RS232接口與外端機RS232接口相連接，同樣將eth0接口設置為需要使用的以太網口，將其地址設置為192.158.5.250 255.255.255.0，與內網服務器的IP地址與子網掩碼相同，過濾規則設置中除所有地址應使用192.158.5.250之外，其他配置內容均與配置內端機時相同。

4.5 系統安裝與入網

工業控制數據交換系統為機架式機構，將設備如圖8安裝到機柜中即可。

圖8 安裝示意圖Fig.8 Installation diagram

安裝上電，確認電源指示燈和硬盤指示燈正常，將一根網線的一端接內端機的eth0口，另一端連接交換機接入內網；將另一根網線一端接外端機的eth0口，另一端接OPC接口機的網口。各網口指示燈閃爍正常后，啟動接口機上的OPC軟件，即可開始生產數據的實時傳輸。

4.6 系統工作狀態監測

系統運行過程中，將計算機RS232接口與內端機或外端機的RS232接口相連接，使用管理員賬號和口令登錄系統，輸入命令“fstatus”即可查看內端機或外端機的工作狀態。正常情況下，FerryWrite（寫）和FerryRead（讀）兩列都會有流量顯示，且Stat.列的狀態顯示ok，表示數據交互傳輸正常，如圖9。

圖9 工作狀態監測Fig.9 Working status monitoring

5 應用的先進性

工業控制數據交換系統的應用，不僅能夠按照公司決策需要最小化開放生產數據傳輸所需的端口，還可對內網服務器和OPC接口機之間傳輸的指令請求進行實時檢測。對于不符合安全要求的指令請求進行攔截和記錄，在實現防護功能的同時，方便維護人員查詢分析風險事件原因，大大提升了數據傳輸的安全性、可靠性。

6 工業控制系統信息安全風險事件處置措施

工業控制數據交換系統投用以來，公司生產管理網與DCS控制網的安全防護水平得到有效提升，至今未出現過信息安全風險事件。秉著“防患于未然”的原則，本公司結合實際情況，建立了一套工控系統信息安全風險事件處置措施，從制度和管理上對硬件設備實現的安全防護加以補充。下面對處置措施的具體操作內容進行介紹。

6.1 問題判斷的方法

通過主機安全軟件的攔截日志，查看是否存在惡意代碼、病毒企圖執行的信息。

通過計算機病毒查殺軟件日志，查看是否存在惡意代碼、病毒的活動跡象。

通過查看計算機操作系統環境，查看是否存在顯著的異常，如頻繁地異常程序崩潰退出，頻繁地操作系統崩潰藍屏、錯誤或重啟，計算機內存、CPU資源占用過高導致系統運行異常緩慢，計算機網絡負荷異常偏高等現象來判斷是否存在惡意代碼、病毒的活動跡象。

6.2 現場處理的措施

在確保安全的情況下，將確認感染計算機病毒的主機從網絡中離線（斷開其所有網絡、網線連接）。

在確保安全的情況下，臨時關閉計算機操作系統（包括關閉電源）。

在確保安全的情況下，通過工業控制數據交換系統的策略變更，限制感染計算機網絡連接的范圍和權限。

在確保安全的情況下，通過網絡設備（交換機、網關）策略變更，限制感染計算機網絡連接的范圍和權限。

在確保安全的情況下，使用經過驗證且符合信息安全管理規定的“備份軟件”進行磁盤及文件備份。

在確保安全的情況下，使用經過驗證且符合信息安全管理規定的移動介質，安裝或運行計算機病毒掃描查殺軟件，進行病毒查殺。

在確保安全的情況下，使用經過驗證且符合信息安全管理規定的“補丁程序”進行補丁安裝。

在確保安全的情況下，對被計算機病毒感染或影響的計算機進行安全策略的臨時變更，以限制計算機病毒的影響范圍。

6.3 現場處理注意事項

在進行現場處理時，應注意以下事項：

1）應安排至少1人進行現場“監護”以及協調溝通，包括操作票簽署。

2）計算機設備在開始操作前，應使用內存鏡像以及磁盤鏡像工具進行備份。

3）病毒查殺使用“離線”形式，即對其中一臺進行掃描處理時，該計算機臨時從網絡中離線（斷開所有網絡物理連接），確認滿足使用要求后方可重新接入網絡“上線”。

4）為保證查殺效果，應使用至少兩種不同供應商的病毒特征庫的軟件對計算機進行掃描。

5）對于清除“失敗”只能“刪除”的感染文件，應使用經過惡意代碼特征安全掃描的移動存儲設備從其他設備讀取拷貝進行恢復。

6）完成病毒查殺后，應由現場“監護人”協調確認功能滿足使用要求的情況，必要時可進行單點調試。

7）全部完成后，應進行全網復查以確認病毒清除情況。

6.4 調查與評估

信息安全風險事件處置結束后，應出具總結調查報告。總結調查報告應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。事件的調查處理和總結評估工作，原則上在信息安全風險事件處置結束后30天內完成[5]。

6.5 確認歸檔

信息安全風險事件處置結束后，及時檢查事件處置記錄是否齊全，是否具備可塑性，并對事件處置過程進行總結和分析。總結和分析的具體工作包括但不限于以下幾項：

1）事件發生的現象總結。

2）事件發生的原因分析。

3）系統的損害程度評估。

4）事件損失估計。

5）采取的主要應對措施。

6）相關的工具文檔歸檔。

7 結束語

工業控制數據交換系統的應用，有效避免了病毒、黑客、惡意代碼等入侵生產管理網導致整個網絡癱瘓事故的出現，保證了生產管理網數據庫的數據安全與數據完整；此外，作為OPC數據采集端的操作站，同時也是各工序DCS控制網中的網絡節點，工業控制數據交換系統的應用也阻止了網絡攻擊經操作站進入DCS控制網，避免控制網癱瘓，導致生產操作無法進行，甚至生產安全事故的發生。工業控制數據交換系統的應用，使生產管理網、DCS控制網及各網絡節點的運行穩定性與可靠性顯著提高，確保了公司生產的安全、高效與穩定，是本公司又一創新亮點。