趙春娟

【摘 要】DCS/SIS工業(yè)控制系統(tǒng)是指針對(duì)工業(yè)工藝流程建立一個(gè)連續(xù)運(yùn)轉(zhuǎn)、具有高度智能的自動(dòng)化集散控制系統(tǒng)和安全儀表系統(tǒng)。近年來(lái)，伴隨著技術(shù)變革的深入，工業(yè)控制也變得愈加復(fù)雜，每個(gè)工業(yè)控制項(xiàng)目都有各自特點(diǎn)，如何將風(fēng)險(xiǎn)管理貫穿始終，將成為近階段的重要課題，本文主要以DCS/SIS的安全風(fēng)險(xiǎn)及應(yīng)對(duì)方法為對(duì)象加以分析，找出部分現(xiàn)場(chǎng)采取的應(yīng)對(duì)方法，表明控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是可以得到控制并提前防護(hù)的。

【關(guān)鍵詞】DCS；SIS；工業(yè)控制

一、DCS/SIS系統(tǒng)安全及現(xiàn)狀

典型的DCS/SIS控制通常由控制回路、HMI（人機(jī)接口）、遠(yuǎn)程診斷與維護(hù)工具三部分組件共同完成，控制回路用以控制邏輯運(yùn)算，HMI執(zhí)行信息交互，遠(yuǎn)程診斷與維護(hù)工具確保出現(xiàn)異常操作時(shí)的診斷和恢復(fù)。

與傳統(tǒng)的信息系統(tǒng)安全需求不同，DCS系統(tǒng)設(shè)計(jì)需要兼顧應(yīng)用場(chǎng)景與控制管理等多方面因素，以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計(jì)理念的影響下，缺乏有效的安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的難題。

二、DCS/SIS系統(tǒng)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)方法

工業(yè)控制系統(tǒng)的安全性直接影響到生產(chǎn)過(guò)程的安全實(shí)施，為兼顧工業(yè)應(yīng)用的場(chǎng)景和執(zhí)行效率，在追求SIS系統(tǒng)高可用性和DCS系統(tǒng)業(yè)務(wù)連續(xù)性的過(guò)程中，用戶往往會(huì)被動(dòng)地降低控制系統(tǒng)的安全防御需求。識(shí)別工業(yè)控制存在的風(fēng)險(xiǎn)與安全隱患，實(shí)施相應(yīng)的安全保障策略是確保DCS/SIS系統(tǒng)穩(wěn)定運(yùn)行的有效手段。

（一）操作系統(tǒng)與外接設(shè)備交互的風(fēng)險(xiǎn)性

追求可用性而犧牲安全，這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象，很多已經(jīng)實(shí)施了安全防御措施的DCS/SIS網(wǎng)絡(luò)仍然會(huì)因?yàn)楣芾砘虿僮魃系氖д`，造成DCS/SIS系統(tǒng)出現(xiàn)潛在的安全短板。例如，工業(yè)控制系統(tǒng)中的移動(dòng)存儲(chǔ)介質(zhì)的使用和不嚴(yán)格的訪問(wèn)控制策略。

應(yīng)對(duì)方法：制定關(guān)鍵設(shè)備信息安全評(píng)測(cè)制度，防范關(guān)鍵設(shè)備中預(yù)留后門(mén)及多余功能。主要是對(duì)工業(yè)控制系統(tǒng)的設(shè)備、系統(tǒng)進(jìn)行評(píng)測(cè)和檢測(cè)，確保關(guān)鍵設(shè)備、軟件沒(méi)有預(yù)埋的、不為我們所知的一些功能。首先，落實(shí)工業(yè)控制系統(tǒng)的信息安全檢查制度；再者，加強(qiáng)工業(yè)控制系統(tǒng)病毒防治工作，落實(shí)工業(yè)控制系統(tǒng)防治病毒管理規(guī)定，嚴(yán)格控制系統(tǒng)訪問(wèn)權(quán)限及移動(dòng)存儲(chǔ)介質(zhì)的使用。

例如：天津LNG項(xiàng)目采用YOKOGAWA CENUM VP與PROSAFE-RS控制系統(tǒng)，廠家對(duì)該DCS系統(tǒng)和SIS系統(tǒng)進(jìn)行了無(wú)縫整合，在硬件方面兩者處于同一控制網(wǎng)絡(luò)下，而SIS安全系統(tǒng)中的SENG也可以和DCS系統(tǒng)中的ENG整合在一起，在數(shù)據(jù)的傳輸中響應(yīng)速度更快，處理數(shù)據(jù)的能力更強(qiáng)。但CENTUM VP與PROSAFE-RS系統(tǒng)在實(shí)際運(yùn)用中開(kāi)放性過(guò)高、且在安全方面過(guò)于依賴Windows平臺(tái)，從而給其自身的系統(tǒng)安全性帶來(lái)較大隱患。為此，歸納了當(dāng)前運(yùn)行版本的DCS（CENTUM VP）系統(tǒng)與SIS（PROSAFE-RS）在工程應(yīng)用中涉及到的安全問(wèn)題的實(shí)際處理方法。

該裝置的DCS控制系統(tǒng)軟件版本為R5.04.20，SIS系統(tǒng)的版本為R3.02.20，其操作系統(tǒng)為Windows 7 Professional?，F(xiàn)在采用的系統(tǒng)版本延續(xù)使用了自R3版本以來(lái)的“CENTUM Desktop”環(huán)境，可禁止用戶更改Windows系統(tǒng)設(shè)置。但是DCS/SIS系統(tǒng)安全措施做得不夠完善，未將與生產(chǎn)操作無(wú)關(guān)的功能徹底鎖死，即操作站仍可以進(jìn)行生產(chǎn)相關(guān)操作以外的操作，給控制系統(tǒng)的安全運(yùn)行帶來(lái)隱患，具體原因是Windows7的默認(rèn)狀態(tài)不能為CENTUM VP系統(tǒng)提供安全的運(yùn)行環(huán)境。

Windows 7 Professional安裝結(jié)束后，光驅(qū)與USB接口均處于“自動(dòng)播放”狀態(tài)，即使在“CENTUM Desktop”環(huán)境下，當(dāng)放入光盤(pán)或插入移動(dòng)存儲(chǔ)設(shè)備時(shí)也可自動(dòng)打開(kāi)或自動(dòng)運(yùn)行，極有可能將病毒帶入操作站中。此外，自Windows 95問(wèn)世以后，計(jì)算機(jī)鍵盤(pán)上增加了“Windows鍵”，Windows 7 Professional平臺(tái)賦予了“Windows鍵”與其它鍵組合出的多種快捷方式，提高了用戶操作的便捷性，但在“CENTUM Desktop”環(huán)境下，“Windows鍵”的組合功能未被完全屏蔽，用戶可通過(guò)“Windows鍵”的組合功能對(duì)系統(tǒng)設(shè)置進(jìn)行修改。

雖然可以通過(guò)加強(qiáng)對(duì)操作員工的管理而盡量避免上述破壞性事件的發(fā)生，但系統(tǒng)組態(tài)與維護(hù)人員仍有必要制訂相應(yīng)的技術(shù)防范措施，從根本上提高操作站的安全性。

技術(shù)防范措施：

1.將操作站的普通鍵盤(pán)改為專(zhuān)門(mén)用于操作的操作員鍵盤(pán)；

2.禁用鍵盤(pán)上的“Windows鍵”組合功能；

3.隱藏“CENTUM”用戶權(quán)限下開(kāi)始菜單中影響系統(tǒng)安全無(wú)關(guān)組件；

4.屏蔽“CENTUM”用戶權(quán)限下由任務(wù)欄圖標(biāo)進(jìn)入硬盤(pán)目錄的途徑；

5.取消“CENTUM”用戶權(quán)限下光驅(qū)與USB接口的自動(dòng)播放功能；

6.關(guān)閉USB接口的存儲(chǔ)設(shè)備接入功能；

7.禁用USB移動(dòng)存儲(chǔ)設(shè)備。

（二）工控平臺(tái)的風(fēng)險(xiǎn)性

隨著TCP/IP等通用協(xié)議與開(kāi)發(fā)標(biāo)準(zhǔn)引入工業(yè)控制系統(tǒng)，開(kāi)放、透明的工業(yè)控制系統(tǒng)同樣為物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)領(lǐng)域開(kāi)辟出廣闊的想象空間。理論上，絕對(duì)的物理隔離網(wǎng)絡(luò)正因?yàn)樾枨蠛蜆I(yè)務(wù)模式的改變而不再切實(shí)可行，目前，多數(shù)工業(yè)控制網(wǎng)絡(luò)僅通過(guò)部署防火墻來(lái)保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對(duì)隔離，各個(gè)工業(yè)自動(dòng)化單元之間缺乏可靠的安全通信機(jī)制，工業(yè)控制系統(tǒng)的安全防御能力十分有限。

應(yīng)對(duì)方法：就目前而言，傳統(tǒng)的IT防火墻已無(wú)法滿足工業(yè)控制系統(tǒng)的需求，但越來(lái)越多的控制系統(tǒng)廠家注重網(wǎng)絡(luò)安全，在控制層面就加裝了防火墻，同時(shí)，市面上也有工業(yè)級(jí)防火墻的出現(xiàn)，針對(duì)控制層的網(wǎng)絡(luò)協(xié)議作出相應(yīng)的防護(hù)，對(duì)Modbus和OPC的協(xié)議內(nèi)容進(jìn)行檢查和連接管理。不管是控制系統(tǒng)本身自帶的防火墻還是專(zhuān)業(yè)的工業(yè)級(jí)防火墻，都可以針對(duì)工控平臺(tái)的風(fēng)險(xiǎn)性起到彌補(bǔ)作用。

（三）網(wǎng)絡(luò)的風(fēng)險(xiǎn)性

通用以太網(wǎng)技術(shù)的引入讓工業(yè)控制變得智能，也讓工業(yè)控制網(wǎng)絡(luò)愈發(fā)透明、開(kāi)放、互聯(lián)，TCP/IP存在的威脅同樣會(huì)在工業(yè)網(wǎng)絡(luò)中重現(xiàn)，此外，工業(yè)控制網(wǎng)絡(luò)的專(zhuān)屬控制協(xié)議更為攻擊者提供了了解工業(yè)控制網(wǎng)絡(luò)內(nèi)部環(huán)境的機(jī)會(huì)。為確保工業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)營(yíng)，必須針對(duì)DCS/SIS網(wǎng)絡(luò)環(huán)境進(jìn)行實(shí)時(shí)異常行為的"發(fā)現(xiàn)、檢測(cè)、清除、恢復(fù)、審計(jì)"一體化的保障機(jī)制。當(dāng)前DCS/SIS網(wǎng)絡(luò)主要的風(fēng)險(xiǎn)性集中體現(xiàn)為：邊界安全策略缺失；系統(tǒng)安全防御機(jī)制缺失；管理制度缺失或不完善；網(wǎng)絡(luò)配置規(guī)范缺失；監(jiān)控與應(yīng)急響應(yīng)制度缺失；網(wǎng)絡(luò)通信保障機(jī)制缺失。

應(yīng)對(duì)方法：針對(duì)TCP/IP存在的威脅只運(yùn)用原有的防火墻及防護(hù)方法采取應(yīng)對(duì)措施，而工業(yè)控制網(wǎng)絡(luò)的專(zhuān)屬控制協(xié)議防護(hù)則應(yīng)更加有針對(duì)性，控制層和數(shù)據(jù)層的隔離防護(hù)，控制層網(wǎng)絡(luò)的冗余化等，都是可以有針對(duì)性的起到保護(hù)作用。

三、結(jié)束語(yǔ)

綜上所述，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題始終存在，而且由于TCP/IP技術(shù)的深入運(yùn)用，對(duì)控制系統(tǒng)威脅越來(lái)越多，但是我們始終能找到應(yīng)對(duì)方法，不管是從構(gòu)建滿足工業(yè)控制系統(tǒng)的安全體系，從管理、流程、架構(gòu)、設(shè)備等多個(gè)角度發(fā)展防護(hù)技術(shù)，把最新技術(shù)應(yīng)用到實(shí)處，還是從落實(shí)相關(guān)制度方面，都應(yīng)該不斷的改進(jìn)并完善，這才是保證工業(yè)控制網(wǎng)絡(luò)安全的最有效手段。