陳 華，高 楊

（中交第一航務(wù)工程勘察設(shè)計(jì)院有限公司，天津 300222）

引 言

由于工控系統(tǒng)信息安全的投入并不增加企業(yè)的經(jīng)濟(jì)效益，同時(shí)還會(huì)增加工控系統(tǒng)運(yùn)行維護(hù)的成本，因此用戶很少開展工控系統(tǒng)安全方面的工作。

目前工業(yè)控制系統(tǒng)信息安全的問題主要體現(xiàn)在產(chǎn)品部署不到位、安全管理制度不完善，工控系統(tǒng)面臨的漏洞劇增、攻擊趨易、目標(biāo)重要等風(fēng)險(xiǎn)。工控軟硬件產(chǎn)品在設(shè)計(jì)之初極少考慮安全問題，因此安全漏洞不斷涌現(xiàn)。開源社區(qū)、黑客大會(huì)的出現(xiàn)導(dǎo)致獲取工控系統(tǒng)的攻擊方法越發(fā)容易。工控系統(tǒng)作為政府基礎(chǔ)設(shè)施的重要組成部分，已經(jīng)成為黑客、極端勢力攻擊的重要目標(biāo)[1]。

1 油庫工控系統(tǒng)面臨的威脅

1.1 油庫的特殊工況

某港油庫的生產(chǎn)作業(yè)過程中涉及到有毒有害氣體、易燃易爆、腐蝕、易揮發(fā)等化學(xué)品，同時(shí)工藝復(fù)雜、生產(chǎn)過程環(huán)環(huán)相扣、每道工序間相互關(guān)聯(lián)、相互影響、不安全因素較多，一旦發(fā)生安全事故，極易造成嚴(yán)重后果。過去，油庫生產(chǎn)控制系統(tǒng)與外界是完全隔離的，外部的威脅無法通過企業(yè)內(nèi)部網(wǎng)進(jìn)入到生產(chǎn)控制系統(tǒng)，都是隨著油庫企業(yè)應(yīng)用系統(tǒng)的增加以及信息化建設(shè)的推進(jìn)、管控一體化技術(shù)發(fā)展、生產(chǎn)執(zhí)行系統(tǒng)的實(shí)施，生產(chǎn)控制網(wǎng)絡(luò)與管理網(wǎng)以及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令、生產(chǎn)計(jì)劃的下發(fā)，感染病毒及惡意程序的幾率增大。生產(chǎn)網(wǎng)的開放對油庫工業(yè)控制系統(tǒng)構(gòu)成嚴(yán)重的安全威脅，系統(tǒng)受到攻擊或感染病毒后，控制網(wǎng)絡(luò)通訊緩慢、數(shù)據(jù)丟失、管理層數(shù)據(jù)無法讀取、壓力、溫度、流量、液位、計(jì)量等指示失效，檢測系統(tǒng)連鎖報(bào)警失效。

1.2 管理層面面臨的威脅

1）工業(yè)控制系統(tǒng)從可行性方案到后期具體實(shí)施的全過程中，需要在工業(yè)控制系統(tǒng)信息安全規(guī)章要求下著眼于生產(chǎn)作業(yè)設(shè)備的實(shí)時(shí)運(yùn)行狀態(tài)，將設(shè)備自身的安全可靠度作為建設(shè)工控系統(tǒng)信息安全的根本出發(fā)點(diǎn)。

2）目前多數(shù)企業(yè)對單位內(nèi)部職工的工控系統(tǒng)信息安全方面的培訓(xùn)十分匱乏，生產(chǎn)管理、調(diào)度以及現(xiàn)場一線作業(yè)人員的工控系統(tǒng)信息安全的意識(shí)較弱。企業(yè)內(nèi)部工控系統(tǒng)信息安全方面的技術(shù)交流和探討也相當(dāng)缺乏，有點(diǎn)企業(yè)雖有相關(guān)技術(shù)培訓(xùn)還都流于形式。

3）缺乏工業(yè)控制系統(tǒng)災(zāi)難性恢復(fù)計(jì)劃。

4）企業(yè)現(xiàn)場作業(yè)技術(shù)人員所掌握的現(xiàn)場作業(yè)情況在發(fā)送給中控室管理調(diào)度人員之后，管理調(diào)度人員無法在第一時(shí)間制定出信息安全指導(dǎo)意見。

1.3 技術(shù)層面面臨的威脅

1）工控系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)不完善，且其深度防護(hù)不足；通過工控系統(tǒng)的信息數(shù)據(jù)出現(xiàn)較大程度的延遲或阻止。

2）當(dāng)前工業(yè)以太網(wǎng)系統(tǒng)是控制系統(tǒng)的主流網(wǎng)絡(luò)模式，但是目前采用的多數(shù)信息安全防護(hù)措施很難在工控網(wǎng)和傳統(tǒng)信息網(wǎng)絡(luò)之間建立起安全、可靠、有效的屏障，工控系統(tǒng)面臨巨大的安全威脅，而工控系統(tǒng)出現(xiàn)的任何問題又對企業(yè)生產(chǎn)作業(yè)造成較大的損失[2]。

3）工業(yè)控制系統(tǒng)在實(shí)際運(yùn)行中涉及到大量的設(shè)備或軟件生產(chǎn)廠商的接口協(xié)議，而這些接口協(xié)議大都缺乏國家權(quán)威機(jī)構(gòu)的信息及網(wǎng)絡(luò)安全認(rèn)證，大量病毒則通過這些接口侵入工控系統(tǒng)以及企業(yè)內(nèi)部管理網(wǎng)等。

4）由于工業(yè)控制系統(tǒng)的受控端設(shè)備與中央控制室上位端控制主機(jī)之間缺少相關(guān)的信息安全認(rèn)證程序，一旦出現(xiàn)冒充控制室控制主機(jī)端的惡意指令程序，受控端設(shè)備又無法準(zhǔn)確判斷控制信息發(fā)送端的真實(shí)身份，因此中央控制室管理調(diào)度人員在錯(cuò)誤現(xiàn)場信息的引導(dǎo)下給出與實(shí)際作業(yè)情況偏差更大的操作，而這些與現(xiàn)場不匹配的操作將直接造成整個(gè)庫區(qū)生產(chǎn)作業(yè)的混亂甚至引發(fā)極大的安全事故。

5）油庫中控室的HMI/server多為windows平臺(tái)，而windows系統(tǒng)存在安全漏洞易受病毒攻擊。另外由于工業(yè)控制系統(tǒng)的特殊性，為保證相對獨(dú)立的運(yùn)行環(huán)境，油庫工控系統(tǒng)極少與外界聯(lián)網(wǎng)因此幾乎不對windows平臺(tái)安裝任何補(bǔ)丁程序，這種情況極容易導(dǎo)致控制室工控系統(tǒng)管理層遭到病毒的侵襲。

6）TCP/IP以太網(wǎng)協(xié)議、OPC協(xié)議及通用的交換路由設(shè)備廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，給系統(tǒng)帶來了安全漏洞威脅。

7）工控系統(tǒng)缺少對程序行為的審核能力，惡意程序行為是對工控系統(tǒng)產(chǎn)生安全威脅主要因素之一。工控系統(tǒng)相對封閉的環(huán)境使系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或破壞性操作也成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險(xiǎn)。

2 油庫工控系統(tǒng)信息安全方案

2.1 建設(shè)分案總體設(shè)計(jì)

本項(xiàng)目根據(jù)某港油庫工控系統(tǒng)及信息化生產(chǎn)管理系統(tǒng)流程的特點(diǎn)，建立控制系統(tǒng)計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)的三重防御體系，通過強(qiáng)化分區(qū)、隔離防護(hù)、數(shù)據(jù)的鏡像采集、協(xié)議管控、入侵防御及建立審計(jì)制度等技術(shù)手段來構(gòu)建縱深安全防御體系，確保庫區(qū)生產(chǎn)作業(yè)全流程工控系統(tǒng)的安全。該油庫工控系統(tǒng)信息安全方案建設(shè)思路如圖1所示。

1）從某港油庫工控系統(tǒng)總體結(jié)構(gòu)來看，油庫企業(yè)管理層主要從控制層提取相關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策，完成各種控制、運(yùn)行參數(shù)的監(jiān)測、報(bào)警和趨勢分析等功能?？刂茖訁R總現(xiàn)場設(shè)備的實(shí)時(shí)生產(chǎn)數(shù)據(jù)信息。系統(tǒng)的每一個(gè)安全漏洞都將產(chǎn)生不同的嚴(yán)重后果，所以將它們單獨(dú)隔離防護(hù)顯得尤為必要。工業(yè)控制系統(tǒng)信息安全的防護(hù)主要通過部署、配置信息安全系統(tǒng)產(chǎn)品（防火墻、入侵檢測、漏洞掃描、殺毒軟件、系統(tǒng)管理平臺(tái)等）來實(shí)現(xiàn)系統(tǒng)安全。

2）工業(yè)安全隔離網(wǎng)關(guān)是一種為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)置的安全隔離設(shè)備，用于解決工業(yè)控制網(wǎng)絡(luò)如何安全地接入工業(yè)控制信息網(wǎng)絡(luò)的問題以及工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同的安全區(qū)域之間信息網(wǎng)絡(luò)安全防護(hù)的問題。工業(yè)安全隔離網(wǎng)關(guān)的控制端接到工業(yè)控制網(wǎng)絡(luò)，依靠信息采集接口實(shí)現(xiàn)控制系統(tǒng)各個(gè)子系統(tǒng)數(shù)據(jù)信息的采集工作；信息端接入上位管理層網(wǎng)絡(luò)，實(shí)現(xiàn)數(shù)據(jù)到中控室的傳輸。工業(yè)安全隔離網(wǎng)關(guān)可以保證網(wǎng)絡(luò)之間正常的通信，且能徹底阻斷網(wǎng)絡(luò)間的直接連接，切斷外界攻擊的載體。同時(shí)該網(wǎng)關(guān)可保證信息數(shù)據(jù)的完整性、連續(xù)性、可靠性，在通信鏈路斷開時(shí)自動(dòng)記錄存儲(chǔ)數(shù)據(jù)。網(wǎng)關(guān)本身的故障不會(huì)影響現(xiàn)場的正常業(yè)務(wù)信息數(shù)據(jù)，可以提高工藝系統(tǒng)穩(wěn)定性，保障生產(chǎn)業(yè)務(wù)的連續(xù)性。工業(yè)安全隔離網(wǎng)關(guān)能徹底阻斷不同安全區(qū)域之間的直接信息通訊，同時(shí)根據(jù)其自身配置的高性能工業(yè)通信軟件實(shí)現(xiàn)對多種主流工業(yè)控制通訊協(xié)議進(jìn)行信息數(shù)據(jù)的過濾，為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)傳輸?shù)膶?shí)時(shí)數(shù)據(jù)信息提供“可靠的傳輸通道”。

3）工業(yè)控制系統(tǒng)采用訪問控制、用戶身份認(rèn)證、審計(jì)制度等措施來保證系統(tǒng)信息網(wǎng)絡(luò)安全，其中訪問控制可以用于限制油庫企業(yè)用戶的權(quán)限，使用戶能以最小的權(quán)限完成工作任務(wù)。工控系統(tǒng)管理員的任何通訊都需要加以認(rèn)證，通信過程中通信雙方使用密鑰加密信息數(shù)據(jù)，并對其保密性和完整性實(shí)施保護(hù)；身份認(rèn)證是通過密碼驗(yàn)證申請?jiān)L問的設(shè)備或人員在網(wǎng)絡(luò)上傳輸密碼時(shí)需要對密碼進(jìn)行加密，通過選擇合適的密碼函數(shù)可以阻斷病毒的攻擊。工業(yè)控制系統(tǒng)通常都需要進(jìn)行工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備的安全配置和審計(jì)制度，嚴(yán)格指令的管理，及時(shí)更換產(chǎn)品安裝時(shí)的預(yù)設(shè)指令、杜絕使用弱等級(jí)的指令。授權(quán)審計(jì)員能夠?qū)ο到y(tǒng)日志進(jìn)行讀取、存檔、導(dǎo)出、刪除等操作；定期對控制系統(tǒng)的賬戶、指令、端口進(jìn)行檢查，停止無用的后臺(tái)程序和進(jìn)程。

4）工業(yè)控制系統(tǒng)信息安全在實(shí)際設(shè)置中是依據(jù)信息安全區(qū)域劃分、信息安全重要程度（工業(yè)控制系統(tǒng)信息的價(jià)值越高，它所面臨的安全威脅就越大）、信息安全耗損成本等因素設(shè)置成不同的信息安全防護(hù)等級(jí)，并依據(jù)不同的防護(hù)等級(jí)采用不同模式的信息安全防護(hù)技術(shù)及措施，以求實(shí)現(xiàn)工業(yè)控制系統(tǒng)及相關(guān)受控作業(yè)設(shè)備的穩(wěn)定可靠運(yùn)行。

圖1 油庫工控系統(tǒng)信息安全架構(gòu)

2.2 系統(tǒng)防火墻

工控系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)禁止連接，所有系統(tǒng)之間的通信終點(diǎn)應(yīng)是隔離區(qū)。工控系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)之間的連接須通過服務(wù)和端口的嚴(yán)格控制。辦公網(wǎng)與互聯(lián)網(wǎng)的連接，存在被病毒感染或被惡意控制的高風(fēng)險(xiǎn)，因此在辦公網(wǎng)和管理網(wǎng)之間部署網(wǎng)絡(luò)病毒網(wǎng)關(guān)，入侵防御系統(tǒng)。可以處理SMTP、HTTP、POP3、FTP等多種協(xié)議，全面保護(hù)WEB訪問、郵件以及文件傳輸過程中的安全。從而有效抵御來自辦公網(wǎng)及互聯(lián)網(wǎng)的網(wǎng)絡(luò)病毒和風(fēng)險(xiǎn)，確保內(nèi)網(wǎng)的安全[3]。

2.3 工控系統(tǒng)控制器安全防護(hù)

控制系統(tǒng)的上位機(jī)通過工業(yè)以太網(wǎng)連接，操作站實(shí)現(xiàn)監(jiān)控、操作功能；控制站則完成具體的控制運(yùn)算、輸入/輸出及數(shù)據(jù)處理功能。而工業(yè)以太網(wǎng)的開放性在帶來通訊快速便捷的同時(shí)也增加了安全隱患。在控制器入口端設(shè)置控制室防護(hù)設(shè)備，可識(shí)別出針對控制器的操控服務(wù)指令（包括組態(tài)服務(wù)、數(shù)據(jù)上傳服務(wù)、數(shù)據(jù)下載服務(wù)、控制程序下載服務(wù)、操控指令服務(wù)等），并且能根據(jù)安全策略要求對非法的服務(wù)請求進(jìn)行報(bào)警和自動(dòng)隔斷。使用工業(yè)防火墻對控制器進(jìn)行安全防護(hù)，一方面通過對源、目的地址的控制，且對關(guān)鍵控制點(diǎn)的讀寫權(quán)限加以嚴(yán)格限制，保障了資源的可信與可控；另一方面，通過對端口服務(wù)的控制，杜絕了一切有意或無意的攻擊。

3.4 工控系統(tǒng)漏洞掃描

工控系統(tǒng)的信息漏洞一旦被攻擊者發(fā)現(xiàn)并利用，系統(tǒng)將遭受多種類型的病毒攻擊，如在控制系統(tǒng)實(shí)時(shí)通訊過程中襲擊者將偽裝成合法的儀表設(shè)備或偽造成一個(gè)合法的網(wǎng)絡(luò)源；或是襲擊者從通訊過程的中間攔截信息并把相關(guān)信息修改后再轉(zhuǎn)發(fā)到接收端主控制機(jī)；或是不斷發(fā)送認(rèn)證信息或其他指令使得中控室主機(jī)設(shè)備忙于應(yīng)答大量的惡意數(shù)據(jù)而無法處理和響應(yīng)其他作業(yè)信息。當(dāng)系統(tǒng)被攻擊時(shí)，入侵檢測系統(tǒng)通過在工控系統(tǒng)網(wǎng)絡(luò)的各個(gè)關(guān)鍵點(diǎn)收集數(shù)據(jù)信息并同時(shí)分析這些數(shù)據(jù)信息是否包含病毒，當(dāng)發(fā)現(xiàn)異常時(shí)立即發(fā)出警報(bào)、廢棄無效數(shù)據(jù)信息并聯(lián)動(dòng)其他層級(jí)的安全響應(yīng)。

3 結(jié) 語

隨著大量工控系統(tǒng)軟硬件的應(yīng)用其信息安全的重要性越發(fā)重要，根據(jù)工控系統(tǒng)的信息安全需求找到切合其特點(diǎn)的信息安全解決方案更是重中之重。

某港油庫工程根據(jù)其工控系統(tǒng)信息安全防護(hù)的特點(diǎn)設(shè)計(jì)出對工控系統(tǒng)進(jìn)行分層、分區(qū)域、分等級(jí)的“三層防護(hù)”的工控系統(tǒng)信息安全防護(hù)體系架構(gòu)思路。為該油庫設(shè)置一個(gè)安全性、可靠性、適應(yīng)性兼得的工控信息采集、傳輸、處理、存儲(chǔ)空間。

工業(yè)控制系統(tǒng)信息安全是信息化建設(shè)過程中出現(xiàn)的新問題，工業(yè)控制系統(tǒng)的信息安全到了非加強(qiáng)不可的時(shí)期，單純認(rèn)為“不上網(wǎng)”、“不互聯(lián)”、“建設(shè)專網(wǎng)”等均解決不了信息安全的核心問題，只有切實(shí)完善系統(tǒng)安全配置和補(bǔ)丁管理、物理和環(huán)境安全防護(hù)制度、持續(xù)進(jìn)行工業(yè)控制系統(tǒng)安全投入、升級(jí)安全防護(hù)技術(shù)、加強(qiáng)系統(tǒng)安全隱患的治理，才能健全工業(yè)控制系統(tǒng)信息安全的保障體系，保障庫區(qū)生產(chǎn)工藝系統(tǒng)設(shè)施的安全。