工業(yè)控制網(wǎng)絡(luò)信息安全隱患分析與解決方案

1、工業(yè)控制網(wǎng)絡(luò)信息安全隱患分析與解決摘要：兩化融合和物聯(lián)網(wǎng)的快速發(fā)展，使工業(yè)控制系統(tǒng)面臨的安全問題日益嚴(yán)重。為保證能源和關(guān)鍵性基礎(chǔ)設(shè)施行業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行，需要建立有針對性的安全防護(hù)體系，創(chuàng)建“本質(zhì)安全”的工業(yè)網(wǎng)絡(luò)。本文根據(jù)工廠信息化的特點(diǎn)，結(jié)合工業(yè)控制網(wǎng)絡(luò)的常見架構(gòu)，分析了信息化時(shí)代工業(yè)網(wǎng)絡(luò)存在的安全隱患，并詳細(xì)闡述了參照ANSI/ISA-99安全標(biāo)準(zhǔn)，如何使用多芬諾工業(yè)防火墻的縱深防御策略來全方位保障工業(yè)網(wǎng)絡(luò)信息安全。關(guān)鍵詞：工業(yè)網(wǎng)絡(luò)信息安全；多芬諾；工業(yè)防火墻；縱深防御伴隨兩化融合和物聯(lián)網(wǎng)的快速發(fā)展，我國關(guān)鍵性基礎(chǔ)設(shè)施和能源行業(yè)廣泛使用的SCADA、DCS、PLC等工業(yè)控制系統(tǒng)越來越

2、多地采用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，如Ethernet、TCP/IP以及OPC等，極大地推動了工業(yè)生產(chǎn)，但同時(shí)也使工業(yè)控制系統(tǒng)接口越來越開放，控制系統(tǒng)面臨的信息安全問題也日益嚴(yán)重。2010年10月，肆虐伊朗的Stuxnet病毒造成伊朗布什爾核電站推遲發(fā)電。事件經(jīng)媒體披露后迅速引發(fā)了各國政府與安全機(jī)構(gòu)的廣泛關(guān)注。Stuxnet病毒通過移動介質(zhì)、西門子項(xiàng)目文件等方式進(jìn)行傳播，可以說是計(jì)算機(jī)病毒界革命性創(chuàng)新，“工業(yè)病毒”時(shí)代已經(jīng)來臨。為此工信部協(xié)2011451號文件明確指出要切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。1 工業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析二十世紀(jì)九十年代以前的大多數(shù)控制系統(tǒng)一般都采用專用的硬件、軟件和通信協(xié)議，

3、有自己獨(dú)立的操作系統(tǒng)，系統(tǒng)之間的互聯(lián)要求也不高，因此幾乎不存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。多年來企業(yè)更多關(guān)注的是管理網(wǎng)絡(luò)的安全問題，許多企業(yè)對控制系統(tǒng)安全存在認(rèn)識上的誤區(qū)：認(rèn)為控制系統(tǒng)沒有直接連接互聯(lián)網(wǎng)、黑客或病毒不了解控制系統(tǒng)，無法攻擊控制系統(tǒng)，因此控制系統(tǒng)是安全的。而實(shí)際情況是，企業(yè)的許多控制網(wǎng)絡(luò)都是“敞開的”，系統(tǒng)之間沒有有效的隔離。同時(shí)黑客和病毒的入侵途徑又是多種多樣的，因此盡管企業(yè)網(wǎng)內(nèi)部安裝了一些網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，施行了各類網(wǎng)絡(luò)安全技術(shù)，但隨著信息化的推動和工業(yè)化進(jìn)程的加速，工廠信息網(wǎng)絡(luò)、移動存儲介質(zhì)、因特網(wǎng)以及其它因素導(dǎo)致的信息安全問題正逐漸向控制系統(tǒng)擴(kuò)散，直接影響了工廠生產(chǎn)控制的穩(wěn)定與安全1。

4、近幾年來，國內(nèi)、外許多企業(yè)的DCS控制系統(tǒng)已經(jīng)有中病毒或遭黑客攻擊的現(xiàn)象，給安全生產(chǎn)帶來了極大的隱患。2 工業(yè)網(wǎng)絡(luò)的信息安全漏洞信息化時(shí)代的來臨使工業(yè)控制系統(tǒng)暴漏出一些信息安全漏洞。2.1 通信協(xié)議漏洞兩化融合和物聯(lián)網(wǎng)的發(fā)展使得OPC協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，隨之而來的通信協(xié)議漏洞問題也日益突出。例如，OPC Classic協(xié)議基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識之前設(shè)計(jì)的，極易受到攻擊。2.2 操作系統(tǒng)漏洞目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺的，為保證過程控制系統(tǒng)的相對獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，現(xiàn)場工程

5、師在系統(tǒng)開車后通常不會對Windows平臺安裝任何補(bǔ)丁，從而埋下安全隱患。2.3 安全策略和管理流程漏洞追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動存儲介質(zhì)包括筆記本電腦、U盤等設(shè)備的使用和不嚴(yán)格的訪問控制策略。2.4 殺毒軟件漏洞為了保證工控應(yīng)用軟件的可用性，許多工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒軟件的病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的，導(dǎo)致每年都會爆發(fā)大規(guī)模

6、的病毒攻擊，特別是新病毒。2.5 應(yīng)用軟件漏洞由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對安全問題；另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開放其應(yīng)用端口?；ヂ?lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠以及其他大型設(shè)備的控制權(quán)，一旦這些控制權(quán)被不良意圖黑客所掌握，那么后果不堪設(shè)想2。3 工業(yè)控制網(wǎng)絡(luò)的常見拓?fù)浣Y(jié)構(gòu)和安全隱患分析為了更全面的說明問題，本文將工業(yè)控制網(wǎng)絡(luò)中常見的三種結(jié)構(gòu)結(jié)合在一起，并分析網(wǎng)絡(luò)中存在的安全隱患。3.1 工業(yè)網(wǎng)絡(luò)的常見結(jié)構(gòu)綜合各工業(yè)企業(yè)網(wǎng)絡(luò)現(xiàn)狀，工業(yè)網(wǎng)絡(luò)通常由信息網(wǎng)、數(shù)采網(wǎng)和控制網(wǎng)組成，如圖1所示。信息網(wǎng)一般使用通用以太網(wǎng)，可以從數(shù)采網(wǎng)提

7、取有關(guān)的生產(chǎn)數(shù)據(jù)，實(shí)現(xiàn)基于生產(chǎn)過程數(shù)據(jù)的MES應(yīng)用。數(shù)采網(wǎng)主要是從控制網(wǎng)獲取數(shù)據(jù)?？刂凭W(wǎng)負(fù)責(zé)控制器、操作站及工程師站之間過程控制數(shù)據(jù)實(shí)時(shí)通訊。圖1 工業(yè)系統(tǒng)網(wǎng)絡(luò)的常見結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)圖說明：a.控制網(wǎng)由PLC、DCS和現(xiàn)場設(shè)備（Modbus RTU）構(gòu)成，分別通過三種不同的方式和數(shù)采網(wǎng)相連。其中，PLC和DCS為上層數(shù)采網(wǎng)提供OPC接口，PLC的OPC Server通過Buffer機(jī)和數(shù)采網(wǎng)相連；DCS的OPC Server直接與數(shù)采網(wǎng)相連；Modbus RTU直接和數(shù)采網(wǎng)相連，通過Modbus TCP協(xié)議和數(shù)采網(wǎng)進(jìn)行數(shù)據(jù)傳輸。b.辦公網(wǎng)中的各種基于數(shù)據(jù)庫的MES Client應(yīng)用通過MES Se

8、rver訪問數(shù)采網(wǎng)中的實(shí)時(shí)數(shù)據(jù)庫。c.伴隨各企業(yè)挖潛增效的不斷發(fā)展，先進(jìn)控制（APC）的應(yīng)用越來越廣泛。APC的調(diào)試和應(yīng)用過程中需要第三方的反復(fù)調(diào)試，經(jīng)常需要接入第三方設(shè)備，如U盤或筆記本電腦。3.2 現(xiàn)有結(jié)構(gòu)中的安全隱患a.網(wǎng)絡(luò)內(nèi)部各個(gè)層面和系統(tǒng)之間的相互感染。雖然通過Buffer數(shù)采機(jī)或OPC Server的雙網(wǎng)卡結(jié)構(gòu)對數(shù)采網(wǎng)與控制網(wǎng)進(jìn)行了隔離，部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò)，但對于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲及病毒等，這種配置并不起作用，病毒仍會在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。安裝殺毒軟件可以抑制部分病毒或攻擊，但病毒庫存在滯后問題，也不能從根本上進(jìn)行防護(hù)。b. 對關(guān)鍵

9、控制器無額外的防御措施。控制系統(tǒng)網(wǎng)絡(luò)上的PLC、DCS和RTU對現(xiàn)場實(shí)時(shí)控制來說非常有效，但就控制系統(tǒng)網(wǎng)絡(luò)連接來說它們都不是很強(qiáng)壯。 c來自工程師站和APC Server的病毒擴(kuò)散隱患。網(wǎng)絡(luò)中的工程師站和APC Server在項(xiàng)目實(shí)施階段通常需要接入第三方設(shè)備（U盤、筆記本電腦等），受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。d網(wǎng)絡(luò)攻擊事件無法追蹤。網(wǎng)絡(luò)中缺乏對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控的工具，一旦出現(xiàn)問題后，無法進(jìn)行原因查找、分析和故障點(diǎn)查詢。4 多芬諾工業(yè)控制系統(tǒng)信息安全解決方案作為信息安全管理的重要組成部分，制定滿足業(yè)務(wù)場景需求的安全策略和管理流程，是確保ICS 系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。多芬諾工

10、業(yè)控制系統(tǒng)信息安全解決方案參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標(biāo)準(zhǔn)對工業(yè)控制系統(tǒng)的安全要求，將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過控制區(qū)域間管道中的通信內(nèi)容，實(shí)施縱深防御策略，從而保障工業(yè)網(wǎng)絡(luò)的安全。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案由四部分組成：安全模塊、可裝載安全軟插件、組態(tài)管理平臺和報(bào)警管理平臺。安全模塊TSA為工業(yè)級硬件設(shè)備，安裝在受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)施前端；可裝載安全軟插件LSM是裝載到TSA中，根據(jù)系統(tǒng)安全需求，提供各種安全防護(hù)功能的一系列軟件；組態(tài)管理平臺CMP用于配置、組態(tài)和管理網(wǎng)絡(luò)中所有的TSA；

11、報(bào)警管理平臺用于管理、分析報(bào)警信息。參照ANSI/ISA-99安全標(biāo)準(zhǔn)，結(jié)合工業(yè)系統(tǒng)的安全需要，可以將圖1所示的工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為下列不同的安全區(qū)域：辦公區(qū)域、數(shù)采區(qū)域、PLC/DCS/現(xiàn)場設(shè)備RTU控制區(qū)域，同時(shí)考慮到來自工程師站的安全威脅因素以及控制器的安全防護(hù)等級要求，將工程師站和控制器劃分為兩個(gè)獨(dú)立的子區(qū)域。另外數(shù)采網(wǎng)中的APC Server受感染的幾率也較大，需進(jìn)行隔離，因此也將其劃分為一個(gè)獨(dú)立的子區(qū)域，如圖2所示。圖2 工業(yè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的區(qū)域劃分4.1 PLC和數(shù)采網(wǎng)之間的安全防護(hù)以及DCS和數(shù)采網(wǎng)之間的安全防護(hù)控制網(wǎng)中的PLC和DCS等控制系統(tǒng)對數(shù)采網(wǎng)提供的接口協(xié)議一般有DDE、

12、OPC等。在數(shù)據(jù)量大，刷新頻率快時(shí)，DDE就表現(xiàn)出不穩(wěn)定性，因此目前OPC技術(shù)已成為工業(yè)界系統(tǒng)互聯(lián)的缺省方案。但由于OPC通訊采用不固定的端口號，使用傳統(tǒng)的IT防火墻進(jìn)行防護(hù)時(shí)，不得不開放大規(guī)模范圍內(nèi)的端口號。在這種情況下，防火墻提供的安全保障被降至最低。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案通過在OPC Server和數(shù)采機(jī)Buffer或數(shù)采網(wǎng)之間增加多芬諾安全模塊，并且裝載Firewall LSM和OPC Enforcer LSM軟插件來防御各種安全威脅和攻擊，如圖3所示。圖3 PLC和數(shù)采網(wǎng)之間以及DCS和數(shù)采網(wǎng)之間的安全防護(hù)OPC Enforcer LSM能檢查、跟蹤、保護(hù)由OPC應(yīng)用程序

13、創(chuàng)建的每一次連接，僅在創(chuàng)建OPC連接的OPC Client和OPC Server間動態(tài)地打開每次連接所需要的唯一的TCP端口，從而解決了OPC通訊無法使用常規(guī)IT防火墻進(jìn)行防護(hù)帶來的安全防護(hù)瓶頸問題。同時(shí)，安全模塊TSA能阻止病毒和其它一些非法訪問，這樣來自防護(hù)區(qū)域內(nèi)的病毒感染就不會擴(kuò)散到其他網(wǎng)絡(luò)，從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。4.2 現(xiàn)場設(shè)備RTU和數(shù)采網(wǎng)之間的安全防護(hù)現(xiàn)場設(shè)備RTU和數(shù)采網(wǎng)通過Modbus TCP協(xié)議進(jìn)行數(shù)據(jù)傳輸，因此在現(xiàn)場設(shè)備RTU和數(shù)采網(wǎng)之間增加多芬諾安全模塊，同時(shí)裝載Modbus TCP Enforcer LSM軟插件，如圖4所示。圖4 現(xiàn)場設(shè)備RTU和數(shù)采網(wǎng)之間的安全

14、防護(hù)傳統(tǒng)的IT防火墻允許訪問控制列表ACL檢查一條信息的三個(gè)主要方面，即源IP、目標(biāo)IP和IP幀中“TCP目的端口號”所定義的上層協(xié)議，然后來決定是否允許該信息通過。但是沒有對協(xié)議內(nèi)容的細(xì)粒度控制，存在一些黑客可以利用的漏洞。例如，Stuxnet就大量使用了遠(yuǎn)程過程調(diào)用協(xié)議（RPC）。而西門子PCS 7控制系統(tǒng)也大量使用了基于RPC的專有信息技術(shù)。因此使用傳統(tǒng)的IT防火墻簡單地阻止所有的RPC通訊并不是一個(gè)可行的方案。Modbus TCP Enforcer LSM軟插件是首個(gè)能夠深入工業(yè)協(xié)議內(nèi)部進(jìn)行內(nèi)容檢測的產(chǎn)品?？刂乒こ處煻x允許的Modbus指令，寄存器和線圈名單列表后，Modbus TC

15、P Enforcer LSM軟插件就能自動阻止并報(bào)告任何不匹配組態(tài)規(guī)則的通訊。同時(shí)Modbus TCP Enforcer LSM軟插件也能針對非法格式的信息以及異常行為（如10,000個(gè)應(yīng)答信息都是響應(yīng)單個(gè)請求信息）對通訊進(jìn)行完整性檢查，阻止任何企圖破壞系統(tǒng)的攻擊活動，保障系統(tǒng)安全。4.3 保護(hù)關(guān)鍵控制器關(guān)鍵控制器在整個(gè)網(wǎng)絡(luò)中起著舉足輕重的作用，但是其在安全上都不是很強(qiáng)壯，一般的控制系統(tǒng)網(wǎng)絡(luò)故障，如廣播和多點(diǎn)發(fā)送信息就會使一些設(shè)備過載。在控制器前端增加多芬諾安全模塊，裝載Firewall LSM軟插件，能有效地保障關(guān)鍵控制遠(yuǎn)離網(wǎng)絡(luò)中的病毒攻擊和威脅。圖5 關(guān)鍵控制器的安全防護(hù)多芬諾工業(yè)防火墻預(yù)

16、置50多種工業(yè)通訊協(xié)議，支持幾乎所有的基于以太網(wǎng)通訊的控制器、網(wǎng)絡(luò)設(shè)備和通訊協(xié)議，包括Honeywell、Emerson、Yokogawa等。對多芬諾工業(yè)防火墻進(jìn)行規(guī)則組態(tài)時(shí)只允許制造商專有協(xié)議通過，阻擋來自操作站的任何非法訪問；另一方面可以對網(wǎng)絡(luò)通訊流量進(jìn)行管控，指定只有某個(gè)專有操作站才能訪問指定的控制器；此外還可以管控局部網(wǎng)絡(luò)的通訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響，從而避免控制器死機(jī)。4.4 隔離工程師站和APC Server越來越多的先進(jìn)控制應(yīng)用于現(xiàn)場控制，先進(jìn)控制一般由廠家提供現(xiàn)場服務(wù)，經(jīng)常使用U盤等移動介質(zhì)和第三方設(shè)備（筆記本電腦等），APC服務(wù)器感染病毒的概率較大，系統(tǒng)

17、中的工程師站也存在同樣的安全隱患。因此，在工程師站和APC Server前端增加多芬諾安全模塊，并且裝載Firewall LSM軟插件，將其單獨(dú)隔離，防止病毒擴(kuò)散，保證了網(wǎng)絡(luò)的通訊安全。圖6 隔離工程師站和APC Server4.5 組態(tài)管理平臺和報(bào)警管理平臺在數(shù)采網(wǎng)安裝多芬諾組態(tài)管理平臺CMP，用于配置、組態(tài)并統(tǒng)一管理網(wǎng)絡(luò)中所有的多芬諾工業(yè)防火墻，同時(shí)可以快速創(chuàng)建整個(gè)控制網(wǎng)絡(luò)模型，監(jiān)視整個(gè)系統(tǒng)的運(yùn)行狀態(tài)。在信息網(wǎng)安裝報(bào)警管理平臺SMP，可以集成所有來自CMP平臺的所有事件及報(bào)警信息，并可劃分等級進(jìn)行報(bào)警，通過網(wǎng)絡(luò)結(jié)構(gòu)圖人機(jī)界面實(shí)時(shí)通知相關(guān)主管人員。該平臺能夠準(zhǔn)確捕獲現(xiàn)場所有安裝防火墻的通訊信道中的攔截日志，并且詳細(xì)顯示通訊的源、目標(biāo)及通訊協(xié)議，以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時(shí)排查與分析提供可靠依據(jù)。整體的多芬諾工業(yè)控制系統(tǒng)信息安全解