伴隨兩化融合和物聯網的快速發展，我國關鍵性基礎設施和能源行業廣泛使用的SCADA、DCS、PLC等工業控制系統越來越多地采用計算機和網絡技術，如Ethernet、TCP/IP以及OPC等，極大地推動了工業生產，但同時也使工業控制系統接口越來越開放，控制系統面臨的信息安全問題也日益嚴重。
      

       2010年10月，肆虐伊朗的Stuxnet病毒造成伊朗布什爾核電站推遲發電。事件經媒體披露后迅速引發了各國政府與安全機構的廣泛關注。Stuxnet病毒通過移動介質、西門子項目文件等方式進行傳播，可以說是計算機病毒界革命性創新，“工業病毒”時代已經來臨。為此工信部協[2011]451號文件明確指出要切實加強工業控制系統信息安全管理。

1 工業網絡信息安全現狀分析

       二十世紀九十年代以前的大多數控制系統一般都采用專用的硬件、軟件和通信協議，有自己獨立的操作系統，系統之間的互聯要求也不高，因此幾乎不存在網絡安全風險。
      

       多年來企業更多關注的是管理網絡的安全問題，許多企業對控制系統安全存在認識上的誤區：認為控制系統沒有直接連接互聯網、黑客或病毒不了解控制系統，無法攻擊控制系統，因此控制系統是安全的。而實際情況是，企業的許多控制網絡都是“敞開的”，系統之間沒有有效的隔離。同時黑客和病毒的入侵途徑又是多種多樣的，因此盡管企業網內部安裝了一些網絡安全防護產品，施行了各類網絡安全技術，但隨著信息化的推動和工業化進程的加速，工廠信息網絡、移動存儲介質、因特網以及其它因素導致的信息安全問題正逐漸向控制系統擴散，直接影響了工廠生產控制的穩定與安全^[1]。近幾年來，國內、外許多企業的DCS控制系統已經有中病毒或遭黑客攻擊的現象，給安全生產帶來了極大的隱患。

2 工業網絡的信息安全漏洞

        信息化時代的來臨使工業控制系統暴漏出一些信息安全漏洞。

2.1  通信協議漏洞

        兩化融合和物聯網的發展使得OPC協議等通用協議越來越廣泛地應用在工業控制網絡中，隨之而來的通信協議漏洞問題也日益突出。例如，OPC Classic協議基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊。

2.2  操作系統漏洞

        目前大多數工業控制系統的工程師站/操作站/HMI都是Windows平臺的，為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，現場工程師在系統開車后通常不會對Windows平臺安裝任何補丁，從而埋下安全隱患。

2.3  安全策略和管理流程漏洞

       追求可用性而犧牲安全，是很多工業控制系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給工業控制系統信息安全帶來了一定的威脅。例如工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

2.4  殺毒軟件漏洞

       為了保證工控應用軟件的可用性，許多工控系統操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒軟件的病毒庫需要不定期的經常更新，這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

2.5  應用軟件漏洞

       由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題；另外當應用軟件面向網絡應用時，就必須開放其應用端口。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想^[2]。

3 工業控制網絡的常見拓撲結構和安全隱患分析

        為了更全面的說明問題，本文將工業控制網絡中常見的三種結構結合在一起，并分析網絡中存在的安全隱患。

3.1  工業網絡的常見結構

       綜合各工業企業網絡現狀，工業網絡通常由信息網、數采網和控制網組成，如圖1所示。信息網一般使用通用以太網，可以從數采網提取有關的生產數據，實現基于生產過程數據的MES應用。數采網主要是從控制網獲取數據。控制網負責控制器、操作站及工程師站之間過程控制數據實時通訊。

網絡結構圖說明：

        a.控制網由PLC、DCS和現場設備（Modbus RTU）構成，分別通過三種不同的方式和數采網相連。其中，PLC和DCS為上層數采網提供OPC接口，PLC的OPC Server通過Buffer機和數采網相連；DCS的OPC Server直接與數采網相連；Modbus RTU直接和數采網相連，通過Modbus TCP協議和數采網進行數據傳輸。
b.辦公網中的各種基于數據庫的MES Client應用通過MES Server訪問數采網中的實時數據庫。
c.伴隨各企業挖潛增效的不斷發展，先進控制（APC）的應用越來越廣泛。APC的調試和應用過程中需要第三方的反復調試，經常需要接入第三方設備，如U盤或筆記本電腦。

3.2  現有結構中的安全隱患

       a.網絡內部各個層面和系統之間的相互感染。雖然通過Buffer數采機或OPC Server的雙網卡結構對數采網與控制網進行了隔離，部分惡意程序不能直接攻擊到控制網絡，但對于能夠利用 Windows 系統漏洞的網絡蠕蟲及病毒等，這種配置并不起作用，病毒仍會在數采網和控制網之間互相傳播。安裝殺毒軟件可以抑制部分病毒或攻擊，但病毒庫存在滯后問題，也不能從根本上進行防護。

        b. 對關鍵控制器無額外的防御措施。控制系統網絡上的PLC、DCS和RTU對現場實時控制來說非常有效，但就控制系統網絡連接來說它們都不是很強壯。 

        c．來自工程師站和APC Server的病毒擴散隱患。網絡中的工程師站和APC Server在項目實施階段通常需要接入第三方設備（U盤、筆記本電腦等），受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。

        d．網絡攻擊事件無法追蹤。網絡中缺乏對網絡進行實時監控的工具，一旦出現問題后，無法進行原因查找、分析和故障點查詢。

4 多芬諾工業控制系統信息安全解決方案

       作為信息安全管理的重要組成部分，制定滿足業務場景需求的安全策略和管理流程，是確保ICS 系統穩定運行的基礎。多芬諾工業控制系統信息安全解決方案參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標準對工業控制系統的安全要求，將具有相同功能和安全要求的控制設備劃分到同一區域，區域之間執行管道通信，通過控制區域間管道中的通信內容，實施縱深防御策略，從而保障工業網絡的安全。
       

       多芬諾工業控制系統信息安全解決方案由四部分組成：安全模塊、可裝載安全軟插件、組態管理平臺和報警管理平臺。安全模塊TSA為工業級硬件設備，安裝在受保護的區域或控制器等關鍵設施前端；可裝載安全軟插件LSM是裝載到TSA中，根據系統安全需求，提供各種安全防護功能的一系列軟件；組態管理平臺CMP用于配置、組態和管理網絡中所有的TSA；報警管理平臺用于管理、分析報警信息。
       

       參照ANSI/ISA-99安全標準，結合工業系統的安全需要，可以將圖1所示的工業系統網絡劃分為下列不同的安全區域：辦公區域、數采區域、PLC/DCS/現場設備RTU控制區域，同時考慮到來自工程師站的安全威脅因素以及控制器的安全防護等級要求，將工程師站和控制器劃分為兩個獨立的子區域。另外數采網中的APC Server受感染的幾率也較大，需進行隔離，因此也將其劃分為一個獨立的子區域，如圖2所示。

4.1 PLC和數采網之間的安全防護以及DCS和數采網之間的安全防護

       控制網中的PLC和DCS等控制系統對數采網提供的接口協議一般有DDE、OPC等。在數據量大，刷新頻率快時，DDE就表現出不穩定性，因此目前OPC技術已成為工業界系統互聯的缺省方案。但由于OPC通訊采用不固定的端口號，使用傳統的IT防火墻進行防護時，不得不開放大規模范圍內的端口號。在這種情況下，防火墻提供的安全保障被降至最低。

       多芬諾工業控制系統信息安全解決方案通過在OPC Server和數采機Buffer或數采網之間增加多芬諾安全模塊，并且裝載Firewall LSM和OPC Enforcer LSM軟插件來防御各種安全威脅和攻擊，如圖3所示。

        OPC Enforcer LSM能檢查、跟蹤、保護由OPC應用程序創建的每一次連接，僅在創建OPC連接的OPC Client和OPC Server間動態地打開每次連接所需要的唯一的TCP端口，從而解決了OPC通訊無法使用常規IT防火墻進行防護帶來的安全防護瓶頸問題。同時，安全模塊TSA能阻止病毒和其它一些非法訪問，這樣來自防護區域內的病毒感染就不會擴散到其他網絡，從本質上保證了網絡通訊安全。

4.2 現場設備RTU和數采網之間的安全防護

       現場設備RTU和數采網通過Modbus TCP協議進行數據傳輸，因此在現場設備RTU和數采網之間增加多芬諾安全模塊，同時裝載Modbus TCP Enforcer LSM軟插件，如圖4所示。

       傳統的IT防火墻允許訪問控制列表ACL檢查一條信息的三個主要方面，即源IP、目標IP和IP幀中“TCP目的端口號”所定義的上層協議，然后來決定是否允許該信息通過。但是沒有對協議內容的細粒度控制，存在一些黑客可以利用的漏洞。例如，Stuxnet就大量使用了遠程過程調用協議（RPC）。而西門子PCS 7控制系統也大量使用了基于RPC的專有信息技術。因此使用傳統的IT防火墻簡單地阻止所有的RPC通訊并不是一個可行的方案。

      Modbus TCP Enforcer LSM軟插件是首個能夠深入工業協議內部進行內容檢測的產品。控制工程師定義允許的Modbus指令，寄存器和線圈名單列表后，Modbus TCP Enforcer LSM軟插件就能自動阻止并報告任何不匹配組態規則的通訊。同時Modbus TCP Enforcer LSM軟插件也能針對非法格式的信息以及異常行為（如10,000個應答信息都是響應單個請求信息）對通訊進行完整性檢查，阻止任何企圖破壞系統的攻擊活動，保障系統安全。

4.3 保護關鍵控制器

       關鍵控制器在整個網絡中起著舉足輕重的作用，但是其在安全上都不是很強壯，一般的控制系統網絡故障，如廣播和多點發送信息就會使一些設備過載。在控制器前端增加多芬諾安全模塊，裝載Firewall LSM軟插件，能有效地保障關鍵控制遠離網絡中的病毒攻擊和威脅。

       多芬諾工業防火墻預置50多種工業通訊協議，支持幾乎所有的基于以太網通訊的控制器、網絡設備和通訊協議，包括Honeywell、Emerson、Yokogawa等。對多芬諾工業防火墻進行規則組態時只允許制造商專有協議通過，阻擋來自操作站的任何非法訪問；另一方面可以對網絡通訊流量進行管控，指定只有某個專有操作站才能訪問指定的控制器；此外還可以管控局部網絡的通訊速率，防止控制器遭受網絡風暴及其它攻擊的影響，從而避免控制器死機。

4.4 隔離工程師站和APC Server

       越來越多的先進控制應用于現場控制，先進控制一般由廠家提供現場服務，經常使用U盤等移動介質和第三方設備（筆記本電腦等），APC服務器感染病毒的概率較大，系統中的工程師站也存在同樣的安全隱患。因此，在工程師站和APC Server前端增加多芬諾安全模塊，并且裝載Firewall LSM軟插件，將其單獨隔離，防止病毒擴散，保證了網絡的通訊安全。

4.5 組態管理平臺和報警管理平臺

       在數采網安裝多芬諾組態管理平臺CMP，用于配置、組態并統一管理網絡中所有的多芬諾工業防火墻，同時可以快速創建整個控制網絡模型，監視整個系統的運行狀態。
在信息網安裝報警管理平臺SMP，可以集成所有來自CMP平臺的所有事件及報警信息，并可劃分等級進行報警，通過網絡結構圖人機界面實時通知相關主管人員。該平臺能夠準確捕獲現場所有安裝防火墻的通訊信道中的攔截日志，并且詳細顯示通訊的源、目標及通訊協議，以總攬大局的方式為工廠網絡故障的及時排查與分析提供可靠依據。

整體的多芬諾工業控制系統信息安全解決方案如圖7所示。

5 總結

       采用以太網和TCP/IP協議作為最主要的通訊協議和手段，向網絡化、標準化、開放化發展是各種工業通訊和自動化控制系統技術的主要潮流，工業網絡信息安全問題已迫在眉睫。多芬諾工業控制系統信息安全解決方案遵循以區域及管道保護網絡為核心的通訊原則，并采用集中安全管理監控的管理方式，對企業內控制系統進行深入分析，實施全面、有針對性的防護策略，實現工業網絡安全防護的三大目標：區域隔離、通信管控和實時報警，從而全方位地保障工業控制網絡遠離各種內部威脅和外部攻擊。