北京力控华康科技有限公司
2010年10月份伊朗核电站的“震网”(Stuxnet)病毒,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了重要日程。石化行业不仅关系到企业的发展,更与我国国民经济紧密相连,作为国家的战略性新产业,石化行业的工业控制安全防护是重中之重。
在中国,自动化和信息化的融合——“两化融合”已成为一种发展趋势。其中堪称表率的当数石化行业。中国石油和化学工业联合会刚刚出版的《2011中国石油和化工行业两化融合发展报告
集》指出,信息技术应用已经融入到了石油化工行业的各个领域,两化融合基础已基本就绪,单项应用覆盖率逐步提高,行业“两化”正逐渐向深度融合方向发展。
石化行业是应用信息技术最早的行业之一。中国石油和化学工业联合会最新调研数据显示,企业规模越大,两化融合水平普遍越高。到目前,石化行业重点企业的办公自动化(OA)应用比例达到82%、财务管理系统应用比例达到95%,生产企业底层自动化比例达到93%。石化行业大中型企业生产过程已经基本实现了较高水平的自动化信息管理。同时一批专业特色明显、智能化、信息化水平较高的中小企业也在不断加入。当前国内油田涵盖勘探、开发、经营管理的全油田生产运营数字一体化集成的整体水平正接近国际水平,领先石油化工企业的信息化工作也已进入建用并重、系统集成的阶段。
石化主流控制系统主要是DCS,由DCS、PLC和SCADA等控制系统构成的控制网络,在过去几十年的发展中呈现出整体开放的趋势。
目前DCS已经进入了第四代,新一代DCS呈现的一个突出特点就是开放性的提高。过去的DCS厂商基本上是以自主开发为主,提供的系统也是自己的系统。当今的DCS厂商更强调开放系统集成性。各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。例如,多数DCS厂商自己不再开发组态软件平台,而转入采用其它专业公司的通用组态软件平台,或其它公司提供的软件平台。这一思路的转变使得现代DCS的操作站完全呈现PC化与Windows化的趋势。在新一代DCS的操作站中,几乎清一色采用PC+Windows的技术架构。
网络技术开放性体现在DCS可以从多个层面与第三方系统互联,同时支持多种网络协议。目前在与企业管理层信息平台互联时,大多采用基于TCP(UDP)/IP协议的以太网通信技术,使用OPC等开放接口标准。
工业控制网络的外联和开放,使其遭受恶意攻击、病毒入侵和信息泄露的风险加大,工业控制系统面临的安全严峻日益严峻。
石化企业普遍采用基于ERP/SCM、MES和PCS三层架构的的管控一体化信息模型,MES处于企业信息系统ERP/SCM和过程控制系统的中间位置。MES系统在整个信息系统中主要担当了两个方面的重要作用:一是数据双向通道的作用。即通过MES系统的实施,可以有效弥补企业PCS层及ERP/SCM层之间的数据间隙,由下至上,通过对底层PCS层数据的搜集、存储及校正,建立过程控制数据层次上的数字化工厂,结合生产调度层次上的调度事件信息数据等,为上层ERP/SCM计划管理层提供准确统一的生产数据;由上至下,通过对实时生产数据的总结,上层ERP/SCM层可以根据未来订单及现阶段生产状况调整生产计划,下发MES层进行计划的分解及产生调度指令,有效指导企业生产活动。因此,MES系统在数据层面上,起到了沟通PCS层和ERP/SCM层的桥梁作用,并保证了生产数据、调度事件等信息的一致性及准确性。
图1 网络结构示意图
企业出口由于对通讯速率及带宽的需求,采用IT防火墙进行网络边界防护,通过策略制定,保障企业办公网络用户对互联网资源的合法访问,以及阻止来自互联网未经授权对企业办公网络的非法访问。
“两化融合”和物联网的发展使得TCP/IP、OPC等通用协议及通用的交换路由设备被越来越广泛地应用在工业控制网络中,随之而来的漏洞威胁也日益突出。表现为:
(1)缺乏对用户身份的鉴别;
(2)缺乏对路由协议的鉴别认证;
(3)TCP/UDP自身缺陷。
OPC Classic 协议(OPC DA, OPC HAD 和OPC A&E) 基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC 通讯采用不固定的端口号,导致目前几乎无法使用传统的IT 防火墙来确保其安全性。因此必须使用有效专用的工业协议管控设备,确保使用OPC 等通讯协议的工业控制系统的安全性和可靠性。
“两化”融合的推进和以太网技术在工业控制系统中的大量应用,使工业控制系统产品越来越多越多地采用通用协议,市场上具有以太网接口和TCP/IP协议的工控设备日益增多。然而,传统工业控制系统采用专用的硬件、软件和通信协议,设计基本没有考虑互联互通所必须考虑的通信安全问题。企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能,因此在工控系统开放的同时,也减弱了控制系统与外界的隔离,使控制系统的安全面临更加严峻的考验,尤其是来自Internet和工厂管理信息网络的黑客攻击、信息阻塞、病毒,严重威胁工业控制网络的安全导致控制网络的工作异常或瘫痪,使控制系统运行速度下降或控制器处于失控状态,严重威胁装置的生产安全。
DCS、SCADA等生产控制系统逐渐与互联网或办公网直接或间接地互联互通,这给黑客透过互联网破坏石油、石化生产装置提供了可能的机会。
有关安全专家已经开始预警,未来恐怖分子和其他犯罪分子会利用新发现的软件安全漏洞对联合站、输油管道、电站等基础设施进行大规模攻击,而DCS、SCADA等自动控制系统正是他们所要攻击的目标。
某石化企业为了适用不断变化的市场需求,及时调整生产策略,也为了便于全厂生产的统一调度、加强企业内部管理,在其二分厂率先实践了PIMS生产管理系统。该厂有2套控制系统,全部采用浙大中控的大型DCS系统ECS-100。该PIMS需要集成的DCS点数多达一万点,并完全通过Web方式实现:生产实时数据的管理、实时流程查看、实时趋势浏览、报警的记录与查看、开关量变位的记录与查看、历史趋势查看、生产过程报表生成、生产统计报表生成等功能。
图2 纵深防御结构图
该PIMS系统的结构分为三层,自下而上依次为:过程控制层、工厂管理层、企业管理层。其中企业管理层完成管理者和各职能科室生产管理报表生成的任务;工厂管理层完成各职能科室实时监控的任务,它对下连接现场控制层,对上通过网络连接企业管理层,它不仅负责现场控制设备的实时数据采集,而且在系统中起到上传下达的重要作用;过程控制层由DCS、PLC、智能仪表等控制器组成,是整个生产管理系统的基础。
该厂出于安全因素考虑,将其DCS的运行网络划分为单独的生产控制网络,相对封闭,与总厂的管理信息网络完全分开。而PIMS系统需要实现这两个网络的互通、互联,以满足PIMS对DCS数据的采集。
由于该企业为上市企业,面向东南亚的国际贸易业务往来频繁,所以其总厂的管理信息网络都是面向互联网开放的商业网络,如果直接实现与DCS控制网络的连通,商业网络本身存在的各种安全隐患将直接威胁到控制网络的安全。特别是随着网络攻击复杂性的增加,即使在两个网络边界中间使用传统的网络防火墙产品和攻击检测技术,也已经难于保护网络的安全。因为现代网络安全威胁来自于商业网络的各个层面,并且更多的是来自于网络数据流量的应用数据部分,这一特性决定了仅使用防火墙或入侵检测系统,依靠检查数据包的头部,已经越来越难发现诸如病毒、蠕虫、后门程序等高级复杂的网络安全风险。在很多成功的攻击案例中,黑客可以很快了解到网络在应用数据层面的安全漏洞,从而迅速使用后门、木马、蠕虫或者其它攻击行为,对控制网络造成不同程度的损害。
参照ANSI/ISA-99 标准,同时结合石化的具体情况将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”策略,如图2所示。
在工业控制网络同企业管理网络之间采用必要的安全隔离设备,保证工业控制网络同企业管理网络之间隔离,安全隔离设备通过物理隔离和安全通道隔离,将以太网进行物理级安全隔离,安全通道隔离即通过专用通信硬件和私有不可路由协议等安全机制来实现内外部网络的隔离和数据交换,有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换。
管理网络与信息网络及控制网络内部OPC Server等服务器,与DCS控制系统及控制设备之间,可通过对工业协议的深度过滤从而确保管理网络及DCS系统及控制设备的安全。
在工业网络布署ISC工业漏洞扫描系统,定期对工业网络设备、系统及PLC等控制设备进行安全检测,让安全管理人员及时了解工业网络安全和运行的应用服务情况,及时发现安全漏洞,更新漏洞补丁,从而避免因此而带来的风险威胁。
图3 安全系统拓扑图
为了从根本上解决DCS控制网络的安全可靠运行,力控华康在该PIMS系统中加入工业隔离网关pSafetyLink作为DCS控制网络的安全防护装置。
力控华康工业隔离网关pSafetyLink是专为工业网络应用设计的安全防护装置,用于解决工业SCADA控制网络如何安全接入信息网络(外网)的问题。它与防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接,只完成特定工业应用数据的交换。由于没有了网络的连接,攻击就没有了载体,如同网络的“物理隔离”。由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的彻底阻断,入侵检测等监控系统也不能保证入侵行为完全被捕获,所以最安全的方式就是物理的分开。
pSafetyLink通过内部的双独立主机系统,分别接入到控制网络和信息网络,双主机之间通过专用硬件装置连接,从物理层上断开了控制网络和信息网络的直接网络连接。同时pSafetyLink通过内嵌的高性能OPC通信软件,很好地解决了PIMS通过OPC接口采集DCS数据的通信问题。另外,由于隔离网关内部完全实现了通信协议的接口服务,因此可以实现针对测点一级的访问控制。例如:对于OPC可以控制到Item(项)一级的访问权限控制,通过设置为只读属性方式保证PIMS对DCS数据的访问是单向的,禁止数据回置操作。安全系统拓扑图如图3所示。
基于网络隔离技术的网络隔离产品是互联网时代的产物。最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在我国,最初的应用也主要集中在政府、军队等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。国内的网络隔离产品也由此应运而生。
由于是应用在可能涉及国家安全的关键场合,为了统一规范网络隔离类的技术标准,国家质量监督检验总局及国家标准化管理委员及早制定了相应的国家标准,目前最新国标为GB/T 20279-2006和GB/T 20277-2006。
随着以电力为首的工业行业对网络安全提出了更高要求后,网络隔离产品也开始在工业领域逐渐得到应用。目前,已经在工业领域用于控制网络安全防护的网络隔离产品主要有网闸、安全隔离网关、工业防火墙、工业网络安全防护网关等产品。这些产品大部分都是基于最新的第五代隔离技术开发出来了,其主要的技术原理是从OSI模型的七层上全面断开网络连接,同时采用“2+1”的三模块架构,即内置有两个主机系统,和一个用于建立安全通道可交换数据的隔离单元。这种架构可以实现连接到外网和内网的两主机之间是完全网络断开的,从物理上进行了网络隔离,消除了数据链路的通信协议,剥离了TCP/IP协议,剥离了应用协议,在安全交换后进行了协议的恢复和重建。通过TCP/IP协议剥离和重建技术消除了TCP/IP协议的漏洞。在应用层对应用协议进行剥离和重建,消除了应用协议漏洞,并可针对应用协议实现一些细粒度的访问控制。从TCP/IP的OSI数据模型的所有七层断开后,就可以消除目前TCP/IP存在的所有攻击。
近年来,我国石化企业发展迅猛,企业的改扩建项目也越来越多,企业可以通过先进石化工艺技术的应用,安全生产管理的加强、安全防护产品的保护以及安全策略的制定,来进一步加强石化企业的安全水平。