赵宏世
(中国神华煤制油化工有限公司鄂尔多斯煤制油分公司,内蒙古 鄂尔多斯 017209)
数据采集与监控系统(SCADA)、可编程逻辑控制器(PLC)及分散控制系统(DCS)等工业控制系统(ICS)被广泛应用于化工生产、油气输送、发电以及冶金等工业生产领域。传统的工业控制系统主要依赖于技术隐秘、网络独立等措施,来保证系统的安全性。随着计算机和网络技术的快速发展,信息化与工业化深度融合,对工业控制系统的兼容性要求也越来越高。通过采用通用硬件和通用软件实现工业控制系统对外开放,使众多品牌的工业控制系统之间能够相互通信,并与企业信息网互连。目前,大多数工业控制系统的通信技术是在商用操作系统基础上开发的,通信应用中存在许多漏洞。当工业控制系统与公共网络互连时,黑客就会利用这些漏洞对工业控制系统进行攻击[1]。
2010年6月出现的“Stuxnet”病毒,是一个针对工业控制系统的破坏性病毒。该病毒通过U盘和局域网进行传播,利用微软Windows操作系统和西门子SIMATIC WinCC系统的漏洞,对西门子公司生产的工业控制系统进行破坏性攻击。因受到“Stuxnet”病毒的攻击,伊朗布什尔核电站不得不延期运行[2]。
2011年11月美国计算机应急响应小组公布了施耐德Modicon Quantum系列PLC存在安全漏洞。该系列PLC的Modbus协议功能码90(0x5A)作为用户保留的功能扩展编码段,此功能码具有程序上传、下载和启停PLC的高级权限。但是存在多项网络端口和服务漏洞,默认开放的网络端口为攻击者提供了通道。
2012年4月罗杰康(RvuggedCom)公司公开承认其产品存在后门账户。该公司生产的工业交换机、路由器等网络设备,都有预置名为“factory”的后门账户。该账户不能被修改,也不能被禁用,通过该账户可以修改网络配置,造成网络通信中断或系统瘫痪。
没有网络互连就不用采用隔离技术,不需要进行数据交换的网络隔离技术也很容易实现,只要将网络完全断开,互不联机即可。但是,需要数据交换的网络隔离却不容易实现,网络隔离技术是在需要数据交换和资源共享的情况下出现的。面对新型网络攻击手段的不断出现和工业控制网络的高安全性要求,网络隔离技术应运而生。网络隔离技术从逻辑隔离和物理隔离两方面开展,目的是将威胁工业控制系统安全的木马、病毒和攻击隔离在工业控制系统之外,并完成网络间的数据交换。
防火墙(Firewall)主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙隔离是在内部网络和外部网络之间通过控制进出网络的信息流向和信息包,提供使用流量的日志和审计及隐藏内部IP地址与网络结构等措施,来保护内部网络免受非法用户的侵入。采用防火墙隔离技术并结合入侵检测、防病毒等技术组合,能够有效隔绝来自外部网络的威胁。
安全隔离网闸简称为网闸(GAP),最早在国外军方使用,以解决涉密网络与公共网络连接时的安全问题。随着我国电子政务的蓬勃发展,为了满足高安全网络与低安全网络进行安全数据交换的需要,国内也研制出了安全隔离网闸。安全隔离网闸一般由内网处理单元、外网处理单元、隔离与数据交换单元3个部分组成,为2+1的主机架构。3个单元都采用非通用的操作系统,内网处理单元和外网处理单元使用不同操作系统,以增加安全性。当数据交换单元不同时,与内、外网处理单元连接,通过数据摆渡完成数据交换。使用安全隔离网闸技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。
通过防火墙、安全隔离网闸等隔离设备,再配置相关的防护软件,基本实现了将网络安全威胁隔离在工业控制系统之外,并能完成网络间的数据安全交换。但是,防火墙技术始终处于“被动防御”状态,只有不断升级软件和硬件,才能防止已知病毒和常规攻击,而对未知病毒没有防御能力。安全隔离网闸技术具有数据双向传输的特性,数据双向传输对工业控制系统来说还存在一定的风险。
工业控制系统与企业信息网连接的目的是将生产过程数据发送到企业信息网,向是单向数据流。如果能切断企业信息网到工业控制系统的通路,只允许工业控制系统向企业信息网单向数据传递,就能形成物理上的绝对隔离。在安全隔离网闸双向传输的基础上通过修改电路和增加时钟开关控制,实现数据的单向写入和单向读出,诞生了单向隔离网闸技术。使用单向隔离网闸只有从工业控制系统向企业信息网传输数据的单向通道,没有反向通道,也就掐断了病毒入侵和黑客攻击的通道[3]。
基于电气隔离的单向隔离网闸,由程序控制数据单向写入、单向读出依然存在被人为篡改导致单向隔离失效的危险。为了克服电气隔离的不足,又出现了利用光单向传输特性的网络安全隔离技术——单向隔离光闸技术。单向隔离光闸简称光闸,由内网单元、外网单元和光单向传输单元3个部分组成。内网单元和外网单元分别连接内网和外网,光单向传输单元一端接收内网单元的电信号并转换成光信号发送出去;另一端接收光信号并转换成电信号发送到外网单元,没有反向光传输路径,保证了数据绝对单向传输。这种单向隔离光闸技术更适合用于工业控制系统与外网的隔离。
鄂尔多斯煤制油分公司原设计的DCS系统是Honeywell Experion PKS系统R210版本,控制部分采用C200控制器带PMIO。Experion PKS系统以过程控制为基础,集成有工厂资产管理及流程管理等信息管理平台,为企业提供了管控一体化的过程控制系统。Experion PKS系统使用了工业以太网、Windows 2000操作系统、PC服务器及PC终端等通用硬件和通用软件,不需要额外的协议转换设备就可以直接接入上层管理网[4],是一个典型的开放系统。开放的DCS系统在给用户带来便利的同时,也带来了安全隐患。
原设计按照DCS系统网络独立设置原则,在每一个控制室设置了一个独立的过程控制网络。Experion PKS系统的控制网络是容错以太网(Fault Tolerant Ethernet,FTE),容错以太网是在商用以太网技术的基础上结合Honeywell网络控制策略的工业以太网。其拓扑结构是顶部连接在一起的双重并行树形网络结构,是冗余网络结构(物理)的单网(逻辑)。FTE包含两层,第一层为控制层,第二层为操作层,均由冗余的交换机和通信电缆构成。服务器、操作站及控制器等为FTE节点,安装有FTE软件和双网络接口卡,同时连接到两个树网中,FTE节点之间有4条路径,如图1所示。路径1:操作站→交换机A→交换机A1→控制器。路径2:操作站→交换机B→交换机B1→控制器。路径3:操作站→交换机A→级联线C→交换机B→交换机B1→控制器。路径4:操作站→交换机B→级联线C→交换机A→交换机A1→控制器。FTE网络为系统提供了多路由选择和最佳路径选择,既可容错单故障点,还可容错多故障点,并具有容错链路的快速切换功能。FTE还支持普通以太网节点和标准的TCP/IP应用。
图1 FTE两层网络结构
各装置投产后,为了满足生产调度需要,在过程控制网络的基础上又设计了Experion PKS系统的第三层——生产管理层。将各控制室的DCS系统通过光纤连接到生产管理网,全公司组成了一个Experion PKS系统大网络。在生产管理网配置了PKS工作站、PKS服务器、过程历史数据(PHD)服务器、PHD缓存服务器、WPKS服务器、防病毒服务器和域控服务器,组成了生产管理控制中心(PMCC),如图2所示。
图2 Experion PKS系统三层网络结构
PMCC也是全公司的生产调度指挥中心,其单元功能分别为:
a. PKS工作站为生产管理人员提供监视画面和生产报表。
b. PKS服务器配置分布式系统结构(Distributed System Architecture,DSA)软件,收集各控制室内过程控制网络的数据并完成与各工作站的数据通信,为各工作站提供画面的实时数据。
c. PHD服务器具有数据存储与管理功能,提供历史数据查询。
d. PHD缓存服务器采集生产过程实时数据发送给PHD服务器。
e. WPKS服务器支持Web服务可使用网页浏览器。
f. 防病毒服务器作为专用的病毒查杀服务器只安装杀毒软件,用于消除恶意软件、特洛伊木马和电脑病毒。杀毒软件集成监控识别、病毒扫描及清除等功能,是计算机防御系统的重要组成部分。在生产管理网各计算机节点上安装杀毒软件的客户端,防病毒服务器的杀毒软件升级后,各客户端将会自动去寻找防病毒服务器进行杀毒软件自动升级[5]。
g. 域控服务器管理生产管理网内所有账户并保证安全策略得以实施,对域内用户的权限进行合理分配,使各用户不能对硬件设备进行添加和删除,不能对程序进行安装和卸载,也不能对系统进行启动和关闭,只能操作一些已经安装的应用程序,有利于降低误操作造成的系统故障[6]。域控服务器安装的准入系统与交换机相互合作,防止非授权计算机进入该域网络。通过域控服务器和防病毒服务器对生产管理层实施防护,能够有效保护过程控制网络。
在试生产过程中,曾多次出现操作站画面调用缓慢和操作站通信中断故障。通信中断时间短的有两分钟,最长的一次网络时通、时断持续了五个多小时。通过病毒查杀,只在一台服务器上查出U盘插入电脑自动运行的“W32/RJump.Worm”病毒。根据故障现象分析,造成网络中断的原因,可能是由于DCS网络过于庞大、一些硬件配置不合理,或是操作层上的某台设备网线虚接不断发包造成交换机负荷过大、网络通信堵塞[7]。针对DCS网络通信问题,采取以下技术措施:
a. 重新规划FTE网络,将FTE网络横向分段。虽然FTE网络可最多支持200个FTE节点和200个普通以太网联节点。但是,网络过大,交换机的负荷大、通信速度下降,网络节点,多出现故障的几率高,一旦网络出现故障影响的范围也大。按照每个生产单元划分一个FTE网段的原则,将一个FTE大网络划分为几个FTE小网段,通过网络分段降低了FTE网络负荷,同时也缩小了FTE网络故障的影响范围。
b. FTE网络的第一层交换机改用C300控制器专用的防火墙,使控制层和操作层网络隔离,只允许与控制器有关的信息通过,限制广播流量,防止广播风暴。控制器同时升级为C300。软件也要相应升级,Experion PKS系统软件升级到R310版本,服务器操作系统软件升级到Windows Server 2003,操作站操作系统软件升级到Windows XP。
c. 在过程控制网与生产管理网之间增加路由器进行隔离,在路由器上部署智能服务、速率限制、访问控制列表及组播管理等安全策略。使FTE网络与生产管理网络之间隔离,增强系统的纵深防御功能[8],并完成控制室内各FTE网段之间的数据交换。
利用KVM延长器,将操作人员与DCS系统的电脑主机隔离。将服务器、工程师站、操作站和生产管理系统层的电脑主机安装在各DCS机柜间内,通过KVM延长器,实现主机与键盘、显示器、鼠标的远距离连接。使操作人员只能操作键盘和鼠标,观看显示器上的画面,接触不到DCS系统的电脑主机。人/机隔离,隔绝了人为使用U盘、光盘等移动存储设备带入病毒的途径。
由于企业管理和发展的需要,鄂尔多斯煤制油分公司开始建设企业资源计划管理系统(ERP)和制造执行系统(MES)。DCS数据作为MES系统的基础数据,需要DCS系统与企业信息网连接。DCS系统不再是一个独立运行的系统,要与企业信息系统甚至互联网进行互通、互联。将DCS系统直接暴露于公共网络之中,面临更多的危险。MES系统是Experion PKS系统的第四层,为了保证DCS系统安全,需要增加DCS网络的边界防护,以降低由企业信息网引入的安全风险。在Experion PKS系统的第三层和第四层网络之间增加了隔离区(DMZ)。
按照Honeywell Experion PKS的系统架构,隔离区由工业防火墙和镜像服务器构成。DCS系统通过工业防火墙连接到PHD镜像服务器,再通过PHD镜像服务器连接到企业信息网,PHD服务器的数据通过工业防火墙发送到PHD镜像服务器并实现数据相对同步,PHD镜像服务器对企业信息网开放,其系统网络结构如图3所示。
由于防火墙具有数据双向传输的特性,因此防火墙和镜像服务器组成的隔离区技术,也同样存在黑客穿过隔离区攻击DCS系统的危险[9]。而且,2014年4月8日以后微软公司停止对Windows XP系统的技术支持服务,不再提供更新补丁修补系统漏洞[10]。黑客很可能利用系统漏洞对DCS系统进行攻击。DCS与MES之间只需要数据从DCS流向MES的单一信息流向,不需要反向流。为了确保DCS系统安全、稳定运行,技术人员决定用单向隔离网闸替换工业防火墙。DCS系统通过单向隔离网闸连接到PHD镜像服务器,PHD镜像服务器连接到企业信息网,将PHD服务器的数据单向传送到PHD镜像服务器并对企业信息网开放。企业信息管理系统只能读取PHD镜像服务器上的数据,不能访问DCS系统内部设备,即使黑客攻击了镜像服务器,也无法逆向穿过单向隔离网闸进入DCS系统。单向隔离网闸具有数据单向传输的特性,能够完全隔离来自工业控制系统外部的网络威胁[11]。
图3 Experion PKS系统四层网络架构
据统计,来自企业外网的威胁只占20%,来自企业内部的威胁高达80%。为了实现工业控制系统安全可靠运行,一方面要防止来自外部网络的病毒、木马和黑客攻击;另一方面还要防止来自工业控制系统内部的病毒带入和传播[12]。在实施网络安全防护技术的基础上,加强工业控制系统的安全管理和漏洞堵塞,防止病毒带入也是不可缺少的。为此,制定了DCS系统安全运行管理的相关规定:
a. 禁止U盘及手机等移动存储设备与DCS计算机连接;
b. 在服务器和操作站的注册表中关闭USB口,USB接口外部加铅封,启用的USB口用过后要重新关闭并进行铅封;
c. 拷贝过程数据时,要有审批单和授权,只允许在指定操作站上使用光盘刻录机刻制光盘,不允许使用其他移动存储介质复制数据;
d. 为每台服务器配备两块专用移动硬盘,备份两份系统数据库,异地保存并及时更新,同时不允许移动硬盘交叉使用;
e. 使用DCS制造商认证的补丁软件光盘,离线打补丁,禁止使用网上下载的补丁软件和在线打补丁操作;
f. 使用DCS制造商认证的病毒查杀光盘,离线病毒查杀,禁止使用网上下载的杀病毒软件和在线病毒查杀;
g. 利用装置大检修时间,将所有操作站、工程师站和服务器离线,统一进行病毒查杀和打补丁,确定没有病毒后,再恢复网络连接,病毒查杀后防病毒软件要卸载,以免影响DCS系统正常运行;
h. 工程师站和服务器的密码定期更换,防止密码泄露,DCS机柜间和机柜门上锁,钥匙由专人保管;
i. 用于DCS组态的笔记本电脑,不准连接企业管理网或外网,也不准安装其他软件或用于其他控制系统组态,必须“专本专用”;
j. 委托DCS制造商定期对系统进行安全测试和评估,发现问题及时处理;
k. DCS制造商的技术人员现场服务时应使用系统配置的专用笔记本电脑,如果使用自带的笔记本电脑必须经过安全确认才可以连接系统,工作时必须有本公司的DCS系统维护人员监护;
l. 企业管理用的电脑远离工业控制系统安装,避免安装距离太近网线接错,造成DCS网络直接连到企业管理网或非授权设备接入DCS系统;
m. 指派有系统维护经验的工程师专职负责DCS的安全工作。
鄂尔多斯煤制油分公司DCS系统通过实施网络横向分段和纵向分层隔离、防病毒及域控制等综合防护措施,有效防止了DCS系统内部的病毒带入和传播。通过网络边界防护,采用隔离区和单向隔离网闸技术,隔绝了来自外部网络的威胁。并结合安全管理措施,实现了工业控制系统安全稳定运行的目标。