徐思宇,张志海,张 新,蒋林海,刘自强
(唐山三友化工股份有限公司,河北 唐山 063305)
工业控制系统的信息安全,与国民经济发展、社会安宁稳定乃至国家安全息息相关。随着工业领域自动控制水平的不断提升,生产系统信息化、智能化的不断普及,企业越来越需要从生产控制层获取相关数据来指导并制定战略决策,打破工业控制系统长久以来的封闭状态,和企业局域网甚至互联网实现了互通。在满足企业决策层要求的同时也引入了风险,工业控制系统边界的完整性面临着威胁[1]。为提升中国企业工业控制领域信息安全防护水平,国内相继出台了《工业控制系统信息安全防护指南》《信息安全技术——工业控制系统安全管理基本要求》《工业控制系统信息安全防护建设实施规范》等一系列规范文件与标准[2],并在网络安全等级保护制度2.0中着重强调了工业控制领域的网络安全[3]。由于应用领域、行业规范、使用习惯、系统厂商等存在众多不同,工业控制领域信息安全防护的建设与实施呈现出多样化和复杂化的特点。同时,物联网、大数据、云计算等技术迅猛发展,万物互联时代的到来,使工业控制领域面临的网络安全形势更趋严峻。据此,本公司实施了“OPC接口防火墙攻关升级”项目,使用“工业控制数据交换系统”替代了一批生产管理网数据采集段(内网段)中的老式防火墙,提高了网络安全防护水平。
本公司生产管理网投用于2004年,是工艺人员实时了解生产状况,合理分配生产负荷的重要工具。按照功能,生产管理网分为数据采集部分(内网)和公司局域网部分(外网)两部分。在内网中,选取每个工序DCS的一台操作站(一般为工程师站)作为接口机,安装PI系列OPC数据采集软件,作为数据采集端;内网服务器位于数据机房,安装PI系列数据库软件,作为数据接收端,这样生产数据即可通过OPC协议传输并存储至服务器中。在外网中,部署与内网服务器相对应的镜像服务器,接收和存储来自内网服务器的数据(两者间部署有隔离网闸,数据单向传输),并与其它服务器协作运行,局域网用户可通过WEB端查看生产数据、回溯历史趋势、下载产量报表等。
在生产管理网早期的建设过程中,内网中各接口机到服务器之间的网络安装了H3C的SecPath F100系列防火墙。但该款防火墙型号较老,且不是专为工控系统网络设计,只能做到逻辑隔离而无法实现物理隔离。随着网络安全威胁的形式越来越隐蔽、多样,病毒、黑客攻击有很大几率突破防护,感染整个内网,甚至进一步威胁DCS系统的网络安全。因此,此类老式防火墙已无法满足当前的安全需求了。
本公司使用的工业控制数据交换系统由神州云盾信息安全有限公司开发,有SZYD-EXCHANGE-F-3000和SZYD-FERRY-F-3000两个系列。该设备可部署于既要求物理隔离,又需要交换数据的网络之间,用于指定格式数据的单向安全传输。系统采用专有信息摆渡机制,解决了由于物理隔离引起的数据交换问题,既保持了网络之间物理隔离的特性,同时提供了一种安全、有效的数据交换途径。系统采用专用定制的OS,构建非网络数据交互机制,采用私有协议构成安全隧道,保障数据传输安全[4],彻底杜绝因网络连接或移动存储介质混用,导致感染病毒、木马带来的安全隐患。
工业控制数据交换系统采用2+1结构,由内端机和外端机两套独立的高性能处理系统和高速隔离交换模块构成。
内端机与需要保护的内部网络相连,即内网服务器端;外端机与可能带有威胁的外部网络相连,即接口机端;高速隔离交换模块在内端机和外端机之间按照特定的周期进行安全数据的摆渡。这种双系统模式彻底将网络隔离开,即使外部网络遭受恶意攻击甚至瘫痪,也无法对内部网络造成危害,从而在保证内外网隔离的情况下,实现可靠、安全、高效的数据交换。使用者只需依据自身业务需求定制安全策略,即可实现内外网络的安全通讯。
图2 超级终端配置界面Fig.2 Super terminal configuration interface
详细产品架构如图1。
图1 系统架构图Fig.1 System architecture diagram
目前,本公司已在石灰、碳化等10余个工序的内网网络上使用了工业控制数据交换系统。下面以石灰工序所用设备的内端机为例,介绍该系统的配置与应用过程。
工业控制数据交换系统使用交流220V供电。设备通电后,检查电源指示灯是否正常显示,检查硬盘指示灯是否正常显示。确认显示正常后,使用串口线,将计算机RS232接口与内端机RS232接口相连接。
步骤1:启动超级终端
以微软Windows系列操作系统为例,选择“开始> 程序 > 附件 >通讯 >超级终端”菜单项,启动超级终端;或打开第三方超级终端软件,如secure CRT,Putty等。
步骤2:新建连接
在“名称”文本框中输入新建连接的名称,选择图标,然后单击“确定”按钮。
步骤3:设置连接端口
图5 登录界面内容Fig.5 Login interface content
图6 IP地址设置完成Fig.6 IP Address setting completed
进入如图3所示的“连接到”窗口后,根据实际使用的计算机端口号在“连接时使用”下拉列表框中进行选择,然后单击“确定”按钮。
图3 超级终端配置界面Fig.3 Super terminal configuration interface
步骤4:设置通信参数
进入如图4所示的“端口属性”窗口,对通信参数进行设置,设置完毕点击“确定”,按“回车”键即可显示该设备登录界面的内容。
图4 通信参数配置界面Fig.4 Communication parameter configuration interface
步骤5:登录
输入数字3回车,输入管理员账号和口令即可登录系统。
步骤6:接口IP地址设置
将eth0接口定为需要使用的以太网口,其IP地址与子网掩码应与石灰工序OPC接口机在内网中的IP地址与子网掩码一致,因此需要将eth0接口设置为192.158.5.34 255.255.255.0,设置方法如下。
首先,删除eth0接口原有的IP地址与子网掩码。eth0网口出厂默认的地址为192.168.5.105 255.255.255.0。删除IP地址的命令格式为:ipv4接口/网桥del IP地址 子网掩码,执行命令如下:
ipv4 eth0 del 192.168.5.105 255.255.255.0
或ipv4 eth0 del 192.168.5.105 24
下一步,即可添加需要使用的IP地址与子网掩码。添加IP地址的命令格式为:ipv4接口/网桥add IP地址 子网掩码,执行命令如下:
ipv4 eth0 add 192.158.5.34 255.255.255.0
或ipv4 eth0 del 192.158.5.34 24
使用此命令除了可设置接口的IP地址外,还可在一个接口上配置多个IP地址,只需添加多次即可。
同样,通过set参数也可以设置接口的IP地址,与add的区别是set只能配置一个IP地址,如果此前目标接口已配置了地址,则使用set参数后会将原地址覆盖。此命令参数格式为:ipv4 接口/网桥 set IP地址 子网掩码。
回车后,输入命令“ipv4”,可以查看确认eth0接口的IP地址。
在管理员账号登录状态下,输入命令“ferry”进入二级菜单,添加过滤规则,命令如下:
add tcp 135 192.158.5.34 135
add udp 137 192.158.5.34 137
add tcp 5450 192.158.5.34 5450
其中:tcp 135,udp 137为采用OPC协议进行数据传输时缺省使用的端口号,tcp 5450为PI系列OPC数据采集软件运行所需的专用端口号。只需开启以上3个端口,过滤其它端口,即可保障通过OPC协议进行的数据传输业务的正常进行,同时能够防御黑客、病毒、恶意代码等攻击行为通过其他端口侵入网络。
添加完成后,输入命令“show”可以查看规则:
根据OPC协议的使用要求,需将tcp 135端口的动态端口类型设置为dcom。如图7所示,tcp 135端口过滤规则的序号为1。输入rule 1,即可进入本条规则;输入命令“dynamic dcom”,即完成配置动态端口类型为dcom的操作。
图7 过滤规则设置完成Fig.7 Filter rule setting completed
配置完成后,输入命令“exit”退出rule 1,回到“ferry”命令行下,输入命令“commit”提交前面配置的规则,使规则生效,至此即完成了内端机OPC规则的配置。
外端机配置与内端机类似。使用串口线将计算机RS232接口与外端机RS232接口相连接,同样将eth0接口设置为需要使用的以太网口,将其地址设置为192.158.5.250 255.255.255.0,与内网服务器的IP地址与子网掩码相同,过滤规则设置中除所有地址应使用192.158.5.250之外,其他配置内容均与配置内端机时相同。
工业控制数据交换系统为机架式机构,将设备如图8安装到机柜中即可。
图8 安装示意图Fig.8 Installation diagram
安装上电,确认电源指示灯和硬盘指示灯正常,将一根网线的一端接内端机的eth0口,另一端连接交换机接入内网;将另一根网线一端接外端机的eth0口,另一端接OPC接口机的网口。各网口指示灯闪烁正常后,启动接口机上的OPC软件,即可开始生产数据的实时传输。
系统运行过程中,将计算机RS232接口与内端机或外端机的RS232接口相连接,使用管理员账号和口令登录系统,输入命令“fstatus”即可查看内端机或外端机的工作状态。正常情况下,FerryWrite(写)和FerryRead(读)两列都会有流量显示,且Stat.列的状态显示ok,表示数据交互传输正常,如图9。
图9 工作状态监测Fig.9 Working status monitoring
工业控制数据交换系统的应用,不仅能够按照公司决策需要最小化开放生产数据传输所需的端口,还可对内网服务器和OPC接口机之间传输的指令请求进行实时检测。对于不符合安全要求的指令请求进行拦截和记录,在实现防护功能的同时,方便维护人员查询分析风险事件原因,大大提升了数据传输的安全性、可靠性。
工业控制数据交换系统投用以来,公司生产管理网与DCS控制网的安全防护水平得到有效提升,至今未出现过信息安全风险事件。秉着“防患于未然”的原则,本公司结合实际情况,建立了一套工控系统信息安全风险事件处置措施,从制度和管理上对硬件设备实现的安全防护加以补充。下面对处置措施的具体操作内容进行介绍。
通过主机安全软件的拦截日志,查看是否存在恶意代码、病毒企图执行的信息。
通过计算机病毒查杀软件日志,查看是否存在恶意代码、病毒的活动迹象。
通过查看计算机操作系统环境,查看是否存在显著的异常,如频繁地异常程序崩溃退出,频繁地操作系统崩溃蓝屏、错误或重启,计算机内存、CPU资源占用过高导致系统运行异常缓慢,计算机网络负荷异常偏高等现象来判断是否存在恶意代码、病毒的活动迹象。
在确保安全的情况下,将确认感染计算机病毒的主机从网络中离线(断开其所有网络、网线连接)。
在确保安全的情况下,临时关闭计算机操作系统(包括关闭电源)。
在确保安全的情况下,通过工业控制数据交换系统的策略变更,限制感染计算机网络连接的范围和权限。
在确保安全的情况下,通过网络设备(交换机、网关)策略变更,限制感染计算机网络连接的范围和权限。
在确保安全的情况下,使用经过验证且符合信息安全管理规定的“备份软件”进行磁盘及文件备份。
在确保安全的情况下,使用经过验证且符合信息安全管理规定的移动介质,安装或运行计算机病毒扫描查杀软件,进行病毒查杀。
在确保安全的情况下,使用经过验证且符合信息安全管理规定的“补丁程序”进行补丁安装。
在确保安全的情况下,对被计算机病毒感染或影响的计算机进行安全策略的临时变更,以限制计算机病毒的影响范围。
在进行现场处理时,应注意以下事项:
1)应安排至少1人进行现场“监护”以及协调沟通,包括操作票签署。
2)计算机设备在开始操作前,应使用内存镜像以及磁盘镜像工具进行备份。
3)病毒查杀使用“离线”形式,即对其中一台进行扫描处理时,该计算机临时从网络中离线(断开所有网络物理连接),确认满足使用要求后方可重新接入网络“上线”。
4)为保证查杀效果,应使用至少两种不同供应商的病毒特征库的软件对计算机进行扫描。
5)对于清除“失败”只能“删除”的感染文件,应使用经过恶意代码特征安全扫描的移动存储设备从其他设备读取拷贝进行恢复。
6)完成病毒查杀后,应由现场“监护人”协调确认功能满足使用要求的情况,必要时可进行单点调试。
7)全部完成后,应进行全网复查以确认病毒清除情况。
信息安全风险事件处置结束后,应出具总结调查报告。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。事件的调查处理和总结评估工作,原则上在信息安全风险事件处置结束后30天内完成[5]。
信息安全风险事件处置结束后,及时检查事件处置记录是否齐全,是否具备可塑性,并对事件处置过程进行总结和分析。总结和分析的具体工作包括但不限于以下几项:
1)事件发生的现象总结。
2)事件发生的原因分析。
3)系统的损害程度评估。
4)事件损失估计。
5)采取的主要应对措施。
6)相关的工具文档归档。
工业控制数据交换系统的应用,有效避免了病毒、黑客、恶意代码等入侵生产管理网导致整个网络瘫痪事故的出现,保证了生产管理网数据库的数据安全与数据完整;此外,作为OPC数据采集端的操作站,同时也是各工序DCS控制网中的网络节点,工业控制数据交换系统的应用也阻止了网络攻击经操作站进入DCS控制网,避免控制网瘫痪,导致生产操作无法进行,甚至生产安全事故的发生。工业控制数据交换系统的应用,使生产管理网、DCS控制网及各网络节点的运行稳定性与可靠性显著提高,确保了公司生产的安全、高效与稳定,是本公司又一创新亮点。