周海君 劉玉娟 崔 健

(北京市電子科技職業(yè)學(xué)院自動(dòng)化工程學(xué)院，北京，100176)

造紙廠DCS系統(tǒng)的網(wǎng)絡(luò)安全分析

周海君 劉玉娟 崔 健

(北京市電子科技職業(yè)學(xué)院自動(dòng)化工程學(xué)院，北京，100176)

針對(duì)造紙廠典型集散控制系統(tǒng) (DCS)網(wǎng)絡(luò)的特點(diǎn)，從提高網(wǎng)絡(luò)安全性的角度提出應(yīng)對(duì)方案。

網(wǎng)絡(luò)安全;DCS系統(tǒng);防火墻

1 網(wǎng)絡(luò)安全的重要性

2010年10月份，“超級(jí)工廠”網(wǎng)絡(luò)病毒在包括我國(guó)在內(nèi)的多個(gè)國(guó)家肆虐，超過45000個(gè)工廠網(wǎng)絡(luò)被“超級(jí)工廠”病毒感染。以伊朗為例，超過60%的電腦受到干擾，造成了極大的經(jīng)濟(jì)損失和信息危機(jī)。

與傳統(tǒng)的“蠕蟲”和“木馬”網(wǎng)絡(luò)病毒不同，“超級(jí)工廠”病毒攻擊的不僅僅是抽象的IT系統(tǒng)，它不以搜集個(gè)人信息為目的，其目標(biāo)就是真正的工廠，通過對(duì)PLC重新編程，隱藏程序員和用戶的參數(shù)設(shè)置和命令，從而達(dá)到襲擊工廠關(guān)鍵設(shè)備和生產(chǎn)環(huán)節(jié)的目的。

“超級(jí)工廠”病毒的出現(xiàn)使人們對(duì)于工廠的網(wǎng)絡(luò)安全有了新的認(rèn)識(shí):網(wǎng)絡(luò)病毒不再只是導(dǎo)致計(jì)算機(jī)操作系統(tǒng)異常那么簡(jiǎn)單，而是實(shí)實(shí)在在地威脅到了工廠的控制系統(tǒng)內(nèi)部實(shí)質(zhì)。

造紙廠集散控制系統(tǒng) (DCS)系統(tǒng)［1］的核心架構(gòu)離不開網(wǎng)絡(luò)體系:主控制器和分布式IO站點(diǎn)之間通過現(xiàn)場(chǎng)總線進(jìn)行數(shù)據(jù)讀寫和診斷;服務(wù)器通過系統(tǒng)總線與主控制器通信;各種操作站，包括web服務(wù)器等，通過終端總線從服務(wù)器上獲取數(shù)據(jù)。工廠規(guī)模越大、自動(dòng)化程度越高，DCS系統(tǒng)的網(wǎng)絡(luò)規(guī)模也就會(huì)越大，復(fù)雜程度也會(huì)越高。如果還存在MES/ERP系統(tǒng)，那么整個(gè)DCS網(wǎng)絡(luò)還和辦公室網(wǎng)絡(luò)、甚至Internet(因特網(wǎng))直接鏈接。

此外，如何還需要和成套設(shè)備的控制系統(tǒng)通信，DCS系統(tǒng)還需要開放OPC等通信方式，甚至在某些特性情況下，主控制器都可能被第三方子系統(tǒng)訪問。

由于系統(tǒng)配置的缺陷，操作員日志缺失或者不完善，導(dǎo)致各種匿名訪問和操作變得不可追溯。

管理上的疏忽，導(dǎo)致未經(jīng)許可的個(gè)人電腦、移動(dòng)存儲(chǔ)設(shè)備、Internet連接接口等輕易接入到生產(chǎn)網(wǎng)絡(luò)中的交換機(jī)設(shè)備上，導(dǎo)致各種病毒、木馬程序泛濫，嚴(yán)重者將直接導(dǎo)致整個(gè)DCS系統(tǒng)崩潰。

隨著系統(tǒng)的自動(dòng)化程度不斷提高［2-3］，由于安全配置和系統(tǒng)的缺失、管理制度上的不重視都將會(huì)使整個(gè)DCS系統(tǒng)置于一個(gè)危險(xiǎn)的境地。本文以西門子PCS7的典型配置為例，探求相關(guān)的網(wǎng)絡(luò)安全解決方案。

2 造紙廠典型DCS網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)

2.1 系統(tǒng)結(jié)構(gòu)

在浙江寧波某造紙廠的PCS7系統(tǒng)中，采用的是典型網(wǎng)絡(luò)架構(gòu)，如圖1所示。

圖1 寧波某造紙廠網(wǎng)絡(luò)結(jié)構(gòu)圖

從圖1可看出，造紙車間子網(wǎng) (圖1左側(cè))和制漿車間子網(wǎng) (圖1右側(cè))是兩個(gè)相對(duì)獨(dú)立的控制網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)中有獨(dú)立的冗余服務(wù)器，各自的系統(tǒng)總線 (服務(wù)器和控制器之間的總線)也是完全隔離的。兩個(gè)車間都分別配置了一個(gè)工程師站，負(fù)責(zé)各自的程序管理和故障診斷。

在終端總線 (服務(wù)器和客戶端操作站之間的總線)上，各個(gè)車間的操作站都是對(duì)應(yīng)其所在車間的服務(wù)器，從服務(wù)器上獲得畫面和數(shù)據(jù)。但這兩個(gè)車間的終端總線是連接在一起的。由于存在遠(yuǎn)程操作的需求，項(xiàng)目中配置了一個(gè)Web服務(wù)器，同時(shí)從兩個(gè)車間的服務(wù)器上獲取數(shù)據(jù)并發(fā)布到網(wǎng)絡(luò)上。通過Internet的網(wǎng)絡(luò)用戶使用IE瀏覽器和相應(yīng)的插件即可和本地操作站一樣打開控制畫面，如果權(quán)限分配合適，還可以進(jìn)行相應(yīng)的操作。

為了使用的方便性，在工廠的辦公室網(wǎng)絡(luò)中還存在幾臺(tái)臨時(shí)性的操作站。如有需要可以接入到系統(tǒng)總線上查看CPU的實(shí)時(shí)運(yùn)行數(shù)據(jù)，也可以直接接在終端總線上和服務(wù)器、客戶端操作站進(jìn)行通信。

在這個(gè)典型的網(wǎng)絡(luò)配置中，外部Internet、內(nèi)部辦公室網(wǎng)絡(luò)都可以和控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換。同樣地，各種病毒、木馬軟件等也完全可以威脅到控制網(wǎng)絡(luò)。所以，有針對(duì)性地分析不同網(wǎng)絡(luò)的安全特點(diǎn)，就可以更好地采取相應(yīng)的處理措施。

2.2 控制網(wǎng)絡(luò)的安全分析

在典型的PCS7網(wǎng)絡(luò)體系中，控制網(wǎng)絡(luò)主要由系統(tǒng)總線和終端總線兩部分組成。系統(tǒng)總線中的通信設(shè)備包括工程師站、OS服務(wù)器和控制器，它們之間的通信內(nèi)容主要包括如下幾個(gè)方面:

(1)OS服務(wù)器和控制器之間

這部分的通信主要是周期性數(shù)據(jù)請(qǐng)求和應(yīng)答，畫面上WinCC變量的更新和歸檔變量的讀取屬于這種通信方式，此外還存在少量的控制器上傳報(bào)警信息、資產(chǎn)管理系統(tǒng)讀取儀表的診斷信息等非周期性內(nèi)容。

(2)控制器和控制器之間

一般控制器之間是不會(huì)有數(shù)據(jù)交換的，如果組態(tài)了通信，那都是基于鏈接的，數(shù)據(jù)量不大，而且都是周期性的。

(3)工程師站和控制器之間

在偶爾硬件診斷、程序更新時(shí)工程師站會(huì)和控制器進(jìn)行數(shù)據(jù)交換，在正常運(yùn)行時(shí)，這部分通信很少，而且和DCS系統(tǒng)正常運(yùn)行無關(guān)。

上述的3種通信中，共同的特點(diǎn)就是數(shù)據(jù)量相對(duì)較少，而且內(nèi)容基本都是監(jiān)控、診斷相關(guān)的數(shù)據(jù)。也就是說，控制網(wǎng)絡(luò)的主要功用是承擔(dān)監(jiān)控層面——例如服務(wù)器等——和控制器本身的通信橋梁。所以，可靠性是這個(gè)網(wǎng)絡(luò)最主要的安全配置目標(biāo)。確?？刂凭W(wǎng)絡(luò)可靠，就可以讓DCS系統(tǒng)控制層面一直處于安全可控的狀態(tài)，避免設(shè)備損毀、人員傷亡等惡性事件發(fā)生。

2.3 辦公室網(wǎng)絡(luò)的安全分析

與控制網(wǎng)絡(luò)不同，辦公室網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信呈現(xiàn)出的特點(diǎn)是數(shù)據(jù)量大、非周期性。各種私有數(shù)據(jù)、DCS分析數(shù)據(jù)等是這個(gè)網(wǎng)絡(luò)的主要數(shù)據(jù)內(nèi)容。另一方面，辦公室網(wǎng)絡(luò)都會(huì)直接和Internet相連，面臨的外部攻擊、病毒感染更為復(fù)雜。如何確保辦公室網(wǎng)絡(luò)中的信息安全是安全配置的重點(diǎn)。

2.4 外部Internet的安全分析

外部Internet是一個(gè)完全開放的網(wǎng)絡(luò)，各種通信形式都存在，對(duì)于DCS系統(tǒng)而言，完全處于不可控的狀態(tài)。

面對(duì)這個(gè)情況，限制外部訪問是最常見的處理措施。例如以Web服務(wù)器而言，外部的Web客戶端都是通過HTTP協(xié)議來訪問Web站點(diǎn)的，所以在Web服務(wù)器上只需要開放HTTP的80端口即可。

綜上所述，DCS系統(tǒng)中牽涉到的不同網(wǎng)絡(luò)有各自不同特點(diǎn)和安全配置重點(diǎn)，如何平衡各個(gè)網(wǎng)絡(luò)的安全防御措施，以及如何優(yōu)化系統(tǒng)安全架構(gòu)是討論的核心內(nèi)容。

3 網(wǎng)絡(luò)安全措施分析

3.1 安全管理體系

全廠DCS系統(tǒng)的網(wǎng)絡(luò)安全，各種配置和相應(yīng)的安全設(shè)備是必需的，但其核心內(nèi)容是一套行之有效的安全管理體系。

據(jù)國(guó)外統(tǒng)計(jì)，導(dǎo)致DCS系統(tǒng)崩潰的原因之中，硬件故障排在首位，而由于安全原因?qū)е碌谋罎⒁舱剂私?。這些因?yàn)榘踩驅(qū)е翫CS系統(tǒng)不可用的實(shí)例在我國(guó)也很常見，如使用感染有病毒的U盤、安裝來歷不明的軟件、未經(jīng)許可地將個(gè)人電腦接入控制系統(tǒng)網(wǎng)絡(luò)等是最為常見的威脅來源。

為了控制和避免這方面的安全隱患，采取相應(yīng)的技術(shù)手段是必要的。例如禁用計(jì)算機(jī)的USB接口，網(wǎng)絡(luò)交換機(jī)柜上鎖，計(jì)算機(jī)用戶權(quán)限限制等。但這是遠(yuǎn)遠(yuǎn)不夠的，所有的技術(shù)方案如果沒有相應(yīng)管理上的流程來保障，在面對(duì)威脅時(shí)同樣形同虛設(shè)。國(guó)內(nèi)有一石化公司，投入巨資建立了全廠的安全系統(tǒng)，但沒有具體的管理體系。在一次技術(shù)升級(jí)過程中，第三方光纖供應(yīng)商直接使用自己的筆記本電腦接入到了控制網(wǎng)絡(luò)來測(cè)試光纖是否工作正常，結(jié)果導(dǎo)致服務(wù)器感染病毒死機(jī)，造成了巨大的損失。如果該工廠有相應(yīng)的管理流程，讓光纖供應(yīng)商的筆記本電腦在接入網(wǎng)絡(luò)之前要進(jìn)行相關(guān)的檢測(cè)，或者在升級(jí)過程中采用將可能的危險(xiǎn)區(qū)域從這個(gè)控制網(wǎng)絡(luò)中隔離出來等措施，就會(huì)避免網(wǎng)絡(luò)病毒的感染。

所以，在DCS網(wǎng)絡(luò)安全系統(tǒng)建立過程中，首先需要建立的就是自上而下的安全管理規(guī)章流程和相應(yīng)的應(yīng)急處理預(yù)案。只有這樣，后續(xù)的安全解決方案才能有制度上的保障。

3.2 病毒防護(hù)和軟件管理

對(duì)于PCS 7系統(tǒng)而言，兼容的反病毒軟件有3種:Trend Micro OfficeScan、McAfee和Symantec。只有兼容的殺毒軟件才能在DCS系統(tǒng)中使用，其他的殺毒軟件，例如瑞星等可能會(huì)將正常的軟件程序刪除。

防病毒軟件需要及時(shí)更新病毒庫(kù)。更新病毒庫(kù)有單機(jī)方式和病毒服務(wù)器方式這兩種方式。

(1)單機(jī)方式

從反病毒軟件網(wǎng)站上獲取相應(yīng)的離線病毒庫(kù)升級(jí)包，然后臨時(shí)開放各個(gè)計(jì)算機(jī)的USB接口，將升級(jí)包拷貝到計(jì)算機(jī)上安裝，或者通過網(wǎng)絡(luò)分發(fā)到各個(gè)計(jì)算機(jī)上，然后執(zhí)行升級(jí)。這個(gè)方式操作起來較為繁瑣，而且安全上的風(fēng)險(xiǎn)較大。但相對(duì)成本和技術(shù)難度而言都比較有優(yōu)勢(shì)。

(2)病毒服務(wù)器

在DCS系統(tǒng)中配置1臺(tái)病毒服務(wù)器，該服務(wù)器連接到Internet，并從指定的病毒庫(kù)升級(jí)網(wǎng)站上下載更新包。根據(jù)配置，對(duì)網(wǎng)絡(luò)中各個(gè)反病毒軟件客戶端進(jìn)行自動(dòng)升級(jí)。這種方式需要配合防火墻使用，技術(shù)難度稍大，但病毒庫(kù)升級(jí)都是自動(dòng)執(zhí)行，無需人為干預(yù)。

與反病毒軟件一樣，計(jì)算機(jī)操作系統(tǒng)和其他相關(guān)軟件也需要保持更新。在PCS 7中，操作系統(tǒng)的Security Package和Critical Package是可用的，所以也可以采用單機(jī)或者升級(jí)服務(wù)器的方式來安裝這些更新包。通過微軟的WSUS(Windows Server Update Services)軟件可以在系統(tǒng)中搭建一個(gè)升級(jí)服務(wù)。

3.3 防火墻配置

在寧波某造紙廠的網(wǎng)絡(luò)配置中，Web服務(wù)器是需要與Internet連接的。如果再配置了WSUS和病毒服務(wù)器，那么整個(gè)系統(tǒng)中至少存在3個(gè)通往外部的接口。再考慮到辦公室網(wǎng)絡(luò)，面向Internet的將是一個(gè)規(guī)模不小的LAN。

將整個(gè)工廠網(wǎng)絡(luò)和Internet隔離是一個(gè)不錯(cuò)的選擇，即將包括Web服務(wù)器和辦公室網(wǎng)絡(luò)在內(nèi)的所有DCS系統(tǒng)相關(guān)網(wǎng)絡(luò)都通過防火墻與Internet斷開。

分析Web服務(wù)器和病毒服務(wù)器，其對(duì)Internet的訪問進(jìn)程是明確的，開放端口也是確定的，所以采用端口限制的防火墻規(guī)則可以起到一定的防御作用，但面對(duì)諸如“端口復(fù)用”技術(shù)手段來實(shí)現(xiàn)的病毒突破則是無能為力的。同樣的情況也出現(xiàn)在辦公室網(wǎng)絡(luò)中，不明確的訪問需求和端口導(dǎo)致這種限制端口的手段更是無從談起。

更為嚴(yán)重的是，WinCC的服務(wù)器和客戶端通信，例如Web服務(wù)器和OS服務(wù)器之間的通信，其端口是變化的。所以要確保通信正常Web服務(wù)器對(duì)OS服務(wù)器要開放所有的端口，這就意味著任何突破了Web服務(wù)器的威脅都必將直接影響到OS服務(wù)器。

基于此，當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域通常的處理措施就是“縱深防御 (Defense-in-Depth)”，即采用多種不同的方法，對(duì)目標(biāo)實(shí)施層層防護(hù)，盡可能多地為攻擊者 (黑客，惡意軟件，破壞者等)造成多重障礙。任何一種單一的防御手段都不足以保證目標(biāo)的安全，而“縱深防御”體系中，即使外部的攻擊者能夠突破一種或者幾種防御屏障，也很難突破所有的屏障并最終抵達(dá)防御的目標(biāo)。

采用防火墻搭建的“縱深防御”結(jié)構(gòu)如圖2所示。

從圖2看出，在這個(gè)系統(tǒng)結(jié)構(gòu)中，包括OS服務(wù)器/客戶端/工程師站在內(nèi)的控制網(wǎng)絡(luò)都在防火墻的保護(hù)之下，而Web服務(wù)器等在一個(gè)DMZ區(qū)域中，其他的辦公室網(wǎng)絡(luò)和Web客戶端等和Internet一樣在防火墻之外。

這種配置方案中，即使DMZ區(qū)域因?yàn)槭艿讲《竟舳罎?，控制網(wǎng)絡(luò)依舊可以正常運(yùn)行。完成這樣的一個(gè)配置，在PCS7專用的Secure Guide防火墻中只需要簡(jiǎn)單的幾個(gè)向?qū)Ъ纯赏瓿伞?/p>

圖2 “縱深防御”系統(tǒng)結(jié)構(gòu)配置

4 應(yīng)用體會(huì)

該網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)在多個(gè)造紙廠DCS系統(tǒng)中集成使用，由于新增硬件較少，作用顯著，所以多數(shù)廠商都愿意采用。在具體實(shí)施過程中，盡管每個(gè)工廠的具體要求不盡相同，但病毒升級(jí)服務(wù)器、WSUS服務(wù)器和防火墻等基本架構(gòu)都是一樣的，并不會(huì)給配置和調(diào)試帶來太大的工作量。

從測(cè)試和當(dāng)前運(yùn)行情況來看，已經(jīng)投用的幾個(gè)安全系統(tǒng)均未再發(fā)生網(wǎng)絡(luò)安全事故，而且其工廠的安全管理體系也在運(yùn)行過程中不斷完善。

［1］劉承棟，段靜波．經(jīng)濟(jì)適用型DCS系統(tǒng)在紙機(jī)直的應(yīng)用［J］．中國(guó)造紙，2011，30(7):48．

［2］陳修環(huán)，石 巖．計(jì)算機(jī)網(wǎng)絡(luò)安全管理［J］．小型微型計(jì)算機(jī)系統(tǒng)，1999，20(5):143．

［3］亞森·艾則孜，木塔里甫·木明，阿不利米提·阿布都熱依木．淺析針對(duì)網(wǎng)絡(luò)安全對(duì)策［J］．計(jì)算機(jī)與網(wǎng)絡(luò)，2004，10(19):44．

Security Analysis of DCS Network in Pulp＆Paper Mills

ZHOU Hai-jun*LIU Yu-juan CUI Jian
(Beijing Electronic Technology Training College，Beijing，100029)
(*E-mail:simeng@sina．com)

The threat of network in mill automation system is becoming more and more seriously，so more and more investments are spent to support network security system improvement．This paper analysed the characteristics of DCS network in pulp ＆ paper mills，the related solutions for network security improvement were suggested．

network security;DCS;firewall

TS736+.4

B

0254-508X(2012)05-0044-04

周海君女士，碩士，高級(jí)講師;研究方向:控制理論與控制工程。

2011-11-24

(責(zé)任編輯:常 青)