趙宏世

(中國(guó)神華煤制油化工有限公司鄂爾多斯煤制油分公司,內(nèi)蒙古 鄂爾多斯 017209)

數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、可編程邏輯控制器(PLC)及分散控制系統(tǒng)(DCS)等工業(yè)控制系統(tǒng)(ICS)被廣泛應(yīng)用于化工生產(chǎn)、油氣輸送、發(fā)電以及冶金等工業(yè)生產(chǎn)領(lǐng)域。傳統(tǒng)的工業(yè)控制系統(tǒng)主要依賴于技術(shù)隱秘、網(wǎng)絡(luò)獨(dú)立等措施，來(lái)保證系統(tǒng)的安全性。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息化與工業(yè)化深度融合，對(duì)工業(yè)控制系統(tǒng)的兼容性要求也越來(lái)越高。通過(guò)采用通用硬件和通用軟件實(shí)現(xiàn)工業(yè)控制系統(tǒng)對(duì)外開(kāi)放，使眾多品牌的工業(yè)控制系統(tǒng)之間能夠相互通信，并與企業(yè)信息網(wǎng)互連。目前，大多數(shù)工業(yè)控制系統(tǒng)的通信技術(shù)是在商用操作系統(tǒng)基礎(chǔ)上開(kāi)發(fā)的，通信應(yīng)用中存在許多漏洞。當(dāng)工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)互連時(shí)，黑客就會(huì)利用這些漏洞對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊[1]。

1 安全漏洞的典型案例①

2010年6月出現(xiàn)的“Stuxnet”病毒，是一個(gè)針對(duì)工業(yè)控制系統(tǒng)的破壞性病毒。該病毒通過(guò)U盤和局域網(wǎng)進(jìn)行傳播，利用微軟Windows操作系統(tǒng)和西門子SIMATIC WinCC系統(tǒng)的漏洞，對(duì)西門子公司生產(chǎn)的工業(yè)控制系統(tǒng)進(jìn)行破壞性攻擊。因受到“Stuxnet”病毒的攻擊，伊朗布什爾核電站不得不延期運(yùn)行[2]。

2011年11月美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組公布了施耐德Modicon Quantum系列PLC存在安全漏洞。該系列PLC的Modbus協(xié)議功能碼90(0x5A)作為用戶保留的功能擴(kuò)展編碼段，此功能碼具有程序上傳、下載和啟停PLC的高級(jí)權(quán)限。但是存在多項(xiàng)網(wǎng)絡(luò)端口和服務(wù)漏洞，默認(rèn)開(kāi)放的網(wǎng)絡(luò)端口為攻擊者提供了通道。

2012年4月羅杰康(RvuggedCom)公司公開(kāi)承認(rèn)其產(chǎn)品存在后門賬戶。該公司生產(chǎn)的工業(yè)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，都有預(yù)置名為“factory”的后門賬戶。該賬戶不能被修改，也不能被禁用，通過(guò)該賬戶可以修改網(wǎng)絡(luò)配置，造成網(wǎng)絡(luò)通信中斷或系統(tǒng)癱瘓。

2 網(wǎng)絡(luò)隔離技術(shù)

沒(méi)有網(wǎng)絡(luò)互連就不用采用隔離技術(shù)，不需要進(jìn)行數(shù)據(jù)交換的網(wǎng)絡(luò)隔離技術(shù)也很容易實(shí)現(xiàn)，只要將網(wǎng)絡(luò)完全斷開(kāi)，互不聯(lián)機(jī)即可。但是，需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離卻不容易實(shí)現(xiàn)，網(wǎng)絡(luò)隔離技術(shù)是在需要數(shù)據(jù)交換和資源共享的情況下出現(xiàn)的。面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和工業(yè)控制網(wǎng)絡(luò)的高安全性要求，網(wǎng)絡(luò)隔離技術(shù)應(yīng)運(yùn)而生。網(wǎng)絡(luò)隔離技術(shù)從邏輯隔離和物理隔離兩方面開(kāi)展，目的是將威脅工業(yè)控制系統(tǒng)安全的木馬、病毒和攻擊隔離在工業(yè)控制系統(tǒng)之外，并完成網(wǎng)絡(luò)間的數(shù)據(jù)交換。

2.1 防火墻隔離

防火墻(Firewall)主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。防火墻隔離是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間通過(guò)控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包，提供使用流量的日志和審計(jì)及隱藏內(nèi)部IP地址與網(wǎng)絡(luò)結(jié)構(gòu)等措施，來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入。采用防火墻隔離技術(shù)并結(jié)合入侵檢測(cè)、防病毒等技術(shù)組合，能夠有效隔絕來(lái)自外部網(wǎng)絡(luò)的威脅。

2.2 安全隔離網(wǎng)閘

安全隔離網(wǎng)閘簡(jiǎn)稱為網(wǎng)閘(GAP),最早在國(guó)外軍方使用，以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全問(wèn)題。隨著我國(guó)電子政務(wù)的蓬勃發(fā)展，為了滿足高安全網(wǎng)絡(luò)與低安全網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)交換的需要，國(guó)內(nèi)也研制出了安全隔離網(wǎng)閘。安全隔離網(wǎng)閘一般由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、隔離與數(shù)據(jù)交換單元3個(gè)部分組成，為2+1的主機(jī)架構(gòu)。3個(gè)單元都采用非通用的操作系統(tǒng)，內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元使用不同操作系統(tǒng)，以增加安全性。當(dāng)數(shù)據(jù)交換單元不同時(shí)，與內(nèi)、外網(wǎng)處理單元連接，通過(guò)數(shù)據(jù)擺渡完成數(shù)據(jù)交換。使用安全隔離網(wǎng)閘技術(shù)既可以使兩個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)物理上的隔離，又能在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)交換。

2.3 單向隔離網(wǎng)閘

通過(guò)防火墻、安全隔離網(wǎng)閘等隔離設(shè)備，再配置相關(guān)的防護(hù)軟件，基本實(shí)現(xiàn)了將網(wǎng)絡(luò)安全威脅隔離在工業(yè)控制系統(tǒng)之外，并能完成網(wǎng)絡(luò)間的數(shù)據(jù)安全交換。但是，防火墻技術(shù)始終處于“被動(dòng)防御”狀態(tài)，只有不斷升級(jí)軟件和硬件，才能防止已知病毒和常規(guī)攻擊，而對(duì)未知病毒沒(méi)有防御能力。安全隔離網(wǎng)閘技術(shù)具有數(shù)據(jù)雙向傳輸?shù)奶匦?，?shù)據(jù)雙向傳輸對(duì)工業(yè)控制系統(tǒng)來(lái)說(shuō)還存在一定的風(fēng)險(xiǎn)。

工業(yè)控制系統(tǒng)與企業(yè)信息網(wǎng)連接的目的是將生產(chǎn)過(guò)程數(shù)據(jù)發(fā)送到企業(yè)信息網(wǎng)，向是單向數(shù)據(jù)流。如果能切斷企業(yè)信息網(wǎng)到工業(yè)控制系統(tǒng)的通路，只允許工業(yè)控制系統(tǒng)向企業(yè)信息網(wǎng)單向數(shù)據(jù)傳遞，就能形成物理上的絕對(duì)隔離。在安全隔離網(wǎng)閘雙向傳輸?shù)幕A(chǔ)上通過(guò)修改電路和增加時(shí)鐘開(kāi)關(guān)控制，實(shí)現(xiàn)數(shù)據(jù)的單向?qū)懭牒蛦蜗蜃x出，誕生了單向隔離網(wǎng)閘技術(shù)。使用單向隔離網(wǎng)閘只有從工業(yè)控制系統(tǒng)向企業(yè)信息網(wǎng)傳輸數(shù)據(jù)的單向通道，沒(méi)有反向通道，也就掐斷了病毒入侵和黑客攻擊的通道[3]。

2.4 單向隔離光閘

基于電氣隔離的單向隔離網(wǎng)閘，由程序控制數(shù)據(jù)單向?qū)懭搿蜗蜃x出依然存在被人為篡改導(dǎo)致單向隔離失效的危險(xiǎn)。為了克服電氣隔離的不足，又出現(xiàn)了利用光單向傳輸特性的網(wǎng)絡(luò)安全隔離技術(shù)——單向隔離光閘技術(shù)。單向隔離光閘簡(jiǎn)稱光閘，由內(nèi)網(wǎng)單元、外網(wǎng)單元和光單向傳輸單元3個(gè)部分組成。內(nèi)網(wǎng)單元和外網(wǎng)單元分別連接內(nèi)網(wǎng)和外網(wǎng)，光單向傳輸單元一端接收內(nèi)網(wǎng)單元的電信號(hào)并轉(zhuǎn)換成光信號(hào)發(fā)送出去；另一端接收光信號(hào)并轉(zhuǎn)換成電信號(hào)發(fā)送到外網(wǎng)單元，沒(méi)有反向光傳輸路徑，保證了數(shù)據(jù)絕對(duì)單向傳輸。這種單向隔離光閘技術(shù)更適合用于工業(yè)控制系統(tǒng)與外網(wǎng)的隔離。

3 DCS系統(tǒng)的網(wǎng)絡(luò)安全措施

鄂爾多斯煤制油分公司原設(shè)計(jì)的DCS系統(tǒng)是Honeywell Experion PKS系統(tǒng)R210版本，控制部分采用C200控制器帶PMIO。Experion PKS系統(tǒng)以過(guò)程控制為基礎(chǔ)，集成有工廠資產(chǎn)管理及流程管理等信息管理平臺(tái)，為企業(yè)提供了管控一體化的過(guò)程控制系統(tǒng)。Experion PKS系統(tǒng)使用了工業(yè)以太網(wǎng)、Windows 2000操作系統(tǒng)、PC服務(wù)器及PC終端等通用硬件和通用軟件，不需要額外的協(xié)議轉(zhuǎn)換設(shè)備就可以直接接入上層管理網(wǎng)[4]，是一個(gè)典型的開(kāi)放系統(tǒng)。開(kāi)放的DCS系統(tǒng)在給用戶帶來(lái)便利的同時(shí)，也帶來(lái)了安全隱患。

3.1 DCS系統(tǒng)網(wǎng)絡(luò)獨(dú)立設(shè)置

原設(shè)計(jì)按照DCS系統(tǒng)網(wǎng)絡(luò)獨(dú)立設(shè)置原則，在每一個(gè)控制室設(shè)置了一個(gè)獨(dú)立的過(guò)程控制網(wǎng)絡(luò)。Experion PKS系統(tǒng)的控制網(wǎng)絡(luò)是容錯(cuò)以太網(wǎng)(Fault Tolerant Ethernet，F(xiàn)TE)，容錯(cuò)以太網(wǎng)是在商用以太網(wǎng)技術(shù)的基礎(chǔ)上結(jié)合Honeywell網(wǎng)絡(luò)控制策略的工業(yè)以太網(wǎng)。其拓?fù)浣Y(jié)構(gòu)是頂部連接在一起的雙重并行樹(shù)形網(wǎng)絡(luò)結(jié)構(gòu)，是冗余網(wǎng)絡(luò)結(jié)構(gòu)(物理)的單網(wǎng)(邏輯)。FTE包含兩層，第一層為控制層，第二層為操作層，均由冗余的交換機(jī)和通信電纜構(gòu)成。服務(wù)器、操作站及控制器等為FTE節(jié)點(diǎn)，安裝有FTE軟件和雙網(wǎng)絡(luò)接口卡，同時(shí)連接到兩個(gè)樹(shù)網(wǎng)中，F(xiàn)TE節(jié)點(diǎn)之間有4條路徑，如圖1所示。路徑1：操作站→交換機(jī)A→交換機(jī)A1→控制器。路徑2：操作站→交換機(jī)B→交換機(jī)B1→控制器。路徑3：操作站→交換機(jī)A→級(jí)聯(lián)線C→交換機(jī)B→交換機(jī)B1→控制器。路徑4：操作站→交換機(jī)B→級(jí)聯(lián)線C→交換機(jī)A→交換機(jī)A1→控制器。FTE網(wǎng)絡(luò)為系統(tǒng)提供了多路由選擇和最佳路徑選擇，既可容錯(cuò)單故障點(diǎn)，還可容錯(cuò)多故障點(diǎn)，并具有容錯(cuò)鏈路的快速切換功能。FTE還支持普通以太網(wǎng)節(jié)點(diǎn)和標(biāo)準(zhǔn)的TCP/IP應(yīng)用。

圖1 FTE兩層網(wǎng)絡(luò)結(jié)構(gòu)

3.2 設(shè)置防病毒服務(wù)器和域控服務(wù)器

各裝置投產(chǎn)后，為了滿足生產(chǎn)調(diào)度需要，在過(guò)程控制網(wǎng)絡(luò)的基礎(chǔ)上又設(shè)計(jì)了Experion PKS系統(tǒng)的第三層——生產(chǎn)管理層。將各控制室的DCS系統(tǒng)通過(guò)光纖連接到生產(chǎn)管理網(wǎng)，全公司組成了一個(gè)Experion PKS系統(tǒng)大網(wǎng)絡(luò)。在生產(chǎn)管理網(wǎng)配置了PKS工作站、PKS服務(wù)器、過(guò)程歷史數(shù)據(jù)(PHD)服務(wù)器、PHD緩存服務(wù)器、WPKS服務(wù)器、防病毒服務(wù)器和域控服務(wù)器，組成了生產(chǎn)管理控制中心(PMCC)，如圖2所示。

圖2 Experion PKS系統(tǒng)三層網(wǎng)絡(luò)結(jié)構(gòu)

PMCC也是全公司的生產(chǎn)調(diào)度指揮中心，其單元功能分別為：

a. PKS工作站為生產(chǎn)管理人員提供監(jiān)視畫面和生產(chǎn)報(bào)表。

b. PKS服務(wù)器配置分布式系統(tǒng)結(jié)構(gòu)(Distributed System Architecture，DSA)軟件,收集各控制室內(nèi)過(guò)程控制網(wǎng)絡(luò)的數(shù)據(jù)并完成與各工作站的數(shù)據(jù)通信，為各工作站提供畫面的實(shí)時(shí)數(shù)據(jù)。

c. PHD服務(wù)器具有數(shù)據(jù)存儲(chǔ)與管理功能，提供歷史數(shù)據(jù)查詢。

d. PHD緩存服務(wù)器采集生產(chǎn)過(guò)程實(shí)時(shí)數(shù)據(jù)發(fā)送給PHD服務(wù)器。

e. WPKS服務(wù)器支持Web服務(wù)可使用網(wǎng)頁(yè)瀏覽器。

f. 防病毒服務(wù)器作為專用的病毒查殺服務(wù)器只安裝殺毒軟件，用于消除惡意軟件、特洛伊木馬和電腦病毒。殺毒軟件集成監(jiān)控識(shí)別、病毒掃描及清除等功能，是計(jì)算機(jī)防御系統(tǒng)的重要組成部分。在生產(chǎn)管理網(wǎng)各計(jì)算機(jī)節(jié)點(diǎn)上安裝殺毒軟件的客戶端，防病毒服務(wù)器的殺毒軟件升級(jí)后，各客戶端將會(huì)自動(dòng)去尋找防病毒服務(wù)器進(jìn)行殺毒軟件自動(dòng)升級(jí)[5]。

g. 域控服務(wù)器管理生產(chǎn)管理網(wǎng)內(nèi)所有賬戶并保證安全策略得以實(shí)施，對(duì)域內(nèi)用戶的權(quán)限進(jìn)行合理分配，使各用戶不能對(duì)硬件設(shè)備進(jìn)行添加和刪除，不能對(duì)程序進(jìn)行安裝和卸載，也不能對(duì)系統(tǒng)進(jìn)行啟動(dòng)和關(guān)閉，只能操作一些已經(jīng)安裝的應(yīng)用程序，有利于降低誤操作造成的系統(tǒng)故障[6]。域控服務(wù)器安裝的準(zhǔn)入系統(tǒng)與交換機(jī)相互合作，防止非授權(quán)計(jì)算機(jī)進(jìn)入該域網(wǎng)絡(luò)。通過(guò)域控服務(wù)器和防病毒服務(wù)器對(duì)生產(chǎn)管理層實(shí)施防護(hù)，能夠有效保護(hù)過(guò)程控制網(wǎng)絡(luò)。

3.3 DCS網(wǎng)絡(luò)橫向分段、縱向分層隔離

在試生產(chǎn)過(guò)程中，曾多次出現(xiàn)操作站畫面調(diào)用緩慢和操作站通信中斷故障。通信中斷時(shí)間短的有兩分鐘，最長(zhǎng)的一次網(wǎng)絡(luò)時(shí)通、時(shí)斷持續(xù)了五個(gè)多小時(shí)。通過(guò)病毒查殺，只在一臺(tái)服務(wù)器上查出U盤插入電腦自動(dòng)運(yùn)行的“W32/RJump.Worm”病毒。根據(jù)故障現(xiàn)象分析，造成網(wǎng)絡(luò)中斷的原因，可能是由于DCS網(wǎng)絡(luò)過(guò)于龐大、一些硬件配置不合理，或是操作層上的某臺(tái)設(shè)備網(wǎng)線虛接不斷發(fā)包造成交換機(jī)負(fù)荷過(guò)大、網(wǎng)絡(luò)通信堵塞[7]。針對(duì)DCS網(wǎng)絡(luò)通信問(wèn)題，采取以下技術(shù)措施：

a. 重新規(guī)劃FTE網(wǎng)絡(luò)，將FTE網(wǎng)絡(luò)橫向分段。雖然FTE網(wǎng)絡(luò)可最多支持200個(gè)FTE節(jié)點(diǎn)和200個(gè)普通以太網(wǎng)聯(lián)節(jié)點(diǎn)。但是，網(wǎng)絡(luò)過(guò)大，交換機(jī)的負(fù)荷大、通信速度下降，網(wǎng)絡(luò)節(jié)點(diǎn)，多出現(xiàn)故障的幾率高，一旦網(wǎng)絡(luò)出現(xiàn)故障影響的范圍也大。按照每個(gè)生產(chǎn)單元?jiǎng)澐忠粋€(gè)FTE網(wǎng)段的原則，將一個(gè)FTE大網(wǎng)絡(luò)劃分為幾個(gè)FTE小網(wǎng)段，通過(guò)網(wǎng)絡(luò)分段降低了FTE網(wǎng)絡(luò)負(fù)荷，同時(shí)也縮小了FTE網(wǎng)絡(luò)故障的影響范圍。

b. FTE網(wǎng)絡(luò)的第一層交換機(jī)改用C300控制器專用的防火墻，使控制層和操作層網(wǎng)絡(luò)隔離，只允許與控制器有關(guān)的信息通過(guò)，限制廣播流量，防止廣播風(fēng)暴?？刂破魍瑫r(shí)升級(jí)為C300。軟件也要相應(yīng)升級(jí)，Experion PKS系統(tǒng)軟件升級(jí)到R310版本，服務(wù)器操作系統(tǒng)軟件升級(jí)到Windows Server 2003,操作站操作系統(tǒng)軟件升級(jí)到Windows XP。

c. 在過(guò)程控制網(wǎng)與生產(chǎn)管理網(wǎng)之間增加路由器進(jìn)行隔離，在路由器上部署智能服務(wù)、速率限制、訪問(wèn)控制列表及組播管理等安全策略。使FTE網(wǎng)絡(luò)與生產(chǎn)管理網(wǎng)絡(luò)之間隔離，增強(qiáng)系統(tǒng)的縱深防御功能[8]，并完成控制室內(nèi)各FTE網(wǎng)段之間的數(shù)據(jù)交換。

3.4 人/機(jī)隔離

利用KVM延長(zhǎng)器，將操作人員與DCS系統(tǒng)的電腦主機(jī)隔離。將服務(wù)器、工程師站、操作站和生產(chǎn)管理系統(tǒng)層的電腦主機(jī)安裝在各DCS機(jī)柜間內(nèi)，通過(guò)KVM延長(zhǎng)器，實(shí)現(xiàn)主機(jī)與鍵盤、顯示器、鼠標(biāo)的遠(yuǎn)距離連接。使操作人員只能操作鍵盤和鼠標(biāo)，觀看顯示器上的畫面，接觸不到DCS系統(tǒng)的電腦主機(jī)。人/機(jī)隔離，隔絕了人為使用U盤、光盤等移動(dòng)存儲(chǔ)設(shè)備帶入病毒的途徑。

3.5 DCS網(wǎng)絡(luò)邊界防護(hù)

由于企業(yè)管理和發(fā)展的需要，鄂爾多斯煤制油分公司開(kāi)始建設(shè)企業(yè)資源計(jì)劃管理系統(tǒng)(ERP)和制造執(zhí)行系統(tǒng)(MES)。DCS數(shù)據(jù)作為MES系統(tǒng)的基礎(chǔ)數(shù)據(jù)，需要DCS系統(tǒng)與企業(yè)信息網(wǎng)連接。DCS系統(tǒng)不再是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)，要與企業(yè)信息系統(tǒng)甚至互聯(lián)網(wǎng)進(jìn)行互通、互聯(lián)。將DCS系統(tǒng)直接暴露于公共網(wǎng)絡(luò)之中，面臨更多的危險(xiǎn)。MES系統(tǒng)是Experion PKS系統(tǒng)的第四層，為了保證DCS系統(tǒng)安全，需要增加DCS網(wǎng)絡(luò)的邊界防護(hù)，以降低由企業(yè)信息網(wǎng)引入的安全風(fēng)險(xiǎn)。在Experion PKS系統(tǒng)的第三層和第四層網(wǎng)絡(luò)之間增加了隔離區(qū)(DMZ)。

按照Honeywell Experion PKS的系統(tǒng)架構(gòu)，隔離區(qū)由工業(yè)防火墻和鏡像服務(wù)器構(gòu)成。DCS系統(tǒng)通過(guò)工業(yè)防火墻連接到PHD鏡像服務(wù)器，再通過(guò)PHD鏡像服務(wù)器連接到企業(yè)信息網(wǎng)，PHD服務(wù)器的數(shù)據(jù)通過(guò)工業(yè)防火墻發(fā)送到PHD鏡像服務(wù)器并實(shí)現(xiàn)數(shù)據(jù)相對(duì)同步，PHD鏡像服務(wù)器對(duì)企業(yè)信息網(wǎng)開(kāi)放，其系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

由于防火墻具有數(shù)據(jù)雙向傳輸?shù)奶匦裕虼朔阑饓顽R像服務(wù)器組成的隔離區(qū)技術(shù)，也同樣存在黑客穿過(guò)隔離區(qū)攻擊DCS系統(tǒng)的危險(xiǎn)[9]。而且，2014年4月8日以后微軟公司停止對(duì)Windows XP系統(tǒng)的技術(shù)支持服務(wù)，不再提供更新補(bǔ)丁修補(bǔ)系統(tǒng)漏洞[10]。黑客很可能利用系統(tǒng)漏洞對(duì)DCS系統(tǒng)進(jìn)行攻擊。DCS與MES之間只需要數(shù)據(jù)從DCS流向MES的單一信息流向,不需要反向流。為了確保DCS系統(tǒng)安全、穩(wěn)定運(yùn)行，技術(shù)人員決定用單向隔離網(wǎng)閘替換工業(yè)防火墻。DCS系統(tǒng)通過(guò)單向隔離網(wǎng)閘連接到PHD鏡像服務(wù)器，PHD鏡像服務(wù)器連接到企業(yè)信息網(wǎng)，將PHD服務(wù)器的數(shù)據(jù)單向傳送到PHD鏡像服務(wù)器并對(duì)企業(yè)信息網(wǎng)開(kāi)放。企業(yè)信息管理系統(tǒng)只能讀取PHD鏡像服務(wù)器上的數(shù)據(jù)，不能訪問(wèn)DCS系統(tǒng)內(nèi)部設(shè)備，即使黑客攻擊了鏡像服務(wù)器，也無(wú)法逆向穿過(guò)單向隔離網(wǎng)閘進(jìn)入DCS系統(tǒng)。單向隔離網(wǎng)閘具有數(shù)據(jù)單向傳輸?shù)奶匦?，能夠完全隔離來(lái)自工業(yè)控制系統(tǒng)外部的網(wǎng)絡(luò)威脅[11]。

圖3 Experion PKS系統(tǒng)四層網(wǎng)絡(luò)架構(gòu)

4 DCS系統(tǒng)的安全管理

據(jù)統(tǒng)計(jì)，來(lái)自企業(yè)外網(wǎng)的威脅只占20%，來(lái)自企業(yè)內(nèi)部的威脅高達(dá)80%。為了實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全可靠運(yùn)行，一方面要防止來(lái)自外部網(wǎng)絡(luò)的病毒、木馬和黑客攻擊；另一方面還要防止來(lái)自工業(yè)控制系統(tǒng)內(nèi)部的病毒帶入和傳播[12]。在實(shí)施網(wǎng)絡(luò)安全防護(hù)技術(shù)的基礎(chǔ)上，加強(qiáng)工業(yè)控制系統(tǒng)的安全管理和漏洞堵塞，防止病毒帶入也是不可缺少的。為此，制定了DCS系統(tǒng)安全運(yùn)行管理的相關(guān)規(guī)定：

a. 禁止U盤及手機(jī)等移動(dòng)存儲(chǔ)設(shè)備與DCS計(jì)算機(jī)連接；

b. 在服務(wù)器和操作站的注冊(cè)表中關(guān)閉USB口，USB接口外部加鉛封，啟用的USB口用過(guò)后要重新關(guān)閉并進(jìn)行鉛封；

c. 拷貝過(guò)程數(shù)據(jù)時(shí)，要有審批單和授權(quán)，只允許在指定操作站上使用光盤刻錄機(jī)刻制光盤，不允許使用其他移動(dòng)存儲(chǔ)介質(zhì)復(fù)制數(shù)據(jù)；

d. 為每臺(tái)服務(wù)器配備兩塊專用移動(dòng)硬盤，備份兩份系統(tǒng)數(shù)據(jù)庫(kù)，異地保存并及時(shí)更新，同時(shí)不允許移動(dòng)硬盤交叉使用；

e. 使用DCS制造商認(rèn)證的補(bǔ)丁軟件光盤，離線打補(bǔ)丁，禁止使用網(wǎng)上下載的補(bǔ)丁軟件和在線打補(bǔ)丁操作；

f. 使用DCS制造商認(rèn)證的病毒查殺光盤，離線病毒查殺，禁止使用網(wǎng)上下載的殺病毒軟件和在線病毒查殺；

g. 利用裝置大檢修時(shí)間，將所有操作站、工程師站和服務(wù)器離線，統(tǒng)一進(jìn)行病毒查殺和打補(bǔ)丁，確定沒(méi)有病毒后，再恢復(fù)網(wǎng)絡(luò)連接，病毒查殺后防病毒軟件要卸載，以免影響DCS系統(tǒng)正常運(yùn)行；

h. 工程師站和服務(wù)器的密碼定期更換，防止密碼泄露，DCS機(jī)柜間和機(jī)柜門上鎖，鑰匙由專人保管；

i. 用于DCS組態(tài)的筆記本電腦，不準(zhǔn)連接企業(yè)管理網(wǎng)或外網(wǎng)，也不準(zhǔn)安裝其他軟件或用于其他控制系統(tǒng)組態(tài)，必須“專本專用”；

j. 委托DCS制造商定期對(duì)系統(tǒng)進(jìn)行安全測(cè)試和評(píng)估，發(fā)現(xiàn)問(wèn)題及時(shí)處理；

k. DCS制造商的技術(shù)人員現(xiàn)場(chǎng)服務(wù)時(shí)應(yīng)使用系統(tǒng)配置的專用筆記本電腦，如果使用自帶的筆記本電腦必須經(jīng)過(guò)安全確認(rèn)才可以連接系統(tǒng)，工作時(shí)必須有本公司的DCS系統(tǒng)維護(hù)人員監(jiān)護(hù)；

l. 企業(yè)管理用的電腦遠(yuǎn)離工業(yè)控制系統(tǒng)安裝，避免安裝距離太近網(wǎng)線接錯(cuò)，造成DCS網(wǎng)絡(luò)直接連到企業(yè)管理網(wǎng)或非授權(quán)設(shè)備接入DCS系統(tǒng)；

m. 指派有系統(tǒng)維護(hù)經(jīng)驗(yàn)的工程師專職負(fù)責(zé)DCS的安全工作。

5 結(jié)束語(yǔ)

鄂爾多斯煤制油分公司DCS系統(tǒng)通過(guò)實(shí)施網(wǎng)絡(luò)橫向分段和縱向分層隔離、防病毒及域控制等綜合防護(hù)措施，有效防止了DCS系統(tǒng)內(nèi)部的病毒帶入和傳播。通過(guò)網(wǎng)絡(luò)邊界防護(hù)，采用隔離區(qū)和單向隔離網(wǎng)閘技術(shù)，隔絕了來(lái)自外部網(wǎng)絡(luò)的威脅。并結(jié)合安全管理措施，實(shí)現(xiàn)了工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行的目標(biāo)。