賴紅嬌

(中國神華煤制油化工有限公司 鄂爾多斯煤制油分公司，內(nèi)蒙古 鄂爾多斯 017209)

隨著工業(yè)化、信息化“兩化融合”的發(fā)展，工業(yè)控制系統(tǒng)環(huán)境不再封閉，傳統(tǒng)的工業(yè)控制系統(tǒng)正在利用計算機網(wǎng)絡(luò)技術(shù)快速地發(fā)展，以各種方式連接到互聯(lián)網(wǎng)中，互聯(lián)網(wǎng)中的病毒、木馬等不安全因素不斷沖擊著工業(yè)控制系統(tǒng)，給工業(yè)控制系統(tǒng)信息安全防護帶來了新的挑戰(zhàn)。

1 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

1.1 工業(yè)控制系統(tǒng)信息安全事件高發(fā)

近年來工業(yè)控制系統(tǒng)信息安全事件數(shù)量呈上升趨勢，一直被認為相對安全、相對封閉的工業(yè)控制系統(tǒng)已經(jīng)逐步開放，成為黑客的攻擊目標(biāo)。據(jù)權(quán)威機構(gòu)美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)發(fā)布的工控網(wǎng)絡(luò)安全數(shù)據(jù)庫的數(shù)據(jù)表明，自2010年起，工業(yè)控制系統(tǒng)信息安全事件大幅增長，由2010年的39起增長至2015年的295起，ICS-CERT工業(yè)控制系統(tǒng)信息安全事件統(tǒng)計如圖1所示。

圖1 ICS-CERT工業(yè)控制系統(tǒng)信息安全事件統(tǒng)計示意

1.2 工業(yè)控制系統(tǒng)漏洞數(shù)量逐年遞增

工業(yè)控制系統(tǒng)應(yīng)用空間相對封閉，在設(shè)計之初很少考慮信息安全問題，隨著系統(tǒng)的開放，系統(tǒng)漏洞不斷涌現(xiàn)，黑客極有可能通過這些漏洞發(fā)起對工業(yè)控制系統(tǒng)有針對性的攻擊。2016年中國互聯(lián)網(wǎng)安全大會工業(yè)互聯(lián)網(wǎng)安全論壇中提到：“2000年至2016年間已發(fā)現(xiàn)1 552個工業(yè)控制軟硬件設(shè)備漏洞，涉及123家工控廠商，其中516個沒有被修復(fù)”。工業(yè)控制系統(tǒng)的漏洞問題已經(jīng)十分嚴重，如何解決工業(yè)控制系統(tǒng)信息安全問題已經(jīng)成為工控企業(yè)面臨的嚴峻挑戰(zhàn)。2012—2014年統(tǒng)計的漏洞報告和涉及的工控產(chǎn)品見表1所列。

表1 工業(yè)控制系統(tǒng)漏洞及涉及工控產(chǎn)品統(tǒng)計 個

2 工業(yè)控制系統(tǒng)

2.1 工業(yè)控制系統(tǒng)的概述

工業(yè)控制系統(tǒng)是集計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)相結(jié)合的各種自動化系統(tǒng)的統(tǒng)稱，用于實現(xiàn)工業(yè)生產(chǎn)的數(shù)據(jù)采集、過程控制、程序控制、圖形顯示等，如分散控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、可編程控制器(PLC)等。

中國神華煤制油化工有限公司工業(yè)控制系統(tǒng)有DCS，SCADA，PLC，其中DCS采用Honey well的E-PKS系統(tǒng)；SCADA采用愛克訊公司的SCADAPack RTU系統(tǒng)，與DCS有統(tǒng)一的操作界面；PLC則有Siemens，AB，GE等公司的系統(tǒng)。

2.2 煤制油項目工業(yè)控制系統(tǒng)信息化的現(xiàn)狀

該公司設(shè)計時，計劃聯(lián)合控制室9個，就地控制室3個，各控制系統(tǒng)網(wǎng)絡(luò)相對獨立，不同的控制系統(tǒng)之間采用RS-458通信協(xié)議，該情況下的工業(yè)控制系統(tǒng)只有控制網(wǎng)和管理網(wǎng)。

投產(chǎn)運行后，隨著生產(chǎn)過程控制的復(fù)雜化，該公司建設(shè)了生產(chǎn)管理控制中心(PMCC)，各個聯(lián)合控制室中的生產(chǎn)數(shù)據(jù)通過單膜光纜傳輸?shù)絇MCC，用于實現(xiàn)生產(chǎn)調(diào)度對生產(chǎn)過程中重要參數(shù)的實時監(jiān)視，統(tǒng)籌全公司的生產(chǎn)管理?？刂葡到y(tǒng)網(wǎng)絡(luò)由單純的二層結(jié)構(gòu)變?yōu)榭刂凭W(wǎng)、管理網(wǎng)和高級應(yīng)用網(wǎng)3層結(jié)構(gòu)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。該情況下的控制系統(tǒng)從各個獨立的控制網(wǎng)絡(luò)，連接成一個大的工業(yè)控制網(wǎng)絡(luò)，但該控制網(wǎng)絡(luò)還相對獨立，沒有連入互聯(lián)網(wǎng)。

圖2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意

為了進一步實現(xiàn)管理與控制的一體化，提高公司信息化合綜合管理水平，實現(xiàn)生產(chǎn)和管理的高效率，2011年該公司開始籌備生產(chǎn)信息化管理系統(tǒng)(MES)，面向MES開放了控制系統(tǒng)網(wǎng)絡(luò)，實現(xiàn)了企業(yè)信息網(wǎng)絡(luò)與控制系統(tǒng)網(wǎng)絡(luò)之間的數(shù)據(jù)通信，控制系統(tǒng)不再是一個封閉的、獨立運行的系統(tǒng)，而要與MES互聯(lián)，與互聯(lián)網(wǎng)連接，該情況下工業(yè)控制系統(tǒng)信息安全面臨了嚴峻的考驗！

3 控制系統(tǒng)信息安全面臨的風(fēng)險與威脅

3.1 與互聯(lián)網(wǎng)連接后存在的風(fēng)險

該公司將控制系統(tǒng)與MES互聯(lián)，而且，隨著信息化的不斷發(fā)展，控制網(wǎng)絡(luò)將越來越開放，互聯(lián)網(wǎng)的危險因素對控制系統(tǒng)的沖擊將越來越大。

3.2 控制系統(tǒng)軟硬件漏洞劇增

工業(yè)控制系統(tǒng)中使用的設(shè)備、協(xié)議及各種應(yīng)用軟件在設(shè)計開發(fā)時，更多的是為了實現(xiàn)功能，注重可用性，安全性考慮不足，存在著大量的安全漏洞。隨著信息技術(shù)的發(fā)展，黑客可以通過這些漏洞發(fā)起對控制系統(tǒng)有針對性的攻擊行為，嚴重影響著工業(yè)的安全生產(chǎn)。

3.3 操作系統(tǒng)的風(fēng)險

該公司控制系統(tǒng)的服務(wù)器、操作站大量使用Windows系統(tǒng)，由于微軟公司已經(jīng)停止了對部分系統(tǒng)的技術(shù)支持服務(wù)，不再提供更新補丁修補系統(tǒng)漏洞，黑客很可能利用系統(tǒng)漏洞攻擊工控主機。

3.4 病毒和木馬的威脅

開放的控制系統(tǒng)環(huán)境為病毒、木馬提供了更多機會。病毒、木馬通過互聯(lián)網(wǎng)可入侵到控制系統(tǒng)中，在工控主機之間迅速傳播。非針對性的病毒，如2017年5月12日爆發(fā)的“永恒之藍”勒索病毒，只要開機上網(wǎng)，就能利用計算機的漏洞自動植入，遠程控制木馬等惡意程序，加密文件，甚至讓電腦無法啟動。有針對性的攻擊工業(yè)控制系統(tǒng)設(shè)備的病毒，如“震網(wǎng)”病毒，任何1臺主機只要與染毒主機相連，就會被感染，并且在不易被察覺的情況下取得一些工控主機電腦軟件的控制權(quán)，并“發(fā)號施令”，造成生產(chǎn)失控。無論病毒、木馬是否具有針對性或破壞力，其在網(wǎng)絡(luò)中大規(guī)模的傳播、復(fù)制，會消耗網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)堵塞或網(wǎng)絡(luò)風(fēng)暴。

3.5 管理制度不完善

工業(yè)控制系統(tǒng)信息安全近幾年才被廣泛重視，處于起步階段，許多工控企業(yè)管理制度不健全，應(yīng)急響應(yīng)機制欠缺，人員配置缺乏，人員培訓(xùn)不足等，均對工業(yè)控制系統(tǒng)信息安全構(gòu)成了威脅。

4 控制系統(tǒng)信息安全防范措施

控制系統(tǒng)對生產(chǎn)過程進行控制，而信息系統(tǒng)是利用計算機技術(shù)實現(xiàn)網(wǎng)絡(luò)上數(shù)據(jù)信息的共享。控制系統(tǒng)對數(shù)據(jù)的實時性、連續(xù)性要求較高，有專有的通信協(xié)議及軟件平臺，兼容性差。而信息系統(tǒng)對數(shù)據(jù)傳輸要求不高，允許數(shù)據(jù)中斷或延遲，使用TCP/IP協(xié)議進行數(shù)據(jù)交換，兼容性較好。因此控制系統(tǒng)既要考慮信息安全防護的能力，還要保證企業(yè)連續(xù)、穩(wěn)定、安全的生產(chǎn)。

4.1 控制系統(tǒng)信息安全防范步驟一

2010年8月，該公司煤液化聯(lián)合控制室在正常生產(chǎn)運行期間，多個生產(chǎn)單元所有操作站均發(fā)生與服務(wù)器、控制器通信異常，出現(xiàn)時通時斷的現(xiàn)象，故障現(xiàn)象持續(xù)約5 h，影響了生產(chǎn)人員對現(xiàn)場的監(jiān)視和控制，整個事件是由于交換機網(wǎng)絡(luò)負荷過高而引起的網(wǎng)絡(luò)擁堵造成的。2011年，針對該事件，該公司重新規(guī)劃工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，將該聯(lián)合控制室中一個大的網(wǎng)絡(luò)以生產(chǎn)單元為單位劃分為若干個小的網(wǎng)絡(luò)，各個小的網(wǎng)絡(luò)處于不同的網(wǎng)段，當(dāng)某網(wǎng)絡(luò)出現(xiàn)故障時，只影響對應(yīng)的生產(chǎn)單元，做到了單元隔離，第一次整改如圖3所示。為保證工業(yè)控制系統(tǒng)信息安全，該公司又整改了同類的其他控制系統(tǒng)網(wǎng)絡(luò)。

圖3 第一次整改后的控制系統(tǒng)網(wǎng)絡(luò)

4.2 控制系統(tǒng)信息安全防范步驟二

2011年，該公司建設(shè)了MES，面向公司企業(yè)網(wǎng)開放了數(shù)據(jù)，控制系統(tǒng)從此不再獨立。為保證控制系統(tǒng)信息安全，該公司在第3層高級應(yīng)用網(wǎng)和第4層企業(yè)信息網(wǎng)之間增加了防火墻，并在防火墻外又增加了1臺鏡像服務(wù)器，鏡像服務(wù)器作為與外界數(shù)據(jù)通信的介質(zhì)，可避免外界服務(wù)器直接與生產(chǎn)網(wǎng)中的服務(wù)器直接通信。

4.3 控制系統(tǒng)信息安全防范步驟三

2016年，該公司MES正式上線運行，考慮到控制系統(tǒng)信息安全的形勢，該公司在第2層管理網(wǎng)和第3層高級應(yīng)用網(wǎng)之間增加了一道防火墻，使工業(yè)控制系統(tǒng)的過程控制層多了一道門，并重新規(guī)劃高級應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)，建立了3.5層隔離區(qū)(DMZ)，進一步加強了工業(yè)控制系統(tǒng)信息安全防護能力，加強了與企業(yè)信息網(wǎng)、互聯(lián)網(wǎng)的隔離。

4.4 控制系統(tǒng)信息安全防范步驟四

近幾年，國家對工業(yè)控制系統(tǒng)信息安全越來越重視，出臺了一系列法規(guī)和文件，該公司依據(jù)這些要求，先后組織了控制系統(tǒng)信息安全方面的內(nèi)部檢查和整改工作，完善了公司內(nèi)部的管理，控制系統(tǒng)信息安全風(fēng)險正逐步下降。

1) 建立健全控制系統(tǒng)信息安全管理制度，制訂了《網(wǎng)絡(luò)安全管理辦法》，成立了工業(yè)控制系統(tǒng)信息安全管理組織機構(gòu)。

2) 編制了《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》，并依據(jù)應(yīng)急預(yù)案組織開展應(yīng)急演練，提高工作應(yīng)變能力。

3) 組織相關(guān)人員學(xué)習(xí)工業(yè)控制系統(tǒng)相關(guān)的法規(guī)文件，開展工業(yè)控制系統(tǒng)信息安全培訓(xùn)工作，提高人員的安全工作意識。

4) 完成了部分裝置控制系統(tǒng)的軟硬件升級工作，使用新版的Windows操作系統(tǒng)，避免了系統(tǒng)技術(shù)不支持等一系列問題，杜絕黑客利用這些系統(tǒng)漏洞攻擊工業(yè)控制主機。

5) 加強控制系統(tǒng)的密碼管理，對操作系統(tǒng)、應(yīng)用軟件、控制設(shè)備等密碼制訂定期更改計劃。加強口令強度，密碼要求設(shè)置口令長度至少8位，由非純數(shù)字或字母組成。

6) 對控制系統(tǒng)經(jīng)常殺毒，并啟用防病毒服務(wù)器，保證控制系統(tǒng)的安全運行。

7) 規(guī)范工業(yè)控制系統(tǒng)的USB口管理工作。

8) 對進出控制系統(tǒng)機房的人員和物品加以控制和記錄，規(guī)范控制系統(tǒng)機房外來人員出入登記記錄等。

4.5 控制系統(tǒng)信息安全防范步驟五

2017年，該公司對控制系統(tǒng)信息安全工作更加重視。采取了邊界隔離、區(qū)域隔離、主機防護等方案，加強控制系統(tǒng)信息安全。整改后的系統(tǒng)結(jié)構(gòu)如圖4所示。

圖4 第五次整改后的系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

1) 邊界隔離。加強控制系統(tǒng)的大門防護，從根源上杜絕企業(yè)信息網(wǎng)絡(luò)不安全因素的入侵。在控制系統(tǒng)網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)之間增加單向網(wǎng)閘進行安全防護隔離，起到訪問控制、病毒木馬防護和保護生產(chǎn)數(shù)據(jù)的作用，實現(xiàn)數(shù)據(jù)的單向通信，杜絕一切外來信息傳回工業(yè)控制系統(tǒng)。

2) 區(qū)域隔離。為保證各聯(lián)合控制室控制系統(tǒng)的相對獨立，在高級應(yīng)用網(wǎng)與部分聯(lián)合控制室之間部署工業(yè)防火墻進行裝置間控制系統(tǒng)隔離，阻止病毒、木馬的入侵和擴散等，即使一個裝置控制系統(tǒng)出現(xiàn)問題，也不會影響到其他裝置控制系統(tǒng)，將危險源控制在有效范圍。

3) 主機安全防護。在部分主機上部署工業(yè)主機安全防護系統(tǒng)，只允許經(jīng)過工控自身授權(quán)的軟件運行，確?？刂葡到y(tǒng)內(nèi)部最小化的運行環(huán)境，阻止惡意軟件執(zhí)行及非法進程運行，保證安全生產(chǎn)。同時可以有效地管理USB口權(quán)限，避免外部設(shè)備帶來的病毒、木馬入侵的風(fēng)險。

該次安全防范工作將全面提高該公司控制系統(tǒng)網(wǎng)絡(luò)的整體安全性，解決網(wǎng)絡(luò)、主機、應(yīng)用等方面的信息安全隱患，從物理層面上解決與互聯(lián)網(wǎng)連通的安全問題，有效、及時地避免利用控制系統(tǒng)軟硬件漏洞的惡意入侵和突發(fā)病毒、木馬的感染，確保生產(chǎn)工藝能夠安全、穩(wěn)定、高效地運行。

5 結(jié)束語

通過分析控制系統(tǒng)信息安全面臨的風(fēng)險和威脅，該公司不斷探索，不斷實踐，多年來分多次開展工業(yè)控制系統(tǒng)信息安全防護工作，從內(nèi)部的企業(yè)管理到外部的軟硬件技術(shù)實施，該公司都取得很好的成果，獲得了一些經(jīng)驗。