王云龍

（艾默生過程控制有限公司 上海市 201206）

1 引言

工業(yè)控制系統(tǒng)在國民經(jīng)濟發(fā)展中起到了重要作用，尤其是其對生產(chǎn)企業(yè)的生產(chǎn)效率的提升是有目共睹的，那么在數(shù)字化浪潮的沖擊下工業(yè)控制系統(tǒng)是否需要進行信息安全防護呢[1]？答案顯然是肯定的。尤其是以等保2.0 為代表的各種網(wǎng)絡安全評估[2]從另一個角度說明了國家對工業(yè)控制系統(tǒng)信息安全保護工作的充分重視。

Ovation[3]DCS 及其附屬的多種配套控制系統(tǒng)和相關衍生產(chǎn)品已經(jīng)在全球電力行業(yè)中獲得廣泛應用，尤其是隨著中國電力市場的快速增長，Ovation DCS 已經(jīng)占據(jù)了龐大的市場份額，成為眾多包括核電站[4]在內的電力企業(yè)首選的分散控制系統(tǒng)。但是隨著電力市場自主可控戰(zhàn)略的提出，對源自美國的控制系統(tǒng)如何實現(xiàn)自主可控的問題就擺在行業(yè)專家的面前[5]，其中一種可行的舉措是在這套工業(yè)控制系統(tǒng)上嵌入一套完全國產(chǎn)化的網(wǎng)絡安全系統(tǒng)，制定相應的應急處置方案[6]，滿足中華人民共和國網(wǎng)絡安全法、工信部行動計劃[7]、等保2.0 的實際要求。本文總結了作者從事為工業(yè)控制系統(tǒng)DCS 添加信息安全設備的實際兼容性測試經(jīng)驗，倉促成文與大家共享。

2 Ovation DCS系統(tǒng)結構特點

Ovation 是一種分散控制系統(tǒng)，它的模塊化設計允許用戶按自己的需求配置過程管理系統(tǒng)。每個網(wǎng)絡可以配置最多254 個智能模塊（通常我們稱之為drop），每個drop 都是可以獨立執(zhí)行多種功能的分立模塊。Ovation 采用商用的硬件平臺，操作系統(tǒng)，和開放的網(wǎng)絡技術。它具有如下結構特點：

各個工作站和控制器連接到了冗余的高速網(wǎng)絡，并用高速以太網(wǎng)標準收發(fā)數(shù)據(jù)。

過程正常運行的各種操作是通過工作站來完成的，工作站一般是基于Solaris 或者是Windows 操作系統(tǒng)的，工作站通常通過交換機連接到網(wǎng)絡上進行收發(fā)數(shù)據(jù)。

控制器執(zhí)行模擬量和順序控制并與各種輸入輸出卡件進行通訊，控制器被稱為drop 時包含了輸入輸出卡件，而這些卡件會與安裝于現(xiàn)場設備的傳感器相連，這些傳感器測量過程點的值通過控制器在高速以太網(wǎng)上廣播。

硬件部分包括機柜、電纜、和各種接地設備。

輸入/輸出卡件（簡稱I/O 卡件）作為現(xiàn)場信號與控制器的接口，控制器通過高速以太網(wǎng)把現(xiàn)場信號傳送到各個工作站；反過來，信息從工作站被送到控制器，這樣控制器可以進行相應的調整。

Ovation 工作站中運行的軟件包執(zhí)行著配置、管理和操作Ovation 系統(tǒng)的任務。

這種分散的結構特點和開放的系統(tǒng)結構給入侵者提供了偵測并利用各種漏洞進行違法犯罪活動的機會[8]，為此需要添加相應的網(wǎng)絡安全設備并進行必要的系統(tǒng)加固以應對可能的安全風險[9]，但是添加網(wǎng)絡安全設備到現(xiàn)有系統(tǒng)之前必須進行兼容性測試，對這個兼容性測試所要秉承的原則和具體過程，現(xiàn)在我們進行一一介紹。

3 添加信息安全設備的需求分析

任何系統(tǒng)都不是完美的，原自美國的Ovation DCS 系統(tǒng)也不例外，它是大型工廠的神經(jīng)系統(tǒng)，其運行的保密性、完整性、可用性對實現(xiàn)客戶的經(jīng)濟利益甚至國家的電力安全都是至關重要的。加之國家對關鍵基礎設施的自主可控要求，不管是從國家層面還是從客戶層面，對火電工控系統(tǒng)網(wǎng)絡安全方案的設計[10]以及添加信息安全設備的需求都急需得到滿足。但是擺在Ovation 客戶面前的是一個兩難的選擇，首先Ovation 系統(tǒng)屬于海外研發(fā)的產(chǎn)品，它不太可能、也難以直接獲得以公安部三所為代表的國家政府的測試許可；一般的國產(chǎn)信息安全產(chǎn)品又難以證明自己和Ovation 系統(tǒng)是兼容的，不能保證其嵌入Ovation 進行使用的過程中的可用性，不能排除其對Ovation 正常運行的影響；尤其是等保2.0 等標準中明確指出信息安全系統(tǒng)添加的前提是不得影響大型工廠的正常運行，尤其像發(fā)電廠這種關鍵基礎設施。DCS 廠家需要被認可的網(wǎng)絡安全解決方案借以鞏固其安裝機組的穩(wěn)固，信息安全廠家希望自己的產(chǎn)品能供成功的應用于廣闊的工業(yè)控制領域。綜合各方需求，我負責籌建一個位于上海的研發(fā)測試實驗室，用以統(tǒng)合各方需求，進行相應的兼容性測試，以期推出一個國產(chǎn)的網(wǎng)絡安全解決方案?，F(xiàn)就相關工作進行介紹如下。

4 可行性研究及測試原則的提出

艾默生已經(jīng)開發(fā)了一套基于美國標準的網(wǎng)絡安全解決方案（PWCS），這套系統(tǒng)已經(jīng)在北美、中東、韓國、中國等地有了成功應用，它可以作為參考的樣本，在測試國產(chǎn)解決方案的時候進行借鑒；這套產(chǎn)品的測試主要在印度完成，可以邀請印度的測試工程師來國內進行工作，同時完成對上海工程師的在工作中培訓；在全球總裁的支持下，美國研發(fā)部門提供相應的測試用例以利參考；國產(chǎn)信息安全廠商提供設備、技術上的支持，各種資源可以調集到位。

由于Ovation 產(chǎn)品具有國際廣泛使用的特點，兼容性測試的過程中如果發(fā)現(xiàn)任何問題，需要由國產(chǎn)信息安全廠家進行相應修改，而不是改動Ovation DCS，這是一個重要原則，這也是對廣大已有的用戶下一步安裝網(wǎng)絡安全產(chǎn)品的可行措施。

5 實驗室網(wǎng)絡結構及軟硬件選型設計

選擇現(xiàn)役主流的四個系統(tǒng)版本：

Ovation3.3.1; Ovation3.5.0; Ovation3.5.1; Ovation3.6.0 組成四個獨立的局域網(wǎng)，網(wǎng)絡編號分別為Net4;Net2;Net1;Net3。每個網(wǎng)絡自成最小系統(tǒng)，濃縮盡可能多的DCS 功能模塊，基本上每個網(wǎng)絡中都配備一臺數(shù)據(jù)庫服務器兼域控制器、一臺歷史站兼歷史收集客戶端、一臺DMZ（OPC）站兼操作員站兼各種附加功能模塊。具體配置參閱表1。

表1

另外配置集中網(wǎng)絡柜和控制器柜各一面，配置原則是可兼容多版本DCS 的Cisco2960+；Cisco3650 交換機，可以通過刷不同的配置文件扮演不同的交換機角色，可以使四個網(wǎng)絡單獨成網(wǎng)并進行多網(wǎng)通信，也可以多臺交換機聯(lián)合成復雜局域網(wǎng)模擬可能的各種網(wǎng)絡負荷場景；控制器配置原則也是根據(jù)不同版本Ovation 發(fā)布說明考慮最大兼容性，盡量做到最小的更換次數(shù)模擬更多的應用場景，另外附加了標準Ovation IO Base 槽位以便隨時插接不同類型的主流應用卡件，如LC 通信卡、VP 卡、AI/AO 卡、DI/DO 卡、各種總線卡等等。

總之實驗室設計以盡量符合中國用戶實際運行場景為宜，預置相應數(shù)量的網(wǎng)線、電源線、各種通信線等。

申請試驗測試專用的License,申請原則為多功能多用途高度集中但是控制器等允許個數(shù)盡量的少，以減少License 被盜可能產(chǎn)生的商業(yè)風險。

6 測試步驟和具體方法

總體上按先后順序需要分成如下幾個部分：

（1）工業(yè)控制系統(tǒng)和網(wǎng)絡安全系統(tǒng)融合的拓撲結構及接口部位的選擇；

（2）網(wǎng)絡安全設備接入后其預期應實現(xiàn)的功能的測試和異常情況處理；

（3）工業(yè)控制系統(tǒng)本身基礎功能和附加功能的逐項測試；

（4）網(wǎng)絡安全系統(tǒng)保持不變進行工業(yè)控制系統(tǒng)各個功能模塊調整重裝測試；

（5）工業(yè)控制系統(tǒng)保持不變進行網(wǎng)絡安全系統(tǒng)各個功能模塊調整升級測試；

（6）測試報告和解決方案發(fā)布文件記錄的完善。

其中第2 點主要應用網(wǎng)絡安全設備廠家的研發(fā)測試用例逐項核對測試，并進行必要的添減；第3 點為兼容性測試的核心步驟，現(xiàn)就其具體實施方案闡述如下：

1.起草軟件測試計劃（Software Test Plan， STP），主要包括軟件測試的目的、基本情況介紹、需要測試的項目范圍、不需要測試的項目范圍、測試的方法、軟硬件資源配備、測試工程師及培訓需求、測試步驟、質量記錄保存、測試計劃簽章。其中包括結合Ovation 應用實踐進行的定制化修改，主要是界面和功能的選擇和多軟件包融合工作。

2.軟件驗證測試程序（Software Validation Test Procedure, SVTP）報美國研發(fā)部審批，主要有如下幾種SVTP 需要報批：Ovation Basic Functions，OVATIONAutoCAD FreeControl Builder，Ovation OptionalSW，Ovation Studio, OVATIONWindowsBasic Security, OVATIONWindowsGraphic Builder, OVATION WINDOWSOperator Station.獲批之后的SVTP 成為后續(xù)兼容性測試的主要依據(jù)和操作指南。

C, 測試過程中有任何異常發(fā)現(xiàn)（findings），和網(wǎng)絡安全設備廠家研發(fā)及時溝通進行其單方面整改。

7 網(wǎng)絡安全系統(tǒng)各種設備及其接入方案

7.1 工業(yè)防火墻

PWCS-C 工業(yè)防火墻是專為工業(yè)控制網(wǎng)絡設計的一款工控防火墻產(chǎn)品，產(chǎn)品型號為PWCS-C-IFW1000。本產(chǎn)品通過串聯(lián)的網(wǎng)絡接入模式（同時支持電口和光口），詳實檢測通過本產(chǎn)品的網(wǎng)絡通信行為。通過對通信流量中的工業(yè)控制協(xié)議（如Modbus TCP、 OPC、DNP3、S7、IEC 60870-5-104 等）通信報文的深度解析（DPI，Deep Packet Inspection），實時檢測針對工業(yè)協(xié)議的黑客攻擊行為、用戶的誤操作行為、用戶的違規(guī)操作行為、非法設備接入以及蠕蟲、病毒等惡意軟件傳播的行為進行阻攔并實時告警，為工業(yè)控制系統(tǒng)的安全運行及事故調查提供堅實的基礎。產(chǎn)品采用完全符合工業(yè)標準的自主設計，可以部署和應用到各種復雜的工業(yè)生產(chǎn)環(huán)境。產(chǎn)品硬件經(jīng)過CE，CC 和FCC 等業(yè)內頂級標準認證，可以穩(wěn)定長期的不間斷運行。

PWCS-C 工業(yè)防火墻在管理形式上采用集中管理分散部署的方式，對工業(yè)防火墻進行配置管理的統(tǒng)一安全管理平臺（PWCS-CSMP1000）是 “OVATION 工控安全解決方案PWCS-C” 不可分割的一部分。 “統(tǒng)一安全管理平臺（PWCS-C-SMP1000）” 采用B/S 架構，管理員可在任意連通到管理平臺的機器上便捷的訪問和管理，大幅提高運維效率，有效降低維護成本。

7.2 網(wǎng)絡審計終端

PWCS-C 工控安全監(jiān)測與審計終端是專為工業(yè)控制網(wǎng)絡設計的一款通信流量監(jiān)測審計安全產(chǎn)品，產(chǎn)品型號為PWCS-C-MA1000。本產(chǎn)品通過旁路或串聯(lián)的網(wǎng)絡接入模式（同時支持電口和光口）詳實記錄通過本產(chǎn)品的網(wǎng)絡通信行為。通過對通信流量中的工業(yè)控制協(xié)議（如Modbus TCP、 OPC、DNP3、S7、IEC 60870-5-104 等）通信報文的深度解析（DPI，Deep Packet Inspection），實時記錄針對工業(yè)協(xié)議的黑客攻擊行為、用戶的誤操作行為、用戶的違規(guī)操作行為、非法設備接入以及蠕蟲、病毒等惡意軟件傳播的行為進行實時告警，為工業(yè)控制系統(tǒng)的安全運行及事故調查提供堅實的基礎。

7.3 主機安全防護系統(tǒng)

PWCS-C 主機安全防護系統(tǒng)是專為工業(yè)控制網(wǎng)絡設計的一款工控主機安全產(chǎn)品，產(chǎn)品型號為PWCS-C-EG1000。PWCS-C 主機安全防護系統(tǒng)包括在工控主機上安裝的安全終端軟件艾默生工控主機衛(wèi)士客戶端（產(chǎn)品型號為PWCS-C-AGENT）、為確保工控主機間資料安全傳輸?shù)陌踩玌 盤（產(chǎn)品型號為PWCS-C-UD8）、為工控主機提供雙因子認證登錄支持的USBKey（產(chǎn)品型號為PWCS-CUKEY）。

通過PWCS-C 主機安全防護系統(tǒng)，可以實現(xiàn)對工業(yè)控制系統(tǒng)的軟件白名單管理（阻止非白名單內的程序運行）、對工控主機的外設管理（對普通U 盤的讀寫控制，以及提供加密的安全U 盤以便資料的安全傳輸）、對工控主機的操作系統(tǒng)加固（對系統(tǒng)注冊表的修改控制、對系統(tǒng)開機加載文件的保護，以及對系統(tǒng)重要文件的讀寫控制），對工控主機的雙因子認證登錄（通過USBKey 實現(xiàn)USBKey+密碼的雙因子認證登錄），可以有效阻止包括震網(wǎng)病毒、Flame、Havex、BlackEnergy 等在內的工控惡意代碼在工控主機上的感染、執(zhí)行和擴散。

7.4 網(wǎng)絡入侵檢測IDS

PWCS-C 入侵檢測系統(tǒng)是專為工業(yè)控制網(wǎng)絡設計的一款工控入侵檢測產(chǎn)品，產(chǎn)品型號為PWCS-C-IDS2000。本產(chǎn)品通過旁路部署模式，詳實檢測攻擊行為，并記錄日志。入侵檢測系統(tǒng)是依照安全策略，對工業(yè)網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，發(fā)現(xiàn)各種非法操作或異常行為的軟硬件一體化設備。該系統(tǒng)能夠深入分析網(wǎng)絡上捕獲的數(shù)據(jù)包，結合特征庫進行相應的行為匹配，及時發(fā)現(xiàn)來自生產(chǎn)網(wǎng)外部或內部違反安全策略的行為及被攻擊的跡象，幫助工業(yè)用戶及時采取應對措施，最終達到保護生產(chǎn)網(wǎng)絡安全的目的。

PWCS-C入侵檢測系統(tǒng)在管理形式上采用Web UI管理的方式，采用B/S 架構，管理員可在任意連通到入侵檢測系統(tǒng)的機器上便捷的訪問和管理，大幅提高運維效率，有效降低維護成本。

上述網(wǎng)絡安全設備的接入方式及其于工業(yè)控制系統(tǒng)融合的拓撲結構如圖1 所示。

8 測試所得解決方案發(fā)布程序

兼容性測試結束前要完成的程序主要有：開發(fā)信息發(fā)布（Development Information Release，DIR）；新附加的網(wǎng)絡安全產(chǎn)品手冊的編寫和校對；測試記錄的整理和存檔；準備發(fā)布會議的組織和召集；多渠道廣播發(fā)布?！蛾P于艾默生PWCS-C 網(wǎng)絡安全解決方案已通過Ovation 系統(tǒng)兼容性測試的說明》文件的發(fā)布。

其中DIR 的主要內容：

內容表，版本歷史記錄，信息匯總，網(wǎng)絡安全解決方案總體概述，網(wǎng)絡安全產(chǎn)品簡介，網(wǎng)絡安全產(chǎn)品圖紙部件號，網(wǎng)絡安全系統(tǒng)軟件介質，兼容性，安全管理平臺，網(wǎng)絡檢測審計，工業(yè)防火墻，入侵監(jiān)測，主機衛(wèi)士，安全U 盤，文檔列表，測試所用軟硬件環(huán)境。

9 結論

本文主要講述了艾默生PWCS-C 網(wǎng)絡安全解決方案通過Ovation 系統(tǒng)兼容性測試的具體研究和測試實踐，過程涉及到方方面面的技術要求和資源整合，其間細節(jié)不能一一盡述，主要內容有Ovation DCS 系統(tǒng)結構特點、添加信息安全設備的需求分析、可行性研究及測試原則的提出、實驗室網(wǎng)絡結構及軟硬件選型設計、測試步驟和具體方法、網(wǎng)絡安全系統(tǒng)各種設備及其接入方案、測試所得解決方案發(fā)布程序。希望能夠為各位讀者起到拋磚引玉的作用，為解決經(jīng)濟技術全球化過程中遇到的各區(qū)域計算機系統(tǒng)兼容性問題提供一點借鑒。