企业工业控制计算机网络安全技术探讨及实现.pdf

企业工业控制网络安全技术探讨及实现1 韩晓波 (中国石化齐鲁分公司信息技术部，山东 淄博，255400) 摘 要 ：由于工业控制系统由于运行环境和平台的相对独立，其安全性被人们所忽视。 随着企业信息化发展，管理和控制网络更加深入的融合，平台也愈加开放。新一代的病毒入 侵生产控制系统已经成为企业平稳生产运营的重大安全隐患，为保障基于企业网络业务的持 续性、稳定性，需要在管理和控制网络采取相应的安全防护措施，建立有针对性的安全 防 护体系。 关键词 ：工业控制系统 网络安全 Tofino 技术 区域 管道 中图分类号 TH89 文献标志码 B 文章编号 1000-3932 （2012 ）04-0498-06 2010 年10 月，来自伊朗的一个关于工业网络病毒Stuxnet （计算机蠕虫病毒）的报告 引起了全球的注意，该病毒通过Windows 操作系统中此前不为人知的漏洞感染计算机，并通 过网络、移动介质以及西门子项目文件等方式进行传播。Stuxnet 病毒是专门设计来攻击伊 朗重要工业设施的，包括备受国际关注的布什尔核电站，它在入侵系统之后会寻找广泛用于 工控系统的软件，并通过对软件重新编程实施攻击，病毒能控制关键过程并开启一连串执行 程序，最终导致的后果难以预估。Stuxnet 是目前首个针对工控系统展开攻击的计算机病毒， 已经对伊朗国内工业控制系统产生极大影响，Stuxnet 可以说是计算机病毒界革命性创新， 给工业控制系统网络安全带来新警示- “工业病毒”时代已经来临。 随着信息技术的不断推广应用，诸如内部控制系统（DCS 及PLC 等），国内、外化工领 域逐步推广应用的各种安全控制系统（紧急停车系统ESD、停车联锁/仪表系统SIS、仪表保 护系统IPS 及故障安全控制系统FSC 等）[1] 以及基础应用类系统（一些定制系统）与外界不 再隔离。越来越多的案例表明，工厂信息网络、移动存储介质、因特网以及其它因素导致的 网络安全问题正逐渐在控制系统和基础应用类系统中扩散，直接影响了生产控制的稳定与安 全。这将是我们石油炼化连续性生产企业面临的重大安全课题。随着石油化工及电力等行业 进入规模化生产，生产装置积聚的能量越来月大，可能造成的重大工业事故使人们前所未有 地重视工业生产中的安全问题[2,3] 。 1 企业控制网络安全现状 十年来，随着信息技术的迅猛发展，信息化在石油炼化连续性生产企业中的应用快速发 展，网络安全技术、网络安全管理体系也取得了重大进发展[4]，为重要核心应用系统的长、 安、稳、满、优运行起到巨大的支撑作用和保障作用。 但是多年来，企业更多地关注的是管理网络的安全问题，而对控制网络的安全问题关注 意识并不强。随着ERP、MES 等系统的实施，信息化的触角已经延伸到各个生产单元，包括 生产装置、罐区、产品进/出厂点。由于历史原因，企业网络往往都是一个整体，管理网与 工业控制网（或基础应用网）防护功能弱或甚至几乎没有隔离功能，同时由于近几年控制系 统（或基础应用系统）功能的不断提升，系统在进一步开放的同时，也带来了系统的安全问 题，减弱了控制系统与外界的隔离，2000 年以前的控制系统一般都有自己独立的操作系统， 其开放性及通用性较弱，因此几乎不存在网络安全风险。但目前的控制系统一般使用开放的 Windows 操作系统和OPC 协议进行数据通讯，网络也采用冗余工业以太网模式，尤其是服务 器结构的控制系统,一旦服务器出现异常，受侵害的不仅仅是一个操作站，而是整个系统的 瘫痪。近几年来，国内、外许多企业的DCS 控制系统已经有中病毒或遭黑客攻击的现象，对 此企业IT 人员却无能为力，不敢动或不能动，只能等装置停工检修期间由厂商处理，给安 全生产带来了极大的隐患。 另一方面，由于人们在认识和知识面上存在差距，许多企业对控制类系统的安全存在认 识上的误区：一是认为企业网与互联网之间已经安装了专业防火墙，控制网络是安全的；二 是认为控制系统没有直接连接互联网，控制系统是安全的；三是认为黑客或病毒不懂控制系 统。而实际情况是，尽管在企业网内部安装了功能较完备的网络安全防护产品，施行了各类 网络安全技术，建立了信息安全管理体系，但控制系统的安全问题却越来越严峻，主要原因 是对许多控制网没有有效的隔离手段，而企业推广应用的一些安全产品又不能直接安装到这 些系统上去。目前，针对企业控制网络的安全