华南管网生产网络安全分析与防范.docVIP

华南管网生产网络安全分析与防范 【摘要】随着通信技术及信息技术的飞速发展，信 息网络已渗透到社会的每一个角落，工业生产对信息化的依 赖程度达到前所未有的高度，信息化与工业化深度融合。本 文通过对生产网与自动化办公网络互联过程所面临的安全 性问题进行分析，提出生产网络安全防范措施及建议。目的 为同类成品油管道生产企业生产网络安全防范提供参考和 借鉴。 【关键词】SCADA系统；信息安全 成品油管道输送过程中高度的自动化工业控制手段是 确保管道安全、稳定输送成品油的前提，近年来为了实现实 时数据采集与生产控制，满足“两化融合”的需求和管理的 方便，工业控制系统和企业管理系统往往需要直接进行通 信，而企业管理系统一般直接连接Internet,在这种情况下， 工业控制系统也面临着来自Internet的威胁。因此建立成 品油管道企业SCADA系统的安全防护体系和安全模型，对确 保SCADA系统安全稳定运行，加速实现“数字化管道”的进 程具有重要的现实意义，是当前管道企业自动化控制系统建 设中亟待解决的大问题。 一、华南管网生产网现状及特点 销售华南分公司作为石化企业最长的成品油长输管道， 典型的资金和技术密集型企业，负责西南及珠三角3千多公 里的成品油输送业务，管道全线由国际上先进的SCADA系统 完成对输油管道生产过程的数据采集、监视、水击保护与控 制，批量计划、批次编排与输送，管道泄漏检测与定位等任 务。华南管网的生产运行以调控中心操作控制为主，管道生 产的连续性很强，装置和重要设备的意外停产都会导致巨大 的经济损失，生产管理上更注重安全和平稳运行。SCADA控 制网络由DCS、PLC和SCADA等控制系统构成，生产网在数 据采集方面，采用开放性设计。开放性设计是当今系统设计 的基本要求，它要求计算机软硬件厂家共同遵守通用的国际 标准，以实现不同厂家设备之间的通讯。整个华南管网SCADA 系统采用OPC协议、IEC 104协议、Modbus协议等通用标准 接口与几十家甚至上百家的第三方设备通讯，采集足够的管 线运行参数，如液位、温度、电气、阴保、密度等信号，确 保对管线的有效监控。具体架构见图1所示。 在通信方式上，为确保监控数据及时、准确、安全的传 输，采用沿管线敷设通信光缆线路方式，建立基于光同步数 字传输系统下多业务传输平台（MSTP）的综合性通信网络， 通过MSTP通信信道（主用信道）和公网SDH 2M信道（备用 信道）方式进行数据传输和保护，以实现对沿线站场及线路 SCADA实施远距离的数据采集、监视控制、安全保护和统一 调度管理。在数据交换上，采用思科路由交换设备构建，使 用EIGRP路由协议作为主干路由协议，负责整个网络的路由 计算，具体网络拓扑见图2。 二、生产网络安全隐患分析 操作系统安全漏洞 目前公司主要采用通用计算机（PC） +Windows的技术架 构，操作系统使用 WINDOWS SERVER 2003、WINDOWS SERVER 2008。当今的DCS厂商更强调开放系统集成性，各DCS厂商 不再把开发组态软件或制造各种硬件单元视为核心技术，而 是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方 式。这一思路的转变使得现代DCS的操作站完全呈现PC化 与Windows化的趋势。PC+Windows的技术架构现已成为控制 系统操作站（丽I）的主流，任何一个版本的Windows自发 布以来都在不停的发布漏洞补丁，为保证过程控制系统相对 的独立性，现场工程师通常在系统正式运行后不会对 Windows平台打任何补丁，更为重要的是打过补丁的操作系 统没有经过制造商测试，存在安全运行风险。但是与之相矛 盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通 常见病毒也会遭受感染，可能造成Windows平台乃至控制网 络的瘫痪。 网络通信协议存在安全漏洞 OPC协议、Modbus协议等通用协议越来越广泛地应用在 工业控制网络中，随之而来的通信协议漏洞问题也日益突 出。例如，OPCClassic 协议(OPCDA, OPCHAD 和 OPCAE)基 于微软的DCOM协议，DCOM协议是在网络安全问题被广泛认 识之前设计的，极易受到攻击，并且OPC通讯采用不固定的 端口号，导致目前几乎无法使用传统的IT防火墙来确保其 安全性。因此确保使用OPC通讯协议的工业控制系统的安全 性和可靠性给工程师带来了极大的挑战。 杀毒软件漏洞 为了保证工控应用软件的可用性及稳定性，目前部分工 控系统操作站不安装杀毒软件。即使安装了杀毒软件，在使 用过程中也有很大的局限性，原因在于使用杀毒软件很关键 的一点是，其病毒库需要不定期的更新，这一要求尤其不适 合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后 的，这容易导致大规模的病毒攻击，