在役工業(yè)控制系統(tǒng)的信息安全檢查與加固

徐國(guó)忠

（中國(guó)石化上海高橋石油化工有限公司，上海200137）

2010年“震網(wǎng)”病毒事件為世人敲響了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的警鐘，短短幾年內(nèi)，全球范圍內(nèi)針對(duì)工控系統(tǒng)攻擊事件的數(shù)量大幅提升。2013年，美國(guó)的工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組（ICSCERT）就報(bào)告了全球范圍內(nèi)共有256件工控安全事件。在相繼發(fā)現(xiàn)了“Duqu”病毒、“火焰”病毒等針對(duì)工控系統(tǒng)的病毒之后，2014年春，“Havex”病毒在能源行業(yè)大規(guī)模爆發(fā)，呈現(xiàn)出強(qiáng)烈的行業(yè)橫向蔓延趨勢(shì)?！癏avex”病毒較之前的“震網(wǎng)”病毒等，攻擊手段更隱蔽、病毒變種更多、網(wǎng)絡(luò)傳播更迅速，工控網(wǎng)絡(luò)特點(diǎn)針對(duì)性強(qiáng)、可造成的危害也更巨大?！癏avex”病毒以及之后出現(xiàn)的“Sand wor m”病毒標(biāo)志著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全已進(jìn)入了APT2.0時(shí)代，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題日益引起人們的重點(diǎn)關(guān)注。

近年來(lái)，中國(guó)也非常重視工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全，多次發(fā)布了相關(guān)政策與標(biāo)準(zhǔn)，加強(qiáng)了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的信息安全檢查、監(jiān)管和測(cè)評(píng)，實(shí)施安全風(fēng)險(xiǎn)和漏洞通報(bào)制度；加強(qiáng)了新技術(shù)、新業(yè)務(wù)信息安全評(píng)估，強(qiáng)化了信息產(chǎn)品和服務(wù)的信息安全檢測(cè)和認(rèn)證，支持建立第三方信息安全評(píng)估與監(jiān)測(cè)機(jī)制。同時(shí)，國(guó)內(nèi)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)在信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)以及工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)的指導(dǎo)下，也正在開(kāi)展標(biāo)準(zhǔn)編制工作，各種工業(yè)控制系統(tǒng)信息安全應(yīng)用和評(píng)估標(biāo)準(zhǔn)[1-6]相繼出版，對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全的評(píng)測(cè)、加固和實(shí)施起到了推動(dòng)和指導(dǎo)作用，但由于工業(yè)控制系統(tǒng)的多樣和復(fù)雜性，完全采用標(biāo)準(zhǔn)進(jìn)行評(píng)測(cè)有一定的難度，控制系統(tǒng)網(wǎng)絡(luò)信息安全還有很長(zhǎng)的路要走，任重道遠(yuǎn)。

1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析

近年來(lái)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全備受重視，作為跨學(xué)科的領(lǐng)域，簡(jiǎn)單地使用傳統(tǒng)信息安全技術(shù)并不能很好地解決該問(wèn)題，有些時(shí)候可能是無(wú)能為力的。工業(yè)控制系統(tǒng)滯后的系統(tǒng)運(yùn)行環(huán)境以及難以實(shí)施的更新導(dǎo)致了其面臨較之傳統(tǒng)信息系統(tǒng)更為嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題。而且，工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)辦公信息網(wǎng)有著本質(zhì)的區(qū)別，其通信協(xié)議為專有的工業(yè)控制協(xié)議，對(duì)系統(tǒng)及網(wǎng)絡(luò)環(huán)境的穩(wěn)定性要求也極高。因此，傳統(tǒng)的信息安全防護(hù)設(shè)備和技術(shù)，如傳統(tǒng)的防火墻、病毒查殺、漏洞掃描、隔離網(wǎng)關(guān)等在工業(yè)控制網(wǎng)絡(luò)安全防護(hù)時(shí)起不到實(shí)質(zhì)的作用，甚至?xí)绊懝た叵到y(tǒng)正常運(yùn)行，并不能很好地應(yīng)用于工業(yè)控制系統(tǒng)。

1.1 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別

工業(yè)控制系統(tǒng)的信息技術(shù)來(lái)源于傳統(tǒng)信息技術(shù)，但是又不同于傳統(tǒng)信息技術(shù)，與傳統(tǒng)的信息技術(shù)有著顯著的區(qū)別。這是因?yàn)閭鹘y(tǒng)信息技術(shù)是以傳遞信息為最終目的，而工業(yè)控制系統(tǒng)網(wǎng)絡(luò)傳遞信息是以引起物質(zhì)或能量的轉(zhuǎn)移為最終目標(biāo)。工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在系統(tǒng)結(jié)構(gòu)及軟硬件升級(jí)、維護(hù)、更新等方面存在明顯差別，具體見(jiàn)表1所列。

表1 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的性能比較

1.2 工業(yè)控制系統(tǒng)信息安全問(wèn)題分析

1.2.1 工業(yè)控制系統(tǒng)本質(zhì)問(wèn)題

1)工業(yè)控制系統(tǒng)安全方面設(shè)計(jì)不足。在設(shè)計(jì)之初，由于資源受限及未面向互聯(lián)網(wǎng)等原因，為保證實(shí)時(shí)性和可用性，工業(yè)控制系統(tǒng)各層普遍缺乏安全性設(shè)計(jì)。在缺乏安全架構(gòu)頂層設(shè)計(jì)的情況下，無(wú)法形成有效技術(shù)研究的體系，產(chǎn)品形態(tài)主要集中在網(wǎng)絡(luò)安全防護(hù)的層面，工業(yè)控制系統(tǒng)自身的安全性能提升缺乏長(zhǎng)遠(yuǎn)的規(guī)劃。

2)工業(yè)控制系統(tǒng)核心技術(shù)落后。CPU作為硬件基礎(chǔ)平臺(tái)的核心，核心技術(shù)基本上掌握在國(guó)外廠商手中，內(nèi)在的“后門”軟件漏洞隱患始終存在；控制系統(tǒng)的機(jī)理和通信控制模式，部分公開(kāi)或半公開(kāi)，但核心的內(nèi)在通信機(jī)理內(nèi)容完全保密，能否滿足工業(yè)控制系統(tǒng)信息安全的要求值得商榷，筆者認(rèn)為存在信息安全隱患。

3)工業(yè)控制系統(tǒng)缺乏升級(jí)動(dòng)力。盡管目前已有工控產(chǎn)品提供商開(kāi)始對(duì)舊系統(tǒng)進(jìn)行加固升級(jí)，研發(fā)新一代的安全工控產(chǎn)品，但是由于市場(chǎng)、技術(shù)、使用環(huán)境等方面的制約，成本與效益是用戶必須考慮的第一要素，工控產(chǎn)品生產(chǎn)上普遍缺乏主動(dòng)進(jìn)行安全加固的動(dòng)力。

4)工業(yè)控制系統(tǒng)從業(yè)人員的安全意識(shí)欠缺，并缺少培訓(xùn)；相關(guān)企業(yè)缺少規(guī)范的安全流程、安全策略，缺少業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃、安全審計(jì)機(jī)制等；網(wǎng)絡(luò)信息安全加固升級(jí)是一項(xiàng)長(zhǎng)期不斷進(jìn)行的任務(wù)，相關(guān)人員對(duì)此認(rèn)識(shí)不足。

1.2.2 工業(yè)控制系統(tǒng)常見(jiàn)安全問(wèn)題案例

1)通信協(xié)議漏洞。工業(yè)化與信息化的融合，使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制系統(tǒng)中，隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。例如：OPC Classic協(xié)議（OPC DA，OPC HAD和OPC A&E）基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的，極易受到攻擊，并且OPC通信采用不固定的端口號(hào)，導(dǎo)致目前幾乎無(wú)法使用傳統(tǒng)的IT防火墻來(lái)確保其安全性。

2)操作系統(tǒng)漏洞。目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是基于Windows平臺(tái)，為保證過(guò)程控制系統(tǒng)的相對(duì)獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，現(xiàn)場(chǎng)的工程師在系統(tǒng)運(yùn)行開(kāi)始后不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁。然而，不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。

3)殺毒軟件漏洞。為了保證工控應(yīng)用軟件的可用性，許多工業(yè)控制系統(tǒng)操作站通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件，在使用過(guò)程中也有很大的局限性，原因在于殺毒需要經(jīng)常更新病毒庫(kù)，因而不適合于工業(yè)控制環(huán)境。而且殺毒軟件對(duì)新病毒的處理通常是滯后的，導(dǎo)致每年都會(huì)爆發(fā)大規(guī)模的病毒攻擊，特別是新病毒。

4)應(yīng)用軟件漏洞。工控應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題。另外，當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開(kāi)放應(yīng)用端口，因而常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性?；ヂ?lián)網(wǎng)攻擊者很有可能利用一些大型工控自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設(shè)備的控制權(quán)，一旦這些控制權(quán)被不良意圖黑客所掌握，后果將不堪設(shè)想。

5)安全策略和管理流程漏洞。追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)安全帶來(lái)了一定的威脅。例如：工業(yè)控制系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、U盤等設(shè)備的使用和不嚴(yán)格的訪問(wèn)控制策略。

2 DCS的信息安全檢查

某石化公司“3號(hào)酮苯”裝置于2005年采用美國(guó)Honeywell公司的TPS系統(tǒng)用于生產(chǎn)裝置過(guò)程的控制，系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。其中，全局用戶操作站（GUS）是TPS系統(tǒng)的人機(jī)接口；LCN是TPS系統(tǒng)的控制管理網(wǎng)，該項(xiàng)目中，主要掛GUS/RGUS設(shè)備，實(shí)現(xiàn)該裝置工藝數(shù)據(jù)在各個(gè)操作站間實(shí)時(shí)傳遞；UCN是TPS系統(tǒng)的過(guò)程控制網(wǎng)，連接NI M，在UCN設(shè)備間共享過(guò)程數(shù)據(jù)；NI M是網(wǎng)絡(luò)接口模件，提供LCN網(wǎng)絡(luò)訪問(wèn)UCN網(wǎng)絡(luò)的接口，實(shí)現(xiàn)兩者之間通信協(xié)議和數(shù)據(jù)格式的轉(zhuǎn)換；HPM是高性能過(guò)程管理器，用于掃描和控制TPS系統(tǒng)的過(guò)程數(shù)據(jù)，處理該裝置工藝正常生產(chǎn)所需的各種控制邏輯，包括常規(guī)PID控制、邏輯控制以及順序控制等；PHD是過(guò)程歷史數(shù)據(jù)服務(wù)器，負(fù)責(zé)向調(diào)度層傳遞該裝置的實(shí)時(shí)過(guò)程數(shù)據(jù)。圖1中，計(jì)算機(jī)的操作系統(tǒng)為Windows XP3英文版，GUS04為工程師站，在工程師室，主要完成工程組態(tài)設(shè)計(jì)、更改和全局配置；GUS01～GUS03為操作員站，在中心控制室，完成現(xiàn)場(chǎng)數(shù)據(jù)的監(jiān)控、實(shí)現(xiàn)操作指令往現(xiàn)場(chǎng)的傳遞；RGUS05～RUS06為遠(yuǎn)程操作員站。

2.1 “3號(hào)酮苯”裝置DCS網(wǎng)絡(luò)信息安全檢測(cè)

針對(duì)“3號(hào)酮苯”裝置的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全檢查，通過(guò)對(duì)控制網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)控，采用人工分析和智能防護(hù)設(shè)備分析相結(jié)合的方式，發(fā)現(xiàn)該裝置控制系統(tǒng)網(wǎng)絡(luò)上的安全問(wèn)題。本文的主要目的是通過(guò)評(píng)測(cè)，查看老舊典型的DCS在當(dāng)下網(wǎng)絡(luò)安全的條件下對(duì)網(wǎng)絡(luò)病毒和安全隱患的影響。對(duì)于某個(gè)運(yùn)行了十余年的在役工業(yè)控制系統(tǒng)，控制系統(tǒng)的軟件和硬件，由于特定的環(huán)境等因素，一直沒(méi)有進(jìn)行過(guò)系統(tǒng)軟件補(bǔ)丁升級(jí)。顯而易見(jiàn)，對(duì)于操作系統(tǒng)等軟件的各種安全漏洞一定存在，但這些軟件的安全漏洞對(duì)系統(tǒng)的潛在影響才是需要重點(diǎn)關(guān)注的。

2.1.1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全檢測(cè)原則

1)工控網(wǎng)絡(luò)安全檢測(cè)遵循如下原則：

a)客觀性。工控網(wǎng)絡(luò)安全檢測(cè)適用于各行業(yè)的工業(yè)控制系統(tǒng)，以第三方的視角對(duì)國(guó)內(nèi)外工控廠商設(shè)備、系統(tǒng)、網(wǎng)絡(luò)進(jìn)行安全檢測(cè)。

b)安全性。工控網(wǎng)絡(luò)安全檢測(cè)實(shí)施在被測(cè)方人員配合、監(jiān)管下進(jìn)行，通過(guò)適當(dāng)?shù)募夹g(shù)手段開(kāi)展檢測(cè)工作，以保證對(duì)現(xiàn)有工業(yè)控制系統(tǒng)運(yùn)行操作無(wú)明顯的影響；檢測(cè)或檢查后，對(duì)系統(tǒng)的穩(wěn)定性和運(yùn)行，無(wú)任何影響。

圖1 “3號(hào)酮苯”裝置控制網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)示意

2)常規(guī)的控制系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)方法有：

a)問(wèn)卷調(diào)查表。該表可以對(duì)資產(chǎn)、業(yè)務(wù)、歷史安全事件、管理制度等各方面的信息進(jìn)行搜集和統(tǒng)計(jì)。

b)人員訪談。通過(guò)訪談?wù)莆瞻踩贫?、安全意識(shí)、安全流程等信息，也可以了解一些沒(méi)有記錄在案的歷史信息。

c)漏洞掃描。通常是指用于工業(yè)控制系統(tǒng)的專業(yè)漏洞掃描工具，其內(nèi)置的漏洞庫(kù)既包含傳統(tǒng)IT系統(tǒng)的漏洞，更重要的是需要包含工控系統(tǒng)相關(guān)的漏洞。

d)漏洞挖掘。通常是指用于工控設(shè)備的專業(yè)漏洞挖掘工具，該類工具是基于模糊測(cè)試的理論，發(fā)現(xiàn)設(shè)備的未知漏洞。

e)滲透測(cè)試。這里不單指一種工具，而是評(píng)估人員利用工具和技術(shù)方法的行為集合，這是模擬黑客行為的漏洞探測(cè)活動(dòng)，既要發(fā)現(xiàn)漏洞，也要利用漏洞來(lái)展現(xiàn)某些攻擊的場(chǎng)景。

f)工控審計(jì)。該工具主要用于收集工業(yè)控制系統(tǒng)的數(shù)據(jù)流量、網(wǎng)絡(luò)會(huì)話、操作變更等信息，發(fā)現(xiàn)一些潛在的安全威脅。

2.1.2 工控網(wǎng)絡(luò)安全檢測(cè)實(shí)施

1)網(wǎng)絡(luò)數(shù)據(jù)流量異常發(fā)現(xiàn)。在系統(tǒng)調(diào)研過(guò)程中，對(duì)控制系統(tǒng)數(shù)據(jù)抓包位置選擇在中心控制室交換機(jī)2960鏡像口，抓取了控制網(wǎng)絡(luò)的全網(wǎng)數(shù)據(jù)流量。將全網(wǎng)數(shù)據(jù)流量采用IAD智能保護(hù)裝置進(jìn)行離線情況下的安全分析，通過(guò)實(shí)驗(yàn)數(shù)據(jù)的分析，發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)內(nèi)存在大量詢問(wèn)150.150.150.1 MAC地址的ARP請(qǐng)求。經(jīng)現(xiàn)場(chǎng)工程師確認(rèn)，IP地址為150.150.150.245并未在提供的控制網(wǎng)絡(luò)拓?fù)鋱D中出現(xiàn)，而發(fā)出的ARP數(shù)據(jù)包需要尋址的150.150.150.1 MAC為網(wǎng)關(guān)地址，系統(tǒng)詢問(wèn)網(wǎng)關(guān)MAC地址的ARP請(qǐng)求在大部分情況下是有程序想要進(jìn)行外網(wǎng)通信而進(jìn)行的前置工作，該類數(shù)據(jù)包在網(wǎng)絡(luò)隔離的工業(yè)控制系統(tǒng)中大量出現(xiàn)，是非?？梢傻?。

2)部署虛擬網(wǎng)關(guān)產(chǎn)生報(bào)警。經(jīng)分析，IP地址為150.150.150.245的主機(jī)有嘗試連接外網(wǎng)的可能，由于現(xiàn)場(chǎng)網(wǎng)絡(luò)中150.150.150.1 MAC網(wǎng)關(guān)并不存在，因而無(wú)法進(jìn)行下一步的數(shù)據(jù)交互。其頻繁、規(guī)律地嘗試訪問(wèn)外網(wǎng)的行為與某些僵尸網(wǎng)絡(luò)木馬的特征比較相似，即持續(xù)規(guī)律的訪問(wèn)外網(wǎng)C&C服務(wù)器獲取進(jìn)一步的木馬指令，因而測(cè)試人員通過(guò)技術(shù)手段欺騙該主機(jī)，使其誤認(rèn)為自己能夠成功的訪問(wèn)到外網(wǎng)。

虛擬網(wǎng)關(guān)主機(jī)在與外網(wǎng)隔離的情況下對(duì)IP地址150.150.150.245主機(jī)的一些基礎(chǔ)請(qǐng)求（TCP，DNS等）可以進(jìn)行應(yīng)答，誘使其執(zhí)行下一步的可疑操作行為。在實(shí)際部署該虛擬主機(jī)前，對(duì)現(xiàn)場(chǎng)的數(shù)據(jù)流量進(jìn)行了再一次確認(rèn)，在確保將該虛假主機(jī)接入控制網(wǎng)中不會(huì)對(duì)原有系統(tǒng)的通信產(chǎn)生任何影響后，將虛擬網(wǎng)關(guān)主機(jī)接入控制網(wǎng)中。當(dāng)虛擬網(wǎng)關(guān)主機(jī)接入控制網(wǎng)后，網(wǎng)絡(luò)中出現(xiàn)了大量的外網(wǎng)連接請(qǐng)求，同時(shí)，智能保護(hù)裝置立刻匹配到了“Conficker蠕蟲(chóng)”病毒特征，并產(chǎn)生了報(bào)警。

為了進(jìn)一步確認(rèn)目標(biāo)主機(jī)是否感染了“Conficker蠕蟲(chóng)”病毒，筆者對(duì)現(xiàn)場(chǎng)的數(shù)據(jù)包特征進(jìn)行分析。在IP地址150.150.150.245的主機(jī)誤認(rèn)為自己能夠連接到外網(wǎng)后，開(kāi)始大量的請(qǐng)求外網(wǎng)的DNS域名解析，如圖2所示。隨機(jī)選擇了幾個(gè)域名，使用whois查詢，均指向“Conficker蠕蟲(chóng)”病毒的C&C服務(wù)器域名，至此，在IP地址150.150.150.245的主機(jī)誤認(rèn)為自己能夠連接到外網(wǎng)后，潛伏的惡意程序已開(kāi)始工作。經(jīng)比對(duì)工控漏洞黑名單，該數(shù)據(jù)包為“Conficker蠕蟲(chóng)”病毒的A或者B版本的HTTP請(qǐng)求流量，分析結(jié)果與上述的智能保護(hù)設(shè)備的報(bào)警信息完全一致。

圖2 150.150.150.245的主機(jī)發(fā)出的大量DNS數(shù)據(jù)包

2.1.3 工控網(wǎng)絡(luò)安全檢測(cè)結(jié)論

某石化公司“3號(hào)酮苯”裝置Honeywell TPS的網(wǎng)絡(luò)中存在大量異常的ARP請(qǐng)求數(shù)據(jù)，經(jīng)網(wǎng)絡(luò)智能防護(hù)設(shè)備分析，IP地址為150.150.150.245的主機(jī)疑似感染了“Conficker蠕蟲(chóng)”病毒。對(duì)該主機(jī)DNS域名請(qǐng)求信息、與C&C服務(wù)器交互的數(shù)據(jù)進(jìn)行分析，可以確定該主機(jī)已感染了“Conficker蠕蟲(chóng)”病毒。該裝置工業(yè)控制系統(tǒng)為2005年左右上線的老系統(tǒng)，控制主機(jī)都是Windows XPSP3英文版系統(tǒng)，存在曾被著名的工控病毒“震網(wǎng)”病毒利用過(guò)的MS08-067等安全漏洞。潛伏的“Conficker蠕蟲(chóng)”病毒給工業(yè)控制系統(tǒng)帶來(lái)了一定的安全隱患，會(huì)產(chǎn)生一定的ARP請(qǐng)求數(shù)據(jù)包，但通過(guò)分析，該ARP占用了很小一部分的網(wǎng)絡(luò)帶寬，遠(yuǎn)小于網(wǎng)絡(luò)帶寬的1%，可以暫時(shí)處于觀察階段，待后續(xù)有條件時(shí)對(duì)病毒進(jìn)行查殺和系統(tǒng)的升級(jí)與完善，通過(guò)對(duì)控制系統(tǒng)內(nèi)計(jì)算機(jī)的當(dāng)前運(yùn)行控制性能分析，未發(fā)現(xiàn)可疑的其他病毒運(yùn)行程序，計(jì)算機(jī)CPU內(nèi)存占用率均很低，性能優(yōu)良，操作員操作控制體驗(yàn)良好，無(wú)任何遲延現(xiàn)象，說(shuō)明該控制系統(tǒng)在當(dāng)前系統(tǒng)網(wǎng)絡(luò)安全條件下，保持了較好的性能，達(dá)到了檢測(cè)的目的。

3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全加固

由于該裝置工業(yè)控制系統(tǒng)網(wǎng)絡(luò)使用的是Honeywell TPS軟件，系統(tǒng)版本比較老，系統(tǒng)長(zhǎng)時(shí)間沒(méi)有進(jìn)行系統(tǒng)軟件的升級(jí)和操作系統(tǒng)軟件的漏洞補(bǔ)丁升級(jí)完善，容易受到外界攻擊感染，網(wǎng)絡(luò)安全措施較弱；又由于控制網(wǎng)內(nèi)設(shè)備眾多，若某臺(tái)設(shè)備感染病毒后容易大范圍的使其他設(shè)備感染病毒，且缺乏病毒傳播等事件的感知手段，當(dāng)用戶發(fā)現(xiàn)時(shí)已對(duì)工業(yè)控制系統(tǒng)造成了一定程度的影響，停機(jī)進(jìn)行病毒查殺等工作也會(huì)影響正常業(yè)務(wù)，因而需要在控制網(wǎng)內(nèi)部部署工控網(wǎng)絡(luò)監(jiān)控系統(tǒng)，以便及時(shí)地感知設(shè)備故障及非法接入事件的發(fā)生，并作出響應(yīng)，實(shí)時(shí)對(duì)各類網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控、審計(jì)，并對(duì)非法數(shù)據(jù)進(jìn)行報(bào)警。另外，工業(yè)控制系統(tǒng)與工廠管理網(wǎng)、局域網(wǎng)存在OPC數(shù)據(jù)傳輸協(xié)議通信，需要對(duì)該類工業(yè)控制系統(tǒng)的通信進(jìn)行邊界安全防護(hù)，邊界信息網(wǎng)絡(luò)進(jìn)行進(jìn)一步的加固與防護(hù)。具體安全加固部署示意如圖3所示。

在控制網(wǎng)絡(luò)中采用了KEV-C400和KEDC300進(jìn)行網(wǎng)絡(luò)安全加固，實(shí)時(shí)監(jiān)控控制系統(tǒng)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)，配置黑名單以及OPC協(xié)議規(guī)則，進(jìn)行數(shù)據(jù)分析與過(guò)濾，達(dá)到對(duì)OPC數(shù)據(jù)的審計(jì)與阻隔。系統(tǒng)運(yùn)行近1.5 a，穩(wěn)定可靠，對(duì)原控制系統(tǒng)性能沒(méi)有產(chǎn)生任何影響，達(dá)到了預(yù)期目標(biāo)。

圖3 “3號(hào)酮苯”裝置工控網(wǎng)絡(luò)安全加固整體拓?fù)浣Y(jié)構(gòu)示意

4 結(jié) 論

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全作為跨學(xué)科的應(yīng)用領(lǐng)域，簡(jiǎn)單地使用傳統(tǒng)信息安全技術(shù)并不能很好地保障網(wǎng)絡(luò)信息安全。工業(yè)控制系統(tǒng)滯后的系統(tǒng)運(yùn)行環(huán)境以及難以實(shí)施的更新導(dǎo)致了其面臨較之傳統(tǒng)信息系統(tǒng)更為嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題。另外，工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)辦公信息網(wǎng)有著本質(zhì)上的區(qū)別，其通信協(xié)議通常為專有的工業(yè)控制協(xié)議，對(duì)系統(tǒng)及網(wǎng)絡(luò)環(huán)境的穩(wěn)定性要求也極高。因此，傳統(tǒng)的信息安全防護(hù)設(shè)備，如傳統(tǒng)的防火墻、病毒查殺、漏洞掃描、隔離網(wǎng)關(guān)等在進(jìn)行工業(yè)控制網(wǎng)絡(luò)安全防護(hù)時(shí)起不到實(shí)質(zhì)的作用，甚至?xí)绊懝た叵到y(tǒng)正常運(yùn)行。該項(xiàng)目針對(duì)“3號(hào)酮苯”裝置Honeywell TPS工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行的網(wǎng)絡(luò)安全檢測(cè)以及安全加固，在整個(gè)測(cè)試、檢測(cè)過(guò)程以及加固方案實(shí)施過(guò)程中，系統(tǒng)一直處于穩(wěn)定運(yùn)行中，測(cè)試和加固方案的實(shí)施對(duì)原系統(tǒng)的穩(wěn)定運(yùn)行和操作沒(méi)有產(chǎn)生任何影響，加固方案至今運(yùn)行了1.5 a，設(shè)備運(yùn)行穩(wěn)定可靠，達(dá)到了預(yù)期目標(biāo)，該方案具有簡(jiǎn)單、實(shí)用，可操作性強(qiáng)等特點(diǎn)，對(duì)一些在役多年的老舊工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全檢查和加固，具有指導(dǎo)意義，值得推廣應(yīng)用。