網絡隔離技術在DCS中的應用

趙宏世

(中國神華煤制油化工有限公司鄂爾多斯煤制油分公司,內蒙古 鄂爾多斯 017209)

數據采集與監控系統(SCADA)、可編程邏輯控制器(PLC)及分散控制系統(DCS)等工業控制系統(ICS)被廣泛應用于化工生產、油氣輸送、發電以及冶金等工業生產領域。傳統的工業控制系統主要依賴于技術隱秘、網絡獨立等措施，來保證系統的安全性。隨著計算機和網絡技術的快速發展，信息化與工業化深度融合，對工業控制系統的兼容性要求也越來越高。通過采用通用硬件和通用軟件實現工業控制系統對外開放，使眾多品牌的工業控制系統之間能夠相互通信，并與企業信息網互連。目前，大多數工業控制系統的通信技術是在商用操作系統基礎上開發的，通信應用中存在許多漏洞。當工業控制系統與公共網絡互連時，黑客就會利用這些漏洞對工業控制系統進行攻擊[1]。

1 安全漏洞的典型案例①

2010年6月出現的“Stuxnet”病毒，是一個針對工業控制系統的破壞性病毒。該病毒通過U盤和局域網進行傳播，利用微軟Windows操作系統和西門子SIMATIC WinCC系統的漏洞，對西門子公司生產的工業控制系統進行破壞性攻擊。因受到“Stuxnet”病毒的攻擊，伊朗布什爾核電站不得不延期運行[2]。

2011年11月美國計算機應急響應小組公布了施耐德Modicon Quantum系列PLC存在安全漏洞。該系列PLC的Modbus協議功能碼90(0x5A)作為用戶保留的功能擴展編碼段，此功能碼具有程序上傳、下載和啟停PLC的高級權限。但是存在多項網絡端口和服務漏洞，默認開放的網絡端口為攻擊者提供了通道。

2012年4月羅杰康(RvuggedCom)公司公開承認其產品存在后門賬戶。該公司生產的工業交換機、路由器等網絡設備，都有預置名為“factory”的后門賬戶。該賬戶不能被修改，也不能被禁用，通過該賬戶可以修改網絡配置，造成網絡通信中斷或系統癱瘓。

2 網絡隔離技術

沒有網絡互連就不用采用隔離技術，不需要進行數據交換的網絡隔離技術也很容易實現，只要將網絡完全斷開，互不聯機即可。但是，需要數據交換的網絡隔離卻不容易實現，網絡隔離技術是在需要數據交換和資源共享的情況下出現的。面對新型網絡攻擊手段的不斷出現和工業控制網絡的高安全性要求，網絡隔離技術應運而生。網絡隔離技術從邏輯隔離和物理隔離兩方面開展，目的是將威脅工業控制系統安全的木馬、病毒和攻擊隔離在工業控制系統之外，并完成網絡間的數據交換。

2.1 防火墻隔離

防火墻(Firewall)主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。防火墻隔離是在內部網絡和外部網絡之間通過控制進出網絡的信息流向和信息包，提供使用流量的日志和審計及隱藏內部IP地址與網絡結構等措施，來保護內部網絡免受非法用戶的侵入。采用防火墻隔離技術并結合入侵檢測、防病毒等技術組合，能夠有效隔絕來自外部網絡的威脅。

2.2 安全隔離網閘

安全隔離網閘簡稱為網閘(GAP),最早在國外軍方使用，以解決涉密網絡與公共網絡連接時的安全問題。隨著我國電子政務的蓬勃發展，為了滿足高安全網絡與低安全網絡進行安全數據交換的需要，國內也研制出了安全隔離網閘。安全隔離網閘一般由內網處理單元、外網處理單元、隔離與數據交換單元3個部分組成，為2+1的主機架構。3個單元都采用非通用的操作系統，內網處理單元和外網處理單元使用不同操作系統，以增加安全性。當數據交換單元不同時，與內、外網處理單元連接，通過數據擺渡完成數據交換。使用安全隔離網閘技術既可以使兩個網絡實現物理上的隔離，又能在安全的網絡環境下進行數據交換。

2.3 單向隔離網閘

通過防火墻、安全隔離網閘等隔離設備，再配置相關的防護軟件，基本實現了將網絡安全威脅隔離在工業控制系統之外，并能完成網絡間的數據安全交換。但是，防火墻技術始終處于“被動防御”狀態，只有不斷升級軟件和硬件，才能防止已知病毒和常規攻擊，而對未知病毒沒有防御能力。安全隔離網閘技術具有數據雙向傳輸的特性，數據雙向傳輸對工業控制系統來說還存在一定的風險。

工業控制系統與企業信息網連接的目的是將生產過程數據發送到企業信息網，向是單向數據流。如果能切斷企業信息網到工業控制系統的通路，只允許工業控制系統向企業信息網單向數據傳遞，就能形成物理上的絕對隔離。在安全隔離網閘雙向傳輸的基礎上通過修改電路和增加時鐘開關控制，實現數據的單向寫入和單向讀出，誕生了單向隔離網閘技術。使用單向隔離網閘只有從工業控制系統向企業信息網傳輸數據的單向通道，沒有反向通道，也就掐斷了病毒入侵和黑客攻擊的通道[3]。

2.4 單向隔離光閘

基于電氣隔離的單向隔離網閘，由程序控制數據單向寫入、單向讀出依然存在被人為篡改導致單向隔離失效的危險。為了克服電氣隔離的不足，又出現了利用光單向傳輸特性的網絡安全隔離技術——單向隔離光閘技術。單向隔離光閘簡稱光閘，由內網單元、外網單元和光單向傳輸單元3個部分組成。內網單元和外網單元分別連接內網和外網，光單向傳輸單元一端接收內網單元的電信號并轉換成光信號發送出去；另一端接收光信號并轉換成電信號發送到外網單元，沒有反向光傳輸路徑，保證了數據絕對單向傳輸。這種單向隔離光閘技術更適合用于工業控制系統與外網的隔離。

3 DCS系統的網絡安全措施

鄂爾多斯煤制油分公司原設計的DCS系統是Honeywell Experion PKS系統R210版本，控制部分采用C200控制器帶PMIO。Experion PKS系統以過程控制為基礎，集成有工廠資產管理及流程管理等信息管理平臺，為企業提供了管控一體化的過程控制系統。Experion PKS系統使用了工業以太網、Windows 2000操作系統、PC服務器及PC終端等通用硬件和通用軟件，不需要額外的協議轉換設備就可以直接接入上層管理網[4]，是一個典型的開放系統。開放的DCS系統在給用戶帶來便利的同時，也帶來了安全隱患。

3.1 DCS系統網絡獨立設置

原設計按照DCS系統網絡獨立設置原則，在每一個控制室設置了一個獨立的過程控制網絡。Experion PKS系統的控制網絡是容錯以太網(Fault Tolerant Ethernet，FTE)，容錯以太網是在商用以太網技術的基礎上結合Honeywell網絡控制策略的工業以太網。其拓撲結構是頂部連接在一起的雙重并行樹形網絡結構，是冗余網絡結構(物理)的單網(邏輯)。FTE包含兩層，第一層為控制層，第二層為操作層，均由冗余的交換機和通信電纜構成。服務器、操作站及控制器等為FTE節點，安裝有FTE軟件和雙網絡接口卡，同時連接到兩個樹網中，FTE節點之間有4條路徑，如圖1所示。路徑1：操作站→交換機A→交換機A1→控制器。路徑2：操作站→交換機B→交換機B1→控制器。路徑3：操作站→交換機A→級聯線C→交換機B→交換機B1→控制器。路徑4：操作站→交換機B→級聯線C→交換機A→交換機A1→控制器。FTE網絡為系統提供了多路由選擇和最佳路徑選擇，既可容錯單故障點，還可容錯多故障點，并具有容錯鏈路的快速切換功能。FTE還支持普通以太網節點和標準的TCP/IP應用。

圖1 FTE兩層網絡結構

3.2 設置防病毒服務器和域控服務器

各裝置投產后，為了滿足生產調度需要，在過程控制網絡的基礎上又設計了Experion PKS系統的第三層——生產管理層。將各控制室的DCS系統通過光纖連接到生產管理網，全公司組成了一個Experion PKS系統大網絡。在生產管理網配置了PKS工作站、PKS服務器、過程歷史數據(PHD)服務器、PHD緩存服務器、WPKS服務器、防病毒服務器和域控服務器，組成了生產管理控制中心(PMCC)，如圖2所示。

圖2 Experion PKS系統三層網絡結構

PMCC也是全公司的生產調度指揮中心，其單元功能分別為：

a. PKS工作站為生產管理人員提供監視畫面和生產報表。

b. PKS服務器配置分布式系統結構(Distributed System Architecture，DSA)軟件,收集各控制室內過程控制網絡的數據并完成與各工作站的數據通信，為各工作站提供畫面的實時數據。

c. PHD服務器具有數據存儲與管理功能，提供歷史數據查詢。

d. PHD緩存服務器采集生產過程實時數據發送給PHD服務器。

e. WPKS服務器支持Web服務可使用網頁瀏覽器。

f. 防病毒服務器作為專用的病毒查殺服務器只安裝殺毒軟件，用于消除惡意軟件、特洛伊木馬和電腦病毒。殺毒軟件集成監控識別、病毒掃描及清除等功能，是計算機防御系統的重要組成部分。在生產管理網各計算機節點上安裝殺毒軟件的客戶端，防病毒服務器的殺毒軟件升級后，各客戶端將會自動去尋找防病毒服務器進行殺毒軟件自動升級[5]。

g. 域控服務器管理生產管理網內所有賬戶并保證安全策略得以實施，對域內用戶的權限進行合理分配，使各用戶不能對硬件設備進行添加和刪除，不能對程序進行安裝和卸載，也不能對系統進行啟動和關閉，只能操作一些已經安裝的應用程序，有利于降低誤操作造成的系統故障[6]。域控服務器安裝的準入系統與交換機相互合作，防止非授權計算機進入該域網絡。通過域控服務器和防病毒服務器對生產管理層實施防護，能夠有效保護過程控制網絡。

3.3 DCS網絡橫向分段、縱向分層隔離

在試生產過程中，曾多次出現操作站畫面調用緩慢和操作站通信中斷故障。通信中斷時間短的有兩分鐘，最長的一次網絡時通、時斷持續了五個多小時。通過病毒查殺，只在一臺服務器上查出U盤插入電腦自動運行的“W32/RJump.Worm”病毒。根據故障現象分析，造成網絡中斷的原因，可能是由于DCS網絡過于龐大、一些硬件配置不合理，或是操作層上的某臺設備網線虛接不斷發包造成交換機負荷過大、網絡通信堵塞[7]。針對DCS網絡通信問題，采取以下技術措施：

a. 重新規劃FTE網絡，將FTE網絡橫向分段。雖然FTE網絡可最多支持200個FTE節點和200個普通以太網聯節點。但是，網絡過大，交換機的負荷大、通信速度下降，網絡節點，多出現故障的幾率高，一旦網絡出現故障影響的范圍也大。按照每個生產單元劃分一個FTE網段的原則，將一個FTE大網絡劃分為幾個FTE小網段，通過網絡分段降低了FTE網絡負荷，同時也縮小了FTE網絡故障的影響范圍。

b. FTE網絡的第一層交換機改用C300控制器專用的防火墻，使控制層和操作層網絡隔離，只允許與控制器有關的信息通過，限制廣播流量，防止廣播風暴。控制器同時升級為C300。軟件也要相應升級，Experion PKS系統軟件升級到R310版本，服務器操作系統軟件升級到Windows Server 2003,操作站操作系統軟件升級到Windows XP。

c. 在過程控制網與生產管理網之間增加路由器進行隔離，在路由器上部署智能服務、速率限制、訪問控制列表及組播管理等安全策略。使FTE網絡與生產管理網絡之間隔離，增強系統的縱深防御功能[8]，并完成控制室內各FTE網段之間的數據交換。

3.4 人/機隔離

利用KVM延長器，將操作人員與DCS系統的電腦主機隔離。將服務器、工程師站、操作站和生產管理系統層的電腦主機安裝在各DCS機柜間內，通過KVM延長器，實現主機與鍵盤、顯示器、鼠標的遠距離連接。使操作人員只能操作鍵盤和鼠標，觀看顯示器上的畫面，接觸不到DCS系統的電腦主機。人/機隔離，隔絕了人為使用U盤、光盤等移動存儲設備帶入病毒的途徑。

3.5 DCS網絡邊界防護

由于企業管理和發展的需要，鄂爾多斯煤制油分公司開始建設企業資源計劃管理系統(ERP)和制造執行系統(MES)。DCS數據作為MES系統的基礎數據，需要DCS系統與企業信息網連接。DCS系統不再是一個獨立運行的系統，要與企業信息系統甚至互聯網進行互通、互聯。將DCS系統直接暴露于公共網絡之中，面臨更多的危險。MES系統是Experion PKS系統的第四層，為了保證DCS系統安全，需要增加DCS網絡的邊界防護，以降低由企業信息網引入的安全風險。在Experion PKS系統的第三層和第四層網絡之間增加了隔離區(DMZ)。

按照Honeywell Experion PKS的系統架構，隔離區由工業防火墻和鏡像服務器構成。DCS系統通過工業防火墻連接到PHD鏡像服務器，再通過PHD鏡像服務器連接到企業信息網，PHD服務器的數據通過工業防火墻發送到PHD鏡像服務器并實現數據相對同步，PHD鏡像服務器對企業信息網開放，其系統網絡結構如圖3所示。

由于防火墻具有數據雙向傳輸的特性，因此防火墻和鏡像服務器組成的隔離區技術，也同樣存在黑客穿過隔離區攻擊DCS系統的危險[9]。而且，2014年4月8日以后微軟公司停止對Windows XP系統的技術支持服務，不再提供更新補丁修補系統漏洞[10]。黑客很可能利用系統漏洞對DCS系統進行攻擊。DCS與MES之間只需要數據從DCS流向MES的單一信息流向,不需要反向流。為了確保DCS系統安全、穩定運行，技術人員決定用單向隔離網閘替換工業防火墻。DCS系統通過單向隔離網閘連接到PHD鏡像服務器，PHD鏡像服務器連接到企業信息網，將PHD服務器的數據單向傳送到PHD鏡像服務器并對企業信息網開放。企業信息管理系統只能讀取PHD鏡像服務器上的數據，不能訪問DCS系統內部設備，即使黑客攻擊了鏡像服務器，也無法逆向穿過單向隔離網閘進入DCS系統。單向隔離網閘具有數據單向傳輸的特性，能夠完全隔離來自工業控制系統外部的網絡威脅[11]。

圖3 Experion PKS系統四層網絡架構

4 DCS系統的安全管理

據統計，來自企業外網的威脅只占20%，來自企業內部的威脅高達80%。為了實現工業控制系統安全可靠運行，一方面要防止來自外部網絡的病毒、木馬和黑客攻擊；另一方面還要防止來自工業控制系統內部的病毒帶入和傳播[12]。在實施網絡安全防護技術的基礎上，加強工業控制系統的安全管理和漏洞堵塞，防止病毒帶入也是不可缺少的。為此，制定了DCS系統安全運行管理的相關規定：

a. 禁止U盤及手機等移動存儲設備與DCS計算機連接；

b. 在服務器和操作站的注冊表中關閉USB口，USB接口外部加鉛封，啟用的USB口用過后要重新關閉并進行鉛封；

c. 拷貝過程數據時，要有審批單和授權，只允許在指定操作站上使用光盤刻錄機刻制光盤，不允許使用其他移動存儲介質復制數據；

d. 為每臺服務器配備兩塊專用移動硬盤，備份兩份系統數據庫，異地保存并及時更新，同時不允許移動硬盤交叉使用；

e. 使用DCS制造商認證的補丁軟件光盤，離線打補丁，禁止使用網上下載的補丁軟件和在線打補丁操作；

f. 使用DCS制造商認證的病毒查殺光盤，離線病毒查殺，禁止使用網上下載的殺病毒軟件和在線病毒查殺；

g. 利用裝置大檢修時間，將所有操作站、工程師站和服務器離線，統一進行病毒查殺和打補丁，確定沒有病毒后，再恢復網絡連接，病毒查殺后防病毒軟件要卸載，以免影響DCS系統正常運行；

h. 工程師站和服務器的密碼定期更換，防止密碼泄露，DCS機柜間和機柜門上鎖，鑰匙由專人保管；

i. 用于DCS組態的筆記本電腦，不準連接企業管理網或外網，也不準安裝其他軟件或用于其他控制系統組態，必須“專本專用”；

j. 委托DCS制造商定期對系統進行安全測試和評估，發現問題及時處理；

k. DCS制造商的技術人員現場服務時應使用系統配置的專用筆記本電腦，如果使用自帶的筆記本電腦必須經過安全確認才可以連接系統，工作時必須有本公司的DCS系統維護人員監護；

l. 企業管理用的電腦遠離工業控制系統安裝，避免安裝距離太近網線接錯，造成DCS網絡直接連到企業管理網或非授權設備接入DCS系統；

m. 指派有系統維護經驗的工程師專職負責DCS的安全工作。

5 結束語

鄂爾多斯煤制油分公司DCS系統通過實施網絡橫向分段和縱向分層隔離、防病毒及域控制等綜合防護措施，有效防止了DCS系統內部的病毒帶入和傳播。通過網絡邊界防護，采用隔離區和單向隔離網閘技術，隔絕了來自外部網絡的威脅。并結合安全管理措施，實現了工業控制系統安全穩定運行的目標。