一種新型DCS系統信息安全設計方案

金亞東　畢艷梅

【摘 要】工控系統信息安全越來越受到國家和社會的重視，信息安全設計能夠增加工控系統對信息威脅的免疫力，提升抵抗力。本文通過分析傳統DCS系統在信息安全方面的“薄弱環節”，引入一種全新的信息安全設計方案。

【關鍵詞】DCS；信息安全

0 引言

DCS系統在我國工控行業應用廣泛，一旦系統信息安全出現漏洞，將會對我國的工業生產和經濟造成極大的破壞。伴隨著計算機技術和網絡技術的不斷發展，信息化和工業化融合的不斷推進，DCS系統越來越多的采用通用硬件、通用軟件、通用協議，使得系統在開放的同時，也減弱了系統與外界的隔離。DCS系統的安全隱患問題日益嚴峻，系統中任何一點受到攻擊都有可能導致整個系統的癱瘓。

2010年發生的“震網”病毒事件，充分反映出工業控制系統信息安全面臨著嚴峻的形勢。本文以DCS系統為分析基礎，介紹了一種全新的信息安全設計概念，在不改變系統架構的前提下解決當前傳統DCS系統在信息安全方面的“薄弱環節”。

1 傳統DCS系統的“薄弱環節”分析

下圖為傳統的雙層網絡DCS系統架構

傳統的DCS系統的“薄弱環節”主要包括：

1.1 通信協議漏洞

TCP/IP協議和OPC協議等通用協議在DCS系統網絡中被廣泛地應用，隨之而來的通信協議漏洞問題也日益突出。例如，OPC Classic協議（OPCDA，OPCHAD和OPCA&E）基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊。而且OPC通訊采用不固定的端口號，目前傳統的IT防火墻幾乎無法確保其安全性。

1.2 操作系統漏洞

目前大多數DCS系統的工程師站、操作員站、HMI都是基于Windows平臺的，在系統開車后，為保證過程控制系統的相對獨立性，同時兼顧到系統的穩定運行，將不會對Windows平臺繼續安裝任何補丁。這樣勢必存在的問題是，系統不加裝補丁就存在被攻擊的可能，從而埋下安全隱患。

1.3 應用軟件漏洞

DCS系統中安裝的應用軟件多種多樣，很難形成統一的防護規范以應對安全問題；另外當應用軟件面向網絡應用時，就必須開放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。某些別有用心的人員很有可能會利用一些應用軟件的安全漏洞獲取DCS系統的控制權限從而進行破壞、獲利等非法活動。

1.4 安全策略和管理流程漏洞

為了更好的滿足系統的可用性而犧牲安全，是很多DCS系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給DCS系統信息安全帶來了一定的威脅。例如DCS系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

1.5 殺毒軟件漏洞

為了確保應用軟件的可用性，許多DCS系統通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要不定期的經常更新，這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

2 新概念設計方案

針對傳統DCS系統在信息安全方面的“薄弱環節”，提出一種全新概念的解決方案。以典型的二層網絡架構為例：

2.1 過程控制網絡采用POWERLINK現場總線方案替換傳統的工業以太網。

該方案的特點：

1）基于標準硬件，完全兼容標準以太網；

2）確定性的實時通訊，在技術方面采用了SCNM時間槽通信管理機制，由此能夠準確預測數據通訊的時間，從而實現了實時通訊的確定性；

3）適用系統廣泛，POWERLINK適用于PLC，傳感器，I/O模塊，運動控制，安全控制，安全傳感器、執行機構以及HMI系統等。

2.2 過程監控網絡采用光纖通道交換機替換傳統的以太網交換機。

該方案的特點：

1）采用光纖通道協議；

2）高數據傳輸速率（800和1600MB/S）；

3）高帶寬低延遲（8Gbps/16Gbps）；

4）可靠性傳輸誤碼率<10-12。

2.3 采用國產操作系統：用國產操作系統（中標麒麟、Deepin等）替代國外操作系統能夠極大提高信息安全，倪光南院士說過“國產操作系統最重要的優勢是安全”

2.4 工程師站、操作員站中專用軟件

1）安裝應用程序白名單軟件，只允許經過授權和安全評估的軟件運行；

2）工程師、操作員站中專用軟件進行權限管理，設置登錄密碼，敏感動作例如下裝等設置口令。避免使用默認口令和弱口令，并且定期更新。

2.5 安全策略

1）工程師站、操作員站、服務器等主機拆除或禁用USB、光驅、無線等接口；

2）靜態存儲的重要數據進行加密存儲；

3）動態傳輸的重要數據進行加密傳輸；

4）關鍵業務數據定期備份；

5）采用端口綁定技術，使交換機各應用端口與連接設備一一綁定，未進行綁定的設備交換機不識別，無法接入到網絡中來。交換機上閑置的物理端口通過管理軟件給予關閉；

6）禁止HTTP、FTP、Telnet等高風險通用網絡服務；

7）禁止訪問方在遠程訪問期間進行非法操作；

8）訪問日志、操作日志等備份并能夠追蹤定位非授權訪問行為；

9）通過工業防火墻、工業網閘等防護設備對控制網絡安全區域之間進行邏輯隔離；

10）信息安全審計，對系統行為、應用程序活動、用（下轉第69頁）（上接第20頁）戶活動等進行安全審計從而發現系統漏洞、入侵行為等危害系統安全的隱患或行為；

11）設置鏡像端口，對網絡數據和網絡流量進行監控；

12）網絡攻擊和異常行為識別、告警、記錄；

13）發現、報告并處理包括木馬病毒、端口掃描、暴力破解、異常流量、異常指令、偽造協議包等。

2.6 殺毒軟件專設計算機

設置專用電腦用于安裝殺毒軟件，該計算機不與DCS系統連接，外部數據需經過殺毒軟件掃描確認后方可拷貝到工程師站主機中。

2.7 嵌入式操作系統和芯片固件

采用國產嵌入式操作系統，例如：DeltaSystem和國產龍芯芯片替代國外的相關產品，從而避免國外廠商預留的后門和系統漏洞。

3 結論與展望

本文通過對傳統DCS系統信息安全“薄弱環節”進行分析，給出了一種全新的設計方案。該方案在不改變傳統架構的基礎上，針對傳統DCS系統的“薄弱環節”給出相應的設計方法，為DCS系統信息安全設計提供一條新的設計思路。

受到設備成本、國產設備性能等制約，本方案還處在概念階段。期待不久的將來，隨著我國工業水平的不斷提升，方案的不斷完善，能夠真正應用到DCS系統，為DCS系統信息安全發揮其應有的作用。

【參考文獻】

[1]工業和信息化部協[2011]451號通知.

[2]工業和信息化部.工業控制系統信息安全防護指南[S].2016（10）.

[責任編輯：田吉捷]