DCS系統網絡安全防護策略

孫強

（中國石油大慶石化公司煉油廠，黑龍江大慶163711）

某石化生產裝置DCS通過OPC接口連接到MES的緩沖服務器上，再通過緩沖服務器連到HONEYWELL的實時數據庫PHD上，PHD為MES上層模塊提供基礎數據，實現了MES信息網絡與DCS控制網絡之間的數據交換。DCS從封閉到開放，病毒入侵、黑客攻擊等風險增加。目前流行的IT商業防火墻、防病毒等技術主要集中在MES信息層面上防護。根據工信部《工業控制系統信息安全防護指南》的要求對本套DCS開展工控安全防護工作［1］。

1 DCS漏洞掃描及病毒檢查

某裝置在大檢修期間對DCS進行漏洞掃描及病毒排查。對DCS操作站及服務器的主機硬盤進行全盤備份，保留原盤，對備份硬盤進行檢查測試［2］。操作系統見表1，系統網絡見圖1。

表1各主機操作系統

圖1 DCS網絡

利用Nessus掃描工具和系統自帶的殺毒軟件掃描服務器及操作員站主機，掃描到3個conficker病毒［3］。此病毒利用微軟SVCHOST服務漏洞來感染計算機并進行傳播，也能通過移動存儲介質（如U盤）或利用文件共享功能在局域網中傳播。

針對conficker病毒，安裝微軟補丁KB971029，修復MS08-067漏洞。

2 DCS系統網絡風險識別

服務器一旦受到病毒感染或攻擊，會對整個系統運行安全造成威脅［4］。DCS安全防護見圖2。

圖2 DCS安全防護

縱向看，DCS與MES網上數據交換鏈路間沒有防護設備，可能遭受上層網絡的病毒攻擊。

橫向看，系統防病毒軟件升級遲緩，一旦DCS感染病毒會很快擴散，造成局域網絡全面感染。

3 網絡安全防護解決方案

在DCS與上層MES數據通訊鏈路中增設Guard工業防火墻，防火墻內置多種工業協議和常規控制網絡模型，可對OPC等通訊提供深度檢查和管控；采用無IP工業隔離技術，令攻擊者無法發現目標。防火墻具有安全審計功能，可記錄用戶操作行為，現場安裝不用更改原網絡，上電后將防火墻設置為出廠透明模式，通過中央管理平臺進行規則配置組態，完成后將防火墻切換至運行模式方可生效。安全管理平臺接收來自中央管理平臺的所有事件和日志信息，通過SMP安全管理平臺可查詢日志分析、可信日志分析、報警管理等［5］。

DCS生產商分發補丁程序相對緩慢，很少提示重大風險，很難及時應對風險及威脅，采用無補丁的主機病毒防護方案尤其重要。

將InTrust工控可信計算芯片安裝在DCS操作站、服務器主板的PCI槽上，并安裝可信客戶端軟件，增設1臺可信服務器，允許可信進程運行，阻斷其余進程，生成可信白名單。對于插入主機的USB設備采取授權準入模式，提升各主機防御病毒和黑客非法入侵能力。

嚴格執行機房管理制度，僅授權人員可進入。定期巡檢機房設備并記錄運行情況。對操作站、服務器主機不必要的外設接口進行封堵或拆除，用USB鎖封堵USB端口，拆除光驅。

設置DCS登錄密碼，在DCS上按使用權限設置賬戶，各自設置獨立的密碼，防止誤操作。

修改組態審批完成后需及時備份。定期對DCS硬盤備份，并登記造冊妥善保管。

4 結束語

目前該防護系統已過通過測試并正式投用，滿足DCS主機病毒防護、USB安全管理、安全審計、安全管理及異常監測等方面的需求，確保DCS免受上層管理網帶來的病毒及網絡攻擊。