工業控制系統添加信息安全設備的兼容性研究及測試

王云龍

（艾默生過程控制有限公司 上海市 201206）

1 引言

工業控制系統在國民經濟發展中起到了重要作用，尤其是其對生產企業的生產效率的提升是有目共睹的，那么在數字化浪潮的沖擊下工業控制系統是否需要進行信息安全防護呢[1]？答案顯然是肯定的。尤其是以等保2.0 為代表的各種網絡安全評估[2]從另一個角度說明了國家對工業控制系統信息安全保護工作的充分重視。

Ovation[3]DCS 及其附屬的多種配套控制系統和相關衍生產品已經在全球電力行業中獲得廣泛應用，尤其是隨著中國電力市場的快速增長，Ovation DCS 已經占據了龐大的市場份額，成為眾多包括核電站[4]在內的電力企業首選的分散控制系統。但是隨著電力市場自主可控戰略的提出，對源自美國的控制系統如何實現自主可控的問題就擺在行業專家的面前[5]，其中一種可行的舉措是在這套工業控制系統上嵌入一套完全國產化的網絡安全系統，制定相應的應急處置方案[6]，滿足中華人民共和國網絡安全法、工信部行動計劃[7]、等保2.0 的實際要求。本文總結了作者從事為工業控制系統DCS 添加信息安全設備的實際兼容性測試經驗，倉促成文與大家共享。

2 Ovation DCS系統結構特點

Ovation 是一種分散控制系統，它的模塊化設計允許用戶按自己的需求配置過程管理系統。每個網絡可以配置最多254 個智能模塊（通常我們稱之為drop），每個drop 都是可以獨立執行多種功能的分立模塊。Ovation 采用商用的硬件平臺，操作系統，和開放的網絡技術。它具有如下結構特點：

各個工作站和控制器連接到了冗余的高速網絡，并用高速以太網標準收發數據。

過程正常運行的各種操作是通過工作站來完成的，工作站一般是基于Solaris 或者是Windows 操作系統的，工作站通常通過交換機連接到網絡上進行收發數據。

控制器執行模擬量和順序控制并與各種輸入輸出卡件進行通訊，控制器被稱為drop 時包含了輸入輸出卡件，而這些卡件會與安裝于現場設備的傳感器相連，這些傳感器測量過程點的值通過控制器在高速以太網上廣播。

硬件部分包括機柜、電纜、和各種接地設備。

輸入/輸出卡件（簡稱I/O 卡件）作為現場信號與控制器的接口，控制器通過高速以太網把現場信號傳送到各個工作站；反過來，信息從工作站被送到控制器，這樣控制器可以進行相應的調整。

Ovation 工作站中運行的軟件包執行著配置、管理和操作Ovation 系統的任務。

這種分散的結構特點和開放的系統結構給入侵者提供了偵測并利用各種漏洞進行違法犯罪活動的機會[8]，為此需要添加相應的網絡安全設備并進行必要的系統加固以應對可能的安全風險[9]，但是添加網絡安全設備到現有系統之前必須進行兼容性測試，對這個兼容性測試所要秉承的原則和具體過程，現在我們進行一一介紹。

3 添加信息安全設備的需求分析

任何系統都不是完美的，原自美國的Ovation DCS 系統也不例外，它是大型工廠的神經系統，其運行的保密性、完整性、可用性對實現客戶的經濟利益甚至國家的電力安全都是至關重要的。加之國家對關鍵基礎設施的自主可控要求，不管是從國家層面還是從客戶層面，對火電工控系統網絡安全方案的設計[10]以及添加信息安全設備的需求都急需得到滿足。但是擺在Ovation 客戶面前的是一個兩難的選擇，首先Ovation 系統屬于海外研發的產品，它不太可能、也難以直接獲得以公安部三所為代表的國家政府的測試許可；一般的國產信息安全產品又難以證明自己和Ovation 系統是兼容的，不能保證其嵌入Ovation 進行使用的過程中的可用性，不能排除其對Ovation 正常運行的影響；尤其是等保2.0 等標準中明確指出信息安全系統添加的前提是不得影響大型工廠的正常運行，尤其像發電廠這種關鍵基礎設施。DCS 廠家需要被認可的網絡安全解決方案借以鞏固其安裝機組的穩固，信息安全廠家希望自己的產品能供成功的應用于廣闊的工業控制領域。綜合各方需求，我負責籌建一個位于上海的研發測試實驗室，用以統合各方需求，進行相應的兼容性測試，以期推出一個國產的網絡安全解決方案。現就相關工作進行介紹如下。

4 可行性研究及測試原則的提出

艾默生已經開發了一套基于美國標準的網絡安全解決方案（PWCS），這套系統已經在北美、中東、韓國、中國等地有了成功應用，它可以作為參考的樣本，在測試國產解決方案的時候進行借鑒；這套產品的測試主要在印度完成，可以邀請印度的測試工程師來國內進行工作，同時完成對上海工程師的在工作中培訓；在全球總裁的支持下，美國研發部門提供相應的測試用例以利參考；國產信息安全廠商提供設備、技術上的支持，各種資源可以調集到位。

由于Ovation 產品具有國際廣泛使用的特點，兼容性測試的過程中如果發現任何問題，需要由國產信息安全廠家進行相應修改，而不是改動Ovation DCS，這是一個重要原則，這也是對廣大已有的用戶下一步安裝網絡安全產品的可行措施。

5 實驗室網絡結構及軟硬件選型設計

選擇現役主流的四個系統版本：

Ovation3.3.1; Ovation3.5.0; Ovation3.5.1; Ovation3.6.0 組成四個獨立的局域網，網絡編號分別為Net4;Net2;Net1;Net3。每個網絡自成最小系統，濃縮盡可能多的DCS 功能模塊，基本上每個網絡中都配備一臺數據庫服務器兼域控制器、一臺歷史站兼歷史收集客戶端、一臺DMZ（OPC）站兼操作員站兼各種附加功能模塊。具體配置參閱表1。

表1

另外配置集中網絡柜和控制器柜各一面，配置原則是可兼容多版本DCS 的Cisco2960+；Cisco3650 交換機，可以通過刷不同的配置文件扮演不同的交換機角色，可以使四個網絡單獨成網并進行多網通信，也可以多臺交換機聯合成復雜局域網模擬可能的各種網絡負荷場景；控制器配置原則也是根據不同版本Ovation 發布說明考慮最大兼容性，盡量做到最小的更換次數模擬更多的應用場景，另外附加了標準Ovation IO Base 槽位以便隨時插接不同類型的主流應用卡件，如LC 通信卡、VP 卡、AI/AO 卡、DI/DO 卡、各種總線卡等等。

總之實驗室設計以盡量符合中國用戶實際運行場景為宜，預置相應數量的網線、電源線、各種通信線等。

申請試驗測試專用的License,申請原則為多功能多用途高度集中但是控制器等允許個數盡量的少，以減少License 被盜可能產生的商業風險。

6 測試步驟和具體方法

總體上按先后順序需要分成如下幾個部分：

（1）工業控制系統和網絡安全系統融合的拓撲結構及接口部位的選擇；

（2）網絡安全設備接入后其預期應實現的功能的測試和異常情況處理；

（3）工業控制系統本身基礎功能和附加功能的逐項測試；

（4）網絡安全系統保持不變進行工業控制系統各個功能模塊調整重裝測試；

（5）工業控制系統保持不變進行網絡安全系統各個功能模塊調整升級測試；

（6）測試報告和解決方案發布文件記錄的完善。

其中第2 點主要應用網絡安全設備廠家的研發測試用例逐項核對測試，并進行必要的添減；第3 點為兼容性測試的核心步驟，現就其具體實施方案闡述如下：

1.起草軟件測試計劃（Software Test Plan， STP），主要包括軟件測試的目的、基本情況介紹、需要測試的項目范圍、不需要測試的項目范圍、測試的方法、軟硬件資源配備、測試工程師及培訓需求、測試步驟、質量記錄保存、測試計劃簽章。其中包括結合Ovation 應用實踐進行的定制化修改，主要是界面和功能的選擇和多軟件包融合工作。

2.軟件驗證測試程序（Software Validation Test Procedure, SVTP）報美國研發部審批，主要有如下幾種SVTP 需要報批：Ovation Basic Functions，OVATIONAutoCAD FreeControl Builder，Ovation OptionalSW，Ovation Studio, OVATIONWindowsBasic Security, OVATIONWindowsGraphic Builder, OVATION WINDOWSOperator Station.獲批之后的SVTP 成為后續兼容性測試的主要依據和操作指南。

C, 測試過程中有任何異常發現（findings），和網絡安全設備廠家研發及時溝通進行其單方面整改。

7 網絡安全系統各種設備及其接入方案

7.1 工業防火墻

PWCS-C 工業防火墻是專為工業控制網絡設計的一款工控防火墻產品，產品型號為PWCS-C-IFW1000。本產品通過串聯的網絡接入模式（同時支持電口和光口），詳實檢測通過本產品的網絡通信行為。通過對通信流量中的工業控制協議（如Modbus TCP、 OPC、DNP3、S7、IEC 60870-5-104 等）通信報文的深度解析（DPI，Deep Packet Inspection），實時檢測針對工業協議的黑客攻擊行為、用戶的誤操作行為、用戶的違規操作行為、非法設備接入以及蠕蟲、病毒等惡意軟件傳播的行為進行阻攔并實時告警，為工業控制系統的安全運行及事故調查提供堅實的基礎。產品采用完全符合工業標準的自主設計，可以部署和應用到各種復雜的工業生產環境。產品硬件經過CE，CC 和FCC 等業內頂級標準認證，可以穩定長期的不間斷運行。

PWCS-C 工業防火墻在管理形式上采用集中管理分散部署的方式，對工業防火墻進行配置管理的統一安全管理平臺（PWCS-CSMP1000）是 “OVATION 工控安全解決方案PWCS-C” 不可分割的一部分。 “統一安全管理平臺（PWCS-C-SMP1000）” 采用B/S 架構，管理員可在任意連通到管理平臺的機器上便捷的訪問和管理，大幅提高運維效率，有效降低維護成本。

7.2 網絡審計終端

PWCS-C 工控安全監測與審計終端是專為工業控制網絡設計的一款通信流量監測審計安全產品，產品型號為PWCS-C-MA1000。本產品通過旁路或串聯的網絡接入模式（同時支持電口和光口）詳實記錄通過本產品的網絡通信行為。通過對通信流量中的工業控制協議（如Modbus TCP、 OPC、DNP3、S7、IEC 60870-5-104 等）通信報文的深度解析（DPI，Deep Packet Inspection），實時記錄針對工業協議的黑客攻擊行為、用戶的誤操作行為、用戶的違規操作行為、非法設備接入以及蠕蟲、病毒等惡意軟件傳播的行為進行實時告警，為工業控制系統的安全運行及事故調查提供堅實的基礎。

7.3 主機安全防護系統

PWCS-C 主機安全防護系統是專為工業控制網絡設計的一款工控主機安全產品，產品型號為PWCS-C-EG1000。PWCS-C 主機安全防護系統包括在工控主機上安裝的安全終端軟件艾默生工控主機衛士客戶端（產品型號為PWCS-C-AGENT）、為確保工控主機間資料安全傳輸的安全U 盤（產品型號為PWCS-C-UD8）、為工控主機提供雙因子認證登錄支持的USBKey（產品型號為PWCS-CUKEY）。

通過PWCS-C 主機安全防護系統，可以實現對工業控制系統的軟件白名單管理（阻止非白名單內的程序運行）、對工控主機的外設管理（對普通U 盤的讀寫控制，以及提供加密的安全U 盤以便資料的安全傳輸）、對工控主機的操作系統加固（對系統注冊表的修改控制、對系統開機加載文件的保護，以及對系統重要文件的讀寫控制），對工控主機的雙因子認證登錄（通過USBKey 實現USBKey+密碼的雙因子認證登錄），可以有效阻止包括震網病毒、Flame、Havex、BlackEnergy 等在內的工控惡意代碼在工控主機上的感染、執行和擴散。

7.4 網絡入侵檢測IDS

PWCS-C 入侵檢測系統是專為工業控制網絡設計的一款工控入侵檢測產品，產品型號為PWCS-C-IDS2000。本產品通過旁路部署模式，詳實檢測攻擊行為，并記錄日志。入侵檢測系統是依照安全策略，對工業網絡、系統的運行狀況進行監視，發現各種非法操作或異常行為的軟硬件一體化設備。該系統能夠深入分析網絡上捕獲的數據包，結合特征庫進行相應的行為匹配，及時發現來自生產網外部或內部違反安全策略的行為及被攻擊的跡象，幫助工業用戶及時采取應對措施，最終達到保護生產網絡安全的目的。

PWCS-C入侵檢測系統在管理形式上采用Web UI管理的方式，采用B/S 架構，管理員可在任意連通到入侵檢測系統的機器上便捷的訪問和管理，大幅提高運維效率，有效降低維護成本。

上述網絡安全設備的接入方式及其于工業控制系統融合的拓撲結構如圖1 所示。

8 測試所得解決方案發布程序

兼容性測試結束前要完成的程序主要有：開發信息發布（Development Information Release，DIR）；新附加的網絡安全產品手冊的編寫和校對；測試記錄的整理和存檔；準備發布會議的組織和召集；多渠道廣播發布。《關于艾默生PWCS-C 網絡安全解決方案已通過Ovation 系統兼容性測試的說明》文件的發布。

其中DIR 的主要內容：

內容表，版本歷史記錄，信息匯總，網絡安全解決方案總體概述，網絡安全產品簡介，網絡安全產品圖紙部件號，網絡安全系統軟件介質，兼容性，安全管理平臺，網絡檢測審計，工業防火墻，入侵監測，主機衛士，安全U 盤，文檔列表，測試所用軟硬件環境。

9 結論

本文主要講述了艾默生PWCS-C 網絡安全解決方案通過Ovation 系統兼容性測試的具體研究和測試實踐，過程涉及到方方面面的技術要求和資源整合，其間細節不能一一盡述，主要內容有Ovation DCS 系統結構特點、添加信息安全設備的需求分析、可行性研究及測試原則的提出、實驗室網絡結構及軟硬件選型設計、測試步驟和具體方法、網絡安全系統各種設備及其接入方案、測試所得解決方案發布程序。希望能夠為各位讀者起到拋磚引玉的作用，為解決經濟技術全球化過程中遇到的各區域計算機系統兼容性問題提供一點借鑒。