某石化企业工控安全案例

某石化企业工控安全案例 2 公司工业控制网络结构现状 2 1 公司控制系统网络 拓扑基本结构伴随工厂信息化的不断深入 我公司在生产管 理上建立了基于实时数据库应用的 MES 系统 实时数据库 的建立是以采集过程控制系统的数据为前提 这就需要 MES 的信息网络必须要实现与控制网络之间的数据交换 控制网络不再以一个独立的网络运行 而要与信息网络互通 互联 目前基本网络结构如下 网络图 网络图说明 控制系 统泛指用于过程生产控制及安全的 DCS PLC ESD 等 1 控 制系统的控制器网络层 随着工业以太网技术的不断发展 目前国际主流控制器的通讯方式都采用以太网模式 2 控 制系统的操作站 服务器网络层 目前基本所有控制系统制造 商的操作站和服务器都采用普通基于 Windows 操作系统的 PC 机作为平台 同时网络也采用冗余以太网模式 3 数据 采集接口服务器 OPC Server 为保证系统的开放与互联性 系统制造商遵循国际 OPC 基金会组织的标准 提供了一个 与第三方通讯的接口 4 数据采集缓存机 Buffer 有两个 作用 第一可以作为数据采集的缓存 当上层 MES 网络有问 题时 Buffer 机可以临时存贮一段时间的过程数据 当链路 恢复时 数据自动恢复到 MES 实时数据库中 保证过程数据 在数据库中无断点 第二个作用是通过其自身的双网卡设置 可抵御外部非法入侵 杜绝黑客等恶意人员对控制系统的直 接攻击 5 MES 实时数据库 企业工厂生产管理系统的核心 数据库 可长时间存贮现场实时生产过程数据 是提高我公 司生产管理效率 优化生产工艺的核心根本 6 第三方接入 系统 通常指部分小型控制系统 PLC 居多 通过以太网或 串行接口接入到装置的核心控制系统内 2 2 控制系统网络 特点分析与传统 IT 网络不同 工业控制网络及相关设备有 其独特性 1 可靠性 实时性要求高 主要反映在控制器和操 作站的网络层内 工业控制网络最主要是要保证过程数据的 实时性和网络的可靠性 所以对整个网络的过程数据而言 不允许有任何中断出现 简单说就是不能失控 2 专有通讯 协议 每一个过程控制系统供应商都有自己专有的通讯协 议 这些协议基本都为独自研发 近几年随着系统开放性呼 声越来越高 进而出现了一些行业内的开放协议 例如 OPC Modbus TCP 现场总线 Foundation Hart Profibus 等 等行业通讯标准 都是工业控制领域的专有通讯协议 3 相 对独立 每套控制系统通常都是根据工艺设备要求而设计 所以无论从前期网络设计到实际物理安装 整个控制系统网 络都是相当独立 不会与其它任何应用存在交联部分 在与 外界交互的通道上仅仅开放 OPC Server 这一个接口 通过 OPC 工业通讯协议与外部进行数据交换 4 产品更新周期长 控制系统产品不以追求设备的先进性为目标 更多的是强调 它的安全稳定 所以结合实际工艺生产以及设备投资综合考 虑 在该领域的产品更新周期通常在 10 年以上 容易导致系 统的操作平台落伍 目前 Microsoft 早就不提供 windows NT 2000 的技术支持 5 与杀毒软件兼容性差 截至目前 没 有任何杀毒软件厂商对在网络中基于 Windows 平台上安装 的过程控制软件做过完整兼容性测试 这种情况同样也适应 于过程控制系统制造商 所以在工控领域的操作站层难于统 一部署杀毒策略 3 目前控制网络隐患及解决方案过程控制 系统在近十年的发展中呈现出整体开放的趋势 计算机技术 在工控领域的应用使得现代 DCS 操作站完全是一种 PC Windows 的模式 控制系统网络也基本都向工业以太网 结构发展 开放性越来越强 基于 TCP IP 以太网通讯的 OPC 技术在工业数据采集中得到广泛应用 虽然工厂信息网 络安全采取杀毒服务器 操作系统补丁服务器等措施 但病 毒库及系统补丁的升级总是存在滞后效应 对于新型病毒及 入侵攻击根本无法抵御 在我公司 DCS 系统网络架构进行 整体分析后 得出潜在风险如下 3 1 OPC 通讯安全隐患 风 险识别 来自上层信息网对控制网的攻击或病毒感染 目前 现状 OPC 数采机 Buffer 机 采用双网卡配置 安装杀毒软 件 隐患问题 OPC 即用于过程控制的 OLE OLE Object Linking and Embedding OPC 技术诞生于 1996 年 旨在 为不同的控制系统提供一种通讯标准 OPC 技术发展至今 已经成为全球领先的自动化产品通信互联技术 OPC 基于 Microsoft 的 DCOM 分布式组件对象模式 技术 该技术使 用了 RPC 远程过程调用 网络协议来实现工业网络中的以 太网连接 来自该领域的安全研究人员 包括黑客组织 却发 现该标准中存在一些严重问题 第一个问题 DCOM 的动态 端口分配的问题 由于 OPC 服务器需要任意使用 1024 65535 中的任何端口 这在传统 IT 防火墙防护配置时 就会使得大量端口完全开放 形成严重的安全漏洞 因此 OPC 无法由传统 IT 型防火墙进行防护 这一点已经得到了 广泛认同 第二个问题则源于 OPC 过于宽松的访问权限 因 为设置 OPC 是一个复杂的过程 所以一些主要的供应商提 出建议 将最终用户的 OPC 安全配置完全敞开 例如 某 PLC 厂商建议将所有的远程访问和启动控制设定为匿名登 录 这些过于宽松的设置将使得任意网络中的任意个体都可 以运行 OPC 中的服务 这无疑是一个重大的安全隐患 最后一个问题 也是最常引起关注问题 是 OPC 使用的 Windows 的 DCOM 和 RPC 服务极易受到攻击 在过去的 5 年内 来自网络的病毒和蠕虫对这些接口的攻击越来越强 这个方式几乎成为了病毒和蠕虫开发者目前的最爱 虽然考 虑了双网卡配置 管理信息网与控制网通过该站进行了隔离 部分恶意程序不能直接攻击到控制网络 但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等 这种配置没有作 用 病毒会在信息网和控制网之间互相传播 安装杀毒软件 可以对部分病毒或攻击有所抑制 但病毒库存在滞后 所以 不能从根本上进行防护 解决方案 需要在两层网络之间增 加 OPC 通信协议防火墙 3 2 操作站互相感染隐患 风险识 别 所有操作站会同时相互感染某种病毒 可能导致系统停 车 目前现状 目前所有操作站都在一个网络中 仅仅从管理 角度 采取通过规章制度限制移动介质接入而减少外部感染 但在网络内部没有采取任何有效防护措施 隐患问题 PC Windows 的这个平台已经为各行各业所共用 同时以太 网互联也得到推广 TCP STMP POP3 ICMP Netbios 等大量 开放的商用通讯协议为大家广泛使用 同时也随之带来木马 蠕虫等计算机病毒 在控制系统的网络中 除具备上述通讯 协议外 根据系统制造商不同 基于 TCP IP 技术的通讯协议 是不一样的 例如 Honyewell PKS 使用的是 FTE Multicast 横河 CS3000 使用的是 Vnet 目前在整个控制网络中 我们 希望在原有网络中建立一条仅允许制造商协议通过的可靠 信道 去除其可能传播病毒的通道 目前普通 IT 防火墙无法 实现工业通讯协议的过滤 所以当网络中某个操作站 工程 师站 感染病毒时 可能会马上传播到网络的其它的计算机 容易造成网络上所有操作站同时发生故障或者容易引发控 制网络风暴 造成网络通讯堵塞 严重时可导致所有操作站 失控 甚至停车 解决方案 将部分操作站划分区域进行隔 离 3 3 操作站主机自身防护难题 风险识别 操作站自身感 染病毒目前现状 目前控制系统操作站 HMI 都以 Windows 为平台 任何一个版本的 Windows 自发布以来都在不停的 发布漏洞补丁 为保证过程控制系统相对的独立性 现场工 程师通常在系统开车后不会对 Windows 平台打任何补丁 更为重要的是打过补丁的操作系统没有经过制造商测试 存 在安全运行风险 但是与之相矛盾的是 系统不打补丁就会 存在被攻击的漏洞 即使是普通常见病毒也会遭受感染 可 能造成本机乃至控制网络的瘫痪 基于工控软件与杀毒软件 的兼容性问题 在操作站 HMI 上通常不安装杀毒软件 即 使是有杀毒软件 其基于病毒库查杀的机制在工控领域使用 也有局限性 对病毒库的升级维护难于统一 更重要的是对 新病毒的处理总是存在滞后 这导致每年都会大规模地爆发 病毒 特别是新病毒 隐患问题 通常操作站对病毒防护会比 较脆弱 任何带有病毒或恶意软件的移动介质的接入 都会 使之感染 进而影响控制系统稳定运行 典型案例 设备检修 U 盘等移动介质或笔记本电脑接入时会引入病毒解决办法 选择一台工程师站作为移动介质接入点 并将该台操作站通 过工业通讯协议防火墙进行隔离 可在本台隔离操作站上安 装防毒 杀毒产品 其余操作站封闭管理 4 工业控制网络 安全防护目标 4 1 安全防护的目标工业控制网络要保证安 全可靠 最好的方法是建立一个私有的信道 且创造一个相 对独立的网络 但是信息技术的发展已经不可逆转 分析以 上存在的隐患 总结前人的经验 同时参考我国信息网络安 全防护指导 我认为要保证控制网络的安全稳定运行必须达 到以下三个目标 1 通讯可控网络数据的传输总是给我们以 抽象 概念性的印象 没有一个直观的显示 通讯电缆如同 高速公路 怎样能够直观的观察 监控 管理通讯电缆中流 过的数据 这是我们首先要达到的目标 通过这个管控 对 控制网络而言仅需要保证制造商专有协议数据通过即可 对 其它基于 Windows 应用的不必要通讯一律禁止 从而创造 出一个单一制造商通信网络的环境 2 区域隔离 网络安全 问题不同于其它设备故障 对于现代计算机网络 我们认为 最可怕的是病毒的急速扩散 它会瞬间令整个网络瘫痪 具 有可扩散性和快速性的特点 虽然目前我们在现场采取了很 多措施 但要杜绝网络安全问题是不可能的 所以我们要保 证即使在控制网局部出现问题 也能保持装置或工厂的安全 稳定运行 这就要在关键通道上部署网络隔离设备 通过这 种隔离 为我们的控制系统也创造了一个相对独立的网络环 境 3 实时报警 千里之堤毁于蚁穴 报警的首要问题是把 网络安全问题消灭在萌芽中 同时通过对报警事件的记录存 储 为我们解决部分已发生过的安全事件提供分析依据 告 别以前主观经验推断的模式 怎样能够及时发现网络中存在 的感染及其它问题 准确找到故障的发生点 是维护控制网 络安全的前提 4 2 调研报告总结及建议根据公司实际发生 的控制网络安全问题及相关处理实践 结合工业控制网络的 独特性 我认为网络安全重点在于防护 而非查毒杀毒 所 以着力点放于整个网络的架构及安全设备部署策略 当然在 针对局部问题解决时 也需要二者结合 综上所述 提出网 络安全隐患综合治理方案建议如下 1 信息网与控制网之间 的 OPC 通道上进行增加 OPC 工业通讯防