控制系统的网络安全防护方案

1、 控制系统的网络安全防护方案C 点工作室数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与MIS 网络、因特网等公共网络连接，造成病毒、木马等威胁向工业控制系统扩散，工业控制系统安全问题日益突出。2010年发生的“震网”病毒时间，充分反映出工业控制系统

2、信息安全面临严峻的形势。工业控制系统信息安全防护是一个刻不容缓的课题，我们要从技术层面和管理层面着手，建设工业控制系统网络安全。1、安全隐患分析1.1 安全漏洞由 DCS、PLC 和 SCADA 等控制系统构成的控制网络，在过去几十年的发展中呈现出整体开放的趋势。在新一代 DCS 的操作站中，几乎清一色采用 PC+Windows的技术架构，同时，DCS 网络技术也呈现出开放的特征。网络技术开放性体现在DCS 可以从多个层面与第三方系统互联，同时支持多种网络协议。目前在与企业管理层信息平台互联时，大多采用基于 TCP(UDP)/IP 协议的以太网通信技术，使用 OPC 等开放接口标准。开放性为用

3、户带来的好处毋庸置疑，但由此引发的各种安全漏洞与传统的封闭系统相比却大大增加。对于一个控制网络系统，产生安全漏洞的因素是多方面的。1) 网络通信协议安全漏洞 缺乏对用户身份的鉴别 缺乏对路由协议的鉴别认证 TCP/UDP 自身缺陷2) 操作系统安全漏洞：微软在设计 Windows 操作系统时是本着简单易用为原则的，因而忽略了安全方面的考虑，留下了很多隐患。3) 应用软件安全漏洞: 处于应用层的应用软件产生的漏洞是最直接、最致命的。一方面这是因为应用软件形式多样，很难形成统一的防护规范以应对安全问题；另一方面最严重的是，当应用软件面向网络应用时，就必须开放其应用端口。例如，要想实现与操作站 OP

4、C 服务器软件的网络通信，控制网络就必须完全开放 135 端口，这时防火墙等安全设备已经无能为力了。而实际上，不同应用软件的安全漏洞还不止于此。1.2 安全隐患安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越多的控制网络系统通过信息网络连接到互联上，这种威胁就越来越大。目前互联网上已有几万个黑客站点，黑客技术不断创新，基本的攻击手法已达上千种。这些攻击技术一旦被不法之徒掌握，将产生不良的后果。对于控制网络系统，由于安全漏洞可能带来的直接安全隐患有：1) 入侵2) 拒绝服务攻击3) 病毒与恶意代码1.2.1 入侵系统被入侵是系统常见的一种安全隐患。黑客侵入计算机和网络可以非法使

5、用计算机和网络资源，甚至是完全掌控计算机和网络。控制网络的计算机终端和网络往往可以控制诸如大型化工装置、公用工程设备，甚至核电站安全系统等大型工程化设备。黑客一旦控制该系统，对系统造成一些参数的修改，就可能导致生产运行的瘫痪，就意味着可能利用被感染的控制中心系统破坏生产过程、切断整个城市的供电系统、恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的控制网络接入到互联网当中，这种可能就越来越大。 1.2.2 拒绝服务攻击受到拒绝服务攻击是一种危害很大的安全隐患。常见的流量型攻击如 PingFlooding、UDP Flooding 等，以及常见的连接型攻击如 SYN Floodin

6、g、ACKFlooding 等，通过消耗系统的资源，如网络带宽、连接数、CPU处理能力等使得正常的服务功能无法进行。拒绝服务攻击难以防范的原因是它的攻击对象非常普遍，从服务器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪，与控制系统的通信完全中断等。可以想像，受到拒绝服务攻击后的控制网络可能导致网络中所有操作站和监控终端无法进行实时监控，其后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。1.2.3 病毒与恶意代码病毒与恶意代码: 病毒的泛滥是大家有目共睹的。全球范围内，每年都会发生数次

7、大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie 等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预，无论运行感染病毒的实用程序，或者是打开包含宏病毒的邮件等，没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成以下过程：1) 查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其它远程系统地址

8、列表找出下一个攻击对象。2) 建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接，如 Telnet 连接等。3) 实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。一旦计算机和网络染上了恶意代码，安全问题就不可避免。 2、常规安全防护方案目前,以 MES 为代表的信息系统在实现控制网络接入信息网络时，也基本都考虑了对控制网络的安全防护。但目前对控制网络的防护，大部分采用的是常规网络安全技术，主要包括防火墙、IDS、VPN、防病毒等。2.1 防火墙防火墙由于其自身机理的原因，存在很多先天不足，主要包括：1) 由于防火墙本身是基于 TCP/IP 协议体系实现的，

9、所以它无法解决 TCP/IP协议体系中存在的漏洞。2) 防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。 3) 防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。4) 防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越多越细，对 CPU 和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。5) 防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。从实际应用来看，防火墙

10、较为明显的局限性包括以下几方面：1) OPC 基于 DCOM 机制，无法穿透防火墙。2) 防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下的控制，对于应用层内的病毒、蠕虫都没有办法。3) 防火墙不能防范全新的威胁，更不能防止可接触的人为或自然的破坏。4) 防火墙不能防止由自身安全漏洞引起的威胁。5) 防火墙对用户不完全透明，非专业用户难于管理和配置，易造成安全漏洞。6) 防火墙很难为用户在防火墙内外提供一致的安全策略，不能防止利用标准网络协议中的缺陷进行的攻击，也不能防止利用服务器系统漏洞所进行的攻击。7) 由于防火墙设置在内网与外网通信的信道上，并执行规定的安全策略，所

11、以防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，增加了网络传输延时，如果防火墙出现问题，那么内部网络就会受到严重威胁。8) 防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。防火墙正是由于这些缺陷与不足，导致目前被攻破的几率已经接近 50%。虽然目前最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而，以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。2.2 其他安全技术其它安全技术如 IDS、VPN、防病毒产品等与产品与防火墙一样，也都有很强 的针对性，只能管辖属于自己管辖的事情，出了这个边

12、界就不再能发挥作用。1) IDS 作为可审查性产品最大的局限性是漏报和误报严重，几乎不是一个可以依赖的安全工具，而是一个参考工具。漏报等于没有报，误报则是报错了，这两个特点几乎破坏了入侵检测的可用性。2) VPN 作为一种加密类技术，不管哪种 VPN 技术，在设计之初都是为了保证传输安全问题而设计的，而没有动态、实时的检测接入的 VPN 主机的安全性，同时对其作“准入控制”。这样有可能因为一个 VPN 主机的不安全，导致其整个网络不安全。3) 防病毒产品也有局限性，主要是对新病毒的处理总是滞后的，这导致每年都会大规模地爆发病毒，特别是新病毒。3、网络隔离防护产品在防火墙的发展过程中，人们最终意

13、识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，网络隔离技术应运而生。网络隔离的指导思想与防火墙也有很大的不同，体现在防火墙的思路是在保障互联互通的前提下，尽可能安全；而网络隔离的思路是在必须保证安全的前提下，尽可能支持数据交换，如果不安全则断开。网络隔离技术主要目标是解决目前信息安全中的各种漏洞：操作系统漏洞、TCP/IP 漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等，网络隔离是目前唯一能解决上述问题的安全技术。3.1 网络隔离原理网络隔离产品主要的技术原理是从

14、 OSI 模型的七层上全面断开网络连接，同时采用“2+1”的三模块架构，即内置有两个主机系统，和一个用于建立安全通道可交换数据的隔离单元。这种架构可以实现连接到外网和内网的两主机之间是完全网络断开的，从物理上进行了网络隔离，消除了数据链路的通信协议，剥离 了 TCP/IP 协议，剥离了应用协议，在安全交换后进行了协议的恢复和重建。通过 TCP/IP 协议剥离和重建技术消除了 TCP/IP 协议的漏洞。在应用层对应用协议进行剥离和重建，消除了应用协议漏洞，并可针对应用协议实现一些细粒度的访问控制。从 TCP/IP 的 OSI 数据模型的所有七层断开后，就可以消除目前 TCP/IP存在的所有攻击。

15、3.2 传统网闸传统网闸产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统，因此它提供的应用也以通用的互联网功能为主。例如，目前大多数网闸都支持：文件数据交换、HTTP 访问、WWW 服务、FTP 访问、收发电子邮件、关系数据库同步以及 TCP/UDP 定制等。在工业领域，网闸也开始得到应用和推广。但除了用于办公系统外，当用于隔离控制网络时，由于网闸一般都不支持工业通信标准如 OPC、Modbus，用户只能使用其 TCP/UDP 定制功能。这种方式需要在连接网闸的上、下游增加接口计算机或代理服务器，并定制通信协议转换接口软件才能实现通信。3.3 工业网络安全防护网关工业网络安全防护网

16、关是近几年新兴的一种专门应用于工业领域的网络隔离产品，它同样采用“2+1”的三模块架构，内置双主机系统，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。与网闸不同的是，工业网络安全防护网关提供的应用专门针对控制网络的安全防护，因此它只提供控制网络常 用通信功能如 OPC、Modbus 等，而不提供通用互联网功能。因此工业网络安全防护网关更适合于控制网络的隔离，但不适合办公系统。工业网络安全防护网关是网络隔离技术应用于工业网络安全防护的一种专业化安全产品。3.3.1 OPC 网闸OG 产品是一款专门为企业过程控制系统和管理信息系统之间进行单向物理隔离并传输过程数据而开发的一款网络安全隔

17、离设备，外观如下图所示：产品主要功能特点有：1) OPC 服务器：与 DCS、PLC、SCADA 等系统连接采集实时数据，通过安全隧道、校验后封装成 OPC Server 工业标准通讯接口，提供给上层应用系统，如实时数据库系统、MIS、MES 系统2) 安全隔离：当 OPC 网闸为上层系统提供实时数据时，它一般位于自动化控制系统和上层系统之间，由于 OPC 网闸采用了内置安全数据传输隧道、校验技术，可实现自动化控制系统和上层系统之间的有效安全隔离3) 该产品操作系统、数据采集程序等均固化，不可修改。一旦被修改，重新启动后，自动恢复到初始状态，可防止病毒以及黑客软件攻击4) 结构先进、安装方便，

18、产品高度 1U，可以直接安装在标准机柜中5) 内置 2 个 10/100M 以太网口6) 支持硬件看门狗7) 高数据吞吐量，可达 20000Tags/s8) 支持标签数有：1-5 万点9) 支持远程配置典型应用系统拓扑图如下图所示。 4、网络监控产品网络卫士 NG 是一款网络安全辅助产品，用于网络通断状态监控，并监控应用端口开闭状态达到监控应用程序是否异常，或者是否存在非法应用程序。外观如下图所示：产品主要功能特点有： 1) 监控网络通断状态2) 监控应用程序端口是否正常3) 监控是否存在非法应用程序运行4) 支持 Modbus/Modbus TCP 输出5) 支持 GSM 短信报警（选项）6) 内置 1 个 10/100M 以太网络7) 内置 2 个 DB9 输出（1 个 RS232，1 个 RS232）8) 支持终端配置和远程配置9) 支持硬件看门