岳妍瑛 中國石油長慶油田分公司第一采油廠

王 彬 北京安控科技股份有限公司

1 引言

在油田自動(dòng)化實(shí)施初期，工業(yè)控制系統(tǒng)都是采用孤立的系統(tǒng)，運(yùn)行專有的控制協(xié)議，使用專門的硬件和軟件。隨著低成本互聯(lián)網(wǎng)協(xié)議(IP)設(shè)備的廣泛運(yùn)用和油田管控一體化的應(yīng)用需求，IT技術(shù)方案越來越多的應(yīng)用到工業(yè)控制系統(tǒng)中，用于提高企業(yè)業(yè)務(wù)系統(tǒng)之間的連接和遠(yuǎn)程訪問能力，控制系統(tǒng)網(wǎng)絡(luò)也逐漸向更開放的工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展。開放性越來越強(qiáng)在給工業(yè)控制系統(tǒng)帶來更好、更快發(fā)展的同時(shí)，IT技術(shù)的負(fù)面困擾也引入了工業(yè)控制系統(tǒng)，危及信息安全。

與傳統(tǒng)的IT信息安全不同，工業(yè)控制系統(tǒng)的安全事件會(huì)導(dǎo)致輕則系統(tǒng)性能下降、關(guān)鍵數(shù)據(jù)喪失，重則系統(tǒng)失控、環(huán)境災(zāi)難、人員傷亡、嚴(yán)重經(jīng)濟(jì)損失，甚至危害公眾生活和國家安全。而油田作為國家能源的重點(diǎn)生產(chǎn)企業(yè)，其工業(yè)系統(tǒng)控制的信息安全關(guān)系著國家能源的安全，因此，本文將針對(duì)目前油田工業(yè)控制系統(tǒng)中的各個(gè)環(huán)節(jié)進(jìn)行安全分析，找到薄弱環(huán)節(jié)，切實(shí)加強(qiáng)油田工業(yè)控制系統(tǒng)信息安全管理。

2 油田工業(yè)控制系統(tǒng)現(xiàn)狀

2.1 油田數(shù)字化概述

隨著近幾年油田數(shù)字化系統(tǒng)建設(shè)，油田內(nèi)部從以前粗放式管理向信息化管理過渡，逐步加強(qiáng)了對(duì)采油到輸油過程的集中管理，建立了包括油井遠(yuǎn)程監(jiān)控、集輸站庫自動(dòng)化監(jiān)控、輸油管線泄露監(jiān)測等多系統(tǒng)的監(jiān)控平臺(tái)，其目的是利用現(xiàn)場監(jiān)控系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)源頭自動(dòng)采集，借助油田現(xiàn)有網(wǎng)絡(luò)資源自動(dòng)加載到廠級(jí)實(shí)時(shí)數(shù)據(jù)庫，為各級(jí)管理部門應(yīng)用提供開放的數(shù)據(jù)平臺(tái)，使生產(chǎn)和管理人員及時(shí)控制和掌握生產(chǎn)動(dòng)態(tài)，從而實(shí)現(xiàn)整個(gè)生產(chǎn)過程的自動(dòng)化；并可以對(duì)取得的實(shí)時(shí)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析、優(yōu)化，從而為保證生產(chǎn)設(shè)備正常運(yùn)轉(zhuǎn)、降低生產(chǎn)成本提供重要依據(jù)。

2.2 典型網(wǎng)絡(luò)結(jié)構(gòu)圖

目前油田數(shù)字化系統(tǒng)的典型架構(gòu)圖如圖1所示。

圖1 目前油田數(shù)字化系統(tǒng)的典型架構(gòu)圖

2.3 ICS系統(tǒng)組成現(xiàn)狀

油田工業(yè)控制系統(tǒng)主要是指對(duì)油氣水井、站庫的數(shù)據(jù)采集和實(shí)時(shí)監(jiān)控。油、氣、水井口和一些無人值守閥室、站，其特點(diǎn)是溫度要求范圍大，環(huán)境比較惡劣，常使用RTU系統(tǒng)；在增壓站、轉(zhuǎn)油站、聯(lián)合站等場合實(shí)時(shí)性要求高，邏輯聯(lián)鎖控制較多，常使用PLC系統(tǒng)；在集氣站、氣處理站及輕烴回收等場合控制點(diǎn)數(shù)多，回路控制多，常使用DCS系統(tǒng)；到了管理層局、廠級(jí)監(jiān)控和指揮調(diào)度中心往往要求多系統(tǒng)集成，常建設(shè)一個(gè)SCADA中心，用于轄區(qū)內(nèi)各工業(yè)控制系統(tǒng)實(shí)時(shí)數(shù)據(jù)的接入。

2.4 系統(tǒng)通信現(xiàn)狀

油田通信系統(tǒng)的實(shí)現(xiàn)方式也是多種多樣，一般會(huì)根據(jù)地理?xiàng)l件、施工難度、費(fèi)用造價(jià)等選擇適用的通信方式。儀表、智能設(shè)備到控制器之間目前大都采用模擬量、開關(guān)量等硬線連接方式接入控制器，少部分通過現(xiàn)場總線(HART、DeviceNet等)的方式接入。隨著近幾年無線技術(shù)發(fā)展，井口較多的使用無線儀表，如無線載荷位移傳感器、無線壓力、溫度傳感器等?？刂破髋c上位機(jī)之間以及上位機(jī)與上位機(jī)之間目前大多數(shù)采用基于以太網(wǎng)的工業(yè)協(xié)議，在地理?xiàng)l件比較好的地方一般采用光纖通訊，在山區(qū)可視情況比較好的地方采用無線網(wǎng)橋，在偏遠(yuǎn)地區(qū)不適合大規(guī)模組網(wǎng)時(shí)利用移動(dòng)網(wǎng)絡(luò)GPRS/CDMA/3G/4G等方式，在大慶油田和新疆油田部分地區(qū)存在大靈通、McWill網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通信，還有部分場合對(duì)網(wǎng)絡(luò)要求很高的地方會(huì)采用衛(wèi)星網(wǎng)絡(luò)作為備用網(wǎng)絡(luò)。

2.5 信息安全現(xiàn)狀

目前油田工業(yè)控制系統(tǒng)中安全防護(hù)一般由兩部分組成：一是進(jìn)行網(wǎng)絡(luò)防護(hù)，在自動(dòng)化網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)之間使用防火墻進(jìn)行隔離，或者利用一些三層交換機(jī)的安全策略進(jìn)行網(wǎng)絡(luò)隔離和保護(hù)；二是在監(jiān)控計(jì)算機(jī)上安裝必要的殺毒軟件防止一些惡意軟件和病毒木馬的入侵。隨著油田企業(yè)信息化平臺(tái)的建設(shè)，辦公網(wǎng)有很多應(yīng)用需要使用自動(dòng)化網(wǎng)數(shù)據(jù)的需求，典型的就是實(shí)時(shí)歷史數(shù)據(jù)需要訪問OPC或者實(shí)時(shí)數(shù)據(jù)庫接口，關(guān)系數(shù)據(jù)需要訪問SQLServer或者Oracle接口，這就需要在防火墻暴露OPC服務(wù)的隨機(jī)端口和1433或者1521端口，甚至有時(shí)為了調(diào)試方便，防火墻形同虛設(shè)，讓整個(gè)控制網(wǎng)絡(luò)暴露在辦公網(wǎng)中。另外監(jiān)控計(jì)算機(jī)操作系統(tǒng)和殺毒軟件常因?yàn)榫钟蚓W(wǎng)限制得不到及時(shí)更新，對(duì)病毒木馬的防護(hù)也相當(dāng)脆弱。

3 油田工業(yè)控制系統(tǒng)安全分析

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，下面將對(duì)系統(tǒng)中的軟件、硬件及通信網(wǎng)絡(luò)做一個(gè)粗淺的分析。

3.1 操作系統(tǒng)安全漏洞

目前Windows平臺(tái)的技術(shù)架構(gòu)已成為工業(yè)控制系統(tǒng)操作站的主流，任何一個(gè)版本的Windows自發(fā)布以來都在不停的發(fā)布漏洞補(bǔ)丁，為保證過程控制系統(tǒng)相對(duì)的獨(dú)立性，現(xiàn)場工程師通常在系統(tǒng)投入運(yùn)行后不會(huì)對(duì)Windows平臺(tái)打任何補(bǔ)丁，更為重要的是打過補(bǔ)丁的操作系統(tǒng)沒有經(jīng)過制造商測試，存在安全運(yùn)行風(fēng)險(xiǎn)。與之相矛盾的是，系統(tǒng)不打補(bǔ)丁就會(huì)存在被攻擊的漏洞，即使是普通常見病毒也會(huì)遭受感染，可能造成Windows平臺(tái)乃至控制網(wǎng)絡(luò)的癱瘓。著名的“震網(wǎng)”病毒就是利用借助了4個(gè)0-day windows漏洞進(jìn)行針對(duì)西門子系統(tǒng)進(jìn)行傳播和感染。

3.2 應(yīng)用軟件安全漏洞

在油田工業(yè)控制系統(tǒng)中，自動(dòng)化廠商眾多，上位機(jī)應(yīng)用軟件也是多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問題。美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組就曾經(jīng)發(fā)出警告，中國開發(fā)的工業(yè)控制系統(tǒng)軟件（SCADA）發(fā)現(xiàn)兩個(gè)安全漏洞，可能會(huì)被攻擊者遠(yuǎn)程使用。

另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，常需要開放其應(yīng)用端口。常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性?；ヂ?lián)網(wǎng)攻擊者很有可能會(huì)利用一些工程自動(dòng)化軟件的安全漏洞獲取現(xiàn)場生產(chǎn)設(shè)備的控制權(quán)。

Web信息平臺(tái)也常常由于程序編寫不規(guī)范帶來安全缺陷，典型的如信息泄露、目錄遍歷、命令執(zhí)行漏洞、文件包含漏洞、SQL注入攻擊、跨站腳本漏洞等，此類入侵是防火墻產(chǎn)品無法抵御的。

3.3 網(wǎng)絡(luò)安全設(shè)備的局限性

在油田企業(yè)中，在控制網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)之間一般采用IT防火墻進(jìn)行隔離，但I(xiàn)T防火墻并不是專為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的產(chǎn)品，在防護(hù)工業(yè)網(wǎng)絡(luò)時(shí)存在較多缺陷：

由于防火墻本身是基于TCP/IP 協(xié)議體系實(shí)現(xiàn)的，所以它無法解決TCP/IP 協(xié)議體系中存在的漏洞。

防火墻只是一個(gè)策略執(zhí)行機(jī)構(gòu)，它并不區(qū)分所執(zhí)行政策的對(duì)錯(cuò)，更無法判別出一條合法政策是否真是管理員的本意。從這點(diǎn)上看，防火墻一旦被攻擊者控制，由它保護(hù)的整個(gè)網(wǎng)絡(luò)就無安全可言了。

防火墻無法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。

防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對(duì)數(shù)據(jù)包檢查的項(xiàng)目（即防火墻的功能）就越多越細(xì)，對(duì)CPU 和內(nèi)存的消耗也就越大，從而導(dǎo)致防火墻的性能下降，處理速度減慢。

防火墻準(zhǔn)許某項(xiàng)服務(wù)，卻不能保證該服務(wù)的安全性，它需要由應(yīng)用安全來解決。

所以，從防火墻的實(shí)際使用情況來看，通過IT防火墻很難在根本上保證生產(chǎn)控制區(qū)的網(wǎng)絡(luò)安全。

3.4 網(wǎng)絡(luò)攻擊和入侵

拒絕服務(wù)攻擊是一種危害極大的安全隱患，它可以認(rèn)為操縱也可以由病毒自動(dòng)執(zhí)行，常見的流量型攻擊如Ping Flooding、UDP Flooding等，以及常見的連接型攻擊如SYN Flooding、ACK Flooding等，通過消耗系統(tǒng)的資源，如網(wǎng)絡(luò)帶寬、連接數(shù)、CPU處理能力、緩沖內(nèi)存等使得正常的服務(wù)功能無法進(jìn)行。拒絕服務(wù)攻擊非常難以防范，原因是它的攻擊對(duì)象非常普遍，從服務(wù)器到各種網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)、IT防火墻等都可以被拒絕服務(wù)攻擊?？刂凭W(wǎng)絡(luò)一旦遭受嚴(yán)重的拒絕服務(wù)攻擊就會(huì)導(dǎo)致嚴(yán)重后果，輕則控制系統(tǒng)的通信完全中斷，重則可導(dǎo)致控制器死機(jī)等。目前這種現(xiàn)象已經(jīng)在多家工業(yè)控制系統(tǒng)中已經(jīng)出現(xiàn)，并且造成嚴(yán)重后果。可以想象，一套失控的控制系統(tǒng)可能導(dǎo)致的后果是非常嚴(yán)重的。而傳統(tǒng)的安全技術(shù)對(duì)拒絕服務(wù)攻擊幾乎不可避免，缺乏有效的手段來解決。

3.5 無線網(wǎng)絡(luò)的安全漏洞

由于無線網(wǎng)絡(luò)具有傳統(tǒng)有線網(wǎng)絡(luò)無法比擬的特點(diǎn)，如組網(wǎng)靈活、成本低、移動(dòng)性好、易安裝維護(hù)等優(yōu)勢，在油田井口通信設(shè)備越來越多的使用無線通信設(shè)備。但也由于無線網(wǎng)絡(luò)傳輸媒介方面的特殊性，使得一些攻擊更容易實(shí)施，其安全威脅的具體表現(xiàn)主要有：

攻擊者偽裝成合法用戶，通過無線接入非法訪問網(wǎng)絡(luò)資源；

無線鏈路上傳輸?shù)奈幢患用艿臄?shù)據(jù)被攻擊者截獲；

針對(duì)無線連接或設(shè)備實(shí)施拒絕服務(wù)攻擊；

不適當(dāng)?shù)臄?shù)據(jù)同步可能破壞數(shù)據(jù)的完整性；

惡意實(shí)體可能得到合法用戶的隱私；

某些節(jié)點(diǎn)設(shè)備容易丟失，從而泄露敏感信息；

設(shè)備的不適當(dāng)配置可能造成數(shù)據(jù)的泄露；

惡意用戶可能通過無線網(wǎng)絡(luò)連接到他想攻擊的網(wǎng)絡(luò)上去實(shí)施攻擊；

惡意用戶可能通過無線網(wǎng)絡(luò)，獲得對(duì)網(wǎng)絡(luò)的管理控制權(quán)限。

3.6 不安全的通信協(xié)議

TCP/IP在先天上就存在著致命的安全漏洞：TCP/IP協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問題，并未考慮也無法兼容解決來自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問題，存在缺乏對(duì)用戶身份的鑒別、缺乏對(duì)路由協(xié)議的鑒別等先天性缺陷。

油田工業(yè)控制系統(tǒng)中由于歷史的原因，還大量使用各種非安全工業(yè)協(xié)議，如控制層Modbus Tcp協(xié)議，該協(xié)議設(shè)計(jì)初期一般以優(yōu)化實(shí)時(shí)I/O為主，而并不提供加強(qiáng)的網(wǎng)絡(luò)連接安全防護(hù)功能，任意通過網(wǎng)絡(luò)連接到Modbus控制器的設(shè)備可以改變控制器的I/O點(diǎn)或寄存器數(shù)值。許多控制器甚至可以被復(fù)位、禁止運(yùn)行、或被下裝新的邏輯。

OPC協(xié)議由于其通用性在工業(yè)現(xiàn)場大量使用，但其使用的端口號(hào)是由OPC服務(wù)器以一個(gè)虛擬隨機(jī)序列動(dòng)態(tài)分配的，因此沒有辦法提前知道服務(wù)器返回給客戶端的端口號(hào)。而服務(wù)器可以分配的端口號(hào)范圍很廣——Windows Server 2008下超過16000個(gè)端口號(hào)，早期的端Windows版本則超過了48000個(gè)端口號(hào)。所以，傳統(tǒng)的防火墻在保護(hù)OPC服務(wù)器時(shí)，不得不允許OPC客戶端和OPC服務(wù)器之間如此大范圍內(nèi)的任何端口號(hào)的TCP連接。在這種情況下，防火墻提供的安全保障被降至最低。因此，目前絕大多數(shù)的OPC服務(wù)器都在沒有任何防火墻保護(hù)的情況下運(yùn)行，從而很容易受到惡意軟件和其他安全威脅的攻擊。

3.7 病毒與惡意代碼

基于Windows平臺(tái)的PC在工業(yè)控制系統(tǒng)中廣泛應(yīng)用，病毒也隨之而泛濫。全球范圍內(nèi)，每年都會(huì)發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)。目前全球已發(fā)現(xiàn)數(shù)萬種病毒，并且還在以每天數(shù)十余種的速度增長。這些惡意代碼具有更強(qiáng)的傳播能力和破壞性。例如蠕蟲，從廣義定義來說也是一種病毒，但和傳統(tǒng)病毒相比最大不同在于自我復(fù)制過程。它能夠通過端口掃描等操作過程自動(dòng)和被攻擊對(duì)象建立連接，如Telnet連接等，自動(dòng)將自身通過已經(jīng)建立的連接復(fù)制到被攻擊的遠(yuǎn)程系統(tǒng)，并運(yùn)行它。其中著名的“震網(wǎng)”病毒就具有異常精巧的傳播與感染機(jī)制，借助4個(gè)0-day windows漏洞，竊取2個(gè)有效的軟件證書，共60000 余行代碼，而且制作該病毒需要非常豐富的SIMATIC 編程及工業(yè)現(xiàn)場的專家知識(shí)。

4 油田工業(yè)控制系統(tǒng)安全對(duì)策

基于目前油田工業(yè)控制系統(tǒng)現(xiàn)狀，由于當(dāng)前投用的控制系統(tǒng)通常需要每周7天，每天24小時(shí)的長期運(yùn)行，所以宜采用循序漸進(jìn)的方法，對(duì)現(xiàn)有工業(yè)控制系統(tǒng)有步驟的進(jìn)行安全升級(jí)改造。安全對(duì)策可以分三步走，首先要建立安全的策略和流程，使后續(xù)的安全措施有章可循；其次建立初步防御戰(zhàn)略，根據(jù)當(dāng)前有明顯漏洞易解決、急需解決的關(guān)鍵點(diǎn)加以實(shí)施；最后建立工業(yè)控制系統(tǒng)的縱深防御體系，切實(shí)保證油田信息安全，保障平穩(wěn)安全生產(chǎn)。

4.1 建立安全策略及流程

工業(yè)控制系統(tǒng)的脆弱性通常是由于缺少完整而合理的策略文檔或有效的實(shí)施過程而引起的，安全策略文檔和管理支持是系統(tǒng)安全的基礎(chǔ)，有效的安全策略在系統(tǒng)中的強(qiáng)制實(shí)施是減少系統(tǒng)而臨的安全風(fēng)險(xiǎn)的前提。無論哪種先進(jìn)的安全設(shè)備和健壯無漏洞的安全體系，一旦脫離了健全的安全策略和流程，依舊是一套脆弱不堪的信息安全系統(tǒng)。建議油田企業(yè)從以下幾方面建立安全策略和流程：

建設(shè)安全管理機(jī)構(gòu)；

制定工業(yè)控制系統(tǒng)的安全策略；

進(jìn)行工業(yè)控制系統(tǒng)的安全培訓(xùn)與培養(yǎng)安全意識(shí)；

采用安全的系統(tǒng)架構(gòu)與設(shè)計(jì)；

根據(jù)安全策略制定正規(guī)、可備案的安全流程；

制定工業(yè)控制系統(tǒng)設(shè)備安全部署的實(shí)施指南；

加強(qiáng)工業(yè)控制系統(tǒng)的安全審計(jì)；

制定針對(duì)工業(yè)控制系統(tǒng)的業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃；

加強(qiáng)針對(duì)工業(yè)控制系統(tǒng)配置變更管理。

4.2 建立初步防御策略

4.2.1 操作系統(tǒng)及殺毒軟件升級(jí)

操作系統(tǒng)補(bǔ)丁升級(jí)：在局域網(wǎng)內(nèi)部署一臺(tái)微軟的SUS（Software Update Service軟件升級(jí)服務(wù)器），通過SUS可以在局域網(wǎng)中建立一個(gè)Windows升級(jí)服務(wù)器，以后局域網(wǎng)中的電腦就可以通過這個(gè)服務(wù)器來自動(dòng)升級(jí)預(yù)，所有的更新活動(dòng)都是通過Windows后臺(tái)自動(dòng)更新進(jìn)行的，不需要任何人的干預(yù)，非常方便。注意：目前SUS還不能為Office或者其它微軟軟件提供更新服務(wù)。

殺毒軟件升級(jí)：在局域網(wǎng)內(nèi)部署一臺(tái)企業(yè)版殺毒軟件服務(wù)器，允許其連接互聯(lián)網(wǎng)完成自動(dòng)升級(jí)，局域網(wǎng)中的其它計(jì)算機(jī)或服務(wù)器上安裝同品牌的支持局域網(wǎng)自動(dòng)升級(jí)殺毒軟件客戶端。

4.2.2 加強(qiáng)網(wǎng)絡(luò)授權(quán)訪問

為了追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、U盤等設(shè)備的使用和不嚴(yán)格的訪問控制策略，給整個(gè)工業(yè)控制系統(tǒng)信息安全帶來很大的破壞作用，如伊朗的“震網(wǎng)”安全事件最初就是通過U盤傳播至控制網(wǎng)絡(luò)的。

控制未經(jīng)授權(quán)用戶進(jìn)行訪問可以通過多種手段，比如通過有效的密碼和完善的身份認(rèn)證制度。有效的密碼：用戶不能使用生日、電話號(hào)碼等別人容易猜出的密碼。密碼應(yīng)該輸入至少6位字符，建議混合使用數(shù)字、大寫、小寫和特殊的字符。另外一種硬件加密鎖的方式更為有效，硬件加密鎖：使用一個(gè)USB硬件設(shè)備，象U盤一樣的東西，里面存放了登陸者的認(rèn)證信息，當(dāng)?shù)顷憰r(shí)，必須插上鑰匙才能進(jìn)行密碼的驗(yàn)證。在企業(yè)內(nèi)部實(shí)施UKey認(rèn)證制度，可從物理上阻止未經(jīng)授權(quán)人員進(jìn)行訪問。

4.2.3 審核Web服務(wù)器安全性

由于Web漏洞攻擊有時(shí)可以繞過防火墻實(shí)現(xiàn)入侵，所以對(duì)已有信息發(fā)布平臺(tái)進(jìn)行網(wǎng)頁漏洞掃描相當(dāng)必要。網(wǎng)頁漏洞掃描是利用專用的Web應(yīng)用漏洞掃描程序構(gòu)建的自動(dòng)化掃描平臺(tái)，模擬Web前端可以與實(shí)際的Web應(yīng)用程序通信，從而可以發(fā)現(xiàn)Web應(yīng)用程序中的安全缺陷。其工作原理非常類似一個(gè)黑匣子測試器，也就是說它并不需要訪問源代碼，真正實(shí)現(xiàn)遠(yuǎn)程的安全檢測。

Web應(yīng)用漏洞掃描程序分析來自網(wǎng)站程序結(jié)構(gòu)中的每一個(gè)網(wǎng)站功能腳本程序的應(yīng)用狀況，借助于專用的漏洞檢測數(shù)據(jù)庫，能夠自動(dòng)構(gòu)造各種類型的“異?！碧峤粎?shù)，能夠?qū)憫?yīng)消息進(jìn)行內(nèi)容分析，結(jié)合狀態(tài)碼，判斷測試結(jié)果。同時(shí)，還會(huì)模擬大多數(shù)普遍存在的WEB攻擊手段，探測各種已知漏洞和未知漏洞，針對(duì)所有可能為黑客所利用的項(xiàng)目進(jìn)行多樣化多層次的探測和分析。

測試結(jié)果最終形成安全隱患報(bào)告，和大多數(shù)檢測工具一樣，自動(dòng)化的Web應(yīng)用漏洞掃描程序的掃描結(jié)果也存在相應(yīng)的誤報(bào)，因此對(duì)于網(wǎng)頁漏洞掃描的結(jié)果還需要通過安全專家的精心審核，最終保證網(wǎng)頁漏洞檢測的準(zhǔn)確性。

4.2.4 傳輸協(xié)議的安全性

SSL方式：普通的網(wǎng)絡(luò)傳輸采用的是HTTP協(xié)議，如上面所述，HTTP協(xié)議是明文協(xié)議，只要截取網(wǎng)絡(luò)數(shù)據(jù)就可以反轉(zhuǎn)過來，而SSL協(xié)議是通過私鑰認(rèn)證的，即使獲得了網(wǎng)絡(luò)數(shù)據(jù)流，如果沒有相應(yīng)的密鑰，也無法反編譯出數(shù)據(jù)。

VPN 方式：如果要跨區(qū)域使用，數(shù)據(jù)可能需要在公網(wǎng)上傳輸，為了保證轉(zhuǎn)輸?shù)陌踩?，SSL方式提供了非明文協(xié)議方式。VPN提供也另外一種形式的非明文傳輸協(xié)議。

4.2.5 侵入后的安全性

數(shù)據(jù)加密存儲(chǔ)：數(shù)據(jù)庫中存放的數(shù)據(jù)及用戶信息大多數(shù)是明文存放，如果黑客一旦有機(jī)會(huì)侵入系統(tǒng)，如果是明文存放的，該數(shù)據(jù)很容易暴露出來。所以對(duì)一些核心數(shù)據(jù)，需要在數(shù)據(jù)庫存儲(chǔ)時(shí)，必須進(jìn)行數(shù)據(jù)加密。

數(shù)據(jù)庫的默認(rèn)密碼：請(qǐng)務(wù)必設(shè)定和修改數(shù)據(jù)庫的默認(rèn)密碼，現(xiàn)在很多系統(tǒng)的默認(rèn)密碼為空或簡單密碼，這會(huì)造成很大的安全隱患。

4.2.6 網(wǎng)絡(luò)拒絕攻擊防護(hù)

DoS(拒絕服務(wù)器攻擊)和分布式的DDoS(分散式拒絕服務(wù)攻擊)通過大量合法的請(qǐng)求占用大量的網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)的目的。以下是針對(duì)應(yīng)對(duì)DDoS的一些建議：

在計(jì)算機(jī)主機(jī)上關(guān)閉不必要的服務(wù)，限制同時(shí)打開的Syn半連接數(shù)目，縮短Syn半連接的time out 時(shí)間，及時(shí)更新系統(tǒng)補(bǔ)丁。

利用防火墻禁止對(duì)主機(jī)的非開放服務(wù)的訪問，限制同時(shí)打開的SYN最大連接數(shù) 限制特定IP地址的訪問，啟用防火墻的防DDoS的屬性，嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問。

使用 unicast reverse-path 訪問控制列表（ACL）過濾設(shè)置SYN數(shù)據(jù)包流量速率，升級(jí)版本過低的ISO，為路由器建立log server。

4.3 建立縱深防御體系

工業(yè)網(wǎng)絡(luò)中同時(shí)存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡(luò)，考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同，對(duì)其防御的策略和保障措施應(yīng)該按照等級(jí)進(jìn)行劃分，實(shí)施分層次的縱深防御體系。按照業(yè)務(wù)職能和安全需求的不同，工業(yè)網(wǎng)絡(luò)可劃分為以下幾個(gè)區(qū)域：

滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域；

滿足在線業(yè)務(wù)需要DMZ（隔離區(qū)）區(qū)域；

滿足工業(yè)控制系統(tǒng)管理與監(jiān)控需要的管理區(qū)域；

滿足自動(dòng)化作業(yè)需要的控制區(qū)域。

針對(duì)不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設(shè)要求，實(shí)施工業(yè)控制網(wǎng)絡(luò)安全建設(shè)，首先需要針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)管理的關(guān)鍵區(qū)域?qū)嵤┛煽康倪吔绨踩呗?，?shí)現(xiàn)分層級(jí)的縱深安全防御策略，抵御各種已知的攻擊威脅。

4.3.1 企業(yè)管理層和SCADA中心之間的安全防護(hù)

在企業(yè)管理層和SCADA中心之間加入防火墻，一方面提升了網(wǎng)絡(luò)的區(qū)域劃分，另一方面更重要的是只允許兩個(gè)網(wǎng)絡(luò)之間合法的數(shù)據(jù)交換，阻擋企業(yè)管理層對(duì)數(shù)采監(jiān)控層的未經(jīng)授權(quán)的非法訪問，同時(shí)也防止管理層網(wǎng)絡(luò)的病毒感染擴(kuò)散到數(shù)采網(wǎng)絡(luò)?？紤]到企業(yè)管理層一般采用通用以太網(wǎng)，要求較高的通訊速率和帶寬等因素，對(duì)此部位的安全防護(hù)建議使用常規(guī)的IT防火墻。

另外企業(yè)管理層在進(jìn)行數(shù)據(jù)應(yīng)用時(shí)不建議將SCADA中心的實(shí)時(shí)數(shù)據(jù)庫、關(guān)系數(shù)據(jù)庫的服務(wù)端口暴露在辦公網(wǎng)中進(jìn)行使用，而應(yīng)該提供一種一致性數(shù)據(jù)訪問能力的接口服務(wù)，該服務(wù)除了提供實(shí)時(shí)歷史數(shù)據(jù)訪問外，還能進(jìn)行用戶身份及權(quán)限認(rèn)證，這樣既避免了已知常用端口入侵攻擊，又能夠有比較好的安全權(quán)限升級(jí)擴(kuò)展能力。

4.3.2 SCADA中心和控制層之間的安全防護(hù)

在企業(yè)管理層和SCADA中心之間通常使用OPC通訊協(xié)議，由于OPC通訊采用不固定的端口號(hào)，使用傳統(tǒng)的IT防火墻進(jìn)行防護(hù)時(shí)，不得不開放大規(guī)模范圍內(nèi)的端口號(hào)。在這種情況下，防火墻提供的安全保障被降至最低。因此，在數(shù)采監(jiān)控層和控制層之間應(yīng)安裝專業(yè)的工業(yè)防火墻，解決OPC通訊采用動(dòng)態(tài)端口帶來的安全防護(hù)瓶頸問題，阻止病毒和任何其它的非法訪問，這樣來自防護(hù)區(qū)域內(nèi)的病毒感染就不會(huì)擴(kuò)散到其他網(wǎng)絡(luò)，提升網(wǎng)絡(luò)區(qū)域劃分能力的同時(shí)從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。

4.3.3 保護(hù)關(guān)鍵控制器

考慮到和控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議，或者其它工業(yè)通信標(biāo)準(zhǔn)如Modbus等。由于常規(guī)的IT防火墻和網(wǎng)閘等安全防護(hù)產(chǎn)品都不支持工業(yè)通訊協(xié)議，因此，對(duì)關(guān)鍵的控制器的保護(hù)應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對(duì)防火墻進(jìn)行規(guī)則組態(tài)時(shí)只允許制造商專有協(xié)議通過，阻擋來自操作站的任何非法訪問；另一方面可以對(duì)網(wǎng)絡(luò)通訊流量進(jìn)行管控，可以指定只有某個(gè)專有操作站才能訪問指定的控制器；第三方面也可以管控局部網(wǎng)絡(luò)的通訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響，從而避免控制器死機(jī)。

5 結(jié)語

工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫，本文針對(duì)油田企業(yè)流程工業(yè)的特點(diǎn)，同時(shí)結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和安全需求，提出工業(yè)控制系統(tǒng)信息安全分三步走的策略。將工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為不同的安全區(qū)域，在區(qū)域之間執(zhí)行管道通信，從而通過管控區(qū)域間管道中的通信內(nèi)容，實(shí)現(xiàn)保證工廠控制網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的三個(gè)目標(biāo)：通訊可控、區(qū)域隔離和報(bào)警追蹤，進(jìn)而全方位地保障工業(yè)控制系統(tǒng)信息安全，最終實(shí)現(xiàn)信息安全的縱深防御策略。值得強(qiáng)調(diào)的是建立安全策略與流程是很重要的一個(gè)環(huán)節(jié)，切實(shí)做好工業(yè)控制系統(tǒng)的安全培訓(xùn)工作與培養(yǎng)安全意識(shí)，用“三分技術(shù)，七分管理”來形容工業(yè)控制系統(tǒng)信息安全不無道理。