趙春娟

【摘 要】DCS/SIS工業(yè)控制系統(tǒng)是指針對工業(yè)工藝流程建立一個連續(xù)運轉(zhuǎn)、具有高度智能的自動化集散控制系統(tǒng)和安全儀表系統(tǒng)。近年來，伴隨著技術(shù)變革的深入，工業(yè)控制也變得愈加復(fù)雜，每個工業(yè)控制項目都有各自特點，如何將風(fēng)險管理貫穿始終，將成為近階段的重要課題，本文主要以DCS/SIS的安全風(fēng)險及應(yīng)對方法為對象加以分析，找出部分現(xiàn)場采取的應(yīng)對方法，表明控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險是可以得到控制并提前防護的。

【關(guān)鍵詞】DCS；SIS；工業(yè)控制

一、DCS/SIS系統(tǒng)安全及現(xiàn)狀

典型的DCS/SIS控制通常由控制回路、HMI（人機接口）、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI執(zhí)行信息交互，遠程診斷與維護工具確保出現(xiàn)異常操作時的診斷和恢復(fù)。

與傳統(tǒng)的信息系統(tǒng)安全需求不同，DCS系統(tǒng)設(shè)計需要兼顧應(yīng)用場景與控制管理等多方面因素，以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計理念的影響下，缺乏有效的安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的難題。

二、DCS/SIS系統(tǒng)安全風(fēng)險分析及應(yīng)對方法

工業(yè)控制系統(tǒng)的安全性直接影響到生產(chǎn)過程的安全實施，為兼顧工業(yè)應(yīng)用的場景和執(zhí)行效率，在追求SIS系統(tǒng)高可用性和DCS系統(tǒng)業(yè)務(wù)連續(xù)性的過程中，用戶往往會被動地降低控制系統(tǒng)的安全防御需求。識別工業(yè)控制存在的風(fēng)險與安全隱患，實施相應(yīng)的安全保障策略是確保DCS/SIS系統(tǒng)穩(wěn)定運行的有效手段。

（一）操作系統(tǒng)與外接設(shè)備交互的風(fēng)險性

追求可用性而犧牲安全，這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象，很多已經(jīng)實施了安全防御措施的DCS/SIS網(wǎng)絡(luò)仍然會因為管理或操作上的失誤，造成DCS/SIS系統(tǒng)出現(xiàn)潛在的安全短板。例如，工業(yè)控制系統(tǒng)中的移動存儲介質(zhì)的使用和不嚴(yán)格的訪問控制策略。

應(yīng)對方法：制定關(guān)鍵設(shè)備信息安全評測制度，防范關(guān)鍵設(shè)備中預(yù)留后門及多余功能。主要是對工業(yè)控制系統(tǒng)的設(shè)備、系統(tǒng)進行評測和檢測，確保關(guān)鍵設(shè)備、軟件沒有預(yù)埋的、不為我們所知的一些功能。首先，落實工業(yè)控制系統(tǒng)的信息安全檢查制度；再者，加強工業(yè)控制系統(tǒng)病毒防治工作，落實工業(yè)控制系統(tǒng)防治病毒管理規(guī)定，嚴(yán)格控制系統(tǒng)訪問權(quán)限及移動存儲介質(zhì)的使用。

例如：天津LNG項目采用YOKOGAWA CENUM VP與PROSAFE-RS控制系統(tǒng)，廠家對該DCS系統(tǒng)和SIS系統(tǒng)進行了無縫整合，在硬件方面兩者處于同一控制網(wǎng)絡(luò)下，而SIS安全系統(tǒng)中的SENG也可以和DCS系統(tǒng)中的ENG整合在一起，在數(shù)據(jù)的傳輸中響應(yīng)速度更快，處理數(shù)據(jù)的能力更強。但CENTUM VP與PROSAFE-RS系統(tǒng)在實際運用中開放性過高、且在安全方面過于依賴Windows平臺，從而給其自身的系統(tǒng)安全性帶來較大隱患。為此，歸納了當(dāng)前運行版本的DCS（CENTUM VP）系統(tǒng)與SIS（PROSAFE-RS）在工程應(yīng)用中涉及到的安全問題的實際處理方法。

該裝置的DCS控制系統(tǒng)軟件版本為R5.04.20，SIS系統(tǒng)的版本為R3.02.20，其操作系統(tǒng)為Windows 7 Professional?，F(xiàn)在采用的系統(tǒng)版本延續(xù)使用了自R3版本以來的“CENTUM Desktop”環(huán)境，可禁止用戶更改Windows系統(tǒng)設(shè)置。但是DCS/SIS系統(tǒng)安全措施做得不夠完善，未將與生產(chǎn)操作無關(guān)的功能徹底鎖死，即操作站仍可以進行生產(chǎn)相關(guān)操作以外的操作，給控制系統(tǒng)的安全運行帶來隱患，具體原因是Windows7的默認狀態(tài)不能為CENTUM VP系統(tǒng)提供安全的運行環(huán)境。

Windows 7 Professional安裝結(jié)束后，光驅(qū)與USB接口均處于“自動播放”狀態(tài)，即使在“CENTUM Desktop”環(huán)境下，當(dāng)放入光盤或插入移動存儲設(shè)備時也可自動打開或自動運行，極有可能將病毒帶入操作站中。此外，自Windows 95問世以后，計算機鍵盤上增加了“Windows鍵”，Windows 7 Professional平臺賦予了“Windows鍵”與其它鍵組合出的多種快捷方式，提高了用戶操作的便捷性，但在“CENTUM Desktop”環(huán)境下，“Windows鍵”的組合功能未被完全屏蔽，用戶可通過“Windows鍵”的組合功能對系統(tǒng)設(shè)置進行修改。

雖然可以通過加強對操作員工的管理而盡量避免上述破壞性事件的發(fā)生，但系統(tǒng)組態(tài)與維護人員仍有必要制訂相應(yīng)的技術(shù)防范措施，從根本上提高操作站的安全性。

技術(shù)防范措施：

1.將操作站的普通鍵盤改為專門用于操作的操作員鍵盤；

2.禁用鍵盤上的“Windows鍵”組合功能；

3.隱藏“CENTUM”用戶權(quán)限下開始菜單中影響系統(tǒng)安全無關(guān)組件；

4.屏蔽“CENTUM”用戶權(quán)限下由任務(wù)欄圖標(biāo)進入硬盤目錄的途徑；

5.取消“CENTUM”用戶權(quán)限下光驅(qū)與USB接口的自動播放功能；

6.關(guān)閉USB接口的存儲設(shè)備接入功能；

7.禁用USB移動存儲設(shè)備。

（二）工控平臺的風(fēng)險性

隨著TCP/IP等通用協(xié)議與開發(fā)標(biāo)準(zhǔn)引入工業(yè)控制系統(tǒng)，開放、透明的工業(yè)控制系統(tǒng)同樣為物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等新興技術(shù)領(lǐng)域開辟出廣闊的想象空間。理論上，絕對的物理隔離網(wǎng)絡(luò)正因為需求和業(yè)務(wù)模式的改變而不再切實可行，目前，多數(shù)工業(yè)控制網(wǎng)絡(luò)僅通過部署防火墻來保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對隔離，各個工業(yè)自動化單元之間缺乏可靠的安全通信機制，工業(yè)控制系統(tǒng)的安全防御能力十分有限。

應(yīng)對方法：就目前而言，傳統(tǒng)的IT防火墻已無法滿足工業(yè)控制系統(tǒng)的需求，但越來越多的控制系統(tǒng)廠家注重網(wǎng)絡(luò)安全，在控制層面就加裝了防火墻，同時，市面上也有工業(yè)級防火墻的出現(xiàn)，針對控制層的網(wǎng)絡(luò)協(xié)議作出相應(yīng)的防護，對Modbus和OPC的協(xié)議內(nèi)容進行檢查和連接管理。不管是控制系統(tǒng)本身自帶的防火墻還是專業(yè)的工業(yè)級防火墻，都可以針對工控平臺的風(fēng)險性起到彌補作用。

（三）網(wǎng)絡(luò)的風(fēng)險性

通用以太網(wǎng)技術(shù)的引入讓工業(yè)控制變得智能，也讓工業(yè)控制網(wǎng)絡(luò)愈發(fā)透明、開放、互聯(lián)，TCP/IP存在的威脅同樣會在工業(yè)網(wǎng)絡(luò)中重現(xiàn)，此外，工業(yè)控制網(wǎng)絡(luò)的專屬控制協(xié)議更為攻擊者提供了了解工業(yè)控制網(wǎng)絡(luò)內(nèi)部環(huán)境的機會。為確保工業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運營，必須針對DCS/SIS網(wǎng)絡(luò)環(huán)境進行實時異常行為的"發(fā)現(xiàn)、檢測、清除、恢復(fù)、審計"一體化的保障機制。當(dāng)前DCS/SIS網(wǎng)絡(luò)主要的風(fēng)險性集中體現(xiàn)為：邊界安全策略缺失；系統(tǒng)安全防御機制缺失；管理制度缺失或不完善；網(wǎng)絡(luò)配置規(guī)范缺失；監(jiān)控與應(yīng)急響應(yīng)制度缺失；網(wǎng)絡(luò)通信保障機制缺失。

應(yīng)對方法：針對TCP/IP存在的威脅只運用原有的防火墻及防護方法采取應(yīng)對措施，而工業(yè)控制網(wǎng)絡(luò)的專屬控制協(xié)議防護則應(yīng)更加有針對性，控制層和數(shù)據(jù)層的隔離防護，控制層網(wǎng)絡(luò)的冗余化等，都是可以有針對性的起到保護作用。

三、結(jié)束語

綜上所述，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題始終存在，而且由于TCP/IP技術(shù)的深入運用，對控制系統(tǒng)威脅越來越多，但是我們始終能找到應(yīng)對方法，不管是從構(gòu)建滿足工業(yè)控制系統(tǒng)的安全體系，從管理、流程、架構(gòu)、設(shè)備等多個角度發(fā)展防護技術(shù)，把最新技術(shù)應(yīng)用到實處，還是從落實相關(guān)制度方面，都應(yīng)該不斷的改進并完善，這才是保證工業(yè)控制網(wǎng)絡(luò)安全的最有效手段。